Notas Técnicas de Prevención 1.
132 AÑO 2018 Ingeniería de la resiliencia: conceptos básicos del nuevo paradigma en seguridad Resilience engineering: basic concepts of the new security paradigm Ingénierie de résilience: concepts de base du nouveau paradigme de sécurité Autor: Instituto Nacional de Seguridad y Salud en el Trabajo (INSST) Elaborado por: Juan Carlos Rubio Romero UNIVERSIDAD DE MÁLAGA Manuel Bestratén Belloví CENTRO NACIONAL DE CONDICIONES DE TRABAJO. INSST Esta Nota Técnica de Prevención resume los nuevos conceptos sobre la ingeniería de la resiliencia, que reconsideran como afrontar el aprendizaje del buen funcionamiento de los procesos productivos a fin de enriquecerlos con la variabilidad en que se desarrollan, y no limitarlos solo al conocimiento de los aspectos negativos y desviaciones indeseadas de los mismos.
Las NTP son guías de buenas prácticas.
Sus indicaciones no son obligatorias salvo que estén recogidas en una disposición normativa vigente.
A efectos de valorar la pertinencia de las recomendaciones contenidas en una NTP concreta es conveniente tener en cuenta su fecha de edición.
1.
INTRODUCCIÓN Los sistemas socio técnicos, que son aquellos que estudian la interacción de las personas con la tecnología en ambientes industriales y analizan sus consecuencias psicológicas y culturales, son cada vez menos lineales y más complejos, por lo que los modelos de análisis de la siniestralidad clásicos, lineales, explican cada vez con menor precisión la realidad.
En consecuencia, los métodos y herramientas desarrollados hasta el momento, basados en tales modelos clásicos, no resultan suficientemente útiles en muchas situaciones, que cada vez son más generalizadas.
En este contexto, surge el modelo sistémico de accidentes, que los considera fenómenos emergentes, y la resiliencia como la característica del desempeño que puede ayudar a mejorar la seguridad.
El término resiliencia procede del latín “resilio”, que significa volver atrás, volver en un salto, rebotar.
El término resiliencia, se origina a principios del siglo XIX por la Royal Navy británica, para explicar la propiedad de algunas maderas que son capaces de soportar cargas importantes, sin llegar a romperse.
Se trataba por tanto de una característica o propiedad de los materiales.
Ciento cincuenta años más tarde el ecologista Crawford Holling en referencia a la ecología de sistemas propuso que éstos podrían ser descritos en términos de dos propiedades, la estabilidad y la resiliencia, esta última definida como la capacidad de absorber cambios, mientras que la primera se definía como la propiedad de volver al estado de equilibrio tras una disrupción.
Además de en los campos anteriores, en Psicología lo define la Real Academia Española, como la capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas.
En esencia, los dos conceptos de resiliencia más comunes y que parecen estar en conflicto en ocasiones, son por un lado el influido inicialmente por la ecología de sistemas, más pasivo y reactivo, y el influido por la organización o administración de empresas, más activo.
En materia de seguridad, el concepto se ha utilizado como Ingeniería de la Resiliencia, y en él las connotaciones reactivas prevalecieron en principio, herencia del enfoque tradicional de la seguridad definida como la ausencia de daño, y cuyas principales medidas han ido dirigidas a evitarlo y a controlar el riesgo que lo origina.
En este sentido, la ingeniería de resiliencia ha sido vista en el pasado como la habilidad para reaccionar a, y para recuperarse de, disrupciones, con la menor afección a su estabilidad.
Sin embargo, puesto que las organizaciones son intencionales, y están configuradas con gente (personas, trabajadores o equipos), materiales y actividades e información que sirven para alcanzar unos objetivos, estas no sólo deben responder cuando algo negativo ocurre, sino también antes de que acontezca.
Es decir, dar una respuesta a la mera existencia de peligro y no solo cuando se materializa.
Además, esta reacción previa puede significar tanto sobrevivir como incluso desarrollarse.
Los ecosistemas también aprovechan las oportunidades cuando se presentan, pero con la diferencia de que las empresas pueden buscarlas y anticiparse de forma activa, e incluso generarlas.
Así, el concepto de Ingeniería de la Resiliencia (o Resilience Engineering en inglés), no se origina con este sentido dicotómico de la resiliencia, sino todo lo contrario, se trata de que las cosas que ocurren mal lo hacen de la misma manera que las que ocurren bien.
Con tal enfoque, más que como propiedad o cualidad, el énfasis en los riesgos y amenazas y el mantenimiento de un estado estable ha ido focalizándose en las condiciones esperadas o no esperadas, y la habilidad para mantener y mejorar de manera continuada la producción con la calidad requerida.
El principio de mejora continua debe impregnar al sistema de gestión en general y al sistema productivo en particular.
Y ello obliga a una revisión permanente de la manera de trabajar para mejorarla con la aportación del personal afectado.
Buscando un símil, si en una calzada por la que transcurre una carrera ciclista 2 Notas Técnicas de Prevención Evolución temporal Aspectos ambientales adversos Fallo de la persona (sin precaución) Acto inseguro o condición insegura Accidente Daño A sp ec to s am bi en ta le s Fa llo d e la p er so na Act o in se gu ro DañoAcc idente aparece un adoquín en medio de la calzada, la organización resiliente buscaría tener preparado un equipo para los primeros auxilios, recambios para la bicicleta y ayuda para que si un ciclista se accidenta pueda continuar su carrera lo mejor posible.
La Ingeniería de la Resiliencia buscaría que no apareciese el adoquín, sin olvidar de prepararse para actuar en el momento que aparezca, para poder esquivarlo a tiempo.
