Análise de microincidentes na operação de usinas nucleares: estudo de caso sobre o uso de procedimentos em organizações que lidam com tecnologias perigosas

Carvalho, Paulo Victor Rodrigues de; Vidal, Mario Cesar Rodriguez; Carvalho, Eduardo Ferro de

doi:10.1590/S0104-530X2005000200007

Resumos

As organizações que lidam com tecnologias perigosas possuem sistemas de gestão de risco que visam controlar a ocorrência e a evolução de acidentes e melhorar sua segurança. Estes sistemas têm sido baseados em aspectos físicos, como barreiras de proteção, equipamentos e sistemas, que visam impedir a ocorrência e propagação dos acidentes, e em aspectos humanos, como a utilização de normas e procedimentos. Neste artigo, analisamos o uso de diversos tipos de procedimentos por operadores de salas de controle de usinas nucleares. A metodologia utilizada foi a análise do trabalho dos operadores durante microincidentes ocorridos na operação normal, parada e partida de uma usina nuclear, além de treinamento em simulador. A pesquisa demonstra que a flexibilização de procedimentos ocorre rotineiramente e que as estratégias cognitivas dos operadores podem ser explicadas a partir das restrições técnicas, organizacionais e culturais do ambiente de trabalho. Nossos resultados indicam que os requisitos de competência necessários para os operadores de usinas nucleares vão muito além de uma adequada formação técnica e da capacidade de seguir instruções escritas.

ergonomia; segurança industrial; procedimentos

Organizations that work with hazardous materials, such as nuclear power plants, offshore installations, and chemical and petrochemical plants, have risk management systems involving accident control and mitigation to ensure the safety of their facilities. These systems are based on physical devices, such as protective barriers, equipment and systems aimed at preventing the occurrence and propagation of accidents, and on human aspects such as regulations and procedures. This paper analyzes the use of a variety of procedures by nuclear power plant control room operators. The methodology consisted of analyzing the work of control room operators during the normal operations, shutdown, and startup of a nuclear power plant, and in full scale simulator training. This survey revealed that routine noncompliance to procedures was considered normal according to the operating rationale, which is based on technical, organizational and cultural factors. These findings indicate that the competencies nuclear power plant operators must possess far exceed proper technical training and the ability to follow written instructions.

ergonomics; industrial safety; procedures

Análise de microincidentes na operação de usinas nucleares: estudo de caso sobre o uso de procedimentos em organizações que lidam com tecnologias perigosas

Analysis of minor incidents in the operation of nuclear power plants: a case study on the use of procedures in organizations dealing with hazardous technologies

Paulo Victor Rodrigues de Carvalho^I; Mario Cesar Rodriguez Vidal^II; Eduardo Ferro de Carvalho^III

^IComissão Nacional de Energia Nuclear, Instituto de Engenharia Nuclear, Cidade Universitária, CEP 21945-970, Ilha do Fundão, Rio de Janeiro, RJ, Brasil, e-mail: paulov@ien.gov.br

^IIGrupo de Ergonomia e Novas Tecnologias GENTE, COPPE/UFRJ, Cidade Universitária, Ilha do Fundão, Rio de Janeiro, RJ, Brasil

^IIIDepartamento de Engenharia de Produção POLI/UFRJ, Cidade Universitária, Ilha do Fundão, Rio de Janeiro, RJ, Brasil

RESUMO

As organizações que lidam com tecnologias perigosas possuem sistemas de gestão de risco que visam controlar a ocorrência e a evolução de acidentes e melhorar sua segurança. Estes sistemas têm sido baseados em aspectos físicos, como barreiras de proteção, equipamentos e sistemas, que visam impedir a ocorrência e propagação dos acidentes, e em aspectos humanos, como a utilização de normas e procedimentos. Neste artigo, analisamos o uso de diversos tipos de procedimentos por operadores de salas de controle de usinas nucleares. A metodologia utilizada foi a análise do trabalho dos operadores durante microincidentes ocorridos na operação normal, parada e partida de uma usina nuclear, além de treinamento em simulador. A pesquisa demonstra que a flexibilização de procedimentos ocorre rotineiramente e que as estratégias cognitivas dos operadores podem ser explicadas a partir das restrições técnicas, organizacionais e culturais do ambiente de trabalho. Nossos resultados indicam que os requisitos de competência necessários para os operadores de usinas nucleares vão muito além de uma adequada formação técnica e da capacidade de seguir instruções escritas.

Palavras-chave: ergonomia, segurança industrial, procedimentos.

ABSTRACT

Organizations that work with hazardous materials, such as nuclear power plants, offshore installations, and chemical and petrochemical plants, have risk management systems involving accident control and mitigation to ensure the safety of their facilities. These systems are based on physical devices, such as protective barriers, equipment and systems aimed at preventing the occurrence and propagation of accidents, and on human aspects such as regulations and procedures. This paper analyzes the use of a variety of procedures by nuclear power plant control room operators. The methodology consisted of analyzing the work of control room operators during the normal operations, shutdown, and startup of a nuclear power plant, and in full scale simulator training. This survey revealed that routine noncompliance to procedures was considered normal according to the operating rationale, which is based on technical, organizational and cultural factors. These findings indicate that the competencies nuclear power plant operators must possess far exceed proper technical training and the ability to follow written instructions.

Keywords: ergonomics, industrial safety, procedures.

1. Introdução

Este trabalho se insere na linha de pesquisa de Ergonomia e Sistemas Complexos do GENTE/COPPE em conjunto com o Instituto de Engenharia Nuclear na perspectiva ligada à ergonomia e segurança industrial, que vem desde os trabalhos de Vidal (1984), em que a evolução do conceito da causalidade de acidentes é discutida, passando por teses desenvolvidas em diversos setores industriais, como de petróleo (Duarte, 1994), e, mais recentemente, na área nuclear (Carvalho e Vidal, 2003, Carvalho, 2003).

De acordo com Rasmussen (1998), acidentes são o resultado da perda de controle:

"Uma análise detalhada dos grandes acidentes indica que a coincidência dos múltiplos erros observados não pode ser explicada mediante uma coincidência estatística de eventos independentes. Acidentes são, com maior probalidade, causados por uma sistemática migração na direção de acidentes por uma organização operando num ambiente agressivo e competitivo (...) A segurança é um problema de controle."

As investigações sobre os acidentes das naves Challenger em 1986 (Vaughan, 1996 e 1997) e Columbia (CAIB, 2003) ilustram como esta "migração sistemática na direção dos acidentes" ocorreu na NASA. A causa física do acidente da Challenger erosão nos anéis de vedação, causando vazamento de combustível e explosão e a do acidente da Columbia danos no sistema de proteção térmica da asa esquerda, causado pelo choque de pedaços de espuma que se desprenderam do tanque de combustível durante a decolagem são eventos bastante diversos e não correlacionados entre si. Entretanto, conforme análise do comitê de investigação da Columbia, havia uma grande correlação nos ambientes e práticas organizacionais que engendraram estes dois acidentes (CAIB, op. cit.). No caso da Challenger, o comitê de investigação encontrou uma série de evidências (dados, relatórios, investigações) sobre os problemas de erosão nos anéis de vedação que foram sistematicamente desconsiderados pela organização, levando Vaughan (1997) a concluir que a NASA criara uma cultura de "desvios normalizados", isto é, o sistema operava na suposição de que desvios não podem ser eliminados e que as práticas vigentes (procedimentos, relatórios, inspeções) seriam suficientes para controlá-los evitando acidentes.

O comitê de investigação do acidente da Columbia encontrou evidências de danos de mais de 1 polegada, provocados por pedaços de espuma em diversos vôos de ônibus espaciais, inclusive no vôo imediatamente anterior ao acidente. Este último evento pré-acidente provocou a abertura de uma investigação sobre o problema dos danos causados pela espuma, conforme os procedimentos de segurança. Entretanto, a Columbia foi lançada sem esperar as conclusões desta investigação, uma vez que o choque de pedaços de espuma não foi considerado como um problema de segurança de vôo que devesse impedir novos lançamentos. O fato de que, nos 112 vôos anteriores ao da Columbia, não houvesse danos considerados significativos, devido a choques de pedaços de espuma, serviu como justificativa para autorizar o lançamento (CAIB, op. cit.), o que ilustra uma cultura de complacência, em que o "sucesso" passado foi considerado suficiente para garantir o sucesso no futuro.

Ou seja, analogamente ao ocorrido no acidente da Challenger, apesar de haver procedimentos de segurança que permitissem lidar com eventos deste tipo relatórios, dados, inspeções, etc. estes procedimentos foram de alguma forma flexibilizados sob influência do contexto sócio-técnico, levando o Comitê a concluir:

"Embora a NASA tenha sofrido muitas reformas gerenciais após o acidente da Challenger... a poderosa cultura dos vôos espaciais permaneceu intacta, assim como muitas práticas organizacionais... A cultura organizacional da NASA mostrou ser bastante elástica... As normas retornam à sua forma original mesmo após serem esticadas ou comprimidas. As crenças comuns existentes na organização resistem a alterações." (CAIB, 2003).

Deste modo, consideramos que o objetivo principal desta pesquisa analisar o modo como os diversos tipos de procedimentos (procedimentos operacionais, de emergência, de testes, planejamento de tarefas) são utilizados pelos operadores de sala de controle durante microincidentes é fundamental para avaliar a segurança de uma organização que lida com tecnologias perigosas. Esta análise, baseada em aportes da ergonomia, permite obter informações sobre como as restrições do ambiente de trabalho (técnicas, organizacionais e culturais) interferem nas estratégias dos operadores e na forma como os procedimentos são utilizados. A partir daí será possível relacionar a segurança operacional e o modelo de desempenho humano baseado em seguir estritamente a regras, como proposto em padrões normativos de competência de trabalhadores das organizações que lidam com tecnologias perigosas (Inpo, 1997; Opito, 1997).

