56. Prevenção de Acidentes
Editor de Capítulo: Jorma Saari
Introdução
Jorma Saari
Conceitos de Análise de Acidentes
Kirsten Jorgensen
Teoria das Causas de Acidentes
Abdul Raouf
Fatores humanos na modelagem de acidentes
Anne-Marie Feyer e Ann M. Williamson
Modelos de Acidentes: Homeostase do Risco
Gerald JS Wilde
Modelagem de acidentes
Andrew R Hale
Modelos de sequência de acidentes
Ragnar Anderson
Modelos de desvio de acidentes
Urbano Kjellén
MAIM: O Modelo de Informação de Acidentes de Merseyside
Harry S. Shannon e John Davies
Princípios de Prevenção: A Abordagem de Saúde Pública para Reduzir Lesões no Local de Trabalho
Gordon S. Smith e Mark A. Veazie
Princípios Teóricos de Segurança do Trabalho
Reinald Skiba
Princípios de Prevenção: Informações de Segurança
Mark R. Lehto e James M. Miller
Custos de Acidentes de Trabalho
Diego Andreoni
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Taxonomias para classificação de desvios
2. A Matriz de Haddon aplicada a acidentes automobilísticos
3. Dez estratégias de contramedidas de Haddon para a construção
4. Informações de segurança mapeadas para a sequência do acidente
5. Recomendações dentro de sistemas de alerta selecionados
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
57. Auditorias, Inspeções e Investigações
Editor de Capítulo: Jorma Saari
Auditorias de Segurança e Auditorias de Gestão
Johan Van de Kerckhove
Análise de perigos: o modelo de causa de acidentes
Jop Groeneweg
Perigos de hardware
Carsten D. Groenberg
Análise de Perigos: Fatores Organizacionais
Urbano Kjellén
Inspeção no Local de Trabalho e Execução Regulamentar
Anthony Linehan
Análise e Relatórios: Investigação de Acidentes
Michel Monteau
Relatórios e Compilação de Estatísticas de Acidentes
Kirsten Jorgensen
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Estratos na política de qualidade e segurança
2. Elementos de auditoria de segurança PAS
3. Avaliação de métodos de controle de comportamento
4. Tipos e definições gerais de falha
5. Conceitos do fenômeno do acidente
6. Variáveis que caracterizam um acidente
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
58. Aplicações de segurança
Editores de Capítulo: Kenneth Gerecke e Charles T. Pope
Análise de Sistemas
Manh Trung Ho
Segurança para ferramentas elétricas manuais e portáteis
Departamento do Trabalho dos EUA — Administração de Segurança e Saúde Ocupacional; editado por Kenneth Gerecke
Partes móveis de máquinas
Tomas Backström e Marianne Döös
Proteção de máquinas
Departamento do Trabalho dos EUA — Administração de Saúde e Segurança Ocupacional; editado por Kenneth Gerecke
Detectores de presença
Paulo Schreiber
Dispositivos para controle, isolamento e comutação de energia
René Troxler
Aplicações relacionadas à segurança
Dietmar Reinert e Karlheinz Meffert
Software e Computadores: Sistemas Híbridos Automatizados
Waldemar Karwowski e Jozef Zurada
Princípios para o Projeto de Sistemas de Controle Seguros
Georg Vondracek
Princípios de segurança para máquinas-ferramenta CNC
Toni Retsch, Guido Schmitter e Albert Marty
Princípios de segurança para robôs industriais
Toni Retsch, Guido Schmitter e Albert Marty
Sistemas de controle relacionados à segurança elétrica, eletrônica e programável
Ron Bell
Requisitos técnicos para sistemas relacionados à segurança baseados em dispositivos elétricos, eletrônicos e eletrônicos programáveis
John Brazendale e Ron Bell
rollover
Bengt Springfeldt
Quedas de Elevações
Jean Arteau
Espaços confinados
Neil McManus
Princípios de Prevenção: Movimentação de Materiais e Tráfego Interno
Kari Hakkinen
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Possíveis disfunções de um circuito de controle de dois botões
2. Protetores de máquinas
3. Dispositivos/Instrumentos
4. Métodos de alimentação e ejeção
5. Combinações de estruturas de circuitos em controles de máquinas
6. Níveis de integridade de segurança para sistemas de proteção
7. Projeto e desenvolvimento de software
8. Nível de integridade de segurança: componentes do tipo B
9. Requisitos de integridade: arquiteturas de sistemas eletrônicos
10. Quedas de altitude: Quebec 1982-1987
11.Sistemas típicos de prevenção e retenção de quedas
12. Diferenças entre prevenção e retenção de quedas
13. Exemplo de formulário para avaliação de condições perigosas
14. Uma amostra de permissão de entrada
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
59. Política de Segurança e Liderança
Editor de Capítulo: Jorma Saari
Política de Segurança, Liderança e Cultura
Dan Petersen
Cultura e Gestão de Segurança
Marcelo Simard
Clima Organizacional e Segurança
Nicole Dedobbeleer e François Béland
Processo de Melhoria Participativa do Local de Trabalho
Jorma Saari
Métodos de Tomada de Decisões de Segurança
Terje Sten
Percepção de risco
Bernhard Zimolong e Rüdiger Trimpop
Aceitação de Risco
Rüdiger Trimpop e Bernhard Zimolong
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Medidas de clima de segurança
2. Tuttava e outras diferenças de programas/técnicas
3. Um exemplo de boas práticas de trabalho
4. Metas de desempenho em uma fábrica de tintas para impressão
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
60. Programas de Segurança
Editor de capítulos: Jorma Saari
Pesquisa de Segurança Ocupacional: Uma Visão Geral
Herbert I. Linn e Alfred A. Amendola
Serviços governamentais
Anthony Linehan
Serviços de Segurança: Consultores
Dan Petersen
Implementação de um Programa de Segurança
Tom B. Lemon
Programas de segurança bem-sucedidos
Tom B. Lemon
Programas de incentivo à segurança
Gerald JS Wilde
Promoção de Segurança
Thomas W. Planek
Estudo de caso: campanhas de saúde e segurança ocupacional em nível nacional na Índia
KC Gupta
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Modelos OBM vs. TQM de motivação dos funcionários
2. Fábricas indianas: empregos e lesões
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
Este artigo examina o papel dos fatores humanos no processo de causalidade do acidente e analisa as várias medidas preventivas (e sua eficácia) pelas quais o erro humano pode ser controlado e sua aplicação ao modelo de causalidade do acidente. O erro humano é uma importante causa contribuinte em pelo menos 90% de todos os acidentes industriais. Embora erros puramente técnicos e circunstâncias físicas incontroláveis também possam contribuir para a causa do acidente, o erro humano é a principal fonte de falha. A maior sofisticação e confiabilidade do maquinário significa que a proporção de causas de acidentes atribuídas ao erro humano aumenta à medida que o número absoluto de acidentes diminui. O erro humano também é a causa de muitos desses incidentes que, embora não resultem em ferimentos ou morte, resultam em danos econômicos consideráveis para uma empresa. Como tal, representa um alvo importante para a prevenção e se tornará cada vez mais importante. Para sistemas de gerenciamento de segurança eficazes e programas de identificação de riscos, é importante ser capaz de identificar o componente humano de forma eficaz por meio do uso da análise geral do tipo de falha.
A Natureza do Erro Humano
O erro humano pode ser visto como a falha em atingir um objetivo da maneira planejada, seja de uma perspectiva local ou mais ampla, devido a um comportamento não intencional ou intencional. Essas ações planejadas podem não alcançar os resultados desejados pelos quatro motivos a seguir:
1. Comportamento não intencional:
2. Comportamento intencional:
Os desvios podem ser divididos em três classes: erros baseados em habilidade, regra e conhecimento.
Em algumas situações, o termo limitação humana seria mais apropriado do que erro humano. Também há limites para a capacidade de prever o comportamento futuro de sistemas complexos (Gleick 1987; Casti 1990).
O modelo de Reason e Embrey, o Generic Error Modeling System (GEMS) (Reason 1990), leva em conta os mecanismos de correção de erros nos níveis baseados em habilidade, regra e conhecimento. Uma suposição básica do GEMS é que o comportamento do dia-a-dia implica um comportamento rotineiro. O comportamento rotineiro é verificado regularmente, mas entre esses ciclos de feedback, o comportamento é completamente automático. Como o comportamento é baseado em habilidade, os erros são deslizes. Quando o feedback mostra um desvio do objetivo desejado, a correção baseada em regras é aplicada. O problema é diagnosticado com base nos sintomas disponíveis e uma regra de correção é aplicada automaticamente quando a situação é diagnosticada. Quando a regra errada é aplicada, há um erro.
Quando a situação é completamente desconhecida, regras baseadas no conhecimento são aplicadas. Os sintomas são examinados à luz do conhecimento sobre o sistema e seus componentes. Esta análise pode conduzir a uma possível solução cuja implementação constitui um caso de comportamento baseado no conhecimento. (Também é possível que o problema não possa ser resolvido de uma determinada maneira e que outras regras baseadas no conhecimento tenham que ser aplicadas.) Todos os erros neste nível são erros. As infrações são cometidas quando se aplica uma determinada regra sabidamente inadequada: o pensamento do trabalhador pode ser que a aplicação de uma regra alternativa seja menos demorada ou possivelmente mais adequada à presente situação, provavelmente excepcional. A classe de violação mais malévola envolve sabotagem, assunto que não está no escopo deste artigo. Quando as organizações estão tentando eliminar o erro humano, elas devem levar em consideração se os erros estão no nível de habilidade, regra ou conhecimento, pois cada nível requer suas próprias técnicas (Groeneweg 1996).
Influenciando o Comportamento Humano: Uma Visão Geral
Um comentário frequentemente feito a respeito de um determinado acidente é: “Talvez a pessoa não tenha percebido na hora, mas se ela não tivesse agido de determinada maneira, o acidente não teria acontecido”. Grande parte da prevenção de acidentes visa influenciar a parte crucial do comportamento humano aludida nesta observação. Em muitos sistemas de gestão de segurança, as soluções e políticas sugeridas visam influenciar diretamente o comportamento humano. No entanto, é muito incomum que as organizações avaliem a eficácia desses métodos. Os psicólogos dedicaram muita atenção a como o comportamento humano pode ser melhor influenciado. A este respeito, serão apresentadas as seguintes seis formas de exercer o controle sobre o erro humano, e será realizada uma avaliação da eficácia relativa desses métodos no controle do comportamento humano a longo prazo (Wagenaar 1992). (Ver tabela 1.)
Tabela 1. Seis formas de induzir comportamento seguro e avaliação de custo-efetividade
Não. |
Forma de influenciar |
Custo |
efeito a longo prazo |
Avaliação |
1 |
Não induza um comportamento seguro, |
Alta |
Baixo |
Pobre |
2 |
Diga aos envolvidos o que fazer. |
Baixo |
Baixo |
Médio |
3 |
Recompensar e punir. |
Médio |
Médio |
Médio |
4 |
Aumentar a motivação e a consciência. |
Médio |
Baixo |
Pobre |
5 |
Selecione pessoal treinado. |
Alta |
Médio |
Médio |
6 |
Mude o ambiente. |
Alta |
Alta |
Bom |
Não tente induzir um comportamento seguro, mas torne o sistema “à prova de falhas”
A primeira opção é não fazer nada para influenciar o comportamento das pessoas, mas projetar o local de trabalho de tal forma que o que quer que o funcionário faça, não resultará em nenhum tipo de resultado indesejável. Deve-se reconhecer que, graças à influência da robótica e da ergonomia, os designers melhoraram consideravelmente a facilidade de uso dos equipamentos de trabalho. No entanto, é quase impossível prever todos os diferentes tipos de comportamento que as pessoas podem apresentar. Além disso, os trabalhadores costumam considerar os chamados projetos infalíveis como um desafio para “vencer o sistema”. Finalmente, como os próprios projetistas são humanos, mesmo equipamentos cuidadosamente projetados à prova de falhas podem ter falhas (por exemplo, Petroski 1992). O benefício adicional dessa abordagem em relação aos níveis de risco existentes é marginal e, em qualquer caso, os custos iniciais de projeto e instalação podem aumentar exponencialmente.
Diga aos envolvidos o que fazer
Outra opção é instruir todos os trabalhadores sobre cada atividade, a fim de colocar seu comportamento totalmente sob o controle da administração. Isso exigirá um inventário de tarefas extenso e pouco prático e um sistema de controle de instruções. Como todo comportamento é desautomatizado, ele eliminará em grande parte os deslizes e lapsos até que as instruções se tornem parte da rotina e o efeito desapareça.
Não ajuda muito dizer às pessoas que o que elas fazem é perigoso - a maioria das pessoas sabe disso muito bem - porque elas farão suas próprias escolhas em relação ao risco, independentemente das tentativas de convencê-las do contrário. Sua motivação para fazer isso será facilitar seu trabalho, economizar tempo, desafiar a autoridade e talvez aumentar suas próprias perspectivas de carreira ou reivindicar alguma recompensa financeira. Instruir pessoas é relativamente barato e a maioria das organizações tem sessões de instrução antes do início de um trabalho. Mas, além de tal sistema de instrução, a eficácia dessa abordagem é avaliada como baixa.
Recompensar e punir
Embora os esquemas de recompensa e punição sejam meios poderosos e muito populares para controlar o comportamento humano, eles não são isentos de problemas. A recompensa funciona melhor apenas se o destinatário perceber que a recompensa é valiosa no momento do recebimento. Punir o comportamento que está além do controle de um funcionário (um deslize) não será eficaz. Por exemplo, é mais econômico melhorar a segurança no trânsito alterando as condições subjacentes ao comportamento do trânsito do que por meio de campanhas públicas ou programas de punição e recompensa. Mesmo um aumento nas chances de ser “pego” não mudará necessariamente o comportamento de uma pessoa, pois as oportunidades de violação de uma regra ainda existem, assim como o desafio de uma violação bem-sucedida. Se as situações em que as pessoas trabalham convidam a esse tipo de violação, as pessoas escolherão automaticamente o comportamento indesejado, não importa como sejam punidas ou recompensadas. A eficácia dessa abordagem é classificada como de qualidade média, pois geralmente é de eficácia de curto prazo.
Aumentar a motivação e a consciência
Às vezes, acredita-se que as pessoas causam acidentes porque não têm motivação ou desconhecem o perigo. Esta suposição é falsa, como os estudos mostraram (por exemplo, Wagenaar e Groeneweg 1987). Além disso, mesmo que os trabalhadores sejam capazes de julgar o perigo com precisão, eles não agem necessariamente de acordo (Kruysse 1993). Acidentes acontecem mesmo com pessoas com a melhor motivação e o mais alto grau de consciência de segurança. Existem métodos eficazes para melhorar a motivação e a consciência que são discutidos abaixo em “Mudar o ambiente”. Essa opção é delicada: em contraste com a dificuldade de motivar ainda mais as pessoas, é quase fácil desmotivar os funcionários a ponto de até mesmo sabotagem ser considerada.
Os efeitos dos programas de aumento da motivação são positivos apenas quando combinados com técnicas de modificação de comportamento, como o envolvimento do funcionário.
Selecione pessoal treinado
A primeira reação a um acidente geralmente é que os envolvidos devem ter sido incompetentes. Em retrospectiva, os cenários de acidentes parecem simples e facilmente evitáveis para alguém suficientemente inteligente e devidamente treinado, mas essa aparência é enganosa: na verdade, os funcionários envolvidos não poderiam ter previsto o acidente. Portanto, um melhor treinamento e seleção não terá o efeito desejável. No entanto, um nível básico de treinamento é um pré-requisito para operações seguras. A tendência em algumas indústrias de substituir pessoal experiente por pessoas inexperientes e inadequadamente treinadas deve ser desencorajada, pois situações cada vez mais complexas exigem um pensamento baseado em regras e conhecimento que requer um nível de experiência que esse pessoal de baixo custo muitas vezes não possui.
Um efeito colateral negativo de instruir muito bem as pessoas e selecionar apenas as pessoas de classificação mais alta é que o comportamento pode se tornar automático e podem ocorrer deslizes. A seleção é cara, enquanto o efeito não é mais do que médio.
Mudar o ambiente
A maioria dos comportamentos ocorre como uma reação a fatores no ambiente de trabalho: horários de trabalho, planos e expectativas e demandas da administração. Uma mudança no ambiente resulta em um comportamento diferente. Antes que o ambiente de trabalho possa ser efetivamente alterado, vários problemas devem ser resolvidos. Primeiro, os fatores ambientais que causam o comportamento indesejado devem ser identificados. Em segundo lugar, esses fatores devem ser controlados. Em terceiro lugar, a administração deve permitir a discussão sobre seu papel na criação do ambiente de trabalho adverso.
É mais prático influenciar o comportamento criando um ambiente de trabalho adequado. Os problemas que devem ser resolvidos antes que esta solução possa ser colocada em prática são (1) que deve ser conhecido quais fatores ambientais causam o comportamento indesejado, (2) que esses fatores devem ser controlados e (3) que as decisões de gerenciamento anteriores devem ser considerado (Wagenaar 1992; Groeneweg 1996). Todas essas condições podem de fato ser atendidas, como será discutido no restante deste artigo. A eficácia da modificação de comportamento pode ser alta, mesmo que uma mudança de ambiente possa ser bastante cara.
O Modelo de Causação de Acidentes
Para obter mais informações sobre as partes controláveis do processo de causalidade do acidente, é necessário entender os possíveis ciclos de feedback em um sistema de informações de segurança. Na figura 1 é apresentada a estrutura completa de um sistema de informação de segurança que pode servir de base para o controle gerencial do erro humano. É uma versão adaptada do sistema apresentado por Reason et al. (1989).
Figura 1. Um sistema de informação de segurança
Investigação de acidentes
Quando os acidentes são investigados, relatórios substanciais são produzidos e os tomadores de decisão recebem informações sobre o componente de erro humano do acidente. Felizmente, isso está se tornando cada vez mais obsoleto em muitas empresas. É mais eficaz analisar os “distúrbios operacionais” que precedem os acidentes e incidentes. Se um acidente é descrito como um distúrbio operacional seguido de suas consequências, então escorregar da estrada é um distúrbio operacional e morrer porque o motorista não usava cinto de segurança é um acidente. Barreiras podem ter sido colocadas entre o distúrbio operacional e o acidente, mas elas falharam ou foram violadas ou contornadas.
Auditoria de atos inseguros
Um ato ilícito cometido por um empregado é chamado de “ato abaixo do padrão” e não de “ato inseguro” neste artigo: a noção de “inseguro” parece limitar a aplicabilidade do termo à segurança, embora também possa ser aplicado, por exemplo, aos problemas ambientais. Atos abaixo do padrão às vezes são registrados, mas informações detalhadas sobre quais deslizes, erros e violações foram cometidos e por que eles foram cometidos dificilmente são transmitidas aos níveis de gerenciamento mais altos.
Investigando o estado de espírito do funcionário
Antes de um ato abaixo do padrão ser cometido, a pessoa envolvida estava em um certo estado de espírito. Se esses precursores psicológicos, como pressa ou tristeza, pudessem ser adequadamente controlados, as pessoas não se encontrariam em um estado de espírito em que cometeriam um ato abaixo do padrão. Uma vez que esses estados mentais não podem ser efetivamente controlados, tais precursores são considerados como material de “caixa preta” (figura 1).
Tipos de falha geral
A caixa GFT (tipo de falha geral) na figura 1 representa os mecanismos geradores de um acidente - as causas de atos e situações fora do padrão. Como esses atos abaixo do padrão não podem ser controlados diretamente, é necessário mudar o ambiente de trabalho. O ambiente de trabalho é determinado por 11 desses mecanismos (tabela 2). (Na Holanda a abreviação GFT já existe em um contexto completamente diferente, e tem a ver com descarte ecologicamente correto de resíduos, e para evitar confusão outro termo é usado: fatores de risco básicos (BRFs) (Roggeveen 1994).)
Tabela 2. Tipos de falhas gerais e suas definições
Falhas gerais |
Definições |
1. Projeto (DE) |
Falhas devido ao design inadequado de uma planta inteira, bem como |
2. Hardware (HW) |
Falhas por mau estado ou indisponibilidade de equipamentos e ferramentas |
3. Procedimentos (PR) |
Falhas devido à má qualidade dos procedimentos operacionais com |
4. Aplicação de erro |
Falhas decorrentes da má qualidade do ambiente de trabalho, com |
5. Limpeza (HK) |
Falhas devido a má limpeza |
6. Treinamento (TR) |
Falhas devido a treinamento inadequado ou experiência insuficiente |
7. Objetivos incompatíveis (IG) |
Falhas decorrentes da má segurança da via e do bem-estar interno são |
8. Comunicação (CO) |
Falhas devido à má qualidade ou ausência de linhas de comunicação |
9. Organização (OU) |
Falhas devido à forma como o projeto é gerenciado |
10. Manutenção |
Falhas devido à má qualidade dos procedimentos de manutenção |
11. Defesas (DF) |
Falhas devido à má qualidade da proteção contra |
A caixa GFT é precedida por uma caixa de “tomador de decisões”, pois essas pessoas determinam em grande medida o quão bem uma GFT é gerenciada. É tarefa da gerência controlar o ambiente de trabalho gerenciando os 11 GFTs, controlando indiretamente a ocorrência de erro humano.
Todos esses GFTs podem contribuir para os acidentes de maneiras sutis, permitindo combinações indesejáveis de situações e ações, aumentando a chance de certas pessoas cometerem atos abaixo do padrão e falhando em fornecer os meios para interromper as sequências de acidentes já em andamento.
Existem dois GFTs que requerem alguma explicação adicional: gerenciamento de manutenção e defesas.
Gerenciamento de manutenção (MM)
Como a gestão da manutenção é uma combinação de fatores que podem ser encontrados em outras GFTs, ela não é, a rigor, uma GFT à parte: esse tipo de gestão não é fundamentalmente diferente de outras funções gerenciais. Pode ser tratado como uma questão separada porque a manutenção desempenha um papel importante em muitos cenários de acidentes e porque a maioria das organizações tem uma função de manutenção separada.
Defesas (DF)
A categoria de defesas também não é uma verdadeira GFT, pois não está relacionada ao próprio processo de causalidade do acidente. Este GFT está relacionado com o que acontece depois de uma perturbação operacional. Não gera estados psicológicos da mente ou atos abaixo do padrão por si só. É uma reação que segue uma falha devido à ação de um ou mais GFTs. Embora seja verdade que um sistema de gestão de segurança deve se concentrar nas partes controláveis da cadeia de causas de acidentes antes e não depois de o incidente indesejado, no entanto, a noção de defesas pode ser usada para descrever a eficácia percebida das barreiras de segurança após a ocorrência de um distúrbio e para mostrar como elas falharam em evitar o acidente real.
Os gestores precisam de uma estrutura que os capacite a relacionar os problemas identificados a ações preventivas. Ainda são necessárias medidas tomadas ao nível das barreiras de segurança ou atos abaixo do padrão, embora essas medidas nunca possam ser completamente bem-sucedidas. Confiar nas barreiras de “última linha” é confiar em fatores que estão, em grande parte, fora do controle da administração. A administração não deve tentar gerenciar esses dispositivos externos incontroláveis, mas, em vez disso, deve tentar tornar suas organizações inerentemente mais seguras em todos os níveis.
Medindo o nível de controle sobre o erro humano
Determinar a presença dos GFTs em uma organização permitirá que os investigadores de acidentes identifiquem os pontos fracos e fortes da organização. Com esse conhecimento, pode-se analisar os acidentes e eliminar ou mitigar suas causas e identificar as fragilidades estruturais dentro de uma empresa e corrigi-las antes que de fato contribuam para um acidente.
Investigação de acidentes
A tarefa de um analista de acidentes é identificar os fatores contribuintes e categorizá-los. O número de vezes que um fator contribuinte é identificado e categorizado em termos de GFT indica até que ponto esse GFT está presente. Isso geralmente é feito por meio de uma lista de verificação ou programa de análise de computador.
É possível e desejável combinar perfis de tipos de acidentes diferentes, mas semelhantes. As conclusões baseadas em um acúmulo de investigações de acidentes em um tempo relativamente curto são muito mais confiáveis do que aquelas tiradas de um estudo no qual o perfil do acidente é baseado em um único evento. Um exemplo desse perfil combinado é apresentado na figura 2, que mostra dados relativos a quatro ocorrências de um tipo de acidente.
Figura 2. Perfil de um tipo de acidente
Alguns dos GFTs - design, procedimentos e objetivos incompatíveis - pontuam consistentemente alto em todos os quatro acidentes específicos. Isso significa que em cada acidente foram identificados fatores relacionados a essas GFTs. Com relação ao perfil do acidente 1, o projeto é um problema. A limpeza, embora seja uma área de grande problema no acidente 1, é apenas um problema menor se mais do que o primeiro acidente for analisado. Sugere-se que cerca de dez tipos semelhantes de acidentes sejam investigados e combinados em um perfil antes que medidas corretivas de longo alcance e possivelmente caras sejam tomadas. Desta forma, a identificação dos fatores contribuintes e subsequente categorização destes fatores pode ser feita de forma muito confiável (Van der Schrier, Groeneweg e van Amerongen 1994).
Identificando os GFTs dentro de uma organização proativamente
É possível quantificar a presença de GFTs de forma pró-ativa, independentemente da ocorrência de acidentes ou incidentes. Isso é feito procurando indicadores da presença desse GFT. O indicador usado para esse fim é a resposta a uma pergunta direta de sim ou não. Se respondido da forma indesejada, é um indício de que algo não está funcionando corretamente. Um exemplo de pergunta indicadora é: “Nos últimos três meses, você foi a uma reunião que acabou sendo cancelada?” Se o funcionário responder afirmativamente à pergunta, isso não significa necessariamente perigo, mas indica uma deficiência em um dos GFTs – a comunicação. No entanto, se um número suficiente de perguntas que testam um determinado GFT for respondido de forma a indicar uma tendência indesejável, é um sinal para a administração de que ele não tem controle suficiente sobre esse GFT.
Para construir um perfil de segurança do sistema (SSP), 20 perguntas para cada um dos 11 GFTs devem ser respondidas. Cada GFT recebe uma pontuação que varia de 0 (baixo nível de controle) a 100 (alto nível de controle). A pontuação é calculada em relação à média da indústria em uma determinada área geográfica. Um exemplo deste procedimento de pontuação é apresentado na caixa.
Os indicadores são extraídos de forma pseudo-aleatória de um banco de dados com algumas centenas de perguntas. Não há duas listas de verificação subsequentes com perguntas em comum, e as perguntas são elaboradas de forma que cada aspecto do GFT seja coberto. A falha de hardware pode, por exemplo, ser resultado de equipamento ausente ou defeituoso. Ambos os aspectos devem ser cobertos na lista de verificação. As distribuições de respostas de todas as perguntas são conhecidas e as listas de verificação são balanceadas para igual dificuldade.
É possível comparar as pontuações obtidas com diferentes listas de verificação, bem como as obtidas para diferentes organizações ou departamentos ou as mesmas unidades ao longo de um período de tempo. Extensos testes de validação foram feitos para garantir que todas as perguntas no banco de dados tenham validade e que todas sejam indicativas do GFT a ser medido. Pontuações mais altas indicam um maior nível de controle - ou seja, mais perguntas foram respondidas da maneira “desejada”. Uma pontuação de 70 indica que esta organização está classificada entre as 30 melhores (ou seja, 100 menos 70) de organizações comparáveis neste tipo de indústria. Embora uma pontuação de 100 não signifique necessariamente que essa organização tenha controle total sobre um GFT, significa que, com relação a esse GFT, a organização é a melhor do setor.
Um exemplo de SSP é mostrado na figura 3. As áreas fracas da Organização 1, conforme exemplificado pelas barras no gráfico, são procedimentos, metas incompatíveis e condições de imposição de erro, pois pontuam abaixo da média do setor, conforme mostrado pelo escuro área cinza. As pontuações em limpeza, hardware e defesas são muito boas na Organização 1. Superficialmente, esta organização bem equipada e arrumada com todos os dispositivos de segurança instalados parece ser um local seguro para trabalhar. A organização 2 pontua exatamente na média do setor. Não há grandes deficiências e, embora as pontuações em hardware, limpeza e defesas sejam mais baixas, esta empresa gerencia (em média) o componente de erro humano em acidentes melhor do que a Organização 1. De acordo com o modelo de causa do acidente, a Organização 2 é mais segura do que Organização 1, embora isso não seja necessariamente aparente na comparação das organizações em auditorias “tradicionais”.
Figura 3. Exemplo de um perfil de segurança do sistema
Se essas organizações tivessem que decidir onde alocar seus recursos limitados, as quatro áreas com GFTs abaixo da média teriam prioridade. No entanto, não se pode concluir que, uma vez que as outras pontuações GFT são tão favoráveis, os recursos podem ser retirados com segurança de sua manutenção, uma vez que esses recursos são o que provavelmente os manteve em um nível tão alto em primeiro lugar.
Conclusões
Este artigo abordou o assunto de erro humano e prevenção de acidentes. A visão geral da literatura sobre o controle do componente de erro humano em acidentes rendeu um conjunto de seis maneiras pelas quais se pode tentar influenciar o comportamento. Apenas uma, reestruturar o ambiente ou modificar o comportamento para reduzir o número de situações em que as pessoas estão sujeitas a cometer um erro, tem um efeito razoavelmente favorável em uma organização industrial bem desenvolvida, onde muitas outras tentativas já foram feitas. Será preciso coragem por parte da administração para reconhecer que essas situações adversas existem e mobilizar os recursos necessários para efetuar uma mudança na empresa. As outras cinco opções não representam alternativas úteis, pois terão pouco ou nenhum efeito e serão bastante caras.
“Controlar o controlável” é o princípio-chave que sustenta a abordagem apresentada neste artigo. Os GFTs devem ser descobertos, atacados e eliminados. Os 11 GFTs são mecanismos que comprovadamente fazem parte do processo de causalidade dos acidentes. Dez deles visam prevenir perturbações operacionais e um (defesas) visa evitar que perturbações operacionais se transformem em acidentes. Eliminar o impacto dos GFTs tem relação direta com a redução das causas contribuintes de acidentes. As perguntas das listas de verificação visam medir o “estado de saúde” de um determinado GFT, tanto do ponto de vista geral quanto de segurança. A segurança é vista como parte integrante das operações normais: fazer o trabalho da maneira que deve ser feito. Esta visão está de acordo com as recentes abordagens de gestão “orientadas para a qualidade”. A disponibilidade de políticas, procedimentos e ferramentas de gestão não é a principal preocupação da gestão de segurança: a questão é saber se esses métodos são realmente usados, compreendidos e respeitados.
A abordagem descrita neste artigo concentra-se nos fatores sistêmicos e na maneira como as decisões gerenciais podem ser traduzidas em condições inseguras no local de trabalho, em contraste com a crença convencional de que a atenção deve ser direcionada aos trabalhadores individuais que praticam atos inseguros, suas atitudes, motivações e percepções de risco.
Uma indicação do nível de controle que sua organização tem sobre a “Comunicação” GFT
Nesta caixa é apresentada uma lista de 20 perguntas. As perguntas desta lista foram respondidas por funcionários de mais de 250 organizações na Europa Ocidental. Essas organizações operavam em diferentes áreas, desde empresas químicas até refinarias e empresas de construção. Normalmente, essas perguntas seriam feitas sob medida para cada ramo. Esta lista serve como exemplo apenas para mostrar como a ferramenta funciona para uma das GFTs. Foram selecionadas apenas as questões que se mostraram tão “gerais” que são aplicáveis em pelo menos 80% das indústrias.
Na “vida real”, os funcionários não teriam apenas que responder às perguntas (anonimamente), mas também teriam que motivar suas respostas. Não basta responder “Sim” por exemplo, no indicador “Você teve que trabalhar nas últimas 4 semanas com um procedimento desatualizado?” O empregado teria que indicar qual era o procedimento e em que condições deveria ser aplicado. Essa motivação serve a dois objetivos: aumenta a confiabilidade das respostas e fornece à administração informações sobre as quais ela pode agir.
Também é necessário ter cuidado ao interpretar a pontuação percentual: em uma medição real, cada organização seria comparada a uma amostra representativa de organizações relacionadas a filiais para cada um dos 11 GFTs. A distribuição de percentis é de maio de 1995, e essa distribuição muda ligeiramente ao longo do tempo.
Como medir o “nível de controle”
Responda a todos os 20 indicadores com sua própria situação em mente e cuidado com os limites de tempo nas perguntas. Algumas das perguntas podem não ser aplicáveis à sua situação; responda com “na” Pode ser impossível para você responder a algumas perguntas; responda-as com um ponto de interrogação “?”.
Depois de responder a todas as perguntas, compare suas respostas com as respostas de referência. Você ganha um ponto para cada pergunta respondida “corretamente”.
Adicione o número de pontos juntos. Calcule a porcentagem de perguntas respondidas corretamente dividindo o número de pontos pelo número de perguntas que você respondeu com “Sim” ou “Não”. O “na” e “?” as respostas não são consideradas. O resultado é uma porcentagem entre 0 e 100.
A medição pode se tornar mais confiável tendo mais pessoas respondendo às perguntas e calculando a média de suas pontuações nos níveis ou funções na organização ou departamentos comparáveis.
Vinte questões sobre o GFT “Comunicação”
Possíveis respostas às perguntas: S = Sim; N = Não; na = não aplicável; ? = não sei.
Respostas de referência:
1=N; 2=N; 3=N; 4 = S; 5=N; 6=N; 7=N; 8=N; 9=N; 10=N; 11=N; 12=N; 13 = S; 14=N; 15=N; 16 = S; 17=N; 18=N; 19 = S; 20 = N.
Pontuação GFT “Comunicação”
Pontuação percentual = (a/b) x 100
onde a = não. de perguntas respondidas corretamente
onde b = não. de perguntas respondidas “S” ou “N”.
