Modelos de accidentes

Asignatura Organizacin, Legislacin y Administracin

de la Seguridad y la Salud Ocupacional
Modelos de accidentes

Los modelos de accidentes enfatizan los esfuerzos
hacia la seguridad, forman la base para:
(1) investigar y analizar accidentes;
(2) disear para prevenir prdidas futuras; y
(3) determinar si los sistemas son adecuados para ser
utilizados a partir de evaluar a los riesgos asociados
a su actividad, al uso del producto, o a la operacin
del mismo.

Mientras que los seres humanos podemos no estar
conscientes de que estamos utilizando un modelo
cuando hacemos estas actividades, sin dudas un
modelo del fenmeno siempre ser parte del proceso
(aunque sea de forma subconsciente)
Modelos de accidentes

Ofrecen una conceptualizacin de las caractersticas de los
accidentes la cual muestra tpicamente la relacin entre causas y
efectos.

Explica por qu ocurren los accidentes y son utilizados para la
evaluacin de riesgos durante el desarrollo de los sistemas y para
anlisis retrospectivos estudiando las causas de accidentes que
ocurren.

Muchos de los modelos se originaron antes de la introduccin de la
tecnologa digital en la industria.

Aunque se actualizaron an no toman el paso tecnolgico actual.

La tecnologa moderna est teniendo un impacto significativo en la
naturaleza de los accidentes y ello requiere nuevos mecanismos de
explicacin que permitan entenderlos, as como el desarrollo de
nuevas tcnicas de evaluacin de riesgos que prevean su
ocurrencia.
(Leveson, 2003)
Modelos de accidentes

Todos los modelos asumen que hay patrones comunes en los
accidentes y que no son simplemente eventos aleatorios.

Los modelos de accidentes imponen patrones sobre los accidentes,
que influencian a los factores considerados en los anlisis de la
seguridad.

Por tanto, el modelo que se use puede actuar tanto como un filtro
y un prejuicio hacia el considerar solamente ciertos eventos y
condiciones, o

Tambin puede expandir el anlisis al forzar tener en cuenta
factores que frecuentemente se omiten.

El modelo influencia a cual es la causa(s) a la que se debe un
accidente, a las medidas para prevenir nuevos accidentes, y a la
evaluacin del riesgo de operar un sistema,

El poder y las caractersticas de un modelo influenciarn nuestra
habilidad de identificar y controlar a los peligros y por tanto, a
prevenir los accidentes.
Modelos de accidentes

Uno de los primeros modelos de causas de los accidentes fue la teora del
Domin propuesta por Heinrich en los 1940s

Describe a un accidente como una cadema de eventos discretos los cuales
ocurren en un orden temporal especfico.

Esta teora pertenece a la clase de los modelos de accidentes basados en
eventos, el cual es la base de muchas tcnicas como el Anlisis de Modos y
Efectos de los Fallos (Failure Modes and Effects Analysis (FMEA)), el
Anlisis de rboles de Fallos (Fault Tree Analysis (FTA)), Anlisis de
Eventos de Fallos (Event Tree Analysis), y el Anlisis Causa-Consecuencias
(Cause-Consequence Analysis)

Estos modelos trabajan bien cuando las prdidas son causadas por fallos de
los componentes fsicos o errores humanos en sistemas relativamente
simples.

Usualmente en estos modelos, cuando los factores causales en un
accidente no estn vinculados a fallos de componentes tcnicos, los
mismos son clasificados como errores humanos sin mucha explicacin.

Estos modelos son limitados en su capacidad para explicar las causas de los
accidentes en sistemas complejos, del tipo que se estn desarrollando
desde la segunda mitad del siglo XX.
Modelos de accidentes

En los 1980s, una nueva clase de modelos de accidentes
denominados epidemiolgicos aparecieron para tratar de
explicar a los accidentes en sistemas ms complejos.

Los modelos epidemiolgicos plantean que los eventos que
originan a un accidentes aparecen de forma anloga a como
se disemina una enfermedad

Esto es como el resultado de una combinacin de factores,
algunos manifiestos y algunos latentes, que coinciden de
forma conjunta en espacio y tiempo.

El Modelo del Queso Suizo de Reason es el ejemplo ms
citado de este tipo de modelo

Este modelo ha influenciado mucho el entender mejor a los
accidentes por destacar la relacin entre las causas latentes y
las inmediatas.
Modelos de accidentes

Los modelos secuenciales y epidemiolgicos son inadecuados para
capturar las interacciones dinmicas y no lineales entre los
componentes de los sistemas socio-tcnicos complejos.

Nuevos modelos de accidentes, basados en la teora de sistemas,
tratan de describir las caractersticas del desempeo del sistema
como un todo, ms que al nivel del mecanismo causa especfica-
efecto, o an de los factores epidemiolgicos.

Los modelos sistmicos de la seguridad tienen sus races en la
teora de sistemas y en la ciberntica.

