AMPLIANDO LA BSQUEDA DE CAUSAS DE ACCIDENTES.

UN MARCO TERICO Extracto traducido del original en ingls, del libro "Beyond Aviation Human Factors." escrito por James Reason, Ashgate, 1995.

ERRORES COLECTIVOS O INDIVIDUALES?

Este tema tiene una cantidad de dimensiones relacionadas. La primera es de ndole moral, referida a la culpa, responsabilidad o carga legal. La segunda es cientfica, tiene que ver con la causa y efecto en una secuencia accidental de eventos. La tercera es enteramente prctica, y tiene que ver con los aspectos que, colectivos o individuales, llevan a contramedidas ms eficientes.

La dimensin moral:

Desde una perspectiva legal o moral, hay mucho que ganar al buscar un individuo responsable en vez de hacer una aproximacin colectiva a las causas del accidente. Las razones son las siguientes: Es mucho ms fcil sealar la responsabilidad legal por un accidente vinculado a los errores o violaciones de aquellos directamente en control de las operaciones en el momento del mismo. La conexin entre las acciones de ellos y el evento es mucho ms fcilmente demostrable que la conexin con decisiones gerenciales tomadas tiempo atrs. Esto fue claramente demostrado en el juicio por el hundimiento del Herald of Free Enterprise. Se facilita an ms por el hecho de que los profesionales tales como capitanes, comandantes, CTA etc., aceptan dicha responsabilidad. A ellos se les da autoridad, poder y prestigio acorde a la tarea, y se hacen cargo del problema. Tradicionalmente la culpa termina en ellos. La mayora de las personas enfatizan la libre autodeterminacin o libre albedro. Del mismo modo se lo imputamos a otros y se asume que si eligi tal curso de accin en vez de uno ms seguro es el responsable. En otras palabras, tendemos

a percibir los errores de los otros como teniendo un elemento intencional, particularmente cuando por su entrenamiento "deberan saberlo". Tendemos a pensar que resultados catastrficos son el resultado de acciones del mismo tipo. En realidad la magnitud del desastre est determinada ms por los factores situacionales que por al extensin del error. Muchos accidentes graves han ocurrido a partir de la concatenacin de pequeos factores en diferentes partes del sistema (por ejemplo Tenerife) Finalmente, es innegable que existe una mayor satisfaccin cuando se tiene alguien a quien inculpar (ms bien que a algo) cuando algo sale mal. Muy pocos de nosotros somos resistentes a la tentacin de adjudicar nuestros errores a algn chivo expiatorio. Y en el caso de instituciones, hay tambin razones econmicas por las cuales adjudicarle la culpa a alguien en particular que a toda la organizacin. La dimensin cientfica:

Debera uno terminar con la investigacin una vez identificado la falla humana inmediata o es ms cientficamente apropiado rastrear las races organizacionales? La respuesta parece obvia. En el sentido de adquirir una mejor y ms acertada representacin del estado de cosas, es mejor encontrar todos los factores sistmicos responsables del accidente. Pero, no es tan simple. Examinemos algunos de los problemas:

Por qu deberamos detenernos en las races de la organizacin en vez de seguir hasta el Big Bang? Es una arbitrariedad cortar el anlisis en la propia organizacin. Hay un truco para salir de este galimatas, pero es ms prctico que cientfico. Al buscar las causas de un accidente, debemos ir tan lejos como podamos para identificar las causas, y en caso de poder corregirlas, mejorar la seguridad y resistencia del sistema para enfrentar desafos subsiguientes. Las personas mejor ubicadas para este anlisis estn en las propias

