GESTÃO DE RISCO EM UMA SOCIEDADE DINÂMICA: UM

PROBLEMA DE MODELAGEM 1

Jens Rasmussen

Resumo: Apesar de todos os esforços para projetar sistemas mais seguros, ainda
presenciamos acidentes graves e de grande porte. Uma questão básica é: nós realmente temos
modelos adequados de causas de acidentes na sociedade dinâmica atual? O sistema sociotécnico
envolvido na gestão de riscos inclui vários níveis que vão desde os legisladores, passando pelos
gestores e planejadores de trabalho, até os operadores do sistema. Este sistema é atualmente
estressado por um ritmo acelerado de mudança tecnológica, por um ambiente cada vez mais
agressivo e competitivo, e por mudanças nas práticas regulatórias e pressão pública.
Tradicionalmente, cada nível é estudado separadamente por uma disciplina acadêmica
específica, e a modelagem é feita por meio da generalização entre sistemas e suas fontes de risco
específicas. Defende-se que a gestão de riscos deve ser modelada por estudos interdisciplinares,
considerando a gestão de riscos como um problema de controle e servindo para representar a
estrutura de controle envolvendo todos os níveis da sociedade para cada categoria de perigo
particular.
Além disso, argumenta-se que isso requer uma abordagem orientada ao sistema baseada na
abstração funcional ao invés da decomposição estrutural. Portanto, a análise de tarefas focada em
sequências de ações e desvios ocasionais em termos de erros humanos deve ser substituída por um
modelo de mecanismos de modelagem de comportamento em termos de restrições do sistema de
trabalho, limites de desempenho aceitável e critérios subjetivos que orientem a adaptação à
mudança. Verifica-se que, atualmente, uma convergência de paradigmas de pesquisa das ciências
humanas guiados por conceitos das ciências cognitivas sustenta essa abordagem. Uma revisão
dessa convergência na teoria da decisão e na pesquisa de gestão é apresentada em comparação
com a evolução dos paradigmas na pesquisa de segurança.

INTRODUÇÃO

A discussão a seguir sobre modelagem de gerenciamento de risco em uma

sociedade dinâmica é baseada nas experiências adquiridas durante várias décadas a partir
de pesquisas multidisciplinares sobre gerenciamento de risco industrial no Laboratório
Nacional de Risø e da interação dentro de uma rede internacional multidisciplinar que
evoluiu do Bad Homburg série de workshops “Nova Tecnologia e Trabalho” (Wilpert, 1987-).
Olhando para trás na evolução de nossos esforços de modelagem, parece que nossos
conceitos de modelagem percorreram um círculo completo através de várias disciplinas e
paradigmas de pesquisa. Aparentemente, ao enfrentar problemas, frequentemente
descobrimos que a grama era mais verde no jardim de mais uma disciplina.
Nossa pesquisa começou como um esforço dentro de sistemas e engenharia de
controle para projetar sistemas de controle e segurança para plantas de processos
industriais perigosos. Uma avaliação de nossos resultados por comparação com registros
de acidentes rapidamente direcionou nossa atenção para os problemas de interface
homem-máquina e fomos forçados a entrar na arena da análise de erros humanos,
modelagem de operadores e design de telas, envolvendo também competência psicológica.

_____________________________________
1In Safety Science 27/2-3 (1997), pp. 183-213.
A partir daqui, muito naturalmente nos desviamos para os estudos sobre o desempenho das
pessoas que preparam as condições de trabalho dos operadores e achamos necessário dar
uma olhada nos resultados das pesquisas dentro da gestão e da ciência organizacional
também para considerar o problema dos erros de decisão no nível de gerenciamento.
Finalmente, uma vez que um grande problema parecia ser o compromisso da gestão com a
segurança e os esforços relacionados da sociedade para controlar os incentivos da gestão
pela regulamentação de segurança, também tivemos que envolver especialistas em direito
e legislação em nossos estudos.

Figura 1. O sistema sociotécnico envolvido na gestão de riscos.

Agora, após várias décadas de esforços de modelagem, descobrimos que os

modelos que criamos reunindo resultados de várias disciplinas podem ser muito úteis para o
projeto de sistemas de apoio ao trabalho para os atores individuais e tomadores de decisão,
mas não são muito úteis para analisar o desempenho do sistema de gerenciamento de risco
total. Para este problema, um modelo de sistema não pode ser construído por uma
agregação de modelos de baixo para cima derivados de pesquisas em disciplinas
individuais, mas é necessária uma abordagem orientada de cima para baixo, baseada em
conceitos teóricos de controle.
 A razão para isso é que um sistema é mais do que a soma de seus elementos.
Muitas vezes descobrimos que as tentativas de melhorar a segurança de um sistema a
partir de modelos de recursos locais foram compensadas por pessoas que se adaptaram à
mudança de maneira imprevista.
Assim, voltamos a considerar nossa estrutura de controle conceitual inicial em um
cenário mais complexo, ou seja, como sendo uma estrutura de controle inserida em um
sistema sociotécnico adaptativo.

O ESPAÇO DO PROBLEMA: GESTÃO DE RISCO EM UMA SOCIEDADE

DINÂMICA

Lesões, contaminação do meio ambiente e perda de investimento dependem da

perda de controle de processos físicos capazes de ferir pessoas ou danificar propriedades.
A propagação de um curso acidental de eventos é moldada pela atividade de pessoas que
podem desencadear um fluxo acidental de eventos ou desviar um fluxo normal. A
segurança, então, depende do controle dos processos de trabalho para evitar efeitos
colaterais acidentais que causem danos às pessoas, ao meio ambiente ou ao investimento.
Muitos níveis de políticos, gerentes, oficiais de segurança e planejadores de trabalho
estão envolvidos no controle da segurança por meio de leis, regras e instruções que são
meios formalizados para o controle final de algum processo físico perigoso. Eles procuram
motivar trabalhadores e operadores, educá-los, orientá-los ou restringir seu comportamento
por meio de regras e projetos de equipamentos, de modo a aumentar a segurança de seu
desempenho.
O sistema sócio-técnico realmente envolvido no controle de segurança é mostrado
na figura 1, que representa o espaço do problema pelo qual passamos, de baixo para cima
durante nossa pesquisa, com várias disciplinas acadêmicas envolvidas em cada um dos
vários níveis. No topo, a sociedade procura controlar a segurança por meio do sistema
legal: a segurança tem alta prioridade, mas também o emprego e a balança comercial. A
legislação torna explícitas as prioridades de objetivos conflitantes e estabelece limites de
condições humanas aceitáveis. A pesquisa neste nível está dentro do foco das ciências
políticas e jurídicas. Em seguida, estamos ao nível das autoridades e associações
industriais, sindicatos de trabalhadores e outras organizações de interesse. Aqui, a
legislação é interpretada e implementada em regras para controlar as atividades em
determinados tipos de locais de trabalho, para determinados tipos de funcionários. Este é o
nível dos cientistas de gestão e sociólogos do trabalho. Para serem operacionais, as regras
passaram a ser interpretadas e implementadas no contexto de uma determinada empresa,
considerando os processos de trabalho e equipamentos aplicados. Novamente, muitos
detalhes extraídos das condições e processos locais precisam ser adicionados para tornar
as regras operacionais e, novamente, novas disciplinas estão envolvidas, como psicólogos
do trabalho e pesquisadores em interação homem-máquina. Finalmente, no nível mais
baixo, encontramos as disciplinas de engenharia envolvidas no projeto dos processos e
equipamentos produtivos e potencialmente perigosos e no desenvolvimento de
procedimentos operacionais padrão para os estados operacionais relevantes, incluindo
distúrbios.
O controle das atividades e sua segurança pela abordagem clássica prescritiva de
comando e controle, que deriva regras de conduta de cima para baixo, pode ser eficaz em
uma sociedade estável, onde a instrução e as ferramentas de trabalho em todos os níveis
possam ser baseadas na análise de tarefas. Na atual situação dinâmica, essa abordagem é
inadequada e é necessária uma visão fundamentalmente diferente da modelagem do
sistema.

A PRESENTE SOCIEDADE DINÂMICA

Em comparação com as condições estáveis do passado, a sociedade dinâmica atual

traz consigo algumas mudanças dramáticas nas condições de gestão de risco industrial:

● Um ritmo muito rápido de mudança de tecnologia é encontrado no nível operacional

da sociedade em muitos domínios, como transporte, embarque, manufatura e
indústria de processos. Esse ritmo de mudança é muito mais rápido do que o ritmo
de mudança atual nas estruturas de gerenciamento - Savage e Appleton (1988)
falam de “gerenciamento de segunda geração aplicado à tecnologia de quinta
geração” na manufatura. Um atraso ainda maior na resposta à mudança é
encontrado na legislação e regulamentação. Os diferentes intervalos de tempo
encontrados nos diferentes níveis apresentam, portanto, um problema, e a interação
dinâmica entre os níveis durante um período de mudança torna-se uma importante
questão de modelagem.
● A escala das instalações industriais está aumentando constantemente com um
potencial correspondente de acidentes de grande escala. Probabilidades muito
baixas de acidentes devem ser demonstradas para aceitação da operação pela
sociedade. Consequentemente, os modelos não devem incluir apenas desempenho
normal ou médio, mas também condições muito raras.
● O rápido desenvolvimento da tecnologia da informação e comunicação leva a um
alto grau de integração e acoplamento de sistemas e os efeitos de uma única
decisão podem ter efeitos dramáticos que se propagam rápida e amplamente pela
sociedade global. Isso foi demonstrado pelos efeitos de sistemas de negociação
computadorizados menos bem-sucedidos (por exemplo, a turbulência de Wall Street
em 1987 (Waldrop 1987)). Assim, está se tornando cada vez mais difícil modelar
sistemas isoladamente e fazer experimentos locais em pequena escala para avaliar
modelos.
● Além disso, as empresas vivem hoje em um ambiente muito agressivo e competitivo,
que focará os incentivos dos tomadores de decisão em critérios financeiros e de
sobrevivência de curto prazo, em vez de critérios de longo prazo relativos a
bem-estar, segurança e impacto ambiental.

Essas tendências têm um efeito dramático na abordagem necessária para modelar o

comportamento do sistema em alguns aspectos muito fundamentais, e levantam os
problemas de modelagem por decomposição estrutural versus abstração funcional e o
problema de pesquisa interdisciplinar versus cooperação multidisciplinar (Hale et ai., 1996,
Rasmussen, Pejtersen e Goodstein, 1994).
MODELAGEM POR DECOMPOSIÇÃO ESTRUTURAL: TAREFAS, ATOS E
ERROS

