Procedimentos para a Redução e Controle em Perdas e Danos ao Patrimônio, ao Ambiente e às Pessoas

 

Um exemplo sobre Engenharia de Riscos:

 

A SEGURANÇA DE PROCESSOS PRODUTIVOS

 "A Falha de natureza humana

 

Os graves acidentes, com grandes repercussões, mostram os sucessivos erros de avaliação como causas primárias.

A partir de diversos estudos cada vez mais aprofundados sobre os incidentes e acidentes industriais, torna-se evidente a participação do indivíduo nas chamadas causas raízes. Ao mesmo tempo em que podemos afirmar que não existe nenhum acidente resultante de uma única causa, pois sempre podemos decompor, até quando quisermos, as raízes das falhas e podemos também, com certeza, dizer que sempre existe um ou mais erros humanos envolvidos. Com o avanço da tecnologia aplicada na operação das unidades de processo, muito se tem feito para reduzir a participação do homem diretamente no controle das operações e em situações de emergência. Contudo, todo este desenvolvimento, sua implantação e manutenção, ainda ficarão por muito tempo dependentes de tarefas humanas. E de alguma forma, outros modos de falha ainda vão existir. Técnicas de análise de riscos como Árvore de Falhas (Fault Tree) e Análise de Modos de Falhas e Efeitos (FMEA), tem auxiliado de forma marcante na identificação de possíveis desvios nos processos industriais e auxiliados na escolha de prevenções e proteções. Ainda, permitem enxergar melhor como um determinado acidente se desenvolveu, a partir de um evento iniciador e outras eventuais circunstancias, que podem ser falhas de componentes, erros de concepção, de construção, de operação, de manutenção, etc. Análises quantificadas, a partir de taxas de falhas, podem ajudar na aceitabilidade ou não dos riscos encontrados.

Contudo, ainda é difícil, por variadas razões, incluir nestes estudos o sistema como um todo. Ou melhor, as estruturas completas do processo, incluindo não só os aspectos físicos e de organização, mas também as questões relativas ao comportamento das pessoas. Existem dezenas de artigos publicados e estudos sobre erros humanos, como caracterizá-los, diferenciá-los e para cada tipo normalmente são descritos muitos casos vividos. Mas ainda parece difícil saber todos os parques após cada acidente.

Este artigo trata de uma questão essencial sobre este assunto, na medida em que, naturalmente, passamos a lidar com processos de trabalho e não mais com atividades isoladas. A melhor forma de apresentar uma questão como esta, é aproveitando um caso real de um acidente, sobre o qual podemos caracterizar a importância da análise sistêmica no gerenciamento dos riscos.

Parte do que será apresentado, foi traduzido e adaptado do acidente ocorrido na usina nuclear de Chernobyl (antiga União Soviética) em 1986.

 

Os erros:

Às 01:24 horas de sábado, dia 26 de abril de 1986, com duas explosões, arrancou-se a cúpula de concreto de 1000 toneladas, que selava o reator n° 4 de Chernobyl, liberando fragmentos fundidos do núcleo do reator nas vizinhanças e produtos da fissão nuclear na atmosfera. Este foi o pior acidente não era da geração de energia nuclear comercial. Trinta pessoas morreram e houve contaminação de cerca de 1000 Km2 de terra ao redor da planta Ucraniana e significativo aumento do risco de câncer na região da Escandinávia e oeste europeu. A maioria dos desastres nesta escala são causados por uma combinação de falhas humanas e mecânicas. Mas o acidente de Chernobyl foi especial: um acidente causado inteiramente por falhas humanas. Assim, a maior parte da explanação recai em aspectos psicológicos e trata da ciência do relacionamento humano.

Existem duas questões imediatas:

a)     Como e por quê, um grupo de operadores bem-intencionados, altamente motivados e de alguma forma competentes, cometem uma mistura de erros e violações de segurança, necessária para explodir um reator aparentemente seguro?

b)     Algo parecido poderia ocorrer em outros países?

Antes de considerar estas interrogações, é necessário conhecer algo sobre o reator e suas fragilidades decorrentes do projeto, o experimento no qual os operadores ucranianos e engenheiros moscovitas estavam engajados na ocasião do acidente, e a cronologia dos eventos.