2. Ergonomia, prescrições e erro humano

Como já foi constatado por diversos pesquisadores, a proceduralização e normatização do trabalho são uma característica essencial das organizações que lidam com tecnologias perigosas, e as usinas nucleares não são uma exceção (La Porte e Thomas, 1995; De Terssac e Leplat, 1990; De Terssac, 1992; Hirshhorn, 1993; Vicente, 1999).

Este fato decorre da apropriação pela engenharia de segurança de resultados de pesquisas sobre o "erro humano", como por exemplo, a constatação de que, do ponto de vista cognitivo, procedimentos reduzem o nível de complexidade, diminuindo a probalidade de ocorrência de erros (Rasmussen e Jensen, 1974), ou de que a obrigação de seguir procedimentos à risca, reduzindo a autonomia dos trabalhadores, diminui a possibilidade de erros humanos, especialmente as violações de rotina (Reason, 1990).

Assim, a engenharia de segurança ao tratar aspectos de fatores humanos da mesma forma como trata de sistemas físicos, especialmente no setor nuclear (NEA, 2004), elegeu como seu principal objetivo controlar (reduzir) a variabilidade e autonomia dos agentes humanos por meio de prescrições: procedimentos rígidos a serem seguidos como um roteiro, uma hierarquia rígida e divisão de trabalho, responsabilidades claramente definidas, etc. Conforme este ponto de vista, seguir prescrições à risca é a base para uma operação confiável no que concerne ao fator humano. Neste paradigma, o erro humano o problema a ser evitado é usualmente definido como qualquer desvio do desempenho em relação a uma seqüência de ações prescrita ou especificada.

Entretanto, instruções e procedimentos escritos quase nunca são seguidos à risca, uma vez que os trabalhadores se esforçam para se tornar mais eficientes e produtivos para lidar com as pressões temporais e demais restrições ambientais de um contexto de trabalho cada vez mais competitivo. De fato, as "operações padrão", ou trabalho conforme as regras, são exemplos de formas de pressão dos trabalhadores alternativas às greves. Os relativamente raros estudos de campo em organizações que lidam com tecnologias perigosas, como usinas nucleares, têm mostrado que até mesmo nestes ambientes, a modificação de instruções é observada e a violação de regras aparece de forma bastante racional (Vicente, 1995). Nestas situações, ocorre um conflito básico entre o erro visto como um desvio em relação a um procedimento escrito e o erro visto como um desvio em relação a um procedimento racional e normalmente usado de modo efetivo (Rasmussen et al., 1994).

Por estes motivos, nas análises de acidentes, o erro humano se torna uma categoria fácil para ser preenchida pelos investigadores. A partir de análises retrospectivas dos acidentes, diversas violações de procedimentos são encontradas. Estas violações são associadas ao acidente sem que se possa garantir um nexo causal devido à complexidade inerente à geração do acidente (Holnagell 2002; Woods e Cook, 2002). Por esta razão, diversos estudos persistem em indicar erros humanos como responsáveis pela maior parte dos incidentes/acidentes operacionais. Situações como a realização de testes fora das condições operacionais especificadas (acidente de Chernobyl), incerteza a respeito do estado de equipamentos em manutenção (presente no acidente da plataforma Piper Alpha), desligamento de sistemas automáticos (TMI, Chernobyl), uso de boas regras em contextos não apropriados (TMI, Chernobyl) podem ser muito mais comuns do que o foco nas investigações de causas de acidentes sugere. Em resumo, criticar práticas e considerá-las como violações graves, trazendo como resultado a punição de algum operador e o aumento das estatísticas de erros humanos como causas de acidentes, não traz soluções efetivas para a segurança das organizações que lidam com tecnologias perigosas. Para Dekker (2003), as organizações que lidam com tecnologias perigosas deveriam se esforçar um pouco mais para entender a distância existente entre práticas e procedimentos, considerando que erros não podem ser sempre interpretados como incompetência.

A ergonomia apresenta uma outra vertente do problema do erro humano. Ela tem procurado demonstrar que os saberes locais e contingenciais desenvolvidos pelos operadores evitam falhas: segundo a Teoria da Inerência (Faverge, 1970,1980), os operadores recuperam as falhas do sistema; eles adaptam (Amalberti, 1992) e são capazes de interpretar. Os operadores ainda preenchem os brancos e os aspectos implícitos dos procedimentos (De Terssac, 1992); eles podem permitir que procedimentos existam, como explica Hatchuel (1994): "o redator do procedimento pode se enganar a respeito da qualidade do procedimento redigido: o operador realiza o trabalho em tempo real, o que para quem concebeu o procedimento é a prova de que o conteúdo e o tempo previsto para execução das tarefas estaria correto; entretanto, as dificuldades encontradas obrigam seus executores a verdadeiros malabarismos para realizar o trabalho nas condições prescritas consideradas."

O homem possui uma capacidade cognitiva que lhe permite julgar aspectos qualitativos, uma capacidade de síntese e de interpretação de representações analógicas, uma capacidade de racionar rapidamente em função dos casos mais prováveis (Rasmussen e Jensen, 1974).

Segundo Woods (1995), os seres humanos usam propriedades cognitivas especiais, como a da pré-atenção, quando monitoram sistemas. A pré-atenção não é uma decisão consciente ou um julgamento, mas sim um tipo de processo de reconhecimento direcionado. Os observadores não estão sempre conscientes dos aspectos normais, esperados, ou irrelevantes do seu fluxo de atividade, mas eles são capazes de reconhecer o anômalo quando é pertinente ao contexto maior e às suas metas, fazendo com que desvios das características normais do sistema sejam antecipadamente observados.

Para Amalberti (1996) e Poyet (1990), afastar o homem do controle direto da produção e reduzir sua capacidade de intervenção seria prejudicial, principalmente em situações de perturbação do sistema, uma vez que o homem desenvolve atividades adaptativas para fazer frente às situações imprevistas: "... operadores são capazes de resistir e atualizar as prescrições em função do contexto da atividade" (Poyet, 1990). Amalberti (1996) sustenta ainda que funções metacognitivas, como metaconhecimento, metaconfiança são fundamentais para que o operador humano possa avaliar a relação entre custo cognitivo e o risco de determinada ação. O custo cognitivo está relacionado à possibilidade de perda de controle cognitivo que, por exemplo, a mudança do nível de abstração (regras para conhecimento) acarretaria para os operadores. Atividades no nível do conhecimento exigem muito mais das habilidades cognitivas, envolvendo raciocínio indutivo e dedutivo, interpretação e compreensão da informação disponível, identificação de meta, resolução de problema, identificação e seleção do curso da ação. Ao envolverem um alto custo cognitivo, estas atividades são evitadas pelos operadores, que se preocupam em otimizar sua capacidade cognitiva, resguardando forças para lidar com situações mais complexas, e não as utilizando para a resolução de problemas por eles considerados menores.

Besnard e Greathead (2003) analisaram dois acidentes em que ocorreram violações de procedimentos. O acidente de Tokaimura explosão numa fábrica de combustível para reatores nucleares no Japão (Furuta et al., 2000) e o pouso de emergência do vôo 232 da United Airlines em 1989 no aeroporto de Sioux City. No primeiro caso, a colocação de uma quantidade de urânio maior que a prescrita nos tanques de processamento consistiu na violação de um procedimento que provocou a explosão e morte de trabalhadores. No segundo caso, as manobras do piloto e co-piloto para realizar o pouso de emergência de um avião com problemas mecânicos a falha concomitante dos três sistemas hidráulicos de vôo e a conseqüente perda do controle hidráulico (NTSB, 1990) consistiram de uma série de violações que permitiram ao avião chegar ao aeroporto e realizar o pouso de emergência. Analisando as circunstâncias destas violações, Besnard e Greathead observaram que, no primeiro caso, os trabalhadores não imaginavam as possíveis conseqüências de acelerar o processo produtivo e, no segundo, a equipe de pilotagem sabia exatamente qual era o problema do avião e criou alternativas para controlá-lo sem dispor dos sistemas hidráulicos. Eles então concluem que um modelo mental adequado é o principal diferencial entre os dois tipos de violação.

Estas são as razões que a ergonomia nos apresenta para aceitar o preâmbulo do homem como agente recuperador: a possibilidade efetiva para exercer um controle e uma intervenção direta sobre os sistemas técnicos, muitas vezes restringida pela obrigatoriedade da aplicação estrita de procedimentos.

A aplicação dos modernos conceitos de sistemas complexos ao estudo das organizações (Pavard e Dugdale, 1997) traz novos problemas para a aplicação estrita de procedimentos como base da confiabilidade humana, que resumimos da seguinte maneira: considerando o princípio da racionalidade limitada e da limitação da informação daí decorrente, todos os eventos passíveis de serem encontrados pelos atores em sistemas complexos não podem ser inteiramente previstos. Uma parte da realidade com a qual eles se confrontam está além do campo de aplicação da regra. Ou seja, todas as informações necessárias e suficientes para lidar com as situações não podem ser disponibilizadas por meio de regras formais explícitas.

Assim sendo, considerando os aportes da ergonomia e da teoria dos sistemas complexos, estatuímos as seguintes limitações como premissas inerentes à aplicação estrita de prescrições:

Prescrições não levam em consideração a variabilidade dos indivíduos se eles dispõem de mais ou menos experiência, se estão mais ou menos em forma, se eles possuem atitudes diferentes e/ou percebem igualmente a atividade de risco de sua posição na organização;
A empregabilidade não é claramente definida: não é possível garantir que o procedimento adequado será posto em prática pelos operadores no momento oportuno, tanto pelo modelo particular de utilização, quanto pelos fatos implícitos que ele veicula;
As condições de aplicação não são sempre bem definidas: elas podem tornar o procedimento inadequado ou incoerente em função das condições da intervenção, ou do estado da planta;
Em muitos casos, procedimentos são elaborados pelos projetistas do sistema num país diferente de onde o sistema será instalado, sem considerar os aspectos antropotecnológicos, isto é, hábitos, cultura, aspectos da sociologia do país de aplicação; e
Procedimentos se referem basicamente a situações ideais, previamente modeladas pelos projetistas do sistema, mesmo quando consideram acidentes postulados (acidentes postulados são acidentes previstos pelo projeto da planta e para os quais existem procedimentos de emergência, para mitigação de suas conseqüências).