A abordagem usual para modelar sistemas sociotécnicos é por decomposição em

elementos que são modelados separadamente. Isso tem alguns efeitos peculiares. O
sistema sociotécnico envolvido na gestão de riscos é, como mostra a figura 1, normalmente
decomposto de acordo com os níveis organizacionais que são então objeto de estudo em
diferentes disciplinas.
O efeito disso é que o gerenciamento de risco nos níveis superiores é normalmente
estudado com uma orientação “horizontal” de pesquisa em todas as fontes de risco
tecnológico. Tradicionalmente, os estudos sociológicos nos níveis superiores baseiam-se na
análise de amostras de organizações ou grupos de pessoas sem consideração detalhada
dos processos reais encontrados no nível inferior produtivo. As análises são baseadas em
estatísticas e questionários de toda a indústria. Barley, (1988) fez uma observação
semelhante ao estudar um domínio de trabalho específico - o trabalho radiológico em
medicina.
Desta forma, as teorias de gestão tendem a ser independentes do contexto de
matéria de substância das organizações dadas. Ser gerente é visto desse ponto de vista
como uma profissão, independentemente de você estar gerenciando um hospital, uma
empresa fabril ou um banco. Além disso, o objetivo das empresas comerciais atualmente
parece ter mudado de organizações que atendem a um domínio de matéria de substância
específico para um foco estreito em operações financeiras (ver, por exemplo, Engwall,
1986). Quais são as implicações desta situação para o controle social da segurança das
instalações industriais? Após um recente acidente de balsa escandinava, um oficial de
segurança marítima observou em uma entrevista na TV que poderíamos ver uma
diminuição na segurança naval, uma vez que os navios eram cada vez mais operados por
bancos e investidores, em vez de profissionais de transporte. Uma revisão crítica recente
dos efeitos dessa tendência no comportamento gerencial, por exemplo, na saúde pública, é
encontrada em Rees e Rodley (1995).
Nesta situação, precisamos de mais estudos sobre a interação vertical entre os
níveis dos sistemas sociotécnicos com referência à natureza do risco tecnológico que eles
assumem controlar.
Enquanto um sistema tradicionalmente é modelado pela decomposição em
elementos estruturais, o comportamento dinâmico dos sistemas e atores é modelado pela
decomposição do fluxo comportamental em eventos. Essa decomposição é a base para a
identificação de elementos de atividade em termos de tarefas e em elementos de tarefa em
termos de decisões, atos e erros. O problema é que todas as situações de trabalho deixam
muitos graus de liberdade aos atores para escolha de meios e tempo para ação, mesmo
quando os objetivos do trabalho são cumpridos e uma instrução de tarefa ou procedimento
operacional padrão em termos de uma sequência de atos não pode ser usado como uma
referência de comportamento de julgamento. Para completar a descrição de uma tarefa
como sendo uma sequência de atos, esses graus de liberdade devem ser resolvidos
assumindo critérios de desempenho adicionais que parecem ser 'racionais' para os
instrutores. Eles não podem, no entanto, prever todas as contingências locais do
contexto de trabalho e, em particular, uma regra ou instrução é muitas vezes projetada
separadamente para uma determinada tarefa isoladamente enquanto, na situação real,
várias tarefas estão ativas em modo de compartilhamento de tempo. Isso impõe restrições
adicionais sobre o procedimento a ser usado, que não eram conhecidas pelo instrutor. Em
consequência, regras, leis e instruções praticamente nunca são seguidas ao pé da letra.
Greves de funcionários públicos assumem a forma de "trabalhar de acordo com as regras".
Mesmo para situações de tarefas altamente restritas, como operação de energia nuclear, a
modificação das instruções é encontrada repetidamente (Fujita, 1991; Vicente et al., 1995) e
as violações das regras formais pelos operadores parecem ser bastante racionais, dada a
carga de trabalho real e as restrições de tempo. Uma implicação no presente contexto é que
após um acidente será fácil encontrar alguém envolvido no fluxo dinâmico de eventos que
violou uma regra formal seguindo a prática estabelecida e que, portanto, é passível de
punição. Consequentemente, os acidentes são tipicamente considerados como causados
por “erro humano” por parte de um maquinista, um piloto ou um operador de processo
(Rasmussen, 1990a,b,1993c).
Uma instrução de tarefa, portanto, é um padrão não confiável para julgar o
comportamento no trabalho real. Da mesma forma, modelar o comportamento humano em
termos de um fluxo de atos não será confiável para um ambiente dinâmico quando o
comportamento depende do contexto. A modelagem por “análise de tarefas” só é útil
quando o comportamento é muito controlado pelos requisitos de controle de um sistema
técnico. Em geral, temos que buscar modelos em um nível conceitual mais alto.
Outro exemplo de decomposição do comportamento é a modelagem do controle
comportamental por decisões separadas. Na pesquisa de decisão tradicional, as “decisões”
têm sido percebidas como processos discretos que podem ser separados do contexto e
estudados como um fenômeno isolado. Em nossos estudos de campo (Rasmussen, 1992,
1993a), achamos muito difícil isolar decisões apropriadas. Em um ambiente de trabalho
familiar, os atores estão imersos no contexto de trabalho por longos períodos; conhecem de
cor o fluxo normal das atividades e as alternativas de ação disponíveis. Durante situações
familiares, portanto, o raciocínio analítico e o planejamento baseados no conhecimento são
substituídos por uma simples escolha baseada em habilidades e regras entre alternativas
de ação familiares, ou seja, na prática e no know-how. Quando, em tais situações,
forem tomadas decisões operacionais, elas não serão baseadas na análise racional da
situação, mas apenas nas informações que, no contexto de execução, são necessárias para
distinguir entre as alternativas percebidas de ação. Portanto, "decisões" separadas são
difíceis de identificar e o estudo da tomada de decisão não pode ser separado de um estudo
simultâneo do contexto social e do sistema de valores em que ela ocorre e do processo de
trabalho dinâmico que se pretende controlar. Esse problema levou ao desenvolvimento do
modelo de comportamento de controle cognitivo baseado em habilidades, regras e
conhecimento (Rasmussen, 1983) e os paradigmas mais recentes de tomada de decisão
"naturalista" (para uma revisão, ver Klein et al., 1994). ). Em geral, o atual interesse pela
ciência cognitiva trouxe consigo uma convergência do conceito de “tomada de decisão” do
economista, o conceito social de “administração” e um conceito psicológico de “controle
cognitivo” da atividade humana, um tópico que abordaremos considere mais
detalhadamente abaixo.

CAUSAS DE ACIDENTES

Considerando o problema do desvio frequente das instruções e regras normativas

de trabalho, não é de admirar que muitas vezes se conclua nas revisões de acidentes que o
“erro humano” é um fator determinante em 70-80% dos casos. Além disso, normalmente
são encontrados vários erros e falhas contribuintes, porque várias defesas contra acidentes
são normalmente planejadas para processos perigosos.
No entanto, não se deve esquecer que o sucesso comercial em um ambiente
competitivo implica a exploração do benefício de operar à margem da prática usual e aceita.
Fechar e explorar os limites dos limites normais e funcionalmente aceitáveis da prática
estabelecida em situações críticas implica necessariamente o risco de ultrapassar os limites
das práticas seguras. Da mesma forma, relatórios judiciais de vários acidentes como
Bhopal, Flixborough, Zeebrügge e Chernobyl demonstram que eles não foram causados por
uma coincidência de falhas independentes e erros humanos, mas por uma migração
sistemática do comportamento organizacional para o acidente sob a influência da pressão
para custo-benefício em um ambiente competitivo e agressivo (Rasmussen, 1993b, 1994b).
Nesta situação, temos que considerar a interação dos efeitos das decisões tomadas
por vários atores em seu contexto normal de trabalho, todos muito provavelmente sujeitos
ao mesmo tipo de estresse competitivo. A Figura 2 mostra uma árvore causal derivada do
acidente de Zeebrügge, onde vários tomadores de decisão em diferentes momentos, em
diferentes partes de uma empresa de transporte, todos estão se esforçando localmente
para otimizar a relação custo-benefício e, portanto, estão preparando o cenário para um
acidente. O fluxo dinâmico de eventos pode então ser liberado por um único ato humano.
Como visto pelos tomadores de decisão individuais do front-end, será difícil ver o quadro
total durante a tomada de decisão operacional diária. Os tomadores de decisão individuais
não podem ver o quadro completo e julgar o estado das múltiplas defesas condicionalmente
dependendo das decisões tomadas por outras pessoas em outros departamentos e
organizações.

Figura 2 ilustra o padrão complexo do acidente de Zeebrügge.

 Nesta situação, a atividade de modelagem em termos de sequências de tarefas e
erros não é muito eficaz para entender o comportamento, temos que ir mais fundo para
entender os mecanismos básicos de modelagem do comportamento.

MODELAGEM POR ABSTRAÇÃO FUNCIONAL: MIGRAÇÃO EM DIREÇÃO À

FRONTEIRA

Essa discussão aponta para a existência de uma migração natural de atividades em

direção ao limite de desempenho aceitável e temos que encontrar uma maneira de
representar o mecanismo subjacente a essa migração.

Figura 3. Sob a presença de fortes gradientes, o comportamento provavelmente migrará para o limite de desempenho
aceitável.

O comportamento humano em qualquer sistema de trabalho é moldado por objetivos

e restrições, que devem ser respeitados pelos atores para que o desempenho do trabalho
seja bem-sucedido. Visando tais metas produtivas, no entanto, muitos graus de liberdade
são deixados em aberto que terão que ser fechados pelo ator individual por meio de uma
busca adaptativa guiada por critérios de processo como carga de trabalho, custo-benefício,
risco de falha, alegria de explorar, etc. O espaço de trabalho no qual os atores humanos
podem navegar livremente durante essa busca é limitado por restrições administrativas,
funcionais e relacionadas à segurança. As mudanças normais encontradas nas condições
locais de trabalho levam a frequentes modificações de estratégias e a atividade apresentará
grande variabilidade. Essas variações locais induzidas pela situação dentro do espaço de
trabalho lembram os "movimentos brownianos" das moléculas de um gás. Durante a busca
adaptativa, os atores têm ampla oportunidade de identificar "um gradiente de esforço" e a
administração normalmente fornecerá um "gradiente de custo" eficaz. O resultado muito
provavelmente será uma migração sistemática em direção ao limite de desempenho
funcionalmente aceitável e, se cruzar o limite for irreversível, pode ocorrer um erro ou
acidente.
Em qualquer sistema de trabalho bem projetado, são tomadas inúmeras precauções
para proteger os atores contra riscos ocupacionais e o sistema contra acidentes graves,
usando uma estratégia de projeto de “defesa em profundidade”. Um problema básico é que
em tal sistema tendo defesas de proteção funcionalmente redundantes, uma violação local
de uma das defesas não tem efeito imediato e visível e então pode não ser observada em
ação. Nesta situação, o limite do comportamento seguro de um determinado ator depende
da possível violação das defesas por outros atores, veja a figura 2. Portanto, em sistemas
projetados de acordo com a estratégia de defesa em profundidade, as defesas tendem a
degenerar sistematicamente ao longo do tempo, quando a pressão em direção ao
custo-benefício está dominando. Correspondentemente, muitas vezes é concluído por
investigações de acidentes que o acidente em particular estava realmente esperando por
sua liberação (Rasmussen, 1993b).

Figura 4. Mapear conflitos entre os atores na embarcação

A questão importante é que o palco para um curso acidental de eventos muito

provavelmente é preparado ao longo do tempo pelos esforços normais de muitos atores em
seus respectivos contextos de trabalho diário, respondendo à solicitação permanente de
custo-benefício. Em última análise, uma variação bastante normal no comportamento de
alguém pode desencadear um acidente. Se essa “causa raiz” específica tivesse sido evitada
por alguma medida de segurança adicional, o acidente provavelmente seria liberado por
outra causa em outro momento. Em outras palavras, uma explicação do acidente em termos
de eventos, atos e erros não é muito útil para o projeto de sistemas melhorados.
Quando os tomadores de decisão que administram instituições e empresas
envolvidas na gestão de risco se adaptam individualmente às suas tensões comerciais
normais, a interação resultante muito provavelmente não corresponderá aos requisitos
gerais de controle de segurança, quando julgados após o fato. A Figura 4 mostra os
conflitos de interação entre instituições e empresas nos vários níveis identificados em
acidentes com super tanques e balsas ro-ro (ver Shell, 1992, Estônia, 1995, Stenstrom,
1995). Conflitos semelhantes são encontrados no domínio da aviação, ver Schiavo, 1997.
É evidente que é necessária uma nova abordagem para a representação do
comportamento do sistema, não focada em erros e violações humanas, mas nos
mecanismos que geram o comportamento no contexto real e dinâmico de trabalho. A
analogia foi mencionada com modelos termodinâmicos em termos de condições de
contorno e gradientes de um campo que nos levam além da representação da física
clássica em termos de partículas, caminhos de viagem e eventos de colisão.
Correspondentemente, para o comportamento humano, precisamos de uma representação
no nível mais alto de abstração funcional do que o nível usado para análise de tarefas. Tal
representação envolve a identificação das condições de contorno do espaço de trabalho e
os gradientes em termos de critérios de processo que guiam a deriva através desse espaço.
Essa abordagem envolve um estudo detalhado das relações meios-fins do sistema de
trabalho e, por sua vez, a necessidade de estudos focados em tipos particulares de
sistemas caracterizados por seus processos de trabalho peculiares e fontes de risco. Para
isso, precisamos de uma taxonomia de fontes de perigo e suas características de controle.
Além disso, precisamos de uma estrutura para a identificação dos objetivos,
estruturas de valores e preferências subjetivas que governam o comportamento dentro dos
graus de liberdade enfrentados pelo decisor e ator individual (para detalhes, ver
Rasmussen, 1994c; Rasmussen et al., 1994 ). Essa abordagem de modelagem está
relacionada aos conceitos gibsonianos de possibilidades invariáveis (Gibson, 1966, 1979) e
a representação relacionada do “espaço de direção segura” (Gibson e Crooks, 1932). Para
uma revisão do estado da arte dentro desta abordagem ecológica, ver Flach et al., (1994).