organizaciones por eso es apropiado parar el anlisis en los limites de las mismas. Sin embargo, esos lmites a veces son difusos porque las organizaciones se interrelacionan entre s. Quizs, el problema cientfico ms serio, sin embargo, tiene que ver con la peculiar naturaleza de los accidentes y con la forma en que ellos cambian nuestra percepcin de los eventos precedentes. En retrospectiva, un accidente parece ser el punto de convergencia de una cantidad de factores encadenados. Mirando esta cadena de factores causales, nuestra percepcin est coloreada por el conocimiento previo de que han conducido a un accidente. Como consecuencia, esos factores adquieren una significacin siniestra. Pero si congelramos cualquier sistema en cualquier momento sin que haya ocurrido un accidente, podremos ver imperfecciones muy similares, fallas latentes y problemas tcnicos. Ningn sistema es perfecto. Lo nico que les da a estas debilidades del sistema una significacin causal es que en unos pocos eventos intensamente investigados, han aparecido en la cadena de eventos. Si estos factores latentes siempre existen, no deberamos limitarnos a los actores finales causantes del desastre? Ya que despus de todo nadie niega que sus errores o violaciones desencadenaron el evento. La dimensin correctiva: En el frente legal hay mucho de esta aproximacin individualista. El tema cientfico no est resuelto an. Luego Dnde estamos parados en la cuestin de la prevencin de accidentes? La respuesta depende de dos factores cruciales:

1. Si se pueden, o no, detectar factores organizacionales y gerenciales que pueden ser identificados y corregidos, y 2. El grado en que esas intervenciones pueden mejorar la resistencia natural del sistema a los factores productores de accidentes. Introduccin al marco terico: Recientes estudios de la injerencia de los factores humanos en las causas de accidentes revelan que se ha incrementado desde los aos 60 hasta los 90 de un 20% a un 80%. El estudio tambin revela que no se refiere slo al personal que

est en la "lnea de fuego" del control de los sistemas operativos. Los accidentes estudiados implican tambin a la organizacin en su totalidad y muchas veces con fallas que precedieron al evento en varios aos. El desafo ahora es construir el marco terico para interpretar los accidentes ocurridos y prevenir nuevos, en el seno de los sistemas socio-tcnicos.

El primer peldao: La primera pregunta para hacerse es, qu es lo que tienen en comn todas esas organizaciones tecnolgicas bien defendidas? Todas las tecnologas complejas trabajando en condiciones peligrosas tienen los siguientes elementos: Procesos organizacionales y sus respectivas culturas asociadas, una variedad de diferentes lugares de trabajo que incluyen condiciones laborales propias, y, defensas, barreras y salvaguardias, diseadas para proteger a la gente, la propiedad y el entorno de los posibles peligros locales. Cada uno de estos elementos se ver en detalle.

Procesos organizacionales Aunque todas las organizaciones existen dentro de un contexto econmico, poltico y legislativo, es sensato confinar los elementos tericos bsicos a aquellos sobre los cuales la organizacin puede operar o tiene control directo. Otra razn es la ofrecida por Vaughan (1990) en el anlisis del accidente del Challenger, donde muestra los lmites organizacionales: "Todas las organizaciones tienen, en grados diversos, lmites auto-impuestos. Desde la estructura fsica reforzada por normas que protegen la privacidad y la asla de otras organizaciones y del entorno. La naturaleza de las transacciones tambin los asla y protege de extraos dejando salir slo pequeos trozos de informacin de manera compleja y difcil de monitorear. De modo que aunque las organizaciones se asocian a otras, retienen elementos de autonoma que enmascaran la conducta organizacional". Tambin se usa con frecuencia la expresin CULTURA ORGANIZACIONAL que la