Sua pontuação % |
Percentil |
% |
Igual ou melhor |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
Este artigo aborda os perigos de “máquinas”, aqueles que são específicos dos acessórios e hardware utilizados nos processos industriais associados a vasos de pressão, equipamentos de processamento, máquinas potentes e outras operações intrinsecamente arriscadas. Este artigo não aborda os riscos para o trabalhador, que envolvem as ações e o comportamento dos indivíduos, como escorregar nas superfícies de trabalho, cair de elevações e perigos decorrentes do uso de ferramentas comuns. Este artigo enfoca os perigos das máquinas, que são característicos de um ambiente de trabalho industrial. Como esses perigos ameaçam qualquer pessoa presente e podem até representar uma ameaça aos vizinhos e ao ambiente externo, os métodos de análise e os meios de prevenção e controle são semelhantes aos métodos utilizados para lidar com os riscos ao meio ambiente decorrentes das atividades industriais.
Riscos de máquinas
O hardware de boa qualidade é muito confiável e a maioria das falhas é causada por efeitos secundários, como fogo, corrosão, mau uso e assim por diante. No entanto, o hardware pode ser destacado em certos acidentes, porque um componente de hardware com falha geralmente é o elo mais evidente ou visivelmente proeminente da cadeia de eventos. Embora o termo Hardwares é usado em um sentido amplo, exemplos ilustrativos de falhas de hardware e seus “ambientes” imediatos na causa do acidente foram retirados de locais de trabalho industriais. Candidatos típicos para investigação de perigos de “máquinas” incluem, mas não estão limitados ao seguinte:
Efeitos da Energia
Os riscos de hardware podem incluir uso incorreto, erros de construção ou sobrecarga frequente e, portanto, sua análise e mitigação ou prevenção podem seguir direções bastante diferentes. No entanto, formas de energia físicas e químicas que escapam ao controle humano geralmente existem no centro dos riscos de hardware. Portanto, um método muito geral para identificar riscos de hardware é procurar as energias que normalmente são controladas com a peça real do equipamento ou maquinário, como um vaso de pressão contendo amônia ou cloro. Outros métodos usam a finalidade ou a função pretendida do hardware real como ponto de partida e, em seguida, procuram os prováveis efeitos de mau funcionamento e falhas. Por exemplo, uma ponte que não cumpra sua função principal exporá os indivíduos na ponte ao risco de queda; outros efeitos do colapso de uma ponte serão os secundários de queda de itens, sejam partes estruturais da ponte ou objetos situados na ponte. Mais abaixo na cadeia de consequências, podem haver efeitos derivados relacionados a funções em outras partes do sistema que dependiam da ponte desempenhar sua função adequadamente, como a interrupção do tráfego de veículos de resposta a emergências para outro incidente.
Além dos conceitos de “energia controlada” e “função pretendida”, as substâncias perigosas devem ser abordadas por meio de perguntas como: “Como o agente X pode ser liberado de vasos, tanques ou sistemas de tubulação e como o agente Y pode ser produzido?” (um ou ambos podem ser perigosos). O agente X pode ser um gás pressurizado ou um solvente, e o agente Y pode ser uma dioxina extremamente tóxica cuja formação é favorecida pelas temperaturas “certas” em alguns processos químicos, ou pode ser produzida por oxidação rápida, como resultado de um incêndio . No entanto, os possíveis perigos somam muito mais do que apenas os riscos de substâncias perigosas. Podem existir condições ou influências que permitem que a presença de um determinado item de hardware leve a consequências prejudiciais para os seres humanos.
Ambiente de Trabalho Industrial
Os perigos da máquina também envolvem fatores de carga ou estresse que podem ser perigosos a longo prazo, como os seguintes:
Esses perigos podem ser reconhecidos e as precauções tomadas porque as condições perigosas já existem. Eles não dependem de alguma mudança estrutural no hardware para ocorrer e produzir um resultado prejudicial, ou de algum evento especial para causar danos ou ferimentos. Perigos de longo prazo também têm fontes específicas no ambiente de trabalho, mas devem ser identificados e avaliados por meio da observação dos trabalhadores e dos trabalhos, em vez de apenas analisar a construção e as funções do hardware.
Perigos de hardware ou máquinas perigosas são geralmente excepcionais e raramente encontrados em um ambiente de trabalho saudável, mas não podem ser evitados completamente. Vários tipos de energia descontrolada, como os seguintes agentes de risco, pode ser a consequência imediata do mau funcionamento do hardware:
Agentes de Risco
Objetos em movimento. Objetos em queda e voando, fluxos de líquidos e jatos de líquido ou vapor, como os listados, são frequentemente as primeiras consequências externas de falha de hardware ou equipamento e são responsáveis por grande parte dos acidentes.
Substancias químicas. Os perigos químicos também contribuem para acidentes de trabalho, além de afetar o meio ambiente e o público. Os acidentes de Seveso e Bhopal envolveram liberações de produtos químicos que afetaram muitos membros do público, e muitos incêndios e explosões industriais liberam produtos químicos e fumaça para a atmosfera. Os acidentes de trânsito envolvendo caminhões de entrega de gasolina ou produtos químicos ou outros transportes de mercadorias perigosas, unem dois agentes de risco - objetos em movimento e substâncias químicas.
Energia eletromagnética. Campos elétricos e magnéticos, raios x e raios gama são todos manifestações do eletromagnetismo, mas muitas vezes são tratados separadamente, pois são encontrados em circunstâncias bastante diferentes. No entanto, os perigos do eletromagnetismo têm algumas características gerais: os campos e a radiação penetram no corpo humano em vez de apenas fazer contato na área de aplicação e não podem ser detectados diretamente, embora intensidades muito grandes causem aquecimento das partes do corpo afetadas. Campos magnéticos são criados pelo fluxo de corrente elétrica, e campos magnéticos intensos podem ser encontrados nas proximidades de grandes motores elétricos, equipamentos de soldagem a arco elétrico, aparelhos de eletrólise, trabalhos em metal e assim por diante. Os campos elétricos acompanham a tensão elétrica, e mesmo as tensões normais de 200 a 300 volts causam o acúmulo de sujeira ao longo de vários anos, o sinal visível da existência do campo, um efeito também conhecido em conexão com linhas elétricas de alta tensão, tubos de imagem de TV , monitores de computador e assim por diante.
Os campos eletromagnéticos são encontrados principalmente perto de suas fontes, mas radiação é um viajante de longa distância, como exemplificam as ondas de radar e rádio. A radiação eletromagnética é espalhada, refletida e amortecida à medida que passa pelo espaço e encontra objetos intermediários, superfícies, diferentes substâncias e atmosferas e similares; sua intensidade é, portanto, reduzida de várias maneiras.
O caráter geral das fontes de perigo eletromagnético (EM) são:
Radiação nuclear. Os perigos associados à radiação nuclear são uma preocupação especial para os trabalhadores em usinas nucleares e em usinas que trabalham com materiais nucleares, como fabricação de combustível e reprocessamento, transporte e armazenamento de matéria radioativa. Fontes de radiação nuclear também são usadas na medicina e por algumas indústrias para medição e controle. Um uso mais comum é em alarmes de incêndio/detectores de fumaça, que usam um emissor de partículas alfa como o amerício para monitorar a atmosfera.
Os perigos nucleares estão principalmente centrados em torno de cinco fatores:
Os perigos surgem da radioativo processos de fissão nuclear e decomposição de materiais radioativos. Este tipo de radiação é emitido de processos de reatores, combustível de reatores, material moderador de reatores, de produtos de fissão gasosos que podem ser desenvolvidos e de certos materiais de construção que são ativados pela exposição a emissões radioativas decorrentes da operação do reator.
Outros agentes de risco. Outras classes de agentes de risco que liberam ou emitem energia incluem:
Acionando os perigos de hardware
Ambos súbito e gradual as mudanças da condição controlada - ou "segura" - para uma com perigo aumentado podem ocorrer nas seguintes circunstâncias, que podem ser controladas por meios organizacionais apropriados, como experiência do usuário, educação, habilidades, vigilância e teste de equipamentos:
Como as operações adequadas não podem compensar de forma confiável o projeto e a instalação inadequados, é importante considerar todo o processo, desde a seleção e projeto até a instalação, uso, manutenção e teste, a fim de avaliar o estado e as condições reais do item de hardware.
Caso de perigo: o tanque de gás pressurizado
O gás pode estar contido em recipientes adequados para armazenamento ou transporte, como os cilindros de gás e oxigênio usados pelos soldadores. Muitas vezes, o gás é manuseado em alta pressão, proporcionando um grande aumento na capacidade de armazenamento, mas com maior risco de acidentes. O principal fenômeno acidental no armazenamento de gás pressurizado é a criação repentina de um buraco no tanque, com os seguintes resultados:
O desenvolvimento de tal acidente depende destes fatores:
O conteúdo do tanque pode ser liberado quase imediatamente ou ao longo de um período de tempo e resulta em diferentes cenários, desde a explosão de gás livre de um tanque rompido até liberações moderadas e bastante lentas de pequenos furos.
O comportamento de vários gases em caso de vazamento
Ao desenvolver modelos de cálculo de liberação, é mais importante determinar as seguintes condições que afetam o comportamento potencial do sistema:
Os cálculos exatos relativos a um processo de liberação em que o gás liquefeito escapa de um orifício como um jato e depois evapora (ou, alternativamente, primeiro se torna uma névoa de gotículas) são difíceis. A especificação da dispersão posterior das nuvens resultantes também é um problema difícil. Deve-se levar em consideração os movimentos e a dispersão das liberações de gás, se o gás forma nuvens visíveis ou invisíveis e se o gás sobe ou permanece no nível do solo.
Enquanto o hidrogênio é um gás leve em comparação com qualquer atmosfera, o gás amônia (NH3, com um peso molecular de 17.0) subirá em uma atmosfera comum de oxigênio e nitrogênio à mesma temperatura e pressão. Cloro (Cl2, com peso molecular de 70.9) e butano (C4H10, mol. wt.58) são exemplos de produtos químicos cujas fases gasosas são mais densas que o ar, mesmo à temperatura ambiente. Acetileno (C2H2, mol. peso 26.0) tem uma densidade de cerca de 0.90g/l, aproximando-se da do ar (1.0g/l), o que significa que, em um ambiente de trabalho, o vazamento do gás de soldagem não terá uma tendência pronunciada de flutuar para cima ou descer para baixo; portanto, pode misturar-se facilmente com a atmosfera.
Mas a amônia liberada de um vaso de pressão como um líquido inicialmente esfria como consequência de sua evaporação e pode então escapar através de várias etapas:
Mesmo uma nuvem de gás leve pode não surgir imediatamente de uma liberação de gás líquido; pode primeiro formar uma névoa - uma nuvem de gotículas - e ficar perto do solo. O movimento da nuvem de gás e a mistura/diluição gradual com a atmosfera circundante dependem dos parâmetros climáticos e do ambiente circundante – área fechada, área aberta, casas, tráfego, presença do público, trabalhadores e assim por diante.
Falha no Tanque
As consequências da quebra do tanque podem envolver incêndio e explosão, asfixia, envenenamento e sufocamento, como mostra a experiência com sistemas de produção e manuseio de gás (propano, metano, nitrogênio, hidrogênio, etc.), com tanques de amônia ou cloro e com soldagem de gás ( usando acetileno e oxigênio). O que de fato inicia a formação de um furo em um tanque tem forte influência no “comportamento” do furo – que por sua vez influencia o escoamento do gás – e é fundamental para a eficácia das ações de prevenção. Um vaso de pressão é projetado e construído para resistir a certas condições de uso e impacto ambiental e para lidar com um determinado gás, ou talvez uma escolha de gases. As capacidades reais de um tanque dependem de sua forma, materiais, soldagem, proteção, uso e clima; portanto, a avaliação de sua adequação como recipiente para gases perigosos deve considerar as especificações do projetista, histórico do tanque, inspeções e testes. As áreas críticas incluem as costuras de soldagem usadas na maioria dos vasos de pressão; os pontos onde acessórios como entradas, saídas, suportes e instrumentos são conectados à embarcação; as extremidades planas de tanques cilíndricos como tanques ferroviários; e outros aspectos de formas geométricas ainda menos ideais.
Costuras de solda são investigadas visualmente, por raios x ou por teste destrutivo de amostras, pois estas podem revelar defeitos locais, digamos, na forma de redução de resistência que pode comprometer a resistência geral do vaso, ou mesmo ser um ponto de gatilho para tanque agudo falha.
A resistência do tanque é afetada pelo histórico de uso do tanque - em primeiro lugar pelos processos normais de desgaste e pelos arranhões e ataques de corrosão típicos da indústria em particular e da aplicação. Outros parâmetros históricos de particular interesse incluem:
O material de construção - chapa de aço, chapa de alumínio, concreto para aplicações não pressurizadas e assim por diante - pode sofrer deterioração dessas influências de maneiras que nem sempre são possíveis de verificar sem sobrecarregar ou destruir o equipamento durante o teste.
Caso de Acidente: Flixborough
A explosão de uma grande nuvem de ciclohexano em Flixborough (Reino Unido) em 1974, que matou 28 pessoas e causou grandes danos às plantas, serve como um caso muito instrutivo. O evento desencadeador foi a quebra de um tubo temporário que servia como substituto em uma unidade de reator. O acidente foi “causado” pela quebra de uma peça de hardware, mas uma investigação mais detalhada revelou que a quebra foi causada por sobrecarga e que a construção temporária era de fato inadequada para o uso pretendido. Após dois meses de serviço, o tubo foi exposto a forças de flexão devido a um leve aumento de pressão de 10 bar (106 Pa) teor de ciclohexano a cerca de 150°C. Os dois foles entre o tubo e os reatores próximos quebraram e 30 a 50 toneladas de ciclohexano foram liberadas e logo inflamadas, provavelmente por um forno a alguma distância do vazamento. (Veja a figura 1.) Um relato muito legível do caso é encontrado em Kletz (1988).
Figura 1. Conexão temporária entre tanques em Flixborough
Análise de Perigos
Os métodos desenvolvidos para encontrar os riscos que podem ser relevantes para um equipamento, para um processo químico ou para uma determinada operação são chamados de “análise de perigos”. Esses métodos fazem perguntas como: “O que pode dar errado?” “Pode ser sério?” E o que pode ser feito sobre isso?" Diferentes métodos de conduzir as análises são frequentemente combinados para alcançar uma cobertura razoável, mas nenhum desses conjuntos pode fazer mais do que orientar ou auxiliar uma equipe inteligente de analistas em suas determinações. As principais dificuldades com a análise de perigos são as seguintes:
Para produzir avaliações de risco utilizáveis nessas circunstâncias, é importante definir com rigor o escopo e o nível de “ambiciosidade” adequados à análise em questão; por exemplo, é claro que não se precisa do mesmo tipo de informação para fins de seguro e para fins de projeto, ou para o planejamento de esquemas de proteção e a construção de arranjos de emergência. De um modo geral, o quadro de risco deve ser preenchido misturando técnicas empíricas (isto é, estatísticas) com raciocínio dedutivo e imaginação criativa.
Diferentes ferramentas de avaliação de risco - até mesmo programas de computador para análise de risco - podem ser muito úteis. O estudo de perigo e operabilidade (HAZOP) e o modo de falha e análise de efeito (FMEA) são métodos comumente usados para investigar perigos, especialmente na indústria química. O ponto de partida para o método HAZOP é o rastreamento de possíveis cenários de risco com base em um conjunto de palavras-guia; para cada cenário é preciso identificar prováveis causas e consequências. Na segunda etapa, procura-se encontrar meios para reduzir as probabilidades ou mitigar as consequências daqueles cenários julgados inaceitáveis. Uma revisão do método HAZOP pode ser encontrada em Charsley (1995). O método FMEA faz uma série de perguntas “e se” para cada componente de risco possível, a fim de determinar completamente quaisquer modos de falha que possam existir e, em seguida, identificar os efeitos que eles podem ter no desempenho do sistema; tal análise será ilustrada no exemplo de demonstração (para um sistema de gás) apresentado posteriormente neste artigo.
Árvores de falhas e as árvores de eventos e os modos de análise lógica próprios das estruturas causadoras de acidentes e raciocínio probabilístico não são de forma alguma específicos para a análise de perigos de hardware, pois são ferramentas gerais para avaliações de risco do sistema.
Rastreando perigos de hardware em uma planta industrial
Para identificar possíveis perigos, informações sobre construção e função podem ser obtidas em:
Ao selecionar e digerir tais informações, os analistas formam uma imagem do próprio objeto de risco, suas funções e seu uso real. Onde as coisas ainda não foram construídas - ou indisponíveis para inspeção - observações importantes não podem ser feitas e a avaliação deve ser baseada inteiramente em descrições, intenções e planos. Essa avaliação pode parecer bastante pobre, mas, na verdade, a maioria das avaliações de risco práticas são feitas dessa maneira, seja para obter aprovação oficial para aplicações para realizar novas construções ou para comparar a segurança relativa de soluções alternativas de projeto. Os processos da vida real serão consultados para as informações não mostradas nos diagramas formais ou descritas verbalmente por entrevista, e para verificar se as informações coletadas dessas fontes são factuais e representam condições reais. Estes incluem o seguinte:
A maior parte dessas informações adicionais, especialmente caminhos furtivos, é detectável apenas por observadores criativos e habilidosos com experiência considerável, e algumas das informações seriam quase impossíveis de rastrear com mapas e diagramas. caminhos furtivos denotam interações não intencionais e imprevistas entre sistemas, onde a operação de um sistema afeta a condição ou operação de outro sistema através de outras formas que não as funcionais. Isso geralmente acontece quando partes funcionalmente diferentes estão situadas próximas umas das outras ou (por exemplo) uma substância com vazamento pinga no equipamento abaixo e causa uma falha. Outro modo de ação de um caminho furtivo pode envolver a introdução de substâncias ou peças erradas em um sistema por meio de instrumentos ou ferramentas durante a operação ou manutenção: as estruturas pretendidas e suas funções pretendidas são alteradas através dos caminhos furtivos. Por falhas de modo comum um significa que certas condições - como inundações, relâmpagos ou falha de energia - podem perturbar vários sistemas ao mesmo tempo, talvez levando a blecautes ou acidentes inesperadamente grandes. Geralmente, tenta-se evitar efeitos de caminho furtivo e falhas de modo comum por meio de layouts adequados e introdução de distância, isolamento e diversidade nas operações de trabalho.
Um caso de análise de perigos: entrega de gás de um navio para um tanque
A Figura 2 mostra um sistema de entrega de gás de um navio de transporte para um tanque de armazenamento. Um vazamento pode ocorrer em qualquer ponto deste sistema: navio, linha de transmissão, tanque ou linha de saída; dados os dois reservatórios do tanque, um vazamento em algum lugar da linha poderia permanecer ativo por horas.
Figura 2. Linha de transmissão para entrega de gás líquido do navio ao tanque de armazenamento
Os componentes mais críticos do sistema são os seguintes:
Um tanque de armazenamento com um grande estoque de gás líquido é colocado no topo desta lista, porque é difícil interromper um vazamento de um tanque em pouco tempo. O segundo item da lista - a conexão com o navio - é crítico, pois vazamentos na tubulação ou mangueira e conexões soltas ou acoplamentos com juntas desgastadas e variações entre os diferentes navios podem liberar produto. Peças flexíveis como mangueiras e foles são mais críticas do que peças rígidas e requerem manutenção e inspeção regulares. Dispositivos de segurança como a válvula de liberação de pressão na parte superior do tanque e as duas válvulas de desligamento de emergência são críticos, pois devem ser usados para revelar falhas latentes ou em desenvolvimento.
Até este ponto, a classificação dos componentes do sistema quanto à sua importância em relação à confiabilidade foi apenas de natureza geral. Agora, para fins analíticos, será dada atenção às funções particulares do sistema, sendo a principal, claro, o movimento do gás liquefeito do navio para o tanque de armazenamento até que o tanque do navio conectado esteja vazio. O risco primordial é um vazamento de gás, sendo os possíveis mecanismos contributivos um ou mais dos seguintes:
Aplicação do método FMEA
A ideia central da abordagem FMEA, ou análise “e se”, é registrar explicitamente, para cada componente do sistema, seus modos de falha e para cada falha encontrar as possíveis consequências para o sistema e para o meio ambiente. Para componentes padrão como tanque, tubulação, válvula, bomba, medidor de vazão e assim por diante, os modos de falha seguem padrões gerais. No caso de uma válvula, por exemplo, os modos de falha podem incluir as seguintes condições:
Para um pipeline, os modos de falha considerariam itens como:
Os efeitos dos vazamentos parecem óbvios, mas às vezes os efeitos mais importantes podem não ser os primeiros: o que acontece, por exemplo, se uma válvula travar na posição semi-aberta? Uma válvula on-off na linha de entrega que não abre completamente sob demanda irá atrasar o processo de enchimento do tanque, uma consequência não perigosa. Mas se a condição de “preso meio aberto” surgir ao mesmo tempo que uma solicitação de fechamento é feita, em um momento em que o tanque está quase cheio, pode ocorrer transbordamento (a menos que a válvula de fechamento de emergência seja ativada com sucesso). Em um sistema projetado e operado adequadamente, a probabilidade de ambas as válvulas ficarem presas simultaneamente será mantido bastante baixo.
Claramente, uma válvula de segurança não operando sob demanda pode significar um desastre; na verdade, pode-se afirmar com razão que falhas latentes estão constantemente ameaçando todos os dispositivos de segurança. Válvulas de alívio de pressão, por exemplo, podem estar com defeito devido a corrosão, sujeira ou pintura (normalmente devido a má manutenção), e no caso de gás líquido, tais defeitos em combinação com a queda de temperatura em um vazamento de gás podem produzir gelo e, assim, reduza ou talvez interrompa o fluxo de material através de uma válvula de segurança. Se uma válvula de alívio de pressão não operar sob demanda, a pressão pode aumentar em um tanque ou em sistemas de tanques conectados, eventualmente causando outros vazamentos ou ruptura do tanque.
Para simplificar, os instrumentos não são mostrados na figura 2; haverá naturalmente instrumentos relacionados com pressão, caudal e temperatura, que são parâmetros essenciais para a monitorização do estado do sistema, sendo os sinais relevantes transmitidos para consolas de operador ou para uma sala de controlo para fins de controlo e monitorização. Além disso, haverá outras linhas de abastecimento além das destinadas ao transporte de materiais - para eletricidade, hidráulica e outros - e dispositivos extras de segurança. Uma análise abrangente também deve passar por esses sistemas e procurar os modos de falha e efeitos desses componentes também. Em particular, o trabalho de detetive em efeitos de modo comum e caminhos furtivos requer a construção de uma imagem integral dos principais componentes do sistema, controles, instrumentos, suprimentos, operadores, horários de trabalho, manutenção e assim por diante.
Exemplos de efeitos de modo comum a serem considerados em conexão com sistemas de gás são abordados por questões como estas:
Mesmo um sistema excelentemente projetado com redundância e linhas de energia independentes pode sofrer de manutenção inferior, onde, por exemplo, uma válvula e sua válvula de backup (a válvula de fechamento de emergência em nosso caso) foram deixadas em um estado errado após um teste. Um efeito de modo comum proeminente com um sistema de manuseio de amônia é a própria situação de vazamento: um vazamento moderado pode tornar todas as operações manuais nos componentes da planta um tanto desajeitadas - e atrasadas - devido à implantação da proteção de emergência necessária.
Sumário
Os componentes de hardware raramente são as partes culpadas no desenvolvimento de acidentes; em vez disso, existem raiz dos problemas podem ser encontrados em outros elos da cadeia: conceitos errados, projetos ruins, erros de manutenção, erros de operadores, erros de gerenciamento e assim por diante. Vários exemplos de condições e atos específicos que podem levar ao desenvolvimento de falhas já foram dados; uma ampla coleção de tais agentes levaria em consideração o seguinte:
Controlar os riscos de hardware em um ambiente de trabalho requer a revisão de todas as possíveis causas e o respeito pelas condições consideradas críticas com os sistemas atuais. As implicações disso para a organização de programas de gerenciamento de risco são tratadas em outros artigos, mas, como a lista anterior indica claramente, o monitoramento e controle das condições de hardware podem ser necessários desde a escolha de conceitos e projetos para o sistemas e processos selecionados.
Através da industrialização, os trabalhadores se organizaram em fábricas, pois a utilização de fontes de energia como a máquina a vapor tornou-se possível. Em comparação com o artesanato tradicional, a produção mecanizada, com fontes de maior energia à sua disposição, apresentava novos riscos de acidentes. À medida que a quantidade de energia aumentava, os trabalhadores eram afastados do controle direto dessas energias. As decisões que afetavam a segurança eram muitas vezes tomadas no nível gerencial, e não por pessoas diretamente expostas a esses riscos. Nesta fase da industrialização, tornou-se evidente a necessidade da gestão da segurança.
No final da década de 1920, Heinrich formulou a primeira estrutura teórica abrangente para a gestão da segurança, segundo a qual a segurança deveria ser buscada por meio de decisões gerenciais baseadas na identificação e análise das causas dos acidentes. Neste ponto do desenvolvimento da gestão da segurança, os acidentes foram atribuídos a falhas no nível do sistema trabalhador-máquina - isto é, a atos inseguros e condições inseguras.
Posteriormente, foram desenvolvidas várias metodologias para a identificação e avaliação dos riscos de acidentes. Com o MORT (Supervisão Gerencial e Árvore de Riscos), o foco passou para as ordens superiores de controle dos riscos de acidentes, ou seja, para o controle das condições no nível gerencial. A iniciativa de desenvolver o MORT foi tomada no final dos anos 1960 pela Administração de Pesquisa e Desenvolvimento de Energia dos EUA, que queria melhorar seus programas de segurança para reduzir suas perdas devido a acidentes.
O Diagrama MORT e os Princípios Subjacentes
A intenção do MORT era formular um sistema de gerenciamento de segurança ideal baseado em uma síntese dos melhores elementos de programa de segurança e técnicas de gerenciamento de segurança então disponíveis. À medida que os princípios subjacentes à iniciativa MORT foram aplicados ao estado da arte contemporâneo em gerenciamento de segurança, a literatura e a experiência em segurança, em grande parte não estruturada, assumiram a forma de uma árvore analítica. A primeira versão da árvore foi publicada em 1971. A Figura 1 mostra os elementos básicos da versão da árvore publicada por Johnson em 1980. A árvore também aparece de forma modificada em publicações posteriores sobre o assunto do conceito MORT ( ver, por exemplo, Knox e Eicher 1992).
Figura 1. Uma versão da árvore analítica MORT
O Diagrama MORT
O MORT é usado como uma ferramenta prática em investigações de acidentes e em avaliações de programas de segurança existentes. O evento de topo da árvore da figura 1 (Johnson 1980) representa as perdas (experimentadas ou potenciais) devido a um acidente. Abaixo deste evento principal estão três ramos principais: omissões e omissões específicas (S), omissões e omissões de gestão (M) e riscos assumidos (R). o ramo R consiste em riscos assumidos, que são eventos e condições de conhecimento da administração e que foram avaliados e aceitos pelo nível gerencial adequado. Outros eventos e condições que são revelados através das avaliações após os ramos S e M são denotados como “menos que adequados” (LTA).
A ramo S concentra-se nos eventos e condições da ocorrência real ou potencial. (Em geral, o tempo é mostrado conforme se lê da esquerda para a direita, e a sequência de causas é mostrada como se lê de baixo para cima.) As estratégias de Haddon (1980) para a prevenção de acidentes são elementos-chave neste ramo. Um evento é denotado como acidente quando um alvo (uma pessoa ou objeto) é exposto a uma transferência descontrolada de energia e sofre danos. No ramal S do MORT, os acidentes são evitados por meio de barreiras. Existem três tipos básicos de barreiras: (1) barreiras que cercam e confinam a fonte de energia (o perigo), (2) barreiras que protegem o alvo e (3) barreiras que separam o perigo e o alvo fisicamente ou no tempo ou no espaço . Esses diferentes tipos de barreiras são encontrados no desenvolvimento dos ramos abaixo do evento acidental. Melhoria refere-se às ações tomadas após o acidente para limitar as perdas.
No próximo nível do ramo S, são reconhecidos os fatores que se relacionam com as diferentes fases do ciclo de vida de um sistema industrial. São elas a fase de projeto (desenho e planejamento), start up (prontidão operacional) e operação (supervisão e manutenção).
A ramificação M oferece suporte a um processo no qual descobertas específicas de uma investigação de acidente ou avaliação de programa de segurança são feitas de forma mais geral. Eventos e condições da ramificação S geralmente têm suas contrapartes na ramificação M. Quando engajado com o sistema na agência M, o pensamento do analista é expandido para o sistema de gestão total. Assim, quaisquer recomendações afetarão também muitos outros cenários de acidentes possíveis. As funções de gerenciamento de segurança mais importantes podem ser encontradas no ramo M: definição de política, implementação e acompanhamento. Esses são os mesmos elementos básicos que encontramos nos princípios de garantia de qualidade da série ISO 9000 publicados pela Organização Internacional de Padronização (ISO).
Quando os ramos do diagrama MORT são elaborados em detalhe, existem elementos de campos tão diferentes como análise de risco, análise de fatores humanos, sistemas de informação de segurança e análise organizacional. No total, cerca de 1,500 eventos básicos são cobertos pelo diagrama MORT.
Aplicação do Diagrama MORT
Conforme indicado, o diagrama MORT tem dois usos imediatos (Knox e Eicher 1992): (1) para analisar fatores gerenciais e organizacionais relativos a um acidente ocorrido e (2) para avaliar ou auditar um programa de segurança em relação a um acidente significativo que tem potencial para acontecer. O diagrama MORT funciona como uma ferramenta de triagem no planejamento das análises e avaliações. Também é utilizado como um checklist para comparação das condições reais com o sistema idealizado. Nesta aplicação, o MORT facilita a verificação da integridade da análise e evita vieses pessoais.
No fundo, o MORT é composto por uma coleção de perguntas. Critérios que orientam julgamentos sobre se eventos e condições específicas são satisfatórios ou menos do que adequados são derivados dessas questões. Apesar do desenho diretivo das questões, os julgamentos feitos pelo analista são em parte subjetivos. Tornou-se assim importante garantir uma adequada qualidade e grau de intersubjetividade entre as análises MORT feitas por diferentes analistas. Por exemplo, nos Estados Unidos, um programa de treinamento está disponível para certificação de analistas de MORT.
Experiências com MORT
A literatura sobre avaliações de MORT é escassa. Johnson relata melhorias significativas na abrangência das investigações de acidentes após a introdução do MORT (Johnson 1980). As deficiências nos níveis de supervisão e gestão foram reveladas de forma mais sistemática. A experiência também foi adquirida com avaliações de aplicações MORT dentro da indústria finlandesa (Ruuhilehto 1993). Algumas limitações foram identificadas nos estudos finlandeses. O MORT não suporta a identificação de riscos imediatos devido a falhas e perturbações. Além disso, nenhuma capacidade de estabelecer prioridades é incorporada ao conceito MORT. Consequentemente, os resultados das análises MORT precisam de uma avaliação mais aprofundada para traduzi-los em ações corretivas. Finalmente, a experiência mostra que o MORT é demorado e requer a participação de especialistas.
Além de sua capacidade de se concentrar em fatores organizacionais e de gerenciamento, o MORT tem a vantagem adicional de conectar a segurança com atividades normais de produção e gerenciamento geral. A aplicação do MORT apoiará o planejamento e controle geral e também ajudará a reduzir a frequência dos distúrbios de produção.
Métodos e técnicas de gerenciamento de segurança associados
Com a introdução do conceito MORT no início dos anos 1970, um programa de desenvolvimento começou nos Estados Unidos. O ponto focal desse programa tem sido o Centro de Desenvolvimento de Segurança do Sistema em Idaho Falls. Diferentes métodos e técnicas associados ao MORT em áreas como análise de fatores humanos, sistemas de informação de segurança e análise de segurança resultaram deste programa. Um dos primeiros exemplos de um método surgido do programa de desenvolvimento MORT é o Programa de Prontidão Operacional (Nertney 1975). Este programa é introduzido durante o desenvolvimento de novos sistemas industriais e modificações dos existentes. O objetivo é garantir que, do ponto de vista da gestão de segurança, o sistema novo ou modificado esteja pronto no momento da inicialização. Uma condição de prontidão operacional pressupõe que as barreiras e controles necessários tenham sido instalados no hardware, pessoal e procedimentos do novo sistema. Outro exemplo de um elemento de programa MORT é a análise de causa raiz baseada em MORT (Cornelison 1989). É usado para identificar os problemas básicos de gerenciamento de segurança de uma organização. Isso é feito relacionando as descobertas específicas das análises MORT a 27 diferentes problemas genéricos de gerenciamento de segurança.
Embora o MORT não se destine a ser usado diretamente na coleta de informações durante investigações de acidentes e auditorias de segurança, na Escandinávia, as perguntas do MORT serviram de base para o desenvolvimento de uma ferramenta de diagnóstico utilizada para esse fim. É chamada de Técnica de Revisão de Gestão e Organização de Segurança, ou SMORT (Kjellén e Tinmannsvik 1989). Uma análise SMORT avança para trás em etapas, começando na situação específica e terminando no nível de gerenciamento geral. O ponto de partida (nível 1) é uma sequência de acidente ou uma situação de risco. No nível 2, são examinados a organização, o planejamento do sistema e os fatores técnicos relacionados à operação diária. Os níveis subseqüentes incluem o projeto de novos sistemas (nível 3) e funções gerenciais superiores (nível 4). As descobertas em um nível são estendidas aos níveis acima. Por exemplo, os resultados relacionados à sequência de acidentes e às operações diárias são utilizados na análise da organização da empresa e das rotinas de trabalho do projeto (nível 3). Os resultados no nível 3 não afetarão a segurança nas operações existentes, mas podem ser aplicados ao planejamento de novos sistemas e modificações. O SMORT também difere do MORT na forma como os achados são identificados. No nível 1, esses são eventos e condições observáveis que se desviam das normas geralmente aceitas. Quando os fatores organizacionais e gerenciais são trazidos para a análise nos níveis 2 a 4, os resultados são identificados por meio de julgamentos de valor feitos por um grupo de análise e verificados por meio de um procedimento de controle de qualidade. O objetivo é garantir uma compreensão mutuamente compartilhada dos problemas organizacionais.