CONTROLE DE DESEMPENHO DO SISTEMA

Essa mudança na abordagem da modelagem da causa de acidentes também

convida a uma nova abordagem para o controle do desempenho do sistema. Em vez de se
esforçar para controlar o comportamento combatendo os desvios de um determinado
caminho pré-planejado, o foco deve estar no controle do comportamento, tornando os
limites explícitos e conhecidos e dando oportunidades para desenvolver habilidades de
enfrentamento nos limites.
Os esforços para melhorar a segurança das atividades especializadas assumem
várias formas diferentes em relação a esse controle:
Uma maneira é aumentar a margem da operação normal para o limite de perda de
controle. Nesse caso, a adaptação natural ao limite provavelmente compensará (veja a
discussão sobre o efeito do radar; freios de carro antibloqueio e “homeostase de risco” na
seção abaixo). O nível de segurança resultante depende consequentemente das
características de recuperação do sistema. Se a largura da zona de recuperação em um
sistema reprojetado for reduzida ou a transição para a perda de controle se tornar mais
abrupta, o nível real de segurança pode se deteriorar como consequência de uma
“melhoria”.
Outra forma é aumentar a conscientização sobre o limite por meio de campanhas de
instrução e motivação. As campanhas de segurança podem criar um "contra gradiente" ao
gradiente de custo-benefício e, assim, servir para manter a margem, veja a figura 3. No
entanto, uma luta empírica por uma boa “cultura de segurança” nunca terminará porque só
funciona enquanto atua como uma pressão contínua compensando a pressão funcional do
ambiente de trabalho. Com o atual alto nível de segurança industrial alcançado por essa
abordagem empírica, melhorias adicionais significativas provavelmente exigirão uma
abordagem direcionada seletivamente para os fatores de modelagem de comportamento de
ambientes de processo específicos.
A abordagem geral mais promissora para melhorar o gerenciamento de riscos
parece ser uma identificação explícita dos limites da operação segura, juntamente com os
esforços para tornar esses limites visíveis para os atores e dar-lhes a oportunidade de
aprender a lidar com os limites. Além de aumentar a segurança, tornar os limites visíveis
também pode aumentar a eficácia do sistema, pois a operação perto dos limites conhecidos
pode ser mais segura do que exigir margens excessivas que provavelmente se deteriorarão
de maneira imprevisível sob pressão.

GERENCIAMENTO DE RISCO: UMA TAREFA DE CONTROLE

Segue-se desta discussão que o gerenciamento de risco deve ser considerado uma
função de controle focada em manter um processo produtivo perigoso particular dentro dos
limites da operação segura e que uma abordagem de sistemas baseada em conceitos
teóricos de controle deve ser aplicada para descrever as funções gerais do sistema. Como
base para a discussão das implicações deste ponto de vista no desenho de sistemas de
gestão de risco, será útil uma breve revisão da relação entre estratégias de controle e
abordagens de desenho.
A gestão e o planejamento do trabalho em qualquer organização aplicam diferentes
estratégias de controle, dependendo do horizonte de tempo, estabilidade dos sistemas e
previsibilidade de distúrbios. Uma estratégia clássica que tem se mostrado eficaz durante
um período de produção para um mercado estável é o planejamento centralizado baseado
em prognóstico de resultado dos últimos anos com gestão por sistemas formais de
planejamento de materiais e recursos (MRP). Nessa modalidade, a gestão se baseia no
monitoramento do desempenho com referência a planos, orçamentos e cronogramas, e o
controle visa eliminar desvios, “erros”. O modelo de planejamento é então revisado a partir
da observação do resultado acumulado ao longo do período de planejamento. Essa
estratégia só pode lidar com distúrbios se eles tiverem sido previstos e incluídos no modelo
de planejamento.
Atualmente, essa estratégia foi amplamente substituída pela estratégia de produção
just-in-time, mais dinâmica, controlada pelo cliente. Nem sempre foi percebido que as duas
estratégias são bons exemplos de uma estratégia de malha aberta e de malha fechada e
que as duas estratégias exigem abordagens de projeto muito diferentes (Rasmussen,
1994b).
Figura 5. Mapa mostrando os resultados da análise de um acidente de trânsito envolvendo derramamento de óleo em uma
rede de abastecimento de água potável.

Modelando a gestão de risco em uma sociedade dinâmica em que todos os atores

se esforçam continuamente para se adaptar às mudanças e à pressão de mercados
dinâmicos, temos claramente que aplicar um ponto de vista de feedback de circuito fechado
tão ativo. Deve ser utilizada uma representação abstrata da rede de informações de todo o
sistema envolvido no controle do perigo apresentado pelo núcleo técnico na parte inferior.
Esta função de controle e sua estabilidade não podem ser estudadas em um nível geral
entre sistemas, mas devem ser analisadas para um sistema particular ou tipo de sistema.
Portanto, os estudos de gestão de risco devem ser baseados em uma categorização das
fontes de perigo de acordo com seus requisitos de controle.
Para uma fonte de perigo específica, a estrutura de controle deve ser identificada,
todos os controladores (atores) relevantes identificados, seus objetivos e critérios de
desempenho determinados, sua capacidade de controle avaliada e as informações
disponíveis sobre o estado real do sistema em relação aos objetivos de produção e os
limites de segurança devem ser analisados do ponto de vista do controle de feedback,
conforme revisto nos parágrafos seguintes.
Figura 6. O curso de um evento acidental é criado pelos efeitos colaterais das decisões tomadas por
tomadores de decisão ocupados em lidar com suas necessidades locais de trabalho.

Identificação dos Controladores. O primeiro passo é a identificação dos tomadores

de decisão (controladores), que podem estar envolvidos na preparação do panorama por
onde um acidente pode se propagar. Uma abordagem para essa identificação foi
desenvolvida a partir da análise de acidentes (Svedung e Rasmussen, 1997) mapeando as
relações entre os tomadores de decisão que contribuíram para a causa do acidente por sua
localização no sistema da figura 1, veja o “AcciMap” na figura 5 e 6.
Do ponto de vista do controle, a interação entre os tomadores de decisão
potencialmente envolvidos na causa de acidentes tem algumas características muito
especiais. Todos esses tomadores de decisão estão ocupados gerenciando seus domínios
de trabalho específicos e sua atenção estará focada no controle dos meios e fins de suas
tarefas produtivas normais enquanto se esforçam para atingir suas metas de produção,
muitas vezes sob estresse considerável para otimizar critérios de processo, como tempo
gasto e custo-benefício. Isso deve ser feito respeitando a restrição definida para seu
contexto local, incluindo os limites que definem a operação geral segura. Uma questão
crítica é que os limites relevantes para um determinado tomador de decisão dependem das
atividades de vários outros tomadores de decisão encontrados dentro do sistema total e que
os acidentes são criados pela interação de potenciais efeitos colaterais do desempenho de
vários tomadores de decisão durante seu trabalho normal. .
Objetivos de trabalho. É fundamental para qualquer função de controle que os
controladores tenham informações sobre as metas de ação adequadas (objetivos
relacionados à produtividade e segurança) em uma forma e em um nível correspondente às
suas oportunidades de ação.
De acordo com a discussão anterior, esta é uma questão muito complexa. Para as
atividades normais de trabalho, os objetivos básicos de negócios se propagam para baixo
em uma organização e serão formulados por diferentes conceitos nos diferentes níveis da
empresa envolvida. Os objetivos da ação têm muitas nuances. Eles podem ser expressos
em termos de especificações de produtos e metas de volume de produção; critérios de
otimização de processos, como custo-benefício; ou restrições nos processos, como
segurança, condições de trabalho, etc. Uma questão crítica que se encontra ao analisar os
critérios de desempenho no trabalho real é que eles muitas vezes estão implícitos na
empresa ou na prática de trabalho local e são difíceis de tornar explícitos.
Nos níveis mais altos, os objetivos e valores são formulados em termos bastante
gerais. Quando os objetivos se propagam para baixo em uma organização, os graus de
liberdade de ação se multiplicam, pois existem várias maneiras de implementar os objetivos.
Assim, os objetivos devem ser interpretados de acordo com o contexto local específico.
Até agora os objetivos normais de trabalho. Para a gestão de risco global,
considerações semelhantes aplicam-se à propagação dos objetivos para baixo através do
sistema sócio-técnico da figura 1. Para esta propagação, deve-se ter um cuidado especial
para analisar a influência dos diferentes atrasos na resposta à mudança em vários níveis.
A atual tendência geral na legislação e regulamentação de passar de regras
prescritivas para objetivos centrados no desempenho deve ser considerada
cuidadosamente ao analisar a propagação de objetivos e valores para baixo através do
sistema sociotécnico na figura 1. Uma tendência é encontrada longe da legislação
prescritiva e em direção ao desempenho para vários tipos de riscos nos EUA. Uma vez que
o processo regulatório normalmente requer de 6 a 10 anos para desenvolver prescrições
adequadas, o rápido ritmo tecnológico da mudança levou à introdução da “cláusula de dever
geral” que aumentou substancialmente a capacidade do regulador de proteger os
trabalhadores durante as últimas décadas (Baram, 1996). Esta cláusula estabelece que
cada empregador "deverá fornecer a cada um de seus empregados um local de trabalho
livre de riscos reconhecidos que causem ou possam causar morte ou danos graves aos
seus empregados".
Desta forma, exige-se que certas funções genéricas sejam desempenhadas para
evitar acidentes, deixando os detalhes de como as funções devem ser desempenhadas
para as empresas (ou outros órgãos regulamentados). Essas tendências são claramente
uma implementação do conceito de design de feedback de circuito fechado. Dessa forma, a
elaboração detalhada de regras ocorre em um nível em que o contexto é conhecido, e essa
mudança claramente também altera o papel dos tomadores de decisão dentro da hierarquia
de controle social. A análise da interpretação dinâmica dos critérios de segurança na
organização torna-se uma importante questão de pesquisa. A mudança de estratégia de
legislação claramente traz consigo uma mudança muito substancial na estrutura do sistema
distribuído de tomada de decisão da figura 1. Ela muda a necessidade de informações
sobre o contexto de trabalho detalhado nos níveis superiores e torna obsoleta a
organização de segurança tradicional e separada . Também mudará claramente a
necessidade de interação entre os tomadores de decisão regulatórios e os especialistas em
matéria de substâncias - veja a discussão sobre competência abaixo.
Quando a segurança é controlada pela declaração dos objetivos de desempenho,
como é o caso da regulamentação genérica, a segurança torna-se apenas mais um critério
de uma tomada de decisão multicritério e torna-se parte integrante da tomada de decisão
operacional normal. Desta forma, a organização de segurança é fundida com a organização
de linha.
Essas tentativas modernas de delegar decisões e gerenciar por objetivos exigem
uma formulação explícita de critérios de valor e meios eficazes de comunicação de valores
através da sociedade e das organizações. Desenvolvimentos interessantes foram
apresentados para este tipo de organização distribuída e estratégias formais foram
propostas para “contabilidade ética” para garantir que o impacto das decisões sobre os
objetivos e valores de todas as partes interessadas relevantes sejam adequadamente e
formalmente considerados. (Bøgetoft e Puzan, 1991 ).
Informações sobre o estado real das coisas. Uma questão importante em uma
função de feedback de malha fechada é a observação ou medição do estado real das
coisas e a resposta às ações de controle. Nenhum sistema de controle terá um
desempenho melhor do que seu canal de medição. Questões importantes, portanto, são se
as informações sobre o estado real das funções dentro de seu domínio de controle estão
disponíveis para os tomadores de decisão e se essas informações são compatíveis
(comparáveis) com os objetivos e restrições interpretados pelo agente.
A tendência geral em direção à legislação genérica levantou preocupações públicas
de que ela é muito frouxa e não é facilmente aplicável ou eficaz porque deixa muito a cargo
das empresas. Portanto, normalmente é reforçado pelos esforços do governo para
monitorar a presença de feedback adequado de informações de desempenho. A
documentação da empresa é necessária para demonstrar como está implementando a
regra com divulgação da documentação para a agência, que promulgou a regra e para
autoridades locais e pessoas em risco (por exemplo, trabalhadores, comunidade).
Capacidade e Competência. A questão do conteúdo e da forma da competência dos
vários controladores (decisores) é extremamente importante. Várias questões tornam-se
críticas, quando a interpretação da regulamentação genérica é delegada aos decisores
locais. Eles estão completamente familiarizados com os requisitos de controle de todas as
fontes de risco relevantes em seu sistema de trabalho? Eles conhecem os parâmetros
relevantes sensíveis às ações de controle e a resposta do sistema a várias ações de
controle?
A capacidade ou “competência” aqui não é apenas uma questão de conhecimento
formal, mas também inclui o know-how heurístico e as habilidades práticas adquiridas
durante o trabalho e subjacentes à capacidade de um especialista para agir de forma rápida
e eficaz no contexto de trabalho.
O conhecimento da competência normal dos agentes cooperantes é necessário para
julgar quais informações devem ser comunicadas, para cima, para baixo e horizontalmente
no sistema. Em particular durante um período com um ritmo acelerado de mudanças, é
importante analisar com que eficácia as informações de mudanças de tecnologia, processos
e políticas são comunicadas. Essa análise identifica a estrutura de controle, o conteúdo do
fluxo de informações e serve para determinar se os tomadores de decisão podem tomar as
decisões de gerenciamento de risco apropriadas e se sua interação mútua é capaz de uma
função de controle de segurança coerente.
 Compromisso. Esses aspectos discutidos até agora determinam se um tomador de
decisão pode controlar a segurança adequadamente. Uma questão adicional é se os
tomadores de decisão agirão adequadamente. Esta questão tem dois aspectos:
As prioridades estão certas? Os tomadores de decisão estarão comprometidos com
a segurança? A administração, por exemplo, está preparada para alocar recursos
adequados para a manutenção das defesas? Os esforços regulatórios servem para
controlar adequadamente as prioridades de gestão? Essa questão também aponta para a
influência de diferentes horizontes temporais da dinâmica do mercado, planejamento de
carreira pessoal, previsão financeira e proteção contra acidentes graves.
Outra questão é: Os tomadores de decisão estão cientes das restrições de
segurança? Considerando a natureza da “tomada de decisão naturalista”, os tomadores de
decisão são levados a considerar o risco no fluxo dinâmico de trabalho? Eles estão cientes
das implicações de segurança de seus negócios e das decisões de planejamento de
trabalho diário?