La Ingeniería de la Resiliencia surge con impulso en 2006 como un movimiento colectivo al publicarse las actas del congreso celebrado en Suecia en 2004 (Hollnagel et, al, 2006), liderado por Hollnagel, Woods y Levenson.
También sin duda es un movimiento individual liderado por los propios Erik Hollnagel y David Woods, que partieron del Cognitive Systems Engineering (CSE en adelante) reformulándolo.
Otros autores como Sidney Dekker han contribuido también al desarrollo de la Ingeniería de la Resiliencia.
Algunos críticos indican que en esencia el concepto es similar al de Organizaciones Altamente Fiables (HRO en inglés).
La Ingeniería de la Resiliencia la redefinió Hollnagel en 2014 como la habilidad intrínseca de un sistema para ajustar su funcionamiento, antes, durante, y después de cambios y perturbaciones, de forma que pueda mantener los requerimientos de producción bajo condiciones tanto esperadas como no esperadas (Hollnagel, 2014).
Woods por su parte lo define como el paradigma de gestión de la seguridad que se centra en “cómo ayudar a las personas a lidiar con la complejidad bajo presión para lograr el éxito” (Woods, 2005).
Hollnagel vuelve a definirla en 2018 indicando que la Resiliencia es una expresión de cómo la gente, sola o en compañía, se enfrenta con situaciones a diario, más grandes o más pequeñas, mediante el ajuste de su comportamiento a estas condiciones.
La Ingeniería de la Resiliencia por tanto es un nuevo paradigma en la seguridad en el que más que la búsqueda de los fallos, se busca aprender del funcionamiento normal y exitoso (seguro) en mejorar el desempeño mediante la variabilidad, en facilitarla más que a constreñirla, con el fin de alcanzar el éxito.
2.
LOS MODELOS SECUENCIALES Y EPIDEMIOLÓGICOS DE ACCIDENTE Como decíamos, la Ingeniería de la Resiliencia considera que los modelos de accidentes que veníamos manejando están siendo superados, de ahí la necesidad de aportar en esta Nota Técnica de Prevención una breve revisión de estos modelos desde la perspectiva de la Ingeniería de la Resiliencia, para la cual, estos modelos no representan bien la realidad de los sistemas socio técnico complejos.
Esto no significa que no puedan aún ser útiles, si bien su utilidad irá decreciendo pues la complejidad de los sistemas socio técnicos irá creciendo.
No creemos necesario explicar con detenimiento la importancia que los modelos conceptuales y teóricos tienen para una ciencia, pero recordemos que la ciencia se basa en modelos sobre cuyos fundamentos se desarrollan métodos, técnicas y herramientas que nos ayudan a avanzar en el conocimiento y por ende a mejorar nuestra sociedad.
En los modelos teóricos que asumimos se asientan los métodos que utilizamos para resolver los problemas prácticos, de forma que si los modelos no responden a la realidad con la suficiente precisión, podemos estar utilizando métodos ineficaces, al menos para determinadas situaciones.
Como ejemplo, la mecánica de Newton nos ayuda a resolver multitud de problemas de ingeniería mecánica pero no es válida para otros problemas, para los que necesitamos la mecánica cuántica o la relativista.
En materia de las ciencias de la seguridad, la mayor parte de modelos y teorías han sido desarrollados normalmente a partir del análisis de accidentes que usualmente denominamos industriales o mayores, tales como los accidentes nucleares, de la industria química, de aviación o espaciales, de tráfico ferroviario, etc.
La evolución de estos modelos partió de los modelos de causa raíz y de Heinrich de principios del siglo XX basados en los fallos de tipo técnico, para posteriormente tras el accidente de la central nuclear de Three Miles Island en 1979 potenciarse la teoría del error humano, y tras el accidente de Chernobil y el del transbordador Challenger en 1986, impulsarse la teoría de la Cultura de Seguridad y de los Fallos de tipo Organizacional.
Así, los modelos de accidentes que venimos utilizando en el estatus quo actual podemos resumirlos en dos grandes tipos, los modelos secuenciales o lineales simples, cuyo exponente más representativo podría ser el modelo de Heinrich (comúnmente denominado Modelo de las Fichas de Dominó), y los modelos epidemiológicos, o lineales complejos, representados por el modelo de Reason (o modelo de los Quesos Suizos).
Ver fig, 1 y 2.
Son los modelos que vienen a resumirse denominándolos como SAFETY I. Ambos tipos de modelos asumen que un accidente no es más que una disrupción de un sistema naturalmente estable.
Por lo tanto, ya sea encontrando la ficha de dominó débil y eliminándola, o en el caso comFigura 1.
Modelo de Causalidad Simple Lineal de Heinrich (Dominó).
Figura 2.
Modelo de Causalidad Complejo Lineal de Reason (Queso Suizo).
Modelo del queso suizo del análisis causal de accidentes Algunos agujeros son debidos a fallos activos Otros agujeros son debidos a condiciones latentes Peligros Pérdidas Sucesivas barreras de defensa y salvaguardas 3 Notas Técnicas de Prevención plejo, tapando los agujeros del queso, referido a las interrelaciones entre los actos inseguros y las debilidades de las barreras o defensas representadas, podremos llegar a tener sistemas seguros.
Ambos modelos presuponen el accidente como un fenómeno de tipo resultante, es decir, que puede predecirse a partir de sus partes constituyentes.
El accidente es visto en estos modelos como el resultado de una combinación lineal, simple o compleja, de eventos.
Según estos modelos, cuando los accidentes o riesgos son analizados, encontramos frecuentemente que la tecnología, materiales, organización o procedimientos no eran los adecuados, o que los trabajadores no contaban con la experiencia, conocimientos o actitud necesaria.
El fallo por tanto se considera explicado y las medidas suelen ir dirigidas a constreñir y reducir la variabilidad.