Considerando estas limitações, observamos que a aplicação estrita de procedimentos não é suficiente para garantir a confiabilidade humana numa organização e pode, até mesmo, não ser compatível com seu funcionamento. Paradoxalmente, os procedimentos criados para minimizar as possibilidades de intervenção humana, a requerem; uma vez que só a intervenção humana é capaz de criar as condições, mediante saberes locais, contingentes e tácitos, que permitam superar as limitações e adaptar os procedimentos ao contexto da sua execução para um desempenho efetivo. Entretanto, este recurso à intervenção humana está ligado à capacidade de interpretar e se adaptar do homem (exatamente aquilo que prescrições procuram evitar), que pode ter tanto efeitos positivos para uma melhoria do desempenho operacional resolvendo problemas além do escopo dos procedimentos quanto negativos para a segurança da organização (a flexibilização de procedimentos está na raiz de acidentes como Challenger, Chernobyl, Columbia). Os estudos destes acidentes mostraram que os atores não decidem transgredir uma norma, simplesmente por escolha pessoal uma violação, segundo Reason (1990) mas são induzidos à transgressão ou ao contorno de prescrições em função da situação do processo produtivo, de uma avaliação inadequada do custo cognitivo/risco da ação, de um modelo mental não condizente à situação em curso, das condições fornecidas pela organização ou, ainda, da cultura organizacional.

Resumindo, o contorno das prescrições ou flexibilização de procedimentos é duplamente especificado: ele é concernente a um problema de racionalidade, que tomamos como um fato, e concernente a um modo de divisão e organização do trabalho, que é preciso, mas não é um dado, e sim construído como um modelo reduzido de sistema complexo, o qual traz em si mesmo a dicotomia entre o universo (modelo) da concepção e o universo (real) da execução. Considerando que os sistemas sócio-técnicos apresentam estabilidade (os acidentes são raros) e que o contorno às prescrições é um fato, pressupomos que é nesta flexibilização de normas e procedimentos e nos ajustamentos dela decorrentes que estão as verdadeiras bases da confiabilidade humana e da segurança organizacional. Compreender como estes ajustamentos são realizados, isto é, de que tipo de estratégias os operadores se utilizam, de modo a lidar com as restrições do ambiente de trabalho, requer pesquisas como a proposta neste trabalho.

A necessidade de analisarmos o comportamento dos operadores em meio às restrições técnicas, organizacionais e culturais de seu ambiente de trabalho nos levou a considerar restrições em 3 níveis, conforme os 3 níveis de cultura organizacional propostos por Schein (1999): 1) Artefatos: estruturas e processos organizacionais visíveis - todo fenômeno que alguém pode ver, ouvir e perceber; 2) Valores adotados e declarados pela organização: estratégias, planos, metas, filosofia - o que a organização diz (e pensa) sobre ela mesma; e 3) Valores subjacentes ou assumidos: valores construídos pelos trabalhadores ao longo de sua inserção no tecido social da organização, construindo hábitos de ação, regras tácitas ou implícitas, atitudes, credos, percepções a fonte primordial de valores para ação. Os valores assumidos representam a essência da cultura de uma organização e são difíceis de distinguir, pois eles existem no nível inconsciente. Segundo Schein, a Cultura Organizacional pode ser definida como "as premissas tácitas assumidas sobre como é o mundo e como ele deveria ser que um grupo de pessoas de uma organização compartilha e que determina suas percepções, pensamentos, sentimentos, e seu comportamento" (Schein, 1999).

Os aportes da psicologia ecológica (Gibson, 1979) fornecem a ponte que nos permite relacionar aspectos da cultura organizacional (valores assumidos) com as estratégias cognitivas dos operadores em seu trabalho diário. As estratégias cognitivas, que foram forjadas ao longo dos milhares de anos de evolução do nosso sistema nervoso, como percepção seletiva, educação da atenção, reconhecimento de padrões, uso de regras simples, do tipo condição-ação, analogias, teste de hipóteses (tentativa e erro), são inerentes ao contínuo processo de sintonia dos seres humanos com seu ambiente.

A partir deste enquadramento teórico, estabelecemos algumas hipóteses relativas ao uso de procedimentos pelos operadores de usinas nucleares e a metodologia da pesquisa.

As hipóteses são:

A concepção procedural do trabalho dos operadores, baseada em instruções detalhadas que se supõe sejam seguidas à risca, possui limitações em função da dificuldade dos projetistas dos sistemas de preverem as ações que serão efetivamente necessárias em situações novas e devido às restrições impostas pelo contexto de trabalho;
A limitação acima faz com que os operadores das usinas nucleares tenham dificuldades para determinar quando os procedimentos, que eles, supostamente, devem seguir à risca, não são mais apropriados para lidar com uma situação nova;
A não consideração do item 2 no projeto do trabalho dos operadores faz com que a equipe de operação não tenha a ajuda necessária para saber se (e quando) procedimentos poderiam ser modificados momentaneamente sem afetar a segurança, para lidar com microincidentes de modo eficiente e seguro; e
Em função de 2 e 3, em situações não familiares, nas quais os operadores não podem contar com o suporte de procedimentos escritos, eles mudam o nível de controle cognitivo e passam a trabalhar no nível de conhecimento (Rasmussen, 1983; Vicente e Rasmussen, 1992). Como conseqüência, a ação dos operadores passa a ser um aspecto fundamental para a segurança - recuperando o sistema técnico, ou agravando a situação da planta.

3. A metodologia da pesquisa

A metodologia da pesquisa é baseada em estudos de caso realizados na sala de controle de uma usina nuclear. Dado que nosso quadro teórico aporta um grande significado ao ambiente como fonte de estratégias cognitivas, realizamos inicialmente um estudo piloto de forma a conhecer as principais restrições que o contexto de trabalho introduz na atividade dos operadores. Neste estudo piloto procuramos indicações de restrições em três níveis artefatos, valores adotados ou declarados e valores assumidos.

Os resultados do estudo piloto serviram de base para a realização do segundo estudo. Neste segundo estudo, analisamos a atividade dos operadores durante a parada (desligamento) e a partida da planta, e durante o treinamento em simulador. Na parada e partida da usina, um número maior de atividades são realizadas em conjunto com diversos tipos de procedimentos (de teste, de operação, plano de tarefas) e no treinamento em simulador são utilizados procedimentos de emergência. Na análise da atividade dos operadores, de uma posição mais restritiva que a ergonomia tradicional, que usualmente coloca poucas restrições sobre o que irá ser observado, procuramos descobrir como os agentes regulam (adaptam) coletivamente seu trabalho, quando são confrontados com microincidentes. Esta abordagem possui a vantagem de limitar o escopo e o tempo gasto na análise (Bressolle et al., 1996). Na aplicação da metodologia, e para os efeitos desta pesquisa, consideramos microincidente qualquer evento que provoque uma ruptura com a operação normal, que faça emergir uma nova apreensão da realidade, remetendo à emergência de um novo tipo de racionalidade prática. Conforme a teoria dos sistemas complexos, atribuímos aos microincidentes as seguintes características principais: singularidade, imprevisibilidade, importância (seu valor discriminador pelo qual apenas alguns dos eventos observados serão analisados) e sua imanência à situação.

A singularidade do microincidente advém da sua própria natureza: ele surge como algo que não estava presente, como um acréscimo, um excesso à situação presente. A ele não se pode aplicar o enunciado: pertence à situação. De fato, o microincidente, na medida em que ele se produz, está dentro da situação, mas se situa fora da norma que descreve, avalia e trata dessa situação.

O caráter imprevisível dos microincidentes coloca em cheque a operação linear/seqüencial, baseada em procedimentos bem definidos e introduz ações cuja lógica é intrinsecamente cognitiva e, portanto, mais adequada para a identificação das estratégias de tomada de decisão.

A importância do microincidente é definida conforme os objetivos dos agentes (observados e observadores). Uma falha é sem importância se os agentes envolvidos não lhe derem nenhuma importância. Assim sendo, a importância de um microincidente está embutida no paradoxo: o MI é indeterminável porque escapa às normas de funcionamento existentes e, ao mesmo tempo, o microincidente só pode existir como tal, em relação a uma norma que vai determinar se esse evento é importante e se pode ser visto como um microincidente. Em nosso estudo de caso, duas normas se confrontaram a respeito da importância dos eventos: nossa metodologia para a análise da atividade e as normas da organização. O mais importante nesta passagem é sublinhar que a natureza própria da classe de eventos que nos interessa os microincidentes não é capturada pela gerência de riscos (uma vez que as normas da organização não consideram a maior parte dos eventos observados como incidentes passíveis de serem relatados), de modo que a informação se perde na entropia do sistema cognitivo (não é incorporada à memória) e, portanto, não pode ser usada como reflexão ou aprendizado.

A maneira mais simples de perceber a última característica do microincidente sua imanência à situação é dizer que ele é sempre interno à situação: não é necessário recorrer a nenhum efeito transcendental externo para explicar o microincidente, ele é engendrado e pode ser explicado no âmbito geral da situação de trabalho.