Conclusão
Esta análise da situação de trabalho dos vários decisores não pode basear-se numa
análise de tarefas tradicionais devido à condição dinâmica de um local de trabalho moderno.
Em vez disso, deve ser usada uma análise dos requisitos e restrições do domínio do
trabalho, formulada em vários níveis de uma hierarquia meios-fins (Rasmussen et al., 1994;
para uma breve introdução, ver Rasmussen, 1994c). Uma representação do espaço do
problema em termos de uma hierarquia meios-fins, conforme indicado na figura 6, serve
para tornar explícitas as restrições e as opções de escolha dos tomadores de decisão
individuais e, assim, servir como um contexto dentro do qual os limites da escolha segura
podem ser tornados explícitos e (espero) visíveis. Além disso, a análise deve incluir uma
identificação cuidadosa da formulação do problema e dos critérios de desempenho dos
tomadores de decisão individuais.
Esse tipo de análise exige uma análise fortemente coordenada em todos os níveis
da figura 1, com uma compreensão profunda do assunto do trabalho e da competência
relacionada em cada nível. Esta é claramente uma questão interdisciplinar que coloca
alguns problemas básicos, conforme discutido abaixo.
 Figura 7. Características da fonte de perigo e estratégias de gestão de risco.

IDENTIFICAÇÃO DE RESTRIÇÕES E LIMITES SEGUROS

O sucesso desta abordagem depende se é possível identificar explicitamente as

restrições do sistema de trabalho e os limites da operação aceitável em uma sociedade
dinâmica. Para sistemas bem estruturados e fortemente acoplados, como usinas industriais
de energia e processos, protegidos por múltiplas defesas técnicas, foi desenvolvida uma
análise de risco preditiva, capaz de identificar explicitamente as pré-condições de operação
segura, mesmo que tais análises tenham sido moldadas principalmente para aceitação de
novas instalações, não para gestão de risco operacional. (Para revisões recentes do estado
da arte, ver Leveson, 1995; Taylor, 1994). Para sistemas de trabalho menos estruturados, o
desenvolvimento de análises de risco para explicitar os limites da operação segura em
todos os níveis do sistema sociotécnico ainda é uma questão de pesquisa.
Dependendo da natureza da fonte de perigo, estratégias de gerenciamento de risco
bastante diferentes evoluíram em diferentes domínios de perigo (Rasmussen, 1993c;
1994b), veja a figura 7. Um estudo detalhado dos requisitos de controle das fontes de perigo
dominantes de um sistema de trabalho é, portanto, obrigatório para a gestão de risco.
As três categorias da figura 7 são caracterizadas pela frequência de acidentes e pela
magnitude das perdas relacionadas ao acidente individual. Em uma sociedade madura,
parece haver uma relação inversa entre a frequência e a magnitude aceitas, como mostra a
figura (Johnson, 1973).

1. Segurança do trabalho focada em acidentes frequentes, mas de pequena escala: O

perigo está relacionado a um número muito grande de processos de trabalho e o
nível de segurança ao longo do tempo pode ser medido diretamente pelo número de
LTIs (acidentes com afastamento) e baixas. Consequentemente, o nível médio de
 segurança é tipicamente controlado empiricamente a partir de estudos
epidemiológicos de acidentes passados.
2. Proteção contra acidentes de médio porte e pouco frequentes: Nesta categoria, os
sistemas mais seguros evoluem a partir de melhorias de projeto em resposta à
análise do último acidente grave individual. Exemplos são acidentes como incêndios
em hotéis, acidentes de aeronaves, colisões de trens, etc. O controle de segurança
é focado no controle de fontes de perigos e processos de acidentes específicos e
razoavelmente bem definidos. Consequentemente, várias linhas de defesa contra
acidentes foram estabelecidas por um esforço evolutivo e incremental para melhorar
a segurança. Nesta categoria, a gestão de riscos está focada no monitoramento das
defesas contra determinados processos de acidentes.
3. Proteção contra acidentes muito raros e inaceitáveis. O dano potencial de acidentes
em alguns sistemas de grande escala (por exemplo, energia nuclear) é muito grande
e o tempo médio aceitável entre acidentes é tão longo que o projeto não pode ser
guiado por evidências empíricas de acidentes passados. Consequentemente, o
projeto e a operação devem ser baseados em modelos preditivos confiáveis ​de
processos de acidentes e probabilidade de ocorrência. Para isso, foi desenvolvida a
análise de risco probabilística (PRA) e o projeto do sistema é baseado na aplicação
de vários sistemas de proteção funcionalmente independentes. Um acidente em
grande escala envolve violações simultâneas de todas as defesas projetadas. A
suposição é que a probabilidade de falha das defesas individualmente pode e será
verificada empiricamente durante a operação, mesmo que a probabilidade de uma
coincidência estocástica tenha que ser extremamente baixa. Desta forma, a
referência para monitorar o desempenho do pessoal durante o trabalho é derivada
das premissas do projeto do sistema, e não de evidências empíricas de acidentes
passados.

Esta breve revisão ilustra diferentes categorias de fontes de perigo e as diferentes

estratégias de gestão de risco relacionadas que evoluíram no passado. É, no entanto,
necessário reconsiderar esta categorização empírica no atual ritmo acelerado de mudança
das condições de gestão de risco.
O desenvolvimento de um sistema de classificação para fontes de perigo e seus
diferentes requisitos de controle é útil por várias razões. A abordagem empírica da gestão
de risco foi muito eficaz no passado para a prevenção de acidentes de pequena e média
escala. Recentemente, no entanto, a busca por uma estratégia proativa, “nenhum acidente
é tolerável” está sendo expressa (ver, por exemplo, Visser, 1991). Essa busca exige uma
aplicação mais ampla de estratégias de gerenciamento de risco mais focadas e analíticas e
uma classificação de fontes de perigo, seus requisitos de controle e estratégias de
gerenciamento de risco eficazes relacionadas serão necessárias para selecionar uma
política de gerenciamento de risco e um sistema de informação adequados para uma
determinada instalação perigosa .
Uma questão básica é que cada local de trabalho possui muitas atividades
diferentes e potencialmente perigosas e, consequentemente, a gestão de riscos adotada
por uma empresa exigirá um conjunto de estratégias direcionadas às diversas fontes de
risco. Portanto, o consenso entre os tomadores de decisão em todos os níveis sociotécnicos
da figura 1 com relação às características das fontes de risco dentro de uma empresa é
necessário para classificar as atividades com referência às estratégias de gestão e os
formatos necessários para comunicação entre os tomadores de decisão para controle direto
de perigos, para planejamento de gestão e para monitoramento regulatório.
Algumas dimensões preliminares de uma taxonomia para classificação serão:

● A natureza da fonte de perigo significativo a controlar: Está bem definida como é o

caso dos perigos de perda de controle de grandes acumulações de energia
(sistemas de processos químicos, usinas de energia); da ignição de acumulações de
material inflamável (incêndios em hotéis); ou por perda de contenção de material
perigoso (fábricas químicas, transporte de produtos perigosos)? Ou é mal definido e
delimitado como é o caso da segurança ocupacional em um canteiro de obras?
● A anatomia dos acidentes após a liberação do perigo: Quando a anatomia é bem
delimitada pela estrutura funcional de um sistema estável (como uma planta de
processo químico projetada de acordo com a filosofia de defesa em profundidade
com múltiplas barreiras), então a proteção contra acidentes graves pode se basear
no término do fluxo de eventos após a liberação do perigo.

Em contraste, quando a anatomia do fluxo acidental depende das circunstâncias

particulares, a proteção contra acidentes deve ser baseada na eliminação das causas de
liberação do perigo (viragem de balsas ro-ro; vazamentos e explosões em plantas
petroquímicas).
Deve-se mencionar aqui que as duas estratégias podem muito bem ser aplicadas
para o mesmo sistema. Por exemplo, a perda de produção devido ao desligamento de uma
planta de processo é cara e, portanto, muito cuidado é tomado para evitar a liberação da
ação de segurança por erros do operador ou falhas técnicas insignificantes. Ou seja, a
proteção da continuidade da produção depende do combate às causas potenciais de
liberação do perigo e das defesas.
- O grau em que as defesas podem ser baseadas na análise preditiva. O projeto de
barreiras contra a propagação de materiais perigosos ou energia liberada em uma usina
química ou nuclear hoje só é aceito com base em uma análise de risco preditiva que
demonstre um risco geral aceitável para a sociedade. Quando o risco previsto é aceito, o
modelo de processo, as pré-condições e as premissas da previsão tornam-se
especificações dos parâmetros de gerenciamento de risco. Para que o PRA seja
operacional desta forma, as pré-condições e pressupostos devem ser explicitamente
declarados. Não é mais aceitável que a análise preditiva de segurança seja considerada
uma arte (Amendola, 1989). É necessário um maior desenvolvimento focado do PRA em
direção a uma ferramenta de gestão operacional. Felizmente, não é necessário para este
fim prever o desempenho dos operadores e da gestão. Quando uma planta é colocada em
operação, os dados sobre o desempenho humano em operação, manutenção e
gerenciamento podem ser coletados durante a operação e usados ​para uma análise de
risco 'ao vivo'. Assim, a análise preditiva de riscos para a gestão operacional será muito
mais simples do que a análise para a aceitação prévia do projeto.

As diferentes características das fontes de perigo, configurações do sistema e

estratégias de gerenciamento de risco relacionadas claramente exigem estudos
cuidadosamente coordenados envolvendo várias ciências técnicas e humanas, e os
modelos necessários para planejar estratégias eficazes de gerenciamento de risco não
podem ser desenvolvidos pela integração dos resultados de pesquisa orientada
horizontalmente dentro das várias disciplinas acadêmicas nesses diferentes domínios de
risco, como às vezes é assumido quando as universidades estabelecem centros de
pesquisa de risco. Em vez disso, são necessários estudos verticais da estrutura de controle
para categorias bem delimitadas de fontes de perigo, caracterizadas por requisitos de
controle uniformes. Esta pesquisa exige uma competência interdisciplinar incluindo profunda
familiaridade com os vários domínios de trabalho e sua prática operacional. Como discutido
em outro lugar, esses requisitos correspondem pouco ao ambiente de ensino acadêmico,
onde os principais critérios para decisões sobre permanência e promoção são o número de
publicações em revistas arbitradas, o número que mostra autoria única em vez de múltipla e
a frequência de citação em artigos científicos reconhecidos. revistas que representam os
paradigmas centrais da disciplina em particular. (Para uma discussão detalhada, ver
Rasmussen, 1994a; Kahn e Prager, 1994; Albert, 85).

TENDÊNCIAS ATUAIS NOS PARADIGMAS DAS CIÊNCIAS HUMANAS

A abordagem descrita acima é baseada na suposição de que o comportamento de

um sistema sociotécnico dinâmico não pode ser representado em termos de sequências de
tarefas e erros referentes a um desempenho “correto” ou “racional”. Felizmente, alguns
desenvolvimentos dentro das várias disciplinas acadêmicas de relevância para a pesquisa
de risco podem ser identificados, o que facilita muito uma abordagem interdisciplinar. O
objetivo da discussão a seguir não é apresentar uma revisão sistemática desse amplo
campo de pesquisa, mas sim ilustrar uma tendência comum, tal como foi percebida do
ponto de vista de minha pesquisa focada em problemas.
 Figura 8. A convergência dos paradigmas da ciência humana para modelos em termos de características de
trabalho que moldam o comportamento e critérios de desempenho subjetivos.