El funcionamiento correcto, por lo tanto se produce cuando los procedimientos son minuciosos, actualizados, y exhaustivos.
Igual razonamiento utilizamos para los materiales y la tecnología que deben ser de gran fiabilidad.
También asumimos que las organizaciones y gestores deben estar siempre vigilantes y que los trabajadores se deben comportar siempre como han sido entrenados.
Presuponemos que los diseñadores son capaces de idear, anticiparse, planificar y prever incluso las contingencias más pequeñas.
En este contexto, los humanos pueden cometer errores, como las máquinas pueden fallar, y en este sentido son una responsabilidad.
En definitiva, estos modelos buscan el cumplimiento en el “modo” diseñado.
Siempre buscamos constreñir mediante barreras, procedimientos, normalización, regulación, etc.
Se trata de modelos normativos/prescriptivos.
El objetivo es asegurar que no tengamos resultados adversos, ya sea evitar que se repita un accidente o que pueda llegar a producirse a partir de un riesgo identificado.
Buscamos causas y tratamos de evitarlas.
Se trata de un enfoque reactivo que reacciona al hallazgo negativo.
Cuando el accidente ha ocurrido siempre podemos encontrar una o más causas, normalmente deficiencias en la tecnología, en la organización, en los procedimientos o en la actuación de las personas.
(Ver fig.
3) Figura 3.
Forma de actuación conforme al “modo ideado o diseñado” en los modelos clásicos de siniestralidad o Safety I (Hollnagel).
Fracaso Función (trabajo ideado o planificado) Mal funcionamiento (incumplimiento, error) Éxito (sin acontecimientos adversos) Resultados aceptables Resultados inaceptables Barreras / Regulaciones / Procedimientos Estandarización / Cumplimiento de lo establecido (accidentes, incidentes) 3.
EL MODELO NORMAL SISTÉMICO NO LINEAL Y LA INGENIERÍA DE LA RESILIENCIA En la última década han vuelto a suceder un buen número de accidentes mayores, Bouncifiel, 2005, Río París 2009, Deepwater Horizon en 2010, Fukushima 2011, o Costa Concordia 2012, que parecen indicarnos que no hemos mejorado lo suficiente.
La realidad es que la economía ha cambiado mucho en las últimas décadas, así como la manera de producir, altamente tecnificada.
Los trabajos simples y rutinarios los hacen cada más las máquinas y la robótica, y las personas deben realizar tareas cada vez más complejas en las que se requiere mayor concentración y aporte intelectual.
Entre otras cuestiones, la globalización ha traído fusiones, privatizaciones, nuevas regulaciones, mayor escrutinio de la sociedad en asuntos sociales y medio ambientales, incremento sustancial de la deslocalización y de la subcontratación en las empresas, estructuras organizativas planas, matriciales y descentralizadas, empresas en red, uso masivo de las TIC, etc.
En definitiva, el medio ambiente de trabajo ha cambiado drásticamente, y sin embargo seguimos utilizando básicamente los mismos modelos de análisis de accidente, como si fuesen válidos, cuando los supuestos de los modelos anteriores ya no son válidos siempre, y cada vez lo serán menos.
Pero las ideas que subyacen en los nuevos modelos no surgen de golpe.
Los orígenes hay que buscarlos en la obra de Charles Perrow sobre accidentes normales (Perrow, 1984), del propio Reason y de Rassmusen.
Se trata de modelos de tipo sistémico, conforme a Bertanlanffy, de tipo contingente, frente a los modelos reduccionistas y analíticos anteriores en el sentido de Descartes.
Charles Perrow explicaba ya en 1984 al analizar Three Miles Island que los accidentes normales en un sistema socio técnico particular complejo, pueden ser frecuentes o raros, pero son normales, y como ejemplo decía que para los humanos es normal morir y sólo ocurre una vez.
El estableció las bases de los actuales modelos sistémicos y de la Ingeniería de la Resiliencia, aunque con un enfoque pesimista, que ahora no se comparte.
Según 4 Notas Técnicas de Prevención Figura 4.
Clasificación de actividades productivas conforme al nivel de acoplamiento y de interactividad según Perrow en 1984.
Perrow, las interacciones imprevistas en los accidentes sistémicos podían ser descritas por dos dimensiones, el “acoplamiento” y la “interactividad”. El acoplamiento describe el grado en el cual los subsistemas, funciones y componentes de un sistema tendrán probables conexiones, por dependencias entre unos y otros subsistemas, funciones o componentes.
El acoplamiento variará entre débil y fuerte.
La interactividad por otro lado describe el grado en el cuál los eventos en el sistema se desarrollan en formas que son esperadas o inesperadas, y va de lineal o esperada, a compleja o inesperada.
En base a estas dimensiones, clasificaba las actividades industriales de aquel momento como se ve en la figura 4.
Según ello, los accidentes serían tanto más “evitables o controlables” cuanto menos compleja fuera la interactividad y menos fuerte fuera el acoplamiento.
Otros autores como Rassmusen ya trataban los accidentes como sistémicos y reemplazaban la idea de error y fallo por la de variabilidad y adaptación, así como que los accidentes podían ser vistos como acontecimientos normales.
El enfoque sistémico de la Ingeniería de la Resiliencia, denominado como SAFETY II (Fig.
5 y 6), es más una revolución que una evolución, y rompe con el pasado a un nivel epistemológico, explicando los accidentes como Figura 5.
Modelo de Causalidad Complejo No Lineal Sistémico.
Desviación de la “norma” Tiempo + – •Presas Lineal Interactividad A co p la m ie n to D éb il F u er te Complejo •Redes eléctricas •Plantas nucleares •Transporte marítimo •DNA •Ejército •Minería •Universidades •Dpto.