4. O estudo piloto: entendendo o contexto de trabalho

Neste estudo piloto exploratório, o objetivo foi compreender o contexto do trabalho dos operadores, identificando algumas restrições aportadas à atividade dos operadores pelo contexto de trabalho.

4.1 Participantes

Operadores de 5 equipes de operação. A equipe de operação de sala de controle da usina nuclear é composta por 4 operadores licenciados Supervisor, Encarregado, Operador do Reator, Operador do Circuito Secundário, além de 1 operador não licenciado o Operador de Painel Auxiliar. Os Supervisores e Encarregados são Operadores de Reator Sêniores (SRO) com idades que variam de 30 a 55 anos com mais de 10 anos de experiência na operação de NPPs. Alguns Operadores de Reator e de Circuito Secundário ROs (idades de 30 a 40 anos), também eram operadores experientes (5 a 10 anos operando usinas nucleares), mas outros ROs foram recentemente admitidos (1,5 ano) com idades de 20 a 25 anos, e sem experiência prévia em operação. Durante seus 1,5 anos de trabalho na empresa, estes operadores foram treinados para operar a usina.

4.2 Procedimento

Dois ergonomistas, com conhecimento de operação de usinas nucleares, realizaram observações em sala de controle, entrevistaram os operadores e outros trabalhadores envolvidos na operação. O estudo piloto durou cerca de 2 semanas (10 dias) com a participação de 5 equipes de operação. Durante o estudo, os ergonomistas estiveram dentro da sala de controle da usina durante 4 horas por dia, observando o trabalho dos operadores e conduzindo entrevistas não estruturadas durante intervalos. No restante do dia, eram realizadas entrevistas com operadores de área, pessoal de manutenção, engenharia, treinamento e gerenciamento da usina. O material usado para a coleta de dados neste estudo piloto foi "lápis e papel."

A participação dos ergonomistas nas atividades diárias dos operadores e a conseqüente interação entre operadores e ergonomistas, permitiu que estes últimos se familiarizassem com a linguagem dos operadores, ajudando na compreensão dos estratagemas usados pelos operadores para interpretar (e simplificar) sua realidade sócio-técnica, rotinas, hábitos, costumes, regras locais, maneirismos, jargões durante a operação da usina.

4.3 Resultados

4.3.1 A operação da usina

Com base neste estudo piloto, foi possível esquematizar a operação da usina, conforme a Figura 1. O início de um turno de operação é caracterizado pelo processo de Passagem de Turno. Os operadores que saem do turno passam informações sobre o que foi feito na usina, qual o estado do processo, quais operações estão em andamento e precisam continuar, etc. O fato dos operadores da equipe que entra não estarem presentes quando os eventos ocorreram no turno anterior, implica que os significados precisam ser compartilhados, o que caracteriza o início do turno e o processo de passagem propriamente dito. O Supervisor recebe ainda instruções e planos da chefia da usina, dos grupos de engenharia e manutenção, em que as tarefas do turno são descritas (testes que devem ser efetuados, estado de equipamentos, manutenção, permissões de serviço, instruções para mudança de estado parada, partida, etc.).

Durante o turno, as informações a respeito do estado da planta são obtidas da interface H/M pelos operadores do reator e circuito secundário. Entretanto, para complementar essas informações, existe um contato quase que contínuo entre os membros da equipe de operação da sala de controle e o pessoal espalhado pelo campo. Este contato se dá por diversas vias telefone, sistema de comunicação interno e face-a-face (quando algum operador de campo vem à sala de controle). Estas comunicações envolvem o Supervisor de turno, que procura informações sobre o andamento dos serviços de manutenção, o pessoal de campo, que necessita informação sobre o estado da planta, os operadores, no fornecimento de instruções e informações técnicas ao pessoal de campo. Mudanças de estado, testes, manutenção são regidos por procedimentos operacionais, enquanto que as situações de acidente são regidas pelos procedimentos de emergência (EOPs).

Os procedimentos são escritos em papel, em inglês. Procedimentos operacionais e de emergência têm a mesma estrutura baseada em fluxogramas e listas de checagem. Nos procedimentos de emergência, o fluxograma inicial (Figura 2) indica as tarefas do operador após identificado o evento que gerou a emergência. Estas tarefas são expandidas em novos fluxogramas, caso seja necessário, de um modo recursivo. Finalmente, as instruções detalhadas necessárias à execução de cada tarefa são apresentadas em listas de checagem (Figura 3). Os operadores são obrigados a preencher os espaços em branco nas listas de checagem, confirmando a execução de cada passo. No exemplo da Figura 2, os retângulos 1, 2, etc. do fluxograma indicam as tarefas do operador. Na Figura 3, as ações detalhadas necessárias para isolar o gerador de vapor e limitar a pressão em 80 bar (item 3) são apresentadas na forma de listas de checagem e regras SE-ENTÃO.

Conforme esta estrutura recursiva, os operadores têm que folhear os procedimentos em papel continuamente, indo desde o fluxograma de diagnóstico até as ações manuais detalhadas e vice-versa. O Encarregado é o responsável por ler em voz alta (e folhear) o procedimento para o Operador do Reator e o Operador do Circuito Secundário. Os RO e SCO confirmam a instrução recebida e realizam as ações de controle. Finalmente eles informam ao Encarregado a ação executada. Este processo configura o modo nominal (e recomendado) de operação.

4.3.2 A sala de controle

Apesar de operar a partir de 2000, a maior parte dos equipamentos de instrumentação e controle já tinha sido adquirida há 15 anos, quando se esperava a conclusão da usina. Assim, a sala de controle e o sistema de instrumentação e controle usam a tecnologia de controle de processos analógica, desenvolvida nos anos 70 na Alemanha. A Figura 4 mostra a sala de controle que consiste de painéis de controle (painéis auxiliares e o painel de controle principal), de um console de controle, no qual são configurados dois postos de trabalho para os operadores, um para o Operador de Reator (RO) e um para o Circuito Secundário Operador (SCO), de mesas para o Supervisor/Encarregado, de uma mesa de comunicação com diversos telefones e de estantes, nas quais são guardados procedimentos e documentos. Durante a leitura dos procedimentos, um púlpito é colocado em frente do console de operação.

4.3.3 As restrições

Em relação aos artefatos, observamos restrições à atividade dos operadores que são o resultado da obsolescência do sistema de instrumentação e controle, que podem ser resumidas como:

Interface de homem-máquina: visualização problemática (posição no posto de trabalho, tamanho de caracteres, qualidade dos displays), posição inadequada de registradores gráficos, opacidade da automatização, sistema de alarme convencional; e
Sistema de comunicação: pontos cegos em alguns locais; nas áreas as pessoas precisam interromper o trabalho para responder a chamadas de cabinas de comunicação; tempo morto elevado. O contato inicial é feito a partir da sala de controle por um sistema geral de alto-falantes nas diversas áreas da usina, e a sala de controle espera até a resposta via telefone ou intercomunicador (cabina de comunicação).

Com relação aos valores adotados ou declarados, observamos que a organização procura enfatizar o cumprimento de procedimentos, desenvolve um programa de avaliação e melhoria da cultura de segurança, coloca a segurança na sua missão, enfim, procura mostrar a segurança como um valor intrínseco da organização.

Os valores assumidos são forjados no âmbito do contexto sócio-econômico do setor nucleoelétrico brasileiro. A indefinição a respeito do programa nuclear brasileiro (construção ou não de novas usinas, protelação da manutenção de grandes equipamentos, sucateamento das instituições de pesquisa do setor), a criação de uma nova operadora, apenas para as usinas nucleares (visando à privatização que afinal não houve da parte elétrica da antiga operadora estatal), a modificação da forma de comercialização da energia (ainda em discussão) são fatores que vêm criando um ambiente de restrição de recursos, em que o aumento da eficiência operacional é condição necessária para a sobrevivência desta nova operadora de usinas nucleares. Situação que vem sendo agravada pela necessidade de modernização das usinas e pela perda de mão de obra qualificada para concorrentes privados da área de energia. Assim sendo, manter a usina em operação, sem desligamentos não previstos (gerando energia/recursos), se tornou um requisito muito mais premente do que na arquitetura anterior do sistema elétrico, em que o setor nuclear era uma pequena parte de uma grande operadora estatal que controlava diversas usinas hidroelétricas. Conjunturalmente, nossa pesquisa foi realizada no auge dos problemas de racionamento de energia elétrica no final de 2000, o que gerava uma carga adicional de preocupação, pois o desligamento da usina sua principal ação de segurança poderia trazer efeitos catastróficos (apagões) para a população.

Em resumo, a meta de uma empresa fornecedora de energia elétrica (de origem nuclear inclusive) nos mercados liberalizados ou desregulados de hoje é prover energia de modo tão confiável quanto possível, a um custo aceitável e com segurança, gerando o máximo de lucro para o capital investido. Consumidores querem energia ao menor custo e maior confiabilidade possível, e a meta ética da sociedade é converter o combustível em energia com segurança e o menor dano possível ao meio ambiente.

Os parágrafos anteriores esboçam alguns dos aspectos conflitantes em meio aos quais as organizações geradoras de energia nuclear precisam lidar no atual mercado de comercialização de energia. De um fornecedor estatal preocupado com a segurança e não muito pressionado pelos custos de produção, o atual fornecedor de energia precisa se transformar (e vem se esforçando para) num fornecedor orientado para o mercado. Assim, a liberalização do mercado de energia elétrica tem exigido um desenho organizacional diferente em termos de organização e gestão (incluindo o sistema de gestão de segurança), de modo a construir uma organização competitiva e segura.

