56. Prevención de accidentes
Redactor del capítulo: Jorma Saari
Introducción
Jorma Saari
Conceptos de Análisis de Accidentes
Kirsten Jorgensen
Teoría de las Causas de los Accidentes
Abdul Raouf
Factores humanos en el modelado de accidentes
Anne-Marie Feyer y Ann M. Williamson
Modelos de Accidentes: Homeostasis del Riesgo
Gerald JS Wilde
Modelado de Accidentes
Andrew R Hale
Modelos de secuencia de accidentes
Ragnar Andersson
Modelos de desviación de accidentes
Urbano Kjellén
MAIM: El modelo de información de accidentes de Merseyside
Harry S. Shannon y John Davies
Principios de prevención: el enfoque de salud pública para reducir las lesiones en el lugar de trabajo
Gordon S. Smith y Mark A. Veazie
Principios teóricos de la seguridad en el trabajo
reinald skiba
Principios de Prevención: Información de Seguridad
Mark R. Lehto y James M. Miller
Costos de accidentes relacionados con el trabajo
Diego Andreoni
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Taxonomías para la clasificación de desviaciones
2. La Matriz de Haddon aplicada a las lesiones por vehículos de motor
3. Las diez estrategias de contramedidas de Haddon para la construcción
4. Información de seguridad asignada a la secuencia del accidente
5. Recomendaciones dentro de los sistemas de alerta seleccionados
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
57. Auditorías, Inspecciones e Investigaciones
Redactor del capítulo: Jorma Saari
Auditorías de Seguridad y Auditorías de Gestión
Johan Van de Kerckhove
Análisis de peligros: el modelo de causalidad de accidentes
Jop Groeneweg
Riesgos de hardware
Carsten D Groenberg
Análisis de peligros: factores organizacionales
Urbano Kjellén
Inspección del lugar de trabajo y cumplimiento normativo
anthony linehan
Análisis e Informes: Investigación de Accidentes
michel monteau
Informes y compilación de estadísticas de accidentes
Kirsten Jorgensen
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Strata en la política de calidad y seguridad
2. Elementos de auditoría de seguridad PAS
3. Evaluación de los métodos de control de la conducta
4. Tipos de fallas generales y definiciones
5. Conceptos del fenómeno del accidente
6. Variables que caracterizan un accidente
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
58. Aplicaciones de seguridad
Editores de capítulos: Kenneth Gerecke y Charles T. Pope
Análisis de Sistemas
Manh Trung Ho
Seguridad de herramientas manuales y eléctricas portátiles
Departamento de Trabajo de EE. UU.—Administración de Salud y Seguridad Ocupacional; editado por Kenneth Gerecke
Piezas móviles de máquinas
Tomas Backström y Marianne Döös
Protección de la máquina
Departamento de Trabajo de EE. UU.—Administración de Salud y Seguridad Ocupacional; editado por Kenneth Gerecke
Detectores de presencia
Pablo Schreiber
Dispositivos para el Control, Aislamiento y Conmutación de Energía
René Troxler
Aplicaciones relacionadas con la seguridad
Dietmar Reinert y Karlheinz Meffert
Software y Computadoras: Sistemas Automatizados Híbridos
Waldemar Karwowski y Jozef Zurada
Principios para el Diseño de Sistemas de Control Seguros
Jorge Vondracek
Principios de seguridad para máquinas herramienta CNC
Toni Retsch, Guido Schmitter y Albert Marty
Principios de seguridad para robots industriales
Toni Retsch, Guido Schmitter y Albert Marty
Sistemas de control relacionados con la seguridad eléctrica, electrónica y electrónica programable
ron campana
Requisitos técnicos para sistemas relacionados con la seguridad basados en dispositivos eléctricos, electrónicos y electrónicos programables
John Brazendale y Ron Bell
Rollover
Bengt Springfeldt
Caídas desde alturas
Juan Arteau
Espacios confinados
neil mcmanus
Principios de Prevención: Manejo de Materiales y Tráfico Interno
kari hakkinen
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Posibles disfunciones de un circuito de control de dos botones.
2. Guardias de la máquina
3. Dispositivos
4. Métodos de alimentación y expulsión
5. Combinaciones de estructuras de circuitos en controles de máquinas.
6. Niveles de integridad de seguridad para sistemas de protección
7. Diseño y desarrollo de software
8. Nivel de integridad de seguridad: componentes tipo B
9. Requisitos de integridad: arquitecturas de sistemas electrónicos
10. Caídas desde alturas: Quebec 1982-1987
11.Sistemas típicos de prevención y detención de caídas
12. Diferencias entre prevención de caídas y detención de caídas
13. Formulario de muestra para la evaluación de condiciones peligrosas
14. Un permiso de entrada de muestra
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
59. Política de seguridad y liderazgo
Redactor del capítulo: Jorma Saari
Política de Seguridad, Liderazgo y Cultura
dan petersen
Cultura y Gestión de la Seguridad
Marcel Simard
Clima Organizacional y Seguridad
Nicole Dedobbeleer y François Béland
Proceso de mejora participativa del lugar de trabajo
Jorma Saari
Métodos de toma de decisiones de seguridad
Terje Sten
Percepción del riesgo
Bernhard Zimolong y Rüdiger Trimpop
Aceptación de riesgo
Rüdiger Trimpop y Bernhard Zimolong
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Medidas de clima de seguridad
2. Tuttava y otras diferencias de programas/técnicas
3. Un ejemplo de mejores prácticas de trabajo
4. Objetivos de rendimiento en una fábrica de tintas de impresión
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
60. Programas de seguridad
Editor del capítulo: Jorma Saari
Investigación de seguridad ocupacional: una descripción general
Herbert I. Linn y Alfred A. Amendola
Servicios gubernamentales
anthony linehan
Servicios de seguridad: Consultores
dan petersen
Implementación de un Programa de Seguridad
Tom B Leamon
Programas de seguridad exitosos
Tom B Leamon
Programas de incentivos de seguridad
Gerald JS Wilde
Promoción de la seguridad
Thomas Planek
Estudio de caso: Campañas de salud y seguridad en el trabajo a nivel nacional en la India
KC Gupta
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Modelos OBM vs. TQM de motivación de los empleados
2. Fábricas indias: empleo y lesiones
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
Este artículo examina el papel de los factores humanos en el proceso de causalidad de accidentes y revisa las diversas medidas preventivas (y su eficacia) mediante las cuales se puede controlar el error humano, y su aplicación al modelo de causalidad de accidentes. El error humano es una causa importante que contribuye en al menos el 90% de todos los accidentes industriales. Si bien los errores puramente técnicos y las circunstancias físicas incontrolables también pueden contribuir a la causalidad de un accidente, el error humano es la principal fuente de fallas. La mayor sofisticación y confiabilidad de la maquinaria significa que la proporción de causas de accidentes atribuidas al error humano aumenta a medida que disminuye el número absoluto de accidentes. El error humano también es la causa de muchos de esos incidentes que, si bien no resultan en lesiones o muerte, sí generan un daño económico considerable a una empresa. Como tal, representa un objetivo importante para la prevención, y será cada vez más importante. Para que los sistemas de gestión de la seguridad y los programas de identificación de riesgos sean efectivos, es importante poder identificar el componente humano de manera efectiva mediante el uso del análisis general de tipos de fallas.
La naturaleza del error humano
El error humano puede verse como la imposibilidad de alcanzar un objetivo en la forma prevista, ya sea desde una perspectiva local o más amplia, debido a un comportamiento intencional o no intencional. Esas acciones planificadas pueden no lograr los resultados deseados por las siguientes cuatro razones:
1. Comportamiento no intencional:
2. Comportamiento intencional:
Las desviaciones se pueden dividir en tres clases: errores basados en habilidades, reglas y conocimientos.
En algunas situaciones, el término limitación humana sería más apropiado que error humano. También existen límites a la capacidad de prever el comportamiento futuro de sistemas complejos (Gleick 1987; Casti 1990).
El modelo de Reason y Embrey, el Generic Error Modeling System (GEMS) (Reason 1990), tiene en cuenta los mecanismos de corrección de errores en los niveles basados en habilidades, reglas y conocimientos. Una suposición básica de SIMUVIMA es que el comportamiento cotidiano implica un comportamiento rutinario. El comportamiento de rutina se verifica con regularidad, pero entre estos bucles de retroalimentación, el comportamiento es completamente automático. Dado que el comportamiento se basa en la habilidad, los errores son lapsus. Cuando la retroalimentación muestra una desviación del objetivo deseado, se aplica la corrección basada en reglas. El problema se diagnostica en función de los síntomas disponibles y se aplica automáticamente una regla de corrección cuando se diagnostica la situación. Cuando se aplica la regla incorrecta, hay un error.
Cuando la situación es completamente desconocida, se aplican reglas basadas en el conocimiento. Los síntomas se examinan a la luz del conocimiento sobre el sistema y sus componentes. Este análisis puede conducir a una posible solución cuya implementación constituye un caso de comportamiento basado en el conocimiento. (También es posible que el problema no se pueda resolver de una manera determinada y que se deban aplicar más reglas basadas en el conocimiento). Todos los errores en este nivel son errores. Se cometen violaciones cuando se aplica una determinada regla que se sabe que es inapropiada: el trabajador puede pensar que la aplicación de una regla alternativa llevará menos tiempo o posiblemente sea más adecuada para la situación actual, probablemente excepcional. La clase más malévola de violaciones involucra el sabotaje, un tema que no está dentro del alcance de este artículo. Cuando las organizaciones intentan eliminar el error humano, deben tener en cuenta si los errores están en el nivel basado en habilidades, reglas o conocimientos, ya que cada nivel requiere sus propias técnicas (Groeneweg 1996).
Influir en el comportamiento humano: una descripción general
Un comentario que se hace a menudo con respecto a un accidente en particular es: “Tal vez la persona no se dio cuenta en ese momento, pero si no hubiera actuado de cierta manera, el accidente no habría ocurrido”. Gran parte de la prevención de accidentes tiene como objetivo influir en la parte crucial del comportamiento humano a la que se alude en este comentario. En muchos sistemas de gestión de la seguridad, las soluciones y políticas sugeridas tienen como objetivo influir directamente en el comportamiento humano. Sin embargo, es muy poco común que las organizaciones evalúen qué tan efectivos son realmente estos métodos. Los psicólogos han pensado mucho en cómo se puede influir mejor en el comportamiento humano. A este respecto, se expondrán las siguientes seis formas de ejercer control sobre el error humano y se realizará una evaluación de la efectividad relativa de estos métodos para controlar el comportamiento humano a largo plazo (Wagenaar 1992). (Ver tabla 1.)
Tabla 1. Seis formas de inducir conductas seguras y evaluación de su costo-efectividad
No. |
Manera de influir |
Cost |
Efecto a largo plazo |
Evaluación |
1 |
No induzcas un comportamiento seguro, |
Alta |
Baja |
Pobre |
2 |
Dígales a los involucrados qué hacer. |
Baja |
Baja |
Medio |
3 |
Recompensa y castigo. |
Medio |
Medio |
Medio |
4 |
Aumentar la motivación y la conciencia. |
Medio |
Baja |
Pobre |
5 |
Seleccionar personal capacitado. |
Alta |
Medio |
Medio |
6 |
Cambia el ambiente. |
Alta |
Alta |
Bueno |
No intente inducir un comportamiento seguro, pero haga que el sistema sea “infalible”
La primera opción es no hacer nada para influir en el comportamiento de las personas, sino diseñar el lugar de trabajo de tal manera que, haga lo que haga el empleado, no produzca ningún tipo de resultado indeseable. Hay que reconocer que, gracias a la influencia de la robótica y la ergonomía, los diseñadores han mejorado considerablemente la facilidad de uso de los equipos de trabajo. Sin embargo, es casi imposible anticipar todos los diferentes tipos de comportamiento que las personas pueden mostrar. Además, los trabajadores suelen considerar los llamados diseños infalibles como un desafío para “vencer al sistema”. Finalmente, dado que los diseñadores son humanos, incluso los equipos cuidadosamente diseñados a prueba de fallas pueden tener fallas (por ejemplo, Petroski 1992). El beneficio adicional de este enfoque en relación con los niveles de riesgo existentes es marginal y, en cualquier caso, los costos iniciales de diseño e instalación pueden aumentar exponencialmente.
Dile a los involucrados qué hacer
Otra opción es instruir a todos los trabajadores sobre cada actividad individual para que su comportamiento esté completamente bajo el control de la gerencia. Esto requerirá un inventario de tareas extenso y poco práctico y un sistema de control de instrucciones. A medida que se desautomatice todo el comportamiento, se eliminarán en gran medida los deslices y lapsus hasta que las instrucciones se conviertan en parte de la rutina y el efecto se desvanezca.
No ayuda mucho decirle a la gente que lo que hace es peligroso -la mayoría de la gente lo sabe muy bien- porque tomarán sus propias decisiones con respecto al riesgo, independientemente de los intentos de persuadirlos de lo contrario. Su motivación para hacerlo será facilitar su trabajo, ahorrar tiempo, desafiar a la autoridad y tal vez mejorar sus propias perspectivas de carrera o reclamar alguna recompensa financiera. Instruir a las personas es relativamente barato y la mayoría de las organizaciones tienen sesiones de instrucción antes de comenzar un trabajo. Pero más allá de tal sistema de instrucción, la efectividad de este enfoque se evalúa como baja.
Recompensa y castigo
Aunque los programas de recompensas y castigos son medios poderosos y muy populares para controlar el comportamiento humano, no están exentos de problemas. La recompensa funciona mejor solo si el destinatario percibe que la recompensa tiene valor en el momento de recibirla. Castigar el comportamiento que está más allá del control de un empleado (un desliz) no será efectivo. Por ejemplo, es más rentable mejorar la seguridad vial cambiando las condiciones que subyacen al comportamiento del tráfico que mediante campañas públicas o programas de castigo y recompensa. Incluso un aumento en las posibilidades de ser "atrapado" no cambiará necesariamente el comportamiento de una persona, ya que las oportunidades de violar una regla siguen ahí, al igual que el desafío de una violación exitosa. Si las situaciones en las que las personas trabajan invitan a este tipo de violación, las personas automáticamente elegirán el comportamiento no deseado sin importar cómo sean castigadas o recompensadas. La eficacia de este enfoque se califica como de calidad media, ya que suele ser de eficacia a corto plazo.
Aumentar la motivación y la conciencia.
A veces se cree que las personas provocan accidentes porque carecen de motivación o no son conscientes del peligro. Esta suposición es falsa, como han demostrado los estudios (p. ej., Wagenaar y Groeneweg 1987). Además, incluso si los trabajadores son capaces de juzgar el peligro con precisión, no necesariamente actúan en consecuencia (Kruysse 1993). Los accidentes les suceden incluso a las personas con la mejor motivación y el más alto grado de conciencia de seguridad. Existen métodos efectivos para mejorar la motivación y la conciencia que se analizan a continuación en "Cambiar el entorno". Esta opción es delicada: en contraste con la dificultad de motivar más a las personas, es casi demasiado fácil desmotivar a los empleados hasta el punto de considerar incluso el sabotaje.
Los efectos de los programas de mejora de la motivación son positivos solo cuando se combinan con técnicas de modificación del comportamiento, como la participación de los empleados.
Seleccionar personal capacitado
La primera reacción a un accidente es a menudo que los involucrados deben haber sido incompetentes. En retrospectiva, los escenarios de accidentes parecen sencillos y fáciles de prevenir para alguien lo suficientemente inteligente y debidamente capacitado, pero esta apariencia es engañosa: en realidad, los empleados involucrados no podrían haber previsto el accidente. Por tanto, una mejor formación y selección no tendrá el efecto deseable. Sin embargo, un nivel básico de capacitación es un requisito previo para operaciones seguras. Se debe desalentar la tendencia en algunas industrias a reemplazar al personal experimentado con personas sin experiencia y con capacitación inadecuada, ya que las situaciones cada vez más complejas exigen un pensamiento basado en reglas y conocimientos que requiere un nivel de experiencia que ese personal de bajo costo a menudo no posee.
Un efecto secundario negativo de instruir muy bien a las personas y seleccionar solo a las personas mejor clasificadas es que el comportamiento puede volverse automático y se producen deslices. La selección es cara, mientras que el efecto no es más que medio.
Cambiar el ambiente
La mayor parte del comportamiento ocurre como una reacción a factores en el ambiente de trabajo: horarios de trabajo, planes y expectativas y demandas de la gerencia. Un cambio en el entorno da como resultado un comportamiento diferente. Antes de que el ambiente de trabajo pueda cambiarse efectivamente, se deben resolver varios problemas. Primero, se deben identificar los factores ambientales que causan el comportamiento no deseado. En segundo lugar, estos factores deben ser controlados. En tercer lugar, la dirección debe permitir la discusión sobre su papel en la creación de un entorno de trabajo adverso.
Es más práctico influir en el comportamiento mediante la creación de un entorno de trabajo adecuado. Los problemas que deben resolverse antes de que esta solución pueda ponerse en práctica son (1) que se debe conocer qué factores ambientales causan el comportamiento no deseado, (2) que estos factores deben ser controlados y (3) que las decisiones de gestión previas deben ser considerado (Wagenaar 1992; Groeneweg 1996). Efectivamente, todas estas condiciones pueden cumplirse, como se argumentará en el resto de este artículo. La eficacia de la modificación del comportamiento puede ser alta, aunque un cambio de ambiente puede ser bastante costoso.
El modelo de causalidad de accidentes
Para obtener más información sobre las partes controlables del proceso de causalidad de accidentes, es necesario comprender los posibles bucles de retroalimentación en un sistema de información de seguridad. En la figura 1, se presenta la estructura completa de un sistema de información de seguridad que puede formar la base del control gerencial del error humano. Es una versión adaptada del sistema presentado por Reason et al. (1989).
Figura 1. Un sistema de información de seguridad
Investigacion del accidente
Cuando se investigan los accidentes, se producen informes sustanciales y los responsables de la toma de decisiones reciben información sobre el componente de error humano del accidente. Afortunadamente, esto se está volviendo cada vez más obsoleto en muchas empresas. Es más efectivo analizar las “perturbaciones operativas” que preceden a los accidentes e incidentes. Si un accidente se describe como una perturbación operativa seguida de sus consecuencias, deslizarse de la carretera es una perturbación operativa y morir porque el conductor no usó el cinturón de seguridad es un accidente. Es posible que se hayan colocado barreras entre la perturbación operativa y el accidente, pero fallaron o se rompieron o eludieron.
Auditoría de actos inseguros
Un acto incorrecto cometido por un empleado se denomina “acto subestándar” y no “acto inseguro” en este artículo: la noción de “inseguro” parece limitar la aplicabilidad del término a la seguridad, mientras que también puede aplicarse, por ejemplo, a los problemas ambientales. A veces se registran actos deficientes, pero la información detallada sobre qué deslices, errores y violaciones se cometieron y por qué se cometieron casi nunca se retroalimenta a los niveles gerenciales superiores.
Investigar el estado de ánimo del empleado.
Antes de que se cometa un acto deficiente, la persona involucrada se encontraba en cierto estado de ánimo. Si estos precursores psicológicos, como tener prisa o sentirse triste, pudieran controlarse adecuadamente, las personas no se encontrarían en un estado mental en el que cometerían un acto deficiente. Dado que estos estados mentales no se pueden controlar de manera efectiva, estos precursores se consideran material de “caja negra” (figura 1).
Tipos de fallas generales
El cuadro GFT (tipo de falla general) en la figura 1 representa los mecanismos generadores de un accidente: las causas de los actos y situaciones deficientes. Debido a que estos actos deficientes no se pueden controlar directamente, es necesario cambiar el entorno de trabajo. El ambiente de trabajo está determinado por 11 de tales mecanismos (tabla 2). (En los Países Bajos, la abreviatura GFT ya existe en un contexto completamente diferente y tiene que ver con la eliminación de desechos ecológicamente racional, y para evitar confusiones se usa otro término: factores de riesgo basicos (BRF) (Roggeveen 1994).)
Tabla 2. Tipos de fallas generales y sus definiciones
fallas generales |
Definiciones |
1. Diseño (DE) |
Fallas debidas a un diseño deficiente de una planta completa, así como de |
2. Hardware (hardware) |
Averías por mal estado o falta de disponibilidad de equipos y herramientas |
3. Trámites (PR) |
Fallas por mala calidad de los procedimientos operativos con |
4. Aplicación de errores |
Fallas por mala calidad del ambiente de trabajo, con |
5. Limpieza (HK) |
Fallas por mala limpieza |
6. Formación (TR) |
Fracasos por formación inadecuada o experiencia insuficiente |
7. Objetivos incompatibles (IG) |
Las fallas por la mala forma en que se manejan la seguridad y el bienestar interno |
8. Comunicación (OC) |
Averías por mala calidad o ausencia de líneas de comunicación |
9. Organización (OR) |
Fallas debido a la forma en que se gestiona el proyecto. |
10. mantenimiento |
Averías por mala calidad de los procedimientos de mantenimiento |
11. Defensas (DF) |
Averías debidas a la mala calidad de la protección contra riesgos |
El cuadro GFT está precedido por un cuadro de "tomador de decisiones", ya que estas personas determinan en gran medida qué tan bien se gestiona un GFT. Es tarea de la dirección controlar el entorno de trabajo gestionando las 11 GFT, controlando así indirectamente la aparición de errores humanos.
Todas estas GFT pueden contribuir a los accidentes de manera sutil al permitir que se presenten combinaciones indeseables de situaciones y acciones, al aumentar la posibilidad de que ciertas personas cometan actos deficientes y al no proporcionar los medios para interrumpir las secuencias de accidentes que ya están en curso.
Hay dos GFT que requieren una explicación más detallada: la gestión del mantenimiento y las defensas.
Gestión de mantenimiento (MM)
Dado que la gestión del mantenimiento es una combinación de factores que se pueden encontrar en otras GFT, no es, estrictamente hablando, una GFT separada: este tipo de gestión no es fundamentalmente diferente de otras funciones de gestión. Puede tratarse como un tema separado porque el mantenimiento juega un papel importante en tantos escenarios de accidentes y porque la mayoría de las organizaciones tienen una función de mantenimiento separada.
Defensas (DF)
La categoría de defensas tampoco es una verdadera GFT, ya que no está relacionada con el proceso de causalidad del accidente en sí. Esta GFT está relacionada con lo que sucede después de una perturbación operativa. No genera por sí mismo ni estados psicológicos de la mente ni actos deficientes. Es una reacción que sigue a una falla debido a la acción de uno o más GFT. Si bien es cierto que un sistema de gestión de la seguridad debe centrarse en las partes controlables de la cadena causal de accidentes antes y no después de el incidente no deseado, sin embargo, la noción de defensas se puede utilizar para describir la eficacia percibida de las barreras de seguridad después de que ha ocurrido una perturbación y mostrar cómo fallaron en prevenir el accidente real.
Los gerentes necesitan una estructura que les permita relacionar los problemas identificados con acciones preventivas. Las medidas tomadas a nivel de barreras de seguridad o actos subestándar siguen siendo necesarias, aunque estas medidas nunca pueden ser completamente exitosas. Confiar en las barreras de "última línea" es confiar en factores que en gran medida están fuera del control de la gestión. La gerencia no debe intentar administrar tales dispositivos externos incontrolables, sino que debe tratar de hacer que sus organizaciones sean inherentemente más seguras en todos los niveles.
Medición del nivel de control sobre el error humano
Determinar la presencia de GFT en una organización permitirá a los investigadores de accidentes identificar los puntos débiles y fuertes de la organización. Dado tal conocimiento, uno puede analizar accidentes y eliminar o mitigar sus causas e identificar las debilidades estructurales dentro de una empresa y corregirlas antes de que de hecho contribuyan a un accidente.
Investigacion del accidente
La tarea de un analista de accidentes es identificar los factores contribuyentes y categorizarlos. El número de veces que se identifica y categoriza un factor contribuyente en términos de una GFT indica el grado en que esta GFT está presente. Esto se hace a menudo por medio de una lista de control o un programa de análisis informático.
Es posible y deseable combinar perfiles de tipos de accidentes diferentes pero similares. Las conclusiones basadas en una acumulación de investigaciones de accidentes en un tiempo relativamente corto son mucho más confiables que las extraídas de un estudio en el que el perfil del accidente se basa en un solo evento. Un ejemplo de un perfil combinado de este tipo se presenta en la figura 2, que muestra datos relacionados con cuatro ocurrencias de un tipo de accidente.
Figura 2. Perfil de un tipo de accidente
Algunas de las GFT (diseño, procedimientos y objetivos incompatibles) obtienen una puntuación consistentemente alta en los cuatro accidentes particulares. Esto significa que en cada accidente se han identificado factores que estaban relacionados con estas GFT. Con respecto al perfil del accidente 1, el diseño es un problema. La limpieza, aunque es un área problemática importante en el accidente 1, es solo un problema menor si se analiza más que el primer accidente. Se sugiere que se investiguen unos diez tipos similares de accidentes y se combinen en un perfil antes de tomar medidas correctivas de largo alcance y posiblemente costosas. De esta manera, la identificación de los factores contribuyentes y la subsiguiente categorización de estos factores se puede realizar de manera muy confiable (Van der Schrier, Groeneweg y van Amerongen 1994).
Identificar los GFT dentro de una organización de manera proactiva
Es posible cuantificar la presencia de GFT de forma proactiva, independientemente de la ocurrencia de accidentes o incidentes. Esto se hace buscando indicadores de la presencia de ese GFT. El indicador utilizado para este propósito es la respuesta a una pregunta directa de sí o no. Si se responde de la forma no deseada, es una indicación de que algo no funciona correctamente. Un ejemplo de una pregunta indicadora es: “En los últimos tres meses, ¿fuiste a una reunión que resultó ser cancelada?” Si el empleado responde afirmativamente a la pregunta, no necesariamente significa peligro, pero es indicativo de una deficiencia en una de las GFT: la comunicación. Sin embargo, si se responden suficientes preguntas que prueban una GFT dada de una manera que indique una tendencia no deseada, es una señal para la gerencia de que no tiene suficiente control de esa GFT.
Para construir un perfil de seguridad del sistema (SSP), se deben responder 20 preguntas para cada una de las 11 GFT. A cada GFT se le asigna una puntuación que va de 0 (bajo nivel de control) a 100 (alto nivel de control). El puntaje se calcula en relación con el promedio de la industria en un área geográfica determinada. En el recuadro se presenta un ejemplo de este procedimiento de puntuación.
Los indicadores se extraen de forma pseudoaleatoria de una base de datos con unos pocos cientos de preguntas. No hay dos listas de verificación posteriores que tengan preguntas en común, y las preguntas están redactadas de tal manera que se cubren todos los aspectos de la GFT. El hardware defectuoso podría, por ejemplo, ser el resultado de la ausencia de un equipo o de un equipo defectuoso. Ambos aspectos deben ser cubiertos en la lista de verificación. Se conocen las distribuciones de respuesta de todas las preguntas y las listas de verificación están equilibradas para igual dificultad.
Es posible comparar los puntajes obtenidos con diferentes listas de verificación, así como los obtenidos para diferentes organizaciones o departamentos o las mismas unidades durante un período de tiempo. Se han realizado extensas pruebas de validación para garantizar que todas las preguntas en la base de datos tengan validez y que todas sean indicativas de la GFT a medir. Las puntuaciones más altas indican un mayor nivel de control, es decir, se han respondido más preguntas de la manera "deseada". Una puntuación de 70 indica que esta organización está clasificada entre los 30% mejores (es decir, 100 menos 70) de organizaciones comparables en este tipo de industria. Aunque una puntuación de 100 no significa necesariamente que esta organización tenga el control total sobre una GFT, sí significa que, con respecto a esta GFT, la organización es la mejor de la industria.
En la figura 3 se muestra un ejemplo de un SSP. Las áreas débiles de la Organización 1, como lo ejemplifican las barras en el gráfico, son los procedimientos, los objetivos incompatibles y las condiciones de cumplimiento de errores, ya que obtienen una puntuación inferior al promedio de la industria, como se muestra en la parte oscura. área gris. Los puntajes en limpieza, hardware y defensas son muy buenos en la Organización 1. En la superficie, esta organización ordenada y bien equipada con todos los dispositivos de seguridad en su lugar parece ser un lugar seguro para trabajar. La organización 2 obtiene exactamente el promedio de la industria. No hay deficiencias importantes, y aunque las puntuaciones en hardware, limpieza y defensas son más bajas, esta empresa gestiona (en promedio) el componente de error humano en los accidentes mejor que la Organización 1. De acuerdo con el modelo de causalidad de accidentes, la Organización 2 es más segura que Organización 1, aunque esto no sería necesariamente evidente al comparar las organizaciones en las auditorías "tradicionales".
Figura 3. Ejemplo de un perfil de seguridad del sistema
Si estas organizaciones tuvieran que decidir dónde asignar sus recursos limitados, las cuatro áreas con GFT por debajo del promedio tendrían prioridad. Sin embargo, no se puede concluir que, dado que los otros puntajes de GFT son tan favorables, los recursos pueden retirarse con seguridad de su mantenimiento, ya que estos recursos son los que probablemente los mantuvieron en un nivel tan alto en primer lugar.
Conclusiones
Este artículo ha tocado el tema del error humano y la prevención de accidentes. El resumen de la literatura sobre el control del componente de error humano en los accidentes arrojó un conjunto de seis formas en las que se puede tratar de influir en el comportamiento. Sólo uno, reestructurar el entorno o modificar el comportamiento para reducir el número de situaciones en las que las personas pueden cometer un error, tiene un efecto razonablemente favorable en una organización industrial bien desarrollada donde ya se han realizado muchos otros intentos. Hará falta valor por parte de la dirección para reconocer que existen estas situaciones adversas y movilizar los recursos que se necesitan para efectuar un cambio en la empresa. Las otras cinco opciones no representan alternativas útiles, ya que tendrán poco o ningún efecto y serán bastante costosas.
“Controlar lo controlable” es el principio clave que respalda el enfoque presentado en este artículo. Los GFT deben ser descubiertos, atacados y eliminados. Las 11 GFT son mecanismos que han demostrado ser parte del proceso de causalidad de accidentes. Diez de ellos están dirigidos a la prevención de perturbaciones operativas y uno (defensas) está dirigido a la prevención de que la perturbación operativa se convierta en un accidente. La eliminación del impacto de las GFT tiene una relación directa con la reducción de las causas contribuyentes de los accidentes. Las preguntas de las listas de verificación tienen como objetivo medir el "estado de salud" de un GFT dado, tanto desde un punto de vista general como de seguridad. La seguridad se considera una parte integral de las operaciones normales: hacer el trabajo de la manera en que se debe hacer. Esta visión está de acuerdo con los recientes enfoques de gestión "orientados a la calidad". La disponibilidad de políticas, procedimientos y herramientas de gestión no es la principal preocupación de la gestión de la seguridad: la cuestión es más bien si estos métodos se utilizan, se comprenden y se respetan realmente.
El enfoque descrito en este artículo se concentra en los factores sistémicos y la forma en que las decisiones gerenciales pueden traducirse en condiciones inseguras en el lugar de trabajo, en contraste con la creencia convencional de que la atención debe dirigirse hacia los trabajadores individuales que realizan actos inseguros, sus actitudes, motivaciones y percepciones de riesgo.
Una indicación del nivel de control que tiene su organización sobre la "Comunicación" de GFT
En este recuadro se presenta una lista de 20 preguntas. Las preguntas de esta lista han sido respondidas por empleados de más de 250 organizaciones en Europa occidental. Estas organizaciones operaban en diferentes campos, desde empresas químicas hasta refinerías y empresas constructoras. Normalmente, estas preguntas se harían a la medida de cada rama. Esta lista sirve solo como ejemplo para mostrar cómo funciona la herramienta para uno de los GFT. Sólo se han seleccionado aquellas preguntas que han resultado ser tan “generales” que son aplicables en al menos el 80% de las industrias.
En la “vida real”, los empleados no solo tendrían que responder las preguntas (de forma anónima), sino que también tendrían que motivar sus respuestas. No es suficiente responder “Sí” en, por ejemplo, el indicador “¿Tuviste que trabajar en las últimas 4 semanas con un procedimiento obsoleto?” El empleado tendría que indicar de qué procedimiento se trataba y en qué condiciones debía aplicarse. Esta motivación tiene dos objetivos: aumenta la confiabilidad de las respuestas y proporciona a la gerencia información sobre la cual puede actuar.
También es necesario tener cuidado al interpretar la puntuación percentil: en una medición real, cada organización se compararía con una muestra representativa de organizaciones relacionadas con sucursales para cada una de las 11 GFT. La distribución de percentiles es de mayo de 1995 y esta distribución cambia ligeramente con el tiempo.
Cómo medir el “nivel de control”
Responda los 20 indicadores teniendo en cuenta su propia situación y tenga cuidado con los límites de tiempo en las preguntas. Algunas de las preguntas pueden no ser aplicables a su situación; respóndelas con “na” Puede que te resulte imposible responder a algunas preguntas; responderlas con un signo de interrogación “?”.
Después de haber contestado todas las preguntas, compare sus respuestas con las respuestas de referencia. Obtiene un punto por cada pregunta respondida "correctamente".
Sume el número de puntos juntos. Calcule el porcentaje de preguntas respondidas correctamente dividiendo el número de puntos por el número de preguntas que ha respondido con "Sí" o "No". El "na" y "?" Las respuestas no se tienen en cuenta. El resultado es un porcentaje entre 0 y 100.
La medición se puede hacer más confiable si hay más personas que respondan las preguntas y se promedian los puntajes de los niveles o funciones en la organización o departamentos comparables.
Veinte preguntas sobre la GFT “Comunicación”
Posibles respuestas a las preguntas: S = Sí; N = No; na = no aplicable; ? = no sé.
Respuestas de referencia:
1 = norte; 2 = norte; 3 = norte; 4 = Y; 5 = norte; 6 = norte; 7 = norte; 8 = norte; 9 = norte; 10 = norte; 11 = norte; 12 = norte; 13 = Y; 14 = norte; 15 = norte; 16 = Y; 17 = norte; 18 = norte; 19 = Y; 20 = norte
Puntuación GFT “Comunicación”
Puntuación porcentual = (a/b) x 100
donde a = no. de preguntas respondidas correctamente
donde b = no. de preguntas respondidas “S” o “N”.
Tu puntuación % |
Percentil |
% |
Igual o mejor |
0 - 10 |
0 - 1 |
100 |
99 |
11 - 20 |
2 - 6 |
98 |
94 |
21 - 30 |
7 - 14 |
93 |
86 |
31 - 40 |
15 - 22 |
85 |
78 |
41 - 50 |
23 - 50 |
79 |
50 |
51 - 60 |
51 - 69 |
49 |
31 |
61 - 70 |
70 - 85 |
30 |
15 |
71 - 80 |
86 - 97 |
14 |
3 |
81 - 90 |
98 - 99 |
2 |
1 |
91 - 100 |
99 - 100 |
Este artículo aborda los peligros de las “máquinas”, aquellos que son específicos de los accesorios y el hardware utilizado en los procesos industriales asociados con recipientes a presión, equipos de procesamiento, máquinas poderosas y otras operaciones intrínsecamente riesgosas. Este artículo no aborda los peligros de los trabajadores, que implican las acciones y el comportamiento de las personas, como resbalones en las superficies de trabajo, caídas desde alturas y peligros por el uso de herramientas ordinarias. Este artículo se centra en los peligros de las máquinas, que son característicos de un entorno de trabajo industrial. Dado que estos peligros amenazan a cualquier persona presente e incluso pueden ser una amenaza para los vecinos y el medio ambiente externo, los métodos de análisis y los medios de prevención y control son similares a los métodos utilizados para tratar los riesgos ambientales de las actividades industriales.