A partir de uma revisão de paradigmas de pesquisa, parece que o conceito de “erro

humano”, de “viés de decisão” etc., é tipicamente encontrado em uma certa fase da
evolução das descrições do comportamento humano em vários campos profissionais. Ou
seja, a descrição do comportamento humano normalmente começa pela identificação do
comportamento racional por modelos normativos, então o comportamento real é descrito em
termos de algum tipo de desvio, ou seja, erro, com referência ao comportamento normativo.
Atualmente, a ampla aceitação de conceitos relacionados a modelos de cognição dentro de
várias ciências humanas traz consigo uma nova tendência para modelar o comportamento
real diretamente em termos de restrições de modelagem de comportamento do ambiente e
os mecanismos adaptativos dos atores humanos no ambiente.
A Figura 8 ilustra a evolução paralela dos paradigmas na pesquisa de decisão e
pesquisa de gestão e a mudança simultânea de paradigmas nos ramos da pesquisa de
segurança.
A figura também indica como os esforços para controlar o comportamento de
indivíduos, organizações e sociedade mudam juntamente com os conceitos subjacentes à
pesquisa comportamental. Nas seções seguintes, as disciplinas incluídas na figura são
brevemente discutidas.

Pesquisa de decisão

Teorias e modelos Teoria da decisão econômica (von Neumann,

normativos e prescritivos
Modelos descritivos em
termos de desvios das
normas
Modelos descritivos de
comportamento real
Morgenstern) Teoria da utilidade esperada
(Keeny, Raiffa)
Teoria da decisão psicológica: teoria da
perspectiva, vieses de julgamento (Tversky,
Kahneman).
Teoria do julgamento social, utilização de pistas
(Hammond, Brehmer). Tomada de decisão
dinâmica e natural (Brehmer, Klein)

Na pesquisa de tomada de decisão, a mudança no paradigma de pesquisa de

modelos normativos e prescritivos para modelos descritivos em termos de desvio do
desempenho racional para a modelagem do comportamento real é muito visível nas
diferentes escolas de pesquisa de decisão (ver, por exemplo, a revisão em Hammond et ai
(1980).

Modelos normativos
A teoria clássica da decisão é uma teoria normativa baseada na teoria da utilidade
esperada desenvolvida por economistas e matemáticos (Von Neumann e Morgenstern,
1944). A abordagem é focada na tomada de decisão de um ponto de vista prescritivo e não
pretende representar o processamento real de informações dos tomadores de decisão
humanos. A ênfase não está no que eles fazem, mas no que eles devem fazer. Teóricos
posteriores (Keeney e Raiffa, 1976) enfatizam a modelagem matemática de probabilidade
subjetiva e utilidade e promovem o uso da teoria para ajudar os tomadores de decisão a
alcançar consistência lógica.
 Para explicar o comportamento da tomada de decisão prática, esta teoria foi
complementada por teorias de decisão comportamental inicialmente desenvolvidas por
Edwards e Tversky (1967) e baseadas na teoria da probabilidade Bayesiana e em
experimentos para descrever quão próximo o processamento de informação humana se
aproxima do processo Bayesiano. e como a informação é usada para revisar probabilidades
subjetivas.

Modelos descritivos em termos de desvio do comportamento normativo

A teoria da decisão psicológica é baseada no trabalho de Tversky e Kahneman

(1974) com seus conceitos de representatividade e viés de disponibilidade, e o uso de
heurísticas. Sua abordagem rejeita o uso de decisões ótimas como quadro de referência
para descrição. Em vez disso, ele se volta para uma busca pelos mecanismos psicológicos
que as pessoas usam para avaliar frequências e probabilidades. Os teóricos da decisão
psicológica geralmente consideram que a teoria da utilidade subjetiva é empiricamente mal
sucedida e deve ser substituída por uma teoria que explica o comportamento humano em
termos de vieses psicológicos com referência ao comportamento racional.

Modelos Descritivos do Comportamento Real

A teoria do julgamento social pode ser vista como um desenvolvimento adicional

para modelar o comportamento real dentro da pesquisa de decisão (Para uma revisão desta
abordagem, veja Hammond et al., 1980. Este desenvolvimento teórico, bem como os
conceitos básicos de "validade ecológica de pistas" e " utilização de pistas" originam-se na
teoria da percepção de Brunswik (Brunswik, 1952). A intenção principal da abordagem não
é explicar, mas descrever os processos de julgamento humano e fornecer guias para o
desenvolvimento de auxílios à decisão, a teoria do julgamento social é o "modelo da lente"
de Brunswik que também tem sido a base de pesquisas sobre julgamentos diagnósticos em
diversas atividades profissionais como, por exemplo, corretores de valores, psicólogos
clínicos e médicos (Brehmer, 1987).
Grande parte da pesquisa de decisão até agora foi baseada em experimentos de
laboratório bem estruturados e cuidadosamente planejados. Além disso, as “decisões” têm
sido percebidas como eventos discretos: um ator percebe que um problema surgiu, então
uma análise de situação é realizada para diagnosticar a situação e definir o problema, isso é
seguido por uma avaliação dos objetivos atuais e um ação é planejada. Recentemente, no
entanto, a interação humana com o meio ambiente está sendo cada vez mais considerada
uma tarefa de controle contínuo. Portanto, “decisões” separadas são difíceis de identificar.
O estado do ambiente é percebido em termos de possibilidades de ação, as ações são
escolhidas e a resposta resultante do ambiente é percebida como pano de fundo para a
próxima ação. Erros então são difíceis de localizar no fluxo de comportamento; os efeitos de
atos menos bem-sucedidos são uma parte natural da busca pelo desempenho ideal. Dessa
forma, desenvolvimentos posteriores das teorias de decisão podem ser vistos na descrição
direta do comportamento real com base na análise do comportamento/desempenho em
ambientes de trabalho complexos com pouca ênfase na identificação de erros ou vieses
com referência a modelos normativos. Uma linha de desenvolvimento é a pesquisa sobre a
tomada de decisão naturalista (para uma revisão, ver Klein et al., 1994; outra é a pesquisa
sobre a tomada de decisão dinâmica (Brehmer, 1992).
 É interessante notar que modelos em níveis mais elevados em termos de
características do ambiente são encontrados quando as teorias de decisão evoluem para
modelos de controle cognitivo da ação. Uma "teoria de campo" do desempenho humano foi
proposta por Lewin em 1951, mas infelizmente seus conceitos não parecem resolver nossos
problemas. Como observou Brunswik, os conceitos de Lewin são pós-perceptivos e
pré-operacionais (ver Lewin, 1951). As teorias de invariantes e affordances de Gibson
(1966, 1979) parecem apontar para uma direção mais frutífera em nosso contexto.

Teoria organizacional.

Teorias e modelos Teorias da administração científica (Taylor,

normativos e Gulick, Urwick, Weber).
prescritivos
Modelos descritivos em Escolha satisfatória, racionalidade limitada
termos de desvios das (Simon, Cyert, March)
normas
Modelos descritivos de Organizações de aprendizagem (La Porte,
comportamento real Rochlin, Senge, Weick)

Teorias normativas

Modelos normativos e racionais assumem formas diferentes. A Administração

Científica (Taylor, 1911) está focada principalmente na manufatura e atividades de produção
similares. Emprega a eficiência econômica como critério último e busca maximizar a
eficiência por meio de procedimentos de planejamento racionais. Os objetivos são
conhecidos; as tarefas são repetitivas. A Gestão Administrativa (Gulick e Urwick, 1937)
assume que, em última análise, um plano mestre é conhecido, contra o qual a
especialização, a departamentalização e o controle são determinados. Os Modelos
Burocráticos (Weber, 1947), seguem padrões semelhantes e a complexidade dos
componentes humanos é controlada pela separação da vida privada e das funções de
escritório por meio de regras, salário e carreira. Em todos esses modelos, o comportamento
do indivíduo é controlado por regras normativas, pré-planejadas pelo projeto do sistema e
reforçadas pelo treinamento, instrução e punição da equipe e planejamento do local de
trabalho para induzir o desempenho adequado do trabalho (tempo e movimento). estudos,
linhas de montagem).
Essa percepção de gestão subjaz até recentemente aos conceitos de comando e
controle que regeram a organização industrial e o desenvolvimento de ferramentas de
planejamento centralizado (como os sistemas MRP -Materials and Resource Planning-),
situação caracterizada por Savage e Appleton, (1988) como segundo gerenciamento de
geração de tecnologia de quinta geração.

Modelos em termos de desvio do comportamento normativo

Seguindo o paradigma da gestão científica, o foco foi direcionado para o estudo das
organizações, baseado na visão das organizações informais de que sentimentos,
panelinhas e controle social por normas informais são respostas padronizadas e adaptativas
em situações problemáticas (Roethlisberger e Dickson, 1939), e o visão de interação em
que as organizações não são entidades autônomas, mas interagem intimamente com outras
organizações e com o público: mesmo os melhores planos dos gerentes têm consequências
não intencionais e são condicionados ou perturbados por outras unidades sociais (Barnard,
1938; Selznik, 1949; Clark, 1956). ). Tais considerações mudam o foco do estudo para o
estudo de organizações particulares em termos de preconceitos e desvios do
comportamento racional (Simon 1957a, March e Simon, 1958, Cyert e March, 1963). As
organizações devem, para lidar com a complexidade, desenvolver processos de busca e
aprendizagem, bem como de decisão; as decisões são mais satisfatórias do que
maximizadoras, e são baseadas em “racionalidade limitada” (Simon, 1957b); os tomadores
de decisão não são racionais, mas “confundem” os requisitos de trabalho.

Modelos em termos de recursos que moldam o comportamento organizacional

A linha de pesquisa introduzida por Simon et al. é continuado por Thompson (1967).
A base da abordagem de Thompson é a sugestão de Parson (1960) de que as
organizações apresentam três níveis distintos de responsabilidade e controle: técnico,
gerencial e institucional. Parsons e Thompson introduzem um ponto de vista de controle que
mais tarde é explicitamente formulado em modelos de “tomada de decisão distribuída” de
comportamento organizacional (ver Rasmussen et al., 1991), Parsons enfatiza a quebra
qualitativa na funções em cada nível são qualitativamente diferentes.
"Aqueles nos níveis inferiores não são simplesmente grafias de ordem inferior das
funções de nível superior. A articulação dos níveis e das funções repousa em uma interação
de mão dupla com cada lado retendo sua importante contribuição, em posição de interferir
na função do outro e da organização maior”.
Características auto-organizadas de organizações de natureza semelhante às
organizações sintéticas de Thompson foram estudadas pelo programa de organizações de
alta confiabilidade do grupo Berkeley (ver, por exemplo, Rochlin et al., 1987). O grupo
estudou várias organizações bem-sucedidas por meio de estudos de campo muito
cuidadosos com a equipe participando de longas missões. Eles concluem que a alta
confiabilidade é explicada por um alto grau de aprendizado e auto-organização que é
facilitado pela rápida rotatividade de pessoal na marinha, em contraste com as expectativas
anteriores.
Em um estudo de porta-aviões, eles modelaram a mudança na estrutura
organizacional forçada por mudanças na situação operacional real. Eles foram capazes de
identificar três modos organizacionais distintos: uma organização de nível formal, uma
organização operacional de ritmo acelerado e uma organização de emergência. A
organização de alto ritmo caracterizou-se por ter um grau muito alto de redundância
funcional, protegendo contra erros e violações de recursos.
Em suma, as organizações que aprendem, como salientado por Weick (1977) e
Senge (1990a,b) torna-se um importante tópico de pesquisa. Em tudo isso, há também o
desejo de garantir o aprendizado organizacional em todos os níveis. De fato, para que toda
a organização ou sistema seja adaptável, é absolutamente necessário garantir a interação
entre os níveis. Não basta que ocorra uma mudança de planos ou ações: toda a
organização deve estar ciente disso, e ciente de suas implicações para os vários níveis e
subgrupos dentro da organização, em cada caso em uma linguagem adequada ao tipo de
decisões que precisam ser tomadas por essa parte da organização.
Pesquisa de Segurança do Trabalho

Teorias e modelos Design de tarefas e regras de conduta

normativos e seguras
prescritivos
Modelos descritivos em Estudos de erros (Altman, Chapanis, Gibson,
termos de desvios das Rasmussen, Rigby, Rook, Swain).
normas Comportamento gerencial "Menos do que
adequado" (Johnson). Erros de gestão,
patógenos residentes (Reason)
Modelos descritivos do Homeostase de risco (Wilde)
comportamento real Migração para acidentes (Rasmussen)
em termos de traços
comportamentais

Modelos em Termos de Prática Normativa.