Enfim, é dentro deste complexo contexto de mudanças que os valores assumidos ou subjacentes vêm sendo forjados na organização. É importante ressaltar que foge ao escopo deste trabalho identificar, de forma precisa, valores que ocorrem em um nível inconsciente de cada trabalhador da organização. O que procuramos salientar é que o contexto real de trabalho introduz aspectos que podem levar à construção de valores assumidos, diferentes daqueles que a organização prioriza oficialmente. No segundo estudo de caso, procuramos compreender as estratégias cognitivas relacionadas ao uso de procedimentos na operação das usinas e testar as hipóteses da seção 2.

5. Segundo estudo: o uso de procedimentos na operação das usinas

Neste segundo estudo de caso, o objetivo foi observar como os operadores lidam com situações novas, ou pelo menos não esperadas, de modo a avaliar como procedimentos são usados, conforme as hipóteses da pesquisa.

5.1 Participantes

As mesmas equipes de operação que participaram do primeiro estudo, também participaram deste segundo estudo. Foram colhidos dados de uma equipe, durante o desligamento do reator por 12 horas, e de outras duas equipes, durante a partida por 6 horas, totalizando 18 horas de observações gravadas em áudio e vídeo. No treinamento em simulador, analisamos duas equipes em dois acidentes postulados, num total de 4 horas de observações gravadas.

5.2 Procedimento

Diferentemente do estudo anterior, procuramos gravar as interações entre os operadores mediante o uso de equipamentos de áudio e vídeo, de modo a possibilitar uma reflexão posterior a partir dos dados de campo. Conforme a abordagem de estudos em situação real de trabalho da ergonomia, os operadores receberam só uma instrução: se comportar de forma tão normal quanto possível apesar dos equipamentos de gravação e da presença dos analistas na sala de controle (isto ficou mais fácil porque os operadores já conheciam os ergonomistas, em função do estudo piloto anterior). O procedimento consistiu de 3 fases: Coleta de dados; Preparação dos dados; e Análise.

5.2.1 Coleta de dados

Usamos 3 câmeras dentro da sala de controle e microgravadores no bolso de cada um dos 4 operadores da sala de controle. A partir da experiência obtida no primeiro estudo e devido às características compartilhadas das atividades dos operadores, foi necessária a presença de 4 ergonomistas, cada um responsável por um dos operadores (trocar as fitas do microcassete, tomar notas, esclarecer dúvidas quando possível). De modo a observar a operação com maior probabilidade de aparecimento de microincidentes, o período escolhido foi na parada e partida programada da usina, uma vez que, durante estes períodos, são feitas dezenas de atividades paralelas, conforme um caminho crítico que visa minimizar o tempo da usina fora de operação, além de um período em simulador, de modo a observar operadores lidando com acidentes postulados. Os dados coletados foram as notas de campo dos ergonomistas, fitas de áudio dos diálogos dos operadores e as fitas de vídeo, contendo a exploração visual e deslocamento dos operadores.

5.2.2 Preparação dos dados

O objetivo desta fase foi, a partir dos dados brutos colhidos acima, gerar conjuntos de dados mais elaborados, de modo a permitir uma análise. Dois conjuntos de dados preparados foram gerados: os MIs identificados e os protocolos verbais correspondentes.

Identificação de MIs: A concatenação das notas do campo dos ergonomistas (necessária, uma vez que cada ergonomista acompanhou um operador diferente) resultou em tabelas com a descrição cronológica de diversos eventos, conforme exemplificado na Tabela 1. A identificação de MIs dentre os eventos observados foi baseada na importância e relação do evento com objetivos de pesquisa: testar as hipóteses apresentadas na seção 2. Por exemplo, do conjunto de eventos apresentado na Tabela 1, relativa ao início do processo de desligamento do reator, o único evento classificado como MI foi o problema da caldeira (na última linha da tabela).

Thumbnail

Transcrição de protocolos verbais: os protocolos relativos aos MIs foram transcritos em ordem cronológica, identificando o(s) operador(es) e as outras pessoas envolvidas, conforme o Quadro 1, que mostra os protocolos relativos ao MI caldeira. É interessante notar que buscamos todos os protocolos relacionados ao microincidente e não apenas os relativos às interações que ocorreram no momento de sua emersão. Por exemplo, no Quadro 1, existem discussões sobre o estado da Caldeira 1 desde a passagem de turno.

5.2.3 Análise dos dados

Teve como objetivo identificar as estratégias e o suporte usados pelos operadores na resolução dos problemas causados pelos MIs e foi feita com o auxílio de tabelas de codificação. Estas tabelas (ver Tabela 2) permitem classificar as estratégias em categorias básicas para a resolução de problemas. O resultado das entrevistas feitas durante as observações foi usado como um cheque da classificação final.

Thumbnail

Foram preenchidas tabelas para todos os MIs identificados, usando os dois conjuntos de dados disponíveis: os MIs identificados e os respectivos protocolos verbais. Na Tabela 3, é apresentado o resultado para o evento Caldeira.

Thumbnail

Resultados: o procedimento do estudo permitiu a análise de 15 MIs, sendo 10 durante a parada de usina, 4 durante a partida e 1 durante o treinamento em simulador. A Tabela 4 apresenta os MIs identificados e os documentos (procedimentos, planos, especificações, etc.) relacionados a cada MI. Conforme a Tabela 4, em praticamente todos os MIs analisados, mais de um procedimento ou documento formal servia de base para as ações, o que mostra a importância dos procedimentos para a operação da usina. Entretanto, em poucas oportunidades eles puderam ser seguidos à risca. Por exemplo, no MI1, a liberação da formal da LT (Licença de Trabalho indicando que a Caldeira 1 estava disponível) não foi suficiente para que os operadores considerassem que o serviço havia sido concluído, em função da presença de um andaime, uma indicação informal de que o serviço poderia não estar terminado. Os MIs relacionados à liberação/suspensão de testes emergem em função do conflito entre os procedimentos: o plano de tarefas programou testes num momento em que a usina não possuía as condições operacionais indicadas nos procedimentos de teste. Conflito similar ocorre no MI 11, no qual os operadores decidem, após demoradas discussões, não cumprir um dos requisitos do procedimento do teste que estava em andamento. E, mesmo quando seguiam à risca um procedimento, no caso do treinamento em simulador, ocorreu o MI15 (ver descrição detalhada a seguir).

Thumbnail

De modo a exemplificar a metodologia utilizada no estudo, apresentaremos a seguir a análise detalhada do MI15, que compreende: 1) Contexto da operação; 2) Protocolo de comunicação; 3) Caracterização do MI por meio do esquema de codificação; 4) Discussão pós evento; e 5) Documentação relevante.

1) O contexto da operação. Este MI ocorreu durante o treinamento em simulador, quando os operadores lidavam com o acidente postulado Ruptura de Tubo do Gerador de Vapor (SGTR), usando o procedimento de emergência (EOP) correspondente. Este procedimento, que se inicia pelo fluxograma da Figura 2, tem como uma de suas principais metas a limitação da pressão em 80 bar (ver tarefa 3 na Figura 2). Os EOPs são usados após o desligamento automático do reator (queda das barras) e após identificado o tipo de evento que causou o desligamento. Assim, a primeira parte dos EOPs é uma checagem das condições da planta que deve confirmar (ou não) se o evento foi corretamente identificado (tarefa 1 na Figura 2). Esta checagem é feita por meio de listas de checagem de valores de variáveis, como a da Figura 3. Os operadores devem preencher os quadros ao lado de cada ação realizada, de modo a garantir que a variável foi observada. Além disso, as análises de eventos, que sempre ocorrem após os desligamentos não programados do reator, aditam esta documentação. A continuação do EOP é destinada a minimizar as conseqüências do acidente. No caso deste acidente, as metas principais são isolar o gerador de vapor danificado (com vazamento) do resto do circuito primário e procurar manter as condições de refrigeração do sistema, retirando o calor residual gerado pelos produtos de fissão. A preocupação maior é evitar a saturação (fervura) do refrigerante dentro do núcleo do reator, o que poderia danificar os elementos combustíveis e permitir a liberação de material físsil para o circuito primário.

A equipe de operação que participou deste treinamento era composta por um Supervisor com bastante experiência, que, entretanto, atuava na função de Encarregado na usina, um Encarregado novato, em treinamento e sem prévia experiência de operação, e dois operadores com experiência que haviam participado dos estudos anteriores.

2) Protocolo de comunicação: O diálogo abaixo se inicia com os operadores realizando manobras para reduzir a pressão até 80 bar, conforme o EOP. O Encarregado se encontra no púlpito de posse do EOP junto ao Supervisor, enquanto os operadores executam as ações e respondem ao Encarregado de seus postos de trabalho no console de operação, conforme o modo nominal de operação. O Instrutor se encontra numa sala contígua ao simulador, de onde acompanha as ações dos operadores.

10:56

RO: "90 bar pressão."

Supervisor: "Então vai acabar formando bolha (saturação)."

10:59

RO: "Taxa de redução 1,5 bar por minuto. Se o nível alcançar 8 metros..."

Encarregado: "... Você pára a redução de pressão."

Encarregado: "Pode diminuir a taxa agora, senão você não vai conseguir freiar."

RO: "É pra reduzir até quando?"

Encarregado: "83 bar você fecha tudo."

11:01

RO: "Emenda redução de pressão."

11:04

Instrutor interrompe treinamento: "Olha aqui oh; dá uma olhada lá (apontando para o gráfico Pressão x Temperatura no computador) ! Qual a temperatura que sai? Olha essa temperatura aqui! 296,5!"

Instrutor: "Olha o que ele (o gráfico) está falando lá. Ele tá dizendo que você deve manter essa diferença para não saturar o primário, não é isso? A pressão de saturação está em torno de 80, se você baixar mais ainda essa pressão, então? "

Supervisor: "O procedimento manda baixar ali pra 80 bar! Nós estamos em 81,6. Estou pedindo para ajustar conforme o procedimento."