Admon.
multiobjetivos (energía bienestar social, etc.
•I + D •Transporte ferroviario •Formación profesional •Manufactura •Dpto.
Admon.
Pública Un solo cometido (correos) •Aeronáutica •Aviación •Misiones especiales •Plantas químicas •Producción en cadena 2 3 4 1 combinaciones inesperadas (o agregación de eventos), también denominada “concurrencia” o “resonancia” que conducen a la “emergencia” de un suceso no deseado.
Este modo de pensar, no es solo diferente al establecido en los modelos clásicos, si no que entra directamente en conflicto con muchas de las asunciones de éstos, y por tanto son antitéticos.
El accidente no es para estos modelos un fenómeno resultante que puede predecirse a partir de sus partes o elementos, si no que se considera un fenómeno emergente, browniano, que no puede serlo.
Este modelo reconoce que los sistemas son siempre variables, debido tanto a la variabilidad del ambiente (exógena) como a la variabilidad de los subsistemas que lo componen (endógena).
La variabilidad endógena es atribuible en gran medida a las personas, tanto a nivel individual como grupal.
Sin embargo, esto no implica en ninguna medida que el desempeño humano sea erróneo o fallido, sino al contrario, el desempeño variable además de inevitable es muy necesario para alcanzar el éxito al encarar la complejidad del mundo real bajo el susodicho proceso de mejora continua con personas altamente “competentes” que lo hacen posible.
Así, en este nuevo paradigma, el “Desempeño Normal” es distinguido del “Desempeño Normativo”. No se hacen los trabajos siguiendo al detalle los procedimientos y protocolos que además no pueden ser exhaustivos, si no que se realizan ajustes que no son caprichosos, sino necesarios ante la complejidad no predecible enteramente y se desarrollan variaciones que debieran ser asumibles sobre lo normalizado.
Los resultados obtenidos así, difieren en ocasiones de lo que se esperaba o de lo que se requería normativamente, si bien casi siempre exitosamente.
Las acciones “normales” alcanzan el éxito precisamente porque la gente es capaz de ajustar su comportamiento a las condiciones locales, ya que los recursos -la información y el tiemposon finitos, y los ajustes casi siempre serán el resultado de un análisis limitado de las condiciones de trabajo en tiempo real, más que de un análisis completo de las mismas.
De hecho, la gente, y en el contexto laboral los trabajadores, aprenden rápido a anticiparse 5 Notas Técnicas de Prevención Figura 6.
Modelo de actuación del modelo de siniestralidad de la Ingeniería de la Resiliencia, o Safety II (Hollnagel).
a lo no esperado, recurriendo a las variaciones y a los ajustes, lo que les permite ser proactivos y resolver los problemas a medida que van surgiendo con la experiencia que van acumulando.
Puesto que este es el modo habitual de actuar, las acciones fuera de lo reglado no pueden, por definición, calificarse de erróneas.
Hay que considerar que a nivel del desempeño humano individual, la optimización local o los ajustes son la norma más que la excepción.
De hecho, la adaptabilidad y flexibilidad del trabajo humano es precisamente la razón de su eficiencia, y lo que permite salvar tiempo que será necesario para evaluar las situaciones futuras ante las que actuar y alcanzar así el éxito en el desempeño.
Los fallos ocurren cuando los ajustes salen mal, pero tanto las acciones como los principios del ajuste son técnicamente correctos.
Así, esta adaptabilidad y flexibilidad del trabajo humano es la razón de no alcanzar el éxito siempre, aunque rara vez sea la “causa” de estos fallos.
En todo caso, la variabilidad es inevitable y debe reconocerse como la clave del éxito tanto como del fallo, es la forma en que se puede asegurar que las cosas vayan bien.
Esto no significa que en el caso de los riesgos graves previsibles no deban extremarse las medidas con rigor, incluyendo el nivel de competencia requerido de los trabajadores.
Además, la complejidad es tal en muchos casos que no es posible establecer procedimientos que eliminen toda variabilidad, por su propia naturaleza.
Es algo que ya sabíamos y se explica cuando se estudia la administración de empresa, pero Hollnagel nos lo recuerda con tres ejemplos sencillos.
Así, la resolución de un atascamiento de una fotocopiadora es factible de planificarse en una instrucción del mayor detalle.
Esto no es posible si queremos estandarizar el viaje en coche desde el trabajo a casa, pues la variabilidad del contexto lo haría imposible.
No es factible considerar todas las posibles contingencias en ese desplazamiento, como la inundación de una vía, una obra inesperada, un accidente que obliga a tomar una vía alternativa, encontrarse indispuesto o fatigado, etc.
Aún más complicado resultaría realizar una instrucción sobre cómo encarar todas las posibles actuaciones ante todas las diferentes potenciales contingencias de una emergencia exterior, por ejemplo, química o nuclear.
Conforme a este paradigma, seguir los procedimientos al pie de la letra es insuficiente y podría incluso llegar a ser inseguro.
Los ajustes son por tanto una condición sine qua non, y no pueden evitarse eliminando la variabilidad.
Así, hemos de asumir que tanto los fallos como los éxitos ocurren de la misma forma.
Por lo tanto, debemos hacer los mayores esfuerzos en asegurar que las cosas vayan bien, pues así reduciremos las que puedan ir mal.
No buscaremos por tanto solo las causas de lo que va mal en eventos singulares, sino patrones y relaciones entre eventos que puedan conducir a resultados no esperados.
Reason decía, que error y éxito son dos lados de la misma moneda, y que una adecuada teoría del error, necesariamente, necesita una mejor comprensión del éxito.
Hollnagel dice lo opuesto, que necesitamos comprender bien los factores del éxito para poder comprender mejor el error.