La teora de sistemas incluye a los principios, modelos y leyes
necesarias para entender las complejas relaciones e
interdependencias entre los componentes de un sistema complejo
(tcnicos, humanos, organizacionales y de gestin).

Los modelos basados en la teora de sistemas describen a los
accidentes como un fenmeno emergente que aparece a partir de
las interacciones entre componentes del sistema, donde dichas
interacciones pueden ser no lineales y contener mltiples lazos de
retroalimentacin.
 Modelos de accidentes(Hollnagel)

Modelos secuenciales
Accidente = Secuencia de eventos ordenados, tales como fallos o
malfuncionamiento de humanos o mquinas
E.j. rboles de fallo, rboles de eventos

Modelos epidemiolgicos
Accidente = Como se disemina una enfermedad: combinacin de
fallos y condiciones latentes / ambientales, las cuales provocan la
degradacin de las barreras y defensas
E.j. Modelo del Queso Suizo

Modelos sistmicos
Accidente = Emerge a partir de la variabilidad en el desempeo de
un sistema cognitivo conjunto, como resultado de interacciones
complejas y de una inesperada combinacin de acciones.
E.j. FRAM, STAMP, TOPAZ
Modelos basados en una
secuencia de eventos
1932 Primer Acercamiento Cientfico a las
Causas de los Accidentes y su Prevencin
H.W. Heinrich

LESIN - causada por los accidentes.

ACCIDENTES - causados por un acto inseguro de la
persona lesionada o una condicin insegura en el
puesto de trabajo.

ACCIONES/CONDICIONES INSEGURAS - causadas por
personas descuidadas o por malos diseos o
mantenmientos deficientes respecto al equipamiento.

FALLOS DE PERSONAS - creados por el ambiente
social o adquiridos de sus antepasados.

AMBIENTE SOCIAL/ANTEPASADOS dnde y cmo una
persona fue criada y educada.
 Teora del Domin
Modelo de Causas de Accidentes Industriales

Ambiente Social y Fallo de la Accin o

Antepasados persona Condicin Accidente Lesin
(Descuido) Insegura

ERRORES DE PERSONAS
 DOMIN DE HEINRICH
La observacin de que una sucesin de causas que se
precipitan unas a otras da lugar a los accidentes, dio
origen a los modelos secuenciales concatenados. El
modelo ms relevante es el de las fichas de domin
(Heinrich, 1931), el cual seala que una falla en algn
elemento del Sistema de Prevencin desencadena en la
cada del sistema o una prdida: Accidente o Incidente.
AXIOMAS DE HEINRICH
1. Los accidentes tienen causas tcnicas y/o humanas

2. Los actos inseguros causan la mayor parte de los

accidentes

3. Por cada accidente con baja se producen 30 sin baja y

300 accidentes

4. La gravedad del accidente es aleatoria, pero su

produccin es previsible

5. Las causas de los actos inseguros son: actitud

inadecuada, falta de formacin, incapacidad fsica,
entorno inadecuado
AXIOMAS DE HEINRICH

6. Las medidas preventivas bsicas son: formacin, control

y modificaciones tcnicas
7. La direccin debe asumir la responsabilidad de la
prevencin
8. El encargado es el hombre clave de la prevencin
9. La prevencin es econmicamente rentable, porque
mejora la productividad y ahorra el elevado coste de
los accidentes.
 TAREA EXTRACLASE (prxima semana)

Hacer un anlisis de la validez de los axiomas de

Heinrich a la luz de las condiciones actuales.
Concluir para cada axioma:
ES VLIDO
NO ES VLIDO
Y argumentar el por qu de su respuesta
Si no concluye en alguno, pierde puntos
Consultar los artculos digitales dejados para
completar.
 FACTOR ACTITUDINAL
Heinrich pregunta por qu cometemos actos inseguros?

Por ahorrar tiempo. La urgencia del trabajo y una laxa cultura
de seguridad, relajan el cumplimiento de los procedimientos.

Por ahorrar esfuerzo. El trabajador omite pasos del
procedimiento por hacer su trabajo ms fcil.

Por presiones del grupo. Un individuo sigue los procedimientos
establecidos, pero su grupo de trabajo o su supervisor no lo
hace. Progresivamente va acoplndose al nivel de cultura de
seguridad de su grupo.
 Si nos capacitamos nos estamos dirigiendo a la parte de
conocimientos y habilidad, estamos trabajando sobre la parte
cognoscitiva y psicomotora, sobre la parte racional.
Pero la parte actitudinal, tambin juega uno de los papeles con
ms peso para la ocurrencia de los accidentes.
 Siguiendo a la Teora de Heinrich

La secuencia de la Accin Correctiva

(Las tresEs en Ingls)

 Ingeniera (Engineering)
 Educacin (Education)
 Disciplina (Enforcement)
 PRINCIPIO DE LAS CAUSAS
MULTIPLES

Los problemas en
general
y los accidentes en
particular
casi nunca
son el resultado de
una sola causa.
Simple y bonito, pero poco realista la
mayora de las veces