han definido as: "La cultura de una organizacin puede ser definida como un conjunto de valores, creencias, normas y presunciones fundamentales, raramente articuladas y principalmente inconscientes, que la propia organizacin crea de s misma, de su gente y entorno. En efecto, la cultura es el conjunto de "reglas no escritas" que gobiernan los "comportamientos aceptables" dentro y fuera de las organizaciones" (Mitroff et al, 1989.) "Valores compartidos (qu es lo importante) y creencias (cmo funciona esto) que interactan con la estructura de la organizacin y los sistemas de control para producir normas de comportamiento (la forma en que hacemos las cosas aqu) (Uttal, 1983.) La cultura pues, comprende aquellas actitudes y creencias que emergen de, pero a su vez conforman, la manera en que la organizacin hace sus cosas. Los factores culturales se establecen a lo largo del tiempo y cuesta mucho cambiarlos. Su influencia es amplia y permea todas las instancias de la organizacin Las influencias culturales estn diseminadas por toda la organizacin de diversas maneras y modelan las actitudes y conductas del personal. Las decisiones de alto nivel estn influenciadas por factores externos polticos y econmicos. Sin embargo, y a los efectos de este anlisis, ellas representan el punto de inicio comn para varios de los senderos fallidos que veremos. Son las races causales que permitirn el desarrollo hacia procesos catastrficos. Suele tomarse como axiomtico que las decisiones estratgicas ocasionarn consecuencias negativas sobre la seguridad de algn sector del sistema. Esto no quiere decir que todas las decisiones sean defectuosas. Pero an aquellas consideradas buenas, con el tiempo pueden generar debilidades en la seguridad, particularmente cuando implican una in equitativa asignacin de recursos o cuando implican la presuncin de incertidumbres futuras. Hay que enfatizar que esto no implica trasladar la culpa del frente operativo al frente gerencial. Ms bien tiende a reconocer que, no importa cun duro tratemos, no podemos esperar eliminar las consecuencias indeseables de las decisiones estratgicas. Lo importante aqu es no tanto prevenir que estos "patgenos

residentes" se implanten, sino hacer que sus consecuencias negativas se hagan visibles a aquellos que administran y operan el sistema. Entre otras cosas, el vrtice estratgico de la empresa es responsable de (a) disear, equipar y administrar los diversos lugares donde se realiza el trabajo, y (b) proveer defensas contra los peligros organizacionales previsibles. Consideraremos ambos puntos ahora.

CONDICIONES LABORALES LOCALES: Las condiciones laborales locales son los factores que afectan la eficiencia y confiabilidad del rendimiento humano en cada contexto laboral especfico. Tanto puede ser un cockpit del Concorde, como la torre de control de un aeropuerto, la lnea de ensamblaje de la Boeing, un taller, es decir, cualquier lugar en el que un grupo de personas y sus supervisores estn comprometidos en tareas de riesgo. La teora sostiene que las consecuencias negativas de las decisiones del ms alto nivel, (Ej. presupuesto inadecuado, planeamiento deficiente, escaso personal, presiones de tiempo tanto en lo comercial como en lo operativo, etc.) son transmitidos a travs de varias vas organizacionales hacia los lugares de trabajo. All, crean las condiciones que promueven los actos inseguros. Muchos de estos actos inseguros sern cometidos, pero pocos violarn las defensas para transformarse en accidentes. Con el propsito de examinar cmo esas condiciones laborales locales contribuyen a actos inseguros (errores y violaciones), es conveniente dividirlos en dos grupos interactivos: aquellos factores relacionados al rea y su contexto inmediato, y aquellos relacionados al estado fsico y mental del personal. Estos factores vinculados al trabajo o a los factores personales pueden a su vez ser subdivididos en tres grupos: factores de error, factores de transgresiones y factores comunes a ambos, errores y transgresiones. Esta categorizacin se muestra en la figura siguiente y algunos de los principales factores se enlistan a continuacin. Estas listas no son exhaustivas pero indican las principales influencias situacionales sobre la comisin de errores y transgresiones.

La teora sostiene que cualquier falla organizacional es capaz de crear las condiciones necesarias tanto para los errores como para las transgresiones. Slo cuando buscamos secuencialmente desde las condiciones organizacionales hasta las condiciones y defensas laborales locales, aquellos factores condicionantes se harn evidentes y fcilmente detectables y discriminables, aunque siempre habr factores comunes a los errores y las transgresiones.

