NTP 619: Fiabilidad humana: evaluacin simplificada del error humano (I)

Fiabilit humaine: valuation simplifie de I"erreur humaine Human reliability: human error simplified assessment Vigencia Vlida ANLISIS Criterios legales Derogados: Redactor: Josep Faig Sureda Ingeniero Industrial Tcnico Superior en Prevencin de riesgos laborales CONSULTOR EMPRESARIAL Este documento presenta una propuesta metodolgica basada en los conocimientos y experiencias de su autor como responsable del departamento de Anlisis Probabilstico de Riesgos de la Asociacin Nuclear de Asc desde 1986 a 2001, con la finalidad de penetrar con rigor cientfico pero de manera simplificada en la metodologa y cuantificacin del error humano en el desarrollo de los anlisis probabilsticos de riesgos. Esta Nota tcnica se complementa con las dos siguientes en las que se presenta una metodologa ms detallada para la estimacin de probabilidades de actuaciones en funcin de sus caractersticas y una serie de tablas para la estimacin de datos probabilsticos. Vigentes: Desfasados: Criterios tcnicos Operativos: S Actualizada por NTP Observaciones

Introduccin
Est reconocido ampliamente que el error humano tiene gran impacto en la fiabilidad de sistemas complejos. Los accidentes de Three Mile Island y Chernobyl, mostraron claramente que los errores humanos pueden hacer fallar las salvaguardias y son un factor determinante en la progresin de accidentes de graves consecuencias. En la aviacin, un 70 % de los accidentes son causados por actuaciones indebidas. En general, la contribucin del factor humano al comportamiento de un sistema es, al menos, tan importante como la fiabilidad de los componentes. Para obtener una medida correcta de la fiabilidad del sistema debe tenerse en cuenta la posible contribucin del error humano. Los anlisis de diseo de sistemas, de procedimientos e informes posteriores de accidentes, muestran que el error humano puede causar un accidente inmediato o bien puede jugar un importante papel en el desarrollo de sucesos indeseados. Sin la incorporacin de las probabilidades del error humano, los resultados son incompletos y a menudo mal valorados. Para la estimacin de la probabilidad del error humano, debe entenderse el comportamiento humano y las variables que lo determinan. La modelizacin del error humano es compleja, de forma tal que las suposiciones, mecanismos, y aproximaciones que se utilicen para el modelo de comportamiento no podr ser utilizado para todos los modelos de comportamiento de actividades humanas. Los modelos utilizados tienen distintas limitaciones, principalmente debidas a lo siguiente: a. El comportamiento humano es un tema complejo que no puede ser descrito como un simple componente. El comportamiento humano puede estar afectado por diversos factores, como son los sociales, ambientales, psicolgicos, y factores fsicos diversos, difciles de modelar y cuantificar. b. Las acciones humanas no pueden ser consideradas para tener estados de fallo/xito binario, como en el caso de fallos de componentes. Por otra parte, no pueden ser analizados por el anlisis de fiabilidad humana (AFH) toda la gama de interacciones humanas. c. El mayor problema de los AFH est en la carencia de datos de comportamiento humano. El error humano puede darse tanto en la fase del diseo como del suministro, construccin y operacin de un sistema complejo. Algunos problemas importantes se manifiestan en la fabricacin, en la construccin, puesta en marcha o incluso en la operacin. Los programas de verificacin de garanta de calidad, se implementan cara a la reduccin de este tipo de errores. Esta Nota trata de la fiabilidad humana durante la operacin del sistema, en que se realizan actividades de mantenimiento, supervisin y operacin de los sistemas complejos.