Modelos de causalidad NOS

COSTOS
Una ampliacin del modelo de
Heinrich fue el modelo propuesto
por Bird
EL MODELO DE CAUSALIDAD O DE
CONTROL DE PRDIDAS
DE FRANK E. BIRD JR
FACTORES DE TRABAJO

Procedimientos Seguros de Trabajo
incorrectos

Ausencia de Anlisis Seguro de Trabajo

Mala Operacin de mquinas o Equipos

Herramientas en mal estado o mal
utilizadas

Ausencia de Mantenimiento de Equipos y
Mquinas
Factores Personales

Capacidad fsica o mental inapropiada
para el cargo

Deficiencia en la Habilidad para la tarea

Motivacin deteriorada en el trabajo

Frustracin profesional

Incapacidad para trabajo bajo presin

Estrs

Falta de conocimientos para el cargo
 CAUSAS INMEDIATAS
FALTA DE CAUSAS CAUSAS PERDIDA
CONTROL INMEDIATAS ACCIDENTE
BASICAS S

PROGRAMAS
INADECUADOS
FACTORES
ESTANDARES
PERSONALES
INADECUADOS ACTOS Y PERSONAS
DEL PROGRAMA CONDICIONES CONTACTO PROPIEDAD
FACTORES CON ENERGIA
SUB-ESTANDARES PROCESO
DEL TRABAJO O SUBSTANCIA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES

CAUSAS
INMEDIATAS
ACTOS SUBESTANDARES CONDICIONES SUBESTANDARES
Operar sin autorizacin E.P.P. inadecuado
No seguir procedimientos Equipos defectuosos
ACTOS Y No respetar sealizacin Herramientas en mal estado
CONDICIONES Levantamiento incorrecto Congestin
SUBESTANDARES No usar E.P.P. Falta de orden y/o limpieza
Falla en asegurar Ventilacin inadecuada
Bromas y juegos Iluminacin insuficiente
Otros Otras
PRINCIPIO DE LA
DEFINICION

Una decisin lgica y

acertada
slo puede tomarse
si primero se define el
problema real o bsico.

No nos dejemos confundir

por los sntomas !
 CAUSAS BASICAS
FALTA DE CAUSAS CAUSAS PERDIDA
CONTROL INMEDIATAS ACCIDENTE
BASICAS S

PROGRAMAS
INADECUADOS
FACTORES
ESTANDARES
PERSONALES
INADECUADOS ACTOS Y PERSONAS
DEL PROGRAMA CONDICIONES CONTACTO PROPIEDAD
FACTORES CON ENERGIA
SUB-ESTANDARES PROCESO
DEL TRABAJO O SUBSTANCIA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES

FACTORES PERSONALES
CAUSAS Falta de conocimiento
BASICAS Falta de capacidad
Falta de habilidad
Estrs fsico y mental
FACTORES Motivacin Incorrecta
PERSONALES FACTORES DEL TRABAJO
Liderazgo inadecuado
FACTORES Ingeniera inadecuada
DEL TRABAJO Compras inadecuadas
Mantencin inadecuada
Estndares inadecuados
Uso y desgaste normal
Abuso y mal uso
 FALTA DE CONTROL
FALTA DE CAUSAS CAUSAS PERDIDA
CONTROL INMEDIATAS ACCIDENTE
BASICAS S

PROGRAMAS
INADECUADOS
FACTORES
ESTANDARES
PERSONALES
INADECUADOS ACTOS Y PERSONAS
DEL PROGRAMA CONDICIONES CONTACTO PROPIEDAD
FACTORES CON ENERGIA
SUB-ESTANDARES PROCESO
DEL TRABAJO O SUBSTANCIA
CUMPLIMIENTO
INADECUADO DE
LOS
ESTANDARES

FALTA DE
CONTROL

Fallas en :
Programas
o Sistemas
CAUSAS DE FALTA DE CONTROL
Estndares
Programas o Sistemas inadecuados/inexistentes
Cumplimiento Estndares inadecuados/inexistentes
Incumplimiento de los estndares
Modelos de eventos encadenados
en una secuencia en el tiempo
Ejemplo de este modelo
Modelos secuenciales lineales

En los modelos basados en eventos, los mismos
tienen una relacin lineal y directa.

Estos modelos solo describen causas lineales y es
difcil incorporarles relaciones no lineales.

El primer evento de la cadena es considerado
usualmente como el evento iniciador,

No obstante, la seleccin del evento iniciador es
arbitraria y puede que eventos previos al mismo
hayan hecho su aporte a la cadena.
(Leveson, 2001).
 La causalidad vista en forma ms moderna

 Paralela a la visin de Heinrich.