Ante esta realidad pertinaz que la Ingeniería de la Resiliencia reconoce como normal, el enfoque adecuado pasa por respaldar los ajustes que deben realizarse y que son necesarios, y gestionar esta variabilidad identificándola, analizando cómo puede propagarse y resonar a través de las diferentes funciones organizativas; monitorizándola y controlándola; propugnando sistemas con límites flexibles y tolerantes a los fallos; buscando que los trabajadores sean conscientes de estos límites mediante la formación adecuada e indicadores que permitan reconocerlo.
Por supuesto, a nadie se le escapa la dificultad de analizar las cosas que van bien.
Esto es así porqué lo habitual ha sido pensar en términos de causa-efecto, por lo que resulta muy difícil prestar atención a las cosas que van bien.
Además de esto, está el proceso de “habituación”. El hábito disminuye la atención consciente con las cosas que hacemos.
Es un mecanismo natural en los seres humanos.
Pero los casos que van mal son muy escasos, y por lo tanto, son una fuente de información muy limitada.
Frente a esto, los casos que van bien son la gran mayoría y representan una enorme fuente de información.
Pero tenemos otros problemas adicionales para estudiar lo que va bien.
Normalmente parecerá una pérdida de tiempo para muchos, el propio trabajador, la empresa, la administración, realizar un esfuerzo en lo que ha ido bien, es común y esperado.
El legislador se centra lógicamente en las cosas que van mal.
Como resultado de estas dificultades, disponemos de muchísima información sobre lo que puede ir mal, y lo que hay que hacer para evitarlo, puesto que el principio imperante hasta el momento es “Encuentra y arregla, busca fallos, encuentra causas y elimínalas, o mejora las barreras y las defensas.
Función (trabajo ideado o planificado) Trabajo cotidiano (variabilidad del desempeño) Mal funcionamiento (por incumplimiento o error) Fracaso (accidentes, incidentes) Resultados aceptables Resultdos inaceptables Éxito (sin acontecimientos adversos) 6 Notas Técnicas de Prevención Hay que tener en cuenta que cuando las cosas van bien: • No hay diferencia entre lo esperado y los hechos, y nada atrae a priori la atención.
• No tenemos motivación para intentar aprender porque las cosas van bien, pues obviamente van bien porque el sistema funciona, porque las cosas funcionan, y porque nada “adverso” parece que ocurrió.
Sin embargo, esto último no es cierto lamentablemente en muchas ocasiones, sí que pudieron ocurrir cosas adversas, aunque se alcanzara el éxito finalmente gracias a las variaciones y ajustes.
¿Quién se para a analizar estas situaciones cuando se alcanzó el éxito en un contexto de presión incremental para producir y mejorar los beneficios? ¿Quién realizaría compensaciones o sacrificios producción-seguridad a fin de parar y analizar estas situaciones que llegaron al éxito gracias a los ajustes, naturales y normales? (Hollnagel et al, 2006).
En palabras de Maynard Keynes, “lo inevitable rara vez sucede, es lo inesperado lo que suele ocurrir”, además como indica Bin y Hart (2003), “los avisos no vienen con luces de feria, vienen ocultos en informes de expertos, memorias de asesores o comentarios casuales de colegas.
Los avisos aparecen en forma de pequeños avisos menores.
Además esta información suele pasarse de forma normalmente oscura a la dirección”. La Ingeniería de la Resiliencia considera fundamental el análisis de esas señales débiles, de estos pequeños avisos, que normalmente pasarían desapercibidos, que ni siquiera podríamos denominarlos como incidentes, como base de conocimiento para poder evitar proactivamente esa concurrencia de pequeñas perturbaciones, su propagación y resonancia inesperada, finalmente en forma de accidente o suceso no esperado, ya sea en seguridad, en calidad, en producción, etc.
Su análisis permitiría el diseño de límites tolerantes a los fallos, el establecimiento de indicadores no solo retrospectivos sino también prospectivos que ayuden a la monitorización del desempeño de los trabajadores y el estado de Fácil de ver Dificultoso de cambiar Dificultoso de gestionar Foco de la Seguridad: Accidentes y Desastres ETIOLOGÍA COMPLICADA ETIOLOGÍA NO COMPLICADA ETIOLOGÍA COMPLICADA Generalmente ignorado o desconocido Dificultoso de visualizar Fácil de cambiar Fácil de gestionar Satisfactoriamente aceptado Fácil de ver Dificultoso de cambiar Dificultoso de gestionar 19,1% -3 -1 1-0,5 0,50-2,5 -1,5 1,5 2,52 3-2 15,0% 9,2% 4,4% 1,7% 0,1% 0,1%0,5% 0,5% 1,7% 4,4% 9,2% 15,0% 19,1% consciencia sobre estos límites de los propios trabajadores.
Igualmente, permitirían una formación adecuada de los trabajadores para hacer frente a dichos eventos de forma adecuada y no solo de manera rígida y normalizada.
Tengamos en cuenta que el proceso de auto aprendizaje de los trabajadores en sus cometidos va alimentando su especialización para llegar a dominar la globalidad de su trabajo y entender la variabilidad de situaciones que son capaces de controlar.
Muchas de ellas no pueden quedar recogidas en los procedimientos de trabajo que se limitan a lo que hay que hacer, cómo hacerlo, y por supuesto a lo que no debe hacerse.
Mucha información clave para la eficiencia del proceso productivo se queda en la cabeza del especialista y lamentablemente no es compartida.
(Fig.
7) Sin duda estas ideas, como todas aquellas que rompen con los modelos anteriores, presentan dificultades que no se pueden ignorar.