Durante o período em que a “teoria da administração científica” e as teorias
behavioristas do desempenho dos trabalhadores eram predominantes, o comportamento da
tarefa era tipicamente controlado por instruções prescritivas e por campanhas de motivação.
A resposta aos erros era geralmente introduzir esquemas aprimorados de treinamento e
seleção para eliminar indivíduos “propensos a erros” e fazer o resto “se esforçar mais” por
meio de programas de “zero defeitos”.

Modelos de comportamento em termos de desempenho normativo e erros

Durante os anos 60 e 70 esse quadro está mudando. Pesquisadores e especialistas

em fatores humanos buscam uma descrição do processo de trabalho e a origem dos
acidentes e, portanto, surge o interesse pelo conceito de erro humano. Os acidentes foram
relacionados ao erro humano por vários especialistas em Fatores Humanos, por exemplo,
Altman (1970), Chapanis (1970) e Christensen (1972) durante a década de 60, e o uso do
conceito de erro humano na análise de acidentes foi desenvolvido através de uma série de
estudos de acidentes domésticos pelo American Research Institute.
Na busca de uma classificação dos processos de acidentes, os conceitos de energia
e barreiras como base para a análise de acidentes foram introduzidos por J. J. Gibson
(1961) que buscou uma abordagem comportamental para a análise de segurança e por
Haddon (1966) que que buscavam uma base para a medicina preventiva.
A confiança geral em um conceito de energia para controlar a segurança
ocupacional tem claramente pontos fracos, quando o conceito de energia é generalizado
para incluir várias categorias de formas de energia química, elétrica e cinética e o processo
de liberação de energia é generalizado para incluir queda, beliscão, cisalhamento , corte,
etc. Nesse caso, o modelo energético não pode levar a uma estratégia bem definida para
controle de perigos. No entanto, o conceito de energia mostrou-se eficaz como estratégia de
focalização da atenção e orientação da busca.
Quando os modelos do processo de acidente, como a propagação de liberações de
energia, são formulados em termos de cursos acidentais de eventos, então o foco estará
nas sequências comportamentais dos atores envolvidos. Este modelo de processos de
causa e liberação de acidentes introduz o pensamento sistêmico em segurança ocupacional
e convida a uma transferência dos conceitos e métodos desenvolvidos para sistemas de
alto risco para o trabalho geral de segurança ocupacional. Essa rota foi tomada por Johnson
(1973) do Conselho Nacional de Segurança dos EUA por meio de um contrato com a
Comissão de Energia Atômica dos EUA para "formular um conceito de sistemas ideal e
abrangente de acidentes e seu controle, e testar a utilidade do conceito de duas maneiras:
1) Desenho de um relatório de acidentes e técnica de análise melhorados 2)
Desenvolvimento de medidas melhoradas de desempenho de segurança.
Johnson adotou os resultados da análise sistemática do erro humano e tentativas de
estabelecer bases de dados que foram sistematicamente perseguidas por Rigby, Rook e
Swain para o estudo da confiabilidade humana na fabricação de armas nucleares durante o
início dos anos 60. A produção de armas nucleares é um processo rigidamente controlado e
pré-planejado e a descrição do comportamento humano real em termos de erros é um
parâmetro eficaz de planejamento e controle do trabalho.
Rigby (1970) discute detalhadamente o ponto de referência para julgamento de erros
e aponta para o fato de que tais referências são muito dependentes do contexto e da
situação:
“Assim, no sentido mais geral e mais prático, um erro humano é qualquer membro
de um conjunto de ações humanas que excede algum limite de aceitabilidade. discussão de
erro são definições tanto do conjunto de ações quanto dos limites de tolerância que definem
erros para essas ações”.
Assim, é preciso considerar que um erro só pode ser encontrado se existir um
padrão de julgamento e se um ato é julgado ou não um erro depende da perspectiva e da
referência de julgamento escolhida.
Os aspectos subjetivos e dependentes do contexto da análise de erros foram
posteriormente desenvolvidos (Rasmussen, 1990a, 1993c) com foco na ambiguidade
encontrada em qualquer análise causal. Em particular, a regra de parada aplicada para
identificar “causas raiz” depende do objetivo do analista (compreender o comportamento,
punir ou melhorar a segurança do sistema).
A combinação das duas visões básicas de que 1) os acidentes devem ser
entendidos em termos de um processo relacionado à energia e 2) o gerenciamento de
riscos, portanto, deve ser direcionado para o planejamento da rota de liberação levou
Johnson (1973) a focar na gestão como responsável pelo planejamento do contexto em que
os acidentes se desenrolam, ou seja, ele enfatizou o papel das decisões de gestão “menos
que adequadas” e desenvolveu o MORT - a ferramenta “Management Oversight and Risk
Tree tool for accident analysis”.
Mais tarde Reason (1990) concentrou a análise em erros de gestão e fatores
organizacionais, como “patógenos residentes”, tornando as organizações vulneráveis a
acidentes.

Modelos de comportamento real em termos de recursos de modelagem de

comportamento
 Esforços para melhorar a segurança, neutralizando as fontes de erro humano
identificadas pela análise causal de acidentes, tendem a ser ineficazes. As árvores causais
não são modelos da funcionalidade do sistema, apenas registros de casos particulares e
não incluem o efeito da adaptação compensatória das pessoas envolvidas.
Consequentemente, observa-se uma tendência ao estudo da segurança ocupacional em
termos de modelos de comportamento real sem referência a “erros”.
A necessidade de tal direção de pesquisa é claramente demonstrada pela
observação de que a adaptação humana frequentemente compensa as tentativas de
melhorar a segurança do sistema. Tal compensação foi encontrada na segurança do
trânsito, por exemplo, em resposta a freios de carro antibloqueio (Aschenbrenner et al.
1986, Status, 1994), e introdução de ciclovias separadas (Ekner, 1989). Na pesquisa
psicológica de tráfego, essa tendência tem sido chamada de “homeostase de risco”, ou
seja, adaptação que busca manter um nível estável de risco percebido (Wilde 1976, 1985).
Esta descoberta pode ser um artefato causado por um foco muito estreito de
comportamento de modelagem de acidentes e análise de erros. De acordo com o conceito
mais geral de adaptação ilustrado na figura 3, é provável que o desempenho seja mantido
próximo ao limite da perda de controle, em uma espécie de “homeostase”, sendo controlado
pela percepção de características de controle dinâmico da interação e não por um variável
abstrata como “risco”.
Um ponto de vista semelhante foi ressaltado por Taylor, que aplica uma análise
hermenêutica dos acidentes de trânsito. Ele observou que os motoristas tendem a tentar
manter sua excitação em um nível desejado e constante e, consequentemente, ir mais
rápido se as condições se tornarem muito pouco exigentes, a fim de gerar mais incidentes
de excitação (Taylor, 1981). Este ponto de vista combina muito bem com os argumentos
apresentados acima. A consequência extraída por Taylor (1987) é que a segurança no
trânsito é difícil de melhorar além de um certo limite. Ele critica a atual abordagem
“mecanicista” e argumenta que os acidentes não podem ser estudados em termos de
causas, mas devem ser analisados em termos de razões.
A conclusão desta discussão é que a segurança na interação direta com o ambiente
de trabalho deve ser baseada na identificação do limite do desempenho seguro pela análise
do sistema de trabalho e dos critérios que impulsionam a modificação adaptativa contínua
do comportamento. Os esforços de melhoria devem então ser direcionados para o controle
do desempenho em interação com o limite, não no controle de erros. Em outras palavras,
como argumentado neste artigo, precisamos de modelos de comportamento de indivíduos e
organizações em um nível mais alto do que tarefas e atos. Isso aponta para a pesquisa
básica em controle cognitivo do comportamento, como os paradigmas mencionados nas
seções anteriores.

Pesquisa de Acidentes Graves

Teorias e modelos Análise de risco e design de procedimentos

normativos e operacionais padrão
prescritivos
 Modelos descritivos Análise e quantificação de erro humano
em termos de desvios (Green, grupo OCDE, Swain)
das normas
Erros de gestão, patógenos residentes
(Reason)
Modelos descritivos de Migração para acidentes (Rasmussen)
comportamento real
Estudos de operadores de processo (Moray,
Rasmussen, Rouse, Woods).
Estudos de comportamento organizacional
(LaPorte, Rochlin)

Modelos de Tarefas Normativas e Instruções de Trabalho

A proteção de defesa em profundidade baseada em múltiplas barreiras e

dispositivos de proteção redundantes foi desenvolvida sistematicamente para sistemas
nucleares desde o início, porque experimentos em pequena escala são impossíveis (o
problema da massa crítica mínima). A análise preditiva de risco, baseada em modelos
estocásticos, foi desenvolvida inicialmente para avaliação de sistemas de segurança
redundantes, incluindo a influência de políticas de teste e reparo em sua disponibilidade
(Siddall, 1954, Jacobs, 1957). Na Europa, estudos de confiabilidade de sistemas de
segurança, baseados em modelos estocásticos (Rasmussen e Timmermann, 1962a,b)
mostraram que sistemas de segurança baseados em redundância poderiam ser facilmente
projetados para ter extrema confiabilidade, dadas as taxas de falhas dos componentes
disponíveis, desde que uma vez que são respeitadas certas restrições na política de
reparação e qualidade.
As instruções de trabalho para o pessoal de manutenção e os procedimentos
operacionais para os operadores foram desenvolvidos a partir do projeto funcional e da
análise de confiabilidade técnica relacionada. O desempenho foi controlado por
procedimentos operacionais padrão formais e treinamento efetivo (uso de simuladores).

Modelos em termos de desvios do desempenho normativo

No entanto, foram identificados problemas críticos de fatores humanos que iniciaram

estudos sobre o papel da interação homem-máquina e a confiabilidade humana. Muito
influentes foram as iniciativas de Eric Green da United Kingdom Atomic Energy Authority
(UKAEA) que começou a trabalhar na quantificação de erros de operador, inspirado no
trabalho de Alan Swain na produção de armas nucleares (Green et al.,1968; Green e
Bourne, 1972) .
Os desenvolvimentos de Swain foram muito influentes para a análise de risco
preditivo de instalações de energia nuclear (Swain, 1963, Swain e Guttmann, 1983). O
método de estimativa de confiabilidade - THERP (Technique for Human Error Rate
Prediction) - é focado na previsão da probabilidade de que um determinado procedimento
de tarefa seja finalizado com sucesso com base em dados de desempenho bem-sucedido
dos elementos individuais da tarefa. Em geral, a previsão era limitada à previsão da
probabilidade de sucesso em uma tarefa e, portanto, pode ser baseada em dados de erro
grosseiro, ou seja, se um ato foi realizado com sucesso ou não. Este é o objetivo primordial
da análise de desempenho relacionada à produção industrial e missões militares, e a
abordagem será adequada desde que sejam consideradas apenas tarefas rotineiras para as
quais se possa atingir um nível estável de treinamento e, portanto, uma tarefa "normal"
sequência identificada como referência para julgamento de erros. Este é realmente o caso
da manutenção das defesas das plantas de processo industrial e os métodos de previsão
da confiabilidade humana têm sido muito importantes neste contexto.
Também nossas análises de incidentes e acidentes em energia nuclear
(Rasmussen, 1969) apontaram para o problema de que os incidentes estavam, em grande
parte, relacionados a erro humano, não a falhas técnicas em sistemas de segurança. No
entanto, estudos sobre o papel dos operadores em acidentes industriais (Rasmussen, 1969)
e os casos encontrados nos "relatórios de eventos licenciados" às autoridades nucleares
dos EUA (Rasmussen, 1980) mostraram que as dificuldades em realizar um diagnóstico
confiável durante distúrbios também contribuem para acidentes. Não só a confiabilidade
humana durante tarefas pré-planejadas é importante, mas também precisamos incluir
tarefas cognitivas durante distúrbios raros em uma análise de confiabilidade humana. Essa
situação abriu dois novos caminhos de pesquisa. Um deles é o estudo do comportamento
do operador (interação homem-máquina), estratégias de diagnóstico e design de interface
adequado para controlar os mecanismos de erro humano. Outra questão foi que ficou claro
(Rasmussen, 1979) que não era suficiente prever a probabilidade de sucesso em uma
tarefa, a probabilidade de ações errôneas particulares e arriscadas também deveria ser
estimada e uma taxonomia mais elaborada era necessária.
A consequência disso foi a necessidade de uma taxonomia estruturada para
distinguir entre os diferentes "modos de erro" humanos a serem usados ​no planejamento da
coleta de dados práticos. Assim, foram tomadas iniciativas por Eric Green (UKAEA) para
organizar uma série de grupos de trabalho de especialistas em 'Análise de Eventos Raros'
(1976) e em 'Análise e Quantificação de Erros Humanos' (1977-81) sob o Comitê de
Segurança de Instalações (CSNI) da Organização Internacional para Cooperação e
Desenvolvimento Econômico (OCDE). O objetivo desses workshops foi sugerir uma
taxonomia de erro humano com base na análise detalhada de relatórios de eventos e
desempenho real do operador em usinas de energia. Apesar de tais esforços para obter
bases de dados úteis de taxas de erro humano, dados de erro confiáveis ​permaneciam
escassos, em parte devido às dificuldades em estabelecer a análise adequada dos dados
no local, em parte devido às dificuldades em definir e quantificar os denominadores das
taxas de erro, a frequência de oportunidades de erro.
A taxonomia da OCDE (Rasmussen et al. 1981) foi uma tentativa de descrever
“erros” em termos de “maus funcionamentos” humanos devido a mecanismos psicológicos
normalmente bem-sucedidos que, quando acionados sob certas circunstâncias, levavam ao
fracasso no desempenho da tarefa. Além disso, o evento e os estudos de campo lançaram
luz sobre a importância dos “erros latentes” remanescentes de testes inadequados,
calibração e trabalho de manutenção e a necessidade de usar as premissas feitas para a
análise de risco preditiva como base para o gerenciamento ativo de risco operacional
(Rasmussen, 1982).
Um grande problema com esta abordagem é que ela só é aplicável para as
instalações e tarefas para as quais dados empíricos estão disponíveis. Consequentemente,
várias tentativas foram feitas para obter dados de erro de outras fontes. Uma abordagem
tem sido a geração de dados por "julgamento especializado". Especialistas no assunto são
solicitados de forma estruturada para gerar frequências de erro e os dados são então
testados e verificados de diferentes maneiras. Esta abordagem foi avançada em particular
por Embrey et al. (1984).
Apesar de uma estratégia de projeto de “defesa em profundidade” amplamente
utilizada, os acidentes graves mais recentes em sistemas industriais de grande escala
parecem ser causados pela operação dos sistemas fora das pré-condições previstas para
operação segura durante períodos críticos com pressão excessiva de um mercado
competitivo. ambiente (Rasmussen, 1993b). Em consequência, uma importante questão de
pesquisa é o comportamento adaptativo das organizações sob pressão.