Sumário
O MORT tem sido fundamental para o desenvolvimento da gestão de segurança desde a década de 1970. É possível rastrear a influência do MORT em áreas como literatura de pesquisa de segurança, literatura sobre gerenciamento de segurança e ferramentas de auditoria e legislação sobre autorregulação e controle interno. Apesar desse impacto, suas limitações devem ser cuidadosamente consideradas. O MORT e os métodos associados são normativos no sentido de que prescrevem como os programas de gerenciamento de segurança devem ser organizados e executados. O ideal é uma organização bem estruturada com objetivos claros e realistas e linhas de responsabilidade e autoridade bem definidas. O MORT é, portanto, mais adequado para organizações grandes e burocráticas.
Sistemas de inspeção
A auditoria foi definida como “o processo estruturado de coleta de informações independentes sobre a eficiência, eficácia e confiabilidade do sistema de gerenciamento de segurança total e elaboração de planos para ação corretiva” (Successful Health & Safety Management, 1991).
A inspeção do local de trabalho, portanto, não é apenas o estágio final na criação de um programa de gerenciamento de segurança, mas também um processo contínuo em sua manutenção. Só pode ser conduzido onde um sistema de gerenciamento de segurança devidamente planejado foi estabelecido. Tal sistema primeiro prevê uma declaração de política formal da administração estabelecendo seus princípios para criar um ambiente de trabalho saudável e seguro e, em seguida, estabelece os mecanismos e as estruturas dentro da organização por meio das quais esses princípios serão efetivamente implementados. A gestão deve ainda estar empenhada em fornecer recursos adequados, tanto humanos como financeiros, para apoiar os mecanismos e estruturas do sistema. A partir daí, deve haver um planejamento detalhado de segurança e saúde e a definição de metas mensuráveis. Os sistemas devem ser planejados para garantir que o desempenho de segurança e saúde na prática possa ser medido em relação às normas estabelecidas e às conquistas anteriores. Somente quando essa estrutura estiver instalada e funcionando, um sistema eficaz de auditoria de gestão poderá ser aplicado.
Sistemas completos de gerenciamento de segurança e saúde podem ser concebidos, produzidos e implementados a partir dos recursos de grandes empresas. Além disso, existem vários sistemas de controle de gerenciamento de segurança disponíveis em consultores, seguradoras, órgãos governamentais, associações e empresas especializadas. Cabe à empresa decidir se deve produzir seu próprio sistema ou contratar serviços externos. Ambas as alternativas são capazes de produzir excelentes resultados se houver um compromisso genuíno da administração em aplicá-las diligentemente e fazê-las funcionar. Mas, para seu sucesso, eles dependem muito da qualidade do sistema de auditoria.
Inspeções de gestão
O procedimento de fiscalização deve ser tão criterioso e objetivo quanto a fiscalização financeira da empresa. A fiscalização deve, em primeiro lugar, verificar se a declaração da política de segurança e saúde da empresa está devidamente refletida nas estruturas e mecanismos criados para a sua implementação; caso contrário, a fiscalização poderá recomendar a reavaliação da política fundamental ou sugerir ajustes ou alterações nas estruturas e mecanismos existentes. Um processo semelhante deve ser aplicado ao planejamento de segurança e saúde, à validade das normas de estabelecimento de metas e à medição do desempenho. Os resultados de qualquer inspeção devem ser considerados pela alta administração do empreendimento, e quaisquer correções devem ser endossadas e implementadas por essa autoridade.
Na prática, é indesejável e muitas vezes impraticável realizar uma inspeção completa de todos os recursos de um sistema e sua aplicação em todos os departamentos da empresa de uma só vez. Mais comumente, o procedimento de inspeção concentra-se em um recurso do sistema de gerenciamento de segurança total em toda a fábrica ou, alternativamente, na aplicação de todos os recursos em um departamento ou mesmo subdepartamento. Mas o objetivo é cobrir todas as funcionalidades em todos os departamentos durante um período acordado para validar os resultados.
Nesta medida, a inspecção da gestão deve ser considerada como um processo contínuo de vigilância. A necessidade de objetividade é claramente de considerável importância. Se as inspeções forem realizadas internamente, deve haver um procedimento de inspeção padronizado; as inspeções devem ser realizadas por pessoal devidamente treinado para esse fim; e os inspetores selecionados não devem avaliar os departamentos em que normalmente trabalham, nem devem avaliar qualquer outro trabalho em que tenham envolvimento pessoal. Onde a confiança é colocada em consultores, este problema é minimizado.
Muitas grandes empresas adotaram esse tipo de sistema, concebido internamente ou obtido como um esquema proprietário. Quando os sistemas forem cuidadosamente seguidos desde a declaração de política até a inspeção, feedback e ações corretivas, deve ocorrer uma redução substancial nas taxas de acidentes, que é a principal justificativa para o procedimento, e aumento da lucratividade, que é um resultado secundário bem-vindo.
Inspeções por Inspetores
O quadro jurídico destinado a proteger as pessoas no trabalho deve ser devidamente administrado e aplicado de forma eficaz para que o objetivo da legislação reguladora seja alcançado. A maioria dos países adotou, portanto, o modelo amplo de um serviço de inspeção que tem o dever de garantir o cumprimento da legislação de segurança e saúde. Muitos países consideram as questões de segurança e saúde como parte de um pacote completo de relações trabalhistas, abrangendo relações trabalhistas, salários e acordos de férias e benefícios sociais. Neste modelo, as inspeções de segurança e saúde fazem parte das atribuições do inspetor do trabalho. Existe também um modelo diferente em que a inspeção estadual se preocupa exclusivamente com a legislação de segurança e saúde, de modo que as inspeções do trabalho se concentram apenas nesse aspecto. Outras variações são evidentes na divisão das funções de inspeção entre uma inspeção nacional ou uma inspeção regional/provincial, ou mesmo, como na Itália e no Reino Unido, por exemplo, como uma combinação de trabalho de ambas as inspeções, nacional e regional. Mas qualquer que seja o modelo adotado, a função essencial da inspeção é determinar o cumprimento da legislação por meio de um programa de inspeções e investigações planejadas no local de trabalho.
Não pode haver um sistema de inspeção eficaz, a menos que aqueles que realizam esse trabalho recebam poderes adequados para realizá-lo. Há muitos pontos em comum entre os serviços de inspeção no que diz respeito aos poderes conferidos a eles por seus legisladores. Deve existir sempre o direito de entrada nas instalações, o que é claramente fundamental para a fiscalização. A partir daí, existe o direito legal de examinar documentos, registros e relatórios relevantes, entrevistar membros da força de trabalho individual ou coletivamente, ter acesso irrestrito a representantes sindicais no local de trabalho, colher amostras de substâncias ou materiais em uso no local de trabalho , tirar fotografias e, se for o caso, recolher declarações escritas das pessoas que trabalham nas instalações.
Com frequência, são fornecidos poderes adicionais para permitir que os inspetores corrijam condições que possam ser uma fonte imediata de perigo ou problemas de saúde para a força de trabalho. Novamente, há uma grande variedade de práticas. Quando os padrões são tão ruins que há um risco iminente de perigo para a força de trabalho, um inspetor pode ser autorizado a entregar um documento legal no local proibindo o uso da máquina ou planta ou interrompendo o processo até que o risco tenha sido efetivamente eliminado. controlada. Para uma ordem de risco menor, os inspetores podem emitir um aviso legal exigindo formalmente que medidas sejam tomadas dentro de um determinado prazo para melhorar os padrões. Estas são formas eficazes de melhorar rapidamente as condições de trabalho e muitas vezes são uma forma de execução preferível a processos judiciais formais, que podem ser complicados e lentos para garantir a reparação.
Os processos judiciais ocupam um lugar importante na hierarquia da execução. Há um argumento de que, como os processos judiciais são simplesmente punitivos e não resultam necessariamente em mudanças de atitudes em relação à segurança e saúde no trabalho, eles devem, portanto, ser invocados apenas como último recurso quando todas as outras tentativas de garantir melhorias falharam. Mas essa visão deve ser contraposta ao fato de que, onde os requisitos legais foram ignorados ou desconsiderados, e onde a segurança e a saúde das pessoas foram colocadas em risco significativo, a lei deve ser aplicada e os tribunais devem decidir a questão. Há ainda o argumento de que as empresas que desrespeitam a legislação de segurança e saúde podem, assim, usufruir de uma vantagem econômica sobre seus concorrentes, que fornecem recursos adequados para cumprir seus deveres legais. A perseguição daqueles que persistentemente descumprem seus deveres é, portanto, um dissuasor para os inescrupulosos e um encorajamento para aqueles que tentam observar a lei.
Cada serviço de inspeção deve determinar o equilíbrio adequado entre fornecer aconselhamento e fazer cumprir a lei no decorrer do trabalho de inspeção. Uma dificuldade especial surge em conexão com a inspeção de pequenas empresas. As economias locais e, na verdade, as economias nacionais são muitas vezes sustentadas por instalações industriais, cada uma empregando menos de 20 pessoas; no caso da agricultura, o valor do emprego por unidade é muito menor. A função da inspeção nesses casos é usar a inspeção do local de trabalho para fornecer informações e aconselhamento não apenas sobre requisitos legais, mas também sobre padrões práticos e formas eficazes de cumprir esses padrões. A técnica deve ser encorajar e estimular, ao invés de aplicar imediatamente a lei por meio de ações punitivas. Mas mesmo aqui o equilíbrio é difícil. As pessoas no trabalho têm direito a normas de segurança e saúde independentemente da dimensão da empresa, pelo que seria totalmente errado que um serviço de fiscalização ignorasse ou minimizasse os riscos e limitasse ou mesmo renunciasse à sua aplicação apenas para alimentar a existência dos economicamente frágeis pequena empresa.
Consistência das inspeções
Tendo em vista a natureza complexa de seu trabalho - com suas necessidades combinadas de habilidades jurídicas, prudenciais, técnicas e científicas, os inspetores não adotam - na verdade não deveriam - adotar uma abordagem mecanicista da inspeção. Este constrangimento, aliado a um difícil equilíbrio entre as funções consultiva e fiscalizadora, gera ainda outra preocupação, a da consistência dos serviços de fiscalização. Os industriais e os sindicatos têm o direito de esperar uma aplicação consistente das normas, sejam elas técnicas ou legais, por parte dos inspetores em todo o país. Na prática, isso nem sempre é fácil de conseguir, mas é algo pelo qual as autoridades responsáveis devem sempre se empenhar.
Existem maneiras de alcançar uma consistência aceitável. Em primeiro lugar, a inspeção deve ser tão aberta quanto possível na publicação de seus padrões técnicos e na definição pública de suas políticas de fiscalização. Em segundo lugar, por meio de treinamento, aplicação de exercícios de revisão por pares e instruções internas, ela deve ser capaz de reconhecer um problema e fornecer sistemas para lidar com ele. Por último, deve assegurar a existência de procedimentos para que a indústria, a força de trabalho, o público e os parceiros sociais assegurem reparação caso tenham uma reclamação legítima sobre incoerência ou outras formas de má administração associadas à inspeção.
Frequência de Inspeções
Com que frequência as inspeções devem realizar inspeções no local de trabalho? Novamente, há uma variação considerável na maneira como essa pergunta pode ser respondida. A Organização Internacional do Trabalho (OIT) considera que o requisito mínimo deve ser que todos os locais de trabalho sejam inspecionados pelas autoridades competentes pelo menos uma vez por ano. Na prática, poucos países conseguem produzir um programa de inspeção do trabalho que atenda a esse objetivo. De fato, desde a grande depressão econômica no final da década de 1980, alguns governos têm restringido os serviços de inspeção por meio de limitações orçamentárias que resultam em cortes no número de inspetores ou por restrições ao recrutamento de novos funcionários para substituir aqueles que se aposentam.
Existem diferentes abordagens para determinar com que frequência as inspeções devem ser feitas. Uma abordagem tem sido puramente cíclica. Os recursos são implantados para fornecer inspeção de todas as instalações a cada 2 anos ou, mais provavelmente, a cada 4 anos. Mas esta abordagem, embora possivelmente tenha a aparência de equidade, trata todas as premissas como iguais, independentemente do tamanho ou risco. No entanto, as empresas são manifestamente diversas no que diz respeito às condições de segurança e saúde e, na medida em que diferem, este sistema pode ser considerado mecanicista e falho.
Uma abordagem diferente, adotada por algumas inspeções, tem sido tentar elaborar um programa de trabalho baseado no risco; quanto maior for o perigo para a segurança ou para a saúde, mais frequente será a inspeção. Assim, os recursos são aplicados pela fiscalização naqueles locais onde o potencial de danos à força de trabalho é maior. Embora esta abordagem tenha méritos, ainda existem problemas consideráveis associados a ela. Primeiro, há dificuldades em avaliar de forma precisa e objetiva os perigos e riscos. Em segundo lugar, estende consideravelmente os intervalos entre as inspeções das instalações onde os perigos e riscos são considerados baixos. Portanto, podem transcorrer longos períodos durante os quais muitos dos trabalhadores podem ter que abrir mão daquela sensação de segurança e segurança que a inspeção pode proporcionar. Além disso, o sistema tende a presumir que perigos e riscos, uma vez avaliados, não mudam radicalmente. Isso está longe de ser o caso, e existe o perigo de que uma empresa de baixa classificação possa mudar ou desenvolver sua produção de forma a aumentar os perigos e riscos sem que a inspeção esteja ciente do desenvolvimento.
Outras abordagens incluem inspeções com base nas taxas de lesões nas instalações que são mais altas do que as médias nacionais para o setor específico ou imediatamente após uma lesão fatal ou uma grande catástrofe. Não há respostas curtas e fáceis para o problema de determinar a frequência das inspeções, mas o que parece estar acontecendo é que os serviços de inspeção em muitos países têm muitos recursos insuficientes, com o resultado de que a proteção real à força de trabalho oferecida por o serviço está sendo progressivamente corroído.
Metas de Inspeção
As técnicas de inspeção no local de trabalho variam de acordo com o porte e a complexidade do empreendimento. Em empresas menores, a inspeção será abrangente e avaliará todos os perigos e até que ponto os riscos decorrentes dos perigos foram minimizados. A inspeção garantirá, portanto, que o empregador esteja totalmente ciente dos problemas de segurança e saúde e receba orientações práticas sobre como resolvê-los. Mas, mesmo na menor empresa, a inspeção não deve dar a impressão de que a detecção de falhas e a aplicação de remédios adequados são funções da inspeção e não do empregador. Os empregadores devem ser incentivados pela inspeção a controlar e gerenciar com eficácia os problemas de segurança e saúde, e não devem abdicar de suas responsabilidades aguardando uma inspeção das autoridades de fiscalização antes de tomar as medidas necessárias.
Em empresas maiores, a ênfase da inspeção é bem diferente. Essas empresas dispõem de recursos técnicos e financeiros para lidar com problemas de segurança e saúde. Eles devem criar sistemas de gerenciamento eficazes para resolver os problemas, bem como procedimentos de gerenciamento para verificar se os sistemas estão funcionando. Nestas circunstâncias, a ênfase da inspeção deve, portanto, ser na verificação e validação dos sistemas de controle de gestão existentes no local de trabalho. A inspeção não deve, portanto, ser um exame exaustivo de todos os itens de instalações e equipamentos para determinar sua segurança, mas sim usar exemplos selecionados para testar a eficácia ou não dos sistemas de gestão para garantir a segurança e a saúde no trabalho.
Envolvimento dos Trabalhadores nas Inspeções
Quaisquer que sejam as instalações, um elemento crítico em qualquer tipo de inspeção é o contato com a força de trabalho. Em muitas instalações menores, pode não haver nenhuma estrutura sindical formal ou mesmo qualquer organização de força de trabalho. No entanto, para garantir a objetividade e aceitação do serviço de inspeção, o contato com trabalhadores individuais deve ser parte integrante da inspeção. Em empresas maiores, o contato deve ser sempre feito com sindicatos ou outros representantes reconhecidos dos trabalhadores. A legislação em alguns países (Suécia e Reino Unido, por exemplo) dá reconhecimento oficial e poderes aos representantes sindicais de segurança, incluindo o direito de fazer inspeções no local de trabalho, investigar acidentes e ocorrências perigosas e em alguns países (embora isso seja excepcional) pare o maquinário da planta ou o processo de produção se for iminentemente perigoso. Destes contactos com os trabalhadores podem retirar-se muitas informações úteis, que devem constar de todas as inspecções e, certamente, sempre que a inspecção efectuar uma inspecção na sequência de um acidente ou reclamação.
Resultados da inspeção
O elemento final em uma inspeção é revisar os resultados da inspeção com o membro mais sênior da administração no local. A administração tem a responsabilidade principal de cumprir os requisitos legais de segurança e saúde e, portanto, nenhuma inspeção deve ser completa sem que a administração esteja totalmente ciente de até que ponto cumpriu essas obrigações e o que precisa ser feito para garantir e manter os padrões adequados . Certamente, se quaisquer avisos legais forem emitidos como resultado de uma inspeção, ou se for provável um processo legal, a alta administração deve estar ciente desse estado de coisas o mais cedo possível.
Inspeções da empresa
As inspeções da empresa são um ingrediente importante na manutenção de padrões sólidos de segurança e saúde no trabalho. São adequados a todas as empresas e, nas empresas de maior dimensão, podem constituir um elemento do procedimento de fiscalização da gestão. Para empresas menores, é essencial adotar alguma forma de inspeção regular da empresa. Não se deve confiar nos serviços de inspeção prestados pelas inspeções das autoridades de execução. Estes são geralmente muito pouco frequentes e devem servir em grande parte como um estímulo para melhorar ou manter os padrões, em vez de ser a fonte primária para avaliar os padrões. As inspeções nas empresas podem ser realizadas por consultores ou por empresas especializadas neste trabalho, mas a discussão atual se concentrará na inspeção pelo próprio pessoal da empresa.
Com que frequência devem ser feitas as inspeções da empresa? Até certo ponto, a resposta depende dos riscos associados ao trabalho e à complexidade da planta. Mas mesmo em instalações de baixo risco deve haver alguma forma de inspeção regular (mensal, trimestral, etc.). Se a empresa emprega um profissional de segurança, então claramente a organização e a condução da inspeção devem ser uma parte importante dessa função. A inspeção geralmente deve ser um esforço de equipe envolvendo o profissional de segurança, o gerente de departamento ou capataz e um representante sindical ou um trabalhador qualificado, como um membro do comitê de segurança. A inspeção deve ser abrangente; ou seja, deve ser feito um exame minucioso tanto do software de segurança (por exemplo, sistemas, procedimentos e autorizações de trabalho) quanto do hardware (por exemplo, proteção de máquinas, equipamentos de combate a incêndio, ventilação de exaustão e equipamentos de proteção individual). Atenção especial deve ser dada a “quase acidentes” - aqueles incidentes que não resultam em danos ou ferimentos pessoais, mas que têm o potencial iminente de ferimentos acidentais graves. Existe a expectativa de que após um acidente que resulte em afastamento do trabalho, a equipe de fiscalização seja imediatamente convocada para apurar as circunstâncias, por se tratar de assunto alheio ao ciclo normal de fiscalização. Mas, mesmo durante a inspeção de rotina da oficina, a equipe também deve considerar a extensão dos ferimentos acidentais leves ocorridos no departamento desde a inspeção anterior.
É importante que as inspeções da empresa não pareçam consistentemente negativas. Onde existam falhas é importante que sejam identificadas e corrigidas, mas é igualmente importante elogiar a manutenção de bons padrões, comentar positivamente sobre a arrumação e boa limpeza e reforçar pelo incentivo aqueles que usam equipamentos de proteção individual fornecidos para sua segurança . Para concluir a inspeção, um relatório formal por escrito deve ser feito das deficiências significativas encontradas. Particular atenção deve ser dada às deficiências identificadas em inspeções anteriores, mas ainda não corrigidas. Nos casos em que exista um conselho de segurança do trabalho ou um comitê de segurança misto entre gestores e trabalhadores, o relatório da inspeção deve constar como item permanente da ordem do dia do conselho. O relatório da inspeção deve ser enviado e discutido com a alta administração da empresa, que deve então determinar se a ação é necessária e, em caso afirmativo, autorizar e apoiar tal ação.
Mesmo as empresas menores, onde não há profissional de segurança e onde podem não existir sindicatos, devem considerar as inspeções da empresa. Muitas inspeções produziram diretrizes muito simples que ilustram os conceitos básicos de segurança e saúde, sua aplicação a uma variedade de setores e formas práticas de aplicá-los até mesmo nas menores empresas. Muitas associações de segurança visam especificamente pequenas empresas com publicações (muitas vezes gratuitas) que fornecem as informações básicas para estabelecer condições de trabalho seguras e saudáveis. Armado com esse tipo de informação e gastando muito pouco tempo, o proprietário de uma pequena empresa pode estabelecer padrões razoáveis e, assim, talvez evitar o tipo de acidentes que podem acontecer com a força de trabalho, mesmo na menor empresa.
É um paradoxo que a prevenção de acidentes de trabalho não tenha surgido muito cedo como uma necessidade absoluta, já que a saúde e a segurança são fundamentais para o próprio trabalho. De facto, só no início do século XX é que os acidentes de trabalho deixaram de ser considerados inevitáveis e a sua causa passou a ser objeto de investigação e base para a prevenção. No entanto, a investigação de acidentes permaneceu por muito tempo superficial e empírica. Historicamente, os acidentes foram inicialmente concebidos como fenômenos simples – isto é, como resultado de uma única (ou principal) causa e um pequeno número de causas subsidiárias. É hoje reconhecido que a investigação de acidentes, que visa identificar as causas do fenómeno de modo a evitar a sua reincidência, depende tanto do conceito subjacente ao processo de investigação como da complexidade da situação a que se aplica.
Causas de Acidentes
É verdade que, nas situações mais precárias, os acidentes são muitas vezes o resultado de uma sequência bastante simples de algumas causas que podem ser rapidamente atribuídas a problemas técnicos básicos que mesmo uma análise sumária pode revelar (equipamentos mal concebidos, métodos de trabalho indefinidos, etc). Por outro lado, quanto mais os elementos materiais do trabalho (máquinas, instalações, disposição do local de trabalho, etc.) estiverem em conformidade com os requisitos de procedimentos, normas e regulamentos de trabalho seguro, mais segura se torna a situação de trabalho. O resultado é que um acidente só pode ocorrer quando um grupo de condições excepcionais está presente simultaneamente - condições que estão se tornando cada vez mais numerosas. Nesses casos, a lesão ou dano aparece como resultado final de uma rede de causas frequentemente complexa. Essa complexidade é, na verdade, uma evidência de progresso na prevenção e requer métodos apropriados de investigação. A Tabela 1 lista os principais conceitos do fenômeno acidente, suas características e implicações para a prevenção.
Tabela 1. Principais conceitos do fenômeno acidente, suas características e implicações para a prevenção
Conceito ou “fenômeno de acidente” |
Elementos significativos (objetivos, procedimentos, limites, etc.) |
Principais consequências para a prevenção |
Conceito básico (acidente como |
O objetivo é identificar “a” causa única ou principal |
Medidas simples de prevenção relativas ao antecedente imediato da lesão (proteção individual, instruções sobre cuidados, proteção de máquinas perigosas) |
Conceito focado em medidas regulatórias |
Concentre-se em procurar quem é o responsável; o “inquérito” identifica essencialmente infrações e faltas Raramente preocupado com as condições geradoras das situações examinadas |
Prevenção geralmente limitada a lembretes sobre requisitos regulatórios existentes ou instruções formais |
Conceito linear (ou quase linear) (modelo “dominó”) |
Identificação de uma sucessão cronológica de “condições perigosas” e “atos perigosos” |
Conclusões geralmente preocupadas com os atos perigosos |
conceito multifatorial |
Pesquisa exaustiva para reunir os fatos (circunstâncias, causas, fatores, etc.) |
Conceito pouco propício à busca de soluções caso a caso (análise clínica) e mais adequado à identificação de aspectos estatísticos (tendências, tabelas, gráficos, etc.) |
conceito sistemático |
Identificação da rede de fatores de cada acidente |
Métodos centrados na análise clínica |
Atualmente, o acidente de trabalho é geralmente visto como um índice (ou sintoma) de disfunção em um sistema constituído por uma única unidade produtiva, como uma fábrica, oficina, equipe ou posto de trabalho. É da natureza de um sistema que sua análise exija que o investigador examine não apenas os elementos que compõem o sistema, mas também suas relações entre si e com o ambiente de trabalho. No âmbito de um sistema, a investigação de acidentes procura rastrear até suas origens a seqüência de disfunções básicas que resultaram no acidente e, de forma mais geral, a rede de antecedentes do evento indesejado (acidente, quase acidente ou incidente).
A aplicação de métodos deste tipo, como o método STEP (procedimentos de plotagem de eventos temporizados sequencialmente) e o método de “árvore de causas” (semelhante à análise de árvores de falhas ou eventos), permite que o processo de acidente seja visualizado na forma de um gráfico ajustado que ilustra a multicausalidade do fenômeno. Como esses dois métodos são muito semelhantes, representaria uma duplicação de esforços para descrevê-los; portanto, este artigo concentra-se no método da árvore de causas e, quando aplicável, observa suas principais diferenças em relação ao método STEP.
Informações Úteis para a Investigação
A fase inicial da investigação, a recolha de informação, deve permitir que a evolução do acidente seja descrita de forma concreta, precisa e objectiva. A investigação visa, assim, apurar os factos tangíveis, tendo o cuidado de não os interpretar ou opinar sobre eles. Estes são os antecedentes do acidente, dos quais existem dois tipos:
Por exemplo, a proteção insuficiente de uma máquina (antecedente permanente) pode se tornar um fator de acidente se permitir que o operador se posicione em uma área perigosa para lidar com um incidente específico (antecedente incomum).
A coleta de informações é realizada no próprio local do acidente o mais rápido possível após sua ocorrência. É preferencialmente realizado por pessoas que conheçam a operação ou processo e que procurem obter uma descrição precisa do trabalho sem se limitarem às circunstâncias imediatas do dano ou lesão. A investigação é inicialmente realizada principalmente por meio de entrevistas, se possível com o trabalhador ou operador, vítimas e testemunhas oculares, outros membros da equipe de trabalho e os supervisores hierárquicos. Se apropriado, é concluído por meio de uma investigação técnica e do uso de especialistas externos.
A investigação busca identificar, em ordem de prioridade, os antecedentes incomuns e determinar suas conexões lógicas. Ao mesmo tempo, faz-se um esforço para revelar os antecedentes permanentes que permitiram a ocorrência do acidente. Desta forma, a investigação é capaz de remontar a um estágio mais remoto do que os antecedentes imediatos do acidente. Esses antecedentes mais remotos podem dizer respeito aos indivíduos, suas tarefas, os equipamentos que utilizam, o ambiente em que atuam e a cultura de segurança. Procedendo da maneira que acabamos de descrever, geralmente é possível elaborar uma longa lista de antecedentes, mas geralmente será difícil fazer uso imediato dos dados. A interpretação dos dados é possível graças a uma representação gráfica de todos os antecedentes envolvidos na gênese do acidente, ou seja, uma árvore de causas.
Construindo uma Árvore de Causas
A árvore das causas apresenta todos os antecedentes recolhidos que deram origem ao acidente, bem como os vínculos lógicos e cronológicos que os ligam; é uma representação da rede de antecedentes que direta ou indiretamente causaram a lesão. A árvore de causas é construída a partir do ponto final do evento - ou seja, a lesão ou dano - e trabalhando de trás para frente em direção à causa, fazendo sistematicamente as seguintes perguntas para cada antecedente que foi coletado:
Esse conjunto de perguntas pode revelar três tipos de conexão lógica, sintetizadas na figura 1, entre os antecedentes.
Figura 1. Links lógicos usados no método "árvore de causas"
A coerência lógica da árvore é verificada fazendo as seguintes perguntas para cada antecedente:
Além disso, a própria construção da árvore de causas induz os investigadores a prosseguir na coleta de informações e, portanto, na investigação, até um ponto bem anterior à ocorrência do acidente. Quando completada, a árvore representa a rede de antecedentes que deram origem à lesão – eles são, na verdade, os fatores do acidente. Como exemplo, o acidente resumido abaixo produziu a árvore de causas mostrada na figura 2.
Figura 2. Árvore de causas de acidente sofrido por aprendiz de mecânico ao remontar motor de carro
Relatório de resumo do acidente: Um aprendiz de mecânico, recém-contratado, teve que trabalhar sozinho em uma emergência. Uma eslinga gasta estava sendo usada para suspender um motor que precisava ser remontado, e durante esta operação a eslinga quebrou e o motor caiu e machucou o braço do mecânico.
Análise pelo Método STEP
De acordo com o método STEP (figura 3), cada evento é representado graficamente de modo a mostrar a ordem cronológica de seu aparecimento, mantendo uma linha por “agente” em questão (agente é a pessoa ou coisa que determina o curso dos eventos que constituem o processo de acidente). Cada evento é descrito com precisão, indicando seu início, duração, local de início e término e assim por diante. Quando existem várias hipóteses plausíveis, o investigador pode mostrá-las na rede de eventos usando a relação lógica “ou”.
Figura 3. Exemplo de representação possível pelo método STEP
Análise pelo Método da Árvore das Causas
A utilização da árvore de causas para fins de análise de acidentes tem dois objetivos:
Dada a estrutura lógica da árvore, a ausência de um único antecedente teria impedido a ocorrência do acidente. Uma medida de prevenção judiciosa bastaria, portanto, em princípio, para satisfazer o primeiro objetivo, evitando a reincidência do mesmo acidente. O segundo objetivo exigiria que todos os fatores descobertos fossem eliminados, mas na prática os antecedentes não são todos de igual importância para fins de prevenção. Portanto, é necessário elaborar uma lista de antecedentes que requerem uma ação preventiva razoável e realista. Se esta lista for longa, uma escolha deve ser feita. Esta escolha tem mais hipóteses de ser adequada se for feita no quadro de um debate entre os intervenientes no acidente. Além disso, o debate ganhará clareza na medida em que for possível avaliar o custo-efetividade de cada medida proposta.
Eficácia das Medidas Preventivas
A eficácia de uma medida preventiva pode ser julgada com a ajuda dos seguintes critérios:
A estabilidade da medida. Os efeitos de uma medida preventiva não devem desaparecer com o tempo: informar os operadores (nomeadamente, recordando-lhes as instruções) não é uma medida muito estável porque os seus efeitos são muitas vezes transitórios. O mesmo é válido para alguns dispositivos de proteção quando eles são facilmente removíveis.
A possibilidade de integrar a segurança. Quando uma medida de segurança é adicionada - ou seja, quando não contribui diretamente para a produção - diz-se que a segurança não está integrada. Sempre que assim é, observa-se que a medida tende a desaparecer. De um modo geral, deve-se evitar qualquer medida preventiva que implique um custo adicional para o operador, seja um custo fisiológico (aumento da carga física ou nervosa), um custo psicológico, um custo financeiro (no caso de salário ou produção) ou mesmo uma simples perda de tempo.
O não deslocamento do risco. Algumas medidas preventivas podem ter efeitos indiretos prejudiciais à segurança. Assim, é sempre necessário prever as possíveis repercussões de uma medida preventiva no sistema (emprego, equipa ou oficina) em que se insere.
A possibilidade de aplicação geral (a noção de potencial fator de acidente). Este critério reflete a preocupação de que a mesma ação preventiva possa ser aplicada a outros postos de trabalho que não aquele afetado pelo acidente em investigação. Sempre que possível, deve ser feito um esforço para ir além do caso particular que deu origem à investigação, esforço que muitas vezes exige uma reformulação dos problemas descobertos. A informação obtida a partir de um acidente pode assim conduzir a uma actuação preventiva relativamente a factores desconhecidos mas presentes noutras situações de trabalho onde ainda não originaram acidentes. Por isso são chamados de “fatores potenciais de acidentes”. Essa noção abre caminho para a detecção precoce dos riscos, mencionados mais adiante.
O efeito nas “causas” básicas. Como regra geral, a prevenção dos fatores acidentais próximos ao ponto de lesão elimina certos efeitos de situações perigosas, enquanto a prevenção atuando bem a montante da lesão tende a eliminar as próprias situações perigosas. Uma investigação aprofundada dos acidentes justifica-se na medida em que a ação preventiva se preocupa igualmente com os fatores a montante.
O tempo gasto para a aplicação. A necessidade de actuar o mais rapidamente possível após a ocorrência de um acidente de forma a evitar a sua repetição traduz-se muitas vezes na aplicação de uma simples medida preventiva (uma instrução, por exemplo), mas não elimina a necessidade de outras mais duradouras e ação mais eficaz. Cada acidente deve, portanto, dar origem a uma série de propostas cuja implementação é objecto de acompanhamento.
Os critérios acima visam dar uma melhor apreciação da qualidade da ação preventiva proposta após cada investigação de acidente. No entanto, a escolha final não é feita apenas com base nisso, pois outras considerações, como econômicas, culturais ou sociais, também devem ser levadas em consideração. Finalmente, as medidas decididas devem obviamente respeitar a regulamentação em vigor.
Fatores de acidente
As lições extraídas de cada análise de acidentes merecem ser registradas sistematicamente para facilitar a passagem do conhecimento à ação. Assim, a figura 4 consiste em três colunas. Na coluna da esquerda estão anotados os fatores acidentais que requerem medidas preventivas. A ação preventiva possível é descrita na coluna do meio para cada fator decidido. Após a discussão mencionada acima, a ação selecionada é registrada nesta parte do documento.
