AMPLIANDO LA BÚSQUEDA DE CAUSAS DE ACCIDENTES. UN MARCO TEÓRICO.
James
Reason.
En "Beyond Aviation Human Factors."
Ashgate. 1995.
¿ERRORES COLECTIVOS O INDIVIDUALES?
Este tema tiene una cantidad de dimensiones relacionadas. La primera es de
índole moral, referida a la culpa, responsabilidad o carga legal. La
segunda es científica, tiene que ver con la causa y efecto en una
secuencia accidental de eventos. La tercera es enteramente práctica, y
tiene que ver con los aspectos que, colectivos o individuales, llevan a
contramedidas más eficientes.
La dimensión moral:
Desde una perspectiva legal o moral, hay mucho que ganar al buscar un
individuo responsable en vez de hacer una aproximación colectiva a las
causas del accidente. Las razones son las siguientes:
· Es mucho más fácil señalar la responsabilidad legal por un accidente
vinculado a los errores o violaciones de aquellos directamente en control
de las operaciones en el momento del mismo. La conexión entre las acciones
de ellos y el evento es mucho más fácilmente demostrable que la conexión
con decisiones gerenciales tomadas tiempo atrás. Esto fue claramente
demostrado en el juicio por el hundimiento del Herald
of Free Enterprise.
· Se facilita aún más por el hecho de que los profesionales tales como
capitanes, comandantes, CTA etc., aceptan dicha responsabilidad. A ellos
se les da autoridad, poder y prestigio acorde a la tarea, y se hacen cargo
del problema. Tradicionalmente la culpa termina en ellos.
· La mayoría de las personas enfatizan la libre autodeterminación o libre
albedrío. Del mismo modo se lo imputamos a otros y se asume que si eligió
tal curso de acción en vez de uno más seguro es el responsable. En otras
palabras, tendemos a percibir los errores de los otros como teniendo un
elemento intencional, particularmente cuando por su entrenamiento
"deberían saberlo".
· Tendemos a pensar que resultados catastróficos son el resultado de
acciones del mismo tipo. En realidad la magnitud del desastre está
determinada más por los factores situacionales que por al extensión del
error. Muchos accidentes graves han ocurrido a partir de la concatenación
de pequeños factores en diferentes partes del sistema (por ejemplo
Tenerife).
· Finalmente, es innegable que existe una mayor satisfacción cuando se
tiene alguien a quien inculpar (más bien que a algo) cuando algo sale mal.
Muy pocos de nosotros somos resistentes a la tentación de adjudicar
nuestros errores a algún chivo expiatorio. Y en el caso de instituciones,
hay también razones económicas por las cuales adjudicarle la culpa a
alguien en particular que a toda la organización.
La dimensión científica:
¿Debería uno terminar con la investigación una vez identificado la falla
humana inmediata o es más científicamente apropiado rastrear las raíces
organizacionales?
La respuesta parece obvia. En el sentido de adquirir una mejor y más
acertada representación del estado de cosas, es mejor encontrar todos los
factores sistémicos responsables del accidente. Pero, no es tan simple.
Examinemos algunos de los problemas:
· ¿Porqué deberíamos detenernos en las raíces
de la organización en vez de
seguir hasta el Big Bang?
Es una arbitrariedad cortar el análisis en la
propia organización.
· Hay un truco para salir de este galimatías, pero es más práctico que
científico. Al buscar las causas de un accidente, debemos ir tan lejos
como podamos para identificar las causas, y en caso de poder corregirlas,
mejorar la seguridad y resistencia del sistema para enfrentar desafíos
subsiguientes.
Las personas mejor ubicadas para este análisis están en las propias
organizaciones por eso es apropiado parar el análisis en los limites de
las mismas.
Sin embargo, esos límites a veces son difusos porque las
organizaciones se interrelacionan entre sí.
· Quizás el problema científico más serio, sin embargo, tiene que ver con
la peculiar naturaleza de los accidentes y con la forma en que ellos
cambian nuestra percepción de los eventos precedentes. En retrospectiva,
un accidente parece ser el punto de convergencia de una cantidad de
factores encadenados. Mirando esta cadena de factores causales, nuestra
percepción está coloreada por el conocimiento previo de que han conducido
a un accidente. Como consecuencia, esos factores adquieren una
significación siniestra. Pero si freezamos
cualquier sistema en cualquier
momento sin que haya ocurrido un accidente, podremos ver imperfecciones
muy similares, fallas latentes y problemas técnicos. Ningún sistema es
perfecto. Lo único que les da a estas debilidades del sistema una
significación causal es que en unos pocos eventos intensamente
investigados, han aparecido en la cadena de eventos. ¿Si estos factores
latentes siempre existen, no deberíamos limitarnos a los actores finales
causantes del desastre? Ya que después de todo nadie niega que sus errores
o violaciones desencadenaron el evento.