Instrutor: "Aqui não pode cair mais não. Se lembra o que a gente discutiu ontem(reunião antes do treinamento)? Eu acho que está errado o procedimento. Olha só: você tá com o primário a 81 bar. Qual é a temperatura de saturação para 81,6 bar? Você tá subresfriado segundo a indicação."

Supervisor: "Levemente subresfriado."

11:10

Instrutor: "Agora, o que o procedimento fala sobre o vapor do lado do primário? A temperatura dos tubos deste GV (gerador de vapor) que está isolado é 296 graus. Qual é a pressão de saturação disso aí!? Então, se você baixar mais isso aí... Por isso que eu estou dizendo que alguma coisa tá errada nesse procedimento. Sim ou não?"

RO: "A idéia então é manter 2 ou 3 bar de diferença..."

Instrutor: "Nem isso é bom manter..."

Instrutor: "Do jeito que está mostrando nosso modelo (o modelo matemático do reator executado no simulador), agora, a essa temperatura já tem uma pressão de saturação. Então realmente, os valores não estão batendo muito bem, não."

11:12

Encarregado: "Não dá pra baixar pra 80 bar. Se a gente tiver na saturação, a gente vai ter que parar, senão vai saturar o primário. Primeiro baixar a temperatura, pra depois baixar a pressão."

Supervisor: "É uma coisa, ou outra, outra... Do jeito que está o (Nome do encarregado) tá ferrado, o (Nome do RO) tá ferrado, eu tô ferrado! Do modo que são as coisas, se o procedimento manda abrir nós temos que abrir! Senão estamos ferrados!"

11:15

Supervisor: "(Nome do encarregado) a gente o RPE (Relatório Preliminar de Evento) lá e o que acontece com o RPE?"

Encarregado: "Não sei não..."

Supervisor: "Ai, ai, eu sei... especialmente se eu não estiver documentado (listas de checagem preenchidas conforme o procedimento)!"

Instrutor: "Mas olha só, independente do nome ou do jeito de ser das pessoas que é muito difícil de entender, isso aqui é que é importante você entender (apontando para o simulador). Independente do que o procedimento tá dizendo! O que eu quero que você entenda é a situação da planta! Senão eu não precisava estar aqui."

3) Caracterização do problema: A Tabela 5 apresenta o esquema de codificação do MI15.

Thumbnail

4) Discussão pós evento: Aspectos relacionados ao uso de procedimentos foram discutidos após o treinamento. Algumas questões levantadas são apresentadas a seguir.

Instrutor: "Foi fácil?"

Supervisor: "O procedimento abre muito leque, mas deu pra seguir. Mas tem alguns problemas no procedimento."

SCO: "Não diz como... Se tiver que injetar mais água, como é que vai ser? Isso tem que ser enxertado aqui... Ir para o procedimento de parada não contempla (o procedimento de parada possui instruções sobre como adicionar água, mas os operadores teriam que lidar com dois procedimentos ao mesmo tempo)."

Instrutor: "A operação tem que mudar os procedimentos. De outro modo vocês vão ficar eternamente com procedimentos errados!"

SCO: "Mas nós estamos sempre lá dentro (da sala de controle)! Fazer isso quando?"

RO: "Temos mesmo que seguir todos os passos?"

Instrutor: "Encarregado e Supervisor geral (fluxogramas); Encarregado e Operadores detalhado (listas de checagem)."

RO: "É preciso ver o detalhado? Ver o resultado do processo, ou é preciso ver todas as válvulas, etc.?"

RO: "Operação padrão cria outros problemas. Operador procura shortcuts, e cai em problemas legais se não seguir procedimento? Cada bloco numa linha, temos que ir pra frente e pra trás, do fluxograma pro escrito..."

Instrutor: "Não é preciso seguir estritamente a ordem. Podem ser feitas ações simultâneas. Não pode é haver dúvidas com relação à estrutura do procedimento; senão cada um interpreta de um jeito."

RO: "Na hora do problema a coisa pega: por que não seguimos o que está escrito? A coisa pega pro nosso lado."

5) Documentação relevante: Procedimento de emergência do rompimento de tubo do gerador de vapor.

Resumimos a seguir os principais resultados do estudo:

Os operadores de sala de controle resolvem problemas gerados por microincidentes, basicamente a partir de reconhecimento de padrões e de regras condição-ação implícitas;
Os problemas são resolvidos em série à medida que vão emergindo, quando há alguma mudança observável no estado do sistema. Há pouca evidência de geração e comparação de opções; e
As restrições do ambiente (técnicas, sociais, culturais) limitam as opções disponíveis.

6. Discussão

Os procedimentos, de diversos tipos, são a principal fonte de auxílio com que contam os operadores das usinas para realizar as tarefas de operação. Entretanto, os resultados do estudo apontam problemas em relação ao modo de utilização, elaboração e modificação dos procedimentos. Enquanto a estrutura legal adota como um valor seguir procedimentos à risca estabelecendo punições em caso de não cumprimento de procedimentos as restrições técnicas, organizacionais e culturais vão de encontro a este objetivo.

Em nossa primeira hipótese, havíamos observado que a concepção procedural do trabalho dos operadores, baseada em instruções detalhadas, que se supõe sejam seguidas à risca, possui limitações em função da dificuldade dos projetistas dos sistemas de preverem as ações que serão efetivamente necessárias em situações novas e devido às restrições impostas pelo contexto de trabalho. Consideramos que esta questão foi demonstrada a partir dos resultados obtidos. Por exemplo, o procedimento de emergência usado durante o treinamento em simulador manda reduzir a pressão até 80 bar e não considera inteiramente as variabilidades do processo (no caso, o modelo matemático do simulador, mas que poderia ser remetida para variabilidades dos instrumentos de medida da planta), gerando dúvidas, inclusive, quanto à pertinência da instrução e forma de utilização. Quando questionados pelo instrutor sobre o motivo pelo qual estariam seguindo uma instrução às cegas, que estava agravando o acidente, os operadores alegaram questões estruturais/legais, como a obrigatoriedade de seguir os procedimentos à risca.

A segunda hipótese levantada é de que os operadores têm dificuldades para determinar quando os procedimentos que eles, supostamente, devem seguir à risca, não são mais apropriados para lidar com a situação. Diversos microincidentes analisados mostraram situações em que os operadores têm dúvidas a respeito da empregabilidade de alguns requisitos de procedimentos na situação real. No MI relativo ao treinamento em simulador (descrito em detalhes em 3), decidir se a instrução (abaixar pressão até 80 bar) elaborada em outro país pelo fornecedor da usina e dono da tecnologia está ou não correta e deve ou não ser seguida é tarefa que foge ao escopo da equipe de operação, entretanto, caso um acidente deste tipo ocorra, caberá a ela decidir que ação tomar. Em vários momentos, os operadores procuram descobrir se o procedimento de teste considera ou não a situação operacional da planta, para decidir se eles devem ou não segui-lo. Nos MIs relacionados à liberação/suspensão de testes, o Supervisor se deparou com procedimentos de testes, cujos requisitos (realizar testes com o reator subcrítico frio) são incompatíveis com outro procedimento (o planejamento de parada). Por duas vezes ele toma a decisão de não seguir o requisito do procedimento de teste (reator subcrítico frio) e libera os testes conforme o plano de tarefas, os quais tiveram que ser suspensos após pressões dos demais operadores em função de problemas no processo de resfriamento da planta. Ou seja, em função da situação, das metas, das pressões, de seu estado físico e emocional, e,também, face a dificuldades inerentes às postulações e incongruências contidas nos próprios procedimentos, os operadores lançam mão de estratégias cognitivas baseadas em regras condição-ação implícitas, tentativa e erro, analogias, etc. e flexibilizam procedimentos. Estas condições obrigam os operadores a realizar modificações ad hoc em procedimentos (não cumprimento de requisitos escritos) durante a operação, (apesar da evidente ansiedade que este tipo decisão provoca), como no exemplo dos microincidentes de liberação/suspensão de testes.

O uso de estratégias baseadas em analogias ("subir a potência em 5% para ver se pára a oscilação"), ou tentativa e erro (evento operação chave), sem a ajuda necessária para saber se (e quando) os procedimentos poderiam ser modificados, momentaneamente e sem afetar a segurança, para lidar com microincidentes de modo eficiente e seguro, comprovam a terceira hipótese. O maior problema envolvido nesta questão é que sucessos obtidos nestas flexibilizações trazem como conseqüência natural um aumento da confiança neste tipo de estratégia, que tende a ser cada mais utilizada. O aspecto legal que torna a flexibilização de procedimentos proibida, o aspecto estrutural envolvido na necessidade de flexibilização destes mesmos procedimentos, dificultam o compartilhamento e a discussão sobre estas estratégias e afetam o desenvolvimento das características metacognitivas.

Finalmente, a última hipótese colocada, de que em situações novas, nas quais os operadores não podem contar com o suporte de procedimentos escritos, eles mudam o nível de controle cognitivo e passam a trabalhar no nível de conhecimento, não foi inteiramente corroborada em nosso estudo. Apesar dos diversos microincidentes que, embora não sendo situações totalmente novas, emergiram a partir de situações que não eram previstas, em apenas duas ocasiões, decisões no nível de conhecimento, com busca de diferentes opções e demorada reflexão foram tomadas. O fato de que, mesmo em situações de microincidentes (não familiares), a grande maioria das decisões continua sendo baseada em regras só que em regras ad hoc criadas a partir do reconhecimento de um padrão, demonstrou que a inexistência de procedimentos específicos para lidar com uma situação, não acarreta, necessariamente, uma mudança do nível de controle cognitivo: de regras para conhecimento, uma vez que os operadores criam novas regras simples do tipo SE-ENTÃO, para lidar com estas situações, a partir da compreensão sobre a evolução do processo que eles conseguiram construir. Este resultado está relacionado ao fenômeno do custo/risco de perda de controle cognitivo em situações de MIs.