Proceso del anlisis de fiabilidad humana

La metodologa que se propone en esta Nota Tcnica est basada en el mtodo de evaluacin de fiabilidad humana llamado SHARP (Systematic Human Action Reliability Procedure), de Hannaman y Spurgin (1984). El SHARP define siete pasos para llevar a cabo el anlisis de fiabilidad humana. Cada una de estas actividades consta de inputs, anlisis, reglas y resultados. Los inputs se derivan de las tareas preliminares del anlisis de fiabilidad de sistemas y otras fuentes de informacin, como son procedimientos e informes de incidentes. Las reglas dan instrucciones de cmo actuar para cada actividad. Los resultados son el producto de las actividades realizadas. Las siete actividades, son: 1. Definicin: Determinacin de la clase de errores humanos a modelar, para asegurar que todas las interacciones humanas que se se puedan originar estn contempladas. 2. Seleccin: Identificar las acciones humanas que son significativas para el anlisis de fiabilidad que se est realizando. 3. Anlisis cualitativo: Desarrollo de una descripcin detallada de las acciones humanas importantes. 4. Representacin: Seleccin y aplicacin de tcnicas para la modelizacin de las acciones humanas a travs de una estructura lgica de modelizacin. Ej.: rboles de fallo, rboles de sucesos, diagramas de bloques de fiabilidad, etc. 5. Evaluacin del Impacto: Analizar las acciones humanas significativas, desarrolladas y representadas en las actividades anteriores. 6. Cuantificacin: Donde se aplican las tcnicas apropiadas para el anlisis cuantitativo de cada accin humana. Desarrollo del modelo apropiado y clculo de la probabilidad. 7. Documentacin: Incluye la informacin necesaria para una buena documentacin y su traceabilidad. En la figura 1 pueden verse los diferentes pasos y sus interacciones. Cabe decir que alguna de las actividades requerir su reevaluacin a lo largo del anlisis de fiabilidad que se est realizando. A continuacin se dan ms detalles de los pasos antes indicados, proponindose un mtodo para la realizacin de los mismos.

Figura 1. Procedimiento de Anlisis de Fiabilidad Humana.

Procedimiento analtico
Paso 1: Definicin
El objetivo del Paso 1 es identificar y asegurar que todas las acciones humanas importantes se han incluido en el anlisis. Cualquier accin humana que pueda tener un impacto en la fiabilidad humana debe ser identificada cara a la garanta de realizacin de un anlisis completo. Las acciones humanas, se clasifican como sigue:
q

Tipo 1: Acciones relacionadas con pruebas, mantenimiento, calibraciones y realineamientos anteriores a generarse el incidente/ accidente. Tipo 2: Acciones humanas que, a partir de un error, generan un comportamiento anmalo del sistema, fuera de las condiciones normales de operacin, normalmente llamado incidente/accidente.

Tipo 3: Acciones que, de acuerdo a un procedimiento, un operador puede operar sistemas (o subsistemas), cara a la recuperacin de las condiciones normales del sistema. Tipo 4: A partir de acciones incorrectas del operador tras un incidente, el operador empeora la situacin o complica el comportamiento del sistema. Tipo 5: Durante la secuencia de un incidente, son aquellas acciones del operador, no procedimentadas, pero que por su conocimiento o experiencia puede recuperar un equipo inicialmente fallado.

Las acciones Tipo 1 normalmente afectan a equipos/ componentes; por este motivo debe analizarse detenidamente el modelo de fiabilidad del sistema/s para obtener as todas las interacciones humanas posibles. Las actividades Tipo 3 y 4 son bsicamente acciones de operacin que pueden considerarse a nivel de sistema. Las acciones tipo 5 son acciones de recuperacin, que pueden afectar tanto a nivel de sistema como de componente. Las acciones Tipo 2 no requieren, normalmente, que sean implementadas en el modelo dado que van implcitas como contribuyentes a las causas de comportamiento anmalo del sistema o iniciador. Las acciones Tipo 4 no requieren anlisis cuando se disponga de procedimientos o instrucciones de operacin claras y que cubran el accidente, de forma tal que deriven de forma rpida a un control de la situacin o bien deriven a unas condiciones cubiertas en otro procedimiento de mismo tipo, tambin claro y preciso. Los resultados de esta tarea deben ser la base para revisar y enriquecer los modelos de fiabilidad del sistema/s, tales como rboles de fallos o de sucesos, para implementar las interacciones humanas.

