A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto.

Salvador, BA, Brasil, 06 a 09 de outubro de 2009

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUO

ENGENHARIA DE RESILINCIA E SUSTENTABILIDADE DE SISTEMAS COMPLEXOS

Paulo Victor Rodrigues de Carvalho (CNEN/IEN) paulov@ien.gov.br Jos Orlando Gomes (UFRJ/PPGI) jgomes@pep.ufrj.br;gomes.7@osu.edu Marcos Roberto da SIlva Borges (UFRJ/PPGI) mborges@nce.ufrj.br

Os estudos de caso apresentados neste artigo procuram aplicar os conceitos de engenharia resilincia e mtodos da ergonomia em diversas organizaes e relacion-los com o conceito de sustentabilidade dos sistemas scio-tcnicos complexos. OOs casos abordam os domnios nuclear, transporte areo e emergncia. Em uma usina nuclear, as anlises mostram as aes de controle dos operadores usadas para solucionar conflitos que se apresentaram no nvel operacional, e como eles organizaram os recursos disponveis para sua ao/cognio, de modo a manter o funcionamneto do sistema. Outro estudo descreve os conflitos entre metas e objetivos no sistema de transporte por helicpteros para as plataformas de petrleo na Bacia de Campos, para descobrir o quo resiliente/frgil o sistema de transporte por helicptero, dada as demandas de produo e presses econmicas vigentes. O terceiro estudo caso analisa a simulao da resposta a uma emergncia nuclear que acontece anualmente, como forma de treinamento para responder a situaes e eventos ligados s emergncias nucleares. Os resultados mostraram que a resilincia dos sistemas scio-tcnicos complexos uma condio fundamental para manter a sustentabilidade das organizaes e que o uso dos conceitos, da metodologia e das ferramentas da ergonomia so condies necessrias para compreender as organizaes, identificando resilincia e fragilidades que interferem no seu funcionamento. Palavras-chaves: engenharia de resilincia, ergonomia, sistemas complexos

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

1. Introduo O Uma condio bsica para que uma organizao alcance alta confiabilidade e resilincia superar as tendncias reativas, construindo antecipaes aos problemas e a eventos inesperados e no desejados. Tal organizao deve ser capaz de observar o passado com clareza, produzindo compreenso e reflexo sobre os micro-incidentes, as restries ao trabalho dos operadores e as estratgias desenvolvidas pelas pessoas de forma a aprender e prevenir a ocorrncia de falhas nas organizaes (Woods DD., 2005). A Engenharia de Resilincia tem como propsito permitir s pessoas e s organizaes a se tornarem atentas e sensveis aos modelos de riscos que adotam de forma a controlar a origem e os caminhos das falhas (Dekker S., 2006). Os acidentes em sistemas scio-tcnicos (Challenger, Columbia, coliso area da Gol/Legacy, queda da aeronave Black Hawks dos EUA no Iraque, etc.) tm mostrado como diversas organizaes, todas com mltiplas camadas de defesas e sistema de controle, no conseguiram balancear os riscos da segurana com a presso produtiva. Esses acidentes evidenciaram padres clssicos de deriva das organizaes em direo a uma operao mais eficiente e menos segura, produzindo acidentes. Alguns desses padres so: enfatizar mais a produo que a segurana, considerando os xitos do passado como razo de confiana no futuro; processos fragmentados de resoluo de problemas; falta de reavaliao das estimativas quando novas evidncias se acumulam; perturbaes/interrupes dos fluxos de informao entre departamentos da organizao dificultando a comunicao, resultando em organizaes cegas e incapazes de aprender com os incidentes de menor importncia (CAIB, 2003; Snook, 2000; Carvalho P. V. R. et al., 2009). Se considerarmos que os padres descritos acima so quase os mesmos para todo um conjunto de acidentes maiores em sistemas scio-tcnicos complexos, ento, para poder evitar tais acidentes, necessita-se criar a antecipao (foresight), monitorando o nvel de risco do sistema atravs de seu ciclo vital completo e identificando os sacrifcios na tomada de decises( sacrifice decisions), isto , as compensaes da segurana/produo so feitas pelas pessoas todos os dias. Alm disso, precisamos entender como se obtm xito frente s restries atividade de trabalho (e se esse xito poderia conduzir a maiores falhas) e como as pessoas aprendem e se adaptam para garantir a segurana em um mundo pleno de lacunas, perigos e conflitos de metas e objetivos (Hollnagel E. e Woods DD., 2005; Adamski A. e Westrum R., 2003; Cook R. et al.,2000). Durante o seu trabalho dirio, as pessoas atuam em diversos papis dentro de uma organizao complexa com vrias camadas de barreiras de defesa em profundidade. Neste cenrio complexo, as pessoas no esto totalmente conscientes dos potenciais caminhos de falhas que podem emergir conforme elas desenvolvem as estratgias locais para face frente s restries e complexidade do sistema. A multiplicidade de tarefas para manter uma operao eficiente e sem falhas e a conseqente sobrecarga cognitiva, normalmente impede s pessoas de refletir sobre o resultado de suas aes e aprender com elas. Uma organizao resiliente deve proporcionar meios para superar esta situao, monitorando, entendendo, refletindo e aprendendo a partir dessas estratgias, identificando ameaas e riscos segurana. Falhar em aplicar esses princpios leva a organizao a atuar em um modo reativo (e hindsight), numa condio de luta constante contra o perigo (Woods D. D., 2005). Os estudos de caso apresentados neste artigo procuram aplicar os conceitos e mtodos de engenharia resilincia, bem como relacion-los com o conceito de sustentabilidade dos