 La lesin es llamada RESULTADO, indicando que
podra daar as como lesiones y que el resultado
podra variar desde no dao a muy severo.
 La palabra PERCANCE se usa en vez de Accidente
para evitar la incomprensin popular de que un
accidente necesariamente conlleva a una lesin o a
un dao.
 Finalmente, se usa el trmino ERROR OPERATIVO
en vez de Accin/Condicin Insegura.
 La causalidad vista en forma ms moderna

RESULTADO:

-No hay dao

ERROR PERCANCE ni lesin
OPERATIVO (POSIBLE)

-Muchas muertes
-Grandes daos
 Ejemplos
Errores Operativos:
 Estar en una posicin insegura
 Apilar materiales en pilas inestables
 Mala limpieza y organizacin
 Remover un resguardo mecnico
DEFECTOS DEL SISTEMA

Los Errores Operativos ocurren porque las personas

cometen errores, pero ms importante, ocurren debido a
Defectos en el Sistema

 Revolucion la prevencin de
accidentes
 Una debilidad en el diseo o
en la operacin de un sistema
o un programa
AC
35
 La causalidad vista en forma ms moderna

RESULTADO:

-No hay dao

ni lesin
DEFECTOS ERROR PERCANCE
DEL SISTEMA OPERATIVO (POSIBLE)
-Muchas muertes
-Grandes daos

AC
36
Ejemplos
Los Defectos del Sistema incluyen:
 Mala asignacin de la responsabilidad
 Clima de motivacin inadecuado
 Entrenamiento y educacin insuficientes
 Equipos y suministros insuficientes
 Procedimientos inadecuados para la
seleccin y asignacin del personal
 Mala distribucin de los recursos
 ERROR EN LA GERENCIA / RDENES

Los defectos del Sistema ocurren debido a

Errores en la Gerencia/rdenes

Las Decisiones que toman los Gerentes/Jefes

sobre la forma en que el sistema es diseado o
es operado, resultan en defectos del sistema.
 La causalidad vista en forma ms
moderna
ERRORES DE
GERENCIA/
RESULTADO:
ORDEN
-No hay dao
ni lesin
DEFECTOS ERROR PERCANCE
DEL SISTEMA OPERATIVO (POSIBLE)
-Muchas muertes
-Grandes daos
Ejemplo

Para una tarea en un

Tanque de Solvente:
A los soldadores no se les
facilitan EPPs para la tarea
(guantes, caretas, delantales, etc.)

AC
40
 La causalidad vista en forma ms moderna

DEFECTO DEL ERRORES DE

PROGRAMA GERENCIA/
DE SEGURIDAD ORDEN

DEFECTOS ERROR
PERCANCE
DEL SISTEMA OPERATIVO

RESULTADOS

AC
41
Defecto del Programa de Seguridad
Un defecto en algn aspecto del
programa de seguridad que permite que
exista un error evitable.

 Registro inefectivo de informacin

 Anlisis de Causas dbiles
 Contramedidas insuficientes
 Implementacin inadecuada de procedimientos
 Control inadecuado
AC
42
ERROR DE GERENCIA DE SEGURIDAD

Una debilidad en el conocimiento o en

la motivacin del Gerente de la
Seguridad u otros Gerentes que permite
que exista un defecto prevenible en el
Programa de Seguridad.

AC
43
Ejemplo:

Llantas desgastadas y
rajadas en los bordes
utilizadas en vehculos:
El Gerente de Seguridad y otros
Gerentes conocen los peligros,
pero no exigen el cumplimiento
de los estndares.
 La causalidad vista en forma ms moderna
ERROR DEFECTO DEL ERRORES DE
DE GERENCIA PROGRAMA GERENCIA/
DE SEGURIDAD DE SEGURIDAD ORDEN

DEFECTOS ERROR
PERCANCE
DEL SISTEMA OPERATIVO

RESULTADOS

AC
45
Siete Avenidas
Hay siete avenidas a travs de las cuales
podemos iniciar contramedidas. Ellas son:
 Error de Gerencia de la Seguridad
 Defecto del Programa de Seguridad
 Error en la Gerencia / rdenes
 Defecto del Sistema
 Error Operativo
 Percance
 Resultado

AC
46
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
1

ERROR 2 3 4 5 6 7
DE GERENCIA
DE SEGURIDAD
ENTRENAMIENTO
EDUCACIN
MOTIVACIN
DISEO DE TAREAS

AC
47
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
2

1
DEFECTO DEL 3 4 5 6 7
PROGRAMA
DE SEGURIDAD
REVISAR EL RESGISTRO DE LA INFORMACIN
ANLISIS
IMPLEMENTACIN

AC
48
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
3

1 2
ERRORES DE 4 5 6 7
GERENCIA/
ORDEN
ENTRENAMIENTO
EDUCACIN
MOTIVACIN
DISEO DE TAREAS

AC
49
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
4

1 2 3 DEFECTOS 5 6 7
DEL SISTEMA

REVISIN DEL DISEO VIA:

- PNOs
- REGULACIONES
- POLTICAS ESCRITAS
- DECLARACIONES

AC
50
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
5

1 2 3 4 ERROR 6 7
OPERATIVO

INGENIERA
ENTRENAMIENTO
MOTIVACIN

AC
51
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
6

1 2 3 4 5 7
PERCANCE

EQUIPAMIENTO DE PROTECCIN
BARRERAS
SEPARACIN

AC
52
 Siete Avenidas
Las contramedidas potenciales para cada causa
incluyen a:
7