Paso 2: Seleccin
El objetivo es seleccionar, de entre las acciones humanas identificadas en el Paso 1, aquellas importantes para la seguridad del sistema. Este paso se realizar en dos fases, cualitativamente al principio del anlisis (durante el desarrollo de los rboles fallos/ sucesos) y cuantitativamente posteriormente. La regla para la determinacin cuantitativa ser la de realizar una cuantificacin con valores preliminares o genricos. Los valores genricos a utilizar se muestran en la tabla 1 para acciones Tipo 1 y tabla 2 para acciones Tipo 3 y Tipo 5. Tras la cuantificacin inicial del modelo se realizar un anlisis detallado de los resultados. Cara a un anlisis ms detallado, si se desease, se seleccionarn aquellas acciones humanas que aparezcan en los conjuntos mnimo de fallos con una contribucin del 1 % o ms. Estas son las acciones que se analizarn con detalle de acuerdo a los pasos siguientes. TABLA 1. Valores genricos para la seleccin de acciones humanas Tipo 1. TIPO 1 CALIBRACIN PRUEBAS MANTENIMIENTOS REALINEAMIENTOS OPERATIVOS FACTOR DE ERROR

RUTINA

a)

REGLASb) 3 10-2 2 10-2 1 10-2 3 10-2 5

CONOCIMIENTOc) 5 10-2 1 10-1 5

3 10-3 2 10-3 1 10-3 3 10-3 3

Los valores indicados representan medianas de distribucin log-normal a. Rutina. Se dice cuando siguiendo un procedimiento de mantenimiento, operacin, pruebas se requiere un cambio de posicin. En los casos de mantenimiento/pruebas pueden requerir un descargo. El componente que se cambia de posicin pertenece al sistema tren o lazo al que pertenece el componente. b. Reglas. Son aquellas pruebas, mantenimientos, realineamientos o calibraciones que no cumplen con alguna de las condiciones anteriores. c. Conocimiento. Son aquellos mantenimientos o realineamientos operativos que afectan a un componente dado, no habituales o que pueden requerir descargos complejos o que pueden estar no procedimentados. En principio no se considera la posibilidad de calibraciones y pruebas basadas en el CONOCIMIENTO.

TABLA 2. Valores genricos para la seleccin de acciones humanas Tipos 3 y 5. TIEMPO PARTE MANUAL
a)

DESTREZA 3 10-3

b) e)

REGLAS 3. 10-2

c) f)

CONOCIMIENTO 7, 3. 10-1

d) g)

PARTE COGNOSCITIVA: Muy corto (menos de 5 minutos) 1 Corto (entre 5 minutos y 1 hora) 1 10-1 Largo 3. FACTOR ERROR Global 5 Los valores indicados representan medianas de distribucin log-normal a. Se trata del tiempo disponible para la accin (tiempo lmite menos tiempo necesario para los sntomas y menos tiempo necesario para la actuacin manual o ejecucin de la accin). b. Destreza (Parte Manual). Cuando deben realizarse actuaciones sobre controles, cuya posicin y tipo de actuacin se conocen sin ambigedad y es directa. c. Reglas (Parte Manual). Debe actuarse sobre diversos controles ylo pulsadores no habituales de acuerdo a una sistemtica predefinida. d. Conocimiento (Parte Manual). Un tipo de comportamiento est basado en el conocimiento, si no aplica ninguno de los comportamientos anteriores ylo es preciso la realizacin de maniobras complejas. e. Destreza (Parte Cognoscitiva). Un tipo de comportamiento se dice basado en la destreza si el grupo de operacin est bien entrenado, motivado a realizar la tarea y tiene experiencia en la realizacin de la misma sin ambigedad, requiriendo la accin una actuacin directa. f. Reglas (Parte Cognoscitiva). Cuando existen un conjunto de normas entendidas claramente, al objeto de responder a una situacin definida, requiriendo la accin una actuacin en base a parmetros directos. g. Conocimiento (Parte Cognoscitiva). Si no aplica ninguno de los comportamientos anteriores y/o el operador debe deducir las condiciones de la planta y realizar tareas complejas, requiriendo la accin una actuacin en base a parmetros indirectos. 10-4 5 5 3 10-3 1 10-2 10-1 3 10-2 3 10-1 5 10-1 1