Algunas de ellas se deducen de las explicaciones ya dadas hasta el momento, como la dificultad para estudiar situaciones exitosas cuando nada negativo pareció suceder, gastando tiempo y dinero en ellas, o la necesidad de un cambio en los modelos de capacitación de los trabajadores de línea que facilite su toma decisiones ante situaciones que no ha sido posible planificar anticipadamente, o el desarrollo de nuevos métodos que permitan aplicar los principios de estos nuevos modelos.
Existe también una dificultad importante basada en la naturaleza humana.
Las personas queremos explicaciones sencillas de las cosas que suceden y que no deseamos.
Esto nos facilita el sentimiento de mantenimiento del control.
Sin embargo, la realidad es cada vez más compleja y no lineal y esto en vez de aminorarse se incrementará, por lo que cada vez menos podrán explicarse estos sucesos con respuestas simples.
Esto incluye tanto a las autoridades, como a los gestores y trabajadores, y también a los familiares de los afectados.
Sin embargo, es necesario hacer frente a la realidad a pesar de todas las dificultades como única manera de avanzar en la seguridad.
Figura 7.
Distribución de eventos y sus características en función de: su facilitad para la identificación, el análisis etiológico, el cambio y su gestión.
7 Notas Técnicas de Prevención 4.
PRINCIPIOS Y HABILIDADES POTENCIALES PARA LA RESILIENCIA Explicados los fundamentos de la Ingeniería de la Resiliencia, creemos importante definir los principios que deben gobernar los sistemas de gestión de la seguridad que deben leerse a la luz de todo lo explicado anteriormente a riesgo de parecer que es tan coherente con SAFETY I como con SAFETY II (Wreathall, 2006): 1.
Compromiso de la Alta Dirección.
La seguridad resiliente es un objetivo importante para la dirección de la organización al mismo nivel o por encima de otros objetivos.
El objetivo es establecer acciones y directrices para garantizar el compromiso de la alta dirección con una seguridad resiliente.
El reconocimiento del trabajo bien hecho, la dotación de medios y recursos, no supeditar la seguridad a la producción, asumir la seguridad como un valor, que forma parte de todas las funciones, son cuestiones clave.
2.
Cultura de Justicia o Equidad.
Una atmósfera de confianza en la organización que anima a los trabajadores a comunicar cuestiones relacionadas con la seguridad y salud laboral, tales como señales débiles no digamos ya incidentes, sin temor y sin rechazo.
El objetivo de este principio es la superación de obstáculos potenciales para conseguir esta cultura que favorezca la resiliencia de la seguridad.
La información, comunicación, participación y trabajo en equipo, la consideración del desempeño en seguridad, son algunos aspectos importantes de este principio.
3.
Cultura de Aprendizaje y de desarrollo de Competencias.
La cultura empresarial proactiva de aprender no solo de los problemas e incidentes sino también del funcionamiento normal diario.
El objetivo es identificar acciones para que la empresa implante una cultura de aprendizaje continuo y compartido.
Ello habría de facilitarlo una gestión por competencias, que las clasifica en una serie de niveles -máximo cincopara valorar la capacidad de respuesta de los trabajadores.
Irían desde el primer nivel (1), que representa realizar correctamente lo establecido, hasta el máximo nivel (5) de especialista, por su capacidad de dominio y control de la variabilidad de los sistemas de trabajo.
Y además, en tal nivel, con la competencia asumida para formar a otros compañeros de trabajo para transmitirles sus conocimientos y sobre todo su experiencia.
Llegar a ser especialista de una actividad, por sencilla que pueda parecer, requiere meses.
En cambio, ser por Respondiendo: Sabiendo qué hacer y siendo capaz de hacerlo.
Antizipando: Averiguando y sabiendo qué esperar.
Monitorizando: Sabiendo qué buscar.
Aprendiendo: Sabiendo qué ha pasado.
CRÍTICO (Monitorizar) HECHOS (Aprender) DESEMPEÑO ACTUAL (Responder) POTENCIAL (Anticipar) ejemplo, operario de una central nuclear requiere, a parte de una buena base de conocimientos, años de aprendizaje en plantas piloto para llegar a dominar el funcionamiento de una instalación y poder controlar con plena seguridad la variabilidad de desviaciones que pueden producirse en las mismas y sus límites.
Por supuesto, aprendiendo no solo de los fallos y errores sea cual fuere su importancia, conocidos y divulgados por el Consejo de Seguridad Nuclear.
4.
Concienciación.
Los empleados deben ser conscientes de lo que está pasando en la empresa en términos de calidad en el desempeño, en qué extensión es un problema y el estatus actual de las barreras o defensas y sus límites.
5.
Flexibilidad.
Se trata de la capacidad de anticiparse activamente a amenazas y estar preparada para hacer frente a ellas.
Cultura y capacidades de pro-actividad en la identificación de potenciales riesgos y de adelantarse a ello.
6.
Preparación.
La capacidad de la organización de reestructurarse en respuesta a diversos cambios y variaciones, con capacidad para soportar los llamados “errores humanos” y con trabajadores que son capaces de tomar decisiones críticas sin esperar la decisión de sus jefes.
7.
Opacidad.
La organización debe ser consciente de los límites y como de cerca se trabaja de ellos, en términos de degradación de barreras y defensas.
La Resiliencia no es una propiedad de una organización.
No es algo que tenga una organización o un sistema.
Por lo tanto, no es significativo en principio referirse al nivel -o gradode resiliencia, puesto que cada actuación o desempeño será o no resiliente.
La Resiliencia es más bien una cualidad, característica o una serie de potenciales de cómo una organización –y las personas en ella– desempeñan su actividad.
De esta forma, como se indicó en la introducción, una organización que cuente con dichos potenciales no necesariamente tendrá un desempeño siempre resiliente.
Contar con dichos potenciales, no garantizará el desempeño resiliente, pero la falta de ellos hará el desempeño resiliente muy improbable.