O reator RBMK -RBMK é a sigla soviética para designar um reator tubular de alta capacidade. Este reator foi desenvolvido em 1954 na Rússia (Obninsk) e sua concepção é única, salvo o reator Hanfoord-N existente nos Estados Unidos, que possui princípios de fisica-reacional similares. A questão humana básica a considerar com relação a isto, é que na época do projeto as instalações informatizadas (e os dispositivos de segurança associados) eram relativamente primitivas. Como resultado, muitos dos controles de emergências dos reatores recaíam sobre os operadores. Quatro reatores RBMK estavam em operação na planta de Chernobyl por ocasião do acidente. Cada um gerava 1000 MW de eletricidade. As unidades foram construídas em pares, dividindo edifícios e serviços. A unidade 4 e a 3, iniciaram a operação em 1984. Neste tipo de reator, água leve em ebulição é bombeada através de 1600 canais de combustível no núcleo do reator. Na saída, a mistura de água-vapor tem 4% de vapor em massa. O líquido refrigerante é transferido para uma série de vasos, de onde o vapor seco movimenta as turbinas. Cerca de 200 barras de controle são descidas no núcleo. Esta ação serve como um freio e verifica a taxa de reatividade. O reator é parado pelo direcionamento das barras no interior do núcleo. A inserção total das barras de bloqueio de emergência dura cerca de 15 a 20 segundos. uma das infelizes características do projeto do reator RBMK é a de poder experimentar o fenômeno de embalo (descontrole), em marcha com capacidade reduzida. Devido a este potencial de instabilidade, operação abaixo de 20% da máxima potencia era expressamente proibida.

Objetivo considerável de grande importância

Os testes dos causadores do desastre tinham objetivos muito louváveis. Ironicamente, eles pretendiam avaliar um dispositivo que eliminaria uma perigosa lacuna existente nas barreiras de proteção contra um evento de fusão do núcleo do reator. No caso de falha de energia fora da planta, demoraria cerca de 2 a 3 minutos para os geradores reservas de energia (diesel) produzir suficiente eletricidade para acionar as bombas do sistema de resfriamento de emergência do núcleo (ECCS -Emergency Core Cooling System). O fundamental desejo do teste era visualizar se a inércia do turbo gerador seria suficiente, fornecendo ainda uma geração de voltagem adequada, para suprir as bombas do IECCS durante o definido intervalo vulnerável. Um dispositivo havia sido testado em duas ocasiões anteriores, em 1982 e 1984, durante paradas da operação, mas sem sucesso, devido rápida queda de voltagem. O objetivo, nesta oportunidade, era conduzir quatro testes de um dispositivo produzido por um grupo de engenheiros eletricistas. Ao contrário dos testes anteriores, a intenção era manter a operação do reator a marchas reduzidas, durante as repetidas tentativas.

O experimento foi planejado para ocorrer na tarde de sexta feira, dia 25 de abril, exatamente antes do fim-de-semana que antecede o feriado de 10 de maio. Na terça-feira seguinte, o reator estaria reservado para uma parada de manutenção anual. Se os testes não fossem completados antes disto, significaria ter de esperar mais um ano para realizar o experimento. Os testes seriam conduzidos a 25% da capacidade máxima. A redução de potencia iniciou às 13 horas. Mas, logo após, às 14 horas (quando o reator já estava a 50% da capacidade) o controlador de Kiev solicitou que a unidade 4 deveria continuar a suprir energia, devido a um aumento de demanda inesperada. A unidade não foi liberada do sistema normal até as 23 horas daquele mesmo dia. Como conseqüência, o programa dos testes foi atrasado cerca de 9 horas e a janela possível foi prejudicada, naturalmente.

 

 

Um plano inadequado

De acordo com os investigadores russos, a qualidade do programa era pobre e as seções relativas às medidas de segurança derivaram para uma forma puramente formal. Independentemente do programa não contemplar medidas adicionais de segurança (necessárias devido às condições não usuais), ele continha, estranhamente, a recomendação de bloqueio do sistema de resfriamento (ECCS). Isto significa que durante todo o período do ensaio (cerca de 4horas), a segurança do reator foi substancial mente reduzida. Além disto, o plano não fora aprovado pela hierarquia existente (os projetistas dos reatores russos RBMK). Não é provável que a autorização fosse dada. A responsabilidade pelo prosseguimento dos trabalhos ficou a cargo do gerente de Chernobyl.

Operadores e pessoal de testes e ensaios -Um fator relevante na origem do desastre foi o não somatório das habilidades dos dais grupos envolvidos (os operadores e a equipe que realizava o ensaio) e o relaciona mento entre eles. O gerente da unidade aparentemente foi para casa dormir, quando as coisas começaram a sair errada.