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

sistemas scio-tcnicos complexos, num pas de desenvolvimento industrial recente que o caso do Brasil. Os casos abordam os domnios nuclear, aviao e emergncia. Em uma Usina de Energia Nuclear, foram analisados micro incidentes durante a operao da planta. As anlises mostram as aes de controle dos operadores usadas para solucionar pequenos conflitos que se apresentaram no nvel operacional, e como eles organizaram os recursos requeridos para sua ao/cognio, ou seja, o material, a parte social, e caractersticas culturais do ambiente. O quadro (framework) de micro incidente permite uma viso antecipada das aes de controle dos operadores, permitindo a anlise sistmica e o pensamento crtico sobre a possibilidade, de que essas situaes problemticas relativamente pequenas nas camadas fracamente acopladas do sistema, possam conduzir a resultados negativos em algum momento no futuro (Carvalho P. V. R. et al., 2008). Tambm foram estudados os conflitos entre metas e objetivos no sistema de transporte por helicpteros para as plataformas de petrleo na Bacia de Campos no Brasil, para descobrir o quo resiliente e frgil o sistema de transporte por helicptero, dada as demandas de produo e presses econmicas vigentes. A anlise permitiu conhecer conflitos entre meta e objetivos que se apresentaram nas fronteiras do funcionamento entre as diversas organizaes envolvidas e como as pessoas, atuando em seus diversos papis, adaptam-se a esses conflitos, e as implicaes destas adaptaes para segurana e resilincia do sistema como um todo (Gomes et al. , 2009). O terceiro estudo caso relacionado pesquisa tem por objetivo analisar a simulao da resposta a uma emergncia nuclear sob uma abordagem da ergonomia cognitiva e engenharia de resilincia. Esta simulao acontece anualmente como forma de treinamento para responder eficazmente a situaes e eventos ligados s emergncias nucleares. Ela se desenvolve na cidade de Angra dos Reis, em cujo municpio est localizado o parque nuclear brasileiro de produo de energia e congrega 26 organizaes privadas e pblicas, nos nveis federal, estadual e municipal (Costa et al., 2008). Por fim, acreditamos que a resilincia dos sistemas scio-tcnicos complexos uma condio, entre outras, para manter a sustentabilidade das organizaes. Para isto, o uso dos conceitos, da metodologia e das ferramentas que fazem parte da Anlise Ergonmica do Trabalho (AET), uma condio sine qua non para compreender as organizaes identificando resilincia e fragilidades que interferem no funcionamento dos sistemas produtivos complexos. O conceito de desenvolvimento sustentvel dos sistemas de trabalho empregado neste artigo se baseia, em parte, na resilincia do mesmo, tanto ao nvel de projeto quanto de funcionamento. Portanto, desenvolver a resilincia, compreendendo o nvel de projeto e operao, uma condio necessria e fundamental. Por resilincia de projeto, compreendemos a atividade desenvolvida na concepo dos sistemas produtivos complexos cujo processo permite em suas vrias etapas realizar atividades de simulao que permitam, por exemplo, visualizar as atividades futuras de funcionamentos, identificando gaps e bugs na relao entre tecnologia, pessoas e organizaes (Adamski A e Westrum R., 2003). E por resilincia de funcionamento ou operao compreendemos a capacidade continua e ininterrupta do sistema em adaptar-se variabilidade de situaes e sempre se antecipar s situaes no desejveis para garantir uma confiabilidade e eficincia permanentes. 2. Metodologia A Engenharia de Resilincia proporciona uma estrutura metodolgica e a Anlise de Tarefas Cognitivas (CTA Cognitive Task Analysis), as tcnicas para analisar o trabalho em sistemas complexos, utilizadas nos diversos estudos de casos descritos artigo: micro-incidentes em sala