DEFENSAS, BARRERAS Y SALVAGUARDIAS Recursos destinados a remover, mitigar o protegerse contra los peligros organizacionales consumen hoy en da gran parte de los recursos de las organizaciones dedicadas a actividades e riesgo. Estas actividades defensivas son tan diversas y diseminadas que a veces resulta difcil diferenciarlas de las partes no-defensivas del sistema. Frente a esto, los dos elementos productivos ms importantes de las organizaciones de alta tecnologa (energa nuclear, o plantas qumicas) son los sistemas automatizados de control y los operadores humanos. Ambos ejercen funciones defensivas esenciales. La automacin, est para incrementar la eficiencia y la seguridad de la planta al tomar funciones que antes ejerca el operador humano, pero en forma variable y falible. Los operarios estn para restaurar la planta a un estado de seguridad en casos de accidentes que van ms all de la tecnologa inteligente o del diseo. Lo propio es cierto -en otra escala- en los cockpits de los modernos aviones automatizados. Aunque la tecnologa digital actual es muy inteligente, todava no puede pensar "por s misma" como los humanos. De modo que se deja a los operadores para que se ocupen de las emergencias no previstas en menos que ideales condiciones, algo que pueden hacer mejor que las computadoras, aunque no siempre. En algunas ocasiones los humanos aportan soluciones originales (Sioux City, Davies-Besse, etc.), pero en otras ellos empeoraron las cosas ya de por s peligrossimas (TMI, Chernobyl, etc.) Para complicar an ms la irona, suele ocurrir que los operadores estn atrapados en sus poco exitosos intentos por las inadecuaciones de las defensas tanto del diseo como de los procedimientos.

Las defensas, barreras y salvaguardias pueden clasificarse segn dos dimensiones relativamente independientes: (a) las funciones que tienen y, (b) los modos de aplicacin dentro de la organizacin.

FUNCIONES:

peligrosas.

s anormales y restaurar el sistema a un estado de seguridad.

MODOS DE APLICACIN: dos (alarma de proximidad del terreno, autopiloto, deteccin automtica y apagado de un reactor, etc.)

destinadas a promover las prcticas laborales estandarizadas y seguras. how de las tareas locales)

habilidades tcnicas, conciencia de seguridad y conocimiento sobre seguridad)

No existe tal cosa como un perfecto equipamiento de defensas contra todas las

eventualidades. Muchos de los atajos sern consecuencia directa de los procesos de toma de decisin organizacional. Tales imperfecciones incluyen las ausencias de defensas necesarias y las debilidades en las existentes. En conjunto conforman el grueso de las fallas latentes del sistema.

FALLAS ACTIVAS Y LATENTES: SEGUNDO ESCALN

Cuando hay humanos involucrados en un sistema complejo, habr fallas. Las fallas pueden ocurrir en el lugar de trabajo o en relacin con las defensas. El siguiente paso en el proceso de construir esta teora, muestra las diversas fallas activas ocurriendo en varios lugares de trabajo. Las fallas latentes, por otro lado, estn principalmente asociadas con debilidades o ausencias de las defensas. Las fallas activas se distinguen de las latentes de dos maneras. La primera es el tiempo que demoran en poner de manifiesto su efecto adverso sobre la integridad del sistema. Las fallas activas tienen un impacto inmediato, mientras que las fallas latentes pueden permanecer larvadas por largos perodos, a veces aos, antes de combinarse con fallas activas y eventos gatillos locales, para romper las defensas del sistema. La segunda distincin, claramente depende de la primera, y est vinculada a quien crea estas fallas. Las activas son cometidas por aquellos en contacto directo con el sistema: los que estn "en la lnea de fuego" (pilotos, controladores, operarios, etc.) Las fallas latentes, en cambio, derivan de decisiones tomadas en las esferas gerenciales y organizacionales. Son personas separadas en tiempo y espacio de la interface humano - sistema. Las fallas humanas activas son errores o violaciones cometidas por los que estn en "la lnea de fuego del sistema". Normalmente las consecuencias de estas fallas son evitadas por los mismos actores y no hay consecuencias. En algunas ocasiones, esas fallas acontecen en coincidencia con alguna falla de las defensas y se produce un accidente. Cuanto menos defendido est un sistema ms probabilidades habr que se produzca un accidente. Hay ocasiones en que las fallas activas producen un by-