Peligros de la máquina
El hardware de buena calidad es muy confiable y la mayoría de las fallas son causadas por efectos secundarios como fuego, corrosión, mal uso, etc. Sin embargo, el hardware puede destacarse en ciertos accidentes, porque un componente de hardware que falla suele ser el eslabón más visible o visiblemente prominente de la cadena de eventos. Aunque el término hardware se utiliza en un sentido amplio, se han tomado ejemplos ilustrativos de fallas de hardware y su “alrededor” inmediato en la causalidad de accidentes de lugares de trabajo industriales. Los candidatos típicos para la investigación de los peligros de las "máquinas" incluyen, entre otros, los siguientes:
Efectos de la energía
Los peligros del hardware pueden incluir un uso incorrecto, errores de construcción o sobrecarga frecuente y, en consecuencia, su análisis y mitigación o prevención pueden seguir direcciones bastante diferentes. Sin embargo, las formas de energía física y química que eluden el control humano a menudo existen en el corazón de los peligros del hardware. Por lo tanto, un método muy general para identificar los peligros del hardware es buscar las energías que normalmente se controlan con la pieza real del equipo o la maquinaria, como un recipiente a presión que contiene amoníaco o cloro. Otros métodos utilizan el propósito o la función prevista del hardware real como punto de partida y luego buscan los efectos probables de mal funcionamiento y fallas. Por ejemplo, un puente que no cumpla con su función principal expondrá a los sujetos en el puente al riesgo de caerse; otros efectos del colapso de un puente serán los secundarios de la caída de elementos, ya sean partes estructurales del puente u objetos situados sobre el puente. Más adelante en la cadena de consecuencias, puede haber efectos derivados relacionados con funciones en otras partes del sistema que dependían de que el puente desempeñara su función correctamente, como la interrupción del tráfico vehicular de respuesta de emergencia a otro incidente.
Además de los conceptos de "energía controlada" y "función prevista", las sustancias peligrosas deben abordarse haciendo preguntas como "¿Cómo podría liberarse el agente X de los recipientes, tanques o sistemas de tuberías y cómo podría producirse el agente Y?" (cualquiera o ambos pueden ser peligrosos). El agente X puede ser un gas a presión o un solvente, y el agente Y puede ser una dioxina extremadamente tóxica cuya formación se ve favorecida por las temperaturas “adecuadas” en algunos procesos químicos, o puede producirse por oxidación rápida, como resultado de un incendio. . Sin embargo, los posibles peligros suman mucho más que los riesgos de las sustancias peligrosas. Pueden existir condiciones o influencias que permitan que la presencia de un elemento particular de hardware tenga consecuencias dañinas para los humanos.
Entorno de trabajo industrial
Los peligros de las máquinas también implican factores de carga o estrés que pueden ser peligrosos a largo plazo, como los siguientes:
Estos peligros pueden reconocerse y tomarse precauciones porque las condiciones peligrosas ya existen. No dependen de algún cambio estructural en el hardware para que se produzca y produzca un resultado dañino, o de algún evento especial para producir daños o lesiones. Los peligros a largo plazo también tienen fuentes específicas en el entorno laboral, pero deben identificarse y evaluarse mediante la observación de los trabajadores y los trabajos, en lugar de solo analizar la construcción y las funciones del hardware.
Hardware peligroso o peligros de la máquina Suelen ser excepcionales y rara vez se encuentran en un entorno de trabajo sólido, pero no se pueden evitar por completo. Varios tipos de energía no controlada, como los siguientes agentes de riesgo, puede ser la consecuencia inmediata de un mal funcionamiento del hardware:
Agentes de Riesgo
Objetos en movimiento. Los objetos que caen y vuelan, los flujos de líquido y los chorros de líquido o vapor, como los enumerados, son a menudo las primeras consecuencias externas de la falla del hardware o del equipo, y representan una gran proporción de los accidentes.
Sustancias químicas. Los peligros químicos también contribuyen a los accidentes laborales y afectan al medio ambiente y al público. Los accidentes de Seveso y Bhopal involucraron emisiones químicas que afectaron a numerosos miembros del público, y muchos incendios y explosiones industriales liberaron sustancias químicas y humos a la atmósfera. Los accidentes de tránsito que involucran camiones de reparto de gasolina o químicos u otros transportes de mercancías peligrosas, unen dos agentes de riesgo: objetos en movimiento y sustancias químicas.
Energía electromagnética. Los campos eléctricos y magnéticos, los rayos X y los rayos gamma son manifestaciones del electromagnetismo, pero a menudo se tratan por separado, ya que se encuentran en circunstancias bastante diferentes. Sin embargo, los peligros del electromagnetismo tienen algunos rasgos generales: los campos y la radiación penetran en el cuerpo humano en lugar de hacer contacto únicamente en el área de aplicación, y no pueden detectarse directamente, aunque intensidades muy grandes provocan el calentamiento de las partes del cuerpo afectadas. Los campos magnéticos son creados por el flujo de corriente eléctrica, y se encuentran campos magnéticos intensos en las proximidades de grandes motores eléctricos, equipos de soldadura por arco eléctrico, aparatos de electrólisis, trabajos en metal, etc. Los campos eléctricos acompañan a la tensión eléctrica, e incluso las tensiones de red ordinarias de 200 a 300 voltios provocan la acumulación de suciedad durante varios años, el signo visible de la existencia del campo, un efecto también conocido en conexión con líneas eléctricas de alta tensión, tubos de imagen de TV , monitores de computadora y así sucesivamente.
Los campos electromagnéticos se encuentran principalmente cerca de sus fuentes, pero los campos electromagnéticos radiación es un viajero de largas distancias, como lo ejemplifican las ondas de radio y radar. La radiación electromagnética se dispersa, refleja y amortigua a medida que atraviesa el espacio y se encuentra con objetos, superficies, diferentes sustancias y atmósferas intermedias, y similares; por lo tanto, su intensidad se reduce de varias maneras.
Las características generales de las fuentes de peligro electromagnético (EM) son:
Radiación nuclear. Los peligros asociados con la radiación nuclear son motivo de especial preocupación para los trabajadores de las centrales nucleares y de las plantas que trabajan con materiales nucleares, como la fabricación de combustible y el reprocesamiento, transporte y almacenamiento de materia radiactiva. Las fuentes de radiación nuclear también se utilizan en medicina y en algunas industrias para la medición y el control. Uno de los usos más comunes es en alarmas contra incendios/detectores de humo, que usan un emisor de partículas alfa como el americio para monitorear la atmósfera.
Los peligros nucleares se centran principalmente en torno a cinco factores:
Los peligros surgen de la radioactivo Procesos de fisión nuclear y descomposición de materiales radiactivos. Este tipo de radiación es emitida por los procesos del reactor, el combustible del reactor, el material moderador del reactor, por los productos de fisión gaseosos que pueden desarrollarse y por ciertos materiales de construcción que se activan por la exposición a las emisiones radiactivas que surgen de la operación del reactor.
Otros agentes de riesgo. Otras clases de agentes de riesgo que liberan o emiten energía incluyen:
Activación de los peligros de hardware
Ambos repentino y gradual los cambios de la condición controlada, o “segura”, a una con mayor peligro pueden ocurrir a través de las siguientes circunstancias, que pueden controlarse a través de medios organizacionales apropiados, como la experiencia del usuario, la educación, las habilidades, la vigilancia y la prueba del equipo:
Dado que las operaciones adecuadas no pueden compensar de manera confiable un diseño e instalación inadecuados, es importante considerar todo el proceso, desde la selección y el diseño hasta la instalación, el uso, el mantenimiento y las pruebas, para evaluar el estado y las condiciones reales del elemento de hardware.
Caso de peligro: el tanque de gas presurizado
El gas puede estar contenido en recipientes adecuados para almacenamiento o transporte, como los cilindros de gas y oxígeno que usan los soldadores. A menudo, el gas se maneja a alta presión, lo que permite un gran aumento en la capacidad de almacenamiento, pero con un mayor riesgo de accidentes. El fenómeno accidental clave en el almacenamiento de gas a presión es la creación repentina de un agujero en el tanque, con estos resultados:
El desarrollo de tal accidente depende de estos factores:
El contenido del tanque puede liberarse casi de inmediato o durante un período de tiempo y dar como resultado diferentes escenarios, desde la explosión de gas libre de un tanque roto hasta liberaciones moderadas y bastante lentas de pequeños pinchazos.
El comportamiento de varios gases en caso de fuga.
Al desarrollar modelos de cálculo de liberación, es muy importante determinar las siguientes condiciones que afectan el comportamiento potencial del sistema:
Los cálculos exactos correspondientes a un proceso de liberación en el que el gas licuado escapa de un orificio en forma de chorro y luego se evapora (o, alternativamente, primero se convierte en una neblina de gotas) son difíciles. La especificación de la dispersión posterior de las nubes resultantes también es un problema difícil. Se debe tener en cuenta los movimientos y la dispersión de las emisiones de gas, si el gas forma nubes visibles o invisibles y si el gas se eleva o permanece a nivel del suelo.
Mientras que el hidrógeno es un gas ligero en comparación con cualquier atmósfera, el gas amoníaco (NH3, con un peso molecular de 17.0) se elevará en una atmósfera ordinaria de oxígeno y nitrógeno similar al aire a la misma temperatura y presión. Cloro (Cl2, con un peso molecular de 70.9) y butano (C4H10, mol. wt.58) son ejemplos de productos químicos cuyas fases gaseosas son más densas que el aire, incluso a temperatura ambiente. Acetileno (C2H2, mol. peso 26.0) tiene una densidad de aproximadamente 0.90 g/l, acercándose a la del aire (1.0 g/l), lo que significa que en un entorno de trabajo, el gas de soldadura que se escapa no tendrá una tendencia pronunciada a flotar hacia arriba o a hundirse hacia abajo; por lo tanto puede mezclarse fácilmente con la atmósfera.
Pero el amoníaco liberado de un recipiente a presión como líquido se enfriará al principio como consecuencia de su evaporación y luego puede escapar a través de varios pasos:
Incluso una nube de gas ligero puede no surgir inmediatamente de una liberación de gas líquido; primero puede formar una niebla, una nube de gotitas, y permanecer cerca del suelo. El movimiento de la nube de gas y la mezcla/dilución gradual con la atmósfera circundante depende de los parámetros meteorológicos y del entorno circundante: área cerrada, área abierta, casas, tráfico, presencia de público, trabajadores, etc.
Falla del tanque
Las consecuencias de la avería del tanque pueden incluir fuego y explosión, asfixia, envenenamiento y asfixia, como lo demuestra la experiencia con los sistemas de producción y manejo de gas (propano, metano, nitrógeno, hidrógeno, etc.), con tanques de amoníaco o cloro, y con soldadura de gas ( utilizando acetileno y oxígeno). Lo que realmente inicia la formación de un agujero en un tanque tiene una fuerte influencia en el "comportamiento" del agujero, que a su vez influye en la salida de gas, y es crucial para la eficacia de los esfuerzos de prevención. Un recipiente a presión está diseñado y construido para resistir ciertas condiciones de uso e impacto ambiental, y para manejar un determinado gas, o quizás una selección de gases. Las capacidades reales de un tanque dependen de su forma, materiales, soldadura, protección, uso y clima; por lo tanto, la evaluación de su idoneidad como contenedor de gas peligroso debe considerar las especificaciones del diseñador, el historial del tanque, las inspecciones y las pruebas. Las áreas críticas incluyen las costuras de soldadura utilizadas en la mayoría de los recipientes a presión; los puntos donde accesorios como entradas, salidas, soportes e instrumentos están conectados a la embarcación; los extremos planos de tanques cilíndricos como tanques de ferrocarril; y otros aspectos de formas geométricas aún menos óptimas.
Las costuras de soldadura se investigan visualmente, con rayos X o mediante pruebas destructivas de muestras, ya que pueden revelar defectos locales, por ejemplo, en forma de resistencia reducida que podría poner en peligro la resistencia general del recipiente, o incluso ser un punto desencadenante de un tanque agudo. falla.
La resistencia del tanque se ve afectada por el historial de uso del tanque; en primer lugar, por los procesos normales de desgaste y los ataques de arañazos y corrosión típicos de la industria en particular y de la aplicación. Otros parámetros históricos de particular interés incluyen:
El material de construcción (placa de acero, placa de aluminio, hormigón para aplicaciones no presurizadas, etc.) puede sufrir un deterioro por estas influencias que no siempre es posible comprobar sin sobrecargar o destruir el equipo durante la prueba.
Caso de accidente: Flixborough
La explosión de una gran nube de ciclohexano en Flixborough (Reino Unido) en 1974, que mató a 28 personas y causó grandes daños a la planta, sirve como un caso muy instructivo. El evento desencadenante fue la ruptura de una tubería temporal que servía de reemplazo en una unidad de reactor. El accidente fue "causado" por la rotura de una pieza de hardware, pero una investigación más detallada reveló que la avería se debió a una sobrecarga y que la construcción temporal era, de hecho, inadecuada para el uso previsto. Después de dos meses de servicio, la tubería estuvo expuesta a fuerzas de flexión debido a un ligero aumento de presión de 10 bar (106 Pa) contenido de ciclohexano a unos 150°C. Los dos fuelles entre la tubería y los reactores cercanos se rompieron y se liberaron de 30 a 50 toneladas de ciclohexano que pronto se incendiaron, probablemente por un horno a cierta distancia de la fuga. (Véase la figura 1.) En Kletz (1988) se encuentra un relato muy ameno del caso.
Figura 1. Conexión temporal entre tanques en Flixborough
Análisis de Peligros
Los métodos que se han desarrollado para encontrar los riesgos que pueden ser relevantes para un equipo, para un proceso químico o para una determinada operación se denominan “análisis de peligros”. Estos métodos hacen preguntas como: "¿Qué puede salir mal?" “¿Podría ser serio?” ¿Y qué se puede hacer al respecto?" A menudo se combinan diferentes métodos para realizar los análisis para lograr una cobertura razonable, pero ninguno de esos conjuntos puede hacer más que guiar o ayudar a un equipo inteligente de analistas en sus determinaciones. Las principales dificultades con el análisis de peligros son las siguientes:
Para producir evaluaciones de riesgo utilizables en estas circunstancias, es importante definir estrictamente el alcance y el nivel de "ambición" apropiado para el análisis en cuestión; por ejemplo, está claro que no se necesita el mismo tipo de información para propósitos de seguros que para propósitos de diseño, o para la planificación de esquemas de protección y la construcción de arreglos de emergencia. En términos generales, el cuadro de riesgo debe completarse mezclando técnicas empíricas (es decir, estadísticas) con razonamiento deductivo y una imaginación creativa.
Las diferentes herramientas de evaluación de riesgos, incluso los programas informáticos para el análisis de riesgos, pueden ser muy útiles. El estudio de peligros y operabilidad (HAZOP) y el análisis de modo y efecto de falla (FMEA) son métodos comúnmente utilizados para investigar peligros, especialmente en la industria química. El punto de partida del método HAZOP es el rastreo de posibles escenarios de riesgo basados en un conjunto de palabras guía; para cada escenario hay que identificar las causas probables y las consecuencias. En la segunda etapa, se trata de encontrar medios para reducir las probabilidades o mitigar las consecuencias de aquellos escenarios juzgados como inaceptables. Se puede encontrar una revisión del método HAZOP en Charsley (1995). El método FMEA hace una serie de preguntas "qué pasaría si" para cada componente de riesgo posible para determinar completamente cualquier modo de falla que pueda existir y luego identificar los efectos que pueden tener en el rendimiento del sistema; dicho análisis se ilustrará en el ejemplo de demostración (para un sistema de gas) presentado más adelante en este artículo.
árboles de fallas y Los árboles de eventos y los modos de análisis lógico propios de las estructuras de causalidad de accidentes y el razonamiento de probabilidad no son específicos del análisis de peligros de hardware, ya que son herramientas generales para las evaluaciones de riesgos del sistema.
Rastreo de peligros de hardware en una planta industrial
Para identificar posibles peligros, se puede buscar información sobre la construcción y la función en:
Al seleccionar y digerir dicha información, los analistas forman una imagen del objeto de riesgo en sí, sus funciones y su uso real. Donde las cosas aún no están construidas, o no están disponibles para inspección, no se pueden hacer observaciones importantes y la evaluación debe basarse completamente en descripciones, intenciones y planes. Tal evaluación puede parecer bastante pobre, pero de hecho, la mayoría de las evaluaciones de riesgos prácticas se realizan de esta manera, ya sea para buscar la aprobación autorizada de las solicitudes para emprender nuevas construcciones, o para comparar la seguridad relativa de soluciones de diseño alternativas. Se consultarán los procesos de la vida real para obtener la información que no se muestra en los diagramas formales o que no se describe verbalmente mediante una entrevista, y para verificar que la información recopilada de estas fuentes sea objetiva y represente las condiciones reales. Estos incluyen lo siguiente:
La mayor parte de esta información adicional, especialmente las rutas furtivas, solo es detectable por observadores hábiles y creativos con una experiencia considerable, y parte de la información sería casi imposible de rastrear con mapas y diagramas. caminos furtivos denotan interacciones no deseadas e imprevistas entre sistemas, donde la operación de un sistema afecta la condición o la operación de otro sistema a través de formas distintas a las funcionales. Esto suele suceder cuando las piezas funcionalmente diferentes están situadas una cerca de la otra o (por ejemplo) una sustancia que gotea gotea sobre el equipo que se encuentra debajo y provoca una falla. Otro modo de acción de una ruta furtiva puede implicar la introducción de sustancias o partes incorrectas en un sistema por medio de instrumentos o herramientas durante la operación o el mantenimiento: las estructuras previstas y sus funciones previstas se cambian a través de las rutas furtivas. Por fallas de modo común uno significa que ciertas condiciones, como inundaciones, relámpagos o cortes de energía, pueden perturbar varios sistemas a la vez, lo que tal vez provoque apagones o accidentes inesperadamente grandes. Por lo general, uno trata de evitar los efectos furtivos y las fallas de modo común a través de diseños adecuados e introduciendo distancia, aislamiento y diversidad en las operaciones de trabajo.
Un caso de análisis de peligros: entrega de gas desde un barco a un tanque
La figura 2 muestra un sistema para la entrega de gas desde un barco de transporte a un tanque de almacenamiento. Una fuga podría aparecer en cualquier parte de este sistema: barco, línea de transmisión, tanque o línea de salida; teniendo en cuenta los dos depósitos del tanque, una fuga en algún lugar de la línea podría permanecer activa durante horas.
Figura 2. Línea de transmisión para la entrega de gas licuado desde el barco hasta el tanque de almacenamiento
Los componentes más críticos del sistema son los siguientes:
Un tanque de almacenamiento con un gran inventario de gas licuado se coloca en la parte superior de esta lista, porque es difícil detener una fuga de un tanque con poca antelación. El segundo elemento de la lista, la conexión al barco, es fundamental porque las fugas en la tubería o la manguera y las conexiones sueltas o los acoplamientos con juntas desgastadas y las variaciones entre los diferentes barcos podrían liberar el producto. Las piezas flexibles, como las mangueras y los fuelles, son más críticas que las piezas rígidas y requieren mantenimiento e inspección regulares. Los dispositivos de seguridad como la válvula de liberación de presión en la parte superior del tanque y las dos válvulas de cierre de emergencia son críticos, ya que se debe confiar en ellos para revelar fallas latentes o en desarrollo.
Hasta este punto, la clasificación de los componentes del sistema en cuanto a su importancia con respecto a la confiabilidad ha sido únicamente de carácter general. Ahora, con fines analíticos, se llamará la atención sobre las funciones particulares del sistema, siendo la principal, por supuesto, el movimiento de gas licuado desde el barco hasta el tanque de almacenamiento hasta que el tanque del barco conectado esté vacío. El peligro principal es una fuga de gas, siendo los posibles mecanismos contribuyentes uno o más de los siguientes:
Aplicación del método FMEA
La idea central del enfoque FMEA, o análisis “qué pasaría si”, es registrar explícitamente, para cada componente del sistema, sus modos de falla y para cada falla para encontrar las posibles consecuencias para el sistema y el medio ambiente. Para componentes estándar como un tanque, tubería, válvula, bomba, caudalímetro, etc., los modos de falla siguen patrones generales. En el caso de una válvula, por ejemplo, los modos de falla podrían incluir las siguientes condiciones:
Para una tubería, los modos de falla considerarían elementos como:
Los efectos de las fugas parecen obvios, pero a veces los efectos más importantes pueden no ser los primeros efectos: ¿qué sucede, por ejemplo, si una válvula se atasca en una posición medio abierta? Una válvula de cierre en la línea de entrega que no se abre por completo cuando se requiere retrasará el proceso de llenado del tanque, una consecuencia no peligrosa. Pero si la condición de "atascado medio abierto" surge al mismo tiempo que se realiza una demanda de cierre, en un momento en que el tanque está casi lleno, podría producirse un sobrellenado (a menos que la válvula de cierre de emergencia se active con éxito). En un sistema diseñado y operado adecuadamente, la probabilidad de que ambas válvulas estén atascadas simultáneamente se mantendrá bastante bajo.
Evidentemente, el hecho de que una válvula de seguridad no funcione a demanda podría significar un desastre; de hecho, se podría afirmar justificadamente que las fallas latentes amenazan constantemente todos los dispositivos de seguridad. Las válvulas de alivio de presión, por ejemplo, pueden estar defectuosas debido a la corrosión, suciedad o pintura (típicamente debido a un mal mantenimiento), y en el caso del gas líquido, tales defectos en combinación con la disminución de la temperatura en una fuga de gas podrían producir hielo y por lo tanto reducir o quizás detener el flujo de material a través de una válvula de seguridad. Si una válvula de alivio de presión no funciona según la demanda, la presión puede acumularse en un tanque o en los sistemas de tanques conectados, lo que eventualmente causará otras fugas o la ruptura del tanque.
Por simplicidad, los instrumentos no se muestran en la figura 2; por supuesto, habrá instrumentos relacionados con la presión, el flujo y la temperatura, que son parámetros esenciales para monitorear el estado del sistema, las señales relevantes se transmiten a las consolas del operador o a una sala de control para fines de control y monitoreo. Además, habrá líneas de alimentación distintas a las destinadas al transporte de materiales -para electricidad, hidráulica, etc.- y dispositivos de seguridad extra. Un análisis completo debe pasar por estos sistemas también y buscar los modos de falla. y los efectos de estos componentes también. En particular, el trabajo de detección de efectos de modo común y caminos furtivos requiere que uno construya la imagen integral de los componentes principales del sistema, controles, instrumentos, suministros, operadores, horarios de trabajo, mantenimiento, etc.
Los ejemplos de efectos de modo común a considerar en relación con los sistemas de gas se abordan mediante preguntas como las siguientes:
Incluso un sistema excelentemente diseñado con redundancia y líneas de alimentación independientes puede sufrir un mantenimiento inferior, donde, por ejemplo, una válvula y su válvula de respaldo (la válvula de cierre de emergencia en nuestro caso) se han dejado en un estado incorrecto después de un prueba. Un efecto de modo común prominente con un sistema de manejo de amoníaco es la situación de fuga en sí misma: una fuga moderada puede hacer que todas las operaciones manuales en los componentes de la planta sean bastante incómodas, y retrasadas, debido al despliegue de la protección de emergencia requerida.
Resumen
Los componentes de hardware rara vez son las partes culpables en el desarrollo de accidentes; más bien, hay causas fundamentales que se encuentran en otros eslabones de la cadena: conceptos erróneos, malos diseños, errores de mantenimiento, errores del operador, errores de gestión, etc. Ya se han dado varios ejemplos de las condiciones y actos específicos que pueden conducir al desarrollo de fallas; una colección amplia de tales agentes tendría en cuenta lo siguiente:
El control de los peligros del hardware en un entorno de trabajo requiere la revisión de todas las posibles causas y el respeto de las condiciones que se consideran críticas con los sistemas reales. Las implicaciones de esto para la organización de los programas de gestión de riesgos se tratan en otros artículos, pero, como lo indica claramente la lista anterior, el seguimiento y control de las condiciones del hardware puede ser necesario hasta la elección de los conceptos y diseños para el sistemas y procesos seleccionados.
A través de la industrialización, los trabajadores se organizaron en fábricas a medida que se hizo posible la utilización de fuentes de energía como la máquina de vapor. Frente a la artesanía tradicional, la producción mecanizada, con fuentes de energía superior a su disposición, presentaba nuevos riesgos de accidentes. A medida que aumentaba la cantidad de energía, los trabajadores quedaban fuera del control directo de estas energías. Las decisiones que afectaban la seguridad a menudo se tomaban a nivel de gestión en lugar de aquellos directamente expuestos a estos riesgos. En esta etapa de industrialización, se hizo evidente la necesidad de una gestión de la seguridad.
A fines de la década de 1920, Heinrich formuló el primer marco teórico integral para la gestión de la seguridad, según el cual la seguridad debe buscarse mediante decisiones de gestión basadas en la identificación y el análisis de las causas de los accidentes. En este punto del desarrollo de la gestión de la seguridad, los accidentes se atribuyeron a fallas a nivel del sistema trabajador-máquina, es decir, a actos inseguros y condiciones inseguras.
Posteriormente, se desarrollaron diversas metodologías para la identificación y evaluación de riesgos de accidentes. Con MORT (Management Oversight and Risk Tree), el enfoque se desplazó a los órdenes superiores de control de riesgos de accidentes, es decir, al control de las condiciones a nivel de gestión. La iniciativa de desarrollar MORT fue tomada a fines de la década de 1960 por la Administración de Investigación y Desarrollo de Energía de EE. UU., que quería mejorar sus programas de seguridad para reducir sus pérdidas debido a accidentes.
El diagrama MORT y los principios subyacentes
La intención de MORT era formular un sistema ideal de gestión de la seguridad basado en una síntesis de los mejores elementos del programa de seguridad y técnicas de gestión de la seguridad disponibles en ese momento. A medida que los principios subyacentes de la iniciativa MORT se aplicaron al estado actual de la gestión de la seguridad, la literatura y la experiencia en seguridad, en gran parte no estructuradas, tomaron la forma de un árbol analítico. La primera versión del árbol se publicó en 1971. La figura 1 muestra los elementos básicos de la versión del árbol que publicó Johnson en 1980. El árbol también aparece modificado en publicaciones posteriores sobre el tema del concepto MORT ( véase, por ejemplo, Knox y Eicher 1992).
Figura 1. Una versión del árbol analítico MORT
El diagrama MORT
MORT se utiliza como una herramienta práctica en las investigaciones de accidentes y en las evaluaciones de los programas de seguridad existentes. El evento superior del árbol en la figura 1 (Johnson 1980) representa las pérdidas (experimentadas o potenciales) debidas a un accidente. Debajo de este evento superior se encuentran tres ramas principales: descuidos y omisiones específicos (S), descuidos y omisiones de gestión (M) y riesgos asumidos (R). Él R-rama consiste en riesgos asumidos, que son eventos y condiciones que son conocidos por la administración y que han sido evaluados y aceptados en el nivel de administración adecuado. Otros eventos y condiciones que se revelan a través de las evaluaciones que siguen a las ramas S y M se denominan "menos que adecuados" (LTA).
El rama S se enfoca en los eventos y condiciones de la ocurrencia real o potencial. (En general, el tiempo se muestra leyendo de izquierda a derecha, y la secuencia de causas se muestra leyendo de abajo hacia arriba). Las estrategias de Haddon (1980) para la prevención de accidentes son elementos clave en esta rama. Un evento se denota como un accidente cuando un objetivo (una persona u objeto) está expuesto a una transferencia descontrolada de energía y sufre daños. En la rama S de MORT, los accidentes se evitan mediante barreras. Hay tres tipos básicos de barreras: (1) barreras que rodean y confinan la fuente de energía (el peligro), (2) barreras que protegen el objetivo y (3) barreras que separan el peligro y el objetivo físicamente o en tiempo o espacio . Estos diferentes tipos de barreras se encuentran en el desarrollo de las ramas por debajo del evento accidental. La mejora se relaciona con las acciones tomadas después del accidente para limitar las pérdidas.
En el siguiente nivel de la rama S, se reconocen los factores que se relacionan con las diferentes fases del ciclo de vida de un sistema industrial. Estas son la fase de proyecto (diseño y planificación), puesta en marcha (disposición operativa) y operación (supervisión y mantenimiento).
El rama M apoya un proceso en el que los hallazgos específicos de una investigación de accidentes o la evaluación de un programa de seguridad se vuelven más generales. Los eventos y condiciones de la rama S a menudo tienen sus contrapartes en la rama M. Cuando se involucra con el sistema en la rama M, el pensamiento del analista se expande al sistema de gestión total. Por lo tanto, cualquier recomendación afectará también a muchos otros posibles escenarios de accidentes. Las funciones más importantes de gestión de la seguridad se pueden encontrar en la rama M: el establecimiento de políticas, la implementación y el seguimiento. Estos son los mismos elementos básicos que encontramos en los principios de garantía de calidad de la serie ISO 9000 publicados por la Organización Internacional de Normalización (ISO).
Cuando se elaboran detalladamente las ramas del diagrama MORT, se encuentran elementos de campos tan diferentes como el análisis de riesgos, el análisis de factores humanos, los sistemas de información de seguridad y el análisis organizacional. En total, el diagrama MORT cubre alrededor de 1,500 eventos básicos.
Aplicación del Diagrama MORT
Como se indicó, el diagrama MORT tiene dos usos inmediatos (Knox y Eicher 1992): (1) para analizar los factores de gestión y organización en relación con un accidente que ha ocurrido y (2) para evaluar o auditar un programa de seguridad en relación con un accidente significativo que tiene el potencial de ocurrir. El diagrama MORT funciona como una herramienta de selección en la planificación de los análisis y evaluaciones. También se utiliza como lista de verificación para comparar las condiciones reales con el sistema idealizado. En esta aplicación, MORT facilita comprobar la integridad del análisis y evitar sesgos personales.
En el fondo, MORT se compone de una colección de preguntas. Los criterios que guían los juicios sobre si los eventos y condiciones específicos son satisfactorios o menos que adecuados se derivan de estas preguntas. A pesar del diseño directivo de las preguntas, los juicios hechos por el analista son en parte subjetivos. Por lo tanto, se ha vuelto importante asegurar una adecuada calidad y grado de intersubjetividad entre los análisis MORT realizados por diferentes analistas. Por ejemplo, en los Estados Unidos, se encuentra disponible un programa de capacitación para la certificación de analistas MORT.
Experiencias con MORT
La literatura sobre las evaluaciones de MORT es escasa. Johnson informa mejoras significativas en la exhaustividad de las investigaciones de accidentes después de la introducción de MORT (Johnson 1980). Las deficiencias en los niveles de supervisión y gestión se revelaron de manera más sistemática. También se ha obtenido experiencia de las evaluaciones de aplicaciones MORT dentro de la industria finlandesa (Ruuhilehto 1993). Se han identificado algunas limitaciones en los estudios finlandeses. MORT no admite la identificación de riesgos inmediatos debido a fallas y perturbaciones. Además, el concepto MORT no tiene capacidad para establecer prioridades. En consecuencia, los resultados de los análisis MORT necesitan una mayor evaluación para traducirlos en acciones correctivas. Finalmente, la experiencia muestra que MORT lleva mucho tiempo y requiere la participación de expertos.
Además de su capacidad para centrarse en los factores organizativos y de gestión, MORT tiene la ventaja adicional de conectar la seguridad con las actividades normales de producción y la gestión general. Por lo tanto, la aplicación de MORT respaldará la planificación y el control generales, y también ayudará a reducir la frecuencia de las perturbaciones en la producción.
Métodos y técnicas de gestión de la seguridad asociados
Con la introducción del concepto MORT a principios de la década de 1970, se inició un programa de desarrollo en los Estados Unidos. El punto focal de este programa ha sido el Centro de Desarrollo de Seguridad del Sistema en Idaho Falls. Este programa ha dado como resultado diferentes métodos y técnicas asociados con MORT en áreas como el análisis de factores humanos, los sistemas de información de seguridad y el análisis de seguridad. Un ejemplo temprano de un método que surge del programa de desarrollo MORT es el Programa de preparación operativa (Nertney 1975). Este programa se introduce durante el desarrollo de nuevos sistemas industriales y modificaciones de los existentes. El objetivo es garantizar que, desde el punto de vista de la gestión de la seguridad, el sistema nuevo o modificado esté listo en el momento de la puesta en marcha. Una condición de disponibilidad operativa presupone que se han instalado las barreras y los controles necesarios en el hardware, el personal y los procedimientos del nuevo sistema. Otro ejemplo de un elemento del programa MORT es el análisis de causa raíz basado en MORT (Cornelison 1989). Se utiliza para identificar los problemas básicos de gestión de la seguridad de una organización. Esto se hace relacionando los resultados específicos de los análisis MORT con 27 problemas genéricos de gestión de la seguridad operacional diferentes.
Aunque MORT no está diseñado para usarse directamente en la recopilación de información durante investigaciones de accidentes y auditorías de seguridad, en Escandinavia, las preguntas MORT han servido como base para el desarrollo de una herramienta de diagnóstico utilizada para este propósito. Se denomina Técnica de revisión de la gestión y la organización de la seguridad, o SMORT (Kjellén y Tinmannsvik 1989). Un análisis SMORT avanza hacia atrás en pasos, comenzando desde la situación específica y terminando en el nivel de gestión general. El punto de partida (nivel 1) es una secuencia de accidente o una situación de riesgo. En el nivel 2, se analizan la organización, la planificación del sistema y los factores técnicos relacionados con la operación diaria. Los niveles posteriores incluyen el diseño de nuevos sistemas (nivel 3) y funciones de gestión superiores (nivel 4). Los hallazgos en un nivel se extienden a los niveles superiores. Por ejemplo, los resultados relacionados con la secuencia de accidentes y con las operaciones diarias se utilizan en el análisis de la organización y las rutinas de la empresa para el trabajo del proyecto (nivel 3). Los resultados del nivel 3 no afectarán la seguridad en las operaciones existentes, pero pueden aplicarse a la planificación de nuevos sistemas y modificaciones. SMORT también difiere de MORT en la forma en que se identifican los hallazgos. En el nivel 1, estos son eventos y condiciones observables que se desvían de las normas generalmente aceptadas. Cuando los factores organizativos y de gestión se incorporan al análisis en los niveles 2 a 4, los hallazgos se identifican mediante juicios de valor realizados por un grupo de análisis y se verifican mediante un procedimiento de control de calidad. El objetivo es asegurar una comprensión mutuamente compartida de los problemas organizacionales.