1 2 3 4 5 6
RESULTADOS

CONTENCIN
LUCHA CONTRA INCENDIO
RESCATE
EVACUACIN
PRIMERAS AYUDAS
AC
53
 Modelo del Sistema
ERROR
DE GERENCIA Modelo del Sistema RESULTADOS
DE SEGURIDAD Tareas
Entrenamiento
Ambiente
DEFECTO DEL Materiales
PROGRAMA Persona PERCANCE
DE SEGURIDAD

ERRORES DE
DEFECTOS ERROR
GERENCIA/
DEL SISTEMA OPERATIVO
ORDEN
Modelos Epidemiolgicos
Modelo organizacional del Reason

Reason (1990; 1997) desarroll un modelo organizacional para
explicar a los accidentes en los sistemas complejos
tecnolgicamente.

Plante que los accidentes organizacionales no ocurren debido a
un error humano simple; ms bien surgen de la inter-conexin de
varios factores de causas que se originan en varios niveles en una
organizacin.

Reason hace nfasis en el concepto de seguridad organizacional y
como las defensas (barreras de proteccin de tipo material,
humano y de procedimientos) pueden fallar.

En este enfoque la causa inmediata o prxima es el fallo de una
persona en la lnea de fuego, quien est directamente relacionada
con la regulacin del proceso o en la interaccin con la tecnologa.
Modelo organizacional del Reason

Reason (1997) define a los accidentes
organizacionales como situaciones en las cuales:
las condiciones latentes (que surgen a partir de
aspectos como las prcticas de decisin de la
gerencia, o de influencias culturales),
se combinan de forma adversa con eventos
especficos que disparan a otros (tales como el
clima, la localizacin, etc.),
y con fallos activos (errores y/o violaciones de
procedimientos) cometidos por individuos o equipos
de trabajo en la lnea de fuego de una organizacin,

para producir al accidente.
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)
Modelo del Queso Suizo de Reason: Capas
de defensa (J. Reason, Managing the Risks of Organizational Accidents, 2002)

No siempre habrn accidentes, las capas o barreras de proteccin pueden

funcionar
 Modelo organizacional del Reason

Las defensas, barreras y salvaguardias ocupan una posicin
clave en el enfoque de Reason hacia la seguridad en sistemas
complejos.

Los sistemas con altas tecnologas tienen muchas capas de
defensas:
algunas son de ingeniera (alarmas, barreras fsicas, detenciones
automticas, etc),
otras descansan en los comportamientos de los humanos (cirujanos,
anestesistas, pilotos, operadores de salas de control, etc),
y otras dependen de procedimientos y controles administrativos.

El modelo de Reason est basado en la filosofa de las
defensas a profundidad, tomadas de los militares y de las
plantas de energa nuclear, esto es, un sistema de defensa que
tiene muchas capas o barreras, cada una diseada para darle
soporte a la otra, en orden de reducir la probabilidad de un
accidente o un desastre.
Modelo organizacional del Reason

En un mundo ideal todas las capas defensivas deberan estar
intactas no permitiendo que suceda ninguna penetracin.

Por supuesto, en el mundo real las defensas pueden
deteriorarse con el tiempo; las modificaciones o los
rediseos pueden debilitar o eliminar a las defensas, las
defensas pueden ser removidas durante la calibracin, el
mantenimiento y las pruebas, o como resultado de errores y
violaciones (Reason, 1997).

Por ejemplo los operadores del cuarto de control del
reactor nuclear de Chernobyl removieron capas de defensa
sucesivamente con el objetivo de completar su tarea de
probar un nuevo generador de voltaje.

En realidad, no obstante, las defensas son como porciones de
queso suizo que tienen muchos huecos;
Modelo organizacional del Reason

Pero a diferencia de en el queso, los huecos estn
continuamente abrindose, cerrndose y cambiando de
posicin.

La presencia de huecos en una porcin normalmente no
tiene por qu causar un mal resultado.

Usualmente, ste solo puede suceder cuando los huecos en
muchas porciones momentneamente se alinean para
permitir una oportunidad de una trayectoria para un
accidente, convirtiendo a los peligros en un dao al ponerlos
en contacto con las vctimas.

Los huecos en las defensas surgen por dos razones: fallos
activos y condiciones latentes.

Casi todos los eventos adversos tienen una combinacin de
esteos dos conjuntos de factores
Modelo organizacional del Reason

Los Fallos Activos son los actos inseguros cometidos por las personas que
estn en contacto directo con la operacin del sistema.

Pueden tomar una variedad de formas: resbalones, lapsus, torpezas,
errores, y violaciones de procedimientos(Reason, 1990).

Los fallos activos tienen un impacto directo y normalmente corto
sobre la integridad de las defensas.