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

de controle de uma usina nuclear, sistema de transporte por helicpteros e a simulao de resposta emergncia nuclear. A CTA um nome geral que engloba um conjunto de mtodos e tcnicas usados para compreender e descrever os aspectos cognitivos das atividades dirias de trabalho, incluindo como os profissionais vem o trabalho que fazem, e como eles do sentido aos eventos e restries que encontram durante o desempenho de suas atividades (Crandall B. et al., 2006). Esses mtodos dependem de um acesso direto aos profissionais ou especialistas ou trabalhadores experientes em domnios especficos dos quais se busca extrair informaes. De acordo com a abordagem da engenharia de resilincia, para permitir que as pessoas e organizaes possam tomar melhores decises no tradeoff produo versus segurana num contexto dinmico e competitivo, no suficiente a organizao possuir apenas um sistema de gesto de riscos, com barreias de segurana e uma engenharia voltada para a proteo contra eventos adversos. Em organizaes resilientes, a segurana deve ser fazer parte das tomadas de deciso dirias, por meio de uma reviso ativa dos modelos de risco e avaliao da efetividade das aes corretivas Uma organizao segura precisa ser dinmica, engajada, informada e informativa para ser capaz de manter um balano de produo versus segurana adequado em um longo perodo de tempo (Woods DD. 2005). Desta maneira, uma organizao para se tornar resiliente precisa desenvolver maneiras de gerar informaes sobre como a organizao est realimente operando e por que as pessoas esto operando desta maneira. Assim, em vez de se focar em como o trabalho deve ser feito (as regras prescritas e tarefas), ns nos voltamos em compreender como e porque o trabalho est sendo feito de uma forma particular, considerando as restries ou limites que conformam o trabalho, e analisando os modelos de risco que as pessoas esto usando durante suas decises de sacrifcio. Esta abordagem identifica a variabilidade das atividades dos trabalhadores e como suas opes o qu, quando e como agir so permitidas e/ou ajudadas ou restringidas pelo ambiente de trabalho. Em meio a estas condies, os trabalhadores podem gerar uma grande variedade de padres de trabalho, incluindo comportamentos desconhecidos e inovaes nas prticas de trabalho que precisam ser monitoradas para identificar as implicaes mbito da relao produo versus segurana. Como h diferentes tipos de restries que podem moldar o comportamento dos trabalhadores, vrias dimenses de anlise so necessrias, no mbito da atividade de trabalho e das estruturas organizacionais. Nos casos que sero apresentados a seguir, diversos mtodos e tcnicas da Anlise de Tarefas/Atividades Cognitivas foram usados tanto na fase de coleta quanto de anlise e apresentao dos dados, conforme as caractersticas de cada ambiente de trabalho e os objetivos especficos de cada um dos estudos. 3. Anlise dos casos: nuclear, aviao e emergncia No setor nuclear o objetivo foi analisar a tomada de decises operacionais em usinas nucleares, observando como os operadores de sala de controle de usinas nucleares lidam com situaes novas, ou pelo menos no esperadas, as quais definimos como situaes de micro incidentes (Carvalho et al., 2008; 2007; 2006). A atividade de trabalho dos operadores foi gravada mediante o uso de equipamentos de udio e vdeo. Conforme a abordagem de estudos em situao real de trabalho da ergonomia, os operadores receberam s uma instruo: comportar-se de forma to normal quanto possvel, apesar dos equipamentos de gravao e da presena dos analistas na sala de controle. O procedimento consistiu de 3 fases: 1) Coleta de dados, 2) Preparao dos dados e 3) Anlise.

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

Para compreendermos as decises dos operadores ao lidar com micro incidentes, o contedo das gravaes de udio e vdeo do trabalho dos operadores foi codificado em diversas categorias conforme a tabela 1. Seguindo o mtodo proposto 15 micro incidentes (Mis) foram analisados, sendo 10 durante a parada de usina, 4 durante a partida e 1 durante o treinamento em simulador. Dentre estes MIs observamos que procedimentos foram seguidos em apenas 3 ocasies, sendo que em uma delas durante o treinamento em simulador, seguir o procedimento a risca sem considerar o estado geral da planta foi o que engendrou o micro incidente, conforme observao do prprio instrutor do simulador. Em diversas ocasies os operadores, mais especificamente Supervisores de Turno, tiveram que arbitrar situaes onde procedimentos geravam conflitos, como nos casos de liberao/suspenso de testes nos quais os procedimentos de teste eram incompatveis com a programao dos testes: a condio operacional da usina prevista no procedimento de teste no era compatvel com o momento planejado para sua realizao. Nestes casos o Supervisor tentou por duas vezes realizar os testes (contrariando um dos procedimentos) e teve de suspend-los em funo de dificuldades operacionais.
Categoria Ponto de ruptura Deciso Entrada Definio Ponto de ruptura da operao normal motivando deciso que gera um curso de ao (CuA) diferente do previsto no procedimento. Por exemplo, usar um atalho, parar um processo, esperar para ver como o micro incidente evolui, enviar um operador ao campo etc. Informao que conduz a uma avaliao alterada que requer uma deciso. Identificao de quando o tpico relativo deciso foi introduzido e que fatores novos causaram a mudana. Quem identificou a necessidade de tentar resolver um problema. Pessoal envolvido desde a identificao do problema/ auxlio na resoluo at a tomada de deciso. O objetivo da deciso. Verbalmente declarado ou deduzido pelo investigador. Metas incluem parar um processo, partir um sistema, realizar testes etc. Baseada na meta. Por exemplo, a meta pode ser a parada de um processo, a razo era minimizar o dano potencial da evoluo do micro incidente. Pode ser declarado, mas freqentemente teve que ser deduzido. Opes disponveis como meios alternativos de solucionar o problema identificado. Dentre essas opes podem estar no fazer nada ou esperar. As conseqncias se referem ao que aconteceria se estas opes fossem selecionadas em vez do CuA escolhido. Mais uma vez, opes e consequncias podem ser declaradas, mas algumas vezes precisam ser deduzidas. O tempo decorrido desde quando o problema foi identificado at a tomada de deciso. Tabela 1 Esquema de codificao.