Resumen
MORT ha sido fundamental en los desarrollos dentro de la gestión de la seguridad desde la década de 1970. Es posible rastrear la influencia de MORT en áreas tales como literatura de investigación de seguridad, literatura sobre gestión de seguridad y herramientas de auditoría, y legislación sobre autorregulación y control interno. A pesar de este impacto, sus limitaciones deben ser cuidadosamente consideradas. El MORT y los métodos asociados son normativos en el sentido de que prescriben cómo deben organizarse y ejecutarse los programas de gestión de la seguridad. Lo ideal es una organización bien estructurada con metas claras y realistas y líneas bien definidas de responsabilidad y autoridad. Por lo tanto, MORT es más adecuado para organizaciones grandes y burocráticas.
Sistemas de inspección
La auditoría se ha definido como “el proceso estructurado de recopilación de información independiente sobre la eficiencia, la eficacia y la confiabilidad del sistema total de gestión de la seguridad y la elaboración de planes para la acción correctiva” (Gestión exitosa de la salud y la seguridad, 1991).
Por lo tanto, la inspección del lugar de trabajo no es solo la etapa final en el establecimiento de un programa de gestión de la seguridad, sino también un proceso continuo en su mantenimiento. Solo puede llevarse a cabo cuando se ha establecido un sistema de gestión de la seguridad debidamente diseñado. Dicho sistema contempla primero una declaración de política formal de la gerencia que establece sus principios para crear un ambiente de trabajo saludable y seguro y luego establece los mecanismos y las estructuras dentro de la organización mediante los cuales estos principios se implementarán de manera efectiva. Además, la gerencia debe comprometerse a proporcionar los recursos adecuados, tanto humanos como financieros, para apoyar los mecanismos y estructuras del sistema. A partir de entonces, debe haber una planificación detallada para la seguridad y la salud, y la definición de metas medibles. Deben diseñarse sistemas para garantizar que el desempeño de la seguridad y la salud en la práctica pueda medirse frente a las normas establecidas y frente a los logros anteriores. Solo cuando esta estructura esté establecida y en funcionamiento se podrá aplicar un sistema de auditoría de gestión eficaz.
Se pueden diseñar, producir e implementar sistemas completos de gestión de seguridad y salud con los recursos de empresas más grandes. Además, hay una serie de sistemas de control de gestión de seguridad que están disponibles a través de consultores, compañías de seguros, agencias gubernamentales, asociaciones y empresas especializadas. Corresponde a la empresa decidir si debe producir su propio sistema u obtener servicios externos. Ambas alternativas son capaces de producir excelentes resultados si existe un compromiso real por parte de la dirección para aplicarlas con diligencia y hacer que funcionen. Pero su éxito depende en gran medida de la calidad del sistema de auditoría.
Inspecciones de Gestión
El procedimiento de inspección debe ser tan minucioso y objetivo como la inspección financiera de la empresa. La inspección debe primero determinar si la declaración de la política de seguridad y salud de la empresa se refleja adecuadamente en las estructuras y mecanismos creados para implementarla; de no ser así, la inspección puede recomendar que se reevalúe la política fundamental o sugerir ajustes o alteraciones a las estructuras y mecanismos existentes. Un proceso similar debe aplicarse a la planificación de la seguridad y la salud, a la validez de las normas de establecimiento de metas ya la medición del desempeño. Los resultados de cualquier inspección deben ser considerados por la alta dirección de la empresa, y cualquier corrección debe ser respaldada e implementada a través de esa autoridad.
En la práctica, no es deseable, ya menudo poco práctico, realizar una inspección completa de todas las características de un sistema y su aplicación en todos los departamentos de la empresa al mismo tiempo. Por lo general, el procedimiento de inspección se concentra en una característica del sistema de gestión de seguridad total en toda la planta o, alternativamente, en la aplicación de todas las características en un departamento o incluso en un subdepartamento. Pero el objetivo es cubrir todas las características en todos los departamentos durante un período acordado para validar los resultados.
En este sentido, la inspección de la gestión debe considerarse como un proceso continuo de vigilancia. La necesidad de objetividad es claramente de considerable importancia. Si las inspecciones se realizan internamente, debe haber un procedimiento de inspección estandarizado; las inspecciones deben ser realizadas por personal debidamente capacitado para este fin; y los seleccionados como inspectores no deben evaluar los departamentos en los que normalmente trabajan, ni deben evaluar cualquier otro trabajo en el que tengan una participación personal. Cuando se confía en consultores, este problema se minimiza.
Muchas empresas importantes han adoptado este tipo de sistema, ya sea ideado internamente u obtenido como un esquema propietario. Cuando los sistemas se han seguido cuidadosamente desde la declaración de la política hasta la inspección, la retroalimentación y las acciones correctivas, debería resultar una reducción sustancial en las tasas de accidentes, que es la principal justificación del procedimiento, y una mayor rentabilidad, que es un resultado secundario bienvenido.
Inspecciones por Inspecciones
El marco legal que está diseñado para brindar protección a las personas en el trabajo debe administrarse adecuadamente y aplicarse de manera efectiva si se quiere lograr el propósito de la legislación reglamentaria. Por lo tanto, la mayoría de los países han adoptado el modelo amplio de un servicio de inspección que tiene el deber de garantizar que se haga cumplir la legislación sobre seguridad y salud. Muchos países ven las cuestiones de seguridad y salud como parte de un paquete completo de relaciones laborales que cubre las relaciones laborales, los acuerdos sobre salarios y vacaciones, y los beneficios sociales. En este modelo, las inspecciones de seguridad y salud son un elemento de las funciones del inspector del trabajo. También existe un modelo diferente en el que la inspección estatal se ocupa exclusivamente de la legislación de seguridad y salud, por lo que las inspecciones de los lugares de trabajo se concentran únicamente en este aspecto. Otras variaciones son evidentes en la división de las funciones de inspección entre una inspección nacional o una inspección regional/provincial o, de hecho, como en Italia y el Reino Unido, por ejemplo, como una combinación de trabajo de inspecciones tanto nacionales como regionales. Pero cualquiera que sea el modelo que se adopte, la función esencial de la inspección es determinar el cumplimiento de la legislación mediante un programa de inspecciones e investigaciones planificadas en el lugar de trabajo.
No puede haber un sistema de inspección efectivo a menos que aquellos que emprenden este trabajo tengan los poderes adecuados para llevarlo a cabo. Hay muchos puntos en común entre los servicios de inspección con respecto a los poderes que les otorgan sus legisladores. Siempre debe existir el derecho de entrada a los locales, que es claramente fundamental para la inspección. A partir de entonces, existe el derecho legal de examinar los documentos, registros e informes pertinentes, de entrevistar a los miembros de la fuerza laboral, ya sea individual o colectivamente, de tener acceso sin restricciones a los representantes sindicales en el lugar de trabajo, de tomar muestras de sustancias o materiales en uso en el lugar de trabajo. , tomar fotografías y, en su caso, tomar declaraciones escritas de las personas que trabajan en el local.
A menudo se otorgan poderes adicionales para permitir que los inspectores rectifiquen las condiciones que podrían ser una fuente inmediata de peligro o mala salud para la fuerza laboral. Nuevamente hay una amplia variedad de prácticas. Cuando las normas son tan deficientes que existe un riesgo inminente de peligro para la mano de obra, entonces se puede autorizar a un inspector para que entregue un documento legal en el lugar que prohíba el uso de la maquinaria o la planta, o que detenga el proceso hasta que el riesgo haya sido efectivamente eliminado. revisado. Para un orden de riesgo más bajo, los inspectores pueden emitir un aviso legal exigiendo formalmente que se tomen medidas dentro de un tiempo determinado para mejorar los estándares. Estas son formas efectivas de mejorar rápidamente las condiciones de trabajo y, a menudo, son una forma de ejecución preferible a los procedimientos judiciales formales, que pueden ser engorrosos y lentos para obtener una reparación.
Los procedimientos judiciales ocupan un lugar importante en la jerarquía de ejecución. Existe el argumento de que debido a que los procedimientos judiciales son simplemente punitivos y no necesariamente dan como resultado un cambio de actitud hacia la seguridad y la salud en el trabajo, por lo tanto, deben invocarse solo como último recurso cuando todos los demás intentos de lograr mejoras han fracasado. Pero este punto de vista debe contrastarse con el hecho de que cuando se han ignorado o desatendido los requisitos legales, y cuando la seguridad y la salud de las personas se han puesto en peligro de manera significativa, entonces se debe hacer cumplir la ley y los tribunales deben decidir la cuestión. Existe el argumento adicional de que aquellas empresas que hacen caso omiso de la legislación sobre seguridad y salud pueden disfrutar de una ventaja económica sobre sus competidores, quienes proporcionan los recursos adecuados para cumplir con sus obligaciones legales. Por lo tanto, el enjuiciamiento de quienes incumplen persistentemente sus deberes es un elemento disuasorio para los inescrupulosos y un estímulo para quienes intentan observar la ley.
Cada servicio de inspección tiene que determinar el equilibrio adecuado entre brindar asesoramiento y hacer cumplir la ley en el curso del trabajo de inspección. Surge una dificultad especial en relación con la inspección de las pequeñas empresas. Las economías locales, y de hecho las economías nacionales, a menudo se sustentan en instalaciones industriales, cada una de las cuales emplea a menos de 20 personas; en el caso de la agricultura, la cifra de empleo por unidad es mucho menor. La función de la inspección en estos casos es utilizar la inspección del lugar de trabajo para proporcionar información y asesoramiento no solo sobre los requisitos legales, sino también sobre las normas prácticas y las formas eficaces de cumplir dichas normas. La técnica debe ser para alentar y estimular, en lugar de hacer cumplir inmediatamente la ley mediante una acción punitiva. Pero incluso aquí el equilibrio es difícil. Las personas en el trabajo tienen derecho a normas de seguridad y salud independientemente del tamaño de la empresa y, por lo tanto, sería totalmente erróneo que un servicio de inspección ignorara o minimizara los riesgos y redujera o incluso renunciara a la aplicación simplemente para fomentar la existencia de los económicamente frágiles. pequeña empresa
Consistencia de las Inspecciones
En vista de la naturaleza compleja de su trabajo, con sus necesidades combinadas de habilidades legales, prudenciales, técnicas y científicas, los inspectores no deben adoptar un enfoque mecanicista para la inspección. Esta restricción, combinada con un difícil equilibrio entre las funciones de asesoramiento y ejecución, genera otra preocupación, la de la coherencia de los servicios de inspección. Los industriales y los sindicatos tienen derecho a esperar una aplicación coherente de las normas, ya sean técnicas o legales, por parte de los inspectores de todo el país. En la práctica, esto no siempre es fácil de lograr, pero es algo por lo que las autoridades de aplicación siempre deben esforzarse.
Hay formas de lograr una consistencia aceptable. En primer lugar, la inspección debe ser lo más abierta posible al publicar sus normas técnicas y al establecer públicamente sus políticas de aplicación. En segundo lugar, a través de la capacitación, la aplicación de ejercicios de revisión por pares y las instrucciones internas, debe ser capaz tanto de reconocer un problema como de proporcionar sistemas para tratarlo. Por último, debe garantizar que existan procedimientos para que la industria, los trabajadores, el público y los interlocutores sociales obtengan reparación si tienen una queja legítima por incoherencia u otras formas de mala administración asociadas con la inspección.
Frecuencia de las inspecciones
¿Con qué frecuencia deben las inspecciones realizar inspecciones del lugar de trabajo? Nuevamente, existe una variación considerable en la forma en que se puede responder a esta pregunta. La Organización Internacional del Trabajo (OIT) sostiene que el requisito mínimo debe ser que cada lugar de trabajo reciba una inspección de las autoridades competentes al menos una vez al año. En la práctica, pocos países logran producir un programa de inspección del trabajo que cumpla con este objetivo. De hecho, desde la gran depresión económica de fines de la década de 1980, algunos gobiernos han estado restringiendo los servicios de inspección por limitaciones presupuestarias que resultan en recortes en el número de inspectores, o por restricciones en la contratación de personal nuevo para reemplazar a los que se jubilan.
Existen diferentes enfoques para determinar la frecuencia con la que se deben realizar las inspecciones. Un enfoque ha sido puramente cíclico. Se despliegan recursos para inspeccionar todas las instalaciones cada dos años o, más probablemente, cada cuatro años. Pero este enfoque, aunque posiblemente tenga la apariencia de equidad, trata todas las premisas como iguales sin importar el tamaño o el riesgo. Sin embargo, las empresas son manifiestamente diversas en lo que respecta a las condiciones de seguridad y salud, y en la medida en que difieren, este sistema puede considerarse mecanicista y defectuoso.
Un enfoque diferente, adoptado por algunas inspecciones, ha sido intentar elaborar un programa de trabajo basado en el peligro; cuanto mayor sea el peligro para la seguridad o la salud, más frecuente será la inspección. Por lo tanto, la inspección asigna recursos a aquellos lugares donde el potencial de daño a la fuerza laboral es mayor. Aunque este enfoque tiene méritos, todavía hay problemas considerables asociados con él. En primer lugar, existen dificultades para evaluar con precisión y objetividad el peligro y el riesgo. En segundo lugar, amplía considerablemente los intervalos entre inspecciones de aquellas instalaciones donde los peligros y riesgos se consideran bajos. Por lo tanto, pueden transcurrir períodos prolongados durante los cuales gran parte de la fuerza laboral tenga que renunciar a esa sensación de seguridad y garantía que puede brindar la inspección. Además, el sistema tiende a suponer que los peligros y riesgos, una vez evaluados, no cambian radicalmente. Esto está lejos de ser el caso, y existe el peligro de que una empresa de baja calificación pueda cambiar o desarrollar su producción de tal manera que aumente los peligros y riesgos sin que la inspección se dé cuenta del desarrollo.
Otros enfoques incluyen inspecciones basadas en tasas de lesiones en las instalaciones que son más altas que los promedios nacionales para la industria en particular, o inmediatamente después de una lesión fatal o una catástrofe importante. No hay respuestas cortas y fáciles al problema de determinar la frecuencia de la inspección, pero lo que parece estar sucediendo es que los servicios de inspección en muchos países a menudo carecen significativamente de recursos, con el resultado de que la protección real de la mano de obra que brindan los el servicio se está erosionando progresivamente.
Objetivos de inspección
Las técnicas de inspección en el lugar de trabajo varían según el tamaño y la complejidad de la empresa. En las empresas más pequeñas, la inspección será exhaustiva y evaluará todos los peligros y hasta qué punto se han minimizado los riesgos derivados de los peligros. Por lo tanto, la inspección garantizará que el empleador sea plenamente consciente de los problemas de seguridad y salud y reciba orientación práctica sobre cómo abordarlos. Pero incluso en la empresa más pequeña, la inspección no debe dar la impresión de que la detección de fallas y la aplicación de los remedios adecuados son funciones de la inspección y no del empleador. La inspección debe alentar a los empleadores a controlar y gestionar eficazmente los problemas de seguridad y salud, y no deben abdicar de sus responsabilidades esperando una inspección de las autoridades encargadas de hacer cumplir la ley antes de tomar las medidas necesarias.
En las empresas más grandes, el énfasis de la inspección es bastante diferente. Estas empresas cuentan con los recursos técnicos y financieros para hacer frente a los problemas de seguridad y salud. Deben idear tanto sistemas de gestión eficaces para resolver los problemas como procedimientos de gestión para comprobar que los sistemas funcionan. En estas circunstancias, el énfasis de la inspección debe estar, por lo tanto, en verificar y validar los sistemas de control de gestión que se encuentran en el lugar de trabajo. Por lo tanto, la inspección no debe ser un examen exhaustivo de todos los elementos de la planta y el equipo para determinar su seguridad, sino más bien utilizar ejemplos seleccionados para probar la eficacia o no de los sistemas de gestión para garantizar la seguridad y la salud en el trabajo.
Participación de los trabajadores en las inspecciones
Sean cuales sean las instalaciones, un elemento crítico en cualquier tipo de inspección es el contacto con la mano de obra. En muchas instalaciones más pequeñas, puede que no exista una estructura sindical formal o, de hecho, ninguna organización de trabajadores. Sin embargo, para asegurar la objetividad y aceptación del servicio de inspección, el contacto con los trabajadores individuales debe ser una parte integral de la inspección. En empresas más grandes, siempre se debe contactar con sindicatos u otros representantes reconocidos de los trabajadores. La legislación en algunos países (Suecia y el Reino Unido, por ejemplo) otorga reconocimiento oficial y poderes a los representantes sindicales de seguridad, incluido el derecho a realizar inspecciones en el lugar de trabajo, a investigar accidentes y sucesos peligrosos y en algunos países (aunque esto es excepcional) a detener la maquinaria de la planta o el proceso de producción si es inminentemente peligroso. Se puede obtener mucha información útil de estos contactos con los trabajadores, que deberían figurar en cada inspección, y ciertamente siempre que la inspección esté realizando una inspección como resultado de un accidente o una queja.
Resultados de la inspección
El elemento final de una inspección es revisar los resultados de la inspección con el miembro de la gerencia de mayor rango en el sitio. La gerencia tiene la responsabilidad principal de cumplir con los requisitos legales sobre seguridad y salud y, por lo tanto, ninguna inspección debe estar completa sin que la gerencia sea plenamente consciente de hasta qué punto ha cumplido con esos deberes y qué debe hacerse para asegurar y mantener los estándares adecuados. . Ciertamente, si se emiten avisos legales como resultado de una inspección, o si es probable que se inicien procedimientos legales, la alta gerencia debe estar al tanto de esta situación en la etapa más temprana posible.
Inspecciones de la empresa
Las inspecciones de las empresas son un ingrediente importante para mantener estándares sólidos de seguridad y salud en el trabajo. Son apropiados para todas las empresas y, en empresas más grandes, pueden ser un elemento en el procedimiento de inspección de gestión. Para las empresas más pequeñas, es esencial adoptar algún tipo de inspección regular de la empresa. No debe confiarse en los servicios de inspección proporcionados por los cuerpos de inspección de las autoridades encargadas de hacer cumplir la ley. Por lo general, estos son demasiado poco frecuentes y deberían servir en gran medida como un estímulo para mejorar o mantener los estándares, en lugar de ser la fuente principal para evaluar los estándares. Las inspecciones de empresas pueden ser realizadas por consultores o por empresas que se especializan en este trabajo, pero la discusión actual se concentrará en la inspección por el propio personal de la empresa.
¿Con qué frecuencia se deben realizar las inspecciones de la empresa? Hasta cierto punto, la respuesta depende de los peligros asociados con el trabajo y la complejidad de la planta. Pero incluso en las instalaciones de bajo riesgo debe haber algún tipo de inspección periódica (mensual, trimestral, etc.). Si la empresa emplea a un profesional de la seguridad, es evidente que la organización y la realización de la inspección deben ser una parte importante de esta función. Por lo general, la inspección debe ser un esfuerzo de equipo que involucre al profesional de seguridad, el gerente o capataz del departamento y un representante sindical o un trabajador calificado, como un miembro del comité de seguridad. La inspección debe ser exhaustiva; es decir, se debe realizar un examen minucioso tanto del software de seguridad (por ejemplo, sistemas, procedimientos y permisos de trabajo) como del hardware (por ejemplo, protección de maquinaria, equipo contra incendios, ventilación de extracción y equipo de protección personal). Debe prestarse especial atención a los “cuasi accidentes”, aquellos incidentes que no resultan en daños o lesiones personales pero que tienen el potencial inminente de lesiones accidentales graves. Existe la expectativa de que después de un accidente que resulte en una ausencia del trabajo, el equipo de inspección se reúna de inmediato para investigar las circunstancias, como un asunto fuera del ciclo normal de inspección. Pero incluso durante la inspección de rutina del taller, el equipo también debe considerar el alcance de las lesiones accidentales menores que han ocurrido en el departamento desde la inspección anterior.
Es importante que las inspecciones de las empresas no parezcan ser constantemente negativas. Cuando existan fallas, es importante que se identifiquen y rectifiquen, pero es igualmente importante elogiar el mantenimiento de buenos estándares, comentar positivamente sobre la limpieza y el buen orden y reforzar mediante el estímulo a quienes utilizan el equipo de protección personal provisto para su seguridad. . Para completar la inspección se debe realizar un informe formal por escrito de las deficiencias significativas encontradas. Se debe prestar especial atención a cualquier deficiencia que se haya identificado en inspecciones anteriores pero que aún no se haya corregido. Cuando exista un consejo de seguridad en el trabajo, o un comité de seguridad conjunto de la dirección y los trabajadores, el informe de inspección debe figurar como un punto permanente en la agenda del consejo. El informe de la inspección debe ser enviado y discutido con la alta gerencia de la empresa, quien luego debe determinar si se requiere una acción y, de ser así, autorizar y respaldar dicha acción.
Incluso las empresas más pequeñas, donde no hay un profesional de la seguridad y donde los sindicatos pueden no existir, deben considerar las inspecciones de la empresa. Muchos cuerpos de inspección han elaborado directrices muy sencillas que ilustran los conceptos básicos de seguridad y salud, su aplicación a una variedad de industrias y formas prácticas en las que se pueden aplicar incluso en las empresas más pequeñas. Muchas asociaciones de seguridad se dirigen específicamente a las pequeñas empresas con publicaciones (a menudo gratuitas) que brindan la información básica para establecer condiciones de trabajo seguras y saludables. Armado con este tipo de información y con el gasto de muy poco tiempo, el propietario de una pequeña empresa puede establecer normas razonables y, por lo tanto, tal vez pueda evitar el tipo de accidentes que pueden ocurrirle a la fuerza de trabajo incluso en la empresa más pequeña.
Es una paradoja que la prevención de accidentes de trabajo no surgiera muy pronto como una necesidad absoluta, ya que la salud y la seguridad son fundamentales para el propio trabajo. De hecho, no fue hasta principios del siglo XX que los accidentes de trabajo dejaron de considerarse inevitables y su causalidad pasó a ser un tema a investigar y utilizar como base para la prevención. Sin embargo, la investigación de accidentes permaneció durante mucho tiempo superficial y empírica. Históricamente, los accidentes se concibieron primero como fenómenos simples, es decir, como resultado de una sola causa (o principal) y un pequeño número de causas subsidiarias. Ahora se reconoce que la investigación de accidentes, cuyo objetivo es identificar las causas del fenómeno para evitar que vuelva a ocurrir, depende tanto del concepto que subyace al proceso de investigación como de la complejidad de la situación a la que se aplica.
Causas de Accidentes
Es cierto que en las situaciones más precarias, los accidentes son a menudo el resultado de una secuencia bastante simple de algunas causas que pueden rastrearse rápidamente hasta problemas técnicos básicos que incluso un análisis sumario puede revelar (equipo mal diseñado, métodos de trabajo indefinidos, etc.). Por otra parte, cuanto más se ajusten los elementos materiales del trabajo (máquinas, instalaciones, disposición del lugar de trabajo, etc.) a los requisitos de los procedimientos, normas y reglamentos de trabajo seguro, más segura será la situación laboral. El resultado es que un accidente sólo puede ocurrir cuando un grupo de condiciones excepcionales están presentes simultáneamente, condiciones que son cada vez más numerosas. En tales casos, la lesión o daño aparece como el resultado final de una red de causas frecuentemente compleja. Esta complejidad es en realidad evidencia de progreso en la prevención y requiere métodos apropiados de investigación. En la tabla 1 se enumeran los principales conceptos del fenómeno del accidente, sus características e implicaciones para la prevención.
Tabla 1. Principales conceptos del fenómeno del accidente, sus características e implicaciones para la prevención
Concepto o “fenómeno del accidente” |
Elementos significativos (objetivos, procedimientos, límites, etc.) |
Principales consecuencias para la prevención |
Concepto básico (accidente como |
El objetivo es identificar “la” causa única o principal |
Medidas sencillas de prevención sobre el antecedente inmediato de la lesión (protección individual, instrucciones de cuidado, protección de máquinas peligrosas) |
Concepto centrado en medidas regulatorias |
Concéntrese en buscar quién es el responsable; la “indagación” identifica esencialmente infracciones y faltas Raramente preocupado por las condiciones que generan las situaciones examinadas |
La prevención generalmente se limita a recordatorios sobre requisitos reglamentarios existentes o instrucciones formales |
Concepto lineal (o cuasi-lineal) (modelo "dominó") |
Identificación de una sucesión cronológica de “condiciones peligrosas” y “actos peligrosos” |
Conclusiones generalmente relacionadas con los actos peligrosos |
Concepto multifactorial |
Investigación exhaustiva para recoger los hechos (circunstancias, causas, factores, etc.) |
Concepto poco propicio para la búsqueda de soluciones caso por caso (análisis clínico) y más adecuado para la identificación de aspectos estadísticos (tendencias, tablas, gráficos, etc.) |
Concepto sistemático |
Identificación de la red de factores de cada accidente |
Métodos centrados en el análisis clínico |
Hoy en día, un accidente de trabajo es generalmente visto como un índice (o síntoma) de disfunción en un sistema que consiste en una sola unidad de producción, como una fábrica, taller, equipo o puesto de trabajo. Es la naturaleza de un sistema que su análisis requiere que el investigador examine no sólo los elementos que componen el sistema sino también sus relaciones entre sí y con el ambiente de trabajo. En el marco de un sistema, la investigación de accidentes busca rastrear hasta sus orígenes la secuencia de disfunciones básicas que han dado lugar al accidente y, más en general, la red de antecedentes del evento no deseado (accidente, cuasi accidente o incidente).
La aplicación de métodos de este tipo, como el método STEP (procedimientos de trazado de eventos cronometrados secuencialmente) y el método del “árbol de causas” (similar a los análisis de árboles de fallas o eventos), permite visualizar el proceso del accidente en forma de un gráfico ajustado que ilustra la multicausalidad del fenómeno. Debido a que estos dos métodos son tan similares, describirlos a ambos representaría una duplicación de esfuerzos; en consecuencia, este artículo se concentra en el método del árbol de causas y, en su caso, señala sus principales diferencias con el método STEP.
Información útil para la investigación
La fase inicial de la investigación, la recopilación de información, debe permitir describir el curso del accidente en términos concretos, precisos y objetivos. Por lo tanto, la investigación se propone determinar los hechos tangibles, cuidando de no interpretarlos ni emitir una opinión sobre ellos. Estos son los antecedentes del accidente, de los cuales hay dos tipos:
Por ejemplo, la insuficiente protección de una máquina (antecedente permanente) puede convertirse en un factor de accidente si permite al operador tomar posición en una zona peligrosa para hacer frente a un determinado incidente (antecedente inusual).
La recogida de información se realiza en el propio lugar del accidente lo antes posible tras su ocurrencia. Es realizada preferentemente por personas que conocen la operación o proceso y que tratan de obtener una descripción precisa del trabajo sin limitarse a las circunstancias inmediatas del daño o lesión. La investigación se realiza inicialmente principalmente mediante entrevistas, si es posible con el trabajador u operador, víctimas y testigos presenciales, otros miembros del equipo de trabajo y los supervisores jerárquicos. Si corresponde, se completa mediante una investigación técnica y el uso de expertos externos.
La investigación busca identificar, en orden de prioridad, los antecedentes inusuales y determinar sus conexiones lógicas. Al mismo tiempo se hace un esfuerzo por revelar los antecedentes permanentes que han permitido que se produzca el accidente. De esta manera la investigación puede retrotraerse a una etapa más remota que los antecedentes inmediatos del accidente. Estos antecedentes más remotos pueden referirse a las personas, sus tareas, los equipos que utilizan, el entorno en el que se desenvuelven y la cultura de la seguridad. Procediendo de la manera que acabamos de describir, generalmente es posible elaborar una larga lista de antecedentes, pero generalmente será difícil hacer un uso inmediato de los datos. La interpretación de los datos es posible gracias a una representación gráfica de todos los antecedentes involucrados en la génesis del accidente, es decir, un árbol de causas.
Construcción de un árbol de causas
El árbol de causas presenta todos los antecedentes que se han reunido que han dado lugar al accidente, así como los vínculos lógicos y cronológicos que los conectan; es una representación de la red de antecedentes que directa o indirectamente han causado la lesión. El árbol de causas se construye comenzando desde el punto final del evento, es decir, la lesión o el daño, y trabajando hacia atrás hasta la causa, formulando sistemáticamente las siguientes preguntas para cada antecedente que se haya recopilado:
Este conjunto de preguntas puede revelar tres tipos de conexiones lógicas, resumidas en la figura 1, entre los antecedentes.
Figura 1. Enlaces lógicos utilizados en el método del "árbol de causas"
La coherencia lógica del árbol se comprueba haciendo las siguientes preguntas para cada antecedente:
Además, la propia construcción del árbol de causas induce a los investigadores a proseguir la recopilación de información, y por tanto la investigación, hasta un punto mucho antes de que se produjera el accidente. Cuando se completa, el árbol representa la red de antecedentes que han dado lugar a la lesión; de hecho, son los factores del accidente. Como ejemplo, el accidente que se resume a continuación produjo el árbol de causas que se muestra en la figura 2.
Figura 2. Árbol de causas de un accidente sufrido por un aprendiz de mecánico al volver a montar un motor en un automóvil
Informe resumido del accidente: Un aprendiz de mecánico, recién contratado, tuvo que trabajar solo en una emergencia. Se estaba utilizando una eslinga desgastada para suspender un motor que había que volver a montar, y durante esta operación se rompió la eslinga y el motor cayó y lesionó el brazo del mecánico.
Análisis por el Método STEP
De acuerdo con el método STEP (figura 3), cada evento se expone gráficamente de manera que se muestre el orden cronológico de su aparición, manteniendo una línea por “agente” en cuestión (un agente es la persona o cosa que determina el curso de los eventos que constituyen el proceso del accidente). Cada evento se describe con precisión indicando su comienzo, duración, lugar de inicio y finalización, etc. Cuando hay varias hipótesis plausibles, el investigador puede mostrarlas en la red de eventos usando la relación lógica “o”.
Figura 3. Ejemplo de representación posible por el método STEP
Análisis por el Método del Árbol de Causas
Hacer uso del árbol de causas a efectos del análisis de accidentes tiene dos objetivos:
Dada la estructura lógica del árbol, la ausencia de un único antecedente habría impedido la ocurrencia del accidente. Por lo tanto, una medida de prevención juiciosa bastaría, en principio, para satisfacer el primer objetivo evitando que se repita el mismo accidente. El segundo objetivo exigiría eliminar todos los factores descubiertos, pero en la práctica no todos los antecedentes tienen la misma importancia a los efectos de la prevención. Por lo tanto, es necesario elaborar una lista de antecedentes que requieren una acción preventiva razonable y realista. Si esta lista es larga, se debe hacer una elección. Esta elección tiene más posibilidades de ser adecuada si se realiza en el marco de un debate entre las partes implicadas en el accidente. Además, el debate ganará en claridad en la medida en que sea posible evaluar la rentabilidad de cada medida propuesta.
Efectividad de las Medidas Preventivas
La eficacia de una medida preventiva puede juzgarse con la ayuda de los siguientes criterios:
La estabilidad de la medida. Los efectos de una medida preventiva no deben desaparecer con el tiempo: informar a los operadores (en particular, recordarles las instrucciones) no es una medida muy estable porque sus efectos suelen ser transitorios. Lo mismo ocurre además con algunos dispositivos de protección cuando son fácilmente desmontables.
La posibilidad de integrar la seguridad. Cuando se agrega una medida de seguridad, es decir, cuando no contribuye directamente a la producción, se dice que la seguridad no está integrada. Siempre que esto es así, se observa que la medida tiende a desaparecer. En general, se debe evitar cualquier medida preventiva que suponga un coste adicional para el operador, ya sea un coste fisiológico (aumento de la carga física o nerviosa), un coste psicológico, un coste económico (en el caso del salario o de la producción) o incluso una simple pérdida de tiempo.
El no desplazamiento del riesgo. Algunas medidas preventivas pueden tener efectos indirectos perjudiciales para la seguridad. Por lo tanto, siempre es necesario prever las posibles repercusiones de una medida preventiva en el sistema (trabajo, equipo o taller) en el que se inserta.
La posibilidad de aplicación general. (la noción de factor de accidente potencial). Este criterio refleja la preocupación de que la misma acción preventiva pueda ser aplicable a otros puestos de trabajo distintos al afectado por el accidente investigado. Siempre que sea posible, se debe hacer un esfuerzo por ir más allá del caso particular que ha dado lugar a la investigación, esfuerzo que muchas veces requiere una reformulación de los problemas descubiertos. La información obtenida de un accidente puede así conducir a una actuación preventiva relativa a factores desconocidos pero presentes en otras situaciones de trabajo en las que aún no han dado lugar a accidentes. Por este motivo se denominan “factores potenciales de accidente”. Esta noción abre el camino a la detección temprana de riesgos, mencionada más adelante.
El efecto sobre las “causas” raíz. Como regla general, la prevención de los factores del accidente cerca del lugar de la lesión elimina ciertos efectos de las situaciones peligrosas, mientras que la prevención que actúa mucho antes de la lesión tiende a eliminar las situaciones peligrosas mismas. Se justifica una investigación profunda de los accidentes en la medida en que la acción preventiva se ocupe igualmente de los factores aguas arriba.
El tiempo de aplicación. La necesidad de actuar con la mayor rapidez posible tras la ocurrencia de un accidente para evitar que se repita, se refleja muchas veces en la aplicación de una simple medida preventiva (una instrucción, por ejemplo), pero ello no elimina la necesidad de otras más duraderas. y una acción más eficaz. Todo accidente, por lo tanto, debe dar lugar a una serie de propuestas cuya implementación es objeto de seguimiento.
Los criterios anteriores tienen por objeto dar una mejor apreciación de la calidad de la acción preventiva propuesta después de cada investigación de accidente. Sin embargo, la elección final no se hace únicamente sobre esta base, sino que también se deben tener en cuenta otras consideraciones, como las económicas, culturales o sociales. Por último, las medidas que se decidan deberán obviamente respetar la normativa vigente.
Factores de accidente
Las lecciones extraídas de cada análisis de accidentes merecen ser registradas sistemáticamente para facilitar el paso del conocimiento a la acción. Así, la figura 4 consta de tres columnas. En la columna de la izquierda se anotan los factores de accidente que requieren medidas preventivas. La posible acción preventiva se describe en la columna central para cada factor decidido. Después de la discusión mencionada anteriormente, la acción seleccionada se registra en esta parte del documento.