Modelos em termos de comportamento real de indivíduos e organizações

As análises de acidentes desta forma suscitaram um interesse fundamental em dois
temas complexos: 1) modelar o comportamento dos operadores e compreender as
dificuldades enfrentadas pelos operadores e pessoal de manutenção nos sistemas
existentes e 2) o papel das práticas de gestão na segurança do sistema.

1. Modelagem de Operadores e Estudos Homem-Máquina. Os estudos de relatórios de

eventos de licenciados do NRC subjacentes à estrutura da taxonomia da OCDE
também contribuíram para um modelo de controle cognitivo dos operadores de
atividades em situações rotineiras e raras (Rasmussen, 1980). Esta abordagem visa
um modelo teórico de controle para explicar os modos de erro encontrados nos
relatórios de eventos em termos de falha de processos de controle em um nível de
processamento de sinal, baseado em habilidades, resposta de sinais, baseado em
regras e um nível simbólico de resolução de problemas. Esse modelo serviu também
para facilitar a comunicação com a pesquisa psicológica básica.

Durante o final dos anos 60 e 70, uma atividade generalizada estava surgindo na
modelagem do desempenho do operador do processo durante a operação da planta
perturbada. Esses esforços foram refletidos em uma série de workshops do
NRC/IEEE sobre modelagem de operadores e design de salas de controle (ver
Schmall, 1979, Hall et al., 1981, Abbott, 1982) e em vários Institutos de Estudos
Avançados da OTAN (para uma revisão, consulte: Sheridan e Johannsen (1976)
sobre controle supervisório, Moray (1977) sobrecarga de trabalho, Rasmussen e
Rouse (1981) sobre diagnóstico.

2. Práticas de Gestão. O sucesso da estratégia de projeto de defesa em profundidade

depende de um gerenciamento de risco eficaz, um tópico abordado pelo grupo de
especialistas da NAS em "Necessidades de Pesquisa de Fatores Humanos em
Energia Nuclear" (Moray e Huey, 1988) e os workshops do Banco Mundial sobre
"Controle de Segurança e Gerenciamento de Risco" (Rasmussen e Batstone, 1989).
Esses workshops interdisciplinares foram focados no papel do erro humano na
gestão e uma interação próxima surgiu com a pesquisa organizacional e de gestão
para entender o problema da degradação sistêmica das defesas e os requisitos para
o funcionamento real das organizações em sistemas de alto risco (veja a discussão
também na seção sobre gestão e pesquisa organizacional).

IMPLICAÇÕES PARA PESQUISA E CONTROLE DO COMPORTAMENTO HUMANO

 Conforme ilustrado na figura 8, as mudanças paralelas convergentes dos
paradigmas de várias disciplinas são moldadas pelo aumento do interesse em conceitos
cognitivos e intencionais, mostrados no centro do diagrama, substituindo o foco anterior nas
abordagens mecanicistas e normativas em sua periferia. Esta é claramente uma
pré-condição muito promissora para a abordagem interdisciplinar proposta para o problema
do fracasso dos sistemas sócio-técnicos.
É importante considerar que as mudanças nas concepções usadas para a
representação do comportamento humano têm implicações importantes para o
desenvolvimento de meios para controlar o comportamento de indivíduos e organizações e,
portanto, para uma gestão de risco eficaz. em princípios derivados da psicologia ecológica
são candidatos importantes (Rasmussen e Vicente, 1990; Vicente e Rasmussen, 1992).

CONCLUSÃO

A gestão de riscos industriais, a proteção ambiental e a engenharia do ciclo de vida

para uma sociedade moderna, dinâmica e altamente integrada levantam alguns problemas
muito básicos relacionados ao comportamento de sistemas sociotécnicos adaptativos
sujeitos a um ritmo acelerado de mudança.
Questões específicas de pesquisa são o desenvolvimento de uma taxonomia de
fontes de risco e seus requisitos de controle, a interação vertical entre os tomadores de
decisão em todos os níveis da sociedade, como é encontrada para os vários domínios de
risco, e a influência dos modos de tomada de decisão naturalistas em suas respostas à
mudança e à pressão competitiva. Essas questões demandam uma pesquisa interdisciplinar
– o que não é sinônimo de necessidade apenas de pesquisa aplicada. Estamos diante de
várias questões básicas de pesquisa neste contexto.
Infelizmente, essa modalidade de pesquisa corresponde pouco às restrições da
pesquisa acadêmica e às atuais políticas de financiamento dos conselhos de pesquisa.
Nessa situação, um problema é a criação de uma comunidade de pesquisa interdisciplinar
que possa lidar com questões complexas de pesquisa de longo prazo sem as restrições dos
institutos acadêmicos e seu foco em estratégias de curto prazo e de posse.
Espera-se que a convergência de paradigmas encontrados em várias disciplinas
técnicas e acadêmicas facilite a pesquisa interdisciplinar no futuro e uma inspiração pode
ser a abordagem que a Fundação MacArthur aplicou com sucesso para pesquisa em saúde
pública (Kahn e Prager, 1994). Uma boa base para isso é a rede multidisciplinar mundial
criada pelos workshops anuais de Bad Homburg sobre “Nova Tecnologia e Trabalho”
(Wilpert, 1987-).

Referências:

Abbott, L. S. (Ed.) (1982): Proceedings of Workshop on Cognitive Modelling of Nuclear Plant

Control Room Operators, Dedham, Massachusetts, August 1982, NUREG/CR-3114.
Washington, D.C.: U.S. Nuclear Regulatory Commission.

Albert, D. (1985): Performance and Paralysis: The Organisational Context of the American
Research University. Journal of Higher Education, Vol. 56, No. 3, pp. 243280.
Altman, J. W. (1970): Behavior and Accidents. Journal of Safety Research, Sep. 1970.
Amendola, A. (1989): Planning and Uncertainties. Proceedings of the 2nd World Bank
Workshop on Risk management and Safety Control. Karlstad, Sweden: Rescue Services
Board.

Aschenbrenner, K. M., Biehl, B. and Wurm, G. M.(1986): Antiblockiersystem und

Verkerhssicherheit: Ein Vergleich der Unfallbelastung von Taxen Mit und Ohne
Antiblockiersystem. (Teilbericht von die Bundesanstalt für Strassenwesen zum
Forshungsproject 8323: Einfluss der Risikokompenzation aut die Wirkung von
Sicherheitsaussnahmen),. Mannheim, F.R. Germany. Cited in Wilde: G.S. (1988): Risk
Homeostasis Theory and Traffic Accidents: Propositions, Deductions, and Discussion in
Recent Reactions. Ergonomics. 31, 441468.

Baram, M. (1996): Generic Strategies for Protecting Worker Health and Safety: OSHA's
General Duty Clause and Hazard Communication Standard. Occupational Medicine: State of
the Art Reviews, Vol. 11, No. 1, January-March 1996.

Barley, S. R. (1988): On Technology, Time, and Social Order: Technically Induced Change in
the Temporal Organization of Radiological Work. In: F. A. Dubinskias (Ed.): Making Time;
Philadelphia: Temple Univ. Press.

Barnard, C. I. (1938): The Function of the Executive. Cambridge, Mass.: Harvard University
Press.

Bøgetoft P. and Pruzan, P. (1991): Planning with Multiple Criteria. Amsterdam: North
Holland. Brehmer, B. (1987): Models of Diagnostic Judgements. In: Rasmussen, J., Duncan,
K. and Leplat, J. (Eds.): New Technology and Human Error, Wiley and Sons.

Brehmer, B. (1992): Dynamic Decision Making: Human Control of Complex Systems. Acta
Psychologica, 81, 211241.

Brunswik, E. (1952): The Conceptual Framework of Psychology. Chicago: Chicago Univ.

Press. Chapanis, A. (1970): The Error Provocative Situation. Symposium on Measurement
of Safety. National Safety Council, 1970.

Christensen, J. (1972): Overview of Human Factors in Design. National Safety Congress.

1972. Clark, B. R., (1956): Adult Education in Transition, Berkeley: University of California
Press.

Cyert, R. M. and March, J. G., (1963): A Behavioral Theory of the Firm, Englewood Cliffs,
NJ.: Prentice Hall, Inc.

Edwards, W., and A. Tversky. (1976). Decision Making. Baltimore; Penguin Books.

Ekner, K. V. (1989): On: 'Preliminary safety related experiences from establishment of

bicycle paths in Copenhagen, 1981-83'. Technical Report, In Danish. Copenhagen:
Stadsingniørens Direktorat.
Embrey, D. E.; Humphreys, P.; Rosa, E. A.; Kirwan, B. and Rea, K. (1984): Slim-Maud: An
Approach to Assessing Human Error Probabilities Using Structured Expert Judgement.
NUREG/CR-3518 BNL-NUREG-51716.

Engwall, L., (1986): Newspaper Adaptation to a Changing Social Environment: A Case

Study of Organizational Drift as a Response to Resource Dependence. European Journal of
Communication, 1, September, pp. 327341.

Estonia. (1995): Accident Investigation Report; Part Report covering technical issues on the
capsizing on 28 September 1994 in the Baltic Sea of the ro-ro passenger vessel MV
ESTONIA. The Joint Accident Investigation Commission. Stockholm: Board of Accident
Investigation

Flach, J., Hancock, P., Caird, J., and Vicente, K. (Eds.) (1994): Ecology of Human-Machine
Systems: A Global Perspective. Hillsdale, N. J.: Lawrence Erlbaum.

Fujita, (1991): What Shapes Operator Performance? JAERI Human Factors Meeting, Tokyo,
November, 1991. To appear in International Journal of Man-Machine Studies: "Data,
Keyholes for the Hidden World of Operator Characteristics.

Gibson, J. J. (1961): Contribution of Experimental Psychology to Formulation of the Problem

of Safety. In: Behavioural Approaches to Accident Research. London: Assn. for the Aid of
Crippled Children.

Gibson, J. J. (1966). The senses considered as perceptual systems. Boston: Houghton

Mifflin.

Gibson, J. J. (1979). The ecological approach to visual perception. Boston: Houghton Mifflin.

Gibson, J. J. and Crooks, L. E. (1938): A Theoretical Field Analysis of Automobile Driving.

The American Journal of Psychology, Vol. LI, July, 1938, No. 3. Pp 453471.

Green, E., and Bourne, A. J. (1972): Reliability Theory. London: Wiley.

Green, E., Marshall, J. and Murphy, T. (1968): Preliminary Investigation into the Time
Response of Operators. UKAEA: Internal Document.