Os operadores, provavelmente todos ucranianos, eram membros de um grupo de alto prestígio. Talvez não na mesma liga dos cosmonautas, mas nos olhos da comunidade russa, não muito longe deles. Eles haviam recebido há pouco tempo uma condecoração pela grande disponibilidade no fornecimento de energia. Como outras unidades de usinas nucleares, eles operavam muito mais baseados no sentimento do que propriamente no conhecimento profundo do reator. E provável que eles tenham escutado do gerente que muitos ganhos adviriam como sucesso dos testes e eles dedicaram-se a tarefa com uma atitude simples de podemos fazer, com confiança quanto suas habilidades em pilotar o reator, mesmo considerando que as condições eram novas (embora suas experiências residissem apenas em operações com limites normais). Eles imediatamente desejaram completar os testes tão logo possível. livrarem-se dos ensaiadores e parar a unidade em tempo para a manutenção programada na terça-feira. Suas atitudes deixavam claro que eles compreendiam a necessidade de executar testes repetitivos. E provável também que eles tenham sido empurrados para a consecução dos testes levando em canta a janela disponível. restrita apenas aqueles dias. Mais importante do que tudo eles haviam perdido o medo de operar um enorme perigo. Como um repórter russo mencionou: "Eles perderam todo o sentimento do risco envolvido". Em resumo, eles iniciaram os testes com uma incomum mistura de ignorância e complacência. Os ensaiadores eram engenheiros eletricistas vindos de Moscou. Eles eram de uma organização algo parecido com o grupo de desenvolvimento CEGB de Barnwood. O propósito da equipe era muito claro: eliminar um problema técnico em um terminal, de uma vez para sempre. Eles colocaram os objetivos para os operadores antes e durante os testes, mas eles propriamente, sabiam muito pouco sobre usinas deste tipo. O relatório russo foi evidente quando relatou que o líder deste grupo sabia pouco ou nada sobre reatores nucleares. Juntos, o grupo reuniu uma perigosa mistura: uma equipe de especialistas mas não engenheiros nucleares, dirigindo um grupo de dedicados, mas autoconfiantes operadores. Cada grupo achava que o outro sabia o que fazia. E ambas as partes tinham pouca ou nenhuma compreensão dos perigos que estavam correndo e do sistema que eles estavam insultando.

 

Violação cometida de forma habitual e corriqueira

As violações podem ser cometidas por variadas razões. Algumas são deliberadas, como no caso de terroristas. Outras são devidas a hábitos, como nas soluções individualmente encontradas nos problemas de transito nas estradas. Elas permanecem normalmente impunes, devido ao próprio perdão do sistema. Mas as violações em Chernobyl foram diferentes. Elas foram descritas como violações inevitáveis. Os operadores estavam lidando com um sistema intrinsecamente inseguro, devido a um vinculo duplo: suas tarefas iam além das suas competências e ainda necessitavam violar o sistema.

Algumas destas violações estavam escritas nos procedimentos dos testes (desligar a ECCS), outras foram necessárias para permitir que os engenheiros de Moscou pudessem repetir os testes (desligamento do sistema de segurança automático entre a turbina e o balão de vapor). Como em toda a catástrofe, os operadores são herdeiros de uma série de falhas complexas do sistema como um todo. Para entender o que são violações inevitáveis é preciso ter uma visão sistêmica das fragilidades existentes, e não apenas na análise de ações isoladas.

De características semelhantes,   ocorreu o acidente na balsa Herald of Free Enterprise, que afundou por estarem abertas as duas portas, violando os regulamentos de navegação. Havia três áreas grandes para vigilância e apenas dais funcionários para cobri-las. O capitão da embarcação não atentou para o fato das portas estarem abertas. A balsa operava com o sistema de lógica negativa: se ninguém avisar que algo vai mal, é por que tudo vai bem!

Os operadores de Chernobyl e a tripulação do "Herald" certamente não cometeriam suas respectivas violações, se soubessem das possíveis conseqüências. Então, por que eles agiram como se fossem invulneráveis?

Cada grupo deve ter cometido, no passado, outras violações que foram marcadas pela impunidade. Apenas quando estas violações foram combinadas com outros fatores, é que os conduziu a uma catástrofe. Em nenhum caso alguma pessoa estava na posição de perceber ou predizer futuras conjunções de falhas. Isto torna o acidente impossível. A possibilidade de catástrofe, por outro lado, além de impossível, era ponderada com a chance de alcançar o objetivo de produção desejada. Conseqüências inimagináveis eram descartadas por todos.

 

 

Reações do público de forma geral

Dentre as várias reações do ocidente, particularmente Inglaterra e América, estava a de convencer o público que este tipo não ocorreria aqui.

Em primeiro lugar, não existem reatores RBMK no ocidente. Em segundo lugar, as análises de outros acidentes, bem documentados (Three Mile Island, Oyster Creek, North Anna, Ginna, Davier-Besse) indicam que emergências em usinas nucleares são eventos raros, cada um envolvendo diferentes combinações de falhas, e realçando diferentes formas da infalibilidade humana.