Instigado por Envolvidos Meta Razo

Opes e consequncias

Tempo

Resumimos a seguir os principais resultados do estudo: Os operadores de sala de controle resolvem problemas gerados por micro incidentes e tomam suas decises basicamente a partir de reconhecimento de padres e de regras condio-ao implcitas. Estas regras parecem ser derivadas muito mais da experincia e treinamento (conhecimento tcito) do que dos procedimentos operacionais padro, Os problemas so resolvidos em srie medida que vo emergindo, quando h alguma mudana observvel no estado do sistema. H pouca evidncia de gerao e comparao de opes; As restries do ambiente (tcnicas, sociais, culturais) limitam severamente a possibilidade de antecipao e a quantidade de opes disponveis.

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

Os procedimentos escritos, de diversos tipos, so a principal fonte de auxlio com que contam os operadores das usinas para realizar as tarefas de operao. Entretanto, os resultados do estudo apontam problemas em relao ao modo de utilizao, elaborao e modificao dos procedimentos. Enquanto a estrutura legal adota como um valor seguir procedimentos a risca estabelecendo punies em caso de no cumprimento de procedimentos as restries tcnicas, organizacionais e culturais vo de encontro a este objetivo. A concepo procedural do trabalho dos operadores, baseada em instrues detalhadas que se supe sejam seguidas risca chamada por Perin (Perin C., 2005) de cultura do controle, possui limitaes em funo da dificuldade dos projetistas de preverem todas as aes que sero efetivamente necessrias em situaes novas e devido s restries impostas pelo contexto de trabalho. Esta situao foi observada no uso do procedimento de emergncia durante o treinamento em simulador. Este procedimento manda reduzir a presso at 80 bar e no considera inteiramente as variabilidades do processo, gerando dvidas inclusive quanto a pertinncia da instruo e forma de utilizao. Quando questionados pelo instrutor o motivo pelo qual estariam seguindo uma instruo s cegas, o que estaria agravando o acidente simulado, os operadores alegaram questes estruturais/legais, como a obrigatoriedade de seguir os procedimentos risca. Diversos micro incidentes analisados mostraram situaes onde os operadores, em funo da situao, das metas e objetivos, das presses, de seu estado fsico e emocional, e tambm em face de dificuldades inerentes s postulaes e incongruncias contidas nos prprios procedimentos, lanam mo de estratgias cognitivas baseadas em regras condio-ao implcitas, tentativa e erro, analogias para tomar decises e flexibilizar procedimentos. Estas condies obrigam os operadores a realizar modificaes ad hoc em procedimentos (no cumprimento de requisitos escritos) durante a operao, apesar da evidente ansiedade que este tipo deciso provoca em funo da cultura de controle da organizao, como no exemplo dos micro incidentes relacionados a liberao/suspenso de testes. Micro incidentes durantes os testes emergiram da relao entre a necessidade do Supervisor seguir o planejamento das tarefas (presso da produo) com requisitos contidos no procedimentos de testes (realizar testes com o reator no estado sub crtico frio, que no era o estado do reator no momento planejado para os testes), Assim, por duas vezes o Supervisor toma a deciso de no seguir o requisito do procedimento de teste (reator sub crtico frio) e libera os testes conforme o plano de tarefas, os quais tiveram que ser suspensos aps presses do demais operadores em funo de problemas no processo de resfriamento da planta. O uso de estratgias baseadas em analogias (subir a potncia em 5% para ver se pra a oscilao), sem o suporte necessrio para saber se a estratgia poderia afetar a segurana, permitem indicar que tipo de modelo local de risco vem sendo adotado por cada tipo de operador (supervisores, operadores da planta). Por outro lado, importante observar que o modelo local de risco reforado pelos sucessos obtidos nestas flexibilizaes trazendo como conseqncia natural uma aumento da confiana neste tipo de estratgia, que tende a ser cada mais utilizada, mas que necessariamente demandas novas formas de abordar este contexto fundamental para a segurana dos processos, tal como apontada pela engenharia de resilincia. O segundo caso analisado foi o do sistema de transporte por helicpteros na Bacia de Campos. Esta pesquisa, baseada na anlise da atividade cognitiva dos pilotos que voam na