Figura 4. Lecciones extraídas de los accidentes y el uso de estas lecciones
La columna de la derecha cubre los posibles factores de accidente sugeridos por los factores enumerados en la columna de la izquierda: se considera que cada factor de accidente descubierto a menudo es solo un caso particular de un factor más general conocido como factor de accidente potencial. El paso del caso particular al caso más general se hace a menudo de forma espontánea. Sin embargo, cada vez que un factor de accidente se expresa de tal manera que no es posible encontrarlo en otra parte que en la situación en que ha aparecido, se debe considerar una formulación más general. Al hacer esto, es necesario evitar dos escollos opuestos para utilizar la noción de factor de accidente potencial de manera efectiva en la detección temprana de riesgos que surjan más tarde. Una formulación demasiado circunscrita no permite la detección sistemática de los factores, mientras que una demasiado amplia hace que la noción sea impracticable y no tenga más interés práctico. La detección de factores potenciales de accidentes presupone, por tanto, que estén bien formulados. Esta detección se puede realizar entonces de dos formas, además complementarias:
Utilidad, Eficacia y Limitaciones de la Investigación de Accidentes
Utilidad. En comparación con las investigaciones no sistemáticas, los métodos de investigación de accidentes basados en un concepto sistemático tienen numerosas ventajas, entre las que se incluyen las siguientes:
Eficacia. Para ser eficaz, la investigación de accidentes requiere que se cumplan cuatro condiciones al mismo tiempo:
Limitaciones. Incluso cuando se lleva a cabo muy bien, la investigación de accidentes adolece de una doble limitación:
La necesidad de informar y compilar datos de accidentes
El objetivo principal de recopilar y analizar datos sobre accidentes laborales es proporcionar conocimientos para su uso en la prevención de lesiones y muertes en el trabajo y otras formas de daño, como exposiciones tóxicas con efectos a largo plazo. Estos datos también son útiles para evaluar las necesidades de compensación de las víctimas por las lesiones sufridas anteriormente. Los propósitos adicionales y más específicos para la compilación de estadísticas de accidentes incluyen los siguientes:
A menudo, se desea tener una visión general del número de accidentes que ocurren anualmente. A menudo se utiliza para ello una frecuencia, comparando el número de accidentes con una medida relativa al grupo de riesgo y expresada, por ejemplo, en términos de accidentes por 100,000 trabajadores o por 100,000 horas de trabajo. Dichos conteos anuales sirven para revelar las variaciones en la tasa de accidentes de un año a otro. Sin embargo, si bien pueden indicar los tipos de accidentes que requieren la acción preventiva más urgente, por sí mismos no brindan orientación sobre la forma que debe tomar esta acción.
La necesidad de información sobre accidentes se refiere a los siguientes tres niveles de función que hacen uso de ella:
El papel de la organización en la recopilación de información sobre accidentes
En muchos países es un requisito legal que las empresas mantengan estadísticas de accidentes laborales que resulten en lesiones, muerte o exposición tóxica a un trabajador. El propósito de esto suele ser llamar la atención sobre los riesgos que realmente han llevado a este tipo de accidentes, y las actividades de seguridad se centran principalmente en el accidente en particular y el estudio del evento en sí. Sin embargo, es más común que la información sobre accidentes se recopile y registre de manera sistemática, función que normalmente se lleva a cabo en un nivel superior.
Dado que las circunstancias reales de la mayoría de los accidentes son especiales, rara vez ocurren accidentes completamente idénticos, y la prevención basada en el análisis del accidente individual tiende muy fácilmente a convertirse en un asunto muy específico. Mediante la compilación sistemática de información sobre accidentes, es posible obtener una visión más amplia de aquellas áreas en las que se encuentran riesgos específicos y descubrir los factores menos obvios que intervienen en la causa del accidente. Procesos de trabajo específicos, equipos de trabajo específicos o trabajo con maquinaria específica pueden dar lugar a accidentes muy circunstanciales. Sin embargo, un estudio detallado de los tipos de accidentes asociados con una clase determinada de trabajo uniforme puede revelar factores tales como procesos de trabajo inadecuados, uso incorrecto de materiales, condiciones de trabajo difíciles o falta de instrucción adecuada del trabajador. El análisis de numerosos accidentes recurrentes revelará los factores fundamentales a los que hay que hacer frente cuando se actúa preventivamente.
Comunicación de información sobre accidentes a las autoridades de seguridad
La legislación que exige la notificación de los accidentes laborales varía mucho de un país a otro, y las diferencias se relacionan principalmente con las clases de empleadores y otros a los que se aplican las leyes. Los países que ponen un énfasis significativo en la seguridad en el lugar de trabajo por lo general exigen que los datos de accidentes se informen a la autoridad responsable de supervisar el cumplimiento de la legislación de seguridad. (En algunos casos, la legislación exige que se notifiquen los accidentes laborales que dan como resultado la ausencia del trabajo, y la duración de dicha ausencia varía de 1 a 3 días además del día del accidente). Común a la mayoría de las legislaciones es el hecho de que la notificación está vinculada con algún tipo de sanción o compensación por las consecuencias de los accidentes.
Con el fin de proporcionar una base sólida para la prevención de accidentes laborales, es necesario obtener información sobre accidentes perteneciente a todos los sectores y a todos los tipos de oficios. Se debe proporcionar una base de comparación a nivel nacional para permitir que se prioricen las acciones de prevención y para que el conocimiento de los riesgos asociados con las tareas en diferentes sectores pueda aprovecharse en el trabajo preventivo. Por lo tanto, se recomienda que el deber de recopilar información sobre accidentes de trabajo a nivel nacional se aplique a todos los accidentes de trabajo de una gravedad designada, ya se trate de trabajadores de empresas o trabajadores por cuenta propia, personas que trabajan en trabajos temporales o asalariados regulares. o trabajadores del sector público o privado.
Si bien los empleadores, en términos generales, tienen el deber de informar los accidentes, es un deber que se lleva a cabo con diversos grados de entusiasmo. El grado de cumplimiento de la obligación de notificar los accidentes depende de los incentivos que lleven al empresario a hacerlo. Algunos países tienen una regla, por ejemplo, según la cual los empleadores serán compensados por el pago de tiempo perdido de la víctima de un accidente, un arreglo que les da una buena razón para reportar lesiones ocupacionales. Otros países sancionan a los empleadores que no notifiquen los accidentes. Donde no existen este tipo de incentivos, no siempre se cumple la obligación meramente legal que incumbe al empleador. Además, se recomienda que la información sobre accidentes de trabajo destinada a aplicaciones preventivas se entregue a la autoridad responsable de las actividades preventivas y se mantenga separada de la autoridad compensadora.
¿Qué información se va a compilar?
Hay tres clases básicas de información que se puede obtener mediante el registro de accidentes:
Es necesario compilar cierto complemento básico de datos para documentar adecuadamente cuándo y dónde ocurre un accidente y analizar cómo ocurre. A nivel empresarial, los datos que se recopilan son más detallados que los recopilados a nivel nacional, pero los informes generados a nivel local contendrán elementos de información valiosos en todos los niveles. La Tabla 1 ilustra tipos particulares de información que podrían registrarse para describir un accidente individual. Los elementos especialmente relevantes para la tarea de preparar estadísticas relacionadas con el accidente se describen con más detalle a continuación.
Tabla 1. Variables informativas que caracterizan un accidente
Acciones |
Objetos |
Paso 1 |
|
Actividad de la víctima: por ejemplo, operar una máquina, realizar mantenimiento, conducir, caminar, etc. |
Componente relacionado con la actividad de la víctima: por ejemplo, prensa eléctrica, herramienta, vehículo, piso, etc. |
Paso 2 |
|
Acción desviada: por ejemplo, explosión, falla estructural, tropiezo, pérdida de control, etc. |
Componente relacionado con la acción desviada: por ejemplo, recipiente a presión, pared, cable, vehículo, máquina, herramienta, etc. |
Paso 3 |
|
Acción que conduce a lesiones: por ejemplo, golpeado por, aplastado, atrapado, en contacto con, mordido por, etc. |
Agente de lesión: por ejemplo, ladrillo, suelo, máquina, etc. |
Número de identificación del accidente. A todos los accidentes de trabajo se les debe asignar un número identificativo único. Es especialmente ventajoso utilizar un identificador numérico a efectos de archivo informatizado y procesamiento posterior.
Número de identificación personal y fecha. El registro de la víctima es una parte esencial de la identificación del accidente. El número puede ser el cumpleaños del trabajador, número de empleo, número de seguro social o algún otro identificador único. El registro tanto de un número de identificación personal como de la fecha del accidente evitará el registro duplicado del mismo evento de accidente y también permitirá verificar si el accidente ha sido notificado. El vínculo entre la información contenida en el informe de accidente con el número de identificación personal puede protegerse con fines de seguridad.
Nacionalidad. La nacionalidad de la víctima puede ser un elemento de información especialmente importante en países con una fuerza laboral extranjera significativamente grande. Se puede seleccionar un número de código de dos dígitos entre los enumerados en la norma DS/ISO 3166.
Ocupación. Se puede elegir un número de registro de ocupación de la lista de códigos de ocupación internacionales de cuatro dígitos proporcionados por la Clasificación internacional estándar de ocupaciones (ISCO).
social. El nombre, la dirección y el número de identificación de la empresa se utilizan en el registro de accidentes a nivel nacional (aunque el nombre y la dirección no se pueden utilizar para el registro informático). El sector de producción de la empresa por lo general se habrá registrado con su aseguradora de accidentes laborales o registrado en relación con el registro de su fuerza laboral. Se puede asignar un identificador de sector numérico de acuerdo con el sistema de clasificación internacional NACE de cinco dígitos.
El proceso de trabajo. Un componente vital de la información relativa a los accidentes de trabajo es la descripción del proceso de trabajo realizado en el momento en que se produjo el accidente. La identificación del proceso de trabajo es un requisito previo para una prevención dirigida con precisión. Cabe señalar que el proceso de trabajo es la función de trabajo real que la víctima estaba realizando en el momento del accidente y no necesariamente puede ser idéntico al proceso de trabajo que causó la lesión, la muerte o la exposición.
El evento del accidente. Un suceso de accidente comprende normalmente una cadena de sucesos. A menudo hay una tendencia por parte de los investigadores a centrarse en la parte del ciclo del evento en la que realmente ocurrió la lesión. Sin embargo, desde el punto de vista de la prevención, una descripción de la parte del ciclo del evento en la que algo salió mal, y de lo que estaba haciendo la víctima cuando ocurrió el evento, es igualmente importante.
Las consecuencias del accidente. Después de especificar la parte lesionada del cuerpo y describir el tipo de lesión (esto se hace en parte mediante la codificación de una lista de verificación y en parte a partir de la descripción en el ciclo de eventos), se registra la información que describe la gravedad de la lesión, si resultó en ausencia del trabajo (y por cuánto tiempo), o si fue fatal o involucró invalidez. La información detallada en términos de ausencia del trabajo de mayor duración, hospitalización o invalidez normalmente está disponible en las oficinas de compensación y el sistema de seguridad social.
Por lo tanto, a efectos de registro, el examen de los sucesos de accidente se divide en los siguientes tres componentes de información:
Los siguientes ejemplos ilustran la aplicación de estas categorías de análisis:
Informe de información sobre accidentes
La información a obtener para cada accidente se puede registrar en un formulario de informe similar al que se muestra en la figura 1.
Figura 1. Formulario de informe de muestra
La información del formulario de informe se puede registrar en una computadora mediante el uso de claves de clasificación. (Cuando se pueden recomendar sistemas de clasificación internacional, estos se mencionan en la descripción de las variables de información individuales, dada anteriormente). en el establecimiento de un sistema de registro armonizado forman parte de una propuesta redactada por la Unión Europea.
El uso de las estadísticas de accidentes
Las estadísticas de accidentes forman un instrumento valioso en una amplia gama de contextos: mapeo, monitoreo y alerta, priorización de áreas para la prevención, medidas específicas de prevención y recuperación e investigación de información. Un área puede superponerse con otra, pero los principios de aplicación varían.
Mapeo
Mapeo de datos de accidentes de trabajo implica la extracción de tipos predeterminados de información a partir de una acumulación de datos registrados y el análisis de las interrelaciones entre ellos. Los siguientes ejemplos ilustrarán la utilidad de las aplicaciones de mapeo.
Monitoreo y advertencia
Monitoreo es un proceso de vigilancia permanente acompañado de advertencia de los principales riesgos y, en particular, de los cambios en dichos riesgos. Los cambios observados en los informes de accidentes entrantes pueden ser indicativos de cambios en el patrón de notificación o, lo que es más grave, pueden reflejar cambios genuinos en los factores de riesgo. Puede decirse que existen grandes riesgos donde hay una alta frecuencia de lesiones, donde ocurren muchas lesiones graves y donde hay un gran grupo de exposición humana.
Establecimiento de prioridades
Establecimiento de prioridades es la selección de las áreas de riesgo más importantes o problemas del entorno de trabajo para la acción preventiva. A través de los resultados de las encuestas de mapeo y las actividades de monitoreo y alerta, se puede construir un registro de accidentes de trabajo que puede contribuir a este establecimiento de prioridades, cuyos elementos pueden incluir los siguientes:
Los datos extraídos de un registro de accidentes del trabajo pueden utilizarse para establecer prioridades en varios niveles, tal vez a nivel nacional general oa nivel de empresa más particular. Cualquiera que sea el nivel, los análisis y valoraciones pueden hacerse sobre la base de los mismos principios.
Prevención
Los análisis y la documentación que se utilizan con fines preventivos son generalmente muy específicos y se concentran en áreas limitadas que, sin embargo, se tratan con gran profundidad. Un ejemplo de este tipo de análisis es la campaña contra los accidentes mortales realizada por el Servicio Nacional de Inspección del Trabajo de Dinamarca. Los levantamientos cartográficos preliminares identificaron los oficios y funciones laborales en los que ocurrieron accidentes fatales. Los tractores agrícolas fueron seleccionados como área focal para el análisis. El propósito del análisis fue entonces determinar qué era lo que hacía que los tractores fueran tan peligrosos. Se investigaron preguntas sobre quién los conducía, dónde se operaban, cuándo ocurrieron los accidentes y, en particular, qué tipo de situaciones y eventos llevaron a los accidentes. El análisis produjo una descripción de siete situaciones típicas que con mayor frecuencia conducían a accidentes. Con base en este análisis se formuló un programa preventivo.
El número de accidentes laborales en una sola empresa suele ser demasiado pequeño para producir estadísticas viables para el análisis preventivo. Un análisis de la pauta de accidentes puede utilizarse para prevenir la repetición de lesiones específicas, pero difícilmente puede tener éxito en la prevención de accidentes que de una forma u otra difieren de casos anteriores. A menos que el foco de la investigación sea una empresa bastante grande, tales análisis se realizan mejor en un grupo de empresas de naturaleza muy similar o en un grupo de procesos de producción del mismo tipo. Por ejemplo, un análisis de la industria maderera muestra que los accidentes que ocurren con máquinas cortadoras involucran principalmente lesiones en los dedos. Los accidentes de transporte consisten predominantemente en lesiones en pies y piernas, y el daño cerebral y el eczema son los peligros más comunes en el comercio de tratamiento de superficies. Un análisis más detallado de los procesos de trabajo relevantes dentro de la industria puede revelar qué situaciones suelen causar accidentes. Con base en esta información, los expertos en la industria relevante pueden determinar cuándo es probable que surjan tales situaciones y las posibilidades de prevención.
Recuperación e investigación de información.
Uno de los usos más comunes de sistemas de información como los sistemas de archivos y bibliotecas es la recuperación de información de naturaleza específica y bien definida con el fin de investigar la seguridad. Por ejemplo, en un estudio cuyo objetivo era formular normas relativas a los trabajos en los tejados, se planteó la duda de si se asociaba algún riesgo particular a dichos trabajos. La creencia predominante era que las personas rara vez se lesionaban al caer de los techos mientras trabajaban. Sin embargo, en este caso, se utilizó un registro de accidentes de trabajo para recuperar todos los reportes en los que las personas habían resultado lesionadas por caídas de techos, y sí se descubrió un número considerable de casos, lo que confirma la importancia de continuar formulando normas en esta materia.
A te se puede definir como un conjunto de componentes interdependientes combinados de tal manera que realizan una función determinada en condiciones específicas. Una máquina es un ejemplo tangible y particularmente claro de un sistema en este sentido, pero hay otros sistemas, que involucran a hombres y mujeres en un equipo o en un taller o fábrica, que son mucho más complejos y no tan fáciles de definir. Safety sugiere la ausencia de peligro o riesgo de accidente o daño. Para evitar ambigüedades, el concepto general de ocurrencia no deseada será empleado. La seguridad absoluta, en el sentido de la imposibilidad de que ocurra un incidente más o menos desafortunado, no es alcanzable; de manera realista, uno debe apuntar a una probabilidad muy baja, en lugar de cero, de ocurrencias no deseadas.
Un sistema dado puede considerarse seguro o inseguro solo con respecto al rendimiento que realmente se espera de él. Con esto en mente, el nivel de seguridad de un sistema se puede definir de la siguiente manera: “Para cualquier conjunto dado de sucesos no deseados, el nivel de seguridad (o inseguridad) de un sistema está determinado por la probabilidad de que estos sucesos ocurran durante un período determinado. período de tiempo". Ejemplos de sucesos no deseados que serían de interés en el presente contexto incluyen: muertes múltiples, muerte de una o varias personas, lesiones graves, lesiones leves, daños al medio ambiente, efectos nocivos en los seres vivos, destrucción de plantas o edificios, y lesiones graves. o daños limitados al material o al equipo.
Propósito del Análisis del Sistema de Seguridad
El objeto de un análisis de seguridad del sistema es determinar los factores que inciden en la probabilidad de ocurrencias no deseadas, estudiar la forma en que se producen estas ocurrencias y, en última instancia, desarrollar medidas preventivas para reducir su probabilidad.
La fase analítica del problema se puede dividir en dos aspectos principales:
Una vez estudiadas las distintas disfunciones y sus consecuencias, los analistas de seguridad del sistema pueden dirigir su atención a las medidas preventivas. La investigación en esta área se basará directamente en hallazgos anteriores. Esta investigación de medios preventivos sigue los dos aspectos principales del análisis de seguridad del sistema.
Métodos de análisis
El análisis de seguridad del sistema puede realizarse antes o después del evento (a priori o a posteriori); en ambos casos, el método utilizado puede ser directo o inverso. Se lleva a cabo un análisis a priori antes de la ocurrencia no deseada. El analista toma un cierto número de tales ocurrencias y se dispone a descubrir las diversas etapas que pueden conducir a ellas. Por el contrario, un análisis a posteriori se lleva a cabo después de que se haya producido la ocurrencia no deseada. Su finalidad es servir de orientación para el futuro y, en concreto, extraer las conclusiones que puedan ser de utilidad para los posteriores análisis a priori.
Aunque pueda parecer que un análisis a priori sería mucho más valioso que un análisis a posteriori, dado que precede al incidente, los dos son de hecho complementarios. El método que se use depende de la complejidad del sistema involucrado y de lo que ya se sabe sobre el tema. En el caso de sistemas tangibles como máquinas o instalaciones industriales, la experiencia previa suele servir para preparar un análisis a priori bastante detallado. Sin embargo, incluso entonces el análisis no es necesariamente infalible y seguramente se beneficiará de un análisis posterior a posteriori basado esencialmente en un estudio de los incidentes que ocurren en el curso de la operación. En cuanto a sistemas más complejos que involucran personas, como turnos de trabajo, talleres o fábricas, el análisis a posteriori es aún más importante. En tales casos, la experiencia pasada no siempre es suficiente para permitir un análisis a priori detallado y confiable.
Un análisis a posteriori puede convertirse en un análisis a priori a medida que el analista va más allá del proceso único que condujo al incidente en cuestión y comienza a investigar los diversos sucesos que podrían conducir razonablemente a tal incidente o incidentes similares.
Otra forma en que un análisis a posteriori puede convertirse en un análisis a priori es cuando el énfasis no se pone en la ocurrencia (cuya prevención es el objetivo principal del análisis actual) sino en incidentes menos graves. Estos incidentes, como problemas técnicos, daños materiales y accidentes potenciales o menores, de relativamente poca importancia en sí mismos, pueden identificarse como señales de advertencia de sucesos más graves. En tales casos, aunque se realice con posterioridad a la ocurrencia de incidentes menores, el análisis será un análisis a priori respecto de hechos más graves que aún no se hayan producido.
Hay dos métodos posibles para estudiar el mecanismo o la lógica detrás de la secuencia de dos o más eventos:
La Figura 1 es un diagrama de un circuito de control que requiere dos botones (B1 y B2) para ser presionados simultáneamente para activar la bobina del relé (R) y poner en marcha la máquina. Este ejemplo puede utilizarse para ilustrar, en términos prácticos, la de reservas y marcha atrás métodos utilizados en el análisis de seguridad del sistema.
Figura 1. Circuito de control de dos botones
Método directo
En método directo, el analista comienza por (1) enumerar fallas, disfunciones y desajustes, (2) estudiar sus efectos y (3) determinar si esos efectos son o no una amenaza para la seguridad. En el caso de la figura 1, pueden ocurrir las siguientes fallas:
Luego, el analista puede deducir las consecuencias de estas fallas, y los hallazgos se pueden presentar en forma tabular (tabla 1).
Tabla 1. Posibles disfunciones de un circuito de control de dos botones y sus consecuencias
Fallos |
Consecuencias |
Romper el cable entre 2 y 2' |
Imposible poner en marcha la máquina* |
Cierre accidental de B1 (o B2 ) |
Sin consecuencia inmediata |
Contacto en C1 (o C2 ) como resultado de |
Ninguna consecuencia inmediata, pero la posibilidad de la |
Cortocircuito entre 1 y 1' |
Activación de la bobina del relé R—arranque accidental de |
* Ocurrencia con influencia directa en la confiabilidad del sistema
** Ocurrencia responsable de una grave reducción del nivel de seguridad del sistema
*** Suceso peligroso que debe evitarse
Ver texto y figura 1.
En la tabla 1, las consecuencias que son peligrosas o pueden reducir seriamente el nivel de seguridad del sistema pueden designarse mediante signos convencionales como ***.
Nota: En la tabla 1 una rotura en el cable entre 2 y 2´ (mostrado en la figura 1) resulta en una ocurrencia que no se considera peligrosa. No tiene efecto directo sobre la seguridad del sistema; sin embargo, la probabilidad de que ocurra tal incidente tiene una relación directa con la confiabilidad del sistema.
El método directo es particularmente apropiado para la simulación. La figura 2 muestra un simulador analógico diseñado para estudiar la seguridad de los circuitos de control de prensas. La simulación del circuito de control permite verificar que, mientras no haya falla, el circuito es realmente capaz de garantizar la función requerida sin infringir los criterios de seguridad. Además, el simulador puede permitir al analista introducir fallos en los distintos componentes del circuito, observar sus consecuencias y así distinguir aquellos circuitos bien diseñados (con pocos o ningún fallo peligroso) de aquellos mal diseñados. Este tipo de análisis de seguridad también se puede realizar usando una computadora.
Figura 2. Simulador para el estudio de circuitos prensa-control
Método inverso
En método inverso, el analista trabaja hacia atrás desde el suceso, incidente o accidente indeseable, hacia los diversos sucesos anteriores para determinar cuál puede resultar en los sucesos a evitar. En la figura 1, el último suceso a evitar sería el arranque no intencionado de la máquina.
Los resultados de este análisis se pueden representar en un diagrama que se parece a un árbol (por esta razón, el método inverso se conoce como "análisis de árbol de fallas"), como se muestra en la figura 3.
Figura 3. Posible cadena de eventos
El diagrama sigue operaciones lógicas, las más importantes de las cuales son las operaciones "OR" y "AND". La operación “OR” significa que [X1] ocurrirá si [A] o [B] (o ambos) tienen lugar. La operación “AND” significa que antes de [X2] puede ocurrir, tanto [C] como [D] deben haber ocurrido (ver figura 4).
Figura 4. Representación de dos operaciones lógicas
El método inverso se utiliza con mucha frecuencia en el análisis a priori de sistemas tangibles, especialmente en las industrias química, aeronáutica, espacial y nuclear. También se ha encontrado extremadamente útil como método para investigar accidentes industriales.
Aunque son muy diferentes, los métodos directo e inverso son complementarios. El método directo se basa en un conjunto de fallas o disfunciones y, por lo tanto, el valor de dicho análisis depende en gran medida de la relevancia de las diversas disfunciones tenidas en cuenta al principio. Visto así, el método inverso parece ser más sistemático. Dado el conocimiento de qué tipos de accidentes o incidentes pueden ocurrir, el analista puede, en teoría, aplicar este método para trabajar hacia atrás, hacia todas las disfunciones o combinaciones de disfunciones capaces de provocarlos. Sin embargo, debido a que todos los comportamientos peligrosos de un sistema no necesariamente se conocen de antemano, pueden descubrirse por el método directo, aplicado por simulación, por ejemplo. Una vez que se han descubierto, los peligros se pueden analizar con mayor detalle mediante el método inverso.
Problemas de análisis de seguridad del sistema
Los métodos analíticos descritos anteriormente no son solo procesos mecánicos que solo necesitan aplicarse automáticamente para llegar a conclusiones útiles para mejorar la seguridad del sistema. Por el contrario, los analistas encuentran una serie de problemas en el curso de su trabajo, y la utilidad de sus análisis dependerá en gran medida de cómo se propongan resolverlos. A continuación se describen algunos de los problemas típicos que pueden surgir.
Comprender el sistema a estudiar y sus condiciones de funcionamiento.
Los problemas fundamentales en cualquier análisis de seguridad de un sistema son la definición del sistema a estudiar, sus limitaciones y las condiciones bajo las cuales se supone que operará a lo largo de su existencia.
Si el analista tiene en cuenta un subsistema demasiado limitado, el resultado puede ser la adopción de una serie de medidas preventivas aleatorias (situación en la que todo está orientado a prevenir ciertos tipos particulares de ocurrencia, mientras que los peligros igualmente graves son ignorados o subestimados). ). Si, por el contrario, el sistema considerado es demasiado completo o general en relación con un problema determinado, puede resultar en una excesiva vaguedad de concepto y responsabilidades, y el análisis puede no conducir a la adopción de las medidas preventivas adecuadas.
Un ejemplo típico que ilustra el problema de definir el sistema a estudiar es la seguridad de máquinas o plantas industriales. En este tipo de situación, el analista puede verse tentado a considerar solo el equipo real, pasando por alto el hecho de que debe ser operado o controlado por una o más personas. La simplificación de este tipo es a veces válida. Sin embargo, lo que debe analizarse no es solo el subsistema de la máquina, sino todo el sistema trabajador-máquina en las diversas etapas de la vida útil del equipo (incluidos, por ejemplo, transporte y manipulación, montaje, prueba y ajuste, funcionamiento normal). , mantenimiento, desmontaje y, en algunos casos, destrucción). En cada etapa, la máquina es parte de un sistema específico cuyo propósito y modos de funcionamiento y mal funcionamiento son totalmente diferentes a los del sistema en otras etapas. Por tanto, debe estar diseñado y fabricado de forma que permita el desempeño de la función requerida en buenas condiciones de seguridad en cada una de las etapas.
De manera más general, en lo que respecta a los estudios de seguridad en las empresas, existen varios niveles de sistema: la máquina, el puesto de trabajo, el turno, el departamento, la fábrica y la empresa en su conjunto. Según el nivel del sistema que se esté considerando, los posibles tipos de disfunción y las medidas preventivas pertinentes son bastante diferentes. Una buena política de prevención debe tener en cuenta las disfunciones que se pueden producir en los distintos niveles.
Las condiciones de funcionamiento del sistema pueden definirse en términos de la forma en que se supone que funciona el sistema y las condiciones ambientales a las que puede estar sujeto. Esta definición debe ser lo suficientemente realista para tener en cuenta las condiciones reales en las que es probable que funcione el sistema. Un sistema que es muy seguro solo en un rango operativo muy restringido puede no ser tan seguro si el usuario no puede mantenerse dentro del rango operativo teórico prescrito. Por lo tanto, un sistema seguro debe ser lo suficientemente robusto para soportar variaciones razonables en las condiciones en las que funciona, y debe tolerar ciertos errores simples pero previsibles por parte de los operadores.
Modelado de sistemas
A menudo es necesario desarrollar un modelo para analizar la seguridad de un sistema. Esto puede plantear ciertos problemas que vale la pena examinar.
Para un sistema conciso y relativamente simple como una máquina convencional, el modelo se deriva casi directamente de las descripciones de los componentes materiales y sus funciones (motores, transmisión, etc.) y la forma en que estos componentes están interrelacionados. El número de posibles modos de falla de los componentes está igualmente limitado.
Las máquinas modernas como las computadoras y los robots, que contienen componentes complejos como microprocesadores y circuitos electrónicos con una integración a gran escala, plantean un problema especial. Este problema no ha sido completamente resuelto en términos de modelado o de predicción de los diferentes modos de falla posibles, debido a que hay muchos transistores elementales en cada chip y debido al uso de diversos tipos de software.
Cuando el sistema a analizar es una organización humana, un problema interesante encontrado en el modelado radica en la elección y definición de ciertos componentes no materiales o no completamente materiales. Una estación de trabajo particular puede estar representada, por ejemplo, por un sistema que comprende trabajadores, software, tareas, máquinas, materiales y entorno. (El componente de "tarea" puede resultar difícil de definir, ya que no es la tarea prescrita lo que cuenta sino la tarea tal como se realiza realmente).
Al modelar organizaciones humanas, el analista puede optar por dividir el sistema bajo consideración en un subsistema de información y uno o más subsistemas de acción. El análisis de fallas en diferentes etapas del subsistema de información (adquisición, transmisión, procesamiento y uso de información) puede ser muy instructivo.
Problemas asociados con múltiples niveles de análisis
Los problemas asociados con múltiples niveles de análisis a menudo se desarrollan porque a partir de una ocurrencia no deseada, el analista puede retroceder hacia incidentes que son cada vez más remotos en el tiempo. Según el nivel de análisis considerado, varía la naturaleza de las disfunciones que se producen; lo mismo se aplica a las medidas preventivas. Es importante poder decidir en qué nivel se debe detener el análisis y en qué nivel se deben tomar medidas preventivas. Un ejemplo es el caso simple de un accidente resultante de una falla mecánica causada por la utilización repetida de una máquina en condiciones anormales. Esto puede deberse a la falta de capacitación de los operadores oa una mala organización del trabajo. Según el nivel de análisis considerado, la acción preventiva requerida puede ser la sustitución de la máquina por otra capaz de soportar condiciones de uso más severas, el uso de la máquina sólo en condiciones normales, cambios en la capacitación del personal o una reorganización de trabajar.
La eficacia y el alcance de una medida preventiva dependen del nivel en el que se introduzca. Es más probable que la acción preventiva en las inmediaciones del suceso no deseado tenga un impacto directo y rápido, pero sus efectos pueden ser limitados; por otro lado, trabajando hacia atrás en una medida razonable en el análisis de eventos, debería ser posible encontrar tipos de disfunción que son comunes a numerosos accidentes. Cualquier acción preventiva tomada a este nivel tendrá un alcance mucho más amplio, pero su efectividad puede ser menos directa.
Teniendo en cuenta que existen varios niveles de análisis, también pueden existir numerosos patrones de acción preventiva, cada uno de los cuales lleva su parte de trabajo preventivo. Este es un punto extremadamente importante, y basta con volver al ejemplo del accidente que se está considerando para apreciar el hecho. Proponer que la máquina sea reemplazada por otra máquina capaz de soportar condiciones de uso más severas coloca la responsabilidad de la prevención en la máquina. Decidir que la máquina debe usarse solo en condiciones normales significa colocar la responsabilidad en el usuario. Del mismo modo, la responsabilidad puede recaer en la formación del personal, la organización del trabajo o simultáneamente en la máquina, el usuario, la función de formación y la función de organización.
Para cualquier nivel de análisis dado, un accidente a menudo parece ser la consecuencia de la combinación de varias disfunciones o desajustes. Según se actúe sobre una u otra disfunción, o sobre varias simultáneamente, variará la pauta de actuación preventiva adoptada.
Las herramientas son una parte tan común de nuestras vidas que a veces es difícil recordar que pueden presentar peligros. Todas las herramientas se fabrican pensando en la seguridad, pero ocasionalmente puede ocurrir un accidente antes de que se reconozcan los peligros relacionados con la herramienta. Los trabajadores deben aprender a reconocer los peligros asociados con los diferentes tipos de herramientas y las precauciones de seguridad requeridas para prevenir esos peligros. Se debe usar el equipo de protección personal adecuado, como gafas de seguridad o guantes, para protegerse de los peligros potenciales que pueden surgir al usar herramientas eléctricas portátiles y herramientas manuales.
Herramientas Manuales
Las herramientas manuales no tienen motor e incluyen de todo, desde hachas hasta llaves inglesas. Los mayores peligros que presentan las herramientas manuales son el resultado del mal uso, el uso de la herramienta incorrecta para el trabajo y el mantenimiento inadecuado. Algunos de los peligros asociados con el uso de herramientas manuales incluyen, entre otros, los siguientes:
El empleador es responsable de la condición segura de las herramientas y el equipo proporcionado a los empleados, pero los empleados tienen la responsabilidad de usar y mantener las herramientas de manera adecuada. Los trabajadores deben alejar las hojas de sierra, los cuchillos u otras herramientas de las áreas de los pasillos y de otros empleados que trabajen en las proximidades. Los cuchillos y las tijeras deben mantenerse afilados, ya que las herramientas desafiladas pueden ser más peligrosas que las afiladas. (Ver figura 1.)
Figura 1. Un destornillador
La seguridad requiere que los pisos se mantengan lo más limpios y secos posible para evitar resbalones accidentales cuando se trabaja con o cerca de herramientas manuales peligrosas. Aunque las chispas producidas por las herramientas manuales de hierro y acero normalmente no son lo suficientemente calientes como para ser fuentes de ignición, cuando se trabaja con materiales inflamables o cerca de ellos, se pueden usar herramientas resistentes a las chispas hechas de latón, plástico, aluminio o madera para evitar la formación de chispas.
Herramientas Eléctricas
Las herramientas eléctricas son peligrosas cuando no se usan correctamente. Hay varios tipos de herramientas eléctricas, generalmente clasificadas según la fuente de energía (eléctricas, neumáticas, de combustible líquido, hidráulicas, de vapor y accionadas por polvo explosivo). Los empleados deben estar calificados o capacitados en el uso de todas las herramientas eléctricas utilizadas en su trabajo. Deben comprender los peligros potenciales asociados con el uso de herramientas eléctricas y observar las siguientes precauciones generales de seguridad para evitar que ocurran esos peligros:
Guardias de proteccion
Es necesario proteger las piezas móviles peligrosas de las herramientas eléctricas. Por ejemplo, las correas, los engranajes, los ejes, las poleas, las ruedas dentadas, los husillos, los tambores, los volantes, las cadenas u otras partes del equipo que se mueven, giran o se mueven en vaivén deben protegerse si dichas partes están expuestas al contacto de los trabajadores. Cuando sea necesario, se deben proporcionar resguardos para proteger al operador y a otros con respecto a los peligros asociados con:
Nunca se deben quitar las protecciones de seguridad cuando se utiliza una herramienta. Por ejemplo, las sierras circulares portátiles deben estar equipadas con protectores. Una protección superior debe cubrir toda la hoja de la sierra. Un protector inferior retráctil debe cubrir los dientes de la sierra, excepto cuando haga contacto con el material de trabajo. La protección inferior debe volver automáticamente a la posición de cobertura cuando se retira la herramienta del trabajo. Observe los protectores de la hoja en la ilustración de una sierra eléctrica (figura 2).