7. Considerações finais

A análise realizada, a partir de estudos de caso baseados na análise de microincidentes, permitiu descrever como os operadores de usinas nucleares lidam com procedimentos durante a operação das usinas. Os resultados obtidos corroboram os resultados empíricos de outros estudos em ergonomia, no setor nuclear e em outros setores industriais, especialmente no que se refere aos aspectos ligados à flexibilização de procedimentos.

Essa necessidade de flexibilização é um fato concernente à complexidade de um sistema sócio-técnico que não pode funcionar baseado apenas em regras e normas estáticas. As estratégias cognitivas usadas para flexibilizar as prescrições são moduladas pelas restrições do ambiente, sejam elas técnicas, organizacionais ou culturais (artefatos, valores adotados e valores básicos ou assumidos). Nossos resultados demonstram que os requisitos de competência necessários para os operadores de usinas nucleares vão muito além de uma adequada formação técnica e da capacidade de seguir instruções escritas. Dentre estes requisitos ressaltamos aqueles relacionados à colaboração com outros agentes além do escopo das instruções escritas, incluindo aspectos como o ajuste temporal entre as tarefas prescritas para os diversos agentes em função da situação, e aspectos ligados à comunicação verbal com outros trabalhadores, como por exemplo, evitar interrupções desnecessárias no trabalho de outros agentes, lidar com a necessidade de interromper alguém, e lidar com uma interrupção em seu próprio trabalho. Isto se torna fundamental, uma vez que as instruções escritas por si só não conseguem resolver a maior parte dos problemas. A comunicação verbal e a interação contínua entre os agentes é que permite a operação da usina.

Os estudos permitiram constatar que o "erro humano", mais especificamente aquele relacionado à violação de procedimentos, não pode ser tratado como uma categoria absoluta, abstraindo-se a racionalidade das ações executadas dentro de um contexto específico. A análise dos microincidentes mostrou que violações de procedimentos ocorrem rotineiramente e, portanto, não podem ser correlacionadas de uma forma direta à ocorrência de acidentes elas estão sempre presentes, havendo ou não acidentes. Neste momento, cabe ressaltar que são os próprios agentes, baseados em suas capacidades metacognitivas (conhecimento sobre a extensão de seu próprio conhecimento, confiança sobre até que ponto podem confiar em si, nos outros, e no sistema, etc.), que avaliam o risco para a segurança de suas violações, de modo que a chave para a confiabilidade humana em organizações que lidam com tecnologias perigosas está na melhoria dessas capacidades.

A pesquisa permitiu ainda identificar alguns fatores que dificultam o uso de procedimentos na organização estudada. Como, por exemplo, a língua inglês na qual os documentos estão escritos; a qualidade e quantidade das ramificações existentes; a apresentação em papel aumenta as dificuldades de navegação entre fluxogramas, no início do caderno, e listas de checagem no final; a necessidade de estar "documentado" (preencher as longas listas de checagem, ver MI15) toma um tempo que, em alguns casos, prejudica as ações; o conflito entre as instruções contidas em diferentes documentos (procedimentos de teste, operacionais, plano de tarefas); e o conflito entre instruções escritas e a situação da planta.

Pudemos ainda levantar algumas questões relativas à divisão do trabalho entre os operadores. Em especial com relação ao Supervisor que precisa, por um lado, está a par do estado da usina, seguindo e checando as ações executadas pelos RO e SCO, autorizando testes e intervenções de manutenção e, por outro lado, precisa lidar com o gerente da usina, considerando a evolução dos processos e mantendo o plano de tarefas atualizado. Além disso, o Supervisor, como responsável último pela operação da usina, precisa manter-se "documentado", garantindo que todos os operadores estejam preenchendo corretamente as listas de checagem.

Em suma, pesquisas como esta realçam uma vez mais a importância de uma dialética de longo prazo entre a pesquisa e a prática da ergonomia: a primeira fazendo o desenvolvimento da segunda, e a segunda fornecendo as questões básicas para análise da primeira, sendo ambas realizadas em conjunto pelos pesquisadores e trabalhadores.

Recebido em 03/5/2004

Aceito em 23/5/2005

AMALBERTI, R. La Conduite de Systèmes à Risques 1 ed. Paris: Presses Universitaires de France - puf ,1996. 242 p.
______. Safety in process control: an operator centered point of view. Reliability Engineering and System Safety, Amsterdam, v. 38, n. 1-2, p. 1-3. 1992.
BESNARD, D.; GREATHEAD, D. A cognitive approach to safe violations. Cognition, Technology and Work, London, n. 5, p. 272282. 2003.
BRESSOLLE, M. C.; et al. Traitement cognitif et organisationnel des micro-incidents dans le domaine du contrôle aérien: analyse des boucles de régulation formelles et informelles. In: G. de Terssac, M. Friedberg (ed.), Coopération et Conception Toulouse: Octarès, 1996, p. 274-298.
CARVALHO, P. V. R.; VIDAL, M. C. R. Ergonomics and reliability of high risk organisations: the nuclear power plant operation under the complexity theory paradigm. In: TRIENNIAL CONGRESS OF THE INTERNATIONAL ERGONOMICS ASSOCIATION - IEA, 15, 2003, Seul. Proceedings... Seul: International Ergonomics Association, 2003.
CARVALHO, P. V. R. A ergonomia e a gestão de risco em organizações que lidam com tecnologias perigosas: tomada de decisão de operadores de usinas nucleares 2003. Tese (Doutorado em Engenharia de Produção), Coordenação dos Programas de Pós-Graduação Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2003.
DE TERSSAC, G.; LEPLAT, J. La Fiabilité et L'ergonomie: Spécificité et Complémentarité. Revue de Psychologie Appliquée, Amsterdam, v. 40, n. 3, p. 377-386. 1990.
DE TERSSAC, G. Autonomie dans le travail 1 ed. Paris: Presses Universitaires de France puf, 1992.
DEKKER, S. Failure to adapt or adaptations that fail: contrasting models on procedures and safety. Applied Ergonomics, Exeter, v. 34, n. 3, p. 233-238. 2003.
DUARTE, F. C. M. A análise ergonômica do trabalho e a determinação de efetivos: estudo da modernização tecnológica de uma refinaria de petróleo no Brasil 1994. Tese (Doutorado em Engenharia de Produção), Coordenação dos Programas de Pós-Graduação Universidade Federal do Rio de Janeiro, Rio de Janeiro, 1994.
COLUMBIA ACCIDENT INVESTIGATION BOARD - CAIB. Relatório volume I Washington, 2003. www.caib.us
FAVERGE, J. L'Homme , agent de fiabilité et d'infiabilité. Ergonomics, Surrey, n. 13, p. 301-327. 1970.
FAVERGE, J. Le travail en tant qu' activitè de récupération. Bulletin de psychologie, Paris, n. 33, p. 203-206. 1980.
FURUTA K. et al. Analysis report. Cognition, Technology and Work, London, n. 2, p. 182-203. 2000.
GIBSON, J. The ecological approach to visual perception 1 ed. Boston, Houghton-Mifflen, 1979. 319 p.
HATCHUEL, A. Apprentissages collectifs et activités de conception. Revue Française de Gestion, Cachan, junago 1994, p. 109-120, 1994.
HIRSHHORN, L. Hierarchy versus bureaucracy: The case of a nuclear reactor. In: K. Roberts (ed.), New Challenges to Understand Organizations New York, Macmillan Publishing Co., 1993, p. 137-151.
HOLLNAGEL, E. Understanding accidents: from root causes to performance variability. In: IEEE Human Factors Meeting, 7, 2002, Scottsdale, 2002. Proceedings ... Scottsdale, 2002.
INSTITUTE OF NUCLEAR POWER OPERATORS INPO. Excelência em Performance Humana Rio de Janeiro: Eletrobrás Termonuclear AS, 1997.
LA PORTE, T.; THOMAS, C. Regulatory Compliance and the Ethos of Quality Enhancement: Surprises in Nuclear Power Plant Operations. Journal of Public Administration Research and Theory, New York, n. 5, p. 109-137, 1995.
NATIONAL TRANSPORTATION SAFETY BOARD NTSB. Aircraft accident report, United Airlines flight 232 McDonnell Douglas DC-10. Sioux Gateway airport. Sioux City, Iowa, 19 July 1989. Washington, DC: NTSB, 1990.
NUCLEAR ENERGY AGENCY-NEA. Nuclear Regulatory Challenges Related to Human Performance Paris: NEA, 2004. (report 5334).
OFFSHORE PETROLEUM INDUSTRY TRAINING ORGANISATION'S-OPITO. Approved Standards for Offshore Installation Managers Montrose: OPITO, 1997.
PAVARD B.; DUGDALE J. The contribution of complexity theory to the study of socio-technical cooperative systems. GRIC-IRIT, Toulouse, 1997 Disponível em: <http://www.irit.fr/COSI/summerschool/>. Acesso em: 05 de 2002.
POYET, C. L'homme agent de fiabilité dans les systemes informatisés. In: G. de Terssac, J. Leplat (ed.), Le fateurs humains de la fiabilité Toulouse, Octares, 1990, p. 223240.
RASMUSSEN, J. Major accident prevention: What is the basic research issue? In: OF THE EUROPEAN SAFETY AND RELIABILITY CONFERENCE - ESREL, 1998, Trondheim. Proceedings ... Trondheim, 1998, p. 739740.
______. Skills, rules and knowledge: signals, signs and symbols, and other distinctions in human performance models. IEEE Transactions on Systems, Man and Cybernetics, New York, n. 13, p. 257-266. 1983.
RASMUSSEN, J.; JENSEN, A. Mental procedures in real-life tasks: A case of electronic trouble shooting. Ergonomics, Surrey, n. 17, p. 293-307. 1974.
RASMUSSEN, J.; GOODSTEIN, L. P.; PEJTERSEN, A. M. Cognitive System Engineering 1 ed. New York, John Wiley & Sons, 1994. 365 p.
REASON, J. Human error 1.ed. Cambridge, Cambridge University Press, 1990. 299 p.
SCHEIN, E. Corporate Culture Survival Guide 1 ed. San Francisco, Jossey-Bass Inc, 1999. 199 p.
VAUGHAN, D. The Challenger Launch Decision 1 ed. Chicago, The University of Chicago press, 1996, 560 p.
______. The Trickle-down Effect: Policy Decision, Risky Work and the Challenger Tragedy. California Management Review, Berkeley, n. 39, p. 80-101. 1997.
VICENTE, K. A Field Study of Operator Cognitive Monitoring at Pickering Nuclear Generating Station Toronto: University of Toronto, Cognitive Engineering Laboratory - CEL, 1995. (Technical Report CEL 9504).
______. Cognitive Work Analysis 1 ed. London, Lawrence Erlbaum Associates, 1999. 392 p.
VICENTE K., RASMUSSEN J. Ecological Interface Design: Theoretical Framework. IEEE Transactions on systems, Man, and Cybernetics, New York, n. 22, p. 589-606. 1992.
VIDAL, M. C. R. A Evolução Conceitual da Noção de Causa de Acidentes do Trabalho. In: ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO-ENEGEP, 4, Piracicaba, 1984. Anais ... Piracicaba: ABEPRO, 1984.
WOODS, D. The Alarm Problem and Direct Attention in Dynamic Fault Management. Ergonomics, Surrey, n. 38, p. 2371-2393. 1995.
WOODS, D.; COOK, R. Nine Steps to Move Forward from Error. Cognition, Technology and Work, London, n. 4, p. 137-144. 2002.