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

Bacia de Campos a servio da Petrobrs, busca identificar os fatores contribuintes e os contrantes que interferem na atividade dos pilotos, cujas consequncias afetam o desempenho operacional do sistema de transporte como um todo e, consequentemente, a segurana de vo. Contrantes so fatores que de alguma maneira dificultam o que feito e, principalmente, a forma prescrita de como as coisas deveriam ser feitas, sendo ento determinantes da criao de diversas estratgias adaptativas por parte dos agentes. Como regra geral, estas estratgias adaptativas podem tanto facilitar o trabalho das pessoas quanto contribuir para ocorrncias no desejadas no sistema. Normalmente, elas so insuficientes, de modo isolado, para provocar incidentes ou acidentes e, portanto, permanecem invisveis nas anlises mais tradicionais, baseadas em relatrios de perigo, anlise de acidentes, inspees de reguladores etc. (Carvalho, P.V.R., 2006). Entretanto, a carga de trabalho agregada, ou o desgaste gerado pela acumulao de diversos pequenos desvios nos modos de trabalho sob as presses de um ambiente organizacional que visa maior produo com menor custo, pode se constituir num solo frtil para a emergncia de grandes perdas, impactando na resilincia e segurana do sistema (Woods, D. D., 2005; Woods, D.D., 2006) Como conseqncia da estrutura do sistema de gesto, cada ator persegue seus prprios objetivos, em funo das suas reas de responsabilidade. Conflitos de interesses crescem, em particular, no caso dos pilotos de helicptero que devem reportar problemas de manuteno, os quais podem prejudicar seus prprios ganhos e a rentabilidade da empresa, pois o tempo de inspeo e paradas para manuteno diminuem o tempo efetivamente voada pelo qual ambos, pilotos e empresas, so remunerados (a estrutura contratual atualmente em vigor no transporte offshore no Brasil privilegia as horas voadas pelas aeronaves e/ou o nmero de aeronaves que esto disponveis para vo). Caso um helicptero seja retirado para manuteno, a empresa no gera receitas e reduz a capacidade de fornecer o servio estipulado no contrato. Alm disso, relatrios oficiais de problemas tcnicos podem deixar fora de servio a aeronave at a prxima inspeo da Agncia Nacional de Aviao Civil (ANAC) (realizada pelo contratante) que ocorre a cada 15 dias. Como resultado, o helicptero pode ficar fora do servio por mais tempo at ser realizada a inspeo para liberar o equipamento para servio. Assim, as relaes organizacionais e financeiras criam presso para manter os helicpteros voando. Sob essa presso, pilotos encaram um dilema para decidir se um problema tcnico suficiente ou no para iniciar um ciclo oficial de manuteno. Os pilotos at reconhecem indcios de problemas (vibrao, rudo etc.), que seriam indicadores prematuros de possveis falhas no equipamento, e poderiam reportar manuteno antes que estes problemas se tornem uma ameaa segurana de vo. Entretanto, enviar o helicptero para a manuteno retira-o de servio, perdendo-se tempo de vo que contraria um calendrio exigente e uma demanda sempre crescente pelo servio, reduzindo as receitas de pilotos e empresas. Esta situao um exemplo de deciso de sacrifcio alicerada na presso de ser mais rpido, melhor e mais barato (faster, better, and cheaper). A descoberta desse dilema no transporte offshore na Bacia de Campos permitiu equipe investigar como o sistema foi adaptado a lidar formalmente e informalmente com estas presses. A figura 1 utiliza uma estrutura de fluxo para capturar a deciso de sacrifcio dos pilotos. O sistema adapta e caracteriza os problemas em duas classes: aqueles severos o suficiente para requererem o processo oficial, incluindo a espera da inspeo aps o reparo j ter sido feito, e outras que so leves o bastante (de acordo com a experincia do piloto) para serem reportadas diretamente (mas informalmente) ao funcionrio de manuteno ou de investigao. O dilema enfrentado pelos pilotos refere-se a reportar oficialmente uma condio ou no. A segunda opo permite manter a aeronave em servio (minimizando perdas financeiras

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

relativas ao tempo de vo), enquanto a manuteno avalia a informao (gravidade da situao), ou encomenda peas. A manuteno pode at manter o helicptero em terra. A deciso de reportar oficialmente ou no sempre do piloto. Entretanto, as presses contratuais polarizam o processo decisrio dos pilotos que agravado pela dificuldade tcnica que os pilotos podem ter (em funo de sua experincia, formao tempo de vo etc.) para interpretar e avaliar a gravidade dos problemas tcnicos. Este espao de manobra surge, em parte, porque h uma diferena entre dois conjuntos de regras. As regras regulatrias so mais estritas do que aquelas da Relao de Equipamentos Mnimos (REM), que uma lista de itens especficos sem os quais uma aeronaves no pode voar, regulado por normas internacionais. Portanto, apesar de existirem problemas, report-los pode no ser obrigatrio e, se eles ficam aqum das regras mais rgidas, podem ser reportados diretamente para a rea de manuteno, sem passar pelo processo oficial de relatrio. A anlise permitiu identificar que a deciso de sacrifcio dos pilotos depende, por uma lado da capacidade do piloto para perceber de sintomas fracos de problemas durante as diversas fases de um vo, e por outro lado ter a expertise necessria para, a partir dos sintomas percebidos, discriminar situaes de manuteno adiveis daquelas crticas e inadiveis. Outro ponto relevante refere-se relaes comerciais da companhia de helicpteros com os seus pilotos e com o principal cliente que a companhia de petrleo. Acreditamos que um entendimento mais global do contexto pode permitir agir na melhoria da segurana como um todo. Um sistema de segurana proativo deve ser capaz de, atravs de indicadores, emitir sinais relativos aos pontos frgeis do sistema, antecipando-se aos eventos adversos, atravs de uma monitorao contnua e constante. Isto pode ser possvel a partir do conhecimento e da interpolao entre aspectos locais/situados e os aspectos organizacionais deste sistema complexo, que envolve vrias organizaes dispersas espacialmente e temporalmente, cujas sincronizaes de objetivos e metas revelam-se frgeis em determinados contextos e resilientes em outros.

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

Figura 1 Diagrama de fluxo do processo de tomada de deciso dos pilotos.