Figura 2. Una sierra circular con protector
Interruptores y controles de seguridad
Los siguientes son ejemplos de herramientas eléctricas manuales que deben estar equipadas con un interruptor de control de "encendido-apagado" de contacto momentáneo:
Estas herramientas también pueden estar equipadas con un control de bloqueo, siempre que el apagado se pueda lograr con un solo movimiento del mismo dedo o dedos que lo encienden.
Las siguientes herramientas eléctricas manuales pueden estar equipadas solo con un interruptor de control positivo de "encendido-apagado":
Otras herramientas eléctricas manuales que deben estar equipadas con un interruptor de presión constante que apagará la energía cuando se libere la presión incluyen:
Herramientas electricas
Los trabajadores que utilizan herramientas eléctricas deben ser conscientes de varios peligros. La más grave de ellas es la posibilidad de electrocución, seguida de quemaduras y descargas leves. Bajo ciertas condiciones, incluso una pequeña cantidad de corriente puede provocar una fibrilación del corazón que puede provocar la muerte. Una descarga también puede hacer que un trabajador se caiga de una escalera u otra superficie de trabajo elevada.
Para reducir la posibilidad de que los trabajadores sufran lesiones por descargas eléctricas, las herramientas deben estar protegidas por al menos uno de los siguientes medios:
Figura 3. Un taladro eléctrico
Estas prácticas generales de seguridad deben seguirse al usar herramientas eléctricas:
Ruedas abrasivas motorizadas
Las ruedas abrasivas eléctricas para esmerilar, cortar, pulir y pulir con alambre crean problemas especiales de seguridad porque las ruedas pueden desintegrarse y arrojar fragmentos voladores.
Antes de montar las ruedas abrasivas, se deben inspeccionar de cerca y probar el sonido (o el sonido) golpeando suavemente con un instrumento no metálico liviano para asegurarse de que no tengan grietas ni defectos. Si las ruedas están agrietadas o suenan muertas, podrían volar en pedazos durante el funcionamiento y no deben usarse. Una rueda sana y sin daños dará un tono metálico claro o "anillo".
Para evitar que la rueda se agriete, el usuario debe asegurarse de que encaje libremente en el eje. La tuerca del husillo debe apretarse lo suficiente para mantener la rueda en su lugar sin deformar la brida. Siga las recomendaciones del fabricante. Se debe tener cuidado para asegurar que la rueda del husillo no exceda las especificaciones de la rueda abrasiva. Debido a la posibilidad de que una rueda se desintegre (explote) durante el arranque, el trabajador nunca debe pararse directamente frente a la rueda mientras acelera a la velocidad máxima de funcionamiento. Las herramientas abrasivas portátiles deben estar equipadas con protecciones de seguridad para proteger a los trabajadores no solo de la superficie de la rueda en movimiento, sino también de los fragmentos que vuelan en caso de rotura. Además, cuando se utiliza una amoladora eléctrica, se deben observar estas precauciones:
Herramientas neumáticas
Las herramientas neumáticas funcionan con aire comprimido e incluyen astilladoras, taladros, martillos y lijadoras. Aunque existen varios peligros potenciales encontrados en el uso de herramientas neumáticas, el principal es el peligro de ser golpeado por uno de los accesorios de la herramienta o por algún tipo de sujetador que el trabajador esté usando con la herramienta. Se requiere protección ocular y se recomienda protección facial cuando se trabaja con herramientas neumáticas. El ruido es otro peligro. Trabajar con herramientas ruidosas como martillos neumáticos requiere el uso adecuado y efectivo de protección auditiva adecuada.
Al usar una herramienta neumática, el trabajador debe verificar que esté bien sujeta a la manguera para evitar una desconexión. Un cable corto o un dispositivo de bloqueo positivo que conecte la manguera de aire a la herramienta servirá como protección adicional. Si una manguera de aire tiene más de ½ pulgada (1.27 cm) de diámetro, se debe instalar una válvula de exceso de flujo de seguridad en la fuente de suministro de aire para cerrar el aire automáticamente en caso de que se rompa la manguera. En general, se deben tomar las mismas precauciones con una manguera de aire que se recomiendan para cables eléctricos, porque la manguera está sujeta al mismo tipo de daño o golpe accidental, y también presenta un peligro de tropiezo.
Las pistolas de aire comprimido nunca deben apuntar hacia nadie. Los trabajadores nunca deben “apuntar” la boquilla contra ellos mismos o cualquier otra persona. Se debe instalar un clip o retenedor de seguridad para evitar que los accesorios, como un cincel en un martillo picador, salgan disparados accidentalmente del cañón. Deben instalarse pantallas para proteger a los trabajadores cercanos de ser golpeados por fragmentos voladores alrededor de astilladoras, pistolas remachadoras, martillos neumáticos, engrapadoras o taladros neumáticos.
Las pistolas rociadoras sin aire que atomizan pinturas y fluidos a altas presiones (1,000 libras o más por pulgada cuadrada) deben estar equipadas con dispositivos de seguridad visuales automáticos o manuales que eviten la activación hasta que el dispositivo de seguridad se libere manualmente. Los martillos neumáticos pesados pueden causar fatiga y tensiones que pueden reducirse mediante el uso de empuñaduras de goma pesadas que brindan un agarre seguro. Un trabajador que opere un martillo neumático debe usar anteojos de seguridad y zapatos de seguridad para protegerse contra lesiones si el martillo se resbala o se cae. También se debe usar un protector facial.
Herramientas impulsadas por combustible
Las herramientas que funcionan con combustible generalmente funcionan con pequeños motores de combustión interna que funcionan con gasolina. Los peligros potenciales más graves asociados con el uso de herramientas impulsadas por combustible provienen de los vapores de combustible peligrosos que pueden quemarse o explotar y emitir gases de escape peligrosos. El trabajador debe tener cuidado de manipular, transportar y almacenar la gasolina o el combustible únicamente en recipientes aprobados para líquidos inflamables, de acuerdo con los procedimientos adecuados para líquidos inflamables. Antes de rellenar el tanque de una herramienta que funciona con combustible, el usuario debe apagar el motor y dejar que se enfríe para evitar la ignición accidental de vapores peligrosos. Si se utiliza una herramienta que funciona con combustible dentro de un área cerrada, se necesita una ventilación eficaz y/o equipo de protección para evitar la exposición al monóxido de carbono. Los extintores de incendios deben estar disponibles en el área.
Herramientas explosivas accionadas por pólvora
Las herramientas explosivas accionadas por pólvora funcionan como un arma cargada y deben tratarse con el mismo respeto y precauciones. De hecho, son tan peligrosos que solo deben ser operados por empleados especialmente capacitados o calificados. La protección adecuada para los oídos, los ojos y la cara es esencial cuando se utiliza una herramienta accionada por pólvora. Todas las herramientas accionadas por pólvora deben diseñarse para cargas de pólvora variables, de modo que el usuario pueda seleccionar el nivel de pólvora necesario para realizar el trabajo sin una fuerza excesiva.
El extremo de la boca de la herramienta debe tener un escudo protector o un protector centrado perpendicularmente en el cañón para proteger al usuario de cualquier fragmento o partícula que salga volando y que pueda crear un peligro cuando se dispara la herramienta. La herramienta debe estar diseñada para que no se dispare a menos que tenga este tipo de dispositivo de seguridad. Para evitar que la herramienta se dispare accidentalmente, se requieren dos movimientos separados para disparar: uno para colocar la herramienta en posición y otro para apretar el gatillo. Las herramientas no deben poder funcionar hasta que se presionen contra la superficie de trabajo con una fuerza de al menos 5 libras más que el peso total de la herramienta.
Si una herramienta accionada por pólvora falla, el usuario debe esperar al menos 30 segundos antes de intentar dispararla nuevamente. Si aún no se dispara, el usuario debe esperar al menos otros 30 segundos para que sea menos probable que explote el cartucho defectuoso, luego retire la carga con cuidado. El cartucho defectuoso debe sumergirse en agua o desecharse de manera segura de acuerdo con los procedimientos del empleador.
Si una herramienta accionada por pólvora desarrolla un defecto durante el uso, se debe etiquetar y poner fuera de servicio inmediatamente hasta que se repare adecuadamente. Las precauciones para el uso y manejo seguro de las herramientas accionadas por pólvora incluyen las siguientes:
Al usar herramientas accionadas por pólvora para aplicar sujetadores, se deben considerar las siguientes precauciones de seguridad:
Herramientas de energía hidráulica
El fluido utilizado en las herramientas eléctricas hidráulicas debe estar aprobado para el uso previsto y debe conservar sus características de funcionamiento a las temperaturas más extremas a las que estará expuesto. No se debe exceder la presión de operación segura recomendada por el fabricante para mangueras, válvulas, tuberías, filtros y otros accesorios. Cuando exista la posibilidad de una fuga a alta presión en un área donde puedan estar presentes fuentes de ignición, como llamas abiertas o superficies calientes, se debe considerar el uso de fluidos resistentes al fuego como medio hidráulico.
Jacks
Todos los gatos (gatos de palanca y de trinquete, gatos de tornillo y gatos hidráulicos) deben tener un dispositivo que evite que se levanten demasiado. El límite de carga del fabricante debe estar marcado permanentemente en un lugar destacado en el gato y no debe excederse. Use bloques de madera debajo de la base si es necesario para nivelar y asegurar el gato. Si la superficie del elevador es de metal, coloque un bloque de madera dura de 1 cm (2.54 pulgada) de espesor o equivalente entre la parte inferior de la superficie y la cabeza del gato de metal para reducir el peligro de deslizamiento. Nunca se debe usar un gato para soportar una carga levantada. Una vez que se ha levantado la carga, debe apoyarse inmediatamente en bloques.
Para configurar un gato, asegúrese de las siguientes condiciones:
El mantenimiento adecuado de los gatos es esencial para la seguridad. Todos los gatos deben inspeccionarse antes de cada uso y lubricarse periódicamente. Si un gato se somete a una carga o impacto anormal, debe examinarse minuciosamente para asegurarse de que no se haya dañado. Los gatos hidráulicos expuestos a temperaturas bajo cero deben llenarse con un líquido anticongelante adecuado.
Resumen
Los trabajadores que utilizan herramientas manuales y eléctricas y que están expuestos a los peligros de objetos y materiales que caen, vuelan, abrasivos y salpican, o a los peligros de polvos, humos, neblinas, vapores o gases nocivos, deben estar provistos del equipo personal apropiado necesario para protegerlos del peligro. Los trabajadores pueden prevenir todos los riesgos relacionados con el uso de herramientas eléctricas siguiendo cinco reglas básicas de seguridad:
Los empleados y los empleadores tienen la responsabilidad de trabajar juntos para mantener las prácticas laborales seguras establecidas. Si se encuentra una herramienta insegura o una situación peligrosa, se debe informar inmediatamente a la persona adecuada.
Este artículo analiza situaciones y cadenas de eventos que conducen a accidentes atribuibles al contacto con la parte móvil de las máquinas. Las personas que operan y mantienen maquinaria corren el riesgo de verse involucradas en accidentes graves. Las estadísticas estadounidenses sugieren que 18,000 amputaciones y más de 800 muertes en los Estados Unidos cada año se pueden atribuir a tales causas. Según el Instituto Nacional de Seguridad y Salud Ocupacional de EE. UU. (NIOSH), la categoría de lesiones "atrapado en, debajo o entre" en su clasificación ocupó el primer lugar entre los tipos más importantes de lesiones ocupacionales en 1979. Tales lesiones generalmente involucran máquinas ( Etherton y Myers 1990). El “contacto con la parte móvil de la máquina” se ha informado como el principal evento de lesión en poco más del 10% de los accidentes laborales desde que esta categoría se introdujo en las estadísticas suecas de lesiones laborales en 1979.
La mayoría de las máquinas tienen partes móviles que pueden causar lesiones. Tales partes móviles se pueden encontrar en el punto de operación donde se realiza el trabajo en el material, como donde se lleva a cabo el corte, la conformación, el taladrado o la deformación. Se pueden encontrar en los aparatos que transmiten energía a las partes de la máquina que realizan el trabajo, como volantes, poleas, bielas, acopladores, levas, husillos, cadenas, manivelas y engranajes. Pueden encontrarse en otras partes móviles de la máquina, como ruedas de equipos móviles, motores de engranajes, bombas, compresores, etc. Los movimientos peligrosos de las máquinas también se pueden encontrar entre otros tipos de maquinaria, especialmente en los equipos auxiliares que manipulan y transportan cargas tales como piezas de trabajo, materiales, desechos o herramientas.
Todas las partes de una máquina que se mueven en el curso de la ejecución del trabajo pueden contribuir a accidentes que causen lesiones y daños. Tanto los movimientos rotatorios como los lineales de las máquinas, así como sus fuentes de energía, pueden ser peligrosos:
Movimiento giratorio. Incluso los ejes giratorios suaves pueden agarrar una prenda de ropa y, por ejemplo, llevar el brazo de una persona a una posición peligrosa. El peligro en un eje giratorio aumenta si tiene partes salientes o superficies irregulares o afiladas, como tornillos de ajuste, pernos, hendiduras, muescas o bordes cortantes. Las piezas giratorias de la máquina dan lugar a “puntos de presión” de tres maneras diferentes:
Movimientos lineales. El movimiento vertical, horizontal y alternativo puede causar lesiones de varias maneras: una persona puede recibir un empujón o un golpe de una parte de la máquina, y puede quedar atrapada entre la parte de la máquina y algún otro objeto, o puede cortarse con un borde afilado o sufrir una lesión por pellizco al quedar atrapado entre la parte móvil y otro objeto (figura 1).
Figura 1. Ejemplos de movimientos mecánicos que pueden lesionar a una persona
Fuentes de energía. Con frecuencia, se emplean fuentes externas de energía para hacer funcionar una máquina que puede implicar cantidades considerables de energía. Estos incluyen sistemas de energía eléctrica, de vapor, hidráulicos, neumáticos y mecánicos, todos los cuales, si se liberan o no se controlan, pueden provocar lesiones o daños graves. Un estudio de accidentes que ocurrieron durante un año (1987 a 1988) entre granjeros en nueve aldeas en el norte de la India mostró que las máquinas cortadoras de forraje, todas con el mismo diseño, son más peligrosas cuando están impulsadas por un motor o un tractor. La frecuencia relativa de accidentes con más de una lesión menor (por máquina) fue de 5.1 por mil para cortadoras manuales y de 8.6 por mil para cortadoras eléctricas (Mohan y Patel 1992).
Lesiones asociadas con movimientos de máquinas
Dado que las fuerzas asociadas con los movimientos de la máquina suelen ser bastante grandes, se puede suponer que las lesiones que provocan serán graves. Esta presunción es confirmada por varias fuentes. Según las estadísticas británicas (HSE 5), el “contacto con maquinaria en movimiento o material que se está mecanizando” representó solo el 10% de todos los accidentes laborales, pero hasta el 1989% de los accidentes mortales y graves (fracturas, amputaciones, etc.). Los estudios de dos lugares de trabajo de fabricación de vehículos en Suecia apuntan en la misma dirección. Los accidentes causados por movimientos de máquinas dieron lugar al doble de días de baja por enfermedad, medidos en valores medianos, en comparación con los accidentes no relacionados con máquinas. Los accidentes relacionados con máquinas también diferían de otros accidentes con respecto a la parte del cuerpo lesionada: los resultados indicaron que el 80 % de las lesiones sufridas en accidentes con “máquinas” fueron en manos y dedos, mientras que la proporción correspondiente para “otros” accidentes fue 40% (Backström y Döös 1995).
La situación de riesgo en las instalaciones automatizadas ha resultado ser diferente (en términos de tipo de accidente, secuencia de eventos y grado de gravedad de las lesiones) y más complicada (tanto en términos técnicos como en cuanto a la necesidad de habilidades especializadas) que en instalaciones donde se utilice maquinaria convencional. El termino soluciones en este documento se refiere a equipos que, sin la intervención directa de un ser humano, pueden iniciar el movimiento de una máquina o cambiar su dirección o función. Tal equipo requiere dispositivos sensores (p. ej., sensores de posición o microinterruptores) y/o alguna forma de controles secuenciales (p. ej., un programa de computadora) para dirigir y monitorear sus actividades. Durante las últimas décadas, una controlador lógico programable (PLC) se ha empleado cada vez más como unidad de control en los sistemas de producción. Las computadoras pequeñas son ahora los medios más comunes utilizados para controlar los equipos de producción en el mundo industrializado, mientras que otros medios de control, como las unidades electromecánicas, son cada vez menos comunes. En la industria manufacturera sueca, el uso de máquinas de control numérico (NC) aumentó entre un 11 y un 12 % por año durante la década de 1980 (Hörte y Lindberg 1989). En la producción industrial moderna, ser lesionado por “partes móviles de máquinas” es cada vez más equivalente a ser lesionado por “movimientos de máquinas controlados por computadora”.
Las instalaciones automatizadas se encuentran en cada vez más sectores de la industria y tienen un número cada vez mayor de funciones. La gestión de tiendas, la manipulación de materiales, el procesamiento, el montaje y el embalaje se están automatizando. La producción en serie ha llegado a parecerse a la producción por procesos. Si se mecanizan la alimentación, el mecanizado y la expulsión de las piezas de trabajo, el operador ya no necesita estar en la zona de riesgo durante el curso de una producción normal y sin interrupciones. Los estudios de investigación de la fabricación automatizada han demostrado que los accidentes ocurren principalmente en el manejo de perturbaciones que afectan la producción. Sin embargo, las personas también pueden interferir con los movimientos de la máquina al realizar otras tareas, como la limpieza, el ajuste, el reinicio, el control y la reparación.
Cuando la producción está automatizada y el proceso ya no está bajo el control directo del ser humano, aumenta el riesgo de movimientos inesperados de la máquina. La mayoría de los operadores que trabajan con grupos o líneas de máquinas interconectadas han experimentado este tipo de movimientos inesperados de la máquina. Muchos accidentes de automatización ocurren como resultado de tales movimientos. Un accidente de automatización es un accidente en el que el equipo automático controla (o debería haber controlado) la energía que da lugar a la lesión. Esto significa que la fuerza que daña a la persona proviene de la propia máquina (por ejemplo, la energía del movimiento de una máquina). En un estudio de 177 accidentes de automatización en Suecia, se encontró que la lesión fue causada por el “arranque inesperado” de una parte de una máquina en el 84% de los casos (Backström y Harms-Ringdahl 1984). En la figura 2 se muestra un ejemplo típico de una lesión causada por el movimiento de una máquina controlada por computadora.
Figura 2. Un ejemplo típico de una lesión causada por el movimiento de una máquina controlada por computadora
Uno de los estudios mencionados anteriormente (Backström y Döös 1995) mostró que los movimientos de máquinas controlados automáticamente estaban causalmente relacionados con períodos más prolongados de baja por enfermedad que las lesiones debidas a otros tipos de movimientos de máquinas, siendo el valor medio cuatro veces mayor en uno de los lugares de trabajo. . El patrón de lesiones de los accidentes de automatización fue similar al de otros accidentes de máquinas (principalmente en manos y dedos), pero la tendencia fue que el primer tipo de lesiones fuera más grave (amputaciones, aplastamientos y fracturas).
El control por computadora, como el manual, tiene debilidades desde la perspectiva de la confiabilidad. No hay garantía de que un programa de computadora funcione sin errores. Los componentes electrónicos, con sus bajos niveles de señal, pueden ser sensibles a las interferencias si no se protegen adecuadamente, y no siempre es posible predecir las consecuencias de las fallas resultantes. Además, los cambios de programación a menudo se dejan sin documentar. Un método que se utiliza para compensar esta debilidad es, por ejemplo, operar sistemas “dobles” en los que hay dos cadenas independientes de componentes funcionales y un método de seguimiento de modo que ambas cadenas muestren el mismo valor. Si los sistemas muestran valores diferentes, esto indica una falla en uno de ellos. Pero existe la posibilidad de que ambas cadenas de componentes sufran la misma falla y que ambos puedan quedar fuera de servicio por la misma perturbación, dando así una lectura falsa positiva (como ambos sistemas están de acuerdo). Sin embargo, sólo en algunos de los casos investigados se ha podido atribuir un accidente a un fallo informático (ver más abajo), a pesar de que es habitual que un único ordenador controle todas las funciones de una instalación (incluso la parada de una máquina como resultado de la activación de un dispositivo de seguridad). Como alternativa, se puede considerar la posibilidad de proporcionar un sistema probado con componentes electromecánicos para funciones de seguridad.
Problemas técnicos
En general, se puede decir que un mismo accidente tiene muchas causas, entre ellas técnicas, individuales, ambientales y organizacionales. Para fines preventivos, es mejor considerar un accidente no como un evento aislado, sino como un secuencia de eventos o un proceso (Backström 1996). En el caso de los accidentes de automatización, se ha demostrado que los problemas técnicos son frecuentemente parte de esa secuencia y ocurren en una de las primeras etapas del proceso o cerca del evento de lesión del accidente. Los estudios en los que se han examinado los problemas técnicos involucrados en los accidentes de automatización sugieren que estos se encuentran detrás del 75 al 85% de los accidentes. Al mismo tiempo, en cualquier caso concreto, suelen existir otras causas, como las de carácter organizativo. Solo en una décima parte de los casos se ha encontrado que la fuente directa de energía que da lugar a una lesión podría atribuirse a una falla técnica, por ejemplo, el movimiento de una máquina a pesar de que la máquina está en la posición de parada. Cifras similares han sido reportadas en otros estudios. Por lo general, un problema técnico generaba problemas con el equipo, por lo que el operador tenía que cambiar de tareas (p. ej., para volver a colocar una pieza que estaba en una posición torcida). El accidente ocurrió entonces durante la ejecución de la tarea, provocado por la falla técnica. Una cuarta parte de los accidentes de automatización fueron precedidos por una perturbación en el flujo de materiales, como que una pieza se atascara o quedara en una posición torcida o defectuosa (consulte la figura 3).
Figura 3. Tipos de problemas técnicos involucrados en accidentes de automatización (número de accidentes = 127)
En un estudio de 127 accidentes relacionados con la automatización, 28 de estos accidentes, descritos en la figura 4, se investigaron más a fondo para determinar los tipos de problemas técnicos que estaban involucrados como factores causales (Backström y Döös, en prensa). Los problemas especificados en las investigaciones de accidentes fueron causados con mayor frecuencia por componentes atascados, defectuosos o desgastados. En dos casos, un problema fue causado por un error en el programa de la computadora y en uno por una interferencia electromagnética. En más de la mitad de los casos (17 de 28), las fallas habían estado presentes durante algún tiempo pero no se subsanaron. Solo en 5 de los 28 casos en los que se aludió a una falla técnica o desviación, el defecto no se manifestó anteriormente. Algunas fallas habían sido reparadas solo para reaparecer más tarde. Ciertos defectos estaban presentes desde el momento de la instalación, mientras que otros se debían al desgaste y al impacto ambiental.
La proporción de accidentes de automatización que se producen en el curso de la corrección de una perturbación en la producción asciende a entre un tercio y dos tercios de todos los casos, según la mayoría de los estudios. En otras palabras, existe un acuerdo general en que el manejo de las perturbaciones en la producción es una tarea ocupacional peligrosa. La variación en la medida en que ocurren tales accidentes tiene muchas explicaciones, entre ellas las relacionadas con el tipo de producción y con la clasificación de las tareas ocupacionales. En algunos estudios de perturbaciones, solo se han considerado problemas y paradas de máquinas en el curso de la producción regular; en otros, se ha tratado una gama más amplia de problemas, por ejemplo, los relacionados con la instalación del trabajo.
Una medida muy importante en la prevención de accidentes de automatización es preparar procedimientos para eliminar las causas de las perturbaciones en la producción para que no se repitan. En un estudio especializado de las perturbaciones de producción en el momento del accidente (Döös y Backström 1994), se encontró que la tarea más común a la que daban lugar las perturbaciones era la liberación o la corrección de la posición de una pieza de trabajo que se había atascado o mal colocado. metido. Este tipo de problema inició una de dos secuencias de eventos bastante similares: (1) la pieza se liberó y volvió a su posición correcta, la máquina recibió una señal automática para arrancar y la persona resultó lesionada por el movimiento de la máquina iniciado, (2 ) no hubo tiempo para liberar o reposicionar la pieza antes de que la persona resultara lesionada por un movimiento de la máquina que se produjo de forma inesperada, más rápida o con mayor fuerza de la esperada por el operador. Otro manejo de perturbaciones implicó generar un impulso de sensor, liberar una parte de la máquina atascada, llevar a cabo tipos simples de rastreo de fallas y organizar el reinicio (consulte la figura 4).
Figura 4. Tipo de manejo de perturbaciones en el momento del accidente (número de accidentes =76)
Seguridad del trabajador
Las categorías de personal que tienden a lesionarse en accidentes de automatización dependen de cómo se organiza el trabajo, es decir, en qué grupo ocupacional realiza las tareas peligrosas. En la práctica, se trata de una cuestión de qué persona en el lugar de trabajo se asigna para hacer frente a los problemas y perturbaciones de forma rutinaria. En la industria sueca moderna, normalmente se exigen intervenciones activas de las personas que manejan la máquina. Esta es la razón por la cual, en el estudio del lugar de trabajo de fabricación de vehículos en Suecia mencionado anteriormente (Backström y Döös, aceptado para publicación), se encontró que el 82% de las personas que sufrieron lesiones por máquinas automatizadas eran trabajadores u operadores de producción. Los operadores también tuvieron una frecuencia relativa de accidentes más alta (15 accidentes de automatización por 1,000 operadores por año) que los trabajadores de mantenimiento (6 por 1,000). Los resultados de los estudios que indican que los trabajadores de mantenimiento se ven más afectados se explican, al menos en parte, por el hecho de que en algunas empresas no se permite a los operadores entrar en las áreas de mecanizado. En organizaciones con un tipo diferente de distribución de tareas, otras categorías de personal, por ejemplo, se les puede asignar la tarea de resolver cualquier problema de producción que surja.
La medida correctiva más común que se toma en este sentido para elevar el nivel de seguridad personal es proteger a la persona de los movimientos peligrosos de la máquina mediante el uso de algún tipo de dispositivo de seguridad, como la protección de la máquina. El principio principal aquí es el de la seguridad “pasiva”, es decir, la provisión de protección que no requiere acción por parte del trabajador. Sin embargo, es imposible juzgar la eficacia de los dispositivos de protección sin un muy buen conocimiento de los requisitos de trabajo reales en la máquina en cuestión, una forma de conocimiento que normalmente sólo poseen los propios operadores de la máquina.
Hay muchos factores que pueden poner fuera de servicio incluso lo que aparentemente es una buena protección de la máquina. Para realizar su trabajo, es posible que los operadores deban desactivar o eludir un dispositivo de seguridad. En un estudio (Döös y Backström 1993), se encontró que dicha desvinculación o elusión había tenido lugar en 12 de 75 de los accidentes de automatización cubiertos. A menudo se trata de que el operador sea ambicioso y ya no esté dispuesto a aceptar los problemas de producción o el retraso en el proceso de producción que implica corregir las perturbaciones de acuerdo con las instrucciones. Una forma de evitar este problema es hacer que el dispositivo de protección sea imperceptible, para que no afecte el ritmo de producción, la calidad del producto o el desempeño de la tarea. Pero esto no siempre es posible; y donde hay perturbaciones repetidas en la producción, incluso los inconvenientes menores pueden incitar a las personas a no utilizar los dispositivos de seguridad. Nuevamente, las rutinas deben estar disponibles para eliminar las causas de las perturbaciones en la producción para que no se repitan. La falta de medios para confirmar que los dispositivos de seguridad realmente funcionan de acuerdo con las especificaciones es otro factor de riesgo significativo. Las conexiones defectuosas, las señales de arranque que permanecen en el sistema y luego dan lugar a arranques inesperados, la acumulación de presión de aire y los sensores que se han soltado pueden causar fallas en el equipo de protección.
Resumen
Como se ha mostrado, las soluciones técnicas a los problemas pueden dar lugar a nuevos problemas. Aunque las lesiones son causadas por los movimientos de las máquinas, que son esencialmente de naturaleza técnica, esto no significa automáticamente que el potencial para su erradicación resida en factores puramente técnicos. Los sistemas técnicos seguirán funcionando mal, y las personas no podrán manejar las situaciones a las que dan lugar estos fallos. Los riesgos seguirán existiendo y sólo pueden controlarse mediante una amplia variedad de medios. La legislación y el control, las medidas organizativas en las empresas individuales (en forma de capacitación, rondas de seguridad, análisis de riesgos y el informe de perturbaciones y cuasi accidentes) y un énfasis en mejoras constantes y continuas son necesarios como complementos al desarrollo puramente técnico.
Parece haber tantos peligros potenciales creados por las piezas móviles de las máquinas como diferentes tipos de máquinas. Las salvaguardas son esenciales para proteger a los trabajadores de lesiones innecesarias y prevenibles relacionadas con la maquinaria. Por lo tanto, se debe proteger cualquier parte, función o proceso de la máquina que pueda causar lesiones. Cuando la operación de una máquina o el contacto accidental con ella pueda lesionar al operador o a otras personas en las inmediaciones, el peligro debe controlarse o eliminarse.
Movimientos y acciones mecánicas
Los peligros mecánicos generalmente involucran piezas móviles peligrosas en las siguientes tres áreas básicas:
Una amplia variedad de movimientos y acciones mecánicas que pueden presentar riesgos para los trabajadores incluyen el movimiento de elementos giratorios, brazos alternativos, correas móviles, engranajes engranados, dientes cortantes y cualquier pieza que impacte o corte. Estos diferentes tipos de movimientos y acciones mecánicas son básicos para casi todas las máquinas, y reconocerlos es el primer paso para proteger a los trabajadores de los peligros que pueden presentar.
Mociones
Hay tres tipos básicos de movimiento: giratorio, alternativo y transversal.
Movimiento giratorio Puede ser peligroso; incluso los ejes suaves que giran lentamente pueden agarrar la ropa y forzar un brazo o una mano a una posición peligrosa. Las lesiones debidas al contacto con las piezas giratorias pueden ser graves (consulte la figura 1).
Figura 1. Punzonadora mecánica
Los collares, acoplamientos, levas, embragues, volantes, extremos de ejes, husillos y ejes horizontales o verticales son algunos ejemplos de mecanismos giratorios comunes que pueden ser peligrosos. Existe un peligro adicional cuando los pernos, las mellas, las abrasiones y las llaves salientes o los tornillos de fijación quedan expuestos en las piezas giratorias de la maquinaria, como se muestra en la figura 2.
Figura 2. Ejemplos de proyecciones peligrosas en piezas giratorias
Punto de pellizco en marchaLos s son creados por piezas giratorias en la maquinaria. Hay tres tipos principales de puntos de contacto en funcionamiento:
Figura 3. Puntos de pinzamiento comunes en piezas giratorias
Figura 4. Puntos de presión entre elementos giratorios y piezas con movimientos longitudinales
Figura 5. Puntos de presión entre los componentes de la máquina giratoria
movimientos alternativos puede ser peligroso porque durante el movimiento hacia adelante y hacia atrás o hacia arriba y hacia abajo, un trabajador puede ser golpeado o atrapado entre una parte móvil y una parte estacionaria. Un ejemplo se muestra en la figura 6.
Figura 6. Movimiento alternativo peligroso
movimiento transversal (movimiento en línea recta y continua) crea un peligro porque un trabajador puede ser golpeado o atrapado en un punto de pellizco o corte por una parte móvil. En la figura 7 se muestra un ejemplo de movimiento transversal.
Figura 7. Ejemplo de movimiento transversal
Acciones
Existen cuatro tipos básicos de acción: cortar, punzonar, cizallar y doblar.
Acción de corte Implica un movimiento giratorio, alternativo o transversal. La acción de corte crea peligros en el punto de operación donde pueden ocurrir lesiones en los dedos, la cabeza y los brazos y donde las astillas o el material de desecho pueden golpear los ojos o la cara. Los ejemplos típicos de máquinas con riesgos de corte incluyen sierras de cinta, sierras circulares, máquinas taladradoras o perforadoras, máquinas de torneado (tornos) y fresadoras. (Ver figura 8.)
Figura 8. Ejemplos de peligros de corte
Acción de puñetazo se produce cuando se aplica energía a una corredera (pistón) con el fin de cortar, estirar o estampar metal u otros materiales. El peligro de este tipo de acción ocurre en el punto de operación donde se inserta, sostiene y retira el material a mano. Las máquinas típicas que utilizan la acción de punzonado son las prensas mecánicas y los trabajadores del hierro. (Ver figura 9.)
Figura 9. Operación típica de punzonado
Acción de cizallamiento Implica aplicar potencia a una corredera o cuchillo para recortar o cortar metal u otros materiales. Se produce un peligro en el punto de operación donde se inserta, retiene y retira el material. Ejemplos típicos de maquinaria utilizada para operaciones de cizallamiento son las cizallas mecánicas, hidráulicas o neumáticas. (Ver figura 10.)
Figura 10. Operación de corte
Acción de flexión se produce cuando se aplica energía a una corredera para dar forma, estirar o estampar metal u otros materiales. El peligro ocurre en el punto de operación donde se inserta, retiene y retira el material. El equipo que utiliza la acción de flexión incluye prensas eléctricas, plegadoras y dobladoras de tubos. (Ver figura 11.)
Figura 11. Operación de doblado
Requisitos para las salvaguardias
Las salvaguardas deben cumplir con los siguientes requisitos generales mínimos para proteger a los trabajadores contra riesgos mecánicos:
Prevenir el contacto. La protección debe evitar que las manos, los brazos o cualquier parte del cuerpo o la ropa de un trabajador entren en contacto con piezas móviles peligrosas, eliminando la posibilidad de que los operadores u otros trabajadores coloquen partes de su cuerpo cerca de piezas móviles peligrosas.
Proveer seguridad. Los trabajadores no deben poder quitar o manipular fácilmente la protección. Las protecciones y los dispositivos de seguridad deben estar hechos de un material duradero que resista las condiciones de uso normal y que estén firmemente sujetos a la máquina.
Proteger de la caída de objetos. La protección debe garantizar que ningún objeto pueda caer en las piezas móviles y dañar el equipo o convertirse en un proyectil que pueda golpear y lesionar a alguien.
No crear nuevos peligros. Una protección anula su propósito si crea un peligro propio, como un punto de corte, un borde dentado o una superficie sin terminar. Los bordes de las protecciones, por ejemplo, deben enrollarse o atornillarse de tal manera que eliminen los bordes afilados.
No crear interferencia. Las salvaguardias que impiden que los trabajadores realicen su trabajo pronto podrían ser anuladas o ignoradas. Si es posible, los trabajadores deberían poder lubricar las máquinas sin desconectar o quitar las protecciones. Por ejemplo, ubicar depósitos de aceite fuera de la protección, con una línea que conduzca al punto de lubricación, reducirá la necesidad de ingresar al área peligrosa.