Figura 4. Lições tiradas de acidentes e o uso dessas lições
A coluna da direita cobre os fatores de acidentes potenciais sugeridos pelos fatores listados na coluna da esquerda: considera-se que cada fator de acidente descoberto é muitas vezes apenas um caso particular de um fator mais geral conhecido como fator de acidente potencial. A passagem do caso particular para o caso mais geral muitas vezes é feita de forma espontânea. No entanto, cada vez que um fator de acidente é expresso de tal forma que não é possível encontrá-lo em outro lugar senão na situação em que apareceu, uma formulação mais geral deve ser considerada. Ao fazer isso, é necessário evitar duas armadilhas opostas, de modo a utilizar a noção de potencial fator de acidente de forma eficaz na detecção precoce de riscos que surgem posteriormente. Uma formulação muito circunscrita não permite a detecção sistemática dos fatores, enquanto uma muito ampla torna a noção impraticável e não tem mais interesse prático. A detecção de potenciais fatores acidentais pressupõe, portanto, que sejam bem formulados. Esta detecção pode então ser realizada de duas formas, aliás complementares:
Utilidade, Eficácia e Limitações da Investigação de Acidentes
Utilidade. Em comparação com as investigações não sistemáticas, os métodos de investigação de acidentes baseados em um conceito sistemático têm inúmeras vantagens, que incluem as seguintes:
Eficácia. Para ser eficaz, a investigação de acidentes requer que quatro condições sejam satisfeitas simultaneamente:
Limitações. Mesmo quando muito bem conduzida, a investigação de acidentes sofre de uma dupla limitação:
A necessidade de relatar e compilar dados de acidentes
O objetivo principal de reunir e analisar dados de acidentes ocupacionais é fornecer conhecimento para uso na prevenção de lesões ocupacionais, fatalidades e outras formas de danos, como exposições tóxicas com efeitos de longo prazo. Esses dados também são úteis para avaliar as necessidades de compensação das vítimas por lesões sofridas anteriormente. Os propósitos adicionais e mais específicos para a compilação de estatísticas de acidentes incluem o seguinte:
Frequentemente, deseja-se uma visão geral do número de acidentes que ocorrem anualmente. Para o efeito, é frequentemente utilizada uma frequência, comparando o número de acidentes com uma medida relativa ao grupo de risco e expressa, por exemplo, em termos de acidentes por 100,000 trabalhadores ou por 100,000 horas de trabalho. Essas contagens anuais servem para revelar variações na taxa de acidentes de um ano para outro. No entanto, embora possam indicar os tipos de acidentes que requerem a ação preventiva mais urgente, por si só não fornecem orientação sobre a forma que essa ação deve assumir.
A necessidade de informações de acidentes pertence aos seguintes três níveis de função que fazem uso dela:
O Papel da Organização na Compilação de Informações de Acidentes
Em muitos países, é uma exigência legal que as empresas mantenham estatísticas de acidentes ocupacionais que resultem em lesões, fatalidades ou exposição tóxica a um trabalhador. O objetivo é geralmente chamar a atenção para os riscos que realmente levaram a esses tipos de acidentes, com atividades de segurança voltadas principalmente para o acidente em questão e o estudo do evento em si. No entanto, é mais comum que as informações de acidentes sejam coletadas e registradas de forma sistemática, uma função que normalmente é realizada em um nível superior.
Uma vez que as circunstâncias reais da maioria dos acidentes são especiais, acidentes totalmente idênticos raramente ocorrem, e a prevenção baseada na análise do acidente individual tende facilmente a se tornar um assunto altamente específico. Ao compilar sistematicamente informações sobre acidentes, é possível obter uma visão mais ampla das áreas onde riscos específicos podem ser encontrados e descobrir os fatores menos óbvios que contribuem para a causa do acidente. Processos de trabalho específicos, equipes de trabalho específicas ou trabalhos com máquinas específicas podem dar origem a acidentes altamente circunstanciais. No entanto, um estudo detalhado dos tipos de acidentes associados a uma determinada classe de trabalho uniforme pode revelar fatores como processos de trabalho inadequados, uso incorreto de materiais, condições difíceis de trabalho ou falta de instrução adequada do trabalhador. A análise de inúmeros acidentes recorrentes revelará os fatores fundamentais a serem enfrentados na hora de agir preventivamente.
Relatar informações de acidentes às autoridades de segurança
A legislação que exige a notificação de acidentes de trabalho varia muito de país para país, com diferenças principalmente relacionadas às classes de empregadores e outras a quem as leis se aplicam. Os países que dão ênfase significativa à segurança no local de trabalho geralmente exigem que os dados de acidentes sejam relatados à autoridade responsável por supervisionar o cumprimento da legislação de segurança. (Em alguns casos, a legislação exige a notificação de acidentes de trabalho que resultem em afastamento do trabalho, cuja duração varia de 1 a 3 dias além do dia do acidente.) Comum à maioria das legislações é o fato de a notificação estar vinculada com algum tipo de penalidade ou compensação pelas consequências dos acidentes.
Com o objetivo de fornecer uma base sólida para a prevenção de acidentes de trabalho, é necessário proteger as informações de acidentes pertencentes a todos os setores e a todos os tipos de negócios. Uma base de comparação deve ser fornecida em nível nacional para permitir a priorização da ação preventiva e para que o conhecimento dos riscos associados a tarefas em diferentes setores possa ser levado em consideração no trabalho preventivo. Recomenda-se, assim, que o dever de recolha de informação sobre acidentes de trabalho a nível nacional se aplique a todos os acidentes de trabalho de gravidade designada, quer se trate de trabalhadores por conta de outrem ou por conta própria, trabalhadores em regime de trabalho temporário ou assalariados regulares, ou trabalhadores dos setores público ou privado.
Embora os empregadores, em geral, tenham o dever de relatar os acidentes, é um dever cumprido com vários graus de entusiasmo. O grau de cumprimento da obrigação de comunicação de acidentes depende dos incentivos que levam o empregador a fazê-lo. Alguns países têm uma regra, por exemplo, segundo a qual os empregadores serão compensados pelo salário perdido de uma vítima de acidente, um acordo que lhes dá um bom motivo para relatar lesões ocupacionais. Outros países penalizam os empregadores que não relatam acidentes. Na ausência deste tipo de incentivos, nem sempre é observada a obrigação meramente legal que incumbe ao empregador. Recomenda-se ainda que as informações de acidentes de trabalho destinadas a aplicações preventivas sejam fornecidas à autoridade responsável pelas atividades preventivas, e sejam mantidas separadamente da autoridade compensatória.
Quais informações devem ser compiladas?
Existem três classes básicas de informações obtidas por meio do registro de acidentes:
É necessário compilar um certo complemento básico de dados para documentar adequadamente quando e onde ocorre um acidente e analisar como ele ocorre. No nível empresarial, os dados coletados são mais detalhados do que aqueles reunidos no nível nacional, mas os relatórios gerados no nível local conterão informações valiosas em todos os níveis. A Tabela 1 ilustra tipos específicos de informações que podem ser registradas por meio da descrição de um acidente individual. Os itens especialmente relevantes para a tarefa de elaboração das estatísticas relativas ao acidente são descritos mais detalhadamente a seguir.
Tabela 1. Variáveis informacionais que caracterizam um acidente
Opções |
Unid |
Passo 1 |
|
Atividade da vítima: por exemplo, operar uma máquina, realizar manutenção, dirigir, caminhar, etc. |
Componente relacionado à atividade da vítima: por exemplo, prensa de força, ferramenta, veículo, piso, etc. |
Passo 2 |
|
Ação desviante: por exemplo, explosão, falha estrutural, desarme, perda de controle de, etc. |
Componente relacionado à ação desviante: por exemplo, vaso de pressão, parede, cabo, veículo, máquina, ferramenta, etc. |
Passo 3 |
|
Ação que leva a lesão: por exemplo, atingido por, esmagado, preso, em contato com, mordido por, etc. |
Agente da lesão: por exemplo, tijolo, terra, máquina, etc. |
Número de identificação do acidente. Todos os acidentes de trabalho devem receber um número de identificação único. É especialmente vantajoso usar um identificador numérico para fins de arquivamento computadorizado e processamento subsequente.
Número de identificação pessoal e data. O registo da vítima é uma parte essencial da identificação do acidente. O número pode ser o aniversário do trabalhador, número do emprego, número do seguro social ou algum outro identificador exclusivo. Registrar um número de identificação pessoal e a data do acidente evitará a duplicação do registro do mesmo evento de acidente e também permitirá verificar se o acidente foi relatado. A ligação entre as informações contidas no boletim de ocorrência com o número de identificação pessoal pode ser protegida para fins de segurança.
Nacionalidade. A nacionalidade da vítima pode ser um item de informação especialmente importante em países com uma força de trabalho estrangeira significativamente grande. Um número de código de dois dígitos pode ser selecionado dentre aqueles listados no padrão DS/ISO 3166.
Ocupação. Um número de registro de ocupação pode ser escolhido na lista de códigos de ocupação internacionais de quatro dígitos fornecida pela Classificação Padrão Internacional de Ocupações (ISCO).
Empresa. O nome, morada e número de identificação da empresa são utilizados no registo de acidentes a nível nacional (embora o nome e morada não possam ser utilizados para registo informático). O setor de produção da empresa geralmente terá sido registrado em sua seguradora de acidentes de trabalho ou registrado em conexão com o registro de sua força de trabalho. Um identificador numérico de setor pode ser atribuído de acordo com o sistema de classificação internacional NACE de cinco dígitos.
O processo de trabalho. Um componente vital da informação relativa aos acidentes de trabalho é a descrição do processo de trabalho realizado no momento em que ocorreu o acidente. A identificação do processo de trabalho é um pré-requisito para uma prevenção bem direcionada. Deve-se notar que o processo de trabalho é a função de trabalho real que a vítima estava exercendo no momento do acidente e pode não ser necessariamente idêntico ao processo de trabalho que causou a lesão, fatalidade ou exposição.
O evento do acidente. Um evento de acidente normalmente compreende uma cadeia de eventos. Freqüentemente, há uma tendência por parte dos investigadores de se concentrar na parte do ciclo de eventos em que a lesão realmente ocorreu. Do ponto de vista da prevenção, no entanto, uma descrição da parte do ciclo do evento em que algo deu errado e do que a vítima estava fazendo quando o evento ocorreu é igualmente importante.
As consequências do acidente. Depois que a parte do corpo lesionada é especificada e o tipo de lesão é descrito (isso é feito em parte pela codificação de uma lista de verificação e em parte pela descrição no ciclo do evento), as informações são registradas descrevendo a gravidade da lesão, se resultou em ausência do trabalho (e por quanto tempo), ou se foi fatal ou envolveu invalidez. Informações detalhadas em termos de ausência de longa duração do trabalho, hospitalização ou invalidez estão normalmente disponíveis nos escritórios de compensação e no sistema de seguridade social.
Para fins de registro, o exame de eventos acidentais é, portanto, dividido nos seguintes três componentes de informação:
Os exemplos a seguir ilustram a aplicação dessas categorias de análise:
Relatar informações de acidentes
As informações a serem obtidas para cada acidente podem ser registradas em um formulário de relatório semelhante ao apresentado na figura 1.
Figura 1. Exemplo de formulário de relatório
As informações do formulário de relatório podem ser registradas em um computador usando chaves de classificação. (Nos casos em que sistemas de classificação internacionais podem ser recomendados, eles são mencionados na descrição das variáveis de informações individuais, fornecida acima.) As classificações para as outras variáveis usadas para registrar lesões ocupacionais foram desenvolvidas pelo Serviço Dinamarquês de Ambiente de Trabalho e os princípios a serem usados no estabelecimento de um sistema de registo harmonizado fazem parte de uma proposta elaborada pela União Europeia.
O uso de estatísticas de acidentes
As estatísticas de acidentes constituem um instrumento valioso em uma ampla gama de contextos: mapeamento, monitoramento e alerta, priorização de áreas de prevenção, medidas específicas de prevenção e recuperação e pesquisa de informações. Uma área pode se sobrepor a outra, mas os princípios de aplicação variam.
Mapeamento
Mapeamento de dados de acidentes de trabalho envolve a extração de tipos predeterminados de informações de um acúmulo de dados registrados e a análise das inter-relações entre eles. Os exemplos a seguir ilustrarão a utilidade dos aplicativos de mapeamento.
Monitoramento e alerta
do Paciente é um processo de vigilância contínuo acompanhado de aviso dos principais riscos e, particularmente, das mudanças nesses riscos. As mudanças observadas nos relatórios de acidentes recebidos podem ser indicativas de mudanças no padrão de notificação ou, mais seriamente, podem refletir mudanças genuínas nos fatores de risco. Pode-se dizer que existem riscos maiores onde há uma alta frequência de lesões, onde ocorrem muitas lesões graves e onde há um grande grupo de exposição humana.
Estabelecimento de prioridades
Estabelecimento de prioridades é a seleção das áreas de risco ou problemas do ambiente de trabalho mais importantes para ações preventivas. Através dos resultados dos levantamentos cartográficos e das atividades de monitorização e alerta, pode ser construído um registo de acidentes de trabalho que pode contribuir para o estabelecimento de prioridades, cujos elementos podem incluir:
Os dados extraídos de um registo de acidentes de trabalho podem ser utilizados no estabelecimento de prioridades a vários níveis, talvez ao nível nacional global ou ao nível empresarial mais particular. Seja qual for o nível, as análises e avaliações podem ser feitas com base nos mesmos princípios.
Prevenção
As análises e documentações utilizadas para fins preventivos são, em geral, muito específicas e concentradas em áreas restritas, mas tratadas com grande profundidade. Um exemplo dessa análise é a campanha contra acidentes fatais realizada pelo Serviço Nacional de Inspeção do Trabalho dinamarquês. Levantamentos preliminares de mapeamento identificaram os ofícios e funções de trabalho em que ocorreram acidentes fatais. Tratores agrícolas foram selecionados como área focal para análise. O objetivo da análise era então determinar o que tornava os tratores tão perigosos. Foram investigadas questões sobre quem os dirigia, onde eram operados, quando ocorreram os acidentes e, principalmente, que tipos de situações e eventos levaram aos acidentes. A análise produziu uma descrição de sete situações típicas que mais frequentemente levam a acidentes. Com base nesta análise, foi formulado um programa preventivo.
O número de acidentes ocupacionais em uma única empresa geralmente é muito pequeno para produzir estatísticas viáveis para análise preventiva. Uma análise do padrão de acidentes pode ser usada para evitar a repetição de lesões específicas, mas dificilmente pode ser bem-sucedida na prevenção da ocorrência de acidentes que, de uma forma ou de outra, diferem dos casos anteriores. A menos que o foco da investigação seja uma empresa bastante grande, tais análises são, portanto, melhor realizadas em um grupo de empresas de natureza muito semelhante ou em um grupo de processos de produção do mesmo tipo. Por exemplo, uma análise da indústria madeireira mostra que os acidentes ocorridos com máquinas de corte envolvem principalmente ferimentos nos dedos. Os acidentes de transporte consistem predominantemente em lesões nos pés e nas pernas, e danos cerebrais e eczema são os riscos mais comuns no comércio de tratamento de superfícies. Uma análise mais detalhada dos processos de trabalho relevantes dentro da indústria pode revelar quais situações normalmente causam acidentes. Com base nessas informações, os especialistas do setor relevante podem identificar quando é provável que tais situações surjam e as possibilidades de prevenção.
Recuperação e pesquisa de informações
Um dos usos mais comuns de sistemas de informação como sistemas de arquivamento e biblioteca é a recuperação de informações de natureza específica e bem definida para fins de pesquisa de segurança. Por exemplo, em um estudo cujo objetivo era formular regulamentos relativos a trabalhos em telhados, levantou-se a dúvida se algum risco particular estava associado a tais trabalhos. A crença predominante era que as pessoas raramente se machucavam ao cair de telhados durante o trabalho. No entanto, neste caso, recorreu-se a um registo de acidentes de trabalho para recuperar todos os registos em que se feriram pessoas por queda de telhados, tendo-se efectivamente descoberto um número considerável de casos, confirmando a importância de continuar a regulamentação nesta área.
A . pode ser definido como um conjunto de componentes interdependentes combinados de forma a desempenhar uma determinada função sob condições especificadas. Uma máquina é um exemplo tangível e particularmente claro de um sistema nesse sentido, mas existem outros sistemas, envolvendo homens e mulheres em uma equipe ou em uma oficina ou fábrica, que são muito mais complexos e não tão fáceis de definir. Segurança sugere a ausência de perigo ou risco de acidente ou dano. Para evitar ambigüidade, o conceito geral de ocorrência indesejada será empregado. A segurança absoluta, no sentido da impossibilidade de ocorrência de um incidente mais ou menos infeliz, não é atingível; realisticamente, deve-se almejar uma probabilidade muito baixa, em vez de zero, de ocorrências indesejadas.
Um determinado sistema pode ser considerado seguro ou inseguro apenas com relação ao desempenho que é realmente esperado dele. Com isso em mente, o nível de segurança de um sistema pode ser definido da seguinte forma: “Para qualquer conjunto de ocorrências indesejadas, o nível de segurança (ou insegurança) de um sistema é determinado pela probabilidade dessas ocorrências ocorrerem em um determinado período de tempo". Exemplos de ocorrências indesejadas que seriam de interesse na presente conexão incluem: múltiplas fatalidades, morte de uma ou várias pessoas, ferimentos graves, ferimentos leves, danos ao meio ambiente, efeitos nocivos sobre os seres vivos, destruição de plantas ou edifícios e grandes ou dano limitado de material ou equipamento.
Finalidade da Análise do Sistema de Segurança
O objetivo de uma análise de segurança do sistema é determinar os fatores que influenciam a probabilidade de ocorrências indesejadas, estudar a maneira como essas ocorrências ocorrem e, finalmente, desenvolver medidas preventivas para reduzir sua probabilidade.
A fase analítica do problema pode ser dividida em dois aspectos principais:
Uma vez estudadas as diversas disfunções e suas consequências, os analistas de segurança do sistema podem direcionar sua atenção para medidas preventivas. A pesquisa nesta área será baseada diretamente em descobertas anteriores. Esta investigação de meios preventivos segue os dois principais aspectos da análise de segurança do sistema.
Métodos de Análise
A análise de segurança do sistema pode ser realizada antes ou depois do evento (a priori ou a posteriori); em ambos os casos, o método usado pode ser direto ou reverso. Uma análise a priori ocorre antes da ocorrência indesejada. O analista pega um certo número dessas ocorrências e se propõe a descobrir os vários estágios que podem levar a elas. Em contrapartida, uma análise a posteriori é realizada após a ocorrência da ocorrência indesejada. O seu objetivo é fornecer orientações para o futuro e, especificamente, tirar quaisquer conclusões que possam ser úteis para eventuais análises a priori posteriores.
Embora possa parecer que uma análise a priori seria muito mais valiosa do que uma análise a posteriori, uma vez que precede o incidente, as duas são de fato complementares. Qual método é usado depende da complexidade do sistema envolvido e do que já se sabe sobre o assunto. No caso de sistemas tangíveis, como máquinas ou instalações industriais, a experiência anterior geralmente pode servir para preparar uma análise a priori bastante detalhada. No entanto, mesmo assim a análise não é necessariamente infalível e certamente beneficiará de uma posterior análise a posteriori baseada essencialmente no estudo dos incidentes ocorridos no decurso da operação. Quanto a sistemas mais complexos envolvendo pessoas, como turnos de trabalho, oficinas ou fábricas, a análise a posteriori é ainda mais importante. Nesses casos, a experiência passada nem sempre é suficiente para permitir uma análise a priori detalhada e confiável.
Uma análise a posteriori pode se transformar em uma análise a priori, pois o analista vai além do processo único que levou ao incidente em questão e começa a examinar as várias ocorrências que poderiam razoavelmente levar a tal incidente ou a incidentes semelhantes.
Outra forma pela qual uma análise a posteriori pode se tornar uma análise a priori é quando a ênfase é colocada não na ocorrência (cuja prevenção é o objetivo principal da presente análise) mas em incidentes menos graves. Estas ocorrências, como percalços técnicos, danos materiais e acidentes potenciais ou menores, de relativa pouca significância em si, podem ser identificadas como sinais de alerta para ocorrências mais graves. Nestes casos, ainda que efectuada a posteriori à ocorrência de incidentes de menor gravidade, a análise será feita a priori relativamente a ocorrências de maior gravidade que ainda não tenham ocorrido.
Existem dois métodos possíveis de estudar o mecanismo ou a lógica por trás da sequência de dois ou mais eventos:
A Figura 1 é um diagrama de um circuito de controle que requer dois botões (B1 e B2) a serem pressionados simultaneamente para ativar a bobina do relé (R) e dar partida na máquina. Este exemplo pode ser usado para ilustrar, em termos práticos, a diretamente e reverso métodos usados na análise de segurança do sistema.
Figura 1. Circuito de controle de dois botões
Método direto
No método direto, o analista começa por (1) listar falhas, disfunções e desajustes, (2) estudar seus efeitos e (3) determinar se esses efeitos são ou não uma ameaça à segurança. No caso da figura 1, podem ocorrer as seguintes falhas:
O analista pode então deduzir as consequências dessas falhas, e os resultados podem ser apresentados em forma de tabela (tabela 1).
Tabela 1. Possíveis disfunções de um circuito de controle de dois botões e suas consequências
Falhas |
Consequências |
Quebra no fio entre 2 e 2' |
Impossível ligar a máquina* |
Fechamento acidental de B1 (ou B2 ) |
Nenhuma consequência imediata |
Contato em C1 (ou C2 ) como resultado de |
Nenhuma consequência imediata, mas a possibilidade do |
Curto-circuito entre 1 e 1' |
Ativação da bobina do relé R - partida acidental de |
* Ocorrência com influência direta na confiabilidade do sistema
** Ocorrência responsável por grave redução do nível de segurança do sistema
*** Ocorrência perigosa a ser evitada
Ver texto e figura 1.
Na tabela 1, as consequências perigosas ou susceptíveis de reduzir seriamente o nível de segurança do sistema podem ser designadas por sinais convencionais como ***.
Observação: Na tabela 1, uma quebra no fio entre 2 e 2' (mostrado na figura 1) resulta em uma ocorrência que não é considerada perigosa. Não tem efeito direto na segurança do sistema; no entanto, a probabilidade de tal incidente ocorrer tem uma relação direta com a confiabilidade do sistema.
O método direto é particularmente apropriado para simulação. A Figura 2 mostra um simulador analógico projetado para estudar a segurança dos circuitos de controle de prensa. A simulação do circuito de controle permite verificar que, desde que não haja falha, o circuito é realmente capaz de garantir o funcionamento requerido sem infringir os critérios de segurança. Além disso, o simulador pode permitir ao analista introduzir falhas nos vários componentes do circuito, observar suas consequências e, assim, distinguir aqueles circuitos bem projetados (com poucas ou nenhuma falha perigosa) daqueles mal projetados. Este tipo de análise de segurança também pode ser realizado usando um computador.
Figura 2. Simulador para estudo de circuitos de controle de prensas
método reverso
No método reverso, o analista retrocede a partir da ocorrência indesejável, incidente ou acidente, em direção aos diversos eventos anteriores para determinar quais podem ser capazes de resultar nas ocorrências a serem evitadas. Na figura 1, a última ocorrência a ser evitada seria a partida involuntária da máquina.
Os resultados dessa análise podem ser representados em um diagrama que se assemelha a uma árvore (por isso o método inverso é conhecido como “análise de árvore de falhas”), conforme ilustrado na figura 3.
Figura 3. Possível cadeia de eventos
O diagrama segue operações lógicas, sendo as mais importantes as operações “OU” e “E”. A operação “OU” significa que [X1] ocorrerá se [A] ou [B] (ou ambos) ocorrer. A operação “E” significa que antes de [X2] pode ocorrer, tanto [C] quanto [D] devem ter ocorrido (consulte a figura 4).
Figura 4. Representação de duas operações lógicas
O método inverso é muito usado na análise a priori de sistemas tangíveis, especialmente nas indústrias química, aeronáutica, espacial e nuclear. Também foi considerado extremamente útil como método para investigar acidentes industriais.
Embora sejam muito diferentes, os métodos direto e reverso são complementares. O método direto é baseado em um conjunto de falhas ou disfunções, e o valor de tal análise depende, portanto, em grande parte da relevância das várias disfunções consideradas no início. Visto sob esta luz, o método inverso parece ser mais sistemático. Dado o conhecimento de que tipos de acidentes ou incidentes podem acontecer, o analista pode, em teoria, aplicar esse método para trabalhar todas as disfunções ou combinações de disfunções capazes de provocá-los. Porém, como nem todos os comportamentos perigosos de um sistema são necessariamente conhecidos antecipadamente, eles podem ser descobertos pelo método direto, aplicado por simulação, por exemplo. Uma vez descobertos, os perigos podem ser analisados em maior detalhe pelo método inverso.
Problemas de Análise de Segurança do Sistema
Os métodos analíticos descritos acima não são apenas processos mecânicos que precisam apenas ser aplicados automaticamente para chegar a conclusões úteis para melhorar a segurança do sistema. Pelo contrário, os analistas encontram uma série de problemas no decorrer de seu trabalho, e a utilidade de suas análises dependerá em grande parte de como eles se propõem a resolvê-los. Alguns dos problemas típicos que podem surgir são descritos abaixo.
Entendendo o sistema a ser estudado e suas condições de operação
Os problemas fundamentais em qualquer análise de segurança do sistema são a definição do sistema a ser estudado, suas limitações e as condições sob as quais ele deve operar ao longo de sua existência.
Se o analista levar em conta um subsistema muito limitado, o resultado pode ser a adoção de uma série de medidas preventivas aleatórias (situação em que tudo se volta para prevenir determinados tipos de ocorrência, enquanto perigos igualmente graves são ignorados ou subestimados ). Se, por outro lado, o sistema considerado for muito abrangente ou geral em relação a um determinado problema, pode resultar em excessiva imprecisão de conceito e responsabilidades, e a análise pode não levar à adoção de medidas preventivas adequadas.
Um exemplo típico que ilustra o problema de definição do sistema a ser estudado é a segurança de máquinas ou instalações industriais. Nesse tipo de situação, o analista pode ser tentado a considerar apenas o equipamento real, negligenciando o fato de que ele deve ser operado ou controlado por uma ou mais pessoas. Simplificações desse tipo às vezes são válidas. No entanto, o que tem de ser analisado não é apenas o subsistema máquina, mas todo o sistema trabalhador-máquina nas várias fases da vida útil do equipamento (incluindo, por exemplo, transporte e manuseamento, montagem, teste e ajuste, funcionamento normal , manutenção, desmontagem e, em alguns casos, destruição). Em cada estágio a máquina faz parte de um sistema específico cuja finalidade e modos de funcionamento e mau funcionamento são totalmente diferentes dos do sistema em outros estágios. Deve, portanto, ser concebido e fabricado de forma a permitir o desempenho da função requerida em boas condições de segurança em cada uma das fases.
De forma mais geral, no que diz respeito aos estudos de segurança nas empresas, existem vários níveis de sistema: a máquina, o posto de trabalho, o turno, o departamento, a fábrica e a empresa como um todo. Dependendo de qual nível do sistema está sendo considerado, os possíveis tipos de disfunção – e as medidas preventivas relevantes – são bem diferentes. Uma boa política de prevenção deve ter em conta as disfunções que podem ocorrer a vários níveis.
As condições de funcionamento do sistema podem ser definidas em função do modo como o sistema deve funcionar e das condições ambientais a que pode estar sujeito. Essa definição deve ser realista o suficiente para permitir as condições reais nas quais o sistema provavelmente operará. Um sistema que é muito seguro apenas em uma faixa operacional muito restrita pode não ser tão seguro se o usuário não conseguir se manter dentro da faixa operacional teórica prescrita. Um sistema seguro deve, portanto, ser robusto o suficiente para suportar variações razoáveis nas condições em que funciona e deve tolerar certos erros simples, mas previsíveis, por parte dos operadores.
Modelagem do sistema
Muitas vezes é necessário desenvolver um modelo para analisar a segurança de um sistema. Isso pode levantar alguns problemas que valem a pena examinar.
Para um sistema conciso e relativamente simples como uma máquina convencional, o modelo é quase diretamente derivado das descrições dos componentes materiais e suas funções (motores, transmissão, etc.) e a maneira como esses componentes estão inter-relacionados. O número de possíveis modos de falha de componentes é igualmente limitado.
Máquinas modernas, como computadores e robôs, que contêm componentes complexos como microprocessadores e circuitos eletrônicos com integração em grande escala, representam um problema especial. Este problema não foi totalmente resolvido em termos de modelagem ou de previsão dos diferentes modos de falha possíveis, porque há muitos transistores elementares em cada chip e devido ao uso de diversos tipos de software.
Quando o sistema a ser analisado é uma organização humana, um problema interessante encontrado na modelagem reside na escolha e definição de certos componentes não materiais ou não totalmente materiais. Uma determinada estação de trabalho pode ser representada, por exemplo, por um sistema composto por trabalhadores, software, tarefas, máquinas, materiais e ambiente. (O componente “tarefa” pode ser difícil de definir, pois não é a tarefa prescrita que conta, mas a tarefa como ela é realmente executada).
Ao modelar organizações humanas, o analista pode optar por dividir o sistema em consideração em um subsistema de informação e um ou mais subsistemas de ação. A análise de falhas em diferentes estágios do subsistema de informação (aquisição, transmissão, processamento e uso da informação) pode ser altamente instrutiva.
Problemas associados a vários níveis de análise
Os problemas associados a vários níveis de análise geralmente se desenvolvem porque, a partir de uma ocorrência indesejada, o analista pode voltar a incidentes cada vez mais remotos no tempo. Dependendo do nível de análise considerado, varia a natureza das disfunções que ocorrem; o mesmo se aplica às medidas preventivas. É importante ser capaz de decidir em que nível a análise deve ser interrompida e em que nível a ação preventiva deve ser tomada. Um exemplo é o caso simples de um acidente decorrente de uma falha mecânica causada pela utilização repetida de uma máquina em condições anormais. Isso pode ter sido causado por falta de treinamento do operador ou por má organização do trabalho. Dependendo do nível de análise considerado, a ação preventiva necessária pode ser a substituição da máquina por outra capaz de suportar condições de uso mais severas, o uso da máquina somente em condições normais, mudanças no treinamento de pessoal ou reorganização de trabalhar.
A eficácia e o alcance de uma medida preventiva dependem do nível em que ela é introduzida. A ação preventiva nas imediações da ocorrência indesejada tem maior probabilidade de ter um impacto direto e rápido, mas seus efeitos podem ser limitados; por outro lado, retrocedendo razoavelmente na análise dos eventos, deveria ser possível encontrar tipos de disfunções comuns a numerosos acidentes. Qualquer ação preventiva tomada nesse nível terá um escopo muito mais amplo, mas sua eficácia pode ser menos direta.
Tendo em mente que existem vários níveis de análise, também pode haver vários padrões de ação preventiva, cada um dos quais carrega sua própria parcela do trabalho de prevenção. Este é um ponto extremamente importante, e basta retornar ao exemplo do acidente atualmente em consideração para apreciar o fato. Propor a substituição da máquina por outra capaz de suportar condições de uso mais severas coloca o ônus da prevenção sobre a máquina. Decidir que a máquina deve ser usada apenas em condições normais significa colocar o ônus no usuário. Da mesma forma, o ônus pode recair sobre a formação de pessoal, organização do trabalho ou simultaneamente sobre a máquina, o usuário, a função de treinamento e a função de organização.
Para qualquer nível de análise, um acidente muitas vezes parece ser a consequência da combinação de várias disfunções ou desajustes. Dependendo se a ação é tomada em uma disfunção ou outra, ou em várias simultaneamente, o padrão de ação preventiva adotado variará.
As ferramentas são uma parte tão comum de nossas vidas que às vezes é difícil lembrar que elas podem representar perigos. Todas as ferramentas são fabricadas com a segurança em mente, mas ocasionalmente pode ocorrer um acidente antes que os perigos relacionados à ferramenta sejam reconhecidos. Os trabalhadores devem aprender a reconhecer os perigos associados aos diferentes tipos de ferramentas e as precauções de segurança necessárias para prevenir esses perigos. Equipamentos de proteção individual apropriados, como óculos de segurança ou luvas, devem ser usados para proteção contra perigos potenciais que podem ser encontrados durante o uso de ferramentas elétricas portáteis e ferramentas manuais.
Ferramentas manuais
As ferramentas manuais não são motorizadas e incluem tudo, desde machados a chaves. Os maiores perigos representados pelas ferramentas manuais resultam do uso indevido, uso da ferramenta errada para o trabalho e manutenção inadequada. Alguns dos perigos associados ao uso de ferramentas manuais incluem, entre outros:
O empregador é responsável pela condição segura das ferramentas e equipamentos fornecidos aos funcionários, mas os funcionários têm a responsabilidade de usar e manter as ferramentas adequadamente. Os trabalhadores devem direcionar as lâminas de serra, facas ou outras ferramentas para longe das áreas dos corredores e de outros funcionários que trabalham nas proximidades. Facas e tesouras devem ser mantidas afiadas, pois ferramentas cegas podem ser mais perigosas do que as afiadas. (Veja a figura 1.)
Figura 1. Uma chave de fenda
A segurança exige que os pisos sejam mantidos o mais limpos e secos possível para evitar escorregões acidentais ao trabalhar com ou perto de ferramentas manuais perigosas. Embora as faíscas produzidas por ferramentas manuais de ferro e aço normalmente não sejam quentes o suficiente para serem fontes de ignição, ao trabalhar com ou próximo a materiais inflamáveis, ferramentas resistentes a faíscas feitas de latão, plástico, alumínio ou madeira podem ser usadas para evitar a formação de faíscas.
Power Tools
As ferramentas elétricas são perigosas quando usadas incorretamente. Existem vários tipos de ferramentas elétricas, geralmente categorizadas de acordo com a fonte de energia (elétrica, pneumática, combustível líquido, hidráulica, vapor e pólvora explosiva acionada). Os funcionários devem ser qualificados ou treinados no uso de todas as ferramentas elétricas usadas em seu trabalho. Eles devem entender os perigos potenciais associados ao uso de ferramentas elétricas e observar as seguintes precauções gerais de segurança para evitar que esses perigos ocorram:
guardas de proteção
Partes móveis perigosas de ferramentas elétricas precisam ser protegidas. Por exemplo, correias, engrenagens, eixos, polias, rodas dentadas, fusos, tambores, volantes, correntes ou outras partes alternativas, rotativas ou móveis do equipamento devem ser protegidas se tais partes forem expostas ao contato dos trabalhadores. Quando necessário, devem ser fornecidas proteções para proteger o operador e outras pessoas com relação aos perigos associados a:
As proteções de segurança nunca devem ser removidas quando uma ferramenta estiver sendo usada. Por exemplo, serras circulares portáteis devem estar equipadas com proteções. Uma proteção superior deve cobrir toda a lâmina da serra. Uma proteção inferior retrátil deve cobrir os dentes da serra, exceto quando entrar em contato com o material de trabalho. A proteção inferior deve retornar automaticamente à posição de cobertura quando a ferramenta é retirada do trabalho. Observe os protetores de lâmina na ilustração de uma serra elétrica (figura 2).
Figura 2. Uma serra circular com proteção
Interruptores e controles de segurança
A seguir, exemplos de ferramentas elétricas manuais que devem ser equipadas com um interruptor de controle “liga-desliga” de contato momentâneo:
Essas ferramentas também podem ser equipadas com um controle de bloqueio, desde que o desligamento possa ser realizado por um único movimento do mesmo dedo ou dedos que o ligam.
As seguintes ferramentas elétricas manuais podem ser equipadas apenas com um interruptor de controle “liga-desliga” positivo:
Outras ferramentas elétricas portáteis que devem ser equipadas com um pressostato constante que desligará a energia quando a pressão for liberada incluem:
Ferramentas Elétricas
Os trabalhadores que utilizam ferramentas elétricas devem estar cientes de vários perigos. A mais grave delas é a possibilidade de eletrocussão, seguida de queimaduras e choques leves. Sob certas condições, mesmo uma pequena quantidade de corrente pode resultar em fibrilação do coração que pode resultar em morte. Um choque também pode fazer com que um trabalhador caia de uma escada ou de outras superfícies de trabalho elevadas.
Para reduzir o potencial de lesões aos trabalhadores por choque, as ferramentas devem ser protegidas por pelo menos um dos seguintes meios:
Figura 3. Uma furadeira elétrica
Estas práticas gerais de segurança devem ser seguidas ao usar ferramentas elétricas:
Discos abrasivos motorizados
Rebolos abrasivos motorizados, corte, polimento e rebolos de polimento criam problemas especiais de segurança porque os rebolos podem se desintegrar e lançar fragmentos projetados.
Antes que as rodas abrasivas sejam montadas, elas devem ser inspecionadas de perto e testadas quanto ao som (ou anel) batendo suavemente com um instrumento leve não metálico para garantir que estejam livres de rachaduras ou defeitos. Se as rodas estiverem rachadas ou parecerem mortas, elas podem se soltar durante a operação e não devem ser usadas. Uma roda sólida e sem danos dará um tom metálico claro ou “toque”.
Para evitar que a roda rache, o usuário deve certificar-se de que ela se encaixe livremente no fuso. A porca do eixo deve ser apertada o suficiente para manter a roda no lugar sem distorcer o flange. Siga as recomendações do fabricante. Deve-se tomar cuidado para garantir que a roda do fuso não exceda as especificações da roda abrasiva. Devido à possibilidade de uma roda se desintegrar (explodir) durante a partida, o trabalhador nunca deve ficar diretamente na frente da roda, pois ela acelera até a velocidade máxima de operação. As ferramentas de retificação portáteis precisam ser equipadas com proteções de segurança para proteger os trabalhadores não apenas da superfície da roda em movimento, mas também de fragmentos lançados em caso de quebra. Além disso, ao usar um moedor elétrico, estas precauções devem ser observadas:
Ferramentas pneumáticas
As ferramentas pneumáticas são alimentadas por ar comprimido e incluem picadores, furadeiras, martelos e lixadeiras. Embora existam vários perigos potenciais encontrados no uso de ferramentas pneumáticas, o principal é o perigo de ser atingido por um dos acessórios da ferramenta ou por algum tipo de prendedor que o trabalhador esteja usando com a ferramenta. Proteção ocular é necessária e proteção facial é recomendada ao trabalhar com ferramentas pneumáticas. O ruído é outro perigo. Trabalhar com ferramentas barulhentas, como britadeiras, requer o uso adequado e eficaz de proteção auditiva apropriada.
Ao usar uma ferramenta pneumática, o trabalhador deve verificar se ela está bem presa à mangueira para evitar a desconexão. Um fio curto ou dispositivo de travamento positivo conectando a mangueira de ar à ferramenta servirá como proteção adicional. Se uma mangueira de ar tiver mais de 1.27 cm (½ polegada) de diâmetro, uma válvula de excesso de fluxo de segurança deve ser instalada na fonte do suprimento de ar para desligar o ar automaticamente caso a mangueira quebre. Em geral, os mesmos cuidados devem ser tomados com uma mangueira de ar que são recomendados para cabos elétricos, pois a mangueira está sujeita ao mesmo tipo de dano ou choque acidental, além de apresentar risco de tropeço.
As armas de ar comprimido nunca devem ser apontadas para ninguém. Os trabalhadores nunca devem “descartar” o bocal contra si mesmos ou contra qualquer outra pessoa. Um clipe ou retentor de segurança deve ser instalado para evitar que acessórios, como um cinzel em um martelo picador, sejam disparados acidentalmente do cano. Telas devem ser instaladas para proteger os trabalhadores próximos de serem atingidos por fragmentos voadores ao redor de picadores, pistolas de rebitagem, martelos pneumáticos, grampeadores ou furadeiras pneumáticas.
As pistolas de pulverização sem ar que atomizam tintas e fluidos em altas pressões (1,000 libras ou mais por polegada quadrada) devem ser equipadas com dispositivos de segurança visual automáticos ou manuais que impedirão a ativação até que o dispositivo de segurança seja liberado manualmente. Britadeiras pesadas podem causar fadiga e tensões que podem ser reduzidas pelo uso de pegas de borracha pesadas que fornecem um apoio seguro. Um trabalhador operando uma britadeira deve usar óculos de segurança e sapatos de segurança para se proteger contra ferimentos se o martelo escorregar ou cair. Um protetor facial também deve ser usado.
Ferramentas movidas a combustível
As ferramentas movidas a combustível geralmente são operadas usando pequenos motores de combustão interna movidos a gasolina. Os perigos potenciais mais sérios associados ao uso de ferramentas movidas a combustível vêm de vapores de combustível perigosos que podem queimar ou explodir e liberar gases de escape perigosos. O trabalhador deve ter o cuidado de manusear, transportar e armazenar a gasolina ou combustível somente em recipientes aprovados para líquidos inflamáveis, de acordo com os procedimentos adequados para líquidos inflamáveis. Antes de reabastecer o tanque de uma ferramenta movida a combustível, o usuário deve desligar o motor e deixá-lo esfriar para evitar a ignição acidental de vapores perigosos. Se uma ferramenta movida a combustível for usada dentro de uma área fechada, ventilação eficaz e/ou equipamento de proteção são necessários para evitar a exposição ao monóxido de carbono. Extintores de incêndio devem estar disponíveis na área.
Ferramentas acionadas por pólvora explosiva
As ferramentas acionadas por pólvora explosiva funcionam como uma arma carregada e devem ser tratadas com o mesmo respeito e precauções. Na verdade, eles são tão perigosos que devem ser operados apenas por funcionários especialmente treinados ou qualificados. Proteções adequadas para os ouvidos, olhos e rosto são essenciais ao usar uma ferramenta acionada por pólvora. Todas as ferramentas acionadas por pó devem ser projetadas para cargas de pó variadas, de modo que o usuário possa selecionar um nível de pó necessário para fazer o trabalho sem força excessiva.
A ponta do cano da ferramenta deve ter um escudo protetor ou guarda centrado perpendicularmente no cano para proteger o usuário de quaisquer fragmentos ou partículas que possam criar um perigo quando a ferramenta for disparada. A ferramenta deve ser projetada para não disparar a menos que tenha esse tipo de dispositivo de segurança. Para evitar que a ferramenta dispare acidentalmente, dois movimentos separados são necessários para disparar: um para colocar a ferramenta na posição e outro para puxar o gatilho. As ferramentas não devem funcionar até que sejam pressionadas contra a superfície de trabalho com uma força de pelo menos 5 libras maior que o peso total da ferramenta.
Se uma ferramenta acionada por pólvora falhar, o usuário deve esperar pelo menos 30 segundos antes de tentar dispará-la novamente. Se ainda não disparar, o usuário deve esperar pelo menos mais 30 segundos para que o cartucho com defeito seja menos provável de explodir e, em seguida, remova cuidadosamente a carga. O cartucho danificado deve ser colocado na água ou descartado com segurança de acordo com os procedimentos do empregador.
Se uma ferramenta acionada por pólvora desenvolver um defeito durante o uso, ela deve ser etiquetada e retirada de serviço imediatamente até que seja devidamente reparada. As precauções para o uso e manuseio seguro de ferramentas acionadas por pólvora incluem o seguinte:
Ao usar ferramentas acionadas por pólvora para aplicar fixadores, as seguintes precauções de segurança devem ser consideradas:
Ferramentas Hidráulicas
O fluido utilizado nas ferramentas hidráulicas deve ser aprovado para o uso previsto e deve manter suas características de funcionamento nas temperaturas mais extremas a que será exposto. A pressão operacional segura recomendada pelo fabricante para mangueiras, válvulas, tubos, filtros e outros acessórios não deve ser excedida. Onde houver potencial para vazamento sob alta pressão em uma área onde fontes de ignição, como chamas abertas ou superfícies quentes, possam estar presentes, o uso de fluidos resistentes ao fogo como meio hidráulico deve ser considerado.
Jacks
Todos os macacos - macacos de alavanca e catraca, macacos de parafuso e macacos hidráulicos - devem ter um dispositivo que os impeça de levantar muito alto. O limite de carga do fabricante deve estar permanentemente marcado em um local de destaque no macaco e não deve ser excedido. Use blocos de madeira sob a base, se necessário, para deixar o macaco nivelado e seguro. Se a superfície do elevador for de metal, coloque um bloco de madeira dura de 1 polegada (2.54 cm) ou equivalente entre a parte inferior da superfície e a cabeça do macaco de metal para reduzir o perigo de deslizamento. Um macaco nunca deve ser usado para suportar uma carga levantada. Uma vez levantada a carga, ela deve ser imediatamente apoiada em blocos.
Para configurar um conector, certifique-se das seguintes condições:
A manutenção adequada dos macacos é essencial para a segurança. Todos os macacos devem ser inspecionados antes de cada uso e lubrificados regularmente. Se um macaco for submetido a uma carga ou choque anormal, deve ser examinado minuciosamente para garantir que não foi danificado. Macacos hidráulicos expostos a temperaturas de congelamento devem ser preenchidos com um líquido anticongelante adequado.
Sumário
Os trabalhadores que utilizam ferramentas manuais e elétricas e que estão expostos a riscos de queda, voo, objetos e materiais abrasivos e respingos, ou a perigos de poeiras, fumaças, névoas, vapores ou gases nocivos devem receber o equipamento pessoal adequado necessário para protegê-los do perigo. Todos os perigos envolvidos no uso de ferramentas elétricas podem ser evitados pelos trabalhadores seguindo cinco regras básicas de segurança:
Funcionários e empregadores têm a responsabilidade de trabalhar juntos para manter as práticas de trabalho seguras estabelecidas. Se uma ferramenta insegura ou uma situação perigosa for encontrada, ela deve ser levada ao conhecimento do indivíduo apropriado imediatamente.
Este artigo discute situações e cadeias de eventos que levam a acidentes atribuíveis ao contato com partes móveis de máquinas. As pessoas que operam e fazem a manutenção de máquinas correm o risco de se envolver em acidentes graves. As estatísticas dos EUA sugerem que 18,000 amputações e mais de 800 mortes nos Estados Unidos a cada ano são atribuíveis a essas causas. De acordo com o Instituto Nacional de Saúde e Segurança Ocupacional dos Estados Unidos (NIOSH), a categoria de lesões “presas, sob ou entre” em sua classificação teve a classificação mais alta entre os tipos mais importantes de lesões ocupacionais em 1979. Essas lesões geralmente envolviam máquinas ( Etherton e Myers 1990). O “contato com parte móvel da máquina” foi relatado como o principal evento lesivo em pouco mais de 10% dos acidentes ocupacionais desde que esta categoria foi introduzida nas estatísticas suecas de lesões ocupacionais em 1979.
A maioria das máquinas possui peças móveis que podem causar ferimentos. Essas partes móveis podem ser encontradas no ponto de operação onde o trabalho é realizado no material, como onde ocorre o corte, modelagem, mandrilamento ou deformação. Eles podem ser encontrados no aparelho que transmite energia para as partes da máquina que executa o trabalho, como volantes, polias, bielas, acopladores, cames, fusos, correntes, manivelas e engrenagens. Eles podem ser encontrados em outras partes móveis da máquina, como rodas de equipamentos móveis, motores de engrenagens, bombas, compressores e assim por diante. Movimentos perigosos de máquinas também podem ser encontrados entre outros tipos de máquinas, especialmente nas peças auxiliares de equipamentos que manuseiam e transportam cargas como peças de trabalho, materiais, resíduos ou ferramentas.
Todas as partes de uma máquina que se movem durante a execução do trabalho podem contribuir para acidentes causando ferimentos e danos. Os movimentos rotativos e lineares da máquina, bem como suas fontes de energia, podem ser perigosos:
Movimento rotativo. Mesmo eixos de rotação suaves podem prender uma peça de roupa e, por exemplo, colocar o braço de uma pessoa em uma posição perigosa. O perigo em um eixo rotativo aumenta se ele tiver partes salientes ou superfícies irregulares ou afiadas, como parafusos de ajuste, porcas, fendas, entalhes ou arestas cortantes. Peças rotativas de máquinas dão origem a “pontos de nip” de três maneiras diferentes:
Movimentos lineares. Movimentos verticais, horizontais e alternativos podem causar ferimentos de várias maneiras: uma pessoa pode receber um empurrão ou golpe de uma peça da máquina e pode ficar presa entre a peça da máquina e algum outro objeto, ou pode ser cortada por uma borda afiada, ou sofrer uma lesão por pinçamento por ficar preso entre a parte móvel e outro objeto (figura 1).
Figura 1. Exemplos de movimentos mecânicos que podem ferir uma pessoa
Fontes de energia. Freqüentemente, fontes externas de energia são empregadas para operar uma máquina que pode envolver quantidades consideráveis de energia. Estes incluem sistemas elétricos, a vapor, hidráulicos, pneumáticos e mecânicos, todos os quais, se liberados ou descontrolados, podem causar ferimentos graves ou danos. Um estudo de acidentes ocorridos durante um ano (1987 a 1988) entre agricultores em nove aldeias no norte da Índia mostrou que as máquinas de corte de forragem, todas com o mesmo design, são mais perigosas quando movidas por um motor ou trator. A frequência relativa de acidentes envolvendo mais de um ferimento leve (por máquina) foi de 5.1 por mil para cortadores manuais e 8.6 por mil para cortadores elétricos (Mohan e Patel 1992).
Lesões Associadas a Movimentos de Máquinas
Uma vez que as forças associadas aos movimentos da máquina costumam ser muito grandes, pode-se presumir que as lesões que elas provocam serão graves. Esta presunção é confirmada por várias fontes. O “contato com máquinas em movimento ou material sendo usinado” foi responsável por apenas 5% de todos os acidentes ocupacionais, mas por até 10% dos acidentes fatais e graves (fraturas, amputações e assim por diante) de acordo com estatísticas britânicas (HSE 1989). Estudos de dois locais de trabalho de fabricação de veículos na Suécia apontam na mesma direção. Os acidentes causados por movimentação de máquinas geraram o dobro de dias de afastamento por doença, medidos por valores medianos, em relação aos acidentes não relacionados a máquinas. Os acidentes relacionados com máquinas também diferiram de outros acidentes no que diz respeito à parte do corpo lesada: os resultados indicaram que 80% das lesões sofridas em acidentes “máquinas” foram nas mãos e nos dedos, enquanto a proporção correspondente para acidentes “outros” foi 40% (Backström e Döös 1995).
A situação de risco nas instalações automatizadas revelou-se tanto diferente (em termos de tipo de acidente, sequência de eventos e grau de gravidade das lesões) como mais complicada (tanto em termos técnicos como no que diz respeito à necessidade de competências especializadas) do que em instalações onde são utilizadas máquinas convencionais. O termo automatizado aqui se refere a equipamentos que, sem a intervenção direta de um ser humano, podem iniciar um movimento de máquina ou mudar sua direção ou função. Esses equipamentos requerem dispositivos sensores (por exemplo, sensores de posição ou microinterruptores) e/ou alguma forma de controle sequencial (por exemplo, um programa de computador) para direcionar e monitorar suas atividades. Nas últimas décadas, uma Controlador Lógico Programável (PLC) tem sido cada vez mais empregado como unidade de controle em sistemas de produção. Pequenos computadores são agora os meios mais comuns usados para controlar equipamentos de produção no mundo industrializado, enquanto outros meios de controle, como unidades eletromecânicas, estão se tornando cada vez menos comuns. Na indústria manufatureira sueca, o uso de máquinas controladas numericamente (NC) aumentou de 11 a 12% ao ano durante a década de 1980 (Hörte e Lindberg 1989). Na produção industrial moderna, ser ferido por “partes móveis de máquinas” está se tornando cada vez mais equivalente a ser ferido por “movimentos de máquinas controlados por computador”.
As instalações automatizadas são encontradas em cada vez mais setores da indústria e têm um número crescente de funções. O gerenciamento de lojas, manuseio de materiais, processamento, montagem e embalagem estão sendo automatizados. A produção em série passou a se assemelhar à produção em processo. Se a alimentação, usinagem e ejeção das peças de trabalho forem mecanizadas, o operador não precisa mais estar na zona de risco durante o curso da produção regular e sem interrupções. Estudos de pesquisa de fabricação automatizada mostraram que os acidentes ocorrem principalmente no tratamento de distúrbios que afetam a produção. No entanto, as pessoas também podem atrapalhar os movimentos da máquina na execução de outras tarefas, como limpeza, ajuste, reinicialização, controle e reparo.
Quando a produção é automatizada e o processo não está mais sob o controle direto do ser humano, aumenta o risco de movimentos inesperados da máquina. A maioria dos operadores que trabalham com grupos ou linhas de máquinas interligadas já experimentou tais movimentos inesperados da máquina. Muitos acidentes de automação ocorrem como resultado de tais movimentos. Um acidente de automação é um acidente em que o equipamento automático controlou (ou deveria ter controlado) a energia que deu origem à lesão. Isso significa que a força que fere a pessoa vem da própria máquina (por exemplo, a energia do movimento de uma máquina). Em um estudo de 177 acidentes de automação na Suécia, verificou-se que a lesão foi causada pela “partida inesperada” de uma parte de uma máquina em 84% dos casos (Backström e Harms-Ringdahl 1984). Um exemplo típico de lesão causada por um movimento de máquina controlado por computador é mostrado na figura 2.
Figura 2. Um exemplo típico de uma lesão causada por um movimento de máquina controlado por computador
Um dos estudos acima referidos (Backström e Döös 1995) mostrou que os movimentos de máquinas controlados automaticamente estavam causalmente ligados a períodos mais longos de baixa por doença do que lesões devido a outros tipos de movimentos de máquinas, sendo o valor médio quatro vezes superior num dos locais de trabalho . O padrão de lesões dos acidentes de automação foi semelhante ao de outros acidentes de máquinas (envolvendo principalmente mãos e dedos), mas a tendência é que os primeiros tipos de lesões sejam mais graves (amputações, esmagamentos e fraturas).
O controle por computador, assim como o manual, tem pontos fracos do ponto de vista da confiabilidade. Não há garantia de que um programa de computador funcionará sem erros. A eletrônica, com seus baixos níveis de sinal, pode ser sensível a interferências se não for devidamente protegida, e nem sempre é possível prever as conseqüências das falhas resultantes. Além disso, as mudanças de programação geralmente não são documentadas. Um método usado para compensar essa deficiência é, por exemplo, operar sistemas “duplos” nos quais existem duas cadeias independentes de componentes funcionais e um método de monitoramento de modo que ambas as cadeias exibam o mesmo valor. Se os sistemas apresentarem valores diferentes, isso indica falha em um deles. Mas existe a possibilidade de que ambas as cadeias de componentes possam sofrer da mesma falha e que ambas possam ser desordenadas pela mesma perturbação, dando assim uma leitura falsa positiva (como ambos os sistemas concordam). No entanto, apenas em alguns dos casos investigados foi possível atribuir um acidente a uma falha do computador (ver abaixo), apesar de ser comum um único computador controlar todas as funções de uma instalação (até mesmo a paragem de uma máquina como resultado da ativação de um dispositivo de segurança). Como alternativa, pode-se considerar o fornecimento de um sistema testado e comprovado com componentes eletromecânicos para funções de segurança.
Problemas técnicos
De maneira geral, pode-se dizer que um único acidente tem várias causas, incluindo técnicas, individuais, ambientais e organizacionais. Para fins preventivos, um acidente é melhor encarado não como um evento isolado, mas como um seqüência de eventos ou um processo (Backström 1996). No caso dos acidentes de automação, foi demonstrado que os problemas técnicos frequentemente fazem parte dessa sequência e ocorrem em uma das fases iniciais do processo ou próximo ao evento lesivo do acidente. Estudos em que foram examinados problemas técnicos envolvidos em acidentes de automação sugerem que estes estão por trás de 75 a 85% dos acidentes. Ao mesmo tempo, em qualquer caso específico, geralmente existem outras causas, como as de natureza organizacional. Apenas em um décimo dos casos foi descoberto que a fonte direta da energia que deu origem a uma lesão pode ser atribuída a uma falha técnica - por exemplo, um movimento da máquina ocorrendo apesar da máquina estar parada. Números semelhantes foram relatados em outros estudos. Normalmente, um problema técnico causava problemas com o equipamento, fazendo com que o operador tivesse que alternar tarefas (por exemplo, reposicionar uma peça que estava em posição torta). O acidente ocorreu então durante a execução da tarefa, motivado pela falha técnica. Um quarto dos acidentes de automação foi precedido por uma perturbação no fluxo de materiais, como uma peça que ficou presa ou ficou em uma posição torta ou defeituosa (consulte a figura 3).
Figura 3. Tipos de problemas técnicos envolvidos em acidentes de automação (número de acidentes =127)
Em um estudo de 127 acidentes envolvendo automação, 28 desses acidentes, descritos na figura 4, foram investigados posteriormente para determinar os tipos de problemas técnicos envolvidos como fatores causais (Backström e Döös, no prelo). Os problemas especificados nas investigações de acidentes foram causados com mais frequência por componentes emperrados, defeituosos ou desgastados. Em dois casos, o problema foi causado por um erro de programa de computador e em um por interferência eletromagnética. Em mais da metade dos casos (17 em 28), as falhas já existiam há algum tempo, mas não foram corrigidas. Apenas em 5 dos 28 casos em que se referiu falha técnica ou desvio, o defeito não se manifestou anteriormente. Algumas falhas foram reparadas apenas para reaparecer mais tarde. Alguns defeitos estavam presentes desde o momento da instalação, enquanto outros resultaram do desgaste e do impacto do meio ambiente.
A proporção de acidentes de automação ocorridos durante a correção de um distúrbio na produção varia entre um terço e dois terços de todos os casos, de acordo com a maioria dos estudos. Em outras palavras, há um consenso geral de que lidar com distúrbios de produção é uma tarefa ocupacional perigosa. A variação na ocorrência desses acidentes tem muitas explicações, entre elas aquelas relacionadas ao tipo de produção e à forma como as tarefas ocupacionais são classificadas. Em alguns estudos de distúrbios, foram considerados apenas problemas e paradas de máquinas durante a produção regular; em outros, tratou-se de uma gama mais ampla de problemas — por exemplo, os envolvidos na montagem do trabalho.
Uma medida muito importante na prevenção de acidentes de automação é preparar procedimentos para remover as causas dos distúrbios de produção para que eles não se repitam. Em um estudo especializado de distúrbios de produção no momento do acidente (Döös e Backström 1994), verificou-se que a tarefa mais comum a que os distúrbios davam origem era a liberação ou a correção da posição de uma peça de trabalho que havia ficado presa ou incorretamente colocada. Esse tipo de problema iniciou uma de duas sequências de eventos bastante semelhantes: (1) a peça foi liberada e voltou para sua posição correta, a máquina recebeu um sinal automático para iniciar e a pessoa foi ferida pelo movimento iniciado da máquina, (2 ) não houve tempo para a liberação ou reposicionamento da peça antes que a pessoa fosse ferida por um movimento da máquina que veio de forma inesperada, mais rápida ou com mais força do que o operador esperava. Outro tratamento de perturbação envolvia solicitar um impulso do sensor, liberar uma peça de máquina emperrada, realizar tipos simples de rastreamento de falhas e providenciar a reinicialização (consulte a figura 4).
Figura 4. Tipo de manejo da perturbação no momento do acidente (número de acidentes =76)
Segurança do Trabalhador
As categorias de pessoas que tendem a se ferir em acidentes de automação dependem de como o trabalho é organizado, ou seja, em qual grupo ocupacional executa as tarefas perigosas. Na prática, é uma questão de qual pessoa no local de trabalho é designada para lidar com problemas e perturbações rotineiramente. Na indústria sueca moderna, geralmente são exigidas intervenções ativas das pessoas que operam a máquina. É por isso que, no estudo do local de trabalho da fabricação de veículos mencionado anteriormente na Suécia (Backström e Döös, aceito para publicação), descobriu-se que 82% das pessoas que sofreram lesões por máquinas automatizadas eram trabalhadores ou operadores de produção. Os operadores também tiveram uma frequência relativa de acidentes maior (15 acidentes de automação por 1,000 operadores por ano) do que os trabalhadores de manutenção (6 por 1,000). As conclusões dos estudos que indicam que os trabalhadores de manutenção são mais afetados são, pelo menos em parte, explicadas pelo fato de que os operadores não podem entrar nas áreas de usinagem em algumas empresas. Em organizações com um tipo diferente de distribuição de tarefas, outras categorias de pessoal - montadores, por exemplo - podem receber a tarefa de resolver quaisquer problemas de produção que surjam.
A medida corretiva mais comum tomada neste contexto para aumentar o nível de segurança pessoal é proteger a pessoa dos movimentos perigosos da máquina usando algum tipo de dispositivo de segurança, como proteção de máquina. O principal princípio aqui é o da segurança “passiva” – isto é, a provisão de proteção que não requer ação por parte do trabalhador. É, no entanto, impossível julgar a eficácia dos dispositivos de proteção sem um conhecimento muito bom dos requisitos reais de trabalho na máquina em questão, uma forma de conhecimento que normalmente é possuída apenas pelos próprios operadores de máquinas.
Existem muitos fatores que podem colocar fora de ação até mesmo o que é aparentemente uma boa proteção de máquina. Para realizar seu trabalho, os operadores podem precisar desativar ou contornar um dispositivo de segurança. Em um estudo (Döös e Backström 1993), descobriu-se que tal desengajamento ou evasão ocorreu em 12 de 75 dos acidentes de automação cobertos. Muitas vezes é uma questão de ambição do operador, que não está mais disposto a aceitar os problemas de produção ou o atraso no processo de produção para corrigir os distúrbios de acordo com as instruções. Uma forma de evitar esse problema é tornar o dispositivo de proteção imperceptível, para que não afete o ritmo de produção, a qualidade do produto ou o desempenho da tarefa. Mas isso nem sempre é possível; e onde houver distúrbios repetidos na produção, mesmo pequenos inconvenientes podem levar as pessoas a não utilizarem dispositivos de segurança. Novamente, devem ser disponibilizadas rotinas para remover as causas dos distúrbios de produção para que estes não se repitam. A falta de um meio de confirmar se os dispositivos de segurança realmente funcionam de acordo com as especificações é outro fator de risco significativo. Conexões defeituosas, sinais de partida que permanecem no sistema e posteriormente dão origem a partidas inesperadas, aumento da pressão do ar e sensores que se soltaram podem causar falhas no equipamento de proteção.
Sumário
Como foi demonstrado, soluções técnicas para problemas podem dar origem a novos problemas. Embora as lesões sejam causadas por movimentos de máquinas, que são de natureza essencialmente técnica, isso não significa automaticamente que o potencial de sua erradicação resida em fatores puramente técnicos. Os sistemas técnicos continuarão a funcionar mal e as pessoas não conseguirão lidar com as situações a que essas falhas dão origem. Os riscos continuarão a existir e só podem ser controlados por uma ampla variedade de meios. Legislação e controle, medidas organizacionais em empresas individuais (na forma de treinamento, rodadas de segurança, análise de risco e relatórios de distúrbios e quase acidentes) e ênfase em melhorias constantes e contínuas são necessárias como complementos ao desenvolvimento puramente técnico.
Parece haver tantos perigos potenciais criados por peças móveis de máquinas quanto diferentes tipos de máquinas. As proteções são essenciais para proteger os trabalhadores de lesões desnecessárias e evitáveis relacionadas ao maquinário. Portanto, qualquer peça, função ou processo da máquina que possa causar ferimentos deve ser protegido. Onde a operação de uma máquina ou contato acidental com ela puder ferir o operador ou outras pessoas nas proximidades, o perigo deve ser controlado ou eliminado.
Movimentos e Ações Mecânicas
Os perigos mecânicos normalmente envolvem peças móveis perigosas nas três áreas básicas a seguir:
Uma ampla variedade de movimentos mecânicos e ações que podem apresentar riscos aos trabalhadores incluem o movimento de membros rotativos, braços alternativos, correias móveis, engrenagens engrenadas, dentes cortantes e quaisquer peças que impactam ou cisalham. Esses diferentes tipos de movimentos e ações mecânicas são básicos para quase todas as máquinas, e reconhecê-los é o primeiro passo para proteger os trabalhadores dos perigos que eles podem apresentar.
Moções
Existem três tipos básicos de movimento: rotativo, recíproco e transversal.
Movimento rotativo pode ser perigoso; mesmo eixos lisos e de rotação lenta podem prender a roupa e forçar um braço ou mão a uma posição perigosa. Lesões devido ao contato com peças rotativas podem ser graves (consulte a figura 1).
Figura 1. Prensa puncionadora mecânica
Colares, acoplamentos, cames, embreagens, volantes, pontas de eixo, fusos e eixos horizontais ou verticais são alguns exemplos de mecanismos rotativos comuns que podem ser perigosos. Há perigo adicional quando parafusos, entalhes, abrasões e chaves salientes ou parafusos de fixação são expostos em peças rotativas em máquinas, conforme mostrado na figura 2.
Figura 2. Exemplos de projeções perigosas em peças rotativas
Ponto de nip em execuçãos são criados por peças rotativas em máquinas. Existem três tipos principais de pontos de nip em execução:
Figura 3. Pontos de nip comuns em peças rotativas
Figura 4. Pontos de aperto entre elementos rotativos e peças com movimentos longitudinais
Figura 5. Pontos de aperto entre os componentes rotativos da máquina
Movimentos alternativos pode ser perigoso porque durante o movimento para frente e para trás ou para cima e para baixo, um trabalhador pode ser atingido ou ficar preso entre uma parte móvel e uma parte estacionária. Um exemplo é mostrado na figura 6.
Figura 6. Movimento alternativo perigoso
movimento transversal (movimento em linha reta e contínua) cria um risco porque um trabalhador pode ser atingido ou preso em um ponto de aperto ou cisalhamento por uma peça móvel. Um exemplo de movimento transversal é mostrado na figura 7.
Figura 7. Exemplo de movimento transversal
Opções
Existem quatro tipos básicos de ação: corte, puncionamento, cisalhamento e dobra.
Ação de corte envolve rotação, movimento alternativo ou transversal. A ação de corte cria perigos no ponto de operação onde podem ocorrer lesões nos dedos, cabeça e braço e onde lascas ou fragmentos de material podem atingir os olhos ou o rosto. Exemplos típicos de máquinas com riscos de corte incluem serras de fita, serras circulares, mandriladoras ou furadeiras, tornos (tornos) e fresadoras. (Veja a figura 8.)
Figura 8. Exemplos de riscos de corte
ação de perfuração resulta quando a energia é aplicada a um slide (ram) com a finalidade de cortar, desenhar ou estampar metal ou outros materiais. O perigo desse tipo de ação ocorre no ponto de operação onde o estoque é inserido, segurado e retirado manualmente. Máquinas típicas que usam ação de puncionamento são prensas mecânicas e ferragens. (Veja a figura 9.)
Figura 9. Operação típica de perfuração
Ação de cisalhamento envolve a aplicação de energia a uma corrediça ou faca para aparar ou cortar metal ou outros materiais. Um perigo ocorre no ponto de operação onde o material é realmente inserido, retido e retirado. Exemplos típicos de máquinas usadas para operações de cisalhamento são cisalhas acionadas mecanicamente, hidraulicamente ou pneumaticamente. (Veja a figura 10.)
Figura 10. Operação de cisalhamento
Ação de dobra resulta quando a energia é aplicada a um slide para moldar, desenhar ou estampar metal ou outros materiais. O perigo ocorre no ponto de operação onde o material é inserido, retido e retirado. Equipamentos que usam ação de dobra incluem prensas mecânicas, dobradeiras e dobradeiras de tubos. (Veja a figura 11.)
Figura 11. Operação de dobra
Requisitos para salvaguardas
As proteções devem atender aos seguintes requisitos gerais mínimos para proteger os trabalhadores contra riscos mecânicos:
Impedir o contato. A proteção deve evitar que mãos, braços ou qualquer parte do corpo ou roupa de um trabalhador entrem em contato com peças móveis perigosas, eliminando a possibilidade de operadores ou outros trabalhadores colocarem partes de seus corpos perto de peças móveis perigosas.
Fornecer segurança. Os trabalhadores não devem ser capazes de remover ou adulterar facilmente a proteção. Proteções e dispositivos de segurança devem ser feitos de material durável que resista às condições normais de uso e que estejam firmemente presos à máquina.
Proteja-se da queda de objetos. A proteção deve garantir que nenhum objeto possa cair nas partes móveis e danificar o equipamento ou se tornar um projétil que possa atingir e ferir alguém.
Não criar novos perigos. Uma proteção anula seu propósito se criar um risco próprio, como um ponto de cisalhamento, uma borda irregular ou uma superfície inacabada. As bordas das proteções, por exemplo, devem ser enroladas ou aparafusadas de forma que eliminem arestas vivas.
Não criar interferência. As salvaguardas que impedem os trabalhadores de realizar seus trabalhos podem em breve ser substituídas ou desconsideradas. Se possível, os trabalhadores devem ser capazes de lubrificar as máquinas sem desengatar ou remover as proteções. Por exemplo, localizar reservatórios de óleo fora da proteção, com uma linha que leve ao ponto de lubrificação, reduzirá a necessidade de entrar na área perigosa.
Treinamento de Salvaguarda
Mesmo o sistema de proteção mais elaborado não pode oferecer proteção eficaz, a menos que os trabalhadores saibam como usá-lo e por quê. O treinamento específico e detalhado é uma parte importante de qualquer esforço para implementar a proteção contra riscos relacionados à máquina. A proteção adequada pode melhorar a produtividade e aumentar a eficiência, pois pode aliviar as apreensões dos trabalhadores sobre lesões. O treinamento de proteção é necessário para novos operadores e pessoal de manutenção ou configuração, quando quaisquer proteções novas ou alteradas são colocadas em serviço ou quando os trabalhadores são designados para uma nova máquina ou operação; deve envolver instrução ou treinamento prático no seguinte:
Métodos de proteção de máquinas
Existem muitas maneiras de proteger as máquinas. O tipo de operação, o tamanho ou formato do estoque, o método de manuseio, o layout físico da área de trabalho, o tipo de material e os requisitos ou limitações de produção ajudarão a determinar o método de proteção apropriado para a máquina individual. O projetista da máquina ou o profissional de segurança deve escolher a proteção mais eficaz e prática disponível.
As proteções podem ser categorizadas em cinco classificações gerais: (1) proteções, (2) dispositivos, (3) separação, (4) operações e (5) outras.
Proteção com guardas
Existem quatro tipos gerais de proteções (barreiras que impedem o acesso a áreas de perigo), como segue:
Guardas fixos. Uma proteção fixa é uma parte permanente da máquina e não depende de partes móveis para executar sua função pretendida. Pode ser feito de chapa metálica, tela, tela de arame, barras, plástico ou qualquer outro material que seja resistente o suficiente para suportar qualquer impacto que possa receber e suportar uso prolongado. As proteções fixas são geralmente preferíveis a todos os outros tipos devido à sua relativa simplicidade e permanência (ver tabela 1).
Tabela 1. Proteções de máquina
Método |
Ação de salvaguarda |
Vantagens |
Limitações |
Fixo |
· Fornece uma barreira |
· Adapta-se a muitas aplicações específicas |
· Pode interferir na visibilidade |
Intertravado |
· Desliga ou desengata a energia e impede a partida da máquina quando a proteção está aberta; deve exigir que a máquina seja parada antes que o trabalhador possa alcançar a área de perigo |
· Oferece proteção máxima |
· Requer ajuste e manutenção cuidadosos |
Ajustável |
· Fornece uma barreira que pode ser ajustada para facilitar uma variedade de operações de produção |
· Pode ser construído para atender a muitas aplicações específicas |
· O operador pode entrar na área de perigo: a proteção pode não estar completa o tempo todo |
Auto-ajustável |
· Fornece uma barreira que se move de acordo com o tamanho do estoque que entra na área de perigo |
· Protetores prontos para uso estão disponíveis comercialmente |
· Nem sempre oferece proteção máxima |
Na figura 12, uma proteção fixa em uma prensa mecânica envolve completamente o ponto de operação. O estoque é alimentado pela lateral da proteção para a área da matriz, com o estoque de sucata saindo pelo lado oposto.
Figura 12. Proteção fixa na prensa de força
A Figura 13 descreve uma proteção de caixa fixa que protege a correia e a polia de uma unidade de transmissão de energia. Um painel de inspeção é fornecido na parte superior para minimizar a necessidade de remover a proteção.
Figura 13. Correias e polias com proteção fixa
Na figura 14, as proteções fixas do invólucro são mostradas em uma serra de fita. Essas proteções protegem os operadores das rodas giratórias e da lâmina de serra em movimento. Normalmente, a única vez em que as proteções seriam abertas ou removidas seria para troca de lâmina ou para manutenção. É muito importante que estejam bem presos enquanto a serra estiver em uso.
Figura 14. Protetores fixos na serra de fita
Guardas interligados. Quando as proteções intertravadas são abertas ou removidas, o mecanismo de disparo e/ou energia desliga ou desengata automaticamente, e a máquina não pode rodar ou ser iniciada até que a proteção intertravada esteja de volta no lugar. No entanto, substituir a proteção de intertravamento não deve reiniciar a máquina automaticamente. As proteções intertravadas podem usar energia elétrica, mecânica, hidráulica ou pneumática, ou qualquer combinação delas. Os intertravamentos não devem impedir o “avanço” (ou seja, movimentos progressivos graduais) por controle remoto, se necessário.
Um exemplo de proteção intertravada é mostrado na figura 15. Nesta figura, o mecanismo batedor de uma máquina picker (usada na indústria têxtil) é coberto por uma barreira intertravada de proteção. Esta proteção não pode ser levantada enquanto a máquina estiver funcionando, nem a máquina pode ser reiniciada com a proteção na posição elevada.
Figura 15. Proteção intertravada na máquina coletora
Protetores ajustáveis. Protetores ajustáveis permitem flexibilidade para acomodar vários tamanhos de estoque. A Figura 16 mostra uma proteção de gabinete ajustável em uma serra de fita.
Figura 16. Protetor ajustável na serra de fita
Protetores autoajustáveis. As aberturas das proteções autoajustáveis são determinadas pelo movimento da coronha. À medida que o operador move a coronha para a área de perigo, a proteção é afastada, proporcionando uma abertura grande o suficiente para permitir apenas a passagem da coronha. Depois que o estoque é removido, o protetor retorna à posição de repouso. Esta proteção protege o operador colocando uma barreira entre a área de perigo e o operador. As proteções podem ser construídas de plástico, metal ou outro material resistente. As proteções auto-ajustáveis oferecem diferentes graus de proteção.
A Figura 17 mostra uma serra de braço radial com proteção autoajustável. À medida que a lâmina é puxada pela coronha, a proteção se move para cima, permanecendo em contato com a coronha.
Figura 17. Proteção autoajustável na serra de braço radial
Proteção com dispositivos
Os dispositivos de segurança podem parar a máquina se uma mão ou qualquer parte do corpo for colocada inadvertidamente na área de perigo, podem restringir ou retirar as mãos do operador da área de perigo durante a operação, podem exigir que o operador use ambas as mãos nos controles da máquina simultaneamente ( mantendo assim as mãos e o corpo fora de perigo) ou pode fornecer uma barreira sincronizada com o ciclo operacional da máquina para impedir a entrada na área de perigo durante a parte perigosa do ciclo. Existem cinco tipos básicos de dispositivos de segurança, como segue:
Dispositivos de detecção de presença
Três tipos de dispositivos sensores que param a máquina ou interrompem o ciclo de trabalho ou operação se um trabalhador estiver dentro da zona de perigo são descritos abaixo:
A dispositivo sensor de presença fotoelétrico (óptico) usa um sistema de fontes de luz e controles que podem interromper o ciclo operacional da máquina. Se o campo de luz for interrompido, a máquina para e não roda. Este dispositivo deve ser usado apenas em máquinas que podem ser paradas antes que o trabalhador alcance a área de perigo. A Figura 18 mostra um dispositivo fotoelétrico de detecção de presença usado com uma prensa dobradeira. O dispositivo pode ser girado para cima ou para baixo para acomodar diferentes requisitos de produção.
Figura 18. Dispositivo fotoelétrico de detecção de presença na prensa dobradeira
A dispositivo de detecção de presença por radiofrequência (capacitância) usa um feixe de rádio que faz parte do circuito de controle. Quando o campo de capacitância é interrompido, a máquina irá parar ou não será ativada. Este dispositivo deve ser usado apenas em máquinas que podem ser paradas antes que o trabalhador possa alcançar a área de perigo. Isso requer que a máquina tenha uma embreagem de fricção ou outro meio confiável de parada. A Figura 19 mostra um dispositivo de detecção de presença por radiofrequência montado em uma prensa mecânica de revolução parcial.
Figura 19. Dispositivo de detecção de presença por radiofrequência na serra elétrica
A dispositivo sensor eletromecânico possui um apalpador ou barra de contato que desce até uma distância predeterminada quando o operador inicia o ciclo da máquina. Se houver uma obstrução impedindo-a de descer toda a distância predeterminada, o circuito de controle não aciona o ciclo da máquina. A Figura 20 mostra um dispositivo de detecção eletromecânico em uma eyeletter. A sonda de detecção em contato com o dedo do operador também é mostrada.
Figura 20. Dispositivo de detecção eletromecânica na máquina de letras de olho
Dispositivos pullback
Os dispositivos pullback utilizam uma série de cabos conectados às mãos, pulsos e/ou braços do operador e são usados principalmente em máquinas com ação de curso. Quando a corrediça/êmbolo está levantada, o operador tem acesso ao ponto de operação. Quando a corrediça/arríete começa a descer, uma articulação mecânica garante automaticamente a retirada das mãos do ponto de operação. A Figura 21 mostra um dispositivo pullback em uma prensa pequena.
Figura 21. Dispositivo pullback na prensa mecânica
Dispositivos de retenção
Dispositivos de retenção, que utilizam cabos ou correias presas entre um ponto fixo e as mãos do operador, têm sido usados em alguns países. Esses dispositivos geralmente não são considerados proteções aceitáveis porque são facilmente contornados pelo operador, permitindo assim que as mãos sejam colocadas na zona de perigo. (Ver tabela 2.)
Tabela 2. Dispositivos
Método |
Ação de salvaguarda |
Vantagens |
Limitações |
Fotoelétrico |
· A máquina não iniciará o ciclo quando o campo de luz for interrompido |
· Pode permitir movimentos mais livres para o operador |
· Não protege contra falhas mecânicas |
Radiofrequência |
· O ciclo da máquina não iniciará quando o campo de capacitância for interrompido |
· Pode permitir movimentos mais livres para o operador |
· Não protege contra falhas mecânicas |
Eletro-mecânica |
· Barra de contato ou sonda percorre uma distância predeterminada entre o operador e a área de perigo |
· Pode permitir o acesso no ponto de operação |
· A barra de contato ou sonda deve estar devidamente ajustada para cada aplicação; este ajuste deve ser mantido adequadamente |
Retrocesso |
· Quando a máquina começa a rodar, as mãos do operador são puxadas para fora da área de perigo |
· Elimina a necessidade de barreiras auxiliares ou outras interferências na área de perigo |
· Limita o movimento do operador |
Controles de viagem de segurança: |
· Pára a máquina quando acionada |
· Simplicidade de uso |
· Todos os controles devem ser ativados manualmente |
Controle de duas mãos |
· É necessário o uso simultâneo de ambas as mãos, evitando que o operador entre na área de perigo |
· As mãos do operador estão em um local predeterminado longe da área de perigo |
· Requer uma máquina de ciclo parcial com freio |
viagem de duas mãos |
· O uso simultâneo de duas mãos em controles separados evita que as mãos fiquem na área de perigo quando o ciclo da máquina começa |
· As mãos do operador estão longe da área de perigo |
· O operador pode tentar alcançar a área de perigo após tropeçar na máquina |
Portão |
· Fornece uma barreira entre a área de perigo e o operador ou outro pessoal |
· Pode impedir alcançar ou entrar na área de perigo |
· Pode exigir inspeção frequente e manutenção regular |
Dispositivos de controle de segurança
Todos esses dispositivos de controle de segurança são ativados manualmente e devem ser redefinidos manualmente para reiniciar a máquina:
Figura 22. Barra de corpo sensível à pressão no moinho de borracha
Figura 23. Haste de segurança na fábrica de borracha
Figura 24. Cabo de segurança na calandra
Figura 25. Botões de controle de duas mãos na prensa de força da embreagem de revolução parcial
Figura 26. Botões de controle de duas mãos na prensa de força da embreagem de revolução total
Figura 27. Prensa potente com portão
Salvaguarda por localização ou distância
Para proteger uma máquina por localização, a máquina ou suas peças móveis perigosas devem ser posicionadas de forma que as áreas perigosas não sejam acessíveis ou não representem perigo para o trabalhador durante a operação normal da máquina. Isso pode ser feito com paredes ou cercas que restrinjam o acesso às máquinas, ou localizando uma máquina de forma que um recurso de projeto da planta, como uma parede, proteja o trabalhador e outras pessoas. Outra possibilidade é ter peças perigosas localizadas em altura suficiente para ficarem fora do alcance normal de qualquer trabalhador. Uma análise de risco completa de cada máquina e situação particular é essencial antes de tentar esta técnica de proteção. Os exemplos mencionados abaixo são algumas das inúmeras aplicações do princípio da salvaguarda por localização/distância.
Processo de alimentação. O processo de alimentação pode ser protegido por localização se for possível manter uma distância segura para proteger as mãos do trabalhador. As dimensões do estoque que está sendo trabalhado podem fornecer segurança adequada. Por exemplo, ao operar uma máquina de perfuração de extremidade única, se o material tiver vários pés de comprimento e apenas uma extremidade do material estiver sendo trabalhada, o operador poderá segurar a extremidade oposta enquanto o trabalho estiver sendo executado. No entanto, dependendo da máquina, a proteção ainda pode ser necessária para outras pessoas.
Controles de posicionamento. O posicionamento da estação de controle do operador fornece uma abordagem potencial para proteção por localização. Os controles do operador podem estar localizados a uma distância segura da máquina se não houver motivo para o operador estar presente na máquina.
Métodos de proteção de alimentação e ejeção
Muitos métodos de alimentação e ejeção não exigem que os operadores coloquem as mãos na área de perigo. Em alguns casos, nenhum envolvimento do operador é necessário após a configuração da máquina, enquanto em outras situações, os operadores podem alimentar manualmente o estoque com a ajuda de um mecanismo de alimentação. Além disso, podem ser projetados métodos de ejeção que não requeiram qualquer envolvimento do operador depois que a máquina começar a funcionar. Alguns métodos de alimentação e ejeção podem até mesmo criar perigos, como um robô que pode eliminar a necessidade de um operador estar perto da máquina, mas pode criar um novo perigo pelo movimento de seu braço. (Ver tabela 3.)
Tabela 3. Métodos de alimentação e ejeção
Método |
Ação de salvaguarda |
Vantagens |
Limitações |
Feed automático |
· O estoque é alimentado a partir de rolos, indexados pelo mecanismo da máquina, etc. |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Outras proteções também são necessárias para proteção do operador - geralmente proteções de barreira fixas |
Semi-automática |
· O estoque é alimentado por chutes, matrizes móveis, dial |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Outras proteções também são necessárias para proteção do operador - geralmente proteções de barreira fixas |
Automático |
· As peças de trabalho são ejetadas por ar ou meios mecânicos |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Pode criar um risco de sopro de lascas ou detritos |
Semi-automática |
· As peças de trabalho são ejetadas por ação mecânica |
· O operador não precisa entrar na área de perigo para remover o trabalho finalizado |
· Outras proteções são necessárias para o operador |
Robôs |
· Eles executam o trabalho normalmente feito pelo operador |
· O operador não precisa entrar na área de perigo |
· Podem criar perigos por conta própria |
O uso de um dos cinco métodos de alimentação e ejeção a seguir para proteger as máquinas não elimina a necessidade de proteções e outros dispositivos, que devem ser usados conforme necessário para fornecer proteção contra exposição a riscos.
Feed automático. As alimentações automáticas reduzem a exposição do operador durante o processo de trabalho e muitas vezes não exigem nenhum esforço do operador depois que a máquina está configurada e funcionando. A prensa mecânica da figura 28 possui um mecanismo de alimentação automática com uma proteção transparente fixa na área de perigo.
Figura 28. Prensa hidráulica com alimentação automática
Alimentação semiautomática. Com alimentação semiautomática, como no caso de uma prensa mecânica, o operador utiliza um mecanismo para colocar a peça que está sendo processada sob o aríete a cada passada. O operador não precisa alcançar a área de perigo e a área de perigo é completamente fechada. A Figura 29 mostra uma calha de alimentação na qual cada peça é colocada manualmente. O uso de um chute de alimentação em uma prensa inclinada não apenas ajuda a centralizar a peça à medida que ela desliza para dentro da matriz, mas também pode simplificar o problema de ejeção.
Figura 29. Prensa potente com alimentação por calha
Ejeção automática. A ejeção automática pode empregar pressão de ar ou um aparato mecânico para remover a peça completa de uma prensa e pode ser interligada com os controles operacionais para impedir a operação até que a ejeção da peça seja concluída. O mecanismo pan shuttle mostrado na figura 30 move-se sob a peça acabada enquanto a corrediça se move para cima. A lançadeira então pega a peça arrancada da corrediça pelos pinos de extração e a desvia para um chute. Quando o aríete se move para baixo em direção ao próximo espaço em branco, o pan shuttle se afasta da área da matriz.
Figura 30. Sistema de ejeção do vaivém
Ejeção semiautomática. A Figura 31 mostra um mecanismo de ejeção semiautomático usado em uma prensa mecânica. Quando o êmbolo é retirado da área da matriz, a perna ejetora, que é mecanicamente acoplada ao êmbolo, chuta o trabalho concluído.
Figura 31. Mecanismo de ejeção semiautomático
Robôs. Os robôs são dispositivos complexos que carregam e descarregam estoque, montam peças, transferem objetos ou executam trabalhos que não seriam executados por um operador, eliminando assim a exposição do operador a riscos. Eles são mais bem utilizados em processos de alta produção que exigem rotinas repetidas, onde podem proteger contra outros riscos aos funcionários. Os robôs podem criar perigos e proteções apropriadas devem ser usadas. A Figura 32 mostra um exemplo de um robô alimentando uma prensa.
Figura 32. Usando proteções de barreira para proteger o envelope do robô
Auxiliares de proteção diversos
Embora diversos auxílios de proteção não ofereçam proteção completa contra os perigos da máquina, eles podem fornecer aos operadores uma margem extra de segurança. É necessário bom senso em sua aplicação e uso.
Barreiras de conscientização. As barreiras de alerta não fornecem proteção física, mas servem apenas para lembrar os operadores de que estão se aproximando da área de perigo. Geralmente, as barreiras de conscientização não são consideradas adequadas quando existe exposição contínua ao perigo. A Figura 33 mostra uma corda usada como barreira de reconhecimento na parte traseira de uma tesoura de esquadria. As barreiras não impedem fisicamente as pessoas de entrar em áreas de perigo, mas apenas fornecem conscientização sobre o perigo.
Figura 33. Vista traseira do quadrado de power shear
Shields. Os escudos podem ser usados para fornecer proteção contra partículas voadoras, respingos de fluidos de usinagem ou refrigerantes. A Figura 34 mostra duas aplicações potenciais.
Figura 34. Aplicações de escudos
Ferramentas de segurar. As ferramentas de fixação colocam e removem o estoque. Um uso típico seria para alcançar a área de perigo de uma prensa ou dobradeira. A Figura 35 mostra uma variedade de ferramentas para essa finalidade. Ferramentas de retenção não devem ser usadas em vez disso de outras proteções de máquinas; eles são apenas um complemento para a proteção que outros guardas fornecem.
Figura 35. Ferramentas de fixação
Empurrar bastões ou blocos, como mostrado na figura 36, pode ser usado ao alimentar o estoque em uma máquina, como uma lâmina de serra. Quando for necessário que as mãos fiquem muito próximas da lâmina, o bastão ou bloco pode fornecer uma margem de segurança e evitar ferimentos.
Figura 36. Uso do push stick ou push block
Desenvolvimentos gerais em microeletrônica e na tecnologia de sensores dão motivos para esperar que uma melhoria na segurança ocupacional possa ser alcançada através da disponibilidade de detectores de presença e aproximação confiáveis, resistentes, de baixa manutenção e baratos. Este artigo descreve a tecnologia de sensores, os diferentes procedimentos de detecção, as condições e restrições aplicáveis ao uso de sistemas de sensores e alguns estudos concluídos e trabalhos de padronização na Alemanha.
Critérios do Detector de Presença
O desenvolvimento e teste prático de detectores de presença é um dos maiores desafios futuros para os esforços técnicos na melhoria da segurança ocupacional e para a proteção do pessoal em geral. Detectores de presença são sensores que sinalizam de forma confiável e segura o presença próxima ou aproximação de uma pessoa. Além disso, este aviso deve ocorrer rapidamente para que uma ação evasiva, frenagem ou desligamento de uma máquina estacionária possa ocorrer antes que ocorra o contato previsto. Se as pessoas são grandes ou pequenas, qualquer que seja sua postura ou como estão vestidas, não deve afetar a confiabilidade do sensor. Além disso, o sensor deve ter certeza de funcionamento e ser robusto e barato, para que possa ser utilizado nas condições mais exigentes, como em canteiros de obras e aplicações móveis, com o mínimo de manutenção. Os sensores devem ser como um airbag, pois não precisam de manutenção e estão sempre prontos. Dada a relutância de alguns usuários em manter o que consideram equipamento não essencial, os sensores podem ficar sem manutenção por anos. Outra característica dos detetores de presença, muito mais prováveis de serem solicitados, é que também detetam obstáculos que não sejam seres humanos e alertam o operador a tempo de efetuar uma ação defensiva, reduzindo assim os custos de reparação e danos materiais. Esta é uma razão para instalar detectores de presença que não devem ser subestimados.
Aplicações do Detector
Inúmeros acidentes fatais e lesões graves que parecem atos individuais e inevitáveis do destino podem ser evitados ou minimizados desde que os detectores de presença se tornem mais aceitos como medida preventiva no campo da segurança ocupacional. Os jornais relatam esses acidentes com muita frequência: aqui uma pessoa foi atropelada por uma carregadeira que se movia para trás, ali o operador não viu alguém que foi atropelado pela roda dianteira de uma escavadeira elétrica. Caminhões que andam para trás nas ruas, instalações da empresa e canteiros de obras são a causa de muitos acidentes com as pessoas. As empresas totalmente racionalizadas de hoje não fornecem mais co-pilotos ou outras pessoas para atuar como guias para o motorista que está dando ré em um caminhão. Esses exemplos de acidentes em movimento podem ser facilmente estendidos a outros equipamentos móveis, como empilhadeiras. No entanto, o uso de sensores é urgentemente necessário para evitar acidentes envolvendo equipamentos semi-móveis e puramente estacionários. Um exemplo são as áreas traseiras de grandes máquinas de carga, que foram identificadas pelo pessoal de segurança como áreas potencialmente perigosas que podem ser melhoradas com o uso de sensores baratos. Muitas variações de detectores de presença podem ser adaptadas de forma inovadora a outros veículos e grandes equipamentos móveis para proteção contra os tipos de acidentes discutidos neste artigo, que geralmente causam danos extensos e ferimentos graves, se não fatais.
A tendência de disseminação de soluções inovadoras parece prometer que os detectores de presença se tornarão a tecnologia de segurança padrão em outras aplicações; no entanto, este não é o caso em qualquer lugar. O avanço, motivado por acidentes e altos danos materiais, é esperado no monitoramento atrás de vans de entrega e caminhões pesados e nas áreas mais inovadoras das “novas tecnologias” – as máquinas robóticas móveis do futuro.
A variação dos campos de aplicação dos detectores de presença e a variabilidade das tarefas – por exemplo, tolerar objetos (mesmo objetos em movimento, sob certas condições) que pertencem a um campo de detecção e que não devem disparar um sinal – exigem sensores nos quais “ tecnologia de avaliação inteligente” suporta os mecanismos de função do sensor. Esta tecnologia, que é um assunto para desenvolvimento futuro, pode ser elaborada a partir de métodos baseados no campo da inteligência artificial (Schreiber e Kuhn 1995). Até o momento, uma universalidade limitada restringiu severamente os usos atuais de sensores. Existem cortinas de luz; barras de luz; tapetes de contato; sensores infravermelhos passivos; detectores de movimento por ultrassom e radar que utilizam o efeito Doppler; sensores que fazem medições de tempo decorrido de ultrassom, radar e impulsos luminosos; e scanners a laser. As câmeras de televisão normais conectadas a monitores não estão incluídas nesta lista porque não são detectores de presença. No entanto, estão incluídas as câmeras que são ativadas automaticamente ao detectar a presença de uma pessoa.
Sensor Technology
Hoje, as principais questões do sensor são (1) otimizar o uso dos efeitos físicos (infravermelho, luz, ultrassom, radar, etc.) e (2) automonitoramento. Scanners a laser estão sendo intensamente desenvolvidos para uso como instrumentos de navegação para robôs móveis. Para isso, duas tarefas, em princípio parcialmente diferentes, devem ser resolvidas: a navegação do robô e a proteção das pessoas (e materiais ou equipamentos) presentes para que não sejam atingidas, atropeladas ou agarradas (Freund, Dierks e Rossman 1993 ). Os futuros robôs móveis não podem manter a mesma filosofia de segurança de “separação espacial entre robô e pessoa” que é estritamente aplicada aos robôs industriais estacionários de hoje. Isso significa colocar um alto valor no funcionamento confiável do detector de presença a ser usado.
A utilização de “novas tecnologias” está muitas vezes ligada a problemas de aceitação, podendo assumir-se que a generalização do uso de robôs móveis que se podem deslocar e agarrar, entre pessoas em fábricas, em zonas de circulação pública, ou mesmo em habitações ou zonas recreativas , só serão aceites se estiverem equipados com detectores de presença altamente desenvolvidos, sofisticados e fiáveis. Acidentes espetaculares devem ser evitados a todo custo para não agravar um possível problema de aceitação. O atual nível de gastos para o desenvolvimento deste tipo de sensores de proteção ocupacional não chega nem perto de levar em conta esta consideração. Para economizar muitos custos, os detectores de presença devem ser desenvolvidos e testados simultaneamente com os robôs móveis e os sistemas de navegação, não depois.
No que diz respeito aos veículos a motor, as questões de segurança ganharam uma importância crescente. A segurança inovadora dos passageiros em automóveis inclui cintos de segurança de três pontos, cadeiras infantis, airbags e o sistema de freio antitravamento verificado por testes de colisão em série. Essas medidas de segurança representam uma parcela relativamente crescente dos custos de produção. Os sistemas de airbag lateral e sensor de radar para medir a distância ao carro à frente são desenvolvimentos evolutivos na proteção dos passageiros.
A segurança externa do veículo motorizado – ou seja, a proteção de terceiros – está recebendo maior atenção. Recentemente, a proteção lateral foi exigida, principalmente para caminhões, para evitar que motociclistas, ciclistas e pedestres corram o risco de cair sob as rodas traseiras. Um próximo passo lógico seria monitorar a área atrás de veículos grandes com detectores de presença e instalar equipamentos de alerta na área traseira. Isso teria o efeito colateral positivo de fornecer o financiamento necessário para desenvolver, testar e disponibilizar sensores baratos de desempenho máximo, automonitoramento, livres de manutenção e funcionamento confiável para fins de segurança ocupacional. O processo de teste que acompanharia a ampla implementação de sensores ou sistemas de sensores facilitaria consideravelmente a inovação em outras áreas, como escavadeiras elétricas, carregadeiras pesadas e outras grandes máquinas móveis que fazem backup até metade do tempo durante sua operação. O processo evolutivo de robôs estacionários para robôs móveis é um caminho adicional de desenvolvimento para detectores de presença. Por exemplo, melhorias podem ser feitas nos sensores atualmente usados em movimentadores de materiais de robôs móveis ou “tratores de chão de fábrica sem motorista”, que seguem caminhos fixos e, portanto, têm requisitos de segurança relativamente baixos. O uso de detectores de presença é o próximo passo lógico para melhorar a segurança na área de transporte de materiais e passageiros.
Procedimentos de Detecção
Vários princípios físicos, disponíveis em conexão com métodos eletrônicos de medição e automonitoramento e, até certo ponto, procedimentos de computação de alto desempenho, podem ser usados para avaliar e resolver as tarefas mencionadas acima. A operação aparentemente sem esforço e segura de máquinas automatizadas (robôs), tão comuns em filmes de ficção científica, possivelmente será realizada no mundo real por meio do uso de técnicas de imagem e algoritmos de reconhecimento de padrões de alto desempenho em combinação com métodos de medição de distância análogos aos empregados por scanners a laser. Deve-se reconhecer a situação paradoxal de que tudo o que parece simples para as pessoas é difícil para os autômatos. Por exemplo, uma tarefa difícil, como um excelente jogo de xadrez (que exige atividade do prosencéfalo), pode ser mais facilmente simulada e executada por máquinas automatizadas do que uma tarefa simples, como andar ereto ou realizar coordenação olho-mão e outros movimentos (mediados por o mesencéfalo e o rombencéfalo). Alguns desses princípios, métodos e procedimentos aplicáveis a aplicações de sensores são descritos abaixo. Além destes, existe um grande número de procedimentos especiais para tarefas muito especiais que funcionam em parte com uma combinação de vários tipos de efeitos físicos.
Cortinas e barras de barreira de luz. Entre os primeiros detectores de presença estavam cortinas e barras de barreira de luz. Eles têm uma geometria de monitoramento plana; ou seja, aquele que ultrapassou a barreira não será mais detectado. A mão de um operador, ou a presença de ferramentas ou peças na mão de um operador, por exemplo, pode ser detectada de forma rápida e confiável com esses dispositivos. Oferecem uma contribuição importante para a segurança do trabalho de máquinas (como prensas e puncionadeiras) que exigem que o material seja colocado à mão. A confiabilidade tem que ser extremamente alta estatisticamente, porque quando a mão atinge apenas duas a três vezes por minuto, cerca de um milhão de operações são realizadas em apenas alguns anos. O automonitoramento mútuo dos componentes emissor e receptor foi desenvolvido em um nível técnico tão alto que representa um padrão para todos os outros procedimentos de detecção de presença.
Tapetes de contato (tapetes de comutação). Existem tipos passivos e ativos (bomba) de tapetes e pisos de contato elétricos e pneumáticos, que foram inicialmente usados em grande número em funções de serviço (abertura de portas), até serem substituídos por detectores de movimento. O desenvolvimento posterior evolui com o uso de detectores de presença em todos os tipos de zonas de perigo. Por exemplo, o desenvolvimento da manufatura automatizada com uma mudança na função do trabalhador – de operar a máquina para monitorar estritamente sua função – produziu uma demanda correspondente por detectores apropriados. A padronização deste uso está bem avançada (DIN 1995a), e limitações especiais (layout, tamanho, máximo permitido de zonas “mortas”) exigiram o desenvolvimento de expertise para instalação nesta área de uso.
Possíveis usos interessantes de tapetes de contato surgem em conjunto com múltiplos sistemas de robôs controlados por computador. Um operador troca um ou dois elementos para que o detector de presença detecte sua posição exata e informe o computador, que gerencia os sistemas de controle do robô com um sistema interno de prevenção de colisões. Em um teste avançado pelo Instituto Federal de Segurança Alemão (BAU), um piso de tapete de contato, consistindo de pequenos tapetes de interruptores elétricos, foi construído sob a área de trabalho do braço do robô para esse propósito (Freund, Dierks e Rossman 1993). Este detector de presença tinha a forma de um tabuleiro de xadrez. O campo de esteira ativado respectivamente informava ao computador a posição do operador (figura 1) e quando o operador se aproximava muito do robô, ele se afastava. Sem o detector de presença, o sistema do robô não seria capaz de determinar a posição do operador, e o operador não poderia ser protegido.
Figura 1. Uma pessoa (à direita) e dois robôs em corpos de embalagem computados
Refletores (sensores de movimento e detectores de presença). Por mais meritórios que sejam os sensores discutidos até agora, eles não são detectores de presença no sentido mais amplo. Sua adequação - principalmente por razões de segurança no trabalho - para veículos de grande porte e grandes equipamentos móveis pressupõe duas características importantes: (1) a capacidade de monitorar uma área de uma posição e (2) funcionamento sem erros sem a necessidade de medidas adicionais em a parte de, por exemplo, o uso de dispositivos refletores. Detectar a presença de uma pessoa entrando na área monitorada e permanecendo parada até que ela saia também implica a necessidade de detectar uma pessoa que esteja absolutamente imóvel. Isso distingue os chamados sensores de movimento dos detectores de presença, pelo menos em conexão com equipamentos móveis; os sensores de movimento quase sempre são acionados quando o veículo é colocado em movimento.
Sensores de movimento. Os dois tipos básicos de sensores de movimento são: (1) “sensores infravermelhos passivos” (PIRS), que reagem à menor alteração no feixe infravermelho na área monitorada (o menor feixe detectável é de aproximadamente 10-9 W com uma faixa de comprimento de onda de aproximadamente 7 a 20 μm); e (2) sensores de ultrassom e micro-ondas usando o princípio Doppler, que determina as características do movimento de um objeto de acordo com as mudanças de frequência. Por exemplo, o efeito Doppler aumenta a frequência da buzina de uma locomotiva para um observador quando ela se aproxima e reduz a frequência quando a locomotiva está se afastando. O efeito Doppler possibilita a construção de sensores de aproximação relativamente simples, pois o receptor precisa apenas monitorar a frequência do sinal das bandas de frequência vizinhas para o aparecimento da frequência Doppler.
Em meados da década de 1970, o uso de detectores de movimento tornou-se predominante em aplicações de funções de serviço, como abridores de portas, segurança contra roubo e proteção de objetos. Para uso estacionário, a detecção de uma pessoa se aproximando de um ponto de perigo era adequada para dar um aviso oportuno ou desligar uma máquina. Esta foi a base para estudar a adequação de detectores de movimento para seu uso em segurança ocupacional, especialmente por meio de PIRS (Mester et al. 1980). Como uma pessoa vestida geralmente tem uma temperatura mais alta do que a área circundante (cabeça 34°C, mãos 31°C), detectar uma pessoa que se aproxima é um pouco mais fácil do que detectar objetos inanimados. Até certo ponto, as peças da máquina podem se mover na área monitorada sem acionar o detector.
O método passivo (sem transmissor) tem vantagens e desvantagens. A vantagem é que um PIRS não aumenta os problemas de ruído e poluição elétrica. Para segurança contra roubo e proteção de objetos, é particularmente importante que o detector não seja fácil de encontrar. Um sensor que é apenas um receptor, no entanto, dificilmente pode monitorar sua própria eficácia, o que é essencial para a segurança do trabalho. Um método para contornar essa desvantagem foi testar pequenos emissores de infravermelho modulados (5 a 20 Hz) que foram instalados na área monitorada e que não acionaram o sensor, mas cujos feixes foram registrados com uma amplificação eletrônica fixa ajustada à frequência de modulação. Essa modificação o transformou de um sensor “passivo” em um sensor “ativo”. Desta forma também foi possível verificar a precisão geométrica da área monitorada. Os espelhos podem ter pontos cegos e a direção de um sensor passivo pode ser desviada pela atividade áspera em uma planta. A Figura 2 mostra um layout de teste com um PIRS com uma geometria monitorada na forma de um manto piramidal. Devido ao seu grande alcance, os sensores infravermelhos passivos são instalados, por exemplo, nas passagens das áreas de armazenamento de prateleiras.
Figura 2. Sensor infravermelho passivo como detector de aproximação em uma área de perigo
No geral, os testes mostraram que os detectores de movimento não são adequados para a segurança ocupacional. O andar noturno de um museu não pode ser comparado a zonas de perigo em um local de trabalho.
Detectores de ultra-som, radar e impulso de luz. Sensores que usam o princípio de pulso/eco – ou seja, medições de tempo decorrido de ultrassom, radar ou impulsos de luz – têm grande potencial como detectores de presença. Com scanners a laser, os impulsos de luz podem varrer em rápida sucessão (geralmente de forma rotatória), por exemplo, horizontalmente, e com a ajuda de um computador pode-se obter um perfil de distância dos objetos em um plano que refletem a luz. Se, por exemplo, não apenas uma única linha for desejada, mas a totalidade do que está diante do robô móvel na área até uma altura de 2 metros, grandes quantidades de dados devem ser processadas para representar a área circundante. Um futuro detector de presença “ideal” consistirá em uma combinação dos dois processos a seguir:
A Figura 3 mostra, do projeto BAU citado anteriormente (Freund, Dierks e Rossman 1993), o uso de um scanner a laser em um robô móvel que também assume tarefas de navegação (através de um feixe de detecção de direção) e proteção contra colisão para objetos na vizinhança imediata. vizinhança (através de um feixe de medição de solo para detecção de presença). Dadas essas características, o robô móvel tem a capacidade de condução gratuita automatizada ativa (ou seja, a capacidade de contornar obstáculos). Tecnicamente, isso é obtido utilizando o ângulo de 45° da rotação do scanner para trás em ambos os lados (para bombordo e estibordo do robô), além do ângulo de 180° para a frente. Esses feixes são conectados a um espelho especial que atua como uma cortina de luz no chão em frente ao robô móvel (fornecendo uma linha de visão terrestre). Se um reflexo de laser vier daí, o robô para. Embora existam no mercado scanners a laser e de luz certificados para uso em segurança ocupacional, esses detectores de presença têm grande potencial para desenvolvimento adicional.
Figura 3. Robô móvel com scanner a laser para uso em navegação e detecção de presença
Sensores de ultrassom e radar, que usam o tempo decorrido do sinal à resposta para determinar a distância, são menos exigentes do ponto de vista técnico e, portanto, podem ser produzidos de forma mais barata. A área do sensor é em forma de taco e possui um ou mais tacos laterais menores, dispostos simetricamente. A velocidade de propagação do sinal (som: 330 m/s; onda eletromagnética: 300,000 km/s) determina a velocidade necessária da eletrônica utilizada.
Dispositivos de advertência de área traseira. Na Exposição de Hanover de 1985, a BAU mostrou os resultados de um projeto inicial sobre o uso de sensores de ultrassom para proteger a área atrás de veículos grandes (Langer e Kurfürst 1985). Um modelo em tamanho real de uma cabeça sensora feita de sensores Polaroid™ foi instalado na parede traseira de um caminhão de abastecimento. A Figura 4 mostra esquematicamente o seu funcionamento. O grande diâmetro deste sensor produz áreas de medição de ângulo relativamente pequeno (aproximadamente 18°), em forma de clava de longo alcance, dispostas próximas umas das outras e definidas para diferentes faixas de sinal máximo. Na prática permite definir qualquer geometria monitorada desejada, que é escaneada pelos sensores aproximadamente quatro vezes por segundo para a presença ou entrada de pessoas. Outros sistemas de alerta de área traseira demonstrados tinham vários sensores individuais paralelos.
Figura 4. Disposição da cabeça de medição e área monitorada na traseira de um caminhão
Esta demonstração vívida foi um grande sucesso na exposição. Ele mostrou que proteger a área traseira de grandes veículos e equipamentos está sendo estudado em muitos lugares - por exemplo, por comitês especializados das associações comerciais industriais (Berufsgenossenschaften), as seguradoras municipais de acidentes (responsáveis pelos veículos municipais), os fiscais estaduais da indústria e os produtores de sensores, que vinham pensando mais em automóveis como veículos de serviço (no sentido de focar em sistemas de estacionamento para proteção contra danos corporais auto). Um comitê ad hoc formado pelos grupos para promover os dispositivos de alerta de retaguarda foi formado espontaneamente e teve como primeira tarefa a elaboração de uma lista de requisitos sob a perspectiva da segurança do trabalho. Dez anos se passaram durante os quais muito se trabalhou no monitoramento da retaguarda - possivelmente a tarefa mais importante dos detectores de presença; mas o grande avanço ainda está faltando.
Muitos projetos foram conduzidos com sensores de ultrassom - por exemplo, em guindastes de triagem de toras, pás hidráulicas, veículos municipais especiais e outros veículos utilitários, bem como em empilhadeiras e carregadeiras (Schreiber 1990). Os dispositivos de alerta na área traseira são especialmente importantes para grandes máquinas que dão ré na maior parte do tempo. Os detectores de presença de ultrassom são usados, por exemplo, para a proteção de veículos autônomos especializados, como máquinas robóticas de manuseio de materiais. Em comparação com os pára-choques de borracha, esses sensores têm uma área de detecção maior que permite a frenagem antes do contato entre a máquina e um objeto. Sensores correspondentes para automóveis são desenvolvimentos apropriados e envolvem requisitos consideravelmente menos rigorosos.
Nesse ínterim, o Comitê de Normas Técnicas do Sistema de Transporte da DIN elaborou a Norma 75031, “Dispositivos de detecção de obstáculos durante a marcha à ré” (DIN 1995b). Os requisitos e testes foram definidos para duas faixas: 1.8 m para caminhões de abastecimento e 3.0 m – uma área de alerta adicional – para caminhões maiores. A área monitorada é definida através do reconhecimento de corpos de prova cilíndricos. O alcance de 3 m também está no limite do que é tecnicamente possível atualmente, pois os sensores de ultrassom devem ter membranas metálicas fechadas, dadas as condições de trabalho difíceis. Os requisitos para o automonitoramento do sistema de sensores estão sendo definidos, pois a geometria monitorada necessária pode ser realizada apenas com um sistema de três ou mais sensores. A Figura 5 mostra um dispositivo de alerta de área traseira que consiste em três sensores de ultrassom (Microsonic GmbH 1996). O mesmo se aplica ao dispositivo de notificação na cabina do condutor e ao tipo de sinal de aviso. O conteúdo da norma DIN 75031 também é apresentado no relatório técnico internacional ISO TR 12155, “Veículos comerciais—Dispositivo de detecção de obstáculos durante a marcha atrás” (ISO 1994). Vários fabricantes de sensores desenvolveram protótipos de acordo com este padrão.
Figura 5. Caminhão de médio porte equipado com dispositivo de alerta de área traseira (foto Microsonic).
Conclusão
Desde o início dos anos 1970, várias instituições e fabricantes de sensores trabalharam para desenvolver e estabelecer “detectores de presença”. Na aplicação especial de “dispositivos de alerta de área traseira” existem o padrão DIN 75031 e o relatório ISO TR 12155. No momento, a Deutsche Post AG está realizando um grande teste. Vários fabricantes de sensores equiparam cada um cinco caminhões de médio porte com tais dispositivos. Um resultado positivo deste teste é muito do interesse da segurança ocupacional. Como foi enfatizado no início, os detectores de presença nos números necessários são um grande desafio para a tecnologia de segurança nas diversas áreas de aplicação mencionadas. Eles devem, portanto, ser realizáveis a baixo custo, se os danos a equipamentos, máquinas e materiais e, acima de tudo, lesões em pessoas, muitas vezes muito graves, forem relegados ao passado.
Dispositivos de controle e dispositivos usados para isolamento e comutação devem sempre ser discutidos em relação a sistemas técnicos, termo utilizado neste artigo para incluir máquinas, instalações e equipamentos. Cada sistema técnico cumpre uma tarefa prática específica e atribuída. Dispositivos de controle e comutação de segurança apropriados são necessários para que esta tarefa prática seja viável ou mesmo possível em condições seguras. Tais dispositivos são utilizados para iniciar o controle, interromper ou retardar a corrente e/ou os impulsos de energias elétricas, hidráulicas, pneumáticas e também potenciais.
Isolamento e Redução de Energia
Dispositivos de isolamento são usados para isolar a energia desconectando a linha de alimentação entre a fonte de energia e o sistema técnico. O dispositivo de isolamento deve normalmente produzir uma desconexão real inequivocamente determinável do fornecimento de energia. A desconexão do fornecimento de energia também deve ser sempre combinada com a redução da energia armazenada em todas as partes do sistema técnico. Se o sistema técnico for alimentado por várias fontes de energia, todas essas linhas de alimentação devem poder ser isoladas de forma confiável. Pessoas treinadas para lidar com o tipo relevante de energia e que trabalham na extremidade de energia do sistema técnico usam dispositivos de isolamento para se protegerem dos perigos da energia. Por questões de segurança, essas pessoas sempre verificarão se nenhuma energia potencialmente perigosa permanece no sistema técnico - por exemplo, verificando a ausência de potencial elétrico no caso de energia elétrica. O manuseio sem riscos de certos dispositivos de isolamento é possível apenas para especialistas treinados; nestes casos, o dispositivo de isolamento deve ser inacessível a pessoas não autorizadas. (Veja a figura 1.)
Figura 1. Princípios dos dispositivos de isolamento elétrico e pneumático
O interruptor mestre
Um dispositivo de chave mestre desconecta o sistema técnico do fornecimento de energia. Ao contrário do dispositivo de isolamento, ele pode ser operado sem perigo mesmo por “não especialistas em energia”. O dispositivo de chave geral é utilizado para desligar os sistemas técnicos que não estiverem em uso em determinado momento caso, digamos, seu funcionamento seja obstruído por terceiros não autorizados. Também é usado para efetuar uma desconexão para fins de manutenção, reparo de avarias, limpeza, reinicialização e remontagem, desde que esse trabalho possa ser feito sem energia no sistema. Naturalmente, quando um dispositivo de chave geral também possui as características de um dispositivo de isolamento, ele também pode assumir e/ou compartilhar sua função. (Veja a figura 2.)
Figura 2. Exemplo de ilustração de dispositivos elétricos e pneuméticos de chave mestre
Dispositivo de desconexão de segurança
Um dispositivo de desconexão de segurança não desconecta todo o sistema técnico da fonte de energia; em vez disso, ele remove a energia das partes críticas do sistema para um determinado subsistema operacional. Intervenções de curta duração podem ser designadas para subsistemas operacionais - por exemplo, para a configuração ou reinicialização/reequipamento do sistema, para a reparação de avarias, para limpeza regular e para movimentos essenciais e designados e sequências de funções necessárias durante o curso de configuração, reinicialização/reinstalação ou execuções de teste. Nestes casos, equipamentos e instalações de produção complexos não podem ser simplesmente desligados com um dispositivo de chave geral, pois todo o sistema técnico não pode ser iniciado novamente de onde parou após o reparo de um defeito. Além disso, o dispositivo de chave geral raramente está localizado, nos sistemas técnicos mais extensos, no local onde a intervenção deve ser feita. Assim, o dispositivo de desconexão de segurança é obrigado a cumprir uma série de requisitos, como os seguintes:
Onde o dispositivo de chave geral usado em um determinado sistema técnico é capaz de atender a todos os requisitos de um dispositivo de desconexão de segurança, ele também pode assumir esta função. Mas é claro que isso será um expediente confiável apenas em sistemas técnicos muito simples. (Veja a figura 3.)
Figura 3. Ilustração dos princípios elementares de um dispositivo de desconexão de segurança
Engrenagens de Controle para Subsistemas Operacionais
As engrenagens de controle permitem que os movimentos e as sequências funcionais necessárias para os subsistemas operacionais do sistema técnico sejam implementados e controlados com segurança. Engrenagens de controle para subsistemas operacionais podem ser necessárias para configuração (quando testes devem ser executados); para regulação (quando é necessário reparar avarias no funcionamento do sistema ou quando é necessário desobstruir bloqueios); ou fins de treinamento (demonstração de operações). Nesses casos, a operação normal do sistema não pode ser simplesmente reiniciada, pois a pessoa interveniente estaria em perigo por movimentos e processos desencadeados por sinais de controle inseridos ou gerados erroneamente. Um reator para subsistemas operacionais deve atender aos seguintes requisitos:
Figura 4. Dispositivos acionadores nos redutores de comando dos subsistemas operacionais móveis e estacionários
O Interruptor de Emergência
Os interruptores de emergência são necessários sempre que o funcionamento normal de sistemas técnicos possa resultar em perigos que nem a conceção adequada do sistema nem a adoção de precauções de segurança adequadas são capazes de prevenir. Em subsistemas operacionais, a chave de emergência frequentemente faz parte do mecanismo de controle do subsistema operacional. Quando operado em caso de perigo, o interruptor de emergência implementa processos que retornam o sistema técnico a um estado operacional seguro o mais rápido possível. No que diz respeito às prioridades de segurança, a proteção das pessoas é a principal preocupação; a prevenção de danos ao material é secundária, a menos que este também possa colocar pessoas em perigo. O interruptor de emergência deve cumprir os seguintes requisitos:
Figura 5. Ilustração dos princípios dos painéis de controle em chaves de emergência
Dispositivo de controle do interruptor de função
Dispositivos de controle de chave de função são usados para ligar o sistema técnico para operação normal e para iniciar, implementar e interromper os movimentos e processos designados para operação normal. O dispositivo de controle do interruptor de função é usado exclusivamente durante a operação normal do sistema técnico, ou seja, durante a execução sem interrupções de todas as funções atribuídas. Ele é usado adequadamente pelas pessoas que executam o sistema técnico. Os dispositivos de controle do interruptor de função devem atender aos seguintes requisitos:
Figura 6. Representação esquemática de um painel de controle de operações
Chaves de monitoramento
Os interruptores de monitoramento impedem a partida do sistema técnico enquanto as condições de segurança monitoradas não forem atendidas e interrompem a operação assim que uma condição de segurança não for mais atendida. Eles são usados, por exemplo, para monitorar portas em compartimentos de proteção, para verificar a posição correta das proteções de segurança ou para garantir que os limites de velocidade ou percurso não sejam ultrapassados. As chaves de monitoramento devem atender aos seguintes requisitos de segurança e confiabilidade:
Figura 7. Diagrama de uma chave com operação mecânica positiva e desconexão positiva
Circuitos de controle de segurança
Vários dos dispositivos de comutação de segurança descritos acima não executam a função de segurança diretamente, mas sim emitindo um sinal que é então transmitido e processado por um circuito de controle de segurança e finalmente atinge as partes do sistema técnico que exercem a função de segurança real. O dispositivo de desconexão de segurança, por exemplo, freqüentemente causa a desconexão de energia em pontos críticos indiretamente, enquanto um interruptor principal geralmente desconecta diretamente o fornecimento de corrente ao sistema técnico.
Como os circuitos de controle de segurança devem transmitir sinais de segurança de forma confiável, os seguintes princípios devem ser levados em consideração:
Os componentes usados em circuitos de controle de segurança devem executar a função de segurança de maneira especialmente confiável. As funções dos componentes que não cumpram este requisito devem ser implementadas providenciando uma redundância tão diversificada quanto possível e devem ser mantidas sob vigilância.
Nos últimos anos, os microprocessadores desempenharam um papel cada vez maior no campo da tecnologia de segurança. Como computadores inteiros (ou seja, unidade central de processamento, memória e componentes periféricos) estão agora disponíveis em um único componente como “computadores de chip único”, a tecnologia de microprocessador está sendo empregada não apenas no controle de máquinas complexas, mas também em salvaguardas de design relativamente simples (por exemplo, grades de luz, dispositivos de controle bimanual e bordas de segurança). O software que controla esses sistemas compreende entre mil e várias dezenas de milhares de comandos únicos e geralmente consiste em várias centenas de ramificações do programa. Os programas operam em tempo real e são escritos principalmente na linguagem assembly dos programadores.
A introdução de sistemas controlados por computador na esfera da tecnologia de segurança foi acompanhada em todos os equipamentos técnicos de grande escala, não apenas por projetos caros de pesquisa e desenvolvimento, mas também por restrições significativas destinadas a aumentar a segurança. (A tecnologia aeroespacial, a tecnologia militar e a tecnologia de energia atômica podem ser citadas aqui como exemplos de aplicações em larga escala.) Até agora, o campo coletivo da produção industrial em massa foi tratado apenas de maneira muito limitada. Isso se deve em parte ao fato de que os rápidos ciclos de inovação característicos do projeto de máquinas industriais tornam difícil transferir, exceto de maneira muito restrita, o conhecimento que pode ser derivado de projetos de pesquisa relacionados ao teste final de máquinas em larga escala. dispositivos de segurança. Isso torna o desenvolvimento de procedimentos de avaliação rápidos e de baixo custo um desiderato (Reinert e Reuss 1991).
Este artigo primeiro examina máquinas e instalações nas quais os sistemas de computador atualmente executam tarefas de segurança, usando exemplos de acidentes que ocorrem predominantemente na área de proteção de máquinas para descrever o papel específico que os computadores desempenham na tecnologia de segurança. Esses acidentes dão algumas indicações sobre quais precauções devem ser tomadas para que os equipamentos de segurança controlados por computador, cada vez mais amplamente utilizados, não levem a um aumento no número de acidentes. A seção final do artigo esboça um procedimento que permitirá que até mesmo pequenos sistemas de computador sejam levados a um nível apropriado de segurança técnica a um custo justificável e dentro de um período de tempo aceitável. Os princípios indicados nesta parte final estão sendo introduzidos nos procedimentos de padronização internacional e terão implicações para todas as áreas de tecnologia de segurança nas quais os computadores encontram aplicação.
Exemplos de uso de software e computadores no campo de proteção de máquinas
Os quatro exemplos a seguir deixam claro que o software e os computadores estão entrando cada vez mais em aplicações relacionadas à segurança no domínio comercial.
As instalações de sinalização pessoal de emergência consistem, em regra, de uma estação central receptora e de vários dispositivos de sinalização pessoal de emergência. Os dispositivos são transportados por pessoas que trabalham sozinhas no local. Se alguma dessas pessoas trabalhando sozinhas se encontrar em uma situação de emergência, pode usar o dispositivo para disparar um alarme por sinal de rádio na estação receptora central. Tal disparo de alarme dependente da vontade também pode ser complementado por um mecanismo de disparo independente da vontade ativado por sensores embutidos nos dispositivos de emergência pessoais. Ambos os dispositivos individuais e a estação receptora central são freqüentemente controlados por microcomputadores. É concebível que a falha de funções individuais específicas do computador embutido possa levar, em uma situação de emergência, a uma falha no acionamento do alarme. Portanto, precauções devem ser tomadas para perceber e reparar essa perda de função a tempo.
As impressoras usadas hoje para imprimir revistas são máquinas grandes. As teias de papel são normalmente preparadas por uma máquina separada de modo a permitir uma transição perfeita para um novo rolo de papel. As páginas impressas são dobradas por uma máquina de dobragem e subsequentemente trabalhadas através de uma cadeia de outras máquinas. Isso resulta em paletes carregadas com revistas totalmente costuradas. Embora tais plantas sejam automatizadas, há dois pontos em que intervenções manuais devem ser feitas: (1) no enfiamento dos caminhos do papel e (2) na desobstrução causada por rasgos de papel em pontos perigosos dos rolos rotativos. Por esta razão, uma velocidade de operação reduzida ou um modo jogging limitado por caminho ou tempo deve ser assegurado pela tecnologia de controle enquanto as prensas estão sendo ajustadas. Devido aos complexos procedimentos de direção envolvidos, cada estação de impressão deve ser equipada com seu próprio controlador lógico programável. Qualquer falha que ocorra no controle de uma planta de impressão enquanto as grades de proteção estiverem abertas deve ser impedida de levar à inicialização inesperada de uma máquina parada ou à operação em excesso de velocidades apropriadamente reduzidas.
Em grandes fábricas e armazéns, veículos robóticos guiados automaticamente e sem motorista se movem em trilhos especialmente marcados. Esses trilhos podem ser percorridos a qualquer momento por pessoas, ou materiais e equipamentos podem ser deixados inadvertidamente nos trilhos, uma vez que não são separados estruturalmente de outras linhas de tráfego. Por esse motivo, algum tipo de equipamento de prevenção de colisão deve ser usado para garantir que o veículo seja parado antes que ocorra qualquer colisão perigosa com uma pessoa ou objeto. Em aplicações mais recentes, a prevenção de colisões é realizada por meio de scanners ultrassônicos ou de luz laser usados em combinação com um amortecedor de segurança. Como esses sistemas funcionam sob controle computadorizado, é possível configurar várias zonas de detecção permanentes para que um veículo modifique sua reação dependendo da zona de detecção específica em que uma pessoa se encontra. Falhas no dispositivo de proteção não devem levar a uma colisão perigosa com uma pessoa.
As guilhotinas do dispositivo de controle de corte de papel são usadas para pressionar e depois cortar pilhas grossas de papel. Eles são acionados por um dispositivo de controle bimanual. O usuário deve alcançar a zona de perigo da máquina após cada corte. Uma proteção imaterial, geralmente uma grade de luz, é usada em conjunto com o dispositivo de controle bimanual e um sistema seguro de controle da máquina para evitar ferimentos quando o papel é alimentado durante a operação de corte. Quase todas as guilhotinas maiores e mais modernas em uso hoje são controladas por sistemas de microcomputadores multicanal. Tanto a operação bimanual quanto a grade de luz também devem funcionar com segurança.
Acidentes com Sistemas Controlados por Computador
Em quase todos os campos de aplicação industrial, acidentes com software e computadores são relatados (Neumann 1994). Na maioria dos casos, as falhas do computador não causam ferimentos às pessoas. Tais falhas são, em qualquer caso, tornadas públicas apenas quando são de interesse público geral. Isso significa que os casos de mau funcionamento ou acidente relacionados a computadores e softwares que envolvem lesões a pessoas representam uma proporção relativamente alta de todos os casos divulgados. Infelizmente, os acidentes que não causam grande sensação pública não são investigados quanto às suas causas com a mesma intensidade que os acidentes mais proeminentes, geralmente em fábricas de grande porte. Por esta razão, os exemplos a seguir referem-se a quatro descrições de mau funcionamento ou acidentes típicos de sistemas controlados por computador fora do campo de proteção de máquinas, que são usados para sugerir o que deve ser levado em consideração quando são feitos julgamentos sobre tecnologia de segurança.
Acidentes causados por falhas aleatórias no hardware
O seguinte acidente foi causado por uma concentração de falhas aleatórias no hardware combinadas com falhas de programação: Um reator superaqueceu em uma fábrica de produtos químicos, após o que as válvulas de alívio foram abertas, permitindo que o conteúdo do reator fosse descarregado na atmosfera. Esse acidente ocorreu pouco tempo depois de um aviso ter sido dado de que o nível de óleo em uma caixa de câmbio estava muito baixo. A investigação cuidadosa do acidente mostrou que logo após o catalisador ter iniciado a reação no reator - em consequência do qual o reator teria exigido mais resfriamento - o computador, com base no relatório de baixos níveis de óleo na caixa de engrenagens, congelou todos magnitudes sob seu controle em um valor fixo. Isso manteve o fluxo de água fria em um nível muito baixo e, como resultado, o reator superaqueceu. Uma investigação mais aprofundada mostrou que a indicação de níveis baixos de óleo foi sinalizada por um componente defeituoso.
O software respondeu de acordo com a especificação com o disparo de um alarme e a fixação de todas as variáveis operativas. Isso foi consequência do estudo HAZOP (hazards and operability analysis) (Knowlton 1986) feito antes do evento, que exigia que todas as variáveis controladas não fossem modificadas em caso de falha. Como o programador não conhecia o procedimento em detalhes, este requisito foi interpretado como significando que os atuadores controlados (válvulas de controle neste caso) não deveriam ser modificados; nenhuma atenção foi dada à possibilidade de um aumento na temperatura. O programador não levou em consideração que, após receber um sinal errado, o sistema poderia se encontrar em uma situação dinâmica do tipo que exige a intervenção ativa do computador para evitar um acidente. Além disso, a situação que levou ao acidente era tão improvável que não havia sido analisada em detalhes no estudo HAZOP (Levenson 1986). Este exemplo fornece uma transição para uma segunda categoria de causas de acidentes de software e computador. Estas são as falhas sistemáticas que estão no sistema desde o início, mas que se manifestam apenas em algumas situações muito específicas que o desenvolvedor não levou em consideração.
Acidentes causados por falhas operacionais
Em testes de campo durante a inspeção final dos robôs, um técnico pegou emprestado o cassete de um robô vizinho e o substituiu por outro sem informar ao colega que o havia feito. Ao retornar ao local de trabalho, o colega inseriu o cassete errado. Como ele estava ao lado do robô e esperava uma sequência particular de movimentos dele - uma sequência que saiu diferente por causa do programa trocado - ocorreu uma colisão entre o robô e o humano. Este acidente descreve o exemplo clássico de uma falha operacional. O papel de tais falhas em mau funcionamento e acidentes está aumentando devido à crescente complexidade na aplicação de mecanismos de segurança controlados por computador.
Acidentes causados por falhas sistemáticas em hardware ou software
Um torpedo com ogiva deveria ter sido disparado para fins de treinamento, de um navio de guerra em alto mar. Devido a um defeito no aparelho de acionamento, o torpedo permaneceu no tubo do torpedo. O capitão decidiu retornar ao porto de origem para resgatar o torpedo. Pouco depois de o navio começar a voltar para casa, o torpedo explodiu. Uma análise do acidente revelou que os desenvolvedores do torpedo foram obrigados a construir no torpedo um mecanismo projetado para evitar que ele retorne à plataforma de lançamento após ter sido disparado, destruindo assim o navio que o lançou. O mecanismo escolhido para isso foi o seguinte: Após o disparo do torpedo foi feita uma verificação, utilizando o sistema de navegação inercial, para ver se o seu curso havia alterado 180°. Assim que o torpedo percebeu que havia girado 180°, o torpedo detonou imediatamente, supostamente a uma distância segura da plataforma de lançamento. Este mecanismo de detecção foi acionado no caso do torpedo que não havia sido lançado corretamente, fazendo com que o torpedo explodisse após o navio ter mudado seu curso em 180°. Este é um exemplo típico de acidente ocorrido por falha nas especificações. O requisito nas especificações de que o torpedo não deve destruir seu próprio navio caso seu curso mude não foi formulado com precisão suficiente; a precaução foi assim programada erroneamente. O erro tornou-se aparente apenas em uma situação particular, que o programador não havia levado em consideração como uma possibilidade.
Em 14 de setembro de 1993, um Lufthansa Airbus A 320 caiu ao pousar em Varsóvia (figura 1). Uma investigação cuidadosa do acidente mostrou que modificações na lógica de pouso do computador de bordo feitas após um acidente com um Boeing 767 da Lauda Air em 1991 foram parcialmente responsáveis por esse pouso forçado. O que aconteceu no acidente de 1991 foi que a deflexão do empuxo, que desvia parte dos gases do motor para frear o avião durante o pouso, foi acionada ainda no ar, forçando a máquina a um mergulho de nariz incontrolável. Por esta razão, um bloqueio eletrônico da deflexão de empuxo foi incorporado às máquinas Airbus. Esse mecanismo permitia que a deflexão do impulso entrasse em vigor somente após os sensores em ambos os conjuntos de trem de pouso terem sinalizado a compressão dos amortecedores sob a pressão das rodas tocando o solo. Com base em informações incorretas, os pilotos do avião em Varsóvia previram um forte vento lateral.
Figura 1. Lufthansa Airbus após acidente em Varsóvia 1993
Por esse motivo, eles trouxeram a máquina com uma leve inclinação e o Airbus pousou apenas com a roda direita, deixando o rolamento esquerdo com menos do que o peso total. Por conta do travamento eletrônico da deflexão de empuxo, o computador de bordo negou ao piloto pelo espaço de nove segundos manobras que teriam permitido ao avião pousar com segurança apesar das circunstâncias adversas. Este acidente demonstra muito claramente que as modificações nos sistemas de computador podem levar a situações novas e perigosas se o leque de suas possíveis consequências não for considerado com antecedência.
O seguinte exemplo de mau funcionamento também demonstra os efeitos desastrosos que a modificação de um único comando pode ter em sistemas de computador. O teor de álcool do sangue é determinado, em testes químicos, usando soro de sangue claro do qual os glóbulos sanguíneos foram previamente centrifugados. O teor de álcool do soro é, portanto, maior (por um fator de 1.2) do que o do sangue total mais espesso. Por esta razão, os valores de álcool no soro devem ser divididos por um fator de 1.2 a fim de estabelecer as partes por milhar legais e medicamente críticas. No teste interlaboratorial realizado em 1984, deveriam ser comparados os valores de alcoolemia apurados em testes idênticos, realizados em diferentes instituições de pesquisa com soro. Como era apenas uma questão de comparação, o comando para dividir por 1.2 foi apagado do programa em uma das instituições durante o experimento. Após o término do teste interlaboratorial, um comando para multiplicar por 1.2 foi introduzido erroneamente no programa neste local. Aproximadamente 1,500 valores incorretos de partes por mil foram calculados entre agosto de 1984 e março de 1985 como resultado. Esse erro foi crítico para a carreira profissional dos caminhoneiros com alcoolemia entre 1.0 e 1.3 por mil, uma vez que uma penalidade legal de cassação da carteira de habilitação por tempo prolongado é consequência de um valor de 1.3 por mil.
Acidentes causados por influências de tensões operacionais ou ambientais
Em consequência de uma perturbação causada pela recolha de desperdícios na área útil de uma puncionadora e mordiscada CNC (controlo numérico computadorizado), o utilizador efectuou a “paragem programada”. Ao tentar retirar os resíduos com as mãos, a haste da máquina começou a se mover apesar da parada programada e feriu gravemente o usuário. Uma análise do acidente revelou que não se tratava de um erro no programa. A inicialização inesperada não pôde ser reproduzida. Irregularidades semelhantes foram observadas no passado em outras máquinas do mesmo tipo. Parece plausível deduzir disso que o acidente deve ter sido causado por interferência eletromagnética. Acidentes semelhantes com robôs industriais são relatados no Japão (Neumann 1987).
Um mau funcionamento na sonda espacial Voyager 2 em 18 de janeiro de 1986 torna ainda mais clara a influência do estresse ambiental nos sistemas controlados por computador. Seis dias antes da aproximação mais próxima de Urano, grandes campos de linhas em preto e branco cobriam as fotos da Voyager 2. Uma análise precisa mostrou que um único bit em uma palavra de comando do subsistema de dados de voo causou a falha, observada como as imagens foram comprimidas na sonda. Este bit provavelmente foi deslocado dentro da memória do programa pelo impacto de uma partícula cósmica. A transmissão sem erros das fotografias comprimidas da sonda foi realizada apenas dois dias depois, usando um programa de substituição capaz de contornar o ponto de memória com falha (Laeser, McLaughlin e Wolff 1987).
Resumo dos acidentes apresentados
Os acidentes analisados mostram que certos riscos que podem ser negligenciados em condições que utilizam tecnologia eletromecânica simples, ganham importância quando se utiliza computadores. Os computadores permitem o processamento de funções de segurança complexas e específicas da situação. Uma especificação inequívoca, livre de erros, completa e testável de todas as funções de segurança torna-se, por isso, especialmente importante. Erros nas especificações são difíceis de descobrir e frequentemente são a causa de acidentes em sistemas complexos. Os controles livremente programáveis são geralmente introduzidos com a intenção de ser capaz de reagir com flexibilidade e rapidez às mudanças do mercado. As modificações, no entanto, especialmente em sistemas complexos, têm efeitos colaterais difíceis de prever. Todas as modificações devem, portanto, ser submetidas a um gerenciamento estritamente formal do procedimento de mudança, no qual uma separação clara das funções de segurança dos sistemas parciais não relevantes para a segurança ajudará a manter as consequências das modificações para a tecnologia de segurança fáceis de avaliar.
Os computadores funcionam com baixos níveis de eletricidade. Eles são, portanto, suscetíveis à interferência de fontes externas de radiação. Como a modificação de um único sinal entre milhões pode levar a um mau funcionamento, vale a pena dar atenção especial ao tema da compatibilidade eletromagnética em conexão com computadores.
Atualmente, a manutenção de sistemas controlados por computador está se tornando cada vez mais complexa e, portanto, menos clara. A ergonomia do software do usuário e do software de configuração está, portanto, se tornando mais interessante do ponto de vista da tecnologia de segurança.
Nenhum sistema de computador é 100% testável. Um mecanismo de controle simples com 32 portas de entrada binária e 1,000 caminhos de software diferentes requer 4.3 × 1012 testes para uma verificação completa. A uma taxa de 100 testes por segundo executados e avaliados, um teste completo levaria 1,362 anos.
Procedimentos e medidas para a melhoria dos dispositivos de segurança controlados por computador
Nos últimos 10 anos, foram desenvolvidos procedimentos que permitem o domínio de desafios específicos relacionados à segurança em conexão com computadores. Esses procedimentos tratam das falhas do computador descritas nesta seção. Os exemplos descritos de software e computadores em proteções de máquinas e os acidentes analisados mostram que a extensão dos danos e, portanto, também o risco envolvido em várias aplicações são extremamente variáveis. Fica claro, portanto, que os cuidados necessários para o aperfeiçoamento dos computadores e softwares utilizados na tecnologia de segurança devem ser estabelecidos em relação ao risco.
A Figura 2 mostra um procedimento qualitativo por meio do qual a redução de risco necessária obtida usando sistemas de segurança pode ser determinada independentemente da extensão e da frequência com que o dano ocorre (Bell e Reinert 1992). Os tipos de falhas em sistemas computacionais analisados na seção “Acidentes com sistemas controlados por computador” (acima) podem ser relacionados aos chamados Níveis de Integridade de Segurança, ou seja, as facilidades técnicas para redução de riscos.
Figura 2. Procedimento qualitativo para determinação de risco
A Figura 3 deixa claro que a eficácia das medidas tomadas, em qualquer caso, para reduzir o erro em software e computadores precisa crescer com risco crescente (DIN 1994; IEC 1993).
Figura 3, Eficácia das precauções tomadas contra erros independentemente do risco
A análise dos acidentes esboçados acima mostra que a falha das proteções controladas por computador é causada não apenas por falhas aleatórias de componentes, mas também por condições operacionais particulares que o programador não levou em consideração. As consequências não imediatamente óbvias das modificações do programa feitas durante a manutenção do sistema constituem outra fonte de erro. Conclui-se que podem ocorrer falhas em sistemas de segurança controlados por microprocessadores que, embora feitas durante o desenvolvimento do sistema, podem levar a uma situação perigosa apenas durante a operação. Precauções contra tais falhas devem, portanto, ser tomadas enquanto os sistemas relacionados à segurança estão em fase de desenvolvimento. Essas chamadas medidas de prevenção de falhas devem ser tomadas não apenas durante a fase de conceito, mas também no processo de desenvolvimento, instalação e modificação. Certas falhas podem ser evitadas se forem descobertas e corrigidas durante este processo (DIN 1990).
Como o último contratempo descrito deixa claro, a quebra de um único transistor pode levar à falha técnica de equipamentos automatizados de alta complexidade. Uma vez que cada circuito único é composto de muitos milhares de transistores e outros componentes, várias medidas de prevenção de falhas devem ser tomadas para reconhecer tais falhas como aparecem na operação e para iniciar uma reação apropriada no sistema de computador. A Figura 4 descreve tipos de falhas em sistemas eletrônicos programáveis, bem como exemplos de precauções que podem ser tomadas para evitar e controlar falhas em sistemas de computador (DIN 1990; IEC 1992).
Figura 4. Exemplos de precauções tomadas para controlar e evitar erros em sistemas de computador
Possibilidades e Perspectivas de Sistemas Eletrônicos Programáveis em Tecnologia de Segurança
Máquinas e instalações modernas estão se tornando cada vez mais complexas e devem realizar tarefas cada vez mais abrangentes em períodos de tempo cada vez mais curtos. Por esse motivo, os sistemas de computador dominaram quase todas as áreas da indústria desde meados da década de 1970. Esse aumento de complexidade por si só contribuiu significativamente para o aumento dos custos envolvidos na melhoria da tecnologia de segurança em tais sistemas. Embora o software e os computadores representem um grande desafio para a segurança no trabalho, eles também possibilitam a implementação de novos sistemas amigáveis ao erro no campo da tecnologia de segurança.
Um verso engraçado, mas instrutivo, de Ernst Jandl ajudará a explicar o que significa o conceito amigável ao erro. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. (“Dileção: Muitos acreditam que luz e reft não podem ser trocados por inteligência, que ellol”.) Apesar da troca de cartas r e l, esta frase é facilmente compreendida por um ser humano adulto normal. Mesmo alguém com pouca fluência no idioma inglês pode traduzi-lo para o inglês. A tarefa é, no entanto, quase impossível para um computador tradutor sozinho.
Este exemplo mostra que um ser humano pode reagir de uma maneira muito mais amigável ao erro do que um computador de linguagem. Isso significa que os humanos, como todas as outras criaturas vivas, podem tolerar falhas referindo-se a elas na experiência. Se olharmos para as máquinas em uso hoje, veremos que a maioria das máquinas penaliza as falhas do usuário não com um acidente, mas com uma diminuição da produção. Esta propriedade leva à manipulação ou evasão de salvaguardas. A moderna informática coloca à disposição da segurança do trabalho sistemas que podem reagir de forma inteligente, ou seja, de forma modificada. Tais sistemas tornam possível um modo de comportamento amigável ao erro em novas máquinas. Eles alertam os usuários durante uma operação errada antes de tudo e desligam a máquina somente quando esta é a única maneira de evitar um acidente. A análise dos acidentes mostra que existe nesta área um potencial considerável de redução de acidentes (Reinert e Reuss 1991).
Um sistema automatizado híbrido (HAS) visa integrar as capacidades de máquinas artificialmente inteligentes (baseadas em tecnologia de computador) com as capacidades das pessoas que interagem com essas máquinas no curso de suas atividades de trabalho. As principais preocupações da utilização do HAS estão relacionadas a como os subsistemas humano e de máquina devem ser projetados para fazer o melhor uso do conhecimento e habilidades de ambas as partes do sistema híbrido, e como os operadores humanos e os componentes da máquina devem interagir uns com os outros. para garantir que suas funções se complementem. Muitos sistemas automatizados híbridos evoluíram como produtos de aplicações de metodologias modernas baseadas em informações e controle para automatizar e integrar diferentes funções de sistemas tecnológicos frequentemente complexos. O HAS foi originalmente identificado com a introdução de sistemas baseados em computador usados no projeto e operação de sistemas de controle em tempo real para reatores de energia nuclear, para plantas de processamento químico e para tecnologia de fabricação de peças discretas. HAS agora também pode ser encontrado em muitas indústrias de serviços, como controle de tráfego aéreo e procedimentos de navegação de aeronaves na área de aviação civil, e no projeto e uso de veículos inteligentes e sistemas de navegação rodoviária no transporte rodoviário.
Com o progresso contínuo na automação baseada em computador, a natureza das tarefas humanas em sistemas tecnológicos modernos muda daquelas que requerem habilidades motoras perceptuais para aquelas que exigem atividades cognitivas, que são necessárias para a resolução de problemas, para a tomada de decisões no monitoramento do sistema e para tarefas de controle de supervisão. Por exemplo, os operadores humanos em sistemas de manufatura integrados por computador atuam principalmente como monitores de sistema, solucionadores de problemas e tomadores de decisão. As atividades cognitivas do supervisor humano em qualquer ambiente HAS são (1) planejar o que deve ser feito em um determinado período de tempo, (2) elaborar procedimentos (ou etapas) para atingir o conjunto de metas planejadas, (3) monitorar o progresso de processos (tecnológicos), (4) “ensinar” o sistema através de um computador humano-interativo, (5) intervir se o sistema se comportar de forma anormal ou se as prioridades de controle mudarem e (6) aprender através do feedback do sistema sobre o impacto de ações de supervisão (Sheridan 1987).
Projeto de sistema híbrido
As interações homem-máquina em um HAS envolvem a utilização de loops de comunicação dinâmica entre os operadores humanos e as máquinas inteligentes - um processo que inclui detecção e processamento de informações e iniciação e execução de tarefas de controle e tomada de decisão - dentro de uma determinada estrutura de alocação de funções entre humanos e máquinas. No mínimo, as interações entre as pessoas e a automação devem refletir a alta complexidade dos sistemas automatizados híbridos, bem como as características relevantes dos operadores humanos e os requisitos da tarefa. Portanto, o sistema automatizado híbrido pode ser formalmente definido como um quíntuplo na seguinte fórmula:
TEM = (T, U, C, E, I)
onde T = requisitos da tarefa (físicos e cognitivos); U = características do usuário (físicas e cognitivas); C = as características de automação (hardware e software, incluindo interfaces de computador); E = ambiente do sistema; I = um conjunto de interações entre os elementos acima.
O conjunto de interações I incorpora todas as interações possíveis entre T, U e C in E independentemente de sua natureza ou força de associação. Por exemplo, uma das interações possíveis pode envolver a relação dos dados armazenados na memória do computador com o conhecimento correspondente, se houver, do operador humano. As interações I pode ser elementar (ou seja, limitado a uma associação de um para um) ou complexo, como envolveria interações entre o operador humano, o software específico usado para realizar a tarefa desejada e a interface física disponível com o computador.
Os projetistas de muitos sistemas automatizados híbridos concentram-se principalmente na integração assistida por computador de máquinas sofisticadas e outros equipamentos como partes da tecnologia baseada em computador, raramente prestando muita atenção à necessidade primordial de integração humana efetiva dentro de tais sistemas. Portanto, atualmente, muitos dos sistemas integrados por computador (tecnológicos) não são totalmente compatíveis com as capacidades inerentes dos operadores humanos, expressas pelas habilidades e conhecimentos necessários para o controle e monitoramento eficazes desses sistemas. Tal incompatibilidade surge em todos os níveis de funcionamento humano, máquina e homem-máquina, e pode ser definida dentro de uma estrutura do indivíduo e de toda a organização ou instalação. Por exemplo, os problemas de integração de pessoas e tecnologia em empresas de manufatura avançada ocorrem no início do estágio de projeto do HAS. Esses problemas podem ser conceituados usando o seguinte modelo de integração de sistemas da complexidade das interações, I, entre os projetistas do sistema, D, operadores humanos, H, ou potenciais usuários do sistema e tecnologia, T:
Eu (H,T) = F [I (H, D), I (D, T)]
onde I representa interações relevantes que ocorrem em uma determinada estrutura do HAS, enquanto F indica relações funcionais entre designers, operadores humanos e tecnologia.
O modelo de integração do sistema acima destaca o fato de que as interações entre os usuários e a tecnologia são determinadas pelo resultado da integração das duas interações anteriores, ou seja, (1) aquelas entre designers HAS e usuários em potencial e (2) aquelas entre os designers e a tecnologia HAS (ao nível das máquinas e sua integração). Deve-se notar que, embora normalmente existam fortes interações entre os designers e a tecnologia, apenas alguns poucos exemplos de inter-relações igualmente fortes entre designers e operadores humanos podem ser encontrados.
Pode-se argumentar que, mesmo nos sistemas mais automatizados, a função humana permanece crítica para o desempenho bem-sucedido do sistema no nível operacional. Bainbridge (1983) identificou um conjunto de problemas relevantes para o funcionamento do HAS que se devem à própria natureza da automação, como se segue:
Alocação de tarefas
Uma das questões importantes para o projeto HAS é determinar quantas e quais funções ou responsabilidades devem ser alocadas para os operadores humanos, e quais e quantas para os computadores. Geralmente, existem três classes básicas de problemas de alocação de tarefas que devem ser consideradas: (1) a alocação de tarefas supervisor-computador humano, (2) a alocação de tarefas humano-humano e (3) a alocação de tarefas computador-computador de supervisão. Idealmente, as decisões de alocação devem ser feitas por meio de algum procedimento de alocação estruturado antes que o projeto básico do sistema seja iniciado. Infelizmente, esse processo sistemático raramente é possível, pois as funções a serem alocadas podem precisar de um exame mais aprofundado ou devem ser executadas interativamente entre os componentes do sistema humano e da máquina - isto é, por meio da aplicação do paradigma de controle supervisório. A alocação de tarefas em sistemas automatizados híbridos deve se concentrar na extensão das responsabilidades de supervisão humana e do computador e deve considerar a natureza das interações entre o operador humano e os sistemas computadorizados de suporte à decisão. Os meios de transferência de informações entre as máquinas e as interfaces de entrada-saída humanas e a compatibilidade do software com as habilidades cognitivas de resolução de problemas humanos também devem ser considerados.
Nas abordagens tradicionais para o projeto e gerenciamento de sistemas automatizados híbridos, os trabalhadores eram considerados como sistemas de entrada e saída determinísticos, e havia uma tendência a desconsiderar a natureza teleológica do comportamento humano – isto é, o comportamento orientado a objetivos que depende da aquisição de conhecimento. informações relevantes e a seleção de objetivos (Goodstein et al. 1988). Para ser bem-sucedido, o projeto e o gerenciamento de sistemas automatizados híbridos avançados devem ser baseados na descrição das funções mentais humanas necessárias para uma tarefa específica. A abordagem da “engenharia cognitiva” (descrita mais abaixo) propõe que os sistemas homem-máquina (híbridos) precisam ser concebidos, projetados, analisados e avaliados em termos de processos mentais humanos (ou seja, o modelo mental do operador dos sistemas adaptativos é levado em consideração conta). A seguir estão os requisitos da abordagem centrada no ser humano para o projeto e operação do HAS, conforme formulado por Corbett (1988):
Engenharia Cognitiva de Fatores Humanos
A engenharia cognitiva de fatores humanos se concentra em como os operadores humanos tomam decisões no local de trabalho, resolvem problemas, formulam planos e aprendem novas habilidades (Hollnagel e Woods, 1983). Os papéis dos operadores humanos que funcionam em qualquer HAS podem ser classificados usando o esquema de Rasmussen (1983) em três categorias principais:
Na concepção e gestão de um SHA, devem-se considerar as características cognitivas dos trabalhadores de forma a assegurar a compatibilidade do funcionamento do sistema com o modelo interno do trabalhador que descreve as suas funções. Consequentemente, o nível de descrição do sistema deve ser deslocado dos aspectos baseados em habilidades para os aspectos baseados em regras e conhecimento do funcionamento humano, e métodos apropriados de análise de tarefas cognitivas devem ser usados para identificar o modelo do operador de um sistema. Uma questão relacionada ao desenvolvimento de um HAS é o projeto de meios de transmissão de informações entre o operador humano e os componentes do sistema automatizado, tanto no nível físico quanto no cognitivo. Tal transferência de informação deve ser compatível com os modos de informação utilizados em diferentes níveis de operação do sistema – isto é, visual, verbal, tátil ou híbrido. Essa compatibilidade informacional garante que diferentes formas de transferência de informações exigirão uma incompatibilidade mínima entre o meio e a natureza da informação. Por exemplo, uma exibição visual é melhor para transmissão de informações espaciais, enquanto a entrada auditiva pode ser usada para transmitir informações textuais.
Muitas vezes, o operador humano desenvolve um modelo interno que descreve a operação e a função do sistema de acordo com sua experiência, treinamento e instruções em conexão com o tipo de interface homem-máquina fornecido. À luz desta realidade, os projetistas de um HAS devem tentar construir nas máquinas (ou outros sistemas artificiais) um modelo das características físicas e cognitivas do operador humano – ou seja, a imagem do sistema do operador (Hollnagel e Woods 1983). . Os projetistas de um HAS também devem levar em consideração o nível de abstração na descrição do sistema, bem como várias categorias relevantes do comportamento do operador humano. Esses níveis de abstração para modelar o funcionamento humano no ambiente de trabalho são os seguintes (Rasmussen 1983): (1) forma física (estrutura anatômica), (2) funções físicas (funções fisiológicas), (3) funções generalizadas (mecanismos psicológicos e funções cognitivas). e processos afetivos), (4) funções abstratas (processamento de informações) e (5) propósito funcional (estruturas de valor, mitos, religiões, interações humanas). Esses cinco níveis devem ser considerados simultaneamente pelos projetistas para garantir o desempenho efetivo do HAS.
Projeto de software do sistema
Como o software de computador é um componente primário de qualquer ambiente HAS, o desenvolvimento de software, incluindo design, teste, operação e modificação, e questões de confiabilidade de software também devem ser considerados nos estágios iniciais do desenvolvimento HAS. Por este meio, deve-se ser capaz de reduzir o custo de detecção e eliminação de erros de software. É difícil, no entanto, estimar a confiabilidade dos componentes humanos de um HAS, devido às limitações em nossa capacidade de modelar o desempenho de tarefas humanas, a carga de trabalho relacionada e os erros potenciais. A carga mental excessiva ou insuficiente pode levar à sobrecarga de informações e ao tédio, respectivamente, e pode resultar na degradação do desempenho humano, levando a erros e ao aumento da probabilidade de acidentes. Os projetistas de um HAS devem empregar interfaces adaptativas, que utilizam técnicas de inteligência artificial, para resolver esses problemas. Além da compatibilidade homem-máquina, a questão da adaptabilidade homem-máquina entre si deve ser considerada para reduzir os níveis de estresse que surgem quando as capacidades humanas podem ser excedidas.
Devido ao alto nível de complexidade de muitos sistemas automatizados híbridos, a identificação de quaisquer riscos potenciais relacionados ao hardware, software, procedimentos operacionais e interações homem-máquina desses sistemas torna-se fundamental para o sucesso dos esforços voltados para a redução de lesões e danos aos equipamentos . Os riscos de segurança e saúde associados a sistemas automatizados híbridos complexos, como a tecnologia de fabricação integrada por computador (CIM), são claramente um dos aspectos mais críticos do projeto e operação do sistema.
Problemas de segurança do sistema
Ambientes automatizados híbridos, com seu potencial significativo para comportamento errático do software de controle sob condições de perturbação do sistema, criam uma nova geração de riscos de acidentes. À medida que os sistemas automatizados híbridos se tornam mais versáteis e complexos, os distúrbios do sistema, incluindo problemas de inicialização e desligamento e desvios no controle do sistema, podem aumentar significativamente a possibilidade de sérios perigos para os operadores humanos. Ironicamente, em muitas situações anormais, os operadores geralmente confiam no bom funcionamento dos subsistemas de segurança automatizados, uma prática que pode aumentar o risco de ferimentos graves. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.
Como as medidas de segurança tradicionais não podem ser facilmente adaptadas às necessidades dos ambientes HAS, as estratégias de controle de lesões e prevenção de acidentes precisam ser reconsideradas em vista das características inerentes a esses sistemas. Por exemplo, na área de tecnologia de fabricação avançada, muitos processos são caracterizados pela existência de quantidades substanciais de fluxos de energia que não podem ser facilmente antecipados pelos operadores humanos. Além disso, os problemas de segurança geralmente surgem nas interfaces entre os subsistemas ou quando as perturbações do sistema progridem de um subsistema para outro. De acordo com a International Organization for Standardization (ISO 1991), os riscos associados aos perigos devidos à automação industrial variam com os tipos de máquinas industriais incorporadas ao sistema de fabricação específico e com as formas como o sistema é instalado, programado, operado, mantido e reparado. Por exemplo, uma comparação de acidentes relacionados a robôs na Suécia com outros tipos de acidentes mostrou que os robôs podem ser as máquinas industriais mais perigosas usadas na indústria de manufatura avançada. A taxa estimada de acidentes para robôs industriais foi de um acidente grave por 45 robôs-ano, uma taxa mais alta do que para prensas industriais, que foi relatada como um acidente por 50 máquinas-ano. Deve-se notar aqui que as prensas industriais nos Estados Unidos foram responsáveis por cerca de 23% de todas as fatalidades relacionadas a máquinas de usinagem no período de 1980 a 1985, com as prensas mecânicas classificadas em primeiro lugar em relação ao produto de frequência de gravidade para lesões não fatais.
No domínio da tecnologia de fabricação avançada, existem muitas peças móveis que são perigosas para os trabalhadores, pois mudam de posição de maneira complexa fora do campo visual dos operadores humanos. Os rápidos desenvolvimentos tecnológicos na manufatura integrada por computador criaram uma necessidade crítica de estudar os efeitos da tecnologia de manufatura avançada sobre os trabalhadores. A fim de identificar os perigos causados por vários componentes de tal ambiente HAS, os acidentes anteriores precisam ser cuidadosamente analisados. Infelizmente, acidentes envolvendo o uso de robôs são difíceis de isolar de relatórios de acidentes relacionados a máquinas operadas por humanos e, portanto, pode haver uma alta porcentagem de acidentes não registrados. As regras de saúde e segurança ocupacional do Japão afirmam que “os robôs industriais não possuem atualmente meios confiáveis de segurança e os trabalhadores não podem ser protegidos deles, a menos que seu uso seja regulamentado”. Por exemplo, os resultados da pesquisa realizada pelo Ministério do Trabalho do Japão (Sugimoto 1987) de acidentes relacionados a robôs industriais nas 190 fábricas pesquisadas (com 4,341 robôs em funcionamento) mostraram que houve 300 distúrbios relacionados a robôs, dos quais 37 casos de atos inseguros resultaram em alguns quase-acidentes, 9 foram acidentes que produziram lesões e 2 foram acidentes fatais. Os resultados de outros estudos indicam que a automação baseada em computador não aumenta necessariamente o nível geral de segurança, pois o hardware do sistema não pode ser protegido contra falhas apenas por funções de segurança no software do computador, e os controladores do sistema nem sempre são altamente confiáveis. Além disso, em um HAS complexo, não se pode depender exclusivamente de dispositivos de detecção de segurança para detectar condições perigosas e adotar estratégias adequadas de prevenção de perigos.
Efeitos da Automação na Saúde Humana
Conforme discutido acima, as atividades do trabalhador em muitos ambientes HAS são basicamente aquelas de controle de supervisão, monitoramento, suporte e manutenção do sistema. Essas atividades também podem ser classificadas em quatro grupos básicos, como segue: (1) tarefas de programação, ou seja, codificação das informações que guiam e dirigem a operação do maquinário, (2) monitoramento da produção HAS e componentes de controle, (3) manutenção dos componentes HAS para evitar ou aliviar o mau funcionamento do maquinário e (4) executar uma variedade de tarefas de suporte, etc. Muitas revisões recentes do impacto do HAS no bem-estar do trabalhador concluíram que, embora a utilização de um HAS na área de fabricação possa eliminar tarefas pesadas e perigosas , trabalhar em ambiente de HAS pode ser insatisfatório e estressante para os trabalhadores. As fontes de estresse incluíam o monitoramento constante exigido em muitas aplicações HAS, o escopo limitado das atividades alocadas, o baixo nível de interação do trabalhador permitido pelo projeto do sistema e os riscos de segurança associados à natureza imprevisível e incontrolável do equipamento. Ainda que alguns trabalhadores envolvidos em atividades de programação e manutenção sintam os elementos de desafio, que podem ter efeitos positivos no seu bem-estar, estes efeitos são muitas vezes compensados pela natureza complexa e exigente destas atividades, bem como pela pressão exercida pela administração para concluir essas atividades rapidamente.
Embora em alguns ambientes HAS os operadores humanos sejam afastados das fontes tradicionais de energia (fluxo de trabalho e movimentação da máquina) durante as condições normais de operação, muitas tarefas em sistemas automatizados ainda precisam ser realizadas em contato direto com outras fontes de energia. Uma vez que o número de diferentes componentes do HAS está aumentando continuamente, deve-se dar ênfase especial ao conforto e segurança dos trabalhadores e ao desenvolvimento de dispositivos eficazes de controle de lesões, especialmente em vista do fato de que os trabalhadores não são mais capazes de acompanhar as sofisticação e complexidade de tais sistemas.
A fim de atender às necessidades atuais de controle de lesões e segurança do trabalhador em sistemas de manufatura integrados por computador, o Comitê ISO de Sistemas de Automação Industrial propôs um novo padrão de segurança intitulado “Segurança de Sistemas Integrados de Manufatura” (1991). Esta nova norma internacional, que foi desenvolvida em reconhecimento aos perigos específicos que existem em sistemas integrados de fabricação que incorporam máquinas industriais e equipamentos associados, visa minimizar as possibilidades de ferimentos ao pessoal durante o trabalho ou adjacente a um sistema integrado de fabricação. As principais fontes de perigos potenciais para os operadores humanos em CIM identificados por esta norma são mostrados na figura 1.
Figura 1. Principal fonte de perigos na manufatura integrada por computador (CIM) (depois da ISO 1991)
Erros humanos e do sistema
Em geral, os perigos em um HAS podem surgir do próprio sistema, de sua associação com outros equipamentos presentes no ambiente físico ou de interações do pessoal humano com o sistema. Um acidente é apenas um dos vários resultados das interações homem-máquina que podem surgir em condições perigosas; quase acidentes e incidentes de danos são muito mais comuns (Zimolong e Duda 1992). A ocorrência de um erro pode levar a uma destas consequências: (1) o erro passa despercebido, (2) o sistema pode compensar o erro, (3) o erro leva a uma avaria da máquina e/ou paragem do sistema ou (4 ) o erro leva a um acidente.
Uma vez que nem todo erro humano que resulta em um incidente crítico causará um acidente real, é apropriado distinguir ainda mais entre as categorias de resultados da seguinte forma: (1) um incidente inseguro (ou seja, qualquer ocorrência não intencional, independentemente de resultar em ferimentos, danos ou perda), (2) um acidente (ou seja, um evento inseguro que resulta em lesão, dano ou perda), (3) um incidente de dano (ou seja, um evento inseguro que resulta apenas em algum tipo de dano material), (4) um quase acidente ou “quase acidente” (ou seja, um evento inseguro no qual ferimentos, danos ou perdas foram fortuitamente evitados por uma margem estreita) e (5) a existência de potencial acidente (ou seja, eventos inseguros que poderiam ter resultado em ferimentos, danos , ou perda, mas, devido às circunstâncias, não resultou nem mesmo em um quase acidente).
Pode-se distinguir três tipos básicos de erro humano em um HAS:
Esta taxonomia, desenvolvida por Reason (1990), é baseada em uma modificação da classificação habilidade-regra-conhecimento de Rasmussen do desempenho humano conforme descrito acima. No nível baseado em habilidades, o desempenho humano é governado por padrões armazenados de instruções pré-programadas representadas como estruturas analógicas em um domínio de espaço-tempo. O nível baseado em regras é aplicável ao tratamento de problemas familiares nos quais as soluções são regidas por regras armazenadas (chamadas “produções”, uma vez que são acessadas ou produzidas conforme a necessidade). Essas regras exigem que certos diagnósticos (ou julgamentos) sejam feitos, ou certas ações corretivas sejam tomadas, uma vez que surgiram certas condições que exigem uma resposta adequada. A este nível, os erros humanos estão normalmente associados à classificação errada de situações, levando à aplicação da regra errada ou à recordação incorreta de julgamentos ou procedimentos consequentes. Erros baseados em conhecimento ocorrem em situações novas para as quais as ações devem ser planejadas “on-line” (em um determinado momento), usando processos analíticos conscientes e conhecimento armazenado. Erros neste nível surgem de limitações de recursos e conhecimento incompleto ou incorreto.
Os sistemas genéricos de modelagem de erros (GEMS) propostos por Reason (1990), que tentam localizar as origens dos tipos básicos de erros humanos, podem ser usados para derivar a taxonomia geral do comportamento humano em um HAS. O GEMS busca integrar duas áreas distintas de pesquisa de erros: (1) deslizes e lapsos, nos quais as ações se desviam da intenção atual devido a falhas de execução e/ou falhas de armazenamento e (2) erros, nos quais as ações podem ocorrer de acordo com o planejado, mas o plano é inadequado para alcançar o resultado desejado.
Avaliação e Prevenção de Riscos em CIM
De acordo com a ISO (1991), a avaliação de risco em CIM deve ser realizada de forma a minimizar todos os riscos e servir como base para determinar objetivos e medidas de segurança no desenvolvimento de programas ou planos, tanto para criar um ambiente de trabalho seguro quanto para garantir também a segurança e a saúde do pessoal. Por exemplo, os riscos de trabalho em ambientes HAS baseados em manufatura podem ser caracterizados da seguinte forma: (1) o operador humano pode precisar entrar na zona de perigo durante a recuperação de distúrbios, serviços e tarefas de manutenção, (2) a zona de perigo é difícil de determinar, perceber e controlar, (3) o trabalho pode ser monótono e (4) os acidentes que ocorrem em sistemas de manufatura integrados por computador são frequentemente graves. Cada perigo identificado deve ser avaliado quanto ao seu risco, e medidas de segurança apropriadas devem ser determinadas e implementadas para minimizar esse risco. Os perigos também devem ser verificados em relação a todos os seguintes aspectos de qualquer processo: a própria unidade; a interação entre unidades individuais; as seções operacionais do sistema; e a operação do sistema completo para todos os modos e condições operacionais pretendidos, incluindo condições sob as quais os meios normais de proteção são suspensos para operações como programação, verificação, solução de problemas, manutenção ou reparo.
A fase de projeto da estratégia de segurança ISO (1991) para CIM inclui:
A especificação de segurança do sistema deve incluir:
De acordo com a ISO (1991), todos os requisitos necessários para garantir uma operação segura do sistema CIM precisam ser considerados no projeto de procedimentos sistemáticos de planejamento de segurança. Isso inclui todas as medidas de proteção para reduzir efetivamente os perigos e requer:
O procedimento de planejamento de segurança deve abordar, entre outros, as seguintes questões de segurança do CIM:
Controle de Perturbação do Sistema
Em muitas instalações HAS utilizadas na área de fabricação integrada por computador, normalmente são necessários operadores humanos para fins de controle, programação, manutenção, pré-configuração, manutenção ou tarefas de solução de problemas. Distúrbios no sistema levam a situações que obrigam a entrada de trabalhadores nas áreas perigosas. A este respeito, pode-se supor que as perturbações continuam sendo a razão mais importante para a interferência humana no CIM, porque os sistemas serão frequentemente programados de fora das áreas restritas. Uma das questões mais importantes para a segurança do CIM é evitar distúrbios, pois a maioria dos riscos ocorre na fase de solução de problemas do sistema. A prevenção de perturbações é o objetivo comum no que diz respeito à segurança e à relação custo-eficácia.
Uma perturbação em um sistema CIM é um estado ou função de um sistema que se desvia do estado planejado ou desejado. Além da produtividade, as perturbações durante a operação de um CIM afetam diretamente a segurança das pessoas envolvidas na operação do sistema. Um estudo finlandês (Kuivanen 1990) mostrou que cerca de metade das perturbações na manufatura automatizada diminuem a segurança dos trabalhadores. As principais causas de distúrbios foram erros no projeto do sistema (34%), falhas de componentes do sistema (31%), erro humano (20%) e fatores externos (15%). A maioria das falhas das máquinas foi causada pelo sistema de controle, sendo que, no sistema de controle, a maioria das falhas ocorreu nos sensores. Uma forma eficaz de aumentar o nível de segurança das instalações CIM é reduzir o número de perturbações. Embora as ações humanas em sistemas perturbados impeçam a ocorrência de acidentes no ambiente de HAS, também contribuem para que ocorram. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.
As principais questões de pesquisa na prevenção de perturbações CIM dizem respeito a (1) principais causas de perturbações, (2) componentes e funções não confiáveis, (3) o impacto das perturbações na segurança, (4) o impacto das perturbações na função do sistema, ( 5) danos materiais e (6) reparos. A segurança do HAS deve ser planejada no início do estágio de projeto do sistema, com a devida consideração de tecnologia, pessoas e organização, e ser parte integrante do processo geral de planejamento técnico do HAS.
HAS Design: Desafios Futuros
Para garantir o máximo benefício dos sistemas automatizados híbridos, conforme discutido acima, é necessária uma visão muito mais ampla do desenvolvimento do sistema, baseada na integração de pessoas, organização e tecnologia. Três tipos principais de integração do sistema devem ser aplicados aqui:
Os requisitos mínimos de projeto para sistemas automatizados híbridos devem incluir o seguinte: (1) flexibilidade, (2) adaptação dinâmica, (3) capacidade de resposta aprimorada e (4) a necessidade de motivar as pessoas e fazer melhor uso de suas habilidades, julgamento e experiência . O acima também exige que as estruturas organizacionais, práticas de trabalho e tecnologias do HAS sejam desenvolvidas para permitir que pessoas em todos os níveis do sistema adaptem suas estratégias de trabalho à variedade de situações de controle de sistemas. Portanto, as organizações, práticas de trabalho e tecnologias de HAS terão que ser projetadas e desenvolvidas como sistemas abertos (Kidd 1994).
Um sistema automatizado híbrido aberto (OHAS) é um sistema que recebe entradas e envia saídas para seu ambiente. A ideia de sistema aberto pode ser aplicada não apenas a arquiteturas de sistemas e estruturas organizacionais, mas também a práticas de trabalho, interfaces humano-computador e relacionamento entre pessoas e tecnologias: pode-se citar, por exemplo, sistemas de agendamento, sistemas de controle e Sistemas de Suporte à Decisão. Um sistema aberto também é adaptativo quando permite às pessoas um grande grau de liberdade para definir o modo de operação do sistema. Por exemplo, na área de manufatura avançada, os requisitos de um sistema automatizado híbrido aberto podem ser atendidos por meio do conceito de Manufatura Humana e Integrada por Computador (HCIM). Nessa visão, o design da tecnologia deve abordar a arquitetura geral do sistema HCIM, incluindo o seguinte: (1) considerações da rede de grupos, (2) a estrutura de cada grupo, (3) a interação entre os grupos, (4) a natureza do software de suporte e (5) comunicação técnica e necessidades de integração entre os módulos de software de suporte.
O sistema automatizado híbrido adaptativo, ao contrário do sistema fechado, não restringe o que os operadores humanos podem fazer. O papel do designer de um HAS é criar um sistema que satisfaça as preferências pessoais do usuário e permita que seus usuários trabalhem da maneira que acharem mais apropriada. Um pré-requisito para permitir a entrada do usuário é o desenvolvimento de uma metodologia de design adaptável, ou seja, um OHAS que permita a tecnologia assistida por computador para sua implementação no processo de design. A necessidade de desenvolver uma metodologia para design adaptativo é um dos requisitos imediatos para concretizar o conceito OHAS na prática. Um novo nível de tecnologia adaptativa de controle de supervisão humana também precisa ser desenvolvido. Essa tecnologia deve permitir que o operador humano “veja através” do sistema de controle invisível do funcionamento do HAS – por exemplo, pela aplicação de um sistema de vídeo interativo de alta velocidade em cada ponto de controle e operação do sistema. Finalmente, uma metodologia para o desenvolvimento de um suporte baseado em computador inteligente e altamente adaptável de papéis humanos e funcionamento humano nos sistemas automatizados híbridos também é muito necessária.
" ISENÇÃO DE RESPONSABILIDADE: A OIT não se responsabiliza pelo conteúdo apresentado neste portal da Web em qualquer idioma que não seja o inglês, que é o idioma usado para a produção inicial e revisão por pares do conteúdo original. Algumas estatísticas não foram atualizadas desde a produção da 4ª edição da Enciclopédia (1998)."