O terceiro caso estudado foi o simulao da resposta emergncia nuclear no qual foi realizada uma anlise do trabalho cognitivo (ATC) de uma simulao de acidente nuclear. Registros audiovisuais foram coletados de uma equipe de sala de emergncia composta por indivduos de 26 agncias diferentes no momento em que respondiam a mltiplos cenrios de um acidente nuclear simulado. Esta simulao fez parte de uma atividade nacional de treinamento de resposta emergncias em uma usina nuclear. Mltiplas tcnicas de ATC para coleta, anlise e representao dos dados (Crandall et al., 2006) foram usadas de modo a obtermos um melhor entendimento das dimenses cognitivas da atividade e identificar padres de coordenao de equipe e gesto de crises surgidos no treinamento simulado. As atividades das pessoas na sala envolvidas na simulao Plano de Emergncia Externo (PEE) foram representadas ao longo da linha temporal. Na representao, para cada minuto da simulao existe uma linha com diversos campos a serem preenchidos. Por exemplo, entre 9:45 e 9:46 da simulao, atividades envolvendo Perguntas, Pedido de Silncio e Chegada de pessoas foram observadas. Os campos correspondentes a cada uma dessas subcategorias e ao horrio 9:45 seriam, ento, marcados. Para representar as diversas atividades das equipes, foram criadas categorias de aes. Categorias comuns foram rotuladas para expressar momentos chave da simulao, assim como, para simplificar a representao para anlise. Essas categorias esto listadas na tabela 2.
Categorias Aes Conversa em grupos pequenos Mensagem da planta/nova informao Explicao de detalhes/conhecimento especfico Comunicao externa (celular) Repetio de informaes conhecidas Pergunta Descrio Pessoas falando em grupos pequenos Novos eventos, cenrios, informaes Explicaes tcnicas para dividir conhecimento Comunicao com o exterior da sala de emergncia Resumos para manter o ambiente em acordo Dvidas dos participantes Ordens dadas pelo coodenador ou outro lder Decises relativas ao que ser feito em cada caso Evitar a disperso do grupo Evitar informaes confusas

Comunicao

Comando para os membros da equipe Ordem/ Comando Aprovao e tomada de deciso Pedido de Silncio Pedido de Informao

Fsico/ Tecnologia

Problemas tecnolgicos Chegada de pessoas

Recursos tecnolgicos inadequados Substituies, almoo, chegada de pessoas

Tabela 2 Categorias de aes e descries

O estudo permitiu identificar fatores de resilincia e fragilidade no processo de reposta emergncia nuclear. Resilincia definida como a capacidade do sistema em lidar com distrbios, incluindo surpresas, com sucesso. As seguintes fontes de resilincia foram identificadas na anlise combinada dos dados:

10

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

H grandes esforos do coordenador da equipe de emergncia na passagem de instrues e na manuteno de um ambiente comum a todos. Devido s caractersticas dinmicas de uma resposta de emergncia, revises e instrues ad hoc so extremamente importantes. (Woods, D. D., e Hollnagel, E. , 2006); A diversidade na equipe de resposta s emergncias pode ser uma fonte de resilincia. A presena de representantes de 26 diferentes agncias revela a diversidade do grupo. Todavia, Hong e Page (2004) consideram que, grupos especializados na resoluo de problemas com integrantes dotados de habilidades individuais podem superar um time de especialistas, A equipe de resposta s emergncias apresenta alguns bons padres de organizao. Klein (2001) define organizao como a tentativa por parte de mltiplas entidades em atuar juntas com o intuito de alcanar um objetivo comum, atravs da realizao de um plano compreendido por todos. No estudo da PEE, os membros que compem a equipe trazem seus prprios planos e roteiros para a resposta emergncia. Para demandas mais complexas, faz mais sentido ter planos modulares ao invs de planos completos e complexos. (Klein, G., 2001); H, tambm, um mecanismo de reorganizao que decorre das atividades da equipe de resposta s emergncias. Quando surge um incidente que demanda de competncias distintas, os membros so requisitados a avaliar a situao e a tomar decises em domnios especficos, se reunindo em pequenos grupos para discutir sobre o tema. Um exemplo disso foi um caso ocorrido numa situao real no planejada no Protocolo de Simulao. Ativistas ambientais estavam bloqueando estradas perto da rea da Central de Energia Nuclear. Para solucionar o problema, representantes das polcias (rodoviria, investigativa e militar) se juntaram para discutir sobre o problema e tomar decises. Aps isso, cada um deles constataram suas agncias para agir sob coordenao e os ativistas foram controlados poucos minutos depois. Klein (2001) classifica esses mecanismos de organizao como novas fontes de valor marginal para as operaes. A Fragilidade de um sistema so aspectos que tornam o funcionamento do sistema mais perigoso (com mais chances de produzir sadas inadequadas). Identificar fontes de fragilidade pode ajudar a antecipar como o sistema pode falhar, auxiliando a preveno. (Gomes, J.O., et al., 2009). As fontes de fragilidade identificadas foram: Enquanto um acidente nuclear extremamente complexo e dinmico, a concepo da atual simulao estudada foi bastante esttica. Existe um nmero finito de eventos prdeterminados que foram enviados para a equipe de resposta s emergncias em uma seqncia tambm pr-determinada, criando um cenrio menos complexo e desafiador. Houve uma notvel mudana no comportamento na equipe quando uma situao real e inesperada ocorreu e um grupo de ativistas comeou a bloquear as estradas. Os participantes da agncia ficaram visivelmente mais srios e as atividades marginais entre as pessoas que no estavam concentradas em encontrar solues para o problema diminuram; Por mais que existam mecanismos de passagem de instrues repetidamente durante toda a simulao, no h mecanismos especficos capazes de transmitir um parecer da situao aos agentes que chegam durante o evento ou durante o processo de tomada de deciso. A chegada dessas pessoas ocorre, geralmente, nas primeiras horas da simulao quando as agncias contratadas esto enviando seus representantes, durante a hora do almoo ou, tambm, durante o curso da simulao, quando a substituio de um agente necessria