Capacitación en salvaguardias
Incluso el sistema de protección más elaborado no puede ofrecer una protección eficaz a menos que los trabajadores sepan cómo usarlo y por qué. La capacitación específica y detallada es una parte importante de cualquier esfuerzo para implementar la protección contra los peligros relacionados con las máquinas. La protección adecuada puede mejorar la productividad y mejorar la eficiencia, ya que puede aliviar los temores de los trabajadores acerca de las lesiones. La formación en salvaguardias es necesaria para los nuevos operadores y el personal de mantenimiento o instalación, cuando se ponen en servicio salvaguardas nuevas o alteradas, o cuando se asigna a los trabajadores a una nueva máquina u operación; debe incluir instrucción o capacitación práctica en lo siguiente:
Métodos de protección de máquinas
Hay muchas formas de proteger la maquinaria. El tipo de operación, el tamaño o la forma del material, el método de manejo, la disposición física del área de trabajo, el tipo de material y los requisitos o limitaciones de producción ayudarán a determinar el método de protección adecuado para la máquina individual. El diseñador de la máquina o el profesional de la seguridad debe elegir la protección más efectiva y práctica disponible.
Las salvaguardas se pueden clasificar en cinco clasificaciones generales: (1) guardas, (2) dispositivos, (3) separación, (4) operaciones y (5) otros.
Resguardo con resguardos
Existen cuatro tipos generales de resguardos (barreras que impiden el acceso a zonas de peligro), como sigue:
Guardias fijos. Una protección fija es una parte permanente de la máquina y no depende de las piezas móviles para realizar su función prevista. Puede estar construido de láminas de metal, pantalla, tela metálica, barras, plástico o cualquier otro material que sea lo suficientemente sólido para resistir cualquier impacto que pueda recibir y soportar un uso prolongado. Las protecciones fijas suelen ser preferibles a todos los demás tipos debido a su relativa simplicidad y permanencia (consulte la tabla 1).
Tabla 1. Protectores de máquinas
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
fijo |
· Proporciona una barrera |
· Se adapta a muchas aplicaciones específicas |
· Puede interferir con la visibilidad |
Enclavado |
· Apaga o desconecta la energía y evita el arranque de la máquina cuando la protección está abierta; debe requerir que la máquina se detenga antes de que el trabajador pueda alcanzar el área de peligro |
· Proporciona la máxima protección |
· Requiere cuidadoso ajuste y mantenimiento |
Ajustable |
· Proporciona una barrera que se puede ajustar para facilitar una variedad de operaciones de producción |
· Se puede construir para adaptarse a muchas aplicaciones específicas |
· El operador puede ingresar al área de peligro: la protección puede no ser completa en todo momento |
Autoajustable |
· Proporciona una barrera que se mueve de acuerdo con el tamaño del ganado que ingresa al área de peligro |
· Los protectores listos para usar están disponibles comercialmente |
· No siempre proporciona la máxima protección |
En la figura 12, una protección fija en una prensa eléctrica encierra completamente el punto de operación. El material se alimenta a través del costado de la protección hacia el área del troquel, y el material de desecho sale por el lado opuesto.
Figura 12. Protección fija en la prensa eléctrica
La figura 13 muestra un protector de recinto fijo que protege la correa y la polea de una unidad de transmisión de potencia. Se proporciona un panel de inspección en la parte superior para minimizar la necesidad de quitar la protección.
Figura 13. Protección fija que encierra correas y poleas
En la figura 14, se muestran protectores de gabinete fijos en una sierra de cinta. Estos protectores protegen a los operadores de las ruedas giratorias y de la hoja de sierra en movimiento. Normalmente, la única vez que se abrirían o quitarían los protectores sería para cambiar la hoja o para mantenimiento. Es muy importante que estén bien sujetos mientras se usa la sierra.
Figura 14. Protectores fijos en sierra de cinta
Guardias entrelazados. Cuando se abren o retiran las protecciones interbloqueadas, el mecanismo de activación y/o la energía se apagan o se desconectan automáticamente, y la máquina no puede funcionar ni arrancarse hasta que la protección interbloqueada vuelva a estar en su lugar. Sin embargo, reemplazar la protección de enclavamiento no debería reiniciar automáticamente la máquina. Los resguardos interbloqueados pueden usar energía eléctrica, mecánica, hidráulica o neumática, o cualquier combinación de estos. Los enclavamientos no deben impedir el "avance lento" (es decir, movimientos progresivos graduales) por control remoto, si es necesario.
En la figura 15 se muestra un ejemplo de una protección interbloqueada. En esta figura, el mecanismo batidor de una máquina recogedora (utilizada en la industria textil) está cubierto por una protección de barrera interbloqueada. Esta protección no se puede levantar mientras la máquina está funcionando, ni se puede reiniciar la máquina con la protección en la posición levantada.
Figura 15. Protección interbloqueada en la máquina recogedora
Guardias ajustables. Los protectores ajustables permiten flexibilidad para acomodar varios tamaños de material. La Figura 16 muestra un protector de recinto ajustable en una sierra de cinta.
Figura 16. Protección ajustable en sierra de cinta
Protectores autoajustables. Las aperturas de las protecciones autoajustables están determinadas por el movimiento de la culata. A medida que el operador mueve el material hacia el área de peligro, la protección se aleja, proporcionando una abertura que es lo suficientemente grande para admitir solo el material. Después de retirar la culata, el protector vuelve a la posición de reposo. Esta protección protege al operador colocando una barrera entre el área de peligro y el operador. Las protecciones pueden estar construidas de plástico, metal u otro material sólido. Los protectores autoajustables ofrecen diferentes grados de protección.
La Figura 17 muestra una sierra de brazo radial con un protector autoajustable. A medida que se pasa la hoja por la culata, la protección se mueve hacia arriba y permanece en contacto con la culata.
Figura 17. Protección autoajustable en sierra de brazo radial
Protección con dispositivos
Los dispositivos de seguridad pueden detener la máquina si una mano o cualquier parte del cuerpo se coloca inadvertidamente en el área de peligro, pueden restringir o retirar las manos del operador del área de peligro durante la operación, pueden requerir que el operador use ambas manos en los controles de la máquina simultáneamente ( manteniendo tanto las manos como el cuerpo fuera de peligro) o puede proporcionar una barrera sincronizada con el ciclo de funcionamiento de la máquina para evitar la entrada al área de peligro durante la parte peligrosa del ciclo. Hay cinco tipos básicos de dispositivos de seguridad, como sigue:
Dispositivos de detección de presencia
A continuación se describen tres tipos de dispositivos de detección que detienen la máquina o interrumpen el ciclo de trabajo o la operación si un trabajador se encuentra dentro de la zona de peligro:
El dispositivo de detección de presencia fotoeléctrico (óptico) utiliza un sistema de fuentes de luz y controles que pueden interrumpir el ciclo de funcionamiento de la máquina. Si el campo de luz se rompe, la máquina se detiene y no realiza el ciclo. Este dispositivo debe utilizarse únicamente en máquinas que puedan detenerse antes de que el trabajador llegue a la zona de peligro. La figura 18 muestra un dispositivo fotoeléctrico de detección de presencia utilizado con una prensa plegadora. El dispositivo se puede girar hacia arriba o hacia abajo para adaptarse a diferentes requisitos de producción.
Figura 18. Dispositivo fotoeléctrico de detección de presencia en la prensa plegadora
El dispositivo de detección de presencia de radiofrecuencia (capacitancia) utiliza un haz de radio que forma parte del circuito de control. Cuando se rompe el campo de capacitancia, la máquina se detendrá o no se activará. Este dispositivo debe utilizarse únicamente en máquinas que puedan detenerse antes de que el trabajador pueda llegar a la zona de peligro. Esto requiere que la máquina tenga un embrague de fricción u otro medio confiable para detenerse. La figura 19 muestra un dispositivo detector de presencia por radiofrecuencia montado en una prensa mecánica de revolución parcial.
Figura 19. Dispositivo de detección de presencia por radiofrecuencia en una sierra eléctrica
El dispositivo de detección electromecánico tiene una sonda o barra de contacto que desciende a una distancia predeterminada cuando el operador inicia el ciclo de la máquina. Si hay una obstrucción que le impide descender toda la distancia predeterminada, el circuito de control no activa el ciclo de la máquina. La figura 20 muestra un dispositivo de detección electromecánico en un ojeteador. También se muestra la sonda de detección en contacto con el dedo del operador.
Figura 20. Dispositivo de detección electromecánico en máquina de letras ojo
Dispositivos de retroceso
Los dispositivos de retroceso utilizan una serie de cables conectados a las manos, muñecas y/o brazos del operador y se utilizan principalmente en máquinas con acción de carrera. Cuando la corredera/pistón está levantada, el operador puede acceder al punto de operación. Cuando la corredera/pistón comienza a descender, un enlace mecánico asegura automáticamente la retirada de las manos del punto de operación. La figura 21 muestra un dispositivo de retroceso en una prensa pequeña.
Figura 21. Dispositivo de retroceso en prensa mecánica
Dispositivos de sujeción
En algunos países se han utilizado dispositivos de sujeción, que utilizan cables o correas que se sujetan entre un punto fijo y las manos del operador. Estos dispositivos generalmente no se consideran medidas de seguridad aceptables porque el operador los pasa por alto fácilmente, lo que permite colocar las manos en la zona de peligro. (Ver tabla 2.)
Tabla 2. Dispositivos
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
Fotoeléctrico |
· La máquina no iniciará el ciclo cuando se interrumpa el campo de luz |
· Puede permitir un movimiento más libre para el operador |
· No protege contra fallas mecánicas |
Frecuencia de radio |
· El ciclo de la máquina no comenzará cuando se interrumpa el campo de capacitancia |
· Puede permitir un movimiento más libre para el operador |
· No protege contra fallas mecánicas |
Electromecánico |
· La barra de contacto o la sonda recorre una distancia predeterminada entre el operador y el área de peligro |
· Puede permitir el acceso en el punto de operación |
· La barra de contacto o la sonda deben ajustarse adecuadamente para cada aplicación; este ajuste debe mantenerse correctamente |
Pullback |
· A medida que la máquina comienza a funcionar, las manos del operador se retiran del área de peligro |
· Elimina la necesidad de barreras auxiliares u otras interferencias en el área de peligro |
· Limita el movimiento del operador |
Controles de viaje de seguridad: |
· Detiene la máquina cuando se dispara |
· Simplicidad de uso |
· Todos los controles deben activarse manualmente |
Control a dos manos |
· Se requiere el uso simultáneo de ambas manos, evitando que el operador ingrese al área de peligro |
· Las manos del operador están en un lugar predeterminado lejos del área de peligro |
· Requiere máquina de ciclo parcial con freno |
Viaje a dos manos |
· El uso simultáneo de dos manos en controles separados evita que las manos estén en el área de peligro cuando comienza el ciclo de la máquina |
· Las manos del operador están alejadas del área de peligro |
· El operador puede tratar de llegar al área de peligro después de tropezar con la máquina |
Puerta |
· Proporciona una barrera entre el área de peligro y el operador u otro personal |
· Puede evitar alcanzar o caminar en el área de peligro |
· Puede requerir inspección frecuente y mantenimiento regular |
Dispositivos de control de seguridad
Todos estos dispositivos de control de seguridad se activan manualmente y deben restablecerse manualmente para reiniciar la máquina:
Figura 22. Barra de carrocería sensible a la presión en molino de caucho
Figura 23. Varilla de seguridad en molino de caucho
Figura 24. Cable trampa de seguridad en calandra
Figura 25. Botones de control a dos manos en prensa de embrague de revolución parcial
Figura 26. Botones de control a dos manos en una prensa de embrague de revolución completa
Figura 27. Prensa mecánica con compuerta
Resguardo por ubicación o distancia
Para proteger una máquina por ubicación, la máquina o sus partes móviles peligrosas deben colocarse de manera que las áreas peligrosas no sean accesibles o no representen un peligro para un trabajador durante la operación normal de la máquina. Esto se puede lograr con paredes o cercas que restrinjan el acceso a las máquinas, o ubicando una máquina de modo que una característica del diseño de la planta, como una pared, proteja al trabajador y al resto del personal. Otra posibilidad es tener partes peligrosas ubicadas lo suficientemente altas como para estar fuera del alcance normal de cualquier trabajador. Es esencial realizar un análisis exhaustivo de los peligros de cada máquina y situación particular antes de intentar esta técnica de protección. Los ejemplos que se mencionan a continuación son algunas de las numerosas aplicaciones del principio de protección por ubicación/distancia.
Proceso de alimentación. El proceso de alimentación se puede salvaguardar por ubicación si se puede mantener una distancia segura para proteger las manos del trabajador. Las dimensiones del material sobre el que se trabaja pueden proporcionar una seguridad adecuada. Por ejemplo, al operar una punzonadora de un solo extremo, si el material tiene varios pies de largo y solo se está trabajando en un extremo del material, el operador puede sostener el extremo opuesto mientras se realiza el trabajo. Sin embargo, dependiendo de la máquina, es posible que se requiera protección para otro personal.
Controles de posicionamiento. El posicionamiento de la estación de control del operador proporciona un enfoque potencial para la protección por ubicación. Los controles del operador pueden estar ubicados a una distancia segura de la máquina si no hay razón para que el operador esté presente en la máquina.
Métodos de protección de alimentación y expulsión
Muchos métodos de alimentación y expulsión no requieren que los operadores coloquen sus manos en el área de peligro. En algunos casos, no es necesaria la participación del operador después de configurar la máquina, mientras que en otras situaciones, los operadores pueden alimentar manualmente el material con la ayuda de un mecanismo de alimentación. Además, se pueden diseñar métodos de eyección que no requieran la participación de ningún operador después de que la máquina comience a funcionar. Algunos métodos de alimentación y expulsión pueden incluso crear peligros por sí mismos, como un robot que puede eliminar la necesidad de que un operador esté cerca de la máquina pero puede crear un nuevo peligro por el movimiento de su brazo. (Ver tabla 3.)
Tabla 3. Métodos de alimentación y expulsión
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
Alimentación automática |
· El stock se alimenta de rollos, indexado por mecanismo de máquina, etc. |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· También se requieren otros resguardos para la protección del operador, generalmente resguardos de barrera fijos |
Semi-automática |
· El material es alimentado por conductos, troqueles móviles, dial |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· También se requieren otros resguardos para la protección del operador, generalmente resguardos de barrera fijos |
Automático |
· Las piezas de trabajo son expulsadas por aire o medios mecánicos |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· Puede crear un peligro de astillas o escombros |
Semi-automática |
· Las piezas de trabajo son expulsadas por medios mecánicos |
· El operador no tiene que ingresar al área de peligro para retirar el trabajo terminado |
· Se requieren otras protecciones para el operador |
Robots |
· Realizan el trabajo generalmente realizado por el operador |
· El operador no tiene que entrar en la zona de peligro |
· Pueden crear peligros por sí mismos |
El uso de uno de los siguientes cinco métodos de alimentación y expulsión para proteger las máquinas no elimina la necesidad de protecciones y otros dispositivos, que deben usarse según sea necesario para brindar protección contra la exposición a peligros.
Alimentación automática. Las alimentaciones automáticas reducen la exposición del operador durante el proceso de trabajo y, a menudo, no requieren ningún esfuerzo por parte del operador una vez que la máquina está configurada y en funcionamiento. La prensa mecánica de la figura 28 tiene un mecanismo de alimentación automático con una protección de recinto fijo transparente en la zona de peligro.
Figura 28. Prensa mecánica con avance automático
Alimentación semiautomática. Con la alimentación semiautomática, como en el caso de una prensa mecánica, el operador utiliza un mecanismo para colocar la pieza que se está procesando debajo del carnero en cada golpe. El operador no necesita alcanzar el área de peligro y el área de peligro está completamente cerrada. La figura 29 muestra una tolva de alimentación en la que cada pieza se coloca a mano. El uso de un canal de alimentación en una prensa inclinada no solo ayuda a centrar la pieza a medida que se desliza en el troquel, sino que también puede simplificar el problema de la expulsión.
Figura 29. Prensa mecánica con alimentación por tolva
Expulsión automática. La eyección automática puede emplear presión de aire o un aparato mecánico para retirar la pieza terminada de una prensa, y puede interconectarse con los controles operativos para evitar la operación hasta que se complete la eyección de la pieza. El mecanismo de transferencia de bandeja que se muestra en la figura 30 se mueve debajo de la pieza terminada a medida que la corredera se mueve hacia la posición superior. Luego, el transbordador atrapa la pieza que los pasadores ciegos quitaron de la corredera y la desvía hacia una tolva. Cuando el ariete desciende hacia el siguiente espacio en blanco, la lanzadera del plato se aleja del área del troquel.
Figura 30. Sistema de eyección de la lanzadera
Expulsión semiautomática. La figura 31 muestra un mecanismo de eyección semiautomático utilizado en una prensa eléctrica. Cuando el émbolo se retira del área del troquel, la pata eyectora, que está acoplada mecánicamente al émbolo, expulsa el trabajo completo.
Figura 31. Mecanismo de eyección semiautomático
Robots. Los robots son dispositivos complejos que cargan y descargan existencias, ensamblan piezas, transfieren objetos o realizan trabajos que de otro modo realizaría un operador, eliminando así la exposición del operador a los peligros. Se utilizan mejor en procesos de alta producción que requieren rutinas repetidas, donde pueden proteger contra otros peligros para los empleados. Los robots pueden crear peligros y se deben usar protecciones adecuadas. La Figura 32 muestra un ejemplo de un robot alimentando una prensa.
Figura 32. Uso de protecciones de barrera para proteger la envoltura del robot
Ayudas de salvaguardia misceláneas
Si bien las ayudas de protección misceláneas no brindan una protección completa contra los peligros de la máquina, pueden proporcionar a los operadores un margen adicional de seguridad. Se necesita buen juicio en su aplicación y uso.
Barreras de conciencia. Las barreras de alerta no brindan protección física, solo sirven para recordar a los operadores que se están acercando al área de peligro. Generalmente, las barreras de concientización no se consideran adecuadas cuando existe una exposición continua al peligro. La figura 33 muestra una cuerda utilizada como barrera de alerta en la parte trasera de una cizalla cuadrática. Las barreras no impiden físicamente que las personas ingresen a las áreas de peligro, sino que solo brindan información sobre el peligro.
Figura 33. Vista trasera de la escuadra de cizallamiento
Shields. Los escudos se pueden usar para brindar protección contra partículas que vuelan, salpicaduras de fluidos para trabajar metales o refrigerantes. La Figura 34 muestra dos aplicaciones potenciales.
Figura 34. Aplicaciones de escudos
Herramientas de sujeción. Colocar las herramientas de sujeción y retirar el stock. Un uso típico sería para llegar al área de peligro de una prensa o plegadora. La Figura 35 muestra una variedad de herramientas para este propósito. No se deben utilizar herramientas de sujeción de otras protecciones de máquinas; son simplemente un complemento a la protección que brindan otros guardias.
Figura 35. Herramientas de sujeción
empujar palos o bloques, como se muestra en la figura 36, se puede usar cuando se alimenta material a una máquina, como una hoja de sierra. Cuando sea necesario que las manos estén muy cerca de la hoja, la palanca o el bloque de empuje pueden proporcionar un margen de seguridad y evitar lesiones.
Figura 36. Uso de palanca de empuje o bloque de empuje
Los desarrollos generales en microelectrónica y en la tecnología de sensores dan motivos para esperar que se pueda lograr una mejora en la seguridad laboral a través de la disponibilidad de detectores de presencia y aproximación confiables, resistentes, de bajo mantenimiento y económicos. Este artículo describirá la tecnología de sensores, los diferentes procedimientos de detección, las condiciones y restricciones aplicables al uso de sistemas de sensores, y algunos estudios y trabajos de estandarización realizados en Alemania.
Criterios del detector de presencia
El desarrollo y ensayo práctico de los detectores de presencia es uno de los mayores retos futuros de los esfuerzos técnicos para mejorar la seguridad laboral y la protección del personal en general. Detectores de presencia son sensores que señalan de forma fiable y segura la cerca de la presencia o acercamiento de una persona. Además, esta advertencia debe ocurrir rápidamente para que la acción evasiva, el frenado o el apagado de una máquina estacionaria puedan tener lugar antes de que se produzca el contacto previsto. El hecho de que las personas sean grandes o pequeñas, sea cual sea su postura o su forma de vestir no debería afectar a la fiabilidad del sensor. Además, el sensor debe tener certeza de funcionamiento y ser robusto y económico, de modo que pueda usarse en las condiciones más exigentes, como en obras de construcción y para aplicaciones móviles, con un mantenimiento mínimo. Los sensores deben ser como una bolsa de aire en el sentido de que no requieren mantenimiento y están siempre listos. Dada la renuencia de algunos usuarios a mantener lo que pueden considerar como equipo no esencial, los sensores pueden quedar sin servicio durante años. Otra característica de los detectores de presencia, mucho más solicitada, es que también detectan obstáculos distintos a los humanos y alertan al operador a tiempo para tomar medidas defensivas, reduciendo así costes de reparación y daños materiales. Esta es una razón para instalar detectores de presencia que no debe menospreciarse.
Aplicaciones de detectores
Innumerables accidentes mortales y lesiones graves que parecen actos del destino inevitables e individuales, pueden evitarse o minimizarse siempre que los detectores de presencia sean más aceptados como medida de prevención en el campo de la seguridad laboral. Los periódicos informan de estos accidentes con demasiada frecuencia: aquí una persona fue golpeada por un cargador que se movía hacia atrás, allí el operador no vio a alguien que fue atropellado por la rueda delantera de una pala mecánica. Los camiones que retroceden en las calles, las instalaciones de la empresa y las obras de construcción son la causa de muchos accidentes para las personas. Las empresas completamente racionalizadas de hoy en día ya no proporcionan copilotos u otras personas que actúen como guías para el conductor que está dando marcha atrás a un camión. Estos ejemplos de accidentes en movimiento se pueden extender fácilmente a otros equipos móviles, como carretillas elevadoras. Sin embargo, se necesita con urgencia el uso de sensores para prevenir accidentes que involucren equipos semimóviles y puramente estacionarios. Un ejemplo son las áreas traseras de las máquinas de carga grandes, que han sido identificadas por el personal de seguridad como áreas potencialmente peligrosas que podrían mejorarse mediante el uso de sensores económicos. Muchas variaciones de detectores de presencia se pueden adaptar de manera innovadora a otros vehículos y grandes equipos móviles para proteger contra los tipos de accidentes que se analizan en este artículo, que generalmente causan daños extensos y lesiones graves, si no fatales.
La tendencia de las soluciones innovadoras a generalizarse parecería prometer que los detectores de presencia se convertirán en la tecnología de seguridad estándar en otras aplicaciones; sin embargo, este no es el caso en ninguna parte. El avance, motivado por accidentes y daños materiales elevados, se espera en el seguimiento detrás de furgonetas de reparto y camiones pesados y para las áreas más innovadoras de las “nuevas tecnologías”: las máquinas robotizadas móviles del futuro.
La variación de los campos de aplicación de los detectores de presencia y la variabilidad de las tareas, por ejemplo, tolerar objetos (incluso objetos en movimiento, bajo ciertas condiciones) que pertenecen a un campo de detección y que no deben disparar una señal, requieren sensores en los que “ La tecnología de evaluación "inteligente" apoya los mecanismos de la función del sensor. Esta tecnología, que es un tema para el desarrollo futuro, se puede elaborar a partir de métodos basados en el campo de la inteligencia artificial (Schreiber y Kuhn 1995). Hasta la fecha, una universalidad limitada ha restringido severamente los usos actuales de los sensores. Hay cortinas de luz; barras de luz; esteras de contacto; sensores infrarrojos pasivos; detectores de movimiento por ultrasonido y radar que utilizan el efecto Doppler; sensores que miden el tiempo transcurrido de impulsos ultrasónicos, de radar y de luz; y escáneres láser. Las cámaras de televisión normales conectadas a monitores no se incluyen en esta lista porque no son detectores de presencia. Sin embargo, se incluyen aquellas cámaras que sí se activan automáticamente al detectar la presencia de una persona.
La tecnología de sensores
Hoy en día, los principales problemas de los sensores son (1) la optimización del uso de los efectos físicos (infrarrojos, luz, ultrasonido, radar, etc.) y (2) el autocontrol. Los escáneres láser se están desarrollando intensamente para su uso como instrumentos de navegación para robots móviles. Para ello se deben resolver dos tareas, en principio parcialmente diferentes: la navegación del robot y la protección de las personas (y materiales o equipos) presentes para que no sean golpeados, atropellados o agarrados (Freund, Dierks y Rossman 1993). ). Los futuros robots móviles no pueden conservar la misma filosofía de seguridad de "separación espacial de robot y persona" que se aplica estrictamente a los robots industriales estacionarios de hoy. Esto significa dar una gran importancia al funcionamiento fiable del detector de presencia que se va a utilizar.
El uso de “nuevas tecnologías” está muchas veces ligado a problemas de aceptación, y se puede suponer que el uso generalizado de robots móviles que puedan moverse y agarrar, entre personas en plantas, en áreas de tránsito público, o incluso en casas o áreas recreativas , sólo serán aceptados si están equipados con detectores de presencia muy desarrollados, sofisticados y fiables. Los accidentes espectaculares deben evitarse a toda costa para no agravar un posible problema de aceptación. El nivel de gasto actual para el desarrollo de este tipo de sensores de protección laboral no se acerca a tener en cuenta esta consideración. Para ahorrar muchos costes, los detectores de presencia deben desarrollarse y probarse simultáneamente con los robots móviles y los sistemas de navegación, no después.
Con respecto a los vehículos de motor, las cuestiones de seguridad han adquirido una importancia cada vez mayor. La seguridad innovadora de los pasajeros en los automóviles incluye cinturones de seguridad de tres puntos, asientos para niños, bolsas de aire y el sistema de frenos antibloqueo verificado por pruebas de choque en serie. Estas medidas de seguridad representan una porción relativamente creciente de los costos de producción. Los sistemas de sensor de radar y bolsas de aire laterales para medir la distancia con respecto al automóvil de adelante son desarrollos evolutivos en la protección de los pasajeros.
La seguridad externa de los vehículos de motor, es decir, la protección de terceros, está recibiendo una mayor atención. Recientemente, se ha requerido protección lateral, principalmente para camiones, para evitar que los motociclistas, ciclistas y peatones corran el peligro de caer debajo de las ruedas traseras. El siguiente paso lógico sería monitorear el área detrás de vehículos grandes con detectores de presencia e instalar equipos de advertencia en la parte trasera. Esto tendría el efecto secundario positivo de proporcionar la financiación necesaria para desarrollar, probar y poner a disposición sensores económicos de máximo rendimiento, autosupervisados, libres de mantenimiento y de funcionamiento fiable para fines de seguridad laboral. El proceso de prueba que acompañaría a la implementación amplia de sensores o sistemas de sensores facilitaría considerablemente la innovación en otras áreas, como palas mecánicas, cargadores pesados y otras máquinas móviles grandes que retroceden hasta la mitad del tiempo durante su operación. El proceso evolutivo de robots estacionarios a robots móviles es un camino adicional de desarrollo para los detectores de presencia. Por ejemplo, se podrían realizar mejoras en los sensores que se utilizan actualmente en los transportadores de materiales de robots móviles o "tractores de piso de fábrica sin conductor", que siguen caminos fijos y, por lo tanto, tienen requisitos de seguridad relativamente bajos. El uso de detectores de presencia es el siguiente paso lógico en la mejora de la seguridad en el ámbito del transporte de materiales y viajeros.
Procedimientos de detección
Varios principios físicos, disponibles en relación con la medición electrónica y los métodos de autocontrol y, hasta cierto punto, los procedimientos informáticos de alto rendimiento, pueden utilizarse para evaluar y resolver las tareas mencionadas anteriormente. La operación segura y aparentemente sin esfuerzo de las máquinas automatizadas (robots) tan común en las películas de ciencia ficción, posiblemente se logrará en el mundo real mediante el uso de técnicas de imagen y algoritmos de reconocimiento de patrones de alto rendimiento en combinación con métodos de medición de distancia análogos a los empleados por los escáneres láser. Hay que reconocer la paradójica situación de que todo lo que parece sencillo para las personas es difícil para los autómatas. Por ejemplo, una tarea difícil como jugar al ajedrez de manera excelente (que requiere actividad del cerebro anterior) puede simularse y llevarse a cabo más fácilmente mediante máquinas automatizadas que una tarea simple como caminar erguido o llevar a cabo la coordinación mano-ojo y otros movimientos (mediados por cerebro medio y posterior). A continuación se describen algunos de estos principios, métodos y procedimientos aplicables a las aplicaciones de sensores. Además de estos, existe una gran cantidad de procedimientos especiales para tareas muy especiales que funcionan en parte con una combinación de varios tipos de efectos físicos.
Barreras y cortinas de barrera de luz. Entre los primeros detectores de presencia se encuentran las cortinas y barras de barrera de luz. Tienen una geometría de monitoreo plana; es decir, ya no se detectará a quien haya pasado la barrera. La mano de un operador, o la presencia de herramientas o piezas en la mano de un operador, por ejemplo, se pueden detectar de forma rápida y fiable con estos dispositivos. Ofrecen una importante contribución a la seguridad laboral de máquinas (como prensas y punzonadoras) que requieren que el material se introduzca a mano. La confiabilidad tiene que ser extremadamente alta estadísticamente, porque cuando la manecilla alcanza solo dos o tres veces por minuto, se realizan alrededor de un millón de operaciones en solo unos pocos años. El autocontrol mutuo de los componentes emisor y receptor se ha desarrollado a un nivel técnico tan alto que representa un estándar para todos los demás procedimientos de detección de presencia.
Esteras de contacto (esteras de interruptores). Existen tapetes y pisos de contacto tanto eléctricos como neumáticos, tanto pasivos como activos (bomba), que inicialmente se usaron en gran número en funciones de servicio (abridores de puertas), hasta que fueron reemplazados por detectores de movimiento. Un mayor desarrollo evoluciona con el uso de detectores de presencia en todo tipo de zonas de peligro. Por ejemplo, el desarrollo de la fabricación automatizada con un cambio en la función del trabajador, de operar la máquina a monitorear estrictamente su función, produjo una demanda correspondiente de detectores apropiados. La estandarización de este uso está muy avanzada (DIN 1995a), y las limitaciones especiales (diseño, tamaño, zonas "muertas" máximas permitidas) requirieron el desarrollo de experiencia para la instalación en esta área de uso.
Surgen posibles usos interesantes de las esteras de contacto junto con sistemas de robots múltiples controlados por computadora. Un operador cambia uno o dos elementos para que el detector de presencia recoja su posición exacta e informe a la computadora, que administra los sistemas de control del robot con un sistema integrado para evitar colisiones. En una prueba avanzada por el instituto federal alemán de seguridad (BAU), se construyó un piso de tapete de contacto, que consiste en pequeños tapetes de interruptores eléctricos, debajo del área de trabajo del brazo robótico para este propósito (Freund, Dierks y Rossman 1993). Este detector de presencia tenía la forma de un tablero de ajedrez. El campo de tapete activado respectivamente le indicó a la computadora la posición del operador (figura 1) y cuando el operador se acercó demasiado al robot, se alejó. Sin el detector de presencia, el sistema de robot no podría determinar la posición del operador y, por lo tanto, el operador no podría estar protegido.
Figura 1. Una persona (derecha) y dos robots en cuerpos envolventes computarizados
Reflectores (sensores de movimiento y detectores de presencia). Por meritorios que puedan ser los sensores discutidos hasta ahora, no son detectores de presencia en el sentido más amplio. Su idoneidad, principalmente por razones de seguridad laboral, para vehículos grandes y equipos móviles grandes presupone dos características importantes: (1) la capacidad de monitorear un área desde una posición y (2) funcionamiento sin errores sin necesidad de medidas adicionales en la parte de, por ejemplo, el uso de dispositivos reflectores. Detectar la presencia de una persona que entra en la zona vigilada y permanece parada hasta que esta persona se ha marchado implica también la necesidad de detectar una persona que permanece absolutamente inmóvil. Esto distingue a los llamados sensores de movimiento de los detectores de presencia, al menos en conexión con equipos móviles; Los sensores de movimiento casi siempre se activan cuando el vehículo se pone en movimiento.
Sensores de movimiento. Los dos tipos básicos de sensores de movimiento son: (1) "sensores infrarrojos pasivos" (PIRS), que reaccionan al cambio más pequeño en el haz infrarrojo en el área monitoreada (el haz detectable más pequeño es de aproximadamente 10-9 W con un rango de longitud de onda de aproximadamente 7 a 20 μm); y (2) sensores de ultrasonido y microondas que utilizan el principio Doppler, que determina las características del movimiento de un objeto de acuerdo con los cambios de frecuencia. Por ejemplo, el efecto Doppler aumenta la frecuencia de la bocina de una locomotora para un observador cuando se acerca y reduce la frecuencia cuando la locomotora se aleja. El efecto Doppler hace posible la construcción de sensores de aproximación relativamente simples, ya que el receptor solo necesita monitorear la frecuencia de la señal de las bandas de frecuencia vecinas para detectar la aparición de la frecuencia Doppler.
A mediados de la década de 1970, el uso de detectores de movimiento se generalizó en aplicaciones de funciones de servicio, como abridores de puertas, seguridad antirrobo y protección de objetos. Para uso estacionario, la detección de una persona que se acercaba a un punto de peligro era adecuada para dar una advertencia oportuna o para apagar una máquina. Esta fue la base para estudiar la idoneidad de los detectores de movimiento para su uso en seguridad laboral, especialmente mediante PIRS (Mester et al. 1980). Debido a que una persona vestida generalmente tiene una temperatura más alta que el área circundante (cabeza 34 °C, manos 31 °C), detectar a una persona que se aproxima es algo más fácil que detectar objetos inanimados. Hasta cierto punto, las piezas de la máquina pueden moverse en el área monitoreada sin activar el detector.
El método pasivo (sin transmisor) tiene ventajas y desventajas. La ventaja es que un PIRS no aumenta los problemas de ruido y smog eléctrico. Para la seguridad contra robos y la protección de objetos, es particularmente importante que el detector no sea fácil de encontrar. Sin embargo, un sensor que es puramente un receptor difícilmente puede controlar su propia eficacia, que es esencial para la seguridad laboral. Un método para superar este inconveniente fue probar pequeños emisores de infrarrojos modulados (5 a 20 Hz) que se instalaron en el área monitoreada y que no activaron el sensor, pero cuyos haces se registraron con una amplificación electrónica fija ajustada a la frecuencia de modulación. Esta modificación lo convirtió de un sensor “pasivo” a un sensor “activo”. De esta forma también fue posible verificar la precisión geométrica del área monitoreada. Los espejos pueden tener puntos ciegos, y la actividad brusca de una planta puede desviar la dirección de un sensor pasivo. La Figura 2 muestra un diseño de prueba con un PIRS con una geometría monitoreada en forma de manto piramidal. Debido a su gran alcance, los sensores infrarrojos pasivos se instalan, por ejemplo, en los pasillos de las áreas de almacenamiento en estanterías.
Figura 2. Sensor de infrarrojos pasivo como detector de aproximación en una zona de peligro
En general, las pruebas mostraron que los detectores de movimiento no son adecuados para la seguridad laboral. El suelo de un museo nocturno no se puede comparar con las zonas de peligro en un lugar de trabajo.