Por ejemplo en Chernobyl, los operadores violaron los
procedimientos de la planta y apagaron sucesivamente a sistemas
de seguridad, creando de esta forma el disparador inmediato para
la explosicin catastrfica en el ncleo del reactor.

Los seguidores del enfoque humano, frecuentemente no buscan las
causas de un evento adverso una vez que han identificado la
existencia de una accin insegura.

Pero en realidad, virtualmente todas estas acciones tienen una
historia causal que se extiende atrs en el tiempo y a travs de los
niveles del sistema.
Modelo organizacional del Reason

Las condiciones latentes son los patgenos residentes inevitables dentro
del sistema (Reason, 1997).

Ellas son el resultado de las decisiones que tomaron los
diseadores, constructores, escritores de procedimientos y
gerentes.

Estas decisiones pueden ser errneas (pero no lo son
necesariamente).

Y estas decisiones estratgicas tienen el potencial de introducir
patgenos en el sistema.

Las condiciones latentes tienen dos tipos de efectos adversos:
pueden traducirse en un error provocando condiciones negativas en el
puesto de trabajo local (por ejemplo presiones de tiempo, falta de
personal, equipamiento inadecuado, fatiga e inexperiencia), y
tambin pueden crear grandes huecos durables o debilidades en las
defensas (alarmas e indicadores no confiables, procedimientos que no
sirven, deficiencias en el diseo y la construccin, etc.)
Modelo organizacional del Reason

Las condiciones latentes, como sugiere el trmino,
pueden permanecer dormidas dentro del
sistema por muchos aos antes de que se
combinen con los fallos activos y eventos
disparadores o iniciadores locales para crear
una oportunidad de accidente.

A diferencia de los fallos activos, cuyas formas
especficas son difciles de prevenir, las
condiciones latentes pueden ser identificadas y
remediadas antes de que ocurran los eventos
adversos.

Entender esto tiene el potencial de lograr una
gerencia ms proactiva que reactiva.
 El modelo de Reason
Accidente = fallo de la organizacin
Reason Model
 El modelo de Reason
Accidente = fallo de la organizacin
Para el funcionamiento del modelo son muy importantes
los canales de informacin interna de la empresa y que
estos cumplan con su misin:
Bucle de informacin interna; gestin proactiva (antes de
que ocurra el accidente):
Sistema de gestin de seguridad interno.
Valoraciones de riesgos y peligros.
Informes personales.
Auditorias.
Bucles de informacin externa; gestin reactiva (el
accidente ya ha ocurrido).
Investigacin de accidentes e incidentes .
 El modelo de Reason
Accidente = fallo de la organizacin
Modelo de Reason:
Sistemas de gestin de seguridad
Estructura Investigacin de accidentes e
incidentes
Metodologa Anlisis de gestin y construccin de
bases de datos
Programas de prevencin de
Gua accidentes
Auditorias de seguridad

Modelo tradicional: Se concentra en las causas superficiales y no

profundiza (error del piloto, error de mantenimiento,...)
Se ha demostrado que si las causas profundas permanecen, estas
causarn accidentes en diferentes situaciones o escenarios hasta
ser corregidas.
 El modelo de Reason
Accidente = fallo de la organizacin

Los errores y las violaciones son como los

mosquitos, puedes intentar matarlos uno a uno,
pero siempre aparecern ms.
La nica solucin es eliminar las charcas en las que
se cran:
Mal diseo
Defensas inadecuadas
Malos procedimientos
Mal entrenamiento
Objetivos conflictivos
Y ms all.

Sin embargo, los modelos epidemiolgicos an siguen
los principios de los modelos secuenciales (Hollnagel,
2004) dado que ellos muestran la direccin de la
causalidad en un modelo lineal.

La teora que soporta al modelo del Queso Suizo no
define con suficientes detalles qu son los fallos o los
huecos en el queso.

El modelo de Reason muestra una vista esttica de la
organizacin, mientras que los defectos son
generalmente transientes, esto es por ejemplo que
los huecos en el queso se estn moviendo
continuamente.

En realidad, el sistema sociotcnico es ms dinmico
que lo que el modelo sugiere.
Ideas centrales

Los sistemas pueden ser descompuestos en capas. Cada capa
representa a un sub-sistema, un estado o un actor que tiene un
impacto en el funcionamiento del sistema completo.

Los fallos esperan por la aparicin de las condiciones. Algunas
condiciones inestables pueden estar presentes en un sistema dado
sin tener ningn efecto inmediato.

Un fallo, desde este punto de vista, es una combinacin
improbable de un nmero de factores contribuyentes.

Los eventos se propagan. Los accidentes no son causados por la
ocurrencia de circunstancias desfavorables repentinas.

En vez de esto, ellos son generados por fallos tempranos en los
diseos que, bajo ciertas condiciones, disparan al evento
indeseado.