11

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

por algum motivo; A distribuio fsica dos indivduos nas salas extremamente importante, uma vez que h situaes em que combinaes diferentes de agncias vo interferir mais do que outras. Em ambientes de trabalho compartilhados, os indivduos iro organizar seus lugares e atividades de acordo com a distribuio dos outros na sala. (Engestrm, Y. e Middleton, 1996). Uma organizao com postos de trabalho apropriados e flexveis capaz de promover um layout dinmico das clulas representativas das agncias, aperfeioando o existente mecanismo de reposta emergncia; As atividades realizadas pelo coordenador da equipe de simulao so extremamente importantes para a execuo e comando da PEE. No entanto, se a maior parte das atividades da PEE realizada pelo coordenador, pode haver uma sobrecarga cognitiva, gerando, desta forma, um gargalo no processo de tomada de decises. Grande parte das atividades de comunicao entre os agentes feita pelo coordenador, podendo representar uma sobrecarga nas suas atividades; O nmero de agentes e de agncias tem influncia na organizao e no desempenho da equipe. Aps algumas horas na sala da emergncia externa, parece ocorrer uma tendncia de disperso dos participantes e, provavelmente, uma perda de concentrao. Tal fato comprovado pela quantidade de vezes em que pedido silncio equipe. O nmero de indivduos pode degradar esse contexto, especialmente se alguns dos agentes no tm participao ativa nas decises e nas atuaes da equipe. Ter uma equipe melhor apenas quando o desempenho do grupo maior do que somatrio individual do de cada membro. Quanto mais integrantes, maior o custo de coordenao e a equipe pode se tornar excessivamente numerosa; Embora as agncias tragam os seus prprios planos de emergncia, gerando um plano de emergncia modular menos complexo, necessrio um plano elaborado para identificar a funo e o papel de cada agncia em resposta emergncia nuclear. Uma anlise do PEE atual pode aperfeioar a resilincia de simulao; H uma deficincia na estrutura tecnolgica visual e de comunicao utilizada por todos os agentes envolvidos no Plano de Emergncia para entender e compartilhar a situao de emergncia. Todas as descries dos eventos e das atividades so feitas verbalmente. A estrutura tecnolgica visual e de comunicao importante para entender o contexto e para a tomada de deciso quando o tempo de resposta curto. (Shoenwald et al, 2005).

4. Concluses Nos estudos de caso aqui apresentados, foram utilizadas mltiplos mtodos e tcnicas da ATC para encontrar fontes de resilincia e de fragilidade nos domnios da produo de energia nuclear, na aviao offshore de helicpteros na Bacia de Campos, bem como na simulao da resposta emergncia nuclear. Na nossa anlise encontramos essas fontes ligadas coordenao de equipe, concepo e dinmica do projeto das organizaes e das relaes inter-organizaes, do design da simulao em si e dos cenrios, ao design das estaes de trabalho, estrutura tecnolgica visual e de comunicao e s atividades de resposta crise. Conhecer e compreender estas fontes no sistema um mecanismo til para melhor compreender o porqu do sucesso ou do fracasso das atividades e a interferncia do sistema no desempenho. No acidente de Colmbia, o sistema de gerenciamento de segurana da NASA falhou em entender as implicaes na segurana do tradeoff realizado pelas pessoas, relacionado ao vazamento de espuma que ocorreu em quase todos os vos. Uma situao similar ocorreu no