Datas de Publicação

Publicação nesta coleção
25 Out 2005
Data do Fascículo
Ago 2005

Histórico

Aceito
23 Maio 2005
Recebido
03 Maio 2004

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

[1] AMALBERTI, R. La Conduite de Systèmes à Risques 1 ed. Paris: Presses Universitaires de France - puf ,1996. 242 p.

[2] ______. Safety in process control: an operator centered point of view. Reliability Engineering and System Safety, Amsterdam, v. 38, n. 1-2, p. 1-3. 1992.

[3] BESNARD, D.; GREATHEAD, D. A cognitive approach to safe violations. Cognition, Technology and Work, London, n. 5, p. 272282. 2003.

[4] BRESSOLLE, M. C.; et al. Traitement cognitif et organisationnel des micro-incidents dans le domaine du contrôle aérien: analyse des boucles de régulation formelles et informelles. In: G. de Terssac, M. Friedberg (ed.), Coopération et Conception Toulouse: Octarès, 1996, p. 274-298.

[5] CARVALHO, P. V. R.; VIDAL, M. C. R. Ergonomics and reliability of high risk organisations: the nuclear power plant operation under the complexity theory paradigm. In: TRIENNIAL CONGRESS OF THE INTERNATIONAL ERGONOMICS ASSOCIATION - IEA, 15, 2003, Seul. Proceedings... Seul: International Ergonomics Association, 2003.

[6] CARVALHO, P. V. R. A ergonomia e a gestão de risco em organizações que lidam com tecnologias perigosas: tomada de decisão de operadores de usinas nucleares 2003. Tese (Doutorado em Engenharia de Produção), Coordenação dos Programas de Pós-Graduação Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2003.

[7] DE TERSSAC, G.; LEPLAT, J. La Fiabilité et L'ergonomie: Spécificité et Complémentarité. Revue de Psychologie Appliquée, Amsterdam, v. 40, n. 3, p. 377-386. 1990.

[8] DE TERSSAC, G. Autonomie dans le travail 1 ed. Paris: Presses Universitaires de France puf, 1992.

[9] DEKKER, S. Failure to adapt or adaptations that fail: contrasting models on procedures and safety. Applied Ergonomics, Exeter, v. 34, n. 3, p. 233-238. 2003.

[10] DUARTE, F. C. M. A análise ergonômica do trabalho e a determinação de efetivos: estudo da modernização tecnológica de uma refinaria de petróleo no Brasil 1994. Tese (Doutorado em Engenharia de Produção), Coordenação dos Programas de Pós-Graduação Universidade Federal do Rio de Janeiro, Rio de Janeiro, 1994.

[11] COLUMBIA ACCIDENT INVESTIGATION BOARD - CAIB. Relatório volume I Washington, 2003. www.caib.us

[12] FAVERGE, J. L'Homme , agent de fiabilité et d'infiabilité. Ergonomics, Surrey, n. 13, p. 301-327. 1970.

[13] FAVERGE, J. Le travail en tant qu' activitè de récupération. Bulletin de psychologie, Paris, n. 33, p. 203-206. 1980.

[14] FURUTA K. et al. Analysis report. Cognition, Technology and Work, London, n. 2, p. 182-203. 2000.

[15] GIBSON, J. The ecological approach to visual perception 1 ed. Boston, Houghton-Mifflen, 1979. 319 p.

[16] HATCHUEL, A. Apprentissages collectifs et activités de conception. Revue Française de Gestion, Cachan, junago 1994, p. 109-120, 1994.

[17] HIRSHHORN, L. Hierarchy versus bureaucracy: The case of a nuclear reactor. In: K. Roberts (ed.), New Challenges to Understand Organizations New York, Macmillan Publishing Co., 1993, p. 137-151.

[18] HOLLNAGEL, E. Understanding accidents: from root causes to performance variability. In: IEEE Human Factors Meeting, 7, 2002, Scottsdale, 2002. Proceedings ... Scottsdale, 2002.

[19] INSTITUTE OF NUCLEAR POWER OPERATORS INPO. Excelência em Performance Humana Rio de Janeiro: Eletrobrás Termonuclear AS, 1997.

[20] LA PORTE, T.; THOMAS, C. Regulatory Compliance and the Ethos of Quality Enhancement: Surprises in Nuclear Power Plant Operations. Journal of Public Administration Research and Theory, New York, n. 5, p. 109-137, 1995.

[21] NATIONAL TRANSPORTATION SAFETY BOARD NTSB. Aircraft accident report, United Airlines flight 232 McDonnell Douglas DC-10. Sioux Gateway airport. Sioux City, Iowa, 19 July 1989. Washington, DC: NTSB, 1990.

[22] NUCLEAR ENERGY AGENCY-NEA. Nuclear Regulatory Challenges Related to Human Performance Paris: NEA, 2004. (report 5334).

[23] OFFSHORE PETROLEUM INDUSTRY TRAINING ORGANISATION'S-OPITO. Approved Standards for Offshore Installation Managers Montrose: OPITO, 1997.

[24] PAVARD B.; DUGDALE J. The contribution of complexity theory to the study of socio-technical cooperative systems. GRIC-IRIT, Toulouse, 1997 Disponível em: <http://www.irit.fr/COSI/summerschool/>. Acesso em: 05 de 2002.

[25] POYET, C. L'homme agent de fiabilité dans les systemes informatisés. In: G. de Terssac, J. Leplat (ed.), Le fateurs humains de la fiabilité Toulouse, Octares, 1990, p. 223240.

[26] RASMUSSEN, J. Major accident prevention: What is the basic research issue? In: OF THE EUROPEAN SAFETY AND RELIABILITY CONFERENCE - ESREL, 1998, Trondheim. Proceedings ... Trondheim, 1998, p. 739740.

[27] ______. Skills, rules and knowledge: signals, signs and symbols, and other distinctions in human performance models. IEEE Transactions on Systems, Man and Cybernetics, New York, n. 13, p. 257-266. 1983.

[28] RASMUSSEN, J.; JENSEN, A. Mental procedures in real-life tasks: A case of electronic trouble shooting. Ergonomics, Surrey, n. 17, p. 293-307. 1974.

[29] RASMUSSEN, J.; GOODSTEIN, L. P.; PEJTERSEN, A. M. Cognitive System Engineering 1 ed. New York, John Wiley & Sons, 1994. 365 p.

[30] REASON, J. Human error 1.ed. Cambridge, Cambridge University Press, 1990. 299 p.

[31] SCHEIN, E. Corporate Culture Survival Guide 1 ed. San Francisco, Jossey-Bass Inc, 1999. 199 p.

[32] VAUGHAN, D. The Challenger Launch Decision 1 ed. Chicago, The University of Chicago press, 1996, 560 p.

[33] ______. The Trickle-down Effect: Policy Decision, Risky Work and the Challenger Tragedy. California Management Review, Berkeley, n. 39, p. 80-101. 1997.

[34] VICENTE, K. A Field Study of Operator Cognitive Monitoring at Pickering Nuclear Generating Station Toronto: University of Toronto, Cognitive Engineering Laboratory - CEL, 1995. (Technical Report CEL 9504).

[35] ______. Cognitive Work Analysis 1 ed. London, Lawrence Erlbaum Associates, 1999. 392 p.

[36] VICENTE K., RASMUSSEN J. Ecological Interface Design: Theoretical Framework. IEEE Transactions on systems, Man, and Cybernetics, New York, n. 22, p. 589-606. 1992.

[37] VIDAL, M. C. R. A Evolução Conceitual da Noção de Causa de Acidentes do Trabalho. In: ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO-ENEGEP, 4, Piracicaba, 1984. Anais ... Piracicaba: ABEPRO, 1984.

[38] WOODS, D. The Alarm Problem and Direct Attention in Dynamic Fault Management. Ergonomics, Surrey, n. 38, p. 2371-2393. 1995.

[39] WOODS, D.; COOK, R. Nine Steps to Move Forward from Error. Cognition, Technology and Work, London, n. 4, p. 137-144. 2002.