En definitiva, la Ingeniería de la Resiliencia fija su punto de vista en cómo la organización funciona, y para ello analiza los 4 potenciales o habilidades básicas para actuar de forma resiliente (Ver fig.
8): • Responder: Saber qué hacer, o ser capaz de responder a la variabilidad, las perturbaciones y las oportunidaFigura 8.
Los cuatro potenciales para el desempeño resiliente (Resilience Análisis Grid).
8 Notas Técnicas de Prevención des tanto cotidianas como imprevistas, ya sea ajustan do la manera en que se hacen las cosas o activando respuestas preparadas.
Esta es la habilidad de abordar el desempeño actual.
• Monitorizar: Saber qué buscar, o ser capaz de monitorizar lo que es o podría convertirse en una amenaza a corto plazo.
Esta monitorización debe abarcar el propio desempeño del sistema así como los cambios en el entorno.
Esta es la habilidad de abordar lo crítico.
• Anticiparse: Saber qué esperar, o ser capaz de anticipar los acontecimientos, las amenazas y oportunidades en el futuro, como las posibles interrupciones, condiciones de operación cambiantes, presiones y sus consecuencias.
Esta es la habilidad de abordar lo potencial.
• Aprender: Saber lo que sucedió, o poder aprender de la experiencia, en particular aprender de las lecciones correctas de la experiencia correcta.
Esta es la habilidad de abordar los hechos.
5.
EL “FUNTIONAL RESONANCE ANALYSIS MODEL (FRAM)” PARA LA DESCRIPCIÓN DE ACCIDENTES Y EL ANÁLISIS DEL RIESGO En este contexto de modelos complejos no lineales, las técnicas tradicionales de evaluación de riesgos e investigación de accidentes, como el árbol de fallos o el árbol de sucesos, que pueden ser adecuadas para accidentes que no requieren explicaciones muy elaboradas, dejan de ser útiles para otros accidentes o riesgos.
Una estructura fija como un árbol no ayuda a representar la concurrencia de posibles eventos ni de acoplamientos dinámicos y efectos como la resonancia.
Son incapaces de tener en cuenta como un sistema lentamente o de forma abrupta, puede llegar a ser inestable.
Un ejemplo de modelo propuesto por Hollnagel et al (2006) para poder tener en cuenta estas circunstancias es el Funtional Resonance Analysis Model (FRAM) Fig.
10.
Este modelo considera que los sistemas son dinámicos, y que pueden pasar de ser estables a inestables, tanto de forma lenta como de golpe, siendo imposible en muchas ocasiones prediseñar, programar, o anticiparse a los ajustes que serán necesarios realizar.
Como hipótesis se parte de que es prácticamente imposible diseñar, idear o planificar teniendo en cuenta todo pequeño detalle o toda situación que puede “emerger”. Todo el que diseña instrucciones ha tenido esta experiencia.
El FRAM usa un modelo no lineal complejo sistémico, asumiendo que los accidentes son el resultado de combinaciones inesperadas (resonancia) de la variabilidad normal, acoplamientos entre funciones que resuenan, pero que tampoco son aleatorias, aunque no se pueda atribuir a una simple combinación lineal de causas enlazadas.
La seguridad se consigue entonces monitorizando el sistema y amortiguando la variabilidad entre las funciones del sistema.
Por supuesto requiere la habilidad de anticiparse a futuros eventos de forma continua.
FRAM caracteriza los sistemas complejos basándose en las funciones que se desempeñan, no en cómo se estructura el sistema.
Los límites del sistema son definidos a través de la descripción de las funciones.
El FRAM conlleva los siguientes pasos: 1.
Definir el propósito del análisis, como evaluación de riesgos o investigación de un accidente, así como describir el objetivo y el escenario que va a ser analizado.
2.
Identificar las funciones esenciales del sistema, caracterizando cada función por sus 6 parámetros básicos: entrada, salida, tiempo, control, condición previa, y recurso.
3.
Caracterizar el contexto de dependencia observado y la potencial variabilidad de las funciones del sistema.
Debe considerarse la variabilidad normal y también el peor de los casos.
4.
Identificar y describir la resonancia funcional de las dependencias/acoplamientos observadas, entre las funciones y la variabilidad observada.
5.
Identificar los mecanismos de control o barreras a la variabilidad (factores amortiguadores) y especificar la monitorización requerida del desempeño.
En el desarrollo del FRAM, cada célula describirá una función tal como se esquematiza en la Fig.
9, de forma que cada uno de los seis parámetros básicos significarían (puede verse un ejemplo para un accidente de aviación descrito por el autor Rodrigues de Calvaho (2011) en la figura 10): • Entrada.
Es la entrada, lo que arranca la función, lo que produce o transforma para obtener el output o salida.
Constituye el enlace con otras funciones previas.
• Salida.
Lo que es producido por la función y que puede enlazarse con funciones posteriores.
• Tiempo.
El tiempo disponible que puede ser una restricción, pero que también puede ser considerado un tipo especial de recurso.
• Control.
Es el inmediato chequeo asociado con una función, supervisa o ajusta una función.
Pueden ser planes, procedimientos, reglas, sistemas de control automático u otras funciones.
• Precondiciones.
Son condiciones previas que deben ser realizadas previamente a realizar la función, elementos contextuales que influyen en el output.
• Recurso.
Describe el nivel de recursos disponible en ese momento, el cual es consumido o procesado por la función para obtener el output (materia, energía, hardware, software y mano de obra) o bien un recurso que es necesario disponer aunque no se consuma, como una herramienta.
Figura 9.
Los seis parámetros básicos de cada función, representados en una célula individual, para identificar las funciones básicas de un sistema.