Mas esta tranqüilidade oferece pouco conforto quando se examina a base destas afirmações. Considerem-se as seguintes apelações para a imunidade ocidental a um acidente deste tipo:

1)       Não ocorreria aqui porque os reatores ocidentais são adequadamente isolados. Comentário: Não há dúvida que nenhum confinamento suportaria a força da explosão de Chernobyl.

2)       Não ocorreria aqui porque as usinas ocidentais têm um melhor e competente gerenciamento. Comentário: Considere o pronunciamento de J.K. Asseltine (Comissão Nuclear Americana -1987) “as 5 plantas da TVA em 1985 pararam por colapso na estrutura de gerenciamento.”.

3)       Não ocorreria aqui porque nós, ao contrário dos operadores soviéticos, não somos induzidos a atingir metas de produção em detrimento da segurança para a vida humana. Comentário: O acidente da Challenger e o barco Herald, sugerem algo diferente.

4)       Não ocorreria aqui porque nós, sistematicamente analisamos as possibilidades de erros humanos, revisamos os procedimentos para limitar suas ocorrências e suas conseqüências. Comentário: Testemunhas de outros inquéritos garantem que estes dados não são de fato coletados de forma sistemática e que este processo está em fase de implantação e poucos especialistas têm acesso a estas informações.

5)       Não ocorreria aqui porque os reatores RBMK não possuem sistemas de segurança independentes, como ocorre no ocidente. Assim, erros de operação são evitados. Comentário: Correto, mas os reatores ocidentais são altamente vulneráveis a erros pelo pessoal de manutenção, conforme o Instituto de Operação de Usinas Nucleares -1985. Por outro lado, não há sistema cem por cento a prova de falhas de modo comum na manutenção. Uma investigação após o acidente mostrou que foram registrados 67 eventos, nos quais os sistemas de segurança estavam inoperantes por falhas humanas. A maior parte foi nos Estados Unidos, em partidas e paradas (como em Chernobyl).

6)       Não ocorreria aqui porque os operadores ocidentais são menos suscetíveis a erros que os operadores soviéticos.

Comentário: Das 182 causas raízes, em 87 eventos em usinas nucleares ocorridos na América e Europa em 1983, 40% foram classificados como erros humanos.

 

 

O desastre iminente e que pode se repetir

O maior papel deste documento é o de que, num nível mais geral de análise, não há nada de monopólio no acidente de Chernobyl. O principal ingrediente é comum a todos os desastres. Todos os sistemas feitos pelo homem possuem internamente sementes para sua autodestruição (como Bhopal e o barco Herald), como um elemento patogênico residente dentro do corpo humano.

A qualquer tempo, haverá um número de falhas em componentes, erros humanos e violações inevitáveis. Nenhum destes agentes é geralmente suficiente para causar uma parada de emergência. Acidentes ocorrem através de um número grande destes elementos patogênicos, não percebidos e usualmente não previsíveis.

Os ingredientes em Chernobyl estavam presentes em muitos níveis. Havia uma conivência da sociedade para a produção de energia nuclear em larga escala. Havia uns sistemas complexos, perigosos, opacos, operando paradas em condições normais. Havia uma estrutura gerencial monolítica e distante com resposta lenta. Haviam operadores com compreensão limitada e para os quais foi dada uma tarefa que necessitava violar seguranças.

 

 

Origem do padrão de um engano ou erro

Erros humanos são constantemente identificados nas análises de acidentes. Falhas como, por exemplo: fechamento indevido de uma válvula; não atenção a um alarme; etc., podem ser perfeitamente caracterizados pelos grupos que conduzem a investigação.

Entretanto, é importante que a cada experiência vivida, tenha-se uma análise mais profunda, realizada sobre todo o sistema, novamente, para não se cometer o erro humano de achar que o fechamento da válvula é uma causa raiz e seria única. O essencial é tentar descobrir porque o operador cometeu a falha.

Numa planta de produção de hidrogênio houve, certa vez, uma explosão na base de um equipamento, a partir da abertura indevida de uma válvula. Rapidamente um consenso começou a se formar de que o operador havia errado por não cumprir uns procedimentos escritos, que identificava a válvula correta a ser aberta. Na investigação que foi realizada, ficou claro que as válvulas estavam próximas e eram semelhantes, sem nenhuma identificação, somado ao fato do operador ter realizado esta operação pela última vez há 15 anos. A carência na reciclagem do treinamento ficou evidenciada. A falta de reciclagem foi a causa raiz, ou esta realmente seria a resposta para a questão: por que não houve um processo de reciclagem?