Detectores de ultrasonidos, radares y de impulsos de luz. Los sensores que utilizan el principio de pulso/eco, es decir, mediciones de tiempo transcurrido de impulsos de ultrasonido, radar o luz, tienen un gran potencial como detectores de presencia. Con los escáneres láser, los impulsos de luz pueden barrer en rápida sucesión (generalmente de forma rotatoria), por ejemplo, horizontalmente, y con la ayuda de una computadora se puede obtener un perfil de distancia de los objetos en un plano que reflejan la luz. Si, por ejemplo, no solo se desea una sola línea, sino la totalidad de lo que se encuentra ante el robot móvil en el área hasta una altura de 2 metros, entonces se deben procesar grandes cantidades de datos para representar el área circundante. Un futuro detector de presencia “ideal” consistirá en una combinación de los dos procesos siguientes:
La Figura 3 muestra, del proyecto BAU citado anteriormente (Freund, Dierks y Rossman 1993), el uso de un escáner láser en un robot móvil que también asume tareas de navegación (a través de un haz de detección de dirección) y protección contra colisiones para objetos en el entorno inmediato. vecindad (a través de un haz de medición terrestre para la detección de presencia). Dadas estas características, el robot móvil tiene la capacidad de conducción libre automatizada activa (es decir, la capacidad de conducir alrededor de obstáculos). Técnicamente, esto se logra utilizando el ángulo de 45° de rotación del escáner hacia atrás en ambos lados (hacia babor y estribor del robot) además del ángulo de 180° hacia el frente. Estos rayos están conectados con un espejo especial que actúa como una cortina de luz en el suelo frente al robot móvil (proporcionando una línea de visión desde el suelo). Si de ahí sale un reflejo láser, el robot se detiene. Mientras que los escáneres láser y de luz certificados para su uso en seguridad laboral están en el mercado, estos detectores de presencia tienen un gran potencial para un mayor desarrollo.
Figura 3. Robot móvil con escáner láser para uso de navegación y detección de presencia
Los sensores de ultrasonido y radar, que utilizan el tiempo transcurrido desde la señal hasta la respuesta para determinar la distancia, son menos exigentes desde el punto de vista técnico y, por lo tanto, se pueden producir de forma más económica. El área del sensor tiene forma de maza y tiene una o más mazas laterales más pequeñas, que están dispuestas simétricamente. La velocidad de propagación de la señal (sonido: 330 m/s; onda electromagnética: 300,000 km/s) determina la velocidad requerida de la electrónica utilizada.
Dispositivos de advertencia en la parte trasera. En la Exposición de Hannover de 1985, BAU mostró los resultados de un proyecto inicial sobre el uso de sensores de ultrasonido para asegurar el área detrás de vehículos grandes (Langer y Kurfürst 1985). Se instaló un modelo de tamaño completo de un cabezal sensor hecho con sensores Polaroid™ en la pared trasera de un camión de suministro. La figura 4 muestra esquemáticamente su funcionamiento. El gran diámetro de este sensor produce áreas de medición en forma de maza de ángulo relativamente pequeño (aproximadamente 18°), de largo alcance, dispuestas una al lado de la otra y configuradas en diferentes rangos máximos de señal. En la práctica, permite establecer cualquier geometría monitoreada deseada, que es escaneada por los sensores aproximadamente cuatro veces por segundo para detectar la presencia o entrada de personas. Otros sistemas de advertencia de área trasera demostrados tenían varios sensores dispuestos en paralelo individuales.
Figura 4. Disposición del cabezal de medición y área monitoreada en la parte trasera de un camión
Esta vívida demostración fue un gran éxito en la exposición. Mostró que la protección del área trasera de vehículos y equipos grandes está siendo estudiada en muchos lugares, por ejemplo, por comités especializados de las asociaciones comerciales industriales. (Berufsgenossenschaften), las aseguradoras de accidentes municipales (que son responsables de los vehículos municipales), los funcionarios de supervisión de la industria estatal y los productores de sensores, que habían estado pensando más en términos de automóviles como vehículos de servicio (en el sentido de centrarse en los sistemas de estacionamiento para proteger contra daños en la carrocería). De manera espontánea, se formó un comité ad hoc formado por los grupos para promover los dispositivos de advertencia en la parte trasera, que tuvo como primera tarea la elaboración de una lista de requisitos desde la perspectiva de la seguridad laboral. Han pasado diez años durante los cuales se ha trabajado mucho en la vigilancia de la zona trasera, posiblemente la tarea más importante de los detectores de presencia; pero aún falta el gran avance.
Se han realizado muchos proyectos con sensores de ultrasonido, por ejemplo, en grúas clasificadoras de madera en rollo, palas hidráulicas, vehículos municipales especiales y otros vehículos utilitarios, así como en carretillas elevadoras y cargadoras (Schreiber 1990). Los dispositivos de advertencia en el área trasera son especialmente importantes para maquinaria grande que da marcha atrás la mayor parte del tiempo. Los detectores de presencia por ultrasonidos se utilizan, por ejemplo, para la protección de vehículos especializados sin conductor, como las máquinas robotizadas de manipulación de materiales. En comparación con los topes de goma, estos sensores tienen un área de detección mayor que permite frenar antes de que se haga contacto entre la máquina y un objeto. Los sensores correspondientes para automóviles son desarrollos apropiados e implican requisitos considerablemente menos estrictos.
Mientras tanto, el Comité de Normas Técnicas del Sistema de Transporte de DIN elaboró la norma 75031, "Dispositivos de detección de obstáculos durante la marcha atrás" (DIN 1995b). Los requisitos y las pruebas se establecieron para dos rangos: 1.8 m para camiones de suministro y 3.0 m (un área de advertencia adicional) para camiones más grandes. El área monitoreada se establece a través del reconocimiento de cuerpos de prueba cilíndricos. El rango de 3 m también es el límite de lo que actualmente es técnicamente posible, ya que los sensores de ultrasonido deben tener membranas metálicas cerradas, dadas sus duras condiciones de trabajo. Se están estableciendo los requisitos para el autocontrol del sistema de sensores, ya que la geometría monitoreada requerida solo se puede lograr con un sistema de tres o más sensores. La Figura 5 muestra un dispositivo de advertencia para el área trasera que consta de tres sensores de ultrasonido (Microsonic GmbH 1996). Lo mismo se aplica al dispositivo de notificación en la cabina del conductor y al tipo de señal de advertencia. El contenido de la norma DIN 75031 también se establece en el informe técnico internacional ISO TR 12155, "Vehículos comerciales: dispositivo de detección de obstáculos durante la marcha atrás" (ISO 1994). Varios productores de sensores han desarrollado prototipos de acuerdo con este estándar.
Figura 5. Camión mediano equipado con un dispositivo de advertencia en la parte trasera (foto de Microsonic).
Conclusión
Desde principios de la década de 1970, varias instituciones y fabricantes de sensores han trabajado para desarrollar y establecer "detectores de presencia". En la aplicación especial de "dispositivos de advertencia de la zona trasera" existen la norma DIN 75031 y el informe ISO TR 12155. En la actualidad, Deutsche Post AG está realizando una prueba importante. Varios fabricantes de sensores han equipado cada uno cinco camiones medianos con tales dispositivos. Un resultado positivo de esta prueba redunda en gran medida en interés de la seguridad laboral. Como se destacó al principio, los detectores de presencia en el número requerido son un gran desafío para la tecnología de seguridad en las muchas áreas de aplicación mencionadas. Por lo tanto, deben ser realizables a bajo costo si se quiere relegar al pasado los daños a equipos, maquinarias y materiales y, sobre todo, las lesiones a las personas, a menudo muy graves.
Los dispositivos de control y los dispositivos utilizados para el aislamiento y la conmutación siempre deben discutirse en relación con sistemas tecnicos, término utilizado en este artículo para incluir máquinas, instalaciones y equipos. Todo sistema técnico cumple una tarea práctica específica y asignada. Se requieren dispositivos de conmutación y control de seguridad apropiados para que esta tarea práctica sea factible o incluso posible en condiciones seguras. Dichos dispositivos se utilizan para iniciar el control, interrumpir o retardar la corriente y/o los impulsos de energías eléctricas, hidráulicas, neumáticas y también potenciales.
Aislamiento y Reducción de Energía
Los dispositivos de aislamiento se utilizan para aislar la energía desconectando la línea de suministro entre la fuente de energía y el sistema técnico. El dispositivo de aislamiento normalmente debe producir una desconexión real inequívocamente determinable del suministro de energía. La desconexión del suministro de energía también debe combinarse siempre con la reducción de la energía almacenada en todas las partes del sistema técnico. Si el sistema técnico está alimentado por varias fuentes de energía, todas estas líneas de suministro deben poder aislarse de forma fiable. Las personas capacitadas para manejar el tipo de energía relevante y que trabajan en el extremo energético del sistema técnico, utilizan dispositivos de aislamiento para protegerse de los peligros de la energía. Por razones de seguridad, estas personas siempre comprobarán que no quede energía potencialmente peligrosa en el sistema técnico, por ejemplo, comprobando la ausencia de potencial eléctrico en el caso de la energía eléctrica. El manejo sin riesgos de ciertos dispositivos de aislamiento solo es posible para especialistas capacitados; en tales casos, el dispositivo de aislamiento debe ser inaccesible a personas no autorizadas. (Ver figura 1.)
Figura 1. Principios de los dispositivos de aislamiento eléctrico y neumático
El interruptor maestro
Un dispositivo de interruptor maestro desconecta el sistema técnico del suministro de energía. A diferencia del dispositivo de aislamiento, puede ser operado sin peligro incluso por "especialistas no energéticos". El dispositivo interruptor maestro se utiliza para desconectar los sistemas técnicos que no están en uso en un momento dado si, por ejemplo, su funcionamiento es obstaculizado por terceras personas no autorizadas. También se utiliza para efectuar una desconexión con fines de mantenimiento, reparación de averías, limpieza, reposición y reacondicionamiento, siempre que dicho trabajo pueda realizarse sin energía en el sistema. Naturalmente, cuando un dispositivo interruptor maestro posee además las características de un dispositivo seccionador, también puede asumir y/o compartir su función. (Ver figura 2.)
Figura 2. Ejemplo de ilustración de dispositivos de interruptores maestros eléctricos y neumáticos
Dispositivo de desconexión de seguridad
Un dispositivo de desconexión de seguridad no desconecta todo el sistema técnico de la fuente de energía; más bien, elimina energía de las partes del sistema críticas para un subsistema operativo en particular. Se pueden designar intervenciones de corta duración para subsistemas operativos, por ejemplo, para la instalación o el restablecimiento/reacondicionamiento del sistema, para la reparación de fallas, para la limpieza periódica y para los movimientos esenciales y designados y las secuencias de funciones requeridas durante el curso. de configuración, reinicio/reacondicionamiento o pruebas de funcionamiento. En estos casos, las instalaciones y los equipos de producción complejos no se pueden apagar simplemente con un dispositivo de interruptor maestro, ya que todo el sistema técnico no podría volver a ponerse en marcha donde se quedó después de que se haya reparado un mal funcionamiento. Además, el dispositivo interruptor maestro rara vez se encuentra, en los sistemas técnicos más extensos, en el lugar donde debe efectuarse la intervención. Así, el dispositivo de desconexión de seguridad está obligado a cumplir una serie de requisitos, como los siguientes:
Cuando el dispositivo interruptor maestro utilizado en un sistema técnico determinado pueda cumplir todos los requisitos de un dispositivo de desconexión de seguridad, también puede asumir esta función. Pero eso, por supuesto, será un recurso fiable sólo en sistemas técnicos muy sencillos. (Ver figura 3.)
Figura 3. Ilustración de principios elementales de un dispositivo de desconexión de seguridad
Equipos de control para subsistemas operativos
Los equipos de control permiten que los movimientos y las secuencias funcionales necesarias para que los subsistemas operativos del sistema técnico sean implementados y controlados de forma segura. Es posible que se requieran dispositivos de control para los subsistemas operativos para la configuración (cuando se van a ejecutar pruebas); para la regulación (cuando se deban reparar fallas en el funcionamiento del sistema o cuando se deban eliminar obstrucciones); o propósitos de entrenamiento (demostración de operaciones). En tales casos, el funcionamiento normal del sistema no puede simplemente reiniciarse, ya que la persona que interviene estaría en peligro por movimientos y procesos provocados por señales de control introducidas o generadas erróneamente. Un equipo de control para subsistemas operativos debe cumplir con los siguientes requisitos:
Figura 4. Dispositivos de actuación en los equipos de control para subsistemas operativos móviles y estacionarios
El interruptor de emergencia
Los interruptores de emergencia son necesarios cuando el funcionamiento normal de los sistemas técnicos podría dar lugar a peligros que ni el diseño adecuado del sistema ni la adopción de las precauciones de seguridad adecuadas pueden evitar. En los subsistemas operativos, el interruptor de emergencia suele formar parte del equipo de control del subsistema operativo. Cuando se opera en caso de peligro, el interruptor de emergencia implementa procesos que devuelven el sistema técnico a un estado operativo seguro lo más rápido posible. Con respecto a las prioridades de seguridad, la protección de las personas es una preocupación primordial; la prevención del daño material es secundaria, a menos que este último también pueda poner en peligro a las personas. El interruptor de emergencia debe cumplir los siguientes requisitos:
Figura 5. Ilustración de los principios de los paneles de control en los interruptores de emergencia
Dispositivo de control de interruptor de función
Los dispositivos de control de interruptor de función se utilizan para encender el sistema técnico para el funcionamiento normal y para iniciar, implementar e interrumpir los movimientos y procesos designados para el funcionamiento normal. El dispositivo de control de interruptor de función se utiliza exclusivamente en el curso de la operación normal del sistema técnico, es decir, durante la ejecución sin interrupciones de todas las funciones asignadas. Es utilizado en consecuencia por las personas que ejecutan el sistema técnico. Los dispositivos de control del interruptor de función deben cumplir con los siguientes requisitos:
Figura 6. Representación esquemática de un panel de control de operaciones
Interruptores de monitoreo
Los interruptores de vigilancia impiden el arranque del sistema técnico mientras no se cumplan las condiciones de seguridad vigiladas e interrumpen el funcionamiento en cuanto deja de cumplirse una condición de seguridad. Se utilizan, por ejemplo, para monitorear puertas en compartimentos de protección, para verificar la posición correcta de los resguardos de seguridad o para asegurar que no se excedan los límites de velocidad o recorrido. Por consiguiente, los interruptores de vigilancia deben cumplir los siguientes requisitos de seguridad y fiabilidad:
Figura 7. Diagrama de un interruptor con operación mecánica positiva y desconexión positiva
Circuitos de control de seguridad
Varios de los dispositivos de conmutación de seguridad descritos anteriormente no ejecutan la función de seguridad directamente, sino que emiten una señal que luego es transmitida y procesada por un circuito de control de seguridad y finalmente llega a las partes del sistema técnico que ejercen la función de seguridad real. El dispositivo de desconexión de seguridad, por ejemplo, provoca frecuentemente la desconexión de la energía en puntos críticos de forma indirecta, mientras que un interruptor principal suele desconectar directamente el suministro de corriente al sistema técnico.
Dado que los circuitos de control de seguridad deben transmitir señales de seguridad de forma fiable, se deben tener en cuenta los siguientes principios:
Los componentes utilizados en los circuitos de control de seguridad deben ejecutar la función de seguridad de forma especialmente fiable. Las funciones de los componentes que no cumplan este requisito se implementarán disponiendo una redundancia lo más diversificada posible y se mantendrán bajo vigilancia.
En los últimos años, los microprocesadores han jugado un papel cada vez mayor en el campo de la tecnología de seguridad. Debido a que las computadoras completas (es decir, la unidad central de procesamiento, la memoria y los componentes periféricos) ahora están disponibles en un solo componente como "computadoras de un solo chip", la tecnología de microprocesadores se emplea no solo en el control de máquinas complejas, sino también en salvaguardas de diseño relativamente simple. (por ejemplo, rejillas fotoeléctricas, dispositivos de control a dos manos y bordes de seguridad). El software que controla estos sistemas consta de entre mil y varias decenas de miles de comandos individuales y, por lo general, consta de varios cientos de ramas del programa. Los programas operan en tiempo real y en su mayoría están escritos en el lenguaje ensamblador de los programadores.
La introducción de sistemas controlados por computadora en el ámbito de la tecnología de seguridad ha ido acompañada en todos los equipos técnicos a gran escala no solo de costosos proyectos de investigación y desarrollo, sino también de importantes restricciones diseñadas para mejorar la seguridad. (La tecnología aeroespacial, la tecnología militar y la tecnología de energía atómica pueden citarse aquí como ejemplos de aplicaciones a gran escala). Hasta ahora, el campo colectivo de la producción industrial en masa ha sido tratado solo de manera muy limitada. Esto se debe en parte a que los rápidos ciclos de innovación característicos del diseño de máquinas industriales dificultan la transferencia, salvo de manera muy restringida, de los conocimientos que pueden derivarse de los proyectos de investigación relacionados con la prueba final de máquinas a gran escala. dispositivos de seguridad. Esto hace que el desarrollo de procedimientos de evaluación rápidos y de bajo costo sea un desiderátum (Reinert y Reuss 1991).
Este artículo primero examina las máquinas y las instalaciones en las que los sistemas informáticos actualmente realizan tareas de seguridad, utilizando ejemplos de accidentes que ocurren predominantemente en el área de protección de máquinas para describir el papel particular que desempeñan las computadoras en la tecnología de seguridad. Estos accidentes dan una idea de las precauciones que se deben tomar para que el equipo de seguridad controlado por computadora que actualmente se usa cada vez más no provoque un aumento en el número de accidentes. La sección final del artículo esboza un procedimiento que permitirá que incluso los sistemas informáticos más pequeños alcancen un nivel apropiado de seguridad técnica a un costo justificable y dentro de un período de tiempo aceptable. Los principios indicados en esta parte final se están introduciendo actualmente en los procedimientos de normalización internacional y tendrán implicaciones para todas las áreas de la tecnología de seguridad en las que las computadoras encuentran aplicación.
Ejemplos del uso de software y computadoras en el campo de la protección de máquinas
Los siguientes cuatro ejemplos dejan en claro que el software y las computadoras están entrando cada vez más en las aplicaciones relacionadas con la seguridad en el dominio comercial.
Las instalaciones de señalización de emergencia personal consisten, por regla general, en una estación receptora central y una serie de dispositivos de señalización de emergencia personal. Los dispositivos son transportados por personas que trabajan solas en el lugar. Si alguna de estas personas que trabajan solas se encuentra en una situación de emergencia, puede usar el dispositivo para disparar una alarma por señal de radio en la estación receptora central. Tal activación de alarma dependiente de la voluntad también puede complementarse con un mecanismo de activación independiente de la voluntad activado por sensores integrados en los dispositivos de emergencia personales. Tanto los dispositivos individuales como la estación receptora central suelen estar controlados por microordenadores. Es concebible que la falla de funciones individuales específicas de la computadora incorporada pueda conducir, en una situación de emergencia, a que no se dispare la alarma. Por lo tanto, se deben tomar precauciones para percibir y reparar a tiempo tal pérdida de función.
Las imprentas que se utilizan hoy en día para imprimir revistas son máquinas grandes. Las bandas de papel normalmente se preparan en una máquina separada de manera que se permita una transición sin problemas a un nuevo rollo de papel. Las páginas impresas se pliegan en una máquina plegadora y posteriormente se procesan a través de una cadena de otras máquinas. Esto da como resultado paletas cargadas con revistas completamente cosidas. Aunque tales plantas están automatizadas, hay dos puntos en los que se deben realizar intervenciones manuales: (1) en el enhebrado de las rutas del papel y (2) en la limpieza de obstrucciones causadas por rasgaduras de papel en puntos peligrosos de los rodillos giratorios. Por esta razón, la tecnología de control debe garantizar una velocidad de funcionamiento reducida o un modo de avance lento limitado en el tiempo o en el recorrido durante el ajuste de las prensas. Debido a los complejos procedimientos de dirección involucrados, cada estación de impresión debe estar equipada con su propio controlador lógico programable. Cualquier falla que ocurra en el control de una planta de impresión mientras las rejillas de protección están abiertas debe evitarse que provoque el arranque inesperado de una máquina parada o que la operación exceda las velocidades apropiadamente reducidas.
En grandes fábricas y almacenes, los vehículos robóticos guiados automatizados y sin conductor se mueven en pistas especialmente marcadas. Estas vías pueden ser transitadas en cualquier momento por personas, o los materiales y equipos pueden dejarse inadvertidamente en las vías, ya que no están separadas estructuralmente de otras líneas de tráfico. Por esta razón, se debe utilizar algún tipo de equipo de prevención de colisiones para garantizar que el vehículo se detenga antes de que ocurra una colisión peligrosa con una persona u objeto. En aplicaciones más recientes, la prevención de colisiones se efectúa por medio de escáneres ultrasónicos o de luz láser usados en combinación con un parachoques de seguridad. Dado que estos sistemas funcionan bajo control informático, es posible configurar varias zonas de detección permanentes para que un vehículo pueda modificar su reacción en función de la zona de detección concreta en la que se encuentre una persona. Los fallos en el dispositivo de protección no deben provocar una colisión peligrosa con una persona.
Las guillotinas del dispositivo de control de corte de papel se utilizan para presionar y luego cortar pilas gruesas de papel. Se activan mediante un dispositivo de control a dos manos. El usuario debe alcanzar la zona de peligro de la máquina después de cada corte. Se utiliza una protección inmaterial, generalmente una rejilla de luz, junto con el dispositivo de control a dos manos y un sistema seguro de control de la máquina para evitar lesiones cuando se alimenta papel durante la operación de corte. Casi todas las guillotinas más grandes y modernas que se usan hoy en día están controladas por sistemas de microcomputadoras multicanal. Tanto el manejo a dos manos como la rejilla fotoeléctrica también deben garantizar un funcionamiento seguro.
Accidentes con Sistemas Controlados por Computador
En casi todos los campos de aplicación industrial, se reportan accidentes con software y computadoras (Neumann 1994). En la mayoría de los casos, las fallas de la computadora no provocan lesiones a las personas. Tales incumplimientos, en todo caso, sólo se hacen públicos cuando son de interés público general. Esto significa que los casos de mal funcionamiento o accidente relacionados con computadoras y software en los que se involucran lesiones a personas representan una proporción relativamente alta de todos los casos publicitados. Desafortunadamente, los accidentes que no causan mucha sensación pública no se investigan en cuanto a sus causas con la misma intensidad que los accidentes más prominentes, típicamente en plantas a gran escala. Por este motivo, los ejemplos que siguen se refieren a cuatro descripciones de fallos de funcionamiento o accidentes típicos de sistemas controlados por ordenador fuera del campo de la protección de máquinas, que se utilizan para sugerir lo que debe tenerse en cuenta cuando se hacen juicios sobre tecnología de seguridad.
Accidentes causados por fallas aleatorias en el hardware
El siguiente percance fue causado por una concentración de fallas aleatorias en el hardware combinadas con una falla de programación: Un reactor se sobrecalentó en una planta química, por lo que se abrieron las válvulas de alivio, lo que permitió que el contenido del reactor se descargara a la atmósfera. Este percance ocurrió poco tiempo después de que se diera una advertencia de que el nivel de aceite en una caja de cambios era demasiado bajo. Una cuidadosa investigación del percance mostró que poco después de que el catalizador hubiera iniciado la reacción en el reactor, como consecuencia de lo cual el reactor habría requerido más enfriamiento, la computadora, sobre la base del informe de bajos niveles de aceite en la caja de engranajes, congeló todo. magnitudes bajo su control a un valor fijo. Esto mantuvo el flujo de agua fría a un nivel demasiado bajo y, como resultado, el reactor se sobrecalentó. La investigación posterior mostró que la indicación de niveles bajos de aceite había sido señalada por un componente defectuoso.
El software había respondido de acuerdo a la especificación con el disparo de una alarma y la fijación de todas las variables operativas. Esto fue consecuencia del estudio HAZOP (Hazards and Operability Analysis) (Knowlton 1986) realizado antes del evento, que requería que todas las variables controladas no se modificaran en caso de falla. Dado que el programador no conocía el procedimiento en detalle, este requisito se interpretó en el sentido de que los actuadores controlados (válvulas de control en este caso) no debían modificarse; no se prestó atención a la posibilidad de un aumento de la temperatura. El programador no tuvo en cuenta que después de haber recibido una señal errónea, el sistema podía encontrarse en una situación dinámica del tipo que requería la intervención activa de la computadora para evitar un percance. Además, la situación que condujo al percance era tan improbable que no había sido analizada en detalle en el estudio HAZOP (Levenson 1986). Este ejemplo proporciona una transición a una segunda categoría de causas de accidentes informáticos y de software. Son los fallos sistemáticos que están en el sistema desde el principio, pero que se manifiestan sólo en determinadas situaciones muy concretas que el desarrollador no ha tenido en cuenta.
Accidentes causados por fallas operativas
En las pruebas de campo durante la inspección final de los robots, un técnico tomó prestado el casete de un robot vecino y lo sustituyó por uno diferente sin informar a su colega que lo había hecho. Al regresar a su lugar de trabajo, el colega insertó el casete equivocado. Dado que se paró junto al robot y esperaba una secuencia particular de movimientos de él, una secuencia que resultó diferente debido al programa intercambiado, se produjo una colisión entre el robot y el ser humano. Este accidente describe el ejemplo clásico de una falla operativa. El papel de tales fallas en mal funcionamiento y accidentes está aumentando actualmente debido a la creciente complejidad en la aplicación de mecanismos de seguridad controlados por computadora.
Accidentes causados por fallas sistemáticas en hardware o software
Un torpedo con una ojiva debía haber sido disparado con fines de entrenamiento, desde un buque de guerra en alta mar. Debido a un defecto en el aparato impulsor, el torpedo permaneció en el tubo lanzatorpedos. El capitán decidió regresar al puerto de origen para rescatar el torpedo. Poco después de que el barco comenzara a regresar a casa, el torpedo explotó. Un análisis del accidente reveló que los desarrolladores del torpedo se habían visto obligados a construir en el torpedo un mecanismo diseñado para evitar que regresara a la plataforma de lanzamiento después de haber sido disparado y, por lo tanto, destruyera la nave que lo había lanzado. El mecanismo escogido para ello fue el siguiente: Tras el disparo del torpedo se comprobaba, mediante el sistema de navegación inercial, si su rumbo se había alterado en 180°. Tan pronto como el torpedo sintió que había girado 180°, el torpedo detonó inmediatamente, supuestamente a una distancia segura de la plataforma de lanzamiento. Este mecanismo de detección se activó en el caso del torpedo que no se había lanzado correctamente, con el resultado de que el torpedo explotó después de que el barco hubiera cambiado su rumbo 180°. Este es un ejemplo típico de un accidente que ocurre debido a una falla en las especificaciones. El requisito en las especificaciones de que el torpedo no debe destruir su propio barco si su rumbo cambia no se formuló con suficiente precisión; la precaución fue así programada erróneamente. El error se hizo evidente solo en una situación particular, una que el programador no había tenido en cuenta como una posibilidad.
El 14 de septiembre de 1993, un Lufthansa Airbus A 320 se estrelló mientras aterrizaba en Varsovia (figura 1). Una cuidadosa investigación del accidente mostró que las modificaciones en la lógica de aterrizaje de la computadora de a bordo realizadas después de un accidente con un Lauda Air Boeing 767 en 1991 fueron en parte responsables de este aterrizaje forzoso. Lo que sucedió en el accidente de 1991 fue que la desviación de empuje, que desvía una parte de los gases del motor para frenar el avión durante el aterrizaje, se había activado mientras aún estaba en el aire, lo que obligó a la máquina a caer en picado incontrolable. Por esta razón, se había incorporado un bloqueo electrónico de la desviación del empuje en las máquinas de Airbus. Este mecanismo permitió que la desviación del empuje entrara en vigor solo después de que los sensores en ambos juegos de tren de aterrizaje hubieran señalado la compresión de los amortiguadores bajo la presión de las ruedas al tocar tierra. Sobre la base de información incorrecta, los pilotos del avión en Varsovia anticiparon un fuerte viento lateral.
Figura 1. Lufthansa Airbus después del accidente en Varsovia 1993
Por esta razón, trajeron la máquina con una ligera inclinación y el Airbus aterrizó solo con la rueda derecha, dejando la izquierda soportando menos del peso total. Debido al bloqueo electrónico de la desviación del empuje, el ordenador de a bordo denegó al piloto durante nueve segundos maniobras que hubieran permitido al avión aterrizar con seguridad a pesar de las circunstancias adversas. Este accidente demuestra muy claramente que las modificaciones en los sistemas informáticos pueden conducir a situaciones nuevas y peligrosas si no se considera de antemano el rango de sus posibles consecuencias.
El siguiente ejemplo de mal funcionamiento también demuestra los efectos desastrosos que la modificación de un solo comando puede tener en los sistemas informáticos. El contenido de alcohol de la sangre se determina mediante pruebas químicas utilizando suero sanguíneo claro del que se han centrifugado previamente los glóbulos sanguíneos. El contenido de alcohol del suero es, por lo tanto, mayor (en un factor de 1.2) que el de la sangre total más espesa. Por esta razón, los valores de alcohol en suero deben dividirse por un factor de 1.2 para establecer las cifras de partes por mil legal y médicamente críticas. En la prueba entre laboratorios realizada en 1984, los valores de alcohol en sangre determinados en pruebas idénticas realizadas en diferentes instituciones de investigación utilizando suero debían compararse entre sí. Dado que solo se trataba de una cuestión de comparación, el comando de dividir por 1.2 se borró del programa en una de las instituciones durante la duración del experimento. Una vez finalizada la prueba entre laboratorios, se introdujo erróneamente en el programa en este punto un comando para multiplicar por 1.2. Como resultado, se calcularon aproximadamente 1,500 valores incorrectos de partes por mil entre agosto de 1984 y marzo de 1985. Este error fue crítico para la carrera profesional de los camioneros con niveles de alcohol en sangre entre 1.0 y 1.3 por mil, ya que una sanción legal de confiscación de la licencia de conducir por tiempo prolongado es consecuencia de un valor de 1.3 por mil.
Accidentes causados por influencias de estrés operativo o estrés ambiental
Como consecuencia de una perturbación provocada por la recogida de residuos en la zona efectiva de una punzonadora y mordisqueadora CNC (control numérico computarizado), el usuario efectuó la “parada programada”. Mientras intentaba retirar los desechos con las manos, la varilla de empuje de la máquina comenzó a moverse a pesar de la parada programada y lesionó gravemente al usuario. Un análisis del accidente reveló que no se había tratado de un error en el programa. No se pudo reproducir el inicio inesperado. Se habían observado irregularidades similares en el pasado en otras máquinas del mismo tipo. Parece plausible deducir de estos que el accidente debió haber sido causado por interferencias electromagnéticas. Se informan accidentes similares con robots industriales en Japón (Neumann 1987).
Un mal funcionamiento en la sonda espacial Voyager 2 el 18 de enero de 1986 deja aún más clara la influencia de las tensiones ambientales en los sistemas controlados por computadora. Seis días antes del acercamiento más cercano a Urano, grandes campos de líneas en blanco y negro cubrieron las imágenes de la Voyager 2. Un análisis preciso mostró que un solo bit en una palabra de comando del subsistema de datos de vuelo había causado la falla, observada como las imágenes fueron comprimidas en la sonda. Lo más probable es que este bit se haya salido de su lugar dentro de la memoria del programa por el impacto de una partícula cósmica. La transmisión sin errores de las fotografías comprimidas de la sonda se efectuó solo dos días después, utilizando un programa de reemplazo capaz de pasar por alto el punto de memoria fallido (Laeser, McLaughlin y Wolff 1987).
Resumen de los accidentes presentados
Los accidentes analizados muestran que ciertos riesgos que podrían ser despreciados en condiciones de uso de tecnología electromecánica simple, ganan importancia cuando se utilizan computadoras. Los ordenadores permiten el procesamiento de funciones de seguridad complejas y específicas de la situación. Una especificación inequívoca, libre de errores, completa y verificable de todas las funciones de seguridad se vuelve especialmente importante. Los errores en las especificaciones son difíciles de descubrir y con frecuencia son la causa de accidentes en sistemas complejos. Los controles libremente programables generalmente se introducen con la intención de poder reaccionar de manera flexible y rápida al mercado cambiante. Sin embargo, las modificaciones, particularmente en sistemas complejos, tienen efectos secundarios que son difíciles de prever. Por lo tanto, todas las modificaciones deben estar sujetas a un procedimiento de gestión de cambios estrictamente formal en el que una separación clara de las funciones de seguridad de los sistemas parciales que no son relevantes para la seguridad ayudará a que las consecuencias de las modificaciones para la tecnología de seguridad sean fáciles de evaluar.
Las computadoras funcionan con bajos niveles de electricidad. Por lo tanto, son susceptibles a la interferencia de fuentes de radiación externas. Dado que la modificación de una sola señal entre millones puede provocar un mal funcionamiento, vale la pena prestar especial atención al tema de la compatibilidad electromagnética en relación con las computadoras.
El mantenimiento de los sistemas controlados por computadora se está volviendo cada vez más complejo y, por lo tanto, menos claro. La ergonomía del software del usuario y del software de configuración es, por lo tanto, cada vez más interesante desde el punto de vista de la tecnología de seguridad.
Ningún sistema informático es 100% comprobable. Un mecanismo de control simple con 32 puertos de entrada binarios y 1,000 rutas de software diferentes requiere 4.3 × 1012 Pruebas para un control completo. A un ritmo de 100 pruebas por segundo ejecutadas y evaluadas, una prueba completa tardaría 1,362 años.
Procedimientos y Medidas para la Mejora de los Dispositivos de Seguridad Controlados desde Computador (PC)
Se han desarrollado procedimientos en los últimos 10 años que permiten el dominio de desafíos específicos relacionados con la seguridad en relación con las computadoras. Estos procedimientos se dirigen a las fallas de la computadora descritas en esta sección. Los ejemplos descritos de software y ordenadores en la protección de máquinas y los accidentes analizados muestran que la magnitud del daño y, por lo tanto, también el riesgo involucrado en diversas aplicaciones es extremadamente variable. Por lo tanto, es claro que las precauciones necesarias para la mejora de las computadoras y el software utilizado en tecnología de seguridad deben establecerse en relación con el riesgo.
La figura 2 muestra un procedimiento cualitativo mediante el cual se puede determinar la reducción de riesgos necesaria que se puede obtener mediante los sistemas de seguridad, independientemente del alcance y la frecuencia con que se produzcan los daños (Bell y Reinert 1992). Los tipos de fallos en los sistemas informáticos analizados en el apartado “Accidentes con sistemas controlados por ordenador” (anterior) pueden relacionarse con los denominados Niveles de Integridad de la Seguridad, es decir, las facilidades técnicas para la reducción del riesgo.