pass de las defensas y estas no pueden actuar (no deshelar el avin en Dryden antes) Las fallas latentes son defectos es el sistema de defensas, barreras y salvaguardias, cuyo peligro potencial preexista bastante tiempo antes del inicio de la secuencia de eventos que conducen al accidente, aunque por lo general sin ningn efecto manifiesto. Pero, cuando estas fallas latentes se combinan con fallas activas o gatillos locales (o ambos) para crear la trayectoria de la oportunidad de un accidente (a veces slo por unos momentos) se alinean y atraviesan todas las defensas. Son estas circunstancias, cuando se alinean las fallas y los defectos de las defensas cuando se producen los eventos. La mayora de las fallas latentes slo se descubren cuando una defensa o barrera ha fallado. Sin embargo, esto no quiere decir que es necesario esperar hasta la ocurrencia de un accidente para que se pongan de manifiesto. El propio desarrollo de las operaciones, afortunadamente, aporta una cantidad de "lecciones gratis". En las cuales una defensa o una barrera aparecen como defectuosas sin haber provocado un accidente. Mientras que muchas fallas latentes, slo se manifiestan retrospectivamente, el potencial de un sistema de generar fallas latentes se puede determinar prospectivamente. El nmero de fallas latentes en un sistema ser una funcin del estado de salud de la seguridad de la organizacin en general. El estado de salud de la seguridad se puede evaluar a intervalos regulares mediante parmetros de la actividad organizacional. Esto se discutir ms adelante. Las fallas latentes o activas tambin difieren en las bases necesarias para su clasificacin. Mientras las fallas activas se categorizan de acuerdo a su origen psicolgico, las fallas latentes deben ser descriptas en trminos sistmicos. Ambas explicaciones se detallan a continuacin:

CLASIFICACIN DE FALLAS ACTIVAS:

A los efectos de efectuar una clasificacin aplicable a la prctica, de las fallas humanas, primero es necesario distinguir los diferentes niveles en los que la gente

realiza sus tareas. Son tres: comportamiento basado en habilidades o destrezas comportamiento basado en reglas comportamiento basado en conocimientos El comportamiento humano est conformado tanto por factores personales (o psicolgicos) y situacionales. Luego, podemos distinguir los tres niveles de comportamientos en esas dos dimensiones, una que tiene que ver con la manera en que controlamos nuestras acciones, y la otra relacionada a s la situacin o contexto en que la efectuamos es rutinaria o problemtica. Estas dos dimensiones conscientes / automticas y rutinarias / problemticas definen un espacio activo" en el cual podemos dibujar los tres niveles de comportamiento: En el mbito de las conductas basadas en destrezas, las desarrollamos rutinariamente, estn sobre-aprendidas y en gran medida automatizadas, excepto en ocasionales situaciones de chequeo del progreso de alguna de esas actividades. Cuando pasamos a las tareas basadas en reglas, observamos la necesidad de una modificacin de nuestro comportamiento largamente pre-programado. Debemos tomar en cuenta cambios en la situacin. Es un problema con el cual ya estamos familiarizados y con el cual hemos lidiados antes con ms adiestramiento y ms experiencia. Se llama "basado en reglas" porque son del tipo "si ocurre tal cosa, haga tal otra" y por lo general estn escritas en listas de chequeo. El nivel de comportamiento basado en el conocimiento, es un nivel al cual accedemos con bastante reticencia. Slo cuando hemos fallado repetidamente en encontrar una solucin usando los mtodos ya conocidos y que nos eran familiares, recin entonces estamos dispuestos a estudiar. Aunque en situaciones de emergencia no solemos ser tan buenos y tendemos a olvidar lo aprendido para retornar a antiguos usos y costumbres.

((Aqu hay dos pginas sobre especificaciones de los errores y transgresiones en

las conductas basadas en destrezas y reglas))

Transgresiones a nivel de conductas basadas en el conocimiento:

Por definicin, estos comportamientos tienen lugar en circunstancias atpicas o nuevas, para las cuales es improbable que haya habido suficiente entrenamiento o listas de procedimiento. Los instructores y redactores de manuales slo pueden referirse a situaciones potenciales. El desastre e Chernobyl provee quizs, el mejor ejemplo de una cantidad documentada de transgresiones excepcionales. El plan experimental, ya de por s demandaba una situacin de violacin, en particular operar sin el sistema de refrigeracin de emergencia del ncleo, con el propsito de probar el voltaje que entregaban los generadores. La secuencia de fallas humanas activas comienza con un desliz, el seteo del reactor a 25% de su potencia habitual, y continu con el experimento sin advertir este hecho. Luego siguieron una serie de violaciones por las cuales los operadores clausuraron una serie de sistemas de seguridad (para que no dieran la alarma ya que se trataba de un experimento inusual), lo que gener una cascada de eventos que termin en el famoso "meltdown" y la explosin. Hicieron todo en la ignorancia de los principios bsicos de la fsica de la planta, y en la esperanza de completar las pruebas en el tiempo breve que les quedaba. Los problemas en este nivel de conocimiento, no necesariamente son los que se encontraran en Marte, sino que suelen ser temas conocidos y entrenados, pero en una combinacin no habitual. Un ejemplo. Los pilotos saben qu hacer para apagar un motor que pierde aceite y volar con los que quedan buenos. Pero en 1983 un L-1011 tuvo prdida simultnea de los tres. Lograron llegar, apagando y re-encendiendo secuencialmente cada uno hasta el aeropuerto ms cercano.