Los eventos escalan. Una combinacin de fallos locales generan el
fallo del sistema completo.
Y ms all.
Los modelos lineales ofrecen la base para que los
investigadores fcilmente tomen la posicin de observadores
retrospectivos, buscando hacia detrs la secuencia de
eventos que parece llevar hacia un resultado inevitable, y
sealando donde las personas actuaron mal, o donde
fallaron los componentes individuales del sistema.

A pesar de que esta perspectiva es adecuada en sistemas

lineales, dicha tendencia limita seriamente lo que puede
aprender sobre los fallos un investigador en sistemas no
lineales (por ejemplo la combinacin compleja e inesperada
de interacciones del sistema) y puede no ayudar a prevenir la
recurrencia.
Modelos sistmicos de
accidentes
Modelos sistmicos

Las nuevas tendencias en el modelado de los
accidentes adoptan una visin sistmica, la cual
considera al desempeo del sistema como un todo.

En los modelos sistmicos, un accidente ocurre
cuando varios factores causales (humanos, tcnicos y
ambientales) coexisten en un tiempo y espacio
especfico (Hollnagel, 2004).

Los modelos sistmicos muestran a los accidentes
como un fenmeno emergente, el cual surge debido a
las complejas interacciones entre los componentes
del sistema que pueden llevar a la degradacin del
desempeo del sistema, o resultar incluso en un
accidente.
 Modelos sistmicos

Una diferencia apreciable entre los modelos de
accidentes sistmicos y los secuenciales/epidemiolgicos
es que los primeros describen al proceso del accidente
como una red de eventos interconectados y compleja,
mientras los segundos los describen como una simple
cadena de eventos.

Hay dos modelos sistmicos notables,
el Marco Sociotcnico Jerarquizado de Rasmussen
(1997)
y el modelo STAMP de Leveson (2004)
(Systems-Theoretic Accident Model and Processes o
Proceso y Modelo Terico-Sistmico del Accidente), el
cual trata de modelar las dinmicas de los sistemas
sociotcnicos complejos.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asuncin y consecuencia:

Los accidentes resultan de una

combinacin inesperada (resonancia) de
la variabilidad normal del desempeo
los peligros surgen de la variabilidad
esperada (y necesaria) dentro del sistema
y los accidentes se previenen mediante la
supervisin (monitoreo) y
amortiguamiento de la variabilidad.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asuncin y consecuencia:

La variabilidad del desempeo normal muy

raramente es suficiente para provocar un
accidente, pero la variabilidad de mltiples
funciones puede combinarse en formas
inesperadas para producir un efecto no lineal,
de esta manera la seguridad es una propiedad
emergente del sistema y no puede ser explicada
examinando simplemente a los componentes
individuales del sistema y/o tratando de
identificar una causa raz.
Entendiendo a las seguridad en
sistemas no lineales (Dekker, 2007; Hollnagel, 2008)
Asuncin y consecuencia:

Los sistemas sociotcnicos complejos (por

ejemplo los hospitales) son dinmicos el
sistema cambia y se desarrolla respondiendo a
las demandas que compiten entre s, las
presiones de produccin y los cambios en la
tecnologa y en el conocimiento. La resiliencia
existe cuando los operadores en el sistema son
capaces de reconocer, absorver y adaptarse a
los distrubios/cambios que caen ms all de su
base de diseo.
Entendiendo a las seguridad en
sistemas no lineales

La ingeniera de los sistemas cognitivos (Hollnagel &
Woods, 1983) ha surgido como un marco para
modelar a los comportamientos de los sistemas
hombre-mquina en el contexto del ambiente en que
el cual se efecta el trabajo.

La visin tradicional es que los errores humanos
representan una racionalizacin prospectiva (Woods
et. al., 1994), la cual est basada en el principio de la
causalidad inversa: si hay un efecto, entonces debe
haber una causa.

La ingeniera de los sistemas cognitivos sugiere que
no podemos entender lo que sucede cuando las
cosas van mal sin entender lo que sucede cuando las
cosas van bien (Hollnagel & Woods, 2005).
Entendiendo a las seguridad en
sistemas no lineales

Hollnagel & Woods introducen un nuevo
paradigma en la ingeniera de los sistemas
cognitivos el cual describe como los
humanos y la tecnologa funcionan como un
sistema conjunto, ms que como humanos
interaccionando con las mquinas.

Los esfuerzos para hacer el trabajo seguro
deben comenzar por entender la variablidad
normal del desempeo del humano y del
sistema cognitivo conjunto, ms que asumir
del especfico y muy especulativo
mecanismo de error.
Herramientas sistmicas

Se ha desarrollado dos herramientas de
accidentes sistmicos para el anlisis de la
seguridad y de los accidentes basados en los
principios de la ingeniera cognitiva de los
sistemas:
El Cognitive Reliability and Error Analysis
Method (CREAM) Mtodo para el Anlisis
del Error y la Confiabilidad Cognitiva?;
Y el Functional Resonance Accident Model
(FRAM) Accidente Funcional en
Resonancia?.
Herramientas sistmicas

CREAM est basado en el modelaje de los
aspectos cognitivos del desempeo humano
para hacer una evaluacin de las
consecuencias del error humano en la
seguridad de un sistema (Hollnagel, 1998).