Um avião DC-1 O caiu após a decolagem em Chicago (USA) em 1979. Houve ruptura do sistema de fixação de uma das turbinas. Após a investigação, foi provado que a falha foi gerada em função do procedimento adotado nas intervenções da manutenção, que introduziam tensões na estrutura quando da retirada do motor. O processo da manutenção havia sido alterado em relação ao originalmente projetado. Esta pode ser considerada realmente como causa raiz? Ou será que as causas não estariam também localizadas em 110 processos de análises de modificações, que devem incluir também os procedimentos?

Na catástrofe ocorrida na plataforma Piper Alpha, em junho de 1988, que culminou em sua completa destruição e 160 vítimas, ocorreram uma enormidade de falhas no sistema como um todo. O evento iniciador foi a parada de uma bomba. A primeira explosão ocorreu por falhas de comunicação e no processo de liberação de trabalhos, que permitiu que esta bomba reserva partisse sem uma válvula de alivio no seu recalque e com a sua conexão bloqueada com um flange apertada simplesmente com a mão.

A parada da bomba ocorreu basicamente por entupimento, causado por um desvio previsto em estudos de segurança mas não observado pela equipe de operação. Mas a catástrofe só foi alcançada porque as bombas de incêndio estavam indisponíveis, os sprinklers estavam subdimensionados, o plano de evacuação não estava adequado, as outras plataformas continuaram a alimentar o incêndio com combustível até uma hora após seu inicio, e vários outros motivos. Nitidamente falhas de projeto, operação, manutenção e, sobretudo gerenciamento, foram os causadores da tragédia.

Certa ocasião, uma análise de segurança deveria ser feita para aprovar uma modificação que tratava basicamente da desmontagem completa de alguns equipamentos de processo, numa área de aproximadamente 50 m2 . Foram usadas as mesmas listas de verificação (check list) que poucas semanas antes serviram de base para a análise de situação semelhante. envolvendo entretanto a desmontagem de duas unidades inteiras, construídas em cerca de 5000 m2 . Estas unidades foram desmontadas e nenhum incidente ou acidente foi registrado. A análise da pequena área focou quase que exclusivamente uma linha que existia no local e que não seria desmontada. Hidrogênio a pressão de 30 bar circulava nesta linha. Durante a desmontagem, um dos funcionários da empresa contratada encostou um pequeno pedaço de ferro no volante de uma válvula que existia na linha de hidrogênio. A válvula abriu parcialmente. O gás imediatamente vazou, explodiu e provocou um maçarico de vários metros. Porque o evento ocorreu?

A reunião de análise foi realizada, com o espírito de: “é muito simples”, por hora do meio dia, quando todos estavam preparando-se para almoçar. Havia uma pressa na análise. As pessoas que conheciam há mais de 15 anos a instalação, afirmaram que nada chegaria perto desta linha. Nenhum desenho detalhado foi mostrado, para o grupo, não existiam válvulas nesta linha, ainda mais, ao contrário do que ocorrera nas duas desmontagens anteriores, nesta ocasião não houve uma visita ao local. Talvez caso tivesse havido, esta válvula, seria percebida e o risco teria sido reavaliado.

É possível que a maior falha humana em todos estes acidentes e nos que ainda vão acorrer, advém da dificuldade intrínseca que todos nós temos em aprender. Possivelmente, este seja o ponto de partida para melhorar a confiabilidade de todos os nossos sistemas de segurança e controle."

Fonte de Bibliografia

Revista Proteção em artigo assinado por José Luiz Lopes Alves

James Mason -The Chernobyl Errors -Bulletin of the British Psychological Society (1987), 40, 201-206

An Engineer's View of Human Error - Trevor Kletz

Risk Analysis of the Six Potentially Hazardous Industrial Objects in The Rijnmond Area- A Pilot Study -A Report To The Rijnmond Authority (pág. 384)

 

Literatura sugerida:

Guidelines for Preventing Human Error in Process Safety -CCPS (AICHE)

Introduction to Reliability Engineering - E. E. Lewis (Wiley)

Defesas Contra Falhas de Modo Comum -A. J. Boume -United Kingdom Atomic Energy Authority

An Evaluation of Five Human Error Identification Techniques - S.P. Whalley

The Identification of Human Contribution in Chemical Accidents - J. Suokas -Technical Research Centre of Finland

What Went Wrong -Trevor Kletz

 

 

Sobre o autor:

José Luiz Lopes Alves atua na assessoria de Segurança de Processos da Rhodia S.A. - Usina Química de Paulínia / SP.