CLASIFICACIN DE LAS FALLAS LATENTES:

Las fallas latentes pueden ser clasificadas segn el modo o la funcin de las defensas, barreras y salvaguardias, ya descriptas. En conjunto conforman una matriz donde es posible localizar c/u de ellas. La matriz provee no slo la posibilidad de clasificar las fallas latentes en general, sino tambin "mapear" la relativa importancia de c/u de ellas en un accidente cualquiera. Cada accidente tiene su respectiva "huella digital" de fallas latentes. Del mismo modo, es posible usar la matriz de fallas latentes como una base sistemtica para evaluar la efectividad del sistema de seguridad gerencial. Un anlisis clula por clula permitir descubrir las reas de potencial vulnerabilidad. La matriz se limita a la organizacin y no hace mencin a las funciones defensivas cruciales que poseen los entes reguladores externos (administrativos, legales, emergencias, etc.) Fallas graves tanto en los dominios internos como externos fueron cruciales para los accidentes del Challenger, y el Herald. De todos modos, como los entes reguladores cumplen las mismas funciones, podran adosarse en una columna adicional a la matriz.

TERCERA ETAPA: LOS EVENTOS ACCIDENTALES

El prximo paso consiste en desarrollar el modelo de las causas del accidente propiamente dicho. Un evento, aqu, se define como una penetracin parcial o total de una trayectoria accidentgena a travs de las capas del sistema defensivo. Una trayectoria accidentgena es algo que, si atraviesa las capas defensivas y barreras y salvaguardias, puede producir un peligro descontrolado en presencia de vctimas potenciales. Es a nivel del EVENTO que las fallas activas o latentes se entrecruzan, completan su trayectoria accidentgena y ocurre la catstrofe. Esas trayectorias (la vieja cadena causal) pueden interactuar con los gatillos locales, tales como situaciones especficas contextuales, vientos, niebla (Tenerife), mareas, temperatura ambiente (Challenger), etc.

Cuando una trayectoria accidentgena se presenta, se debe a las fallas de las defensas y las hay de diverso tipo, a saber: Defectos crnicos o debilidades latentes o cortapisas no descubiertas en las defensas. Son puestas de manifiesto recin cuando ocurre un evento. Fisuras creadas a sabiendas en el transcurso de tareas de mantenimiento o en situaciones operacionales atpicas. Fisuras que se crean por fallas activas, ya sean por acciones inseguras o por la ruptura de algn componente. En sistemas que poseen mnimas defensas, tales como la apertura de una "picada" en un monte, un simple desvo del machete puede producir un corte grave en una pierna. Pero en los sistemas ms modernos y complejos y bien defendidos, hace falta el alineamiento de los agujeros de las diferentes capas de defensas para que la trayectoria accidentgena tenga un desenlace catastrfico. Este alineamiento es muy dinmico, los agujeros se abren y cierran, las capas se deslizan lateralmente, las influencias estocsticas estn siempre activas. Finalmente, cabe aclarar que no necesariamente el alineamiento de los agujeros o fisuras llevar a un accidente, a veces por razones mas bien fortuitas, slo dan lugar a una "leccin gratis" de lo que pudo haber pasado. Pero esta leccin no se aprende totalmente si no se aplica el presente instrumento conceptual para decodificarlo y comprender la importancia de cada falla, tanto las activas como las latentes en el tejido de la organizacin.