Paso 3: Anlisis cualitativo

Para la incorporacin de los errores humanos en los modelos, el analista necesita informacin adicional sobre las interacciones identificadas en los pasos anteriores cara a la representacin y cuantificacin de estas acciones humanas. Los dos objetivos de este paso, son: a) Postular los conocimientos del operador y que tipo de acciones puede realizar en una determinada situacin; b) Postular como el comportamiento de un operador puede ser modificado por una disfuncin del sistema. El proceso puede llevarse a cabo siguiendo los pasos: 1. Recoleccin de informacin. 2. Prediccin del comportamiento del operador y de los errores posibles. 3. Validacin de las predicciones. 4. Representacin de la accin original en la forma apropiada para la funcin requerida, normalmente requerir un desglose en una serie de subacciones. El desarrollo del anlisis cualitativo de la accin, requerir por tanto para cada accin humana, el conocimiento de una serie de caractersticas, como son:
q

Caractersticas de la tarea a realizar: Conocimiento requerido, complejidad, calidad de la interfase hombre-mquina, calidad del procedimiento a seguir, disponibilidad de tiempo para la accin, asignacin del personal, sealizaciones de alarma, medios de comunicacin. Caractersticas individuales: Nivel de entrenamiento del operador a la accin especfica, experiencia en la situacin especfica que se evalua. Caractersticas ambientales: Gradiente de distorsin ambiental (ej: frecuencia de distracciones, interrupciones, personal interferiendo) y ambiente fsico (ej: calor, ruido, vibracin,etc.).

Factores psicosociales-tcnicos: Organizacin de los turnos, clima organizacional,etc. Factores de recuperacin: Medios y disponibilidad de tiempo para la posible recuperacin (medios como son: redundancia de personas, medios alternativos para la ejecucin de la tarea, sistemas/componentes que se podran utilizar en vez del sistema/ componente fallado, alarmas, impacto del error en parmetros importantes, etc.). Consecuencia de los errores.

A continuacin se dan unas premisas procedimentales, cara a la obtencin de la informacin necesaria. Esto se aplicara a las acciones Tipo 3, 4 y 5:
q

Revisin de los procedimientos aplicables en caso de incidencias (de emergencia), en especial lo relacionado a acciones humanas posibles. Consideraciones tcnicas y ergonmicas. Verificacin de la adecuacidad de los procedimientos y de la planta para llevarlos acabo en caso necesario. Informacin sobre programas y tipo de entrenamiento, en especial si se realizan en simulador o en condiciones parecidas a las reales, as como exmenes, etc. cara a evaluar la habilidad del personal. Entrevistas con el personal de operacin y profesores de formacin pueden se tiles. Anlisis de disposicin de la sala de control, verificacin de situacin de los rganos de mando/controles, indicadores, etc. Verificacin de la dificultad de las tareas relacionadas con las acciones humanas a estudiar, verificacin de tiempos disponibles, y tiempos necesarios en funcin disposicin de manetas, controles, equipos,etc. La realizacin de fotografas de aspectos remarcables de los paneles y de componentes locales pueden ser interesantes cara al anlisis posterior. Referente a actividades en la sala de control, puede ser interesante la verificacin de ejercicios en simulador. Determinacin de los tiempos disponibles para las acciones y recuperaciones. En ciertos procesos estos tiempos pueden estimarse de forma fcil, en otros sern necesarios clculos manuales o incluso anlisis termohidrulicos.