Gulick, L. and Urwick, L. (eds.), (1937): Papers on the Science of Administration, New York:
Institute of Public Administration.

Haddon, W. Jr. (1966): The Prevention of Accidents. Preventive Medicine. Boston Ma: Little,
Brown and Co.
Hale, A. R., Kirwan, B. Guldenmund, F., and Heming, B. (1996): Capturing the River: Multi-
level Modelling of Safety Management. Second ICNPO Conference on Human Factors and
Safety. Berlin, Nov. 1996. To be published.

Hall, R. E., Fragola, J. R. and Luckas, J. L. (Eds.) (1981): Proceedings of the 1981 IEEE
Standards Workshop on Human Factors and Nuclear Safety, Myrtle Beach, August-
September, 1981. New York: IEEE

Hammond, K. R., G. H. Mcclelland, and J. Mumpower. (1980). Human Judgment and

Decision Making. New York: Hemisphere Publishing, Frederick A. Praeger.

Jacobs, I. N. (1957): Safety Systems for Nuclear Power Reactors. AIIE-Pacific General
Meeting. Paper 57-906.

Johnson, W. (1973): MORT The Management Oversight and Risk Tree Analysis. Tech.
Report SAN 8212. Washington: US. Atomic Energy Commission

Kahn, R. L. and Prager, D. J. (1994): Interdisciplinary Collaborations are a Scientific and

Social Imperative. The Scientist; July 11, 1994

Keeney, R. L., and H. Raiffa. (1976). Decisions with Multiple Objectives, Preferences and
Value Trade-offs. New York: John Wiley & Sons.

Klein, G., J. Orasanu, R Calderwood and C. E. Zsambok (Eds.) 81994): Decision Making in
Action: Models and Methods. Norwood, NJ: Ablex.

Leveson, N. G. (1995): Safeware: System Safety and Computers. Reading, Mass.: Addison-
Wesley.

Lewin, K. (1956): Field Theories in Social Science. New York: Harper and Row. March,

J. G. and Simon, H. A., (1958): Organizations, New York: Wiley.

Moray, N. (Ed.) (1977): Mental Workload. Plenum Press, New York.

Moray, N., and B. Huey (Eds.), 1988. Human Factors Research and Nuclear Safety, National
Academies Press, Washington, DC,.

Parsons, T. (1960): Structure and Process in Modern Society, New York: The Free Press of
Glencoe.

Rasmussen J. and W. B. Rouse (Eds.) (1981): Human Detection and Diagnosis of System
Failures. New York: Plenum Press.
Rasmussen, J. (1969): Man-Machine Communication in the Light of Accident Record.
Presented at International Symposium on Man-Machine Systems, Cambridge, September 8-
12, 1969. In: IEEE Conference Records, 69C58-MMS, Vol. 3.

Rasmussen, J. (1979): Notes on Human Error Analysis and Prediction. In: G. Apostolakis
and G. Volta (Eds.): Synthesis and Analysis Methods for Safety and Reliability Studies.
Plenum Press, London, 1979.

Rasmussen, J. (1980): What can Be Learned from Human Error Reports. In: K. Duncan, M.
Gruneberg and D. Wallis (Eds.): Changes in Working Life. John Wiley & Sons, 1980.

Rasmussen, J. (1982): Human Factors in High Risk Technology. In: E. A. Green (Ed.): High
Risk Safety Technology. John Wiley & Sons Ltd. London, 1982.

Rasmussen, J. (1983): Skill, Rules and Knowledge; Signals, Signs, and Symbols, and other
Distinctions in Human Performance Models. IEEE Transactions on Systems, Man and
Cybernetics. Vol. SMC-13, No. 3, 1983.

Rasmussen, J. (1990a): Human Error and the Problem of Causality in Analysis of Accidents.
Phil. Trans. R. Soc. Lond. B 327, 449462.

Rasmussen, J. (1990b): The role of Error in Organizing Behavior. Ergonomics, 1990, vol. 33,
Nos. 10/11, 11851190.

Rasmussen, J. (1992): Use of Field Studies for Design of Work Stations for Integrated
Manufacturing Systems. In: Helander, M. and Nagamachi, M. (Eds.), (1992): Design for
Manufacturability: A Systems Approach to Concurrent Engineering and Ergonomics.
London: Taylor & Francis.

Rasmussen, J. (1993a): Deciding and Doing: Decision Making in Natural Context. In: Klein,
G., Orasano, J., Calderwood, R. and Zsambok, C. E. (Eds.), (1993): Decision Making in
Action: Models and Methods. Norwood, NJ: Ablex Publishing.

Rasmussen, J. (1993b): Market Economy, Management Culture and Accident Causation:

New Research Issues? Proceedings Second International Conference on Safety Science.
Budapest: Meeting Budapest Organizer Ltd.

Rasmussen, J. (1993c): Perspectives on the Concept of Human Error. Keynote address at:
"Human Performance and Anaesthesia Technology." Society for Technology in Anaesthesia.
Conference: New Orleans, February 1993

Rasmussen, J. (1994a): Complex Systems, Human Factors, and Design of Teaching

Curricula. Invited contribution to Festschrift for Professor Bernotat. In: Gärtner, K. P., Stein,
W. and Widdel, H. (Eds.) (1994): Mensch Maschine Systeme und Neue
Informationstechnologien. Aachen: Verlag der Augustinus Buchhandlung.
Rasmussen, J. (1994b): Risk Management, Adaptation, and Design for Safety. In: Sahlin, N.
E. and B. Brehmer (Eds.): Future Risks and Risk management. Dordrecht: Kluwer. 1994.

Rasmussen, J. (1994c): Taxonomy for Work Analysis. In: Salvendy, G. and Karwowski, W.,
(Eds.): Design of Work and Development of Personnel in Advanced Manufacturing. Human
Factors in Advanced Manufacturing. New York: Wiley-Interscience.

Rasmussen, J. and Batstone, R. (Eds.) (1989): Why do Complex Organizational Systems

Fail? Summary Proceedings of a Cross Disciplinary Workshop on "Safety Control and Risk
Management", Washington DC: World Bank.

Rasmussen, J. and K. J. Vicente (1990): : Ecological Interfaces: A Technological Imperative

in High tech systems? International Journal of Human Computer Interaction 2(2)93111
(1990).

Rasmussen, J. and P. Timmermann (1962): Safety and Reliability of Reactor Instrumentation

with Redundant Instrument Channels. Risø Report No. 34, January 1962.

Rasmussen, J., Pejtersen, A. M. and Goodstein, L. P. (1994): Cognitive Systems

Engineering. New York: Wiley.

Rasmussen, J.: Brehmer, B. and Leplat, J. (Eds.) (1991): Distributed Decision Making:
Cognitive Models for Cooperative Work. London: John Wiley and Sons.

Rasmussen, J.: O. M. Pedersen, G. Mancini, A. Carnino, M. Griffon and P. Gagnolet (1981):

Classification System for Reporting Events Involving Human Malfunction. Risø-M-2240,
1981.

Reason, J. T. (1990): Human Error. Cambridge: Cambridge University Press.

Rees, S. and Rodley, G. (Eds.) (1995): The Human Costs of Managerialism: Advocating the
Recovery of Humanity. Leichhardt NSW: Pluto Press of Australia.

Rigby, L. W. (1970): Nature of Error. Tech. Report. Sandia Lab.

Rochlin, G. I., La Porte, T. R., and Roberts, K. H., (1987): The Self Designing High Reliability
Organization: Aircraft Carrier Flight Operations at Sea, Naval War College Review, Autom
1987.

Roethlisberger, F. J. and Dickson, W. J. (1939): Management and the Worker. Cambridge,

Mass.: Harvard University Press.

Rook, L. W. (1962): Reduction of Human Error in Industrial Production, Tech. Rep. Sandia
Lab, June, 1962.
Savage, C. M. and Appleton, D. (1988): CIM and Fifth Generation Management; In: Fifth
Generation Management and Fifth Generation Technology. SME Blue Book Series,
Dearborn, Michigan: Society of Manufacturing Engineers.

Schiavo, M. (1997): Flying Blind, Flying Safe, New York: Avon Books. For reviews see TIME
Magazine, 31 March,1997, pp. 38-48 and 16 June, pp. 56-58, 1997.

Schmall, T. M. (Ed.) (1979): Proceedings of the 1979 IEEE Standards Workshop on Human
Factors and Nuclear Safety, Myrtle Beach, December 1979. New York: IEEE

Selznick, P. (1949): TVA and the Grass Roots. Berkeley, Calif.: University of California Press.
Senge, P. M. (1990a): The Fifth Discipline: The Art and Practice of The Learning
Organization. New York: Doubleday Currency

Senge, P. M. (1990b): The Leader's New Work: Building Learning Organizations. Sloan
Management Review, No. 7, Fall 1990

Shell, (1992): A Study of Standards in the Oil Tanker Industry, Shell International Marine
Limited; May 1992.

Sheridan, T. B. and G. Johannsen (Eds.) (1976): Monitoring Behaviour and Supervisory

Control. Plenum Press: New York,

Siddall, E. (1954): A Study of Serviceability and Safety in the Control System of the NRU
Reactor. Tech. Report AECL 399 (CRNE 582). Toronto: AECL

Simon, H. A. (1957): Administrative Behavior. New York: Macmillan.

Simon, H. A. (1957): Models of Man, Social and Rational. New York: John Wiley and Sons.

Status (1994): What Antilocks Can Do, What they Cannot Do. Status, Vol. 29, No. 2, January
1994, pp. 1-5. Arlington, VA: Insurance Institute for Highway Safety.

Stenstrom, B (1995): What Can We Learn from the ESTONIA Accident? Some observations
on technical and human shortcomings. The Cologne Re Marine Safety; Seminar Rotterdam;
2728 April 1995.

Svedung, I. and Rasmussen, J. (1996): Representation of Accident Scenarios. To be

published

Swain, A. D. (1963): A Method for Performing Human Factors Reliability Analysis.

Monograph- 685. Albuquerque NM: Sandia Corp.

Swain, A. D. and Guttmann, H. E. (1983): Handbook on Human Reliability Analysis with

Emphasis on Nuclear Power Plant Applications. NUREG/CR1278, USNRC.
Taylor, D. H. (1981): The Hermeneutics of Accidents and Safety. Ergonomics, Vol. 24, No. 6,
487495. Also in: Rasmussen, J., Duncan, K. and Leplat, J. (Eds.): New Technology and
Human Error, Wiley and Sons.

Taylor, D. H. (1987): The role of Human Action in Man Machine Systems. In: Rasmussen, J.,
Duncan, K. and Leplat, J. (Eds.): New Technology and Human Error, Wiley and Sons.

Taylor, F. W. (1911): Scientific Management. New York: Harper and Row.

Taylor, J. R. (1994): Risk Analysis for Process Plant, Pipelines, and Transport. London: E &
FN Spon.

Thompson, J. D. (1967): Organizations in Actions. New York: McGrawHill.

Tversky, A., and D. Kahneman. (1974). Judgment under uncertainty: Heuristics and biases.
Science. 185, 11231124.

Vicente et al. (1995): A Field Study of Operator Cognitive Monitoring at Pickering Nuclear
Generating Station. Tech. Report CEL 9504. University of Toronto: Cognitive Engineering
Laboratory.

Vicente, K. J. and Rasmussen, J. (1992): Ecological Interface Design: Theoretical

Foundations. IEEE Trans. SMC, Vol. 22, No. 4, pp 589 607, July/August 1992.
Visser, J. P. (1991): Development of Safety management in Shell Exploration and
Production. Contribution to '91 Bad Homburg Workshop on Risk Management. Published in:
Brehmer, B. and Reason, J. T. (Eds.): In Search of Safety. Hove, UK: Lawrence Earlbaum.

von Neuman, J. and Morgenstein, O. (1944): Theory of Games and Economic Behavior.
(Reissued 1980) .

Waldrop, M. M. (1987). Computers Amplify Black Monday. Science, Vol. 238, p. 602-604

Weber, M., (1947): The Theory of Social and Economic Organization. A. M. Henderson and
Talcott Parsons (trans.)and Talcott Parsons (ed.), New York: The Free Press of Glencoe.

Weick, K. (1977): Organization Design: Organizations as Self-designing Systems.

Organizational Dynamics, Autumn, p. 32-46.

Wilde, G. J. S. (1976): Social Interaction Patterns in Driver Behaviour: An Introductory

Review. Human Factors, 18(5), 477492.

Wilde, G. J. S. (1985): Assumptions Necessary and Unnecessary to Risk Homeostasis.

Ergonomics, Vol. 28, No. 11, pp. 1531-1538.

Wilpert, B. (Ed.), (1987-): New Technology and Work Series. London: Wiley