La dimensión correctiva:
En el frente legal hay mucho de esta aproximación individualista. El tema
científico no está resuelto aún. Luego ¿Dónde estamos parados en la
cuestión de la prevención de accidentes? La respuesta depende de dos
factores cruciales:
1. Si se pueden, o no, detectar factores organizacionales y manageriales
que pueden ser identificados y corregidos, y
2. El grado en que esas intervenciones pueden mejorar la resistencia
natural del sistema a los factores productores de accidentes.
Introducción al marco teórico:
Recientes estudios de la injerencia de los factores humanos en las causas
de accidentes revelan que se ha incrementado desde los 60 hasta los 90 de
un 20% a un 80%. El estudio también revela que no se refiere sólo al
personal que está en la "línea de fuego" del control de los
sistemas
operativos.
Los accidentes estudiados implican también a la organización en su
totalidad y muchas veces con fallas que precedieron al evento en varios
años.
El desafío ahora es construir el marco teórico para interpretar los
accidentes ocurridos y prevenir nuevos, en el seno de los sistemas
socio-técnicos.
El primer peldaño:
La primera pregunta para hacerse es, ¿qué es lo que tienen en común todas
esas organizaciones tecnológicas bien defendidas?
Un primer paso es la figura siguiente:
Figura 1.1.
(omitida por la dificultad en el escaneo)
... ... ...
Todas las tecnologías complejas trabajando en condiciones peligrosas
tienen los siguientes elementos: procesos organizacionales y sus
respectivas culturas asociadas, una variedad de diferentes lugares de
trabajo que incluyen condiciones laborales propias, y, defensas, barreras
y salvaguardias, diseñadas para proteger a la gente, la propiedad y el
entorno de los posibles peligros locales. Cada uno de estos elementos se
verá en detalle.
Procesos organizacionales
Aunque todas las org. existen dentro de un contexto
económico, político y
legislativo, es sensato confinar los elementos teóricos básicos a aquellos
sobre los cuales la org. puede operar o tiene
control directo.
Otra razón es la ofrecida por Vaughan (1990) en
el análisis del accidente
del Challenger, donde muestra los límites
organizacionales:
"Todas las organizaciones tienen, en grados diversos, límites
autoimpuestos. Desde la estructura física
reforzada por normas que
protegen la privasidad y la aísla de otras
organizaciones y del entorno.
La naturaleza de las transacciones también los aísla y protege de extraños
dejando salir sólo pequeños trozos de información de manera compleja y
difícil de monitorear. De modo que aunque las organizaciones se asocian a
otras, retienen elementos de autonomía que enmascaran la conducta
organizacional".
También se usa con frecuencia la expresión CULTURA ORGANIZACIONAL que la
han definido así:
"La cultura de una organización puede ser definida como un conjunto de
valores, creencias, normas y presunciones fundamentales, raramente
articuladas y principalmente inconscientes, que la propia organización
crea de sí misma, de su gente y entorno. En efecto, la cultura es el
conjunto de "reglas no escritas" que gobiernan los
"comportamientos
aceptables" dentro y fuera de las organizaciones" (Mitroff
et al. 1989.)
"Valores compartidos (qué es lo importante) y creencias (cómo funciona
esto) que interactúan con la estructura de la organización y los sistemas
de control para producir normas comportamentales
(la forma en que hacemos
las cosas aquí). (Uttal, 1983.)
La cultura pues, comprende aquellas actitudes y creencias que emergen de,
pero a su vez conforman, la manera en que la organización hace sus cosas.
Estas cosas, en general tomas de decisión, se enlistan en la siguiente:
... ... ... Tabla 1.1.
(omitida
por la dificultad en el escaneo)
Los factores culturales se establecen a lo largo del tiempo y cuesta mucho
cambiarlos. Su influencia es amplia y permea todas
las instancias de la
org. Las influencias culturales están diseminadas por toda la org. de
diversas maneras y modelan las actitudes y conductas del personal.
Las decisiones de alto nivel están influenciadas por factores externos
políticos y económicos. Sin embargo, y a los efectos de este análisis,
ellas representan el punto de inicio común para varios de los senderos
fallidos que veremos. Son las raíces causales que permitirán el desarrollo
hacia procesos catastróficos.
Suele tomarse como axiomático que las decisiones estratégicas ocasionarán
consecuencias negativas sobre la seguridad de algún sector del sistema.
Esto no quiere decir que todas las decisiones sean defectuosas. Pero aún
aquellas consideradas buenas, con el tiempo pueden generar debilidades en
la seguridad, particularmente cuando implican una inequitativa
asignación
de recursos o cuando implican la presunción de incertidumbres futuras.
Hay que enfatizar que esto no implica trasladar la culpa del frente
operativo al frente gerencial. Más bien tiende a reconocer que, no importa
cuán duro tratemos, no podemos esperar eliminar las consecuencias
indeseables de las decisiones estratégicas. Lo importante aquí es no tanto
prevenir que estos "patógenos residentes" se implanten, sino hacer
que sus
consecuencias negativas se hagan visibles a aquellos que administran y
operan el sistema.
Entre otras cosas, el vértice estratégico de la empresa es responsable de
(a) diseñar, equipar y administrar los diversos lugares donde se realiza
el trabajo, y (b) proveer defensas contra los peligros organizacionales
previsibles. Consideraremos ambos puntos ahora.
CONDICIONES LABORALES LOCALES:
Las condiciones laborales locales son los factores que afectan la
eficiencia y confiabilidad del rendimiento humano en cada contexto laboral
específico. Tanto puede ser un cockpit del Concorde,
como la torre de
control de un aeropuerto, la línea de ensamblaje de la Boeing, un taller,
es decir, cualquier lugar en el que un grupo de personas y sus
supervisores están comprometidos en tareas de riesgo.
La teoría sostiene que las consecuencias negativas de las decisiones del
más alto nivel (ej. presupuesto inadecuado,
planeamiento deficiente,
escaso personal, presiones de tiempo tanto en lo comercial como en lo
operativo, etc.) son transmitidos a través de varias vías organizacionales
hacia los lugares de trabajo. Allí, crean las condiciones que promueven
los actos inseguros. Muchos de estos actos inseguros serán cometidos, pero
pocos violarán las defensas para transformarse en accidentes.
Con el propósito de examinar cómo esas condiciones laborales locales
contribuyen a actos inseguros (errores y violaciones), es conveniente
dividirlos en dos grupos interactivos: aquellos factores relacionados al
área y su contexto inmediato, y aquellos relacionados al estado físico y
mental del personal. Estos factores vinculados al trabajo o a los factores
personales pueden a su vez ser subdivididos en tres grupos: factores de
error, factores de transgresiones y factores comunes a ambos, errores y
transgresiones.
Esta categorización se muestra en la figura siguiente y algunos de los
principales factores se enlistan a continuación. Estas listas no son
exhaustivas pero indican las principales influencias situacionales sobre
la comisión de errores y transgresiones.
La teoría sostiene que cualquier falla organizacional es capaz de crear
las condiciones necesarias tanto para los errores como para las
transgresiones. Sólo cuando buscamos secuencialmente
desde las condiciones
organizacionales hasta las condiciones y defensas laborales locales,
aquellos factores condicionantes se harán evidentes y fácilmente
detectables y discriminables, aunque siempre habrá
factores comunes a los
errores y las transgresiones.
... ... ... Figura 1.2.
(omitida
por la dificultad en el escaneo)
DEFENSAS, BARRERAS Y SALVAGUARDIAS
Recursos destinados a remover, mitigar o protegerse contra los peligros
organizacionales consumen hoy en día gran parte de los recursos de las
organizaciones dedicadas a actividades de riesgo. Estas actividades
defensivas son tan diversas y diseminadas que a veces resulta difícil
diferenciarlas de las partes no-defensivas del sistema.
... ... ... Tabla 1.3.
(omitida
por la dificultad en el escaneo)
Frente a esto, los dos elementos productivos más importantes de las
organizaciones de alta tecnología (energía nuclear, o plantas químicas)
son los sistemas automatizados de control y los operadores humanos. Ambos
ejercen funciones defensivas esenciales. La automación está para
incrementar la eficiencia y la seguridad de la planta al tomar funciones
que antes ejercía el operador humano, pero en forma variable y falible.
Los operarios están para restaurar la planta a un estado de seguridad en
casos de accidentes que van más allá de la tecnología inteligente o del
diseño. Lo propio es cierto -en otra escala- en los cockpits de los
modernos aviones automatizados.
Aunque la tecnología digital actual es muy inteligente, todavía no puede
pensar "por sí misma" como los humanos. De modo que se deja a los
operadores para que se ocupen de las emergencias no previstas en menos que
ideales condiciones, algo que pueden hacer mejor que las computadoras,
aunque no siempre. En algunas ocasiones los humanos aportan soluciones
originales (Sioux City,
Davies-Besse, etc.),
pero en otras ellos
empeoraron las cosas ya de por sí peligrosísimas (TMI, Chernobyl,
etc.).
Para complicar aún más la ironía, suele ocurrir que los operadores están
atrapados en sus poco exitosos intentos por las
inadecuaciones de las
defensas tanto del diseño como de los procedimientos.
Las defensas, barreras y salvaguardias pueden clasificarse según dos
dimensiones relativamente independientes: (a) las funciones que tienen y,
(b) los modos de aplicación dentro de la organización.
FUNCIONES:
· Crear conciencia y comprensión de los riesgos y peligros.
· Detectar y alertar la presencia de condiciones anormales o
inminentemente peligrosas.
· Proteger a la gente y el entorno de daños o perjuicios.
· Recobrarse de las condiciones anormales y restaurar el sistema a un
estado de seguridad.
· Contener la liberación accidental de energía o sustancias
· Permitir el escape de las potenciales víctimas de la situación de
peligro.
MODOS DE APLICACIÓN:
· Dispositivos automáticos diseñados (alarma de proximidad del terreno,
autopilot, detección automática y apagado de un
reactor, etc.)
· Políticas, estándares y controles (administrativos y manageriales),
medidas todas destinadas a promover las prácticas laborales estandarizadas
y seguras.
· Procedimientos, instrucción y supervisión (medidas orientadas a proveer
know-how de las tareas locales).
· Adiestramiento, "briefings", instrucción recurrencial
(para la
consolidación de habilidades técnicas, conciencia de seguridad y
conocimiento sobre seguridad).
· Equipamiento protector personal (desde botas hasta trajes espaciales).
No existe tal cosa como un perfecto equipamiento de defensas contra todas
las eventualidades. Muchos de los atajos serán consecuencia directa de los
procesos de toma de decisión organizacional. Tales imperfecciones incluyen
las ausencias de defensas necesarias y las debilidades en las existentes.
En conjunto conforman el grueso de las fallas latentes del sistema.
FALLAS ACTIVAS Y LATENTES: SEGUNDO ESCALÓN
Cuando hay humanos involucrados en un sistema complejo, habrá fallas.
Las fallas pueden ocurrir en el lugar de trabajo o en relación a las
defensas. La Figura 1.3. describe el siguiente paso
en el proceso de
construir esta teoría. Muestra las diversas fallas activas ocurriendo en
varios lugares de trabajo. Las fallas latentes, por otro lado, están
principalmente asociadas con debilidades o ausencias de las defensas.
... ... ... Figura 1.3.
(omitida
por la dificultad en el escaneo)
Las fallas activas se distinguen de las latentes de dos maneras. La
primera es el tiempo que demoran en poner de manifiesto su efecto adverso
sobre la integridad del sistema. Las fallas activas tienen un impacto
inmediato, mientras que las fallas latentes pueden permanecer larvadas por
largos períodos, a veces años, antes de combinarse con fallas activas y
eventos gatillos locales, para romper las defensas del sistema.
La segunda distinción, claramente depende de la primera, y está vinculada
a quien crea estas fallas. Las activas son cometidas por aquellos en
contacto directo con el sistema: los que están "en la línea de
fuego"
(pilotos, controladores, operarios, etc.). Las fallas latentes, en cambio,
derivan de decisiones tomadas en las esferas manageriales
y
organizacionales. Son personas separadas en tiempo y espacio de la
interfase humano - sistema.
Las fallas humanas activas son errores o violaciones cometidas por los
que están en "la línea de fuego del sistema". Normalmente las
consecuencias de estas fallas son evitadas por los mismos actores y no
hay consecuencias. En algunas ocasiones, esas fallas acontecen en
coincidencia con alguna falla de las defensas y se produce un accidente.
Cuanto menos defendido esté un sistema más probabilidades habrá de
que se
produzca un accidente. Hay ocasiones en que las fallas activas producen
un
by-pass de las defensas y estas no pueden actuar (no deshelar el avión en
Dryden antes
Las fallas latentes son defectos es el sistema de defensas, barreras y
salvaguardias, cuyo peligro potencial preexistía bastante tiempo antes del
inicio de la secuencia de eventos que conducen al accidente, aunque por lo
general sin ningún efecto manifiesto. Pero, cuando estas fallas latentes
se combinan con fallas activas o gatillos locales ( o
ambos) para crear la
trayectoria de la oportunidad de un accidente (a veces sólo por unos
momentos) se alinean y atraviesan todas las defensas. Son estas
circunstancias, cuando se alinean las fallas y los defectos de las
defensas cuando se producen los eventos.
La mayoría de las fallas latentes sólo se descubren cuando una defensa o
barrera ha fallado. Sin embargo, esto no quiere decir que es necesario