Paso 4: Representacin
Para la inclusin de los resultados del anlisis de fiabilidad humana en los modelos de anlisis de sistemas, los modos de fallo humano requieren una representacin de las acciones, de forma tal que reflejen adecuadamente como pueden afectar a la operacin del sistema. Para las acciones Tipo 1 la forma en que debe llevarse a cabo el desarrollo de la representacin se describe claramente en el NUREG/ CR-1278. Ver NTP-620. Para las acciones Tipo 3, 4 y 5 este proceso se basa en el EPRI NP-3583 e incluye el desarrollo de rboles del operador (OAT) para representar el rango de posibles fallos. Este tipo de rboles requiere una alta interrelacin y conocimiento del modelo en desarrollo del sistema, particularmente en aquellos casos en que el tiempo para llevar a cabo las acciones requeridas y los procedimientos tienen una notable influencia sobre la complejidad del desarrollo de la accin original. Ver NTP-620.

Paso 5: Evaluacin del impacto

Algunas acciones humanas pueden introducir nuevos impactos en la respuesta del sistema. Las acciones del paso anterior deben revisarse con el objeto de verificar que la representacin no afecta a ningn suceso ms en el modelo, entonces la representacin se considerar satisfactoria y se continuar con la etapa de cuantificacin. Si la representacin realizada muestra dependencias entre acciones y/o otros sistemas modelados, (esto puede ocurrir especialmente en los rboles de sucesos), deber analizarse la conveniencia de revisar la representacin, as como ver si tambin el modelo del sistema debe revisarse para tener en cuenta estas dependencias.

Paso 6: Cuantificacin
El propsito de este paso es que para todas aquellas acciones a las que se le halla requerido un anlisis detallado, establecer el valor de la probabilidad de fallo para cada accin humana. Para ello se aplicar el modelo y los datos ms apropiados segn se describen en el apartado siguiente. A continuacin se dan unas indicaciones sobre datos y el modelo a seguir: 1. Para los errores humanos Tipo 1, se aplicar la metodologa de acuerdo el THERP (NUREG CR/1278). Ver instrucciones de la NTP-620. 2. Para tareas tipo 3, 4 y 5, la cuantificacin de los errores humanos se realizarn mediante el modelo TRC (NUREG/CR-3010), para la parte cognoscitiva y THERP para la manual. Ver tambin la NTP-620. 3. En situaciones ocasionales, para acciones fuera del mbito de aplicacin de los modelos mencionados, se utilizarn datos, estimaciones de expertos, o la comparacin con anlisis anteriores. 4. Para situaciones donde estn envuelta mltiples tareas, el THERP da unas instrucciones para la consideracin de sucesivas acciones humanas dependientes. Ver NTP-620.

Paso 7: Documentacin
Se trata de documentar adecuadamente los pasos realizados de forma que se asegure la traceabilidad de las hiptesis, datos, referencias utilizadas, modelo seleccionado y su representacin, as como criterios de eliminacin acciones no importantes, resultados y todos los aspectos destacables de anlisis de fiabilidad humana.

Bibliografa
(1) NUREG CR/ 1278. Handbook of Human Reliability Analysis with Emphasis on NPP"s Applications A.D. Swain, H.E. Guttmann, 1983. (2) EPRI NP-3583. Systematic Human Action Reliability Procedure (SHARP), 1984. (3) What every engineer should Know about Reliability and Risk Analysis. M. Modarres. 1993. (4) Human Reliability Analysis in Probabilistic Safety Assesment for NPP's. Safety Series, N 50-P-10. IAEA, Viena. (5) IAEA-TECDOC-592. Case study on the use of PSA Methods: Human Reliability Analysis, April 1991. (6) NUREG CR/3010. Post Event Human Decision Errors: Operator Action Tree/Time Reliability Correlation, Noviembre 1982. (7) IAEA/CSN/CIEMAT. Regional Workshop on Harmonization of PSA Policies. Human Reliability Anlisis. M.A.Garca. Mayo 2001. (8) INSTITUTO NACIONAL DE SEGURIDAD E HIGIENE EN EL TRABAJO Fiabilidad Humana: mtodos cuantificacin, juicio de expertos. Nota Tcnica de Prevencin n 401. INSHT (9) NUREG CR/ 6093. An analysis of Operational Experience During Low Power and Shutdown and a Plant for addressing Human Reliability Assessment Issues. S. Cooper, G. Parry, J. Forester y otros. 1995. Advertencia INSHT