Figura 2. Procedimiento cualitativo para la determinación del riesgo
La Figura 3 deja en claro que la efectividad de las medidas tomadas, en cualquier caso dado, para reducir los errores en el software y las computadoras debe crecer con el aumento del riesgo (DIN 1994; IEC 1993).
Figura 3, Efectividad de las precauciones tomadas contra errores independientemente del riesgo
El análisis de los accidentes esbozados arriba muestra que la falla de las protecciones controladas por computadora es causada no solo por fallas aleatorias de los componentes, sino también por condiciones de operación particulares que el programador no ha tenido en cuenta. Las consecuencias no inmediatamente obvias de las modificaciones del programa realizadas en el curso del mantenimiento del sistema constituyen una fuente adicional de error. De ello se deduce que pueden existir fallos en los sistemas de seguridad controlados por microprocesadores que, aunque se produzcan durante el desarrollo del sistema, pueden dar lugar a una situación de peligro sólo durante su funcionamiento. Por lo tanto, se deben tomar precauciones contra tales fallas mientras los sistemas relacionados con la seguridad se encuentran en la etapa de desarrollo. Estas llamadas medidas para evitar fallas deben tomarse no solo durante la fase de concepto, sino también en el proceso de desarrollo, instalación y modificación. Ciertas fallas pueden evitarse si se descubren y corrigen durante este proceso (DIN 1990).
Como deja en claro el último percance descrito, la falla de un solo transistor puede conducir a la falla técnica de equipos automatizados altamente complejos. Dado que cada circuito individual está compuesto por muchos miles de transistores y otros componentes, se deben tomar numerosas medidas para evitar fallas a fin de reconocer tales fallas en el funcionamiento e iniciar una reacción apropiada en el sistema informático. La Figura 4 describe los tipos de fallas en los sistemas electrónicos programables, así como ejemplos de precauciones que se pueden tomar para evitar y controlar las fallas en los sistemas informáticos (DIN 1990; IEC 1992).
Figura 4. Ejemplos de precauciones tomadas para controlar y evitar errores en los sistemas informáticos
Posibilidades y perspectivas de los sistemas electrónicos programables en tecnología de seguridad
Las máquinas e instalaciones modernas son cada vez más complejas y deben realizar tareas cada vez más completas en períodos de tiempo cada vez más cortos. Por esta razón, los sistemas informáticos se han apoderado de casi todas las áreas de la industria desde mediados de la década de 1970. Este aumento en la complejidad por sí solo ha contribuido significativamente al aumento de los costos involucrados en la mejora de la tecnología de seguridad en tales sistemas. Si bien el software y las computadoras representan un gran desafío para la seguridad en el lugar de trabajo, también hacen posible la implementación de nuevos sistemas amigables con los errores en el campo de la tecnología de seguridad.
Un verso divertido pero instructivo de Ernst Jandl ayudará a explicar lo que significa el concepto amigable con los errores. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. (“Dilection: Muchos creen en la luz y no pueden ser intelcambiados, qué elol”.) A pesar del intercambio de cartas r y l, esta frase es fácilmente entendida por un humano adulto normal. Incluso alguien con poca fluidez en el idioma inglés puede traducirlo al inglés. Sin embargo, la tarea es casi imposible para una computadora traductora por sí sola.
Este ejemplo muestra que un ser humano puede reaccionar de una manera mucho más amigable con los errores que una computadora de lenguaje. Esto significa que los humanos, como todas las demás criaturas vivientes, pueden tolerar los fracasos remitiéndolos a la experiencia. Si uno mira las máquinas en uso hoy en día, puede ver que la mayoría de las máquinas penalizan las fallas del usuario no con un accidente, sino con una disminución en la producción. Esta propiedad conduce a la manipulación o evasión de las salvaguardas. La tecnología informática moderna pone a disposición de la seguridad en el trabajo sistemas que pueden reaccionar de forma inteligente, es decir, de forma modificada. Dichos sistemas hacen posible, por lo tanto, un modo de comportamiento favorable a los errores en las máquinas novedosas. En primer lugar, advierten a los usuarios durante una operación incorrecta y apagan la máquina solo cuando esta es la única forma de evitar un accidente. El análisis de los accidentes muestra que existe en esta área un potencial considerable para reducir los accidentes (Reinert y Reuss 1991).
Un sistema automatizado híbrido (HAS) tiene como objetivo integrar las capacidades de las máquinas artificialmente inteligentes (basadas en tecnología informática) con las capacidades de las personas que interactúan con estas máquinas en el curso de sus actividades laborales. Las principales preocupaciones de la utilización de HAS se relacionan con la forma en que se deben diseñar los subsistemas humano y de máquina para hacer el mejor uso del conocimiento y las habilidades de ambas partes del sistema híbrido, y cómo los operadores humanos y los componentes de la máquina deben interactuar entre sí. para asegurar que sus funciones se complementen entre sí. Muchos sistemas automatizados híbridos han evolucionado como productos de aplicaciones de metodologías modernas basadas en información y control para automatizar e integrar diferentes funciones de sistemas tecnológicos a menudo complejos. HAS se identificó originalmente con la introducción de sistemas basados en computadora utilizados en el diseño y operación de sistemas de control en tiempo real para reactores de energía nuclear, para plantas de procesamiento químico y para tecnología de fabricación de partes discretas. HAS ahora también se puede encontrar en muchas industrias de servicios, como el control del tráfico aéreo y los procedimientos de navegación de aeronaves en el área de la aviación civil, y en el diseño y uso de vehículos inteligentes y sistemas de navegación de carreteras en el transporte por carretera.
Con el progreso continuo en la automatización basada en computadoras, la naturaleza de las tareas humanas en los sistemas tecnológicos modernos cambia de aquellas que requieren habilidades perceptivo-motoras a aquellas que requieren actividades cognitivas, que son necesarias para la resolución de problemas, para la toma de decisiones en el monitoreo del sistema y para tareas de control de supervisión. Por ejemplo, los operadores humanos en los sistemas de fabricación integrados por computadora actúan principalmente como monitores del sistema, solucionadores de problemas y tomadores de decisiones. Las actividades cognitivas del supervisor humano en cualquier entorno HAS son (1) planificar lo que debe hacerse durante un período de tiempo determinado, (2) diseñar procedimientos (o pasos) para lograr el conjunto de objetivos planificados, (3) monitorear el progreso de procesos (tecnológicos), (4) “enseñar” al sistema a través de una computadora interactiva humana, (5) intervenir si el sistema se comporta de manera anormal o si las prioridades de control cambian y (6) aprender a través de la retroalimentación del sistema sobre el impacto de acciones de supervisión (Sheridan 1987).
Diseño de sistema híbrido
Las interacciones hombre-máquina en un HAS implican la utilización de bucles de comunicación dinámicos entre los operadores humanos y las máquinas inteligentes, un proceso que incluye la detección y el procesamiento de información y el inicio y ejecución de tareas de control y toma de decisiones, dentro de una estructura dada de asignación de funciones entre humanos y máquinas. Como mínimo, las interacciones entre las personas y la automatización deben reflejar la alta complejidad de los sistemas automatizados híbridos, así como las características relevantes de los operadores humanos y los requisitos de las tareas. Por lo tanto, el sistema automatizado híbrido se puede definir formalmente como un quíntuple en la siguiente fórmula:
TIENE = (T, U, C, E, I)
donde T = requisitos de la tarea (físicos y cognitivos); U = características del usuario (físicas y cognitivas); C = las características de automatización (hardware y software, incluidas las interfaces informáticas); E = el entorno del sistema; I = un conjunto de interacciones entre los elementos anteriores.
El conjunto de interacciones I incorpora todas las posibles interacciones entre T, U y C in E independientemente de su naturaleza o fuerza de asociación. Por ejemplo, una de las posibles interacciones podría involucrar la relación de los datos almacenados en la memoria de la computadora con el conocimiento correspondiente, si lo hay, del operador humano. las interacciones I puede ser elemental (es decir, limitado a una asociación uno a uno) o complejo, como implicaría interacciones entre el operador humano, el software particular utilizado para lograr la tarea deseada y la interfaz física disponible con la computadora.
Los diseñadores de muchos sistemas automatizados híbridos se enfocan principalmente en la integración asistida por computadora de máquinas sofisticadas y otros equipos como parte de la tecnología basada en computadora, y rara vez prestan mucha atención a la necesidad primordial de una integración humana efectiva dentro de tales sistemas. Por lo tanto, en la actualidad, muchos de los sistemas (tecnológicos) integrados por computadora no son totalmente compatibles con las capacidades inherentes de los operadores humanos expresadas por las habilidades y el conocimiento necesarios para el control y monitoreo efectivo de estos sistemas. Tal incompatibilidad surge en todos los niveles de funcionamiento humano, máquina y hombre-máquina, y puede definirse dentro de un marco de referencia del individuo y de toda la organización o instalación. Por ejemplo, los problemas de integración de personas y tecnología en empresas de fabricación avanzada ocurren al principio de la etapa de diseño de HAS. Estos problemas se pueden conceptualizar utilizando el siguiente modelo de integración de sistemas de la complejidad de las interacciones, I, entre los diseñadores del sistema, D, operadores humanos, H, o usuarios potenciales del sistema y la tecnología, T:
yo (H, T) = F [ Yo (H, D), Yo (D, T)]
donde I significa interacciones relevantes que tienen lugar en la estructura de un HAS dado, mientras que F indica relaciones funcionales entre diseñadores, operadores humanos y tecnología.
El modelo de integración del sistema anterior destaca el hecho de que las interacciones entre los usuarios y la tecnología están determinadas por el resultado de la integración de las dos interacciones anteriores, a saber, (1) aquellas entre los diseñadores de HAS y los usuarios potenciales y (2) aquellas entre los diseñadores. y la tecnología HAS (a nivel de máquinas y su integración). Cabe señalar que, aunque normalmente existen fuertes interacciones entre los diseñadores y la tecnología, solo se pueden encontrar muy pocos ejemplos de interrelaciones igualmente fuertes entre los diseñadores y los operadores humanos.
Se puede argumentar que incluso en los sistemas más automatizados, el papel humano sigue siendo crítico para el desempeño exitoso del sistema a nivel operativo. Bainbridge (1983) identificó un conjunto de problemas relevantes para la operación del HAS que se deben a la naturaleza de la automatización en sí, como sigue:
Asignación de tareas
Uno de los temas importantes para el diseño de HAS es determinar cuántas y qué funciones o responsabilidades deben asignarse a los operadores humanos, y cuáles y cuántas a las computadoras. En general, hay tres clases básicas de problemas de asignación de tareas que deben considerarse: (1) la asignación de tareas de supervisor humano-computadora, (2) la asignación de tareas humano-humano y (3) la asignación de tareas de supervisión computadora-computadora. Idealmente, las decisiones de asignación deben tomarse a través de algún procedimiento de asignación estructurado antes de comenzar el diseño del sistema básico. Desafortunadamente, un proceso sistemático de este tipo rara vez es posible, ya que las funciones que se asignarán pueden necesitar un examen más detallado o deben llevarse a cabo de forma interactiva entre los componentes del sistema humano y de la máquina, es decir, mediante la aplicación del paradigma de control de supervisión. La asignación de tareas en los sistemas automatizados híbridos debe centrarse en el alcance de las responsabilidades de supervisión humana y de la computadora, y debe considerar la naturaleza de las interacciones entre el operador humano y los sistemas de soporte de decisiones computarizados. También se deben considerar los medios de transferencia de información entre las máquinas y las interfaces de entrada y salida humanas y la compatibilidad del software con las capacidades cognitivas humanas de resolución de problemas.
En los enfoques tradicionales para el diseño y la gestión de sistemas automatizados híbridos, se consideraba a los trabajadores como sistemas de entrada-salida deterministas, y había una tendencia a ignorar la naturaleza teleológica del comportamiento humano, es decir, el comportamiento orientado a objetivos que se basa en la adquisición de información relevante y la selección de metas (Goodstein et al. 1988). Para tener éxito, el diseño y la gestión de sistemas automatizados híbridos avanzados deben basarse en una descripción de las funciones mentales humanas necesarias para una tarea específica. El enfoque de “ingeniería cognitiva” (descrito más adelante) propone que los sistemas hombre-máquina (híbridos) deben concebirse, diseñarse, analizarse y evaluarse en términos de procesos mentales humanos (es decir, el modelo mental del operador de los sistemas adaptativos se toma en consideración). cuenta). Los siguientes son los requisitos del enfoque centrado en el ser humano para el diseño y la operación de HAS formulados por Corbett (1988):
Ingeniería Cognitiva de Factores Humanos
La ingeniería cognitiva de factores humanos se centra en cómo los operadores humanos toman decisiones en el lugar de trabajo, resuelven problemas, formulan planes y aprenden nuevas habilidades (Hollnagel y Woods 1983). Los roles de los operadores humanos que funcionan en cualquier HAS se pueden clasificar utilizando el esquema de Rasmussen (1983) en tres categorías principales:
En el diseño y gestión de un HAS se deben considerar las características cognitivas de los trabajadores para asegurar la compatibilidad de la operación del sistema con el modelo interno del trabajador que describe sus funciones. En consecuencia, el nivel de descripción del sistema debe cambiarse de los aspectos del funcionamiento humano basados en habilidades a los basados en reglas y conocimientos, y se deben usar métodos apropiados de análisis de tareas cognitivas para identificar el modelo de sistema del operador. Un tema relacionado en el desarrollo de un HAS es el diseño de medios de transmisión de información entre el operador humano y los componentes del sistema automatizado, tanto a nivel físico como cognitivo. Dicha transferencia de información debe ser compatible con los modos de información utilizados en los diferentes niveles de operación del sistema, es decir, visual, verbal, táctil o híbrida. Esta compatibilidad informativa asegura que las diferentes formas de transferencia de información requerirán una incompatibilidad mínima entre el medio y la naturaleza de la información. Por ejemplo, una pantalla visual es mejor para la transmisión de información espacial, mientras que la entrada auditiva puede usarse para transmitir información textual.
Muy a menudo, el operador humano desarrolla un modelo interno que describe el funcionamiento y la función del sistema de acuerdo con su experiencia, formación e instrucciones en relación con el tipo de interfaz hombre-máquina dado. A la luz de esta realidad, los diseñadores de un HAS deberían intentar construir en las máquinas (u otros sistemas artificiales) un modelo de las características físicas y cognitivas del operador humano, es decir, la imagen del sistema del operador (Hollnagel y Woods 1983) . Los diseñadores de un HAS también deben tener en cuenta el nivel de abstracción en la descripción del sistema, así como varias categorías relevantes del comportamiento del operador humano. Estos niveles de abstracción para modelar el funcionamiento humano en el entorno laboral son los siguientes (Rasmussen 1983): (1) forma física (estructura anatómica), (2) funciones físicas (funciones fisiológicas), (3) funciones generalizadas (mecanismos psicológicos y cognitivos). y procesos afectivos), (4) funciones abstractas (procesamiento de información) y (5) propósito funcional (estructuras de valores, mitos, religiones, interacciones humanas). Estos cinco niveles deben ser considerados simultáneamente por los diseñadores para asegurar un desempeño HAS efectivo.
Diseño de software del sistema
Dado que el software de computadora es un componente principal de cualquier entorno HAS, el desarrollo de software, incluido el diseño, las pruebas, la operación y la modificación, y los problemas de confiabilidad del software también deben considerarse en las primeras etapas del desarrollo de HAS. De esta manera, uno debería poder reducir el costo de la detección y eliminación de errores de software. Sin embargo, es difícil estimar la confiabilidad de los componentes humanos de un HAS debido a las limitaciones en nuestra capacidad para modelar el desempeño de tareas humanas, la carga de trabajo relacionada y los posibles errores. Una carga de trabajo mental excesiva o insuficiente puede conducir a una sobrecarga de información y al aburrimiento, respectivamente, y puede resultar en un desempeño humano degradado, lo que lleva a errores y aumenta la probabilidad de accidentes. Los diseñadores de un HAS deberían emplear interfaces adaptables, que utilizan técnicas de inteligencia artificial, para resolver estos problemas. Además de la compatibilidad hombre-máquina, debe tenerse en cuenta la cuestión de la adaptabilidad hombre-máquina entre sí para reducir los niveles de estrés que se producen cuando se pueden superar las capacidades humanas.
Debido al alto nivel de complejidad de muchos sistemas automatizados híbridos, la identificación de cualquier peligro potencial relacionado con el hardware, el software, los procedimientos operativos y las interacciones hombre-máquina de estos sistemas se vuelve fundamental para el éxito de los esfuerzos destinados a reducir las lesiones y los daños a los equipos. . Los peligros para la salud y la seguridad asociados con los sistemas automatizados híbridos complejos, como la tecnología de fabricación integrada por computadora (CIM), es claramente uno de los aspectos más críticos del diseño y la operación del sistema.
Problemas de seguridad del sistema
Los entornos automatizados híbridos, con su importante potencial de comportamiento errático del software de control en condiciones de perturbación del sistema, crean una nueva generación de riesgos de accidentes. A medida que los sistemas automatizados híbridos se vuelven más versátiles y complejos, las perturbaciones del sistema, incluidos los problemas de arranque y apagado y las desviaciones en el control del sistema, pueden aumentar significativamente la posibilidad de un peligro grave para los operadores humanos. Irónicamente, en muchas situaciones anormales, los operadores generalmente confían en el correcto funcionamiento de los subsistemas de seguridad automatizados, una práctica que puede aumentar el riesgo de lesiones graves. Por ejemplo, un estudio de accidentes relacionados con el mal funcionamiento de los sistemas de control técnico mostró que alrededor de un tercio de las secuencias de accidentes incluyeron la intervención humana en el circuito de control del sistema perturbado.
Dado que las medidas de seguridad tradicionales no se pueden adaptar fácilmente a las necesidades de los entornos HAS, las estrategias de control de lesiones y prevención de accidentes deben reconsiderarse en vista de las características inherentes de estos sistemas. Por ejemplo, en el área de la tecnología de fabricación avanzada, muchos procesos se caracterizan por la existencia de cantidades sustanciales de flujos de energía que los operadores humanos no pueden anticipar fácilmente. Además, los problemas de seguridad suelen surgir en las interfaces entre subsistemas, o cuando las perturbaciones del sistema progresan de un subsistema a otro. De acuerdo con la Organización Internacional para la Estandarización (ISO 1991), los riesgos asociados con los peligros debidos a la automatización industrial varían según los tipos de máquinas industriales incorporadas en el sistema de fabricación específico y con las formas en que el sistema se instala, programa, opera y mantiene. y reparado. Por ejemplo, una comparación de accidentes relacionados con robots en Suecia con otros tipos de accidentes mostró que los robots pueden ser las máquinas industriales más peligrosas utilizadas en la industria manufacturera avanzada. La tasa de accidentes estimada para los robots industriales fue de un accidente grave por 45 años-robot, una tasa más alta que la de las prensas industriales, que se informó que era de un accidente por 50 años-máquina. Cabe señalar aquí que las prensas industriales en los Estados Unidos representaron alrededor del 23 % de todas las muertes relacionadas con máquinas metalúrgicas durante el período 1980-1985, y las prensas eléctricas ocuparon el primer lugar con respecto al producto gravedad-frecuencia para lesiones no fatales.
En el dominio de la tecnología de fabricación avanzada, existen muchas piezas móviles que son peligrosas para los trabajadores, ya que cambian de posición de manera compleja fuera del campo visual de los operadores humanos. Los rápidos desarrollos tecnológicos en la fabricación integrada por computadora crearon una necesidad crítica de estudiar los efectos de la tecnología de fabricación avanzada en los trabajadores. Para identificar los peligros causados por varios componentes de dicho entorno HAS, los accidentes pasados deben analizarse cuidadosamente. Desafortunadamente, los accidentes que involucran el uso de robots son difíciles de aislar de los informes de accidentes relacionados con máquinas operadas por humanos y, por lo tanto, puede haber un alto porcentaje de accidentes no registrados. Las normas de salud y seguridad en el trabajo de Japón establecen que “los robots industriales no cuentan en la actualidad con medios fiables de seguridad y los trabajadores no pueden estar protegidos de ellos a menos que se regule su uso”. Por ejemplo, los resultados de la encuesta realizada por el Ministerio de Trabajo de Japón (Sugimoto 1987) de accidentes relacionados con robots industriales en las 190 fábricas encuestadas (con 4,341 robots en funcionamiento) mostraron que hubo 300 perturbaciones relacionadas con robots, de los cuales 37 casos de los actos inseguros resultaron en algunos casi accidentes, 9 fueron accidentes que produjeron lesiones y 2 fueron accidentes fatales. Los resultados de otros estudios indican que la automatización basada en computadora no necesariamente aumenta el nivel general de seguridad, ya que el hardware del sistema no puede hacerse a prueba de fallas mediante funciones de seguridad en el software de la computadora solamente, y los controladores del sistema no siempre son altamente confiables. Además, en un HAS complejo, uno no puede depender exclusivamente de dispositivos de detección de seguridad para detectar condiciones peligrosas y emprender estrategias apropiadas para evitar peligros.
Efectos de la automatización en la salud humana
Como se discutió anteriormente, las actividades de los trabajadores en muchos entornos HAS son básicamente aquellas de control de supervisión, monitoreo, soporte del sistema y mantenimiento. Estas actividades también se pueden clasificar en cuatro grupos básicos de la siguiente manera: (1) tareas de programación, es decir, codificar la información que guía y dirige la operación de la maquinaria, (2) monitoreo de los componentes de producción y control de HAS, (3) mantenimiento de los componentes de HAS para prevenir o aliviar el mal funcionamiento de la maquinaria, y (4) realizar una variedad de tareas de apoyo, etc. Muchas revisiones recientes del impacto del HAS en el bienestar de los trabajadores concluyeron que aunque la utilización de un HAS en el área de fabricación puede eliminar tareas pesadas y peligrosas , trabajar en un entorno HAS puede ser insatisfactorio y estresante para los trabajadores. Las fuentes de estrés incluyeron el monitoreo constante requerido en muchas aplicaciones HAS, el alcance limitado de las actividades asignadas, el bajo nivel de interacción de los trabajadores permitido por el diseño del sistema y los riesgos de seguridad asociados con la naturaleza impredecible e incontrolable del equipo. Si bien algunos trabajadores que participan en actividades de programación y mantenimiento sienten los elementos del desafío, que pueden tener efectos positivos en su bienestar, estos efectos a menudo se ven contrarrestados por la naturaleza compleja y exigente de estas actividades, así como por la presión. ejercida por la administración para completar estas actividades rápidamente.
Si bien en algunos entornos HAS los operadores humanos están alejados de las fuentes de energía tradicionales (el flujo de trabajo y el movimiento de la máquina) durante las condiciones normales de operación, muchas tareas en los sistemas automatizados aún deben realizarse en contacto directo con otras fuentes de energía. Dado que el número de diferentes componentes HAS aumenta continuamente, se debe hacer especial hincapié en la comodidad y la seguridad de los trabajadores y en el desarrollo de disposiciones eficaces para el control de lesiones, especialmente en vista del hecho de que los trabajadores ya no pueden mantenerse al día con la sofisticación y complejidad de tales sistemas.
Con el fin de satisfacer las necesidades actuales de control de lesiones y seguridad de los trabajadores en los sistemas de fabricación integrados por computadora, el Comité de Sistemas de Automatización Industrial de ISO ha propuesto una nueva norma de seguridad titulada "Seguridad de los sistemas de fabricación integrados" (1991). Esta nueva norma internacional, que se desarrolló en reconocimiento de los peligros particulares que existen en los sistemas de fabricación integrados que incorporan máquinas industriales y equipos asociados, tiene como objetivo minimizar las posibilidades de lesiones al personal mientras trabaja en un sistema de fabricación integrado o junto a él. Las principales fuentes de peligros potenciales para los operadores humanos en CIM identificados por esta norma se muestran en la figura 1.
Figura 1. Fuente principal de peligros en la fabricación integrada por computadora (CIM) (después de ISO 1991)
Errores humanos y del sistema
En general, los peligros en un HAS pueden surgir del propio sistema, de su asociación con otros equipos presentes en el entorno físico o de las interacciones del personal humano con el sistema. Un accidente es solo uno de los varios resultados de las interacciones hombre-máquina que pueden surgir en condiciones peligrosas; los accidentes cercanos y los incidentes con daños son mucho más comunes (Zimolong y Duda 1992). La ocurrencia de un error puede llevar a una de estas consecuencias: (1) el error pasa desapercibido, (2) el sistema puede compensar el error, (3) el error conduce a una falla de la máquina y/o al paro del sistema o (4) ) el error conduce a un accidente.
Dado que no todos los errores humanos que resultan en un incidente crítico causarán un accidente real, es apropiado distinguir aún más entre las categorías de resultados de la siguiente manera: (1) un incidente inseguro (es decir, cualquier ocurrencia no intencional independientemente de si resulta en lesiones, daños o pérdida), (2) un accidente (es decir, un evento inseguro que resulta en una lesión, daño o pérdida), (3) un incidente de daño (es decir, un evento inseguro que resulta solo en algún tipo de daño material), (4) un casi accidente o “casi accidente” (es decir, un evento inseguro en el que una lesión, daño o pérdida se evitó fortuitamente por un margen estrecho) y (5) la existencia de un accidente potencial (es decir, eventos inseguros que podrían haber resultado en lesiones, daños o pérdidas). , o pérdida, pero, debido a las circunstancias, no resultó ni siquiera en un casi accidente).
Se pueden distinguir tres tipos básicos de error humano en un HAS:
Esta taxonomía, ideada por Reason (1990), se basa en una modificación de la clasificación del desempeño humano de habilidad-regla-conocimiento de Rasmussen, como se describe anteriormente. En el nivel basado en habilidades, el desempeño humano se rige por patrones almacenados de instrucciones preprogramadas representadas como estructuras análogas en un dominio de espacio-tiempo. El nivel basado en reglas es aplicable para abordar problemas familiares en los que las soluciones se rigen por reglas almacenadas (llamadas "producciones", ya que se accede a ellas o se producen según sea necesario). Estas reglas exigen la realización de determinados diagnósticos (o juicios) o la realización de determinadas acciones correctoras, dado que se han dado determinadas condiciones que exigen una respuesta adecuada. En este nivel, los errores humanos se asocian típicamente con la clasificación errónea de situaciones, lo que lleva a la aplicación de una regla incorrecta o al recuerdo incorrecto de juicios o procedimientos consecuentes. Los errores basados en el conocimiento ocurren en situaciones novedosas para las cuales se deben planificar acciones “on-line” (en un momento dado), utilizando procesos analíticos conscientes y conocimiento almacenado. Los errores en este nivel surgen de limitaciones de recursos y conocimientos incompletos o incorrectos.
Los sistemas genéricos de modelado de errores (GEMS) propuestos por Reason (1990), que intenta localizar los orígenes de los tipos básicos de errores humanos, se pueden utilizar para derivar la taxonomía general del comportamiento humano en un HAS. GEMS busca integrar dos áreas distintas de investigación de errores: (1) deslices y fallas, en los que las acciones se desvían de la intención actual debido a fallas en la ejecución y/o fallas en el almacenamiento y (2) errores, en los cuales las acciones pueden ejecutarse de acuerdo con el plan. pero el plan es inadecuado para lograr el resultado deseado.
Evaluación y Prevención de Riesgos en CIM
De acuerdo con la ISO (1991), la evaluación de riesgos en CIM debe realizarse para minimizar todos los riesgos y servir como base para determinar los objetivos y medidas de seguridad en el desarrollo de programas o planes tanto para crear un entorno de trabajo seguro como para garantizar la seguridad y la salud del personal también. Por ejemplo, los riesgos laborales en entornos HAS basados en la fabricación se pueden caracterizar de la siguiente manera: (1) el operador humano puede necesitar ingresar a la zona de peligro durante las tareas de recuperación, servicio y mantenimiento de perturbaciones, (2) la zona de peligro es difícil de determinar, percibir y controlar, (3) el trabajo puede ser monótono y (4) los accidentes que ocurren dentro de los sistemas de fabricación integrados por computadora son a menudo graves. Cada peligro identificado debe evaluarse por su riesgo, y deben determinarse e implementarse las medidas de seguridad apropiadas para minimizar ese riesgo. Los peligros también deben determinarse con respecto a todos los siguientes aspectos de cualquier proceso dado: la unidad individual en sí; la interacción entre unidades individuales; las secciones operativas del sistema; y el funcionamiento del sistema completo para todos los modos y condiciones de funcionamiento previstos, incluidas las condiciones en las que se suspenden los medios de protección normales para operaciones tales como programación, verificación, resolución de problemas, mantenimiento o reparación.
La fase de diseño de la estrategia de seguridad ISO (1991) para CIM incluye:
La especificación de seguridad del sistema debe incluir:
De acuerdo con la ISO (1991), todos los requisitos necesarios para garantizar una operación segura del sistema CIM deben tenerse en cuenta en el diseño de procedimientos sistemáticos de planificación de la seguridad. Esto incluye todas las medidas de protección para reducir eficazmente los peligros y requiere:
El procedimiento de planificación de seguridad debe abordar, entre otros, los siguientes aspectos de seguridad de CIM:
Control de perturbaciones del sistema
En muchas instalaciones HAS utilizadas en el área de fabricación integrada por computadora, normalmente se necesitan operadores humanos con el fin de controlar, programar, mantener, preconfigurar, reparar o solucionar problemas. Las perturbaciones en el sistema conducen a situaciones que hacen necesario que los trabajadores ingresen a las áreas peligrosas. A este respecto, se puede suponer que las perturbaciones siguen siendo la razón más importante de la interferencia humana en CIM, porque los sistemas se programarán con mayor frecuencia desde fuera de las áreas restringidas. Uno de los temas más importantes para la seguridad de CIM es prevenir perturbaciones, ya que la mayoría de los riesgos ocurren en la fase de solución de problemas del sistema. La prevención de perturbaciones es el objetivo común en lo que se refiere tanto a la seguridad como a la rentabilidad.
Una perturbación en un sistema CIM es un estado o función de un sistema que se desvía del estado planificado o deseado. Además de la productividad, las perturbaciones durante la operación de un CIM tienen un efecto directo en la seguridad de las personas involucradas en la operación del sistema. Un estudio finlandés (Kuivanen 1990) mostró que aproximadamente la mitad de las perturbaciones en la fabricación automatizada reducen la seguridad de los trabajadores. Las principales causas de las perturbaciones fueron errores en el diseño del sistema (34 %), fallas en los componentes del sistema (31 %), errores humanos (20 %) y factores externos (15 %). La mayoría de las fallas de las máquinas fueron causadas por el sistema de control y, en el sistema de control, la mayoría de las fallas ocurrieron en los sensores. Una forma eficaz de aumentar el nivel de seguridad de las instalaciones CIM es reducir el número de perturbaciones. Si bien las acciones humanas en sistemas perturbados previenen la ocurrencia de accidentes en el ambiente HAS, también contribuyen a ellos. Por ejemplo, un estudio de accidentes relacionados con el mal funcionamiento de los sistemas de control técnico mostró que alrededor de un tercio de las secuencias de accidentes incluyeron la intervención humana en el circuito de control del sistema perturbado.
Los principales temas de investigación en la prevención de perturbaciones CIM se refieren a (1) las principales causas de las perturbaciones, (2) los componentes y funciones no confiables, (3) el impacto de las perturbaciones en la seguridad, (4) el impacto de las perturbaciones en la función del sistema, ( 5) daños materiales y (6) reparaciones. La seguridad de HAS debe planificarse al principio de la etapa de diseño del sistema, con la debida consideración de la tecnología, las personas y la organización, y ser una parte integral del proceso general de planificación técnica de HAS.
HAS Diseño: Desafíos Futuros
Para asegurar el máximo beneficio de los sistemas automatizados híbridos, como se mencionó anteriormente, se necesita una visión mucho más amplia del desarrollo de sistemas, que se base en la integración de personas, organizaciones y tecnología. Aquí se deben aplicar tres tipos principales de integración de sistemas:
Los requisitos mínimos de diseño para los sistemas automatizados híbridos deben incluir lo siguiente: (1) flexibilidad, (2) adaptación dinámica, (3) capacidad de respuesta mejorada y (4) la necesidad de motivar a las personas y hacer un mejor uso de sus habilidades, juicio y experiencia. . Lo anterior también requiere que se desarrollen estructuras organizacionales, prácticas de trabajo y tecnologías de HAS para permitir que las personas en todos los niveles del sistema adapten sus estrategias de trabajo a la variedad de situaciones de control de sistemas. Por lo tanto, las organizaciones, prácticas de trabajo y tecnologías de HAS deberán diseñarse y desarrollarse como sistemas abiertos (Kidd 1994).
Un sistema automatizado híbrido abierto (OHAS) es un sistema que recibe entradas y envía salidas a su entorno. La idea de un sistema abierto se puede aplicar no solo a las arquitecturas de sistemas y estructuras organizativas, sino también a las prácticas de trabajo, las interfaces humano-computadora y la relación entre las personas y las tecnologías: se pueden mencionar, por ejemplo, los sistemas de programación, los sistemas de control y Sistemas de Soporte a la Decisión. Un sistema abierto también es adaptativo cuando permite a las personas un alto grado de libertad para definir el modo de operar del sistema. Por ejemplo, en el área de fabricación avanzada, los requisitos de un sistema automatizado híbrido abierto se pueden cumplir a través del concepto de Manufactura integrada por humanos y computadoras (HCIM). Desde este punto de vista, el diseño de la tecnología debe abordar la arquitectura general del sistema HCIM, incluidos los siguientes: (1) consideraciones de la red de grupos, (2) la estructura de cada grupo, (3) la interacción entre grupos, (4) la naturaleza del software de soporte y (5) las necesidades técnicas de comunicación e integración entre los módulos de software de soporte.
El sistema automatizado híbrido adaptativo, a diferencia del sistema cerrado, no restringe lo que pueden hacer los operadores humanos. El papel del diseñador de un HAS es crear un sistema que satisfaga las preferencias personales del usuario y permita a sus usuarios trabajar de la forma que consideren más apropiada. Un requisito previo para permitir la entrada del usuario es el desarrollo de una metodología de diseño adaptativo, es decir, un OHAS que permita habilitar tecnología asistida por computadora para su implementación en el proceso de diseño. La necesidad de desarrollar una metodología para el diseño adaptativo es uno de los requisitos inmediatos para realizar el concepto OHAS en la práctica. También es necesario desarrollar un nuevo nivel de tecnología de control de supervisión humana adaptativa. Dicha tecnología debería permitir que el operador humano "vea a través" del sistema de control del funcionamiento del HAS, que de otro modo sería invisible, por ejemplo, mediante la aplicación de un sistema de video interactivo de alta velocidad en cada punto de control y operación del sistema. Finalmente, también es muy necesaria una metodología para el desarrollo de un soporte basado en computadora inteligente y altamente adaptable de roles humanos y funcionamiento humano en los sistemas automatizados híbridos.
" EXENCIÓN DE RESPONSABILIDAD: La OIT no se responsabiliza por el contenido presentado en este portal web que se presente en un idioma que no sea el inglés, que es el idioma utilizado para la producción inicial y la revisión por pares del contenido original. Ciertas estadísticas no se han actualizado desde la producción de la 4ª edición de la Enciclopedia (1998)."