T I O C RP Acitividad / funciónEntrada Precondiciones Recurso Salida Tiempo Control 9 Notas Técnicas de Prevención Figura 10.
Ejemplo de FRAM sobre las funciones esenciales para el despegue, conforme al escenario del accidente de los vuelos GLO1907 y N600XL (Rodrigues de Calvaho, 2011).
BIBLIOGRAFÍA FABIANO COSTELLA, M, SAURIN, T,A, DE MARCEDO GUIMARAES, M.D. A method for assessing health and safety management systems from the resilience engineering perspective.
Safety Science 47 (2009) 1056–1067 GRABOWSKI, M., AYYALASOMAYAJULA, P., MERRICK, J., MCCAFFERTY, D., 2007.
Accident precursors and safety nets: leading indicators of tanker operations safety.
Maritime Policy and Management 34 (5), 405–425.
GRECCO CH, VIDAL MC, SANTOSIJ, CARVALHO PV. A method to assess safety and resilience in radio pharmaceuticals production process.
Work, 2012;41:5839–43. J.Managing the risks of organisational accidents.
Hants, England: HINZE, J, THURMAN, S, WEHLE, A. Leading indicators of construction safety performance.
Safety Science 51 (2013) 23–28 HOLLNAGEL, E.; WOODS, D. & LEVESON, N. Resilience Engineering: Concepts and Precepts.
Aldershot: Ashgate (2006)): HOLLNAGEL. E. RESILIENCE II IN PRACTICE. Developing the resilience potentials.
(2018), Routledge.
LE COZE, J.C. New models for new times.
An anti-dualist move.
Safety Science 59 (2013) 200–218 MANUELE, F., 2009.
Leading and lagging indicators.
Professional Safety 54 (12), 28–33 MENGOLINIM, A., DEBARBERIS, L., 2008.
Effectiveness evaluation methodology for safety processes to enhance organizational culture in hazardous installations.
Journal of Hazardous Materials 155, 243–252.
T I O C RP Preparación de vuelo T I O C RP Plan de vuelo ejecutado T I O C RP Tercera parte del plan de vuelo T I O C RP Plan de vuelo aprobado T I O C RP ATC correcto Pilotos fuera de cartas aéreas locales Iluminación correcta preparando procedimientos Compensación entre reglas y eficiencia en la información dada Controladores ACC y TWR responden solo la primera comunicacón Ausencia de competencias en inglés Pilotos inactivos fuera de control Pilotos sin medir y retornar en el punto de control.
Solo una primera comunicación a pilotos sin retorno Pilotos asumen nivel 370 sin nueva comunicación.
Inadacuada supervisión 10 Notas Técnicas de Prevención MONTERO MARTÍNEZ, R. Ingeniería de la Resiliencia.
Nueva tendencia en la gestión de la seguridad y salud laboral, Seguridad y Salud en el Trabajo, 63 (2011) 13-19.
PERROW, C. Normal Accidents.
Living with high risk Technologies.
1984.
Basico Books.
PRAETORIUS, G, HOLLNAGEL, E, DAHLMAN, J. Modelling Vessel Traffic Service to understand resilience in everyday operations, Reliability Engineering and System Safety 141 (2015)10–21 RODRIGUES DE CARVALHO, P.V, The use of Functional Resonance Analysis Method (FRAM) in a mid-air collision to understand some characteristics of the air traffic management system resilience, Reliability Engineering & System Safety, 96 (2011),1482-1498 SAURIN, T.A, FORMOSO, C.T, CAMBRAIA, F.B, An analysis of construction safety best practices from a cognitive systems engineering perspective, Safety Science 46 (2008) 1169–1183) SAURIN, T,A, CARIM JUNIOR, G.C. Evaluation and improvement of a method for assessing HSMS from the resilience engineering perspective: A case study of an electricity distributor.
Safety Science 49 (2011) 355–368 SHIRALI, G.A, MOHAMMADFAM, I, EBRAHIMIPOUR, V. (2013) A new method for quantitative assessment of resilience engineering by PCA and NT approach: A case study in a process industry Reliability Engineering and System Safety 119(2013)88–94 TOELLNER, J., 2001.
Improving safety and health performance.
Identifying and measuring leading indicators.
Professional Safety 46 (9), 42–47.
WOODS, D.D. Four concepts for resilience and the implications for the future of resilience engineering Reliability Engineering and System Safety 141(2015)5–9: WREATHALL, J. Properties of Resilient Organizations: An Initial View.
In: Hollnagel, E.; Woods, D. & Leveson, N. Resilience Engineering: Concepts and Precepts.
Aldershot: Ashgate (2006) Reservados todos los derechos.
Se autoriza su reproducción sin ánimo de lucro citando la fuente: INSST, nº NTP, año y título.
NIPO: 276-18-030-2

Nombre	JSESSIONID
Host	www.insst.es
Duración	365 días
Tipo	Propia
Categoría	Cookies funcionales
Descripción	Identifica la sesión del usuario

Nombre	GUEST_LANGUAGE_ID
Host	www.insst.es
Duración	365 días
Tipo	Propia
Categoría	Cookies funcionales
Descripción	Identifica el idoma seleccionado por el usuario no logueado

Nombre	COOKIE_SUPPORT
Host	www.insst.es
Duración	7300 días
Tipo	Propia
Categoría	Cookies funcionales
Descripción	Indica si el navegador soporta cookies

Nombre	COOKIE_CONSENT
Host	www.insst.es
Duración	7300 días
Tipo	Propia
Categoría	Cookies funcionales
Descripción	Indica si el usuario ha aceptado las cookies

Nombre	_ga
Host	www.insst.es
Duración	730 días
Tipo	Terceros
Categoría	Cookies analíticas
Descripción	Para almacenar y contar visualización de páginas.