Se han desarrollado dos versiones del
CREAM para el modelaje de los accidentes:
DREAM (Driver Reliability and Error Analysis
Method) para el anlisis de los accidentes de
trfico; y
BREAM para el uso en el anlisis de accidentes
martimos(Hollnagel, 2006).
Herramientas sistmicas

El FRAM es un modelo cualitativo de accidente
que describe como el funcionamiento de los
componentes del sistema puede resonar y crear
peligros que pueden ponerse fuera de control y
generar un accidente (Hollnagel, 2004).

El FRAM est basado en la premisa de la
variabilidad del desempeo, las variabilidades
internas y externas son normales,en el sentido de
que el desempeo nunca es estable en los
sistemas sociotcnicos complejos tales como los
hospitales, la aviacin o grandes industrias.
Functional Resonance Accident Model
(Hollnagel, 2004)

Un modelo emergente que trata de explicar las

dinmicas de la actividad organizacional normal
Modelos sistmicos
Los modelos no lineales proveen a los investigadores con
las bases para buscar el por qu de las acciones de las
personas y evaluar el sentido de las mismas en el
tiempo, ms que identificar cul regla, protocolo o
proceso viol la persona (las personas frecuentemente
ajustan sus acciones al contexto y esto es parte de la
variabilidad normal del desempeo que ocurre como
parte del trabajo normal en los sistemas dinmicos
complejos).

El error humano no es una explicacin, pero si requiere

que se explique
Sidney Dekker, 2006
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)

El sesgo retrospectivo siempre est presente cuando
el resultado es conocido un observador retrospectivo
puede fcilmente confundir a la realidad retrospectiva
con la realidad actual que rodea a las personas durante
el evento.

El sesgo retrospectivo es una razn poderosa para las

explicaciones clsicas de los errores humanos y los
accidentes tendiendo a tratar de identificar
componentes individuales del sistema que necesiten
corregirse, personas con deficiencias en las habilidades,
o errores graves.
Modelos de Accidente: El reto del sesgo
retrospectivo (hindsight bias)

El sesgo retrospectivo dificulta el juicio objetivo
del comportamiento que llev a un resultado.
En particular, la complejidad pasada es
transformada en una cadena lineal de malas
decisiones, oportunidades perdidas,
evaluaciones deficientes, y percepciones
fallidas.

Entonces, las recomendaciones tambin se

dirigen frecuentemente a proteger al sistema de
los humanos poco confiables a travs de
procedimientos, entrenamiento y disciplina.
Un Nuevo Modelo para la Ingeniera de la
Seguridad de los Sistemas por Nancy Leveson.
Safety Science, Vol. 42, No. 4, April 2004.

STAMP : (Systems-Theoretic Accident Model and

Processes)

Los accidentes son el resultado del inadecuado control o

la falta de exigencia de las variables relacionadas con
la seguridad en el desarrollo, diseo y operacin de
los sistemas.

La seguridad puede entonces ser vista como un problema

de control, y la seguridad es gerenciada a partir de una
estructura de control insertada en el sistema
sociotcnico adaptativo.
Process Control Loop

89
 Modos de Fallos en el Control

El control requerido no existe

Ocurre una accin de control incorrecta o
insegura

La accin de control ocurre muy tarde o en
el tiempo incorrecto

La accin de control se detiene muy rpido
o contina por mucho tiempo
Confiabilidad del Controlador??

90
Y ms all

A medida que se entienden mejor los accidentes
aeroespaciales, de transporte o industriales, los
mismos dejan de ser considerados como simples
fallos de la tecnologa solamente, y tampoco
debido al error humano, sino como resultados de
un trasfondo histrico y de un contexto
organizacional desfavorable (Vaughan, 1996; Dien
et al., 2004).

El anlisis sociolgico de las causas de los
accidentes est ganando espacio como una
aproximacin efectiva para entender las causas
sociales y organizacinales de los accidentes (ver
por ejemplo a: Perrow, 1984;Vaughn, 1996;
Hopkins, 2000).
Y ms all

Vaughn (1996) rechaza las explicaciones prevalecientes (dadas a
partir de las tcnicas tradiconales de la ingniera) de la causa del
accidente del Challenger y presenta otra explicacin sociolgica
alternativa que explora una causa del fallo mucho ms profunda, y
advierte de los riesgos en que estn envueltos los sistemas
tecnolgicos complejos modernos.

El reporte de la investigacin del accidente del Columbia identifica
una cultura de seguridad rota como un punto focal de las causas
organizacionales del accidente (CAIB, 2003).

Vaughan demuestra similaridades entre los accidentes del Columbia
y del Challenger en que ambos accidentes ocurrieron debido a fallos
sistmicos organizacionales, y presentaban una explicacin causal
que vinculaba a la cultura de produccin, a la normalizacin de las
desviaciones y al secreto estructural de la NASA.
Preguntas?