12

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

acidente Challenger relacionado s condies dos O-rings. A falta de compreenso da imagem global, no que diz respeito ao vazamento de espuma durante os lanamentos anteriores que contriburam para os tradeoffs antes e durante a ltima misso do nibus espacial Colmbia (e.g. Por que o vdeo do vazamento de espuma durante o lanamento foi ignorado pelo comando da misso?), est diretamente ligado s decises locais tomadas pelas pessoas dentro dos vrios nveis da organizao. Novos estudos e pesquisas se fazem necessrios para avanar o conhecimento nestes trs domnios, com o objetivo de analisar profundamente essas fontes de resilincia, alm de reduzir as fontes de fragilidades ou at transform-las em fontes de resilincia. Os resultados fornecidos por essa anlise sugerem que reas como coordenao de equipe, concepo e dinmica da simulao, gesto de crises e o desenvolvimento da estrutura tecnolgica necessria para suporte so reas com elevado potencial para aperfeioamento na simulao de resposta emergncia. Portanto, um sistema proativo de gerenciamento de segurana usando conceitos da engenharia de resilincia deve fornecer organizao meios eficazes para balancear segurana e objetivos de alta produtividade, atravs da reestruturao das interaes entre nveis para melhor balancear segurana com presses de produo. Para isso, segurana precisa ser tratada como algo fundamental, monitorando continuamente o modelo de risco e decises de sacrifcio que as pessoas usam em suas atividades dirias. Essas organizaes resilientes devem fugir do vis da falta de preveno, situao na qual temos que esperar por acidentes para pensar em segurana. De fato, como indicado por Weick safety is a dynamic non event, (Weick, K.1993), ou em outras palavras, o nvel de segurana vigente permanece despercebido se no acontecer nada. Ao invs de ver o sucesso passado como um indicador de um bom nvel de segurana, organizaes resilientes devem continuar a investir em antecipar mudanas para prevenir falhas potencias, compreendendo sempre que seu conhecimento imperfeito e que seu ambiente muda constantemente. Agradecimentos Os autores agradecem o auxlio do Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico- CNPq para a realizao desta pesquisa. Referncias
ADAMSKI, A. & WESTRUM, R. Requisite imagination. The fine art of anticipating what might go wrong. In E. Hollnagel (Ed.), Handbook of cognitive task design, p. 193-220. Mahwah, NJ: Lawrence Erlbaum Associates, 2003. CAIB. Columbia Accident Investigation Board Report. Government Printing Office, Washington DC, 2003. CARVALHO, P. V. R., SANTOS I. L., GOMES J. O., BORGES M. R. Micro incident analysis framework to assess safety and resilience in the operation of safe critical systems: a case study in a nuclear power plant . Journal of Loss Prevention in the Process Industries, v. 21/3 p. 277-286, 2008. CARVALHO, P. V. R., GOMES J. O., HUBER G., VIDAL, M.C.R. Normal people working in normal organizations with normal equipment: system safety and cognition in a mid-air collision. Applied Ergonomics, 40 p 325340, 2009. CARVALHO P.V.R., SANTOS I.J.L., VIDAL, M.C.R. Safety implications of cultural and cognitive issues in nuclear power plant operation. Applied Ergonomics 37 v. 2 pp.211223, 2006. CARVALHO, P. V. R. ; VIDAL, M. C. ; CARVALHO, E. F. Nuclear power plant communications in normative and actual practice: A field study of control room operators' communications. Human Factors in Ergonomics and Manufacturing, n. 17/1, p. 43-78, 2007.

13

XXIX ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO

A Engenharia de Produo e o Desenvolvimento Sustentvel: Integrando Tecnologia e Gesto
Salvador, BA, Brasil, 06 a 09 de outubro de 2009

COOK, R. I., RENDER, M. L. & WOODS, D. D. Gaps in the continuity of care and progress on patient safety. British Medical Journal, n.320 p.791-794, 2000. COSTA, W. S., VOSHELL, M., BRANLAT, M., WOODS, D., GOMES, J. O., BUARQUE, L. Resilience and Brittleness in a Nuclear Emergency Response Simulation: Focusing on Team Coordination Activity. In Prodeeding 3rd Resilience Engineering Symposium, Juan-les-Pins, France, 2008. CRANDALL, B., KLEIN, G., HOFFMAN, R. Working Minds: a Practitioners Guide to Cognitive Task Analysis. The MIT Press, 2006. DEKKER S. Resilience Engineering: Chronicling the Emergence of Confused Consensus. In E. Hollnagel, D.D. Woods and N. Leveson, eds., Resilience Engineering: Concepts and Precepts. Ashgate, Aldershot, UK, 2006. ENGESTRM, Y., & MIDDLETON, D. Cognition and communication at work. Cambridge, UK: Cambridge University Press, 1996. GOMES, J.O., WOODS, D. D., CARVALHO, P. V. R., BORGES, M. R. Resilience and brittleness in the offshore helicopter transportation system: The identification of constraints and sacrifice decisions in pilots work. Reliability Engineering and System Safety, n. 94, p. 311-319, 2009. HOLLNAGEL, E. & WOODS, D. D. Joint Cognitive Systems: An Introduction to Cognitive Systems Engineering. Taylor & Francis, 2005. HONG, L., PAGE, S. E. Groups of diverse problem solvers can outperform groups of high-ability problem solvers. William J. Baumol, New York University, New York, NY, 2004. KLEIN, G. Features of team Coordination. In McNeese, M., Endsley, M. Salas, E. (eds.) New trends in cooperative activities. Santa Monica, CA., 2001. PERIN, C. Shouldering risks: the culture of control in the nuclear power industry. Princeton University Press, 2005. SCHOENWALD, J., TRENT, S., TITTLE, J., WOODS, D. Scenarios as a tool for design envisioning: Using the case of new sensor technologies for military urban operations. Ohio State University, Columbus, OH, 2005. SNOOK S. Friendly Fire: The Accidental Shootdown of US Black Hawks Over Northern Irak. Princeton University Press, 2000. WEICK, K. The Collapse of Sense Making in Organizations: the Mann Gulch Disaster. Administrative Science Quarterly, n.38/4 p. 628-652, 1993. WOODS, D. D. Creating Foresight: Lessons for Resilience from Columbia. In W. H. Starbuck and M. Farjoun (eds.), Organization at the Limit: NASA and the Columbia Disaster. Malden, MA: Blackwell, 2005. WOODS, D. D. Essential Characteristics of Resilience for Organizations. In E. Hollnagel, D.D. Woods and N. Leveson, eds., Resilience Engineering: Concepts and Precepts. Ashgate, Aldershot, UK, 2006. WOODS, D. D., HOLLNAGEL, E. Joint Cognitive Systems: Patterns in Cognitive Systems Engineering. Boca Raton, FL: Taylor and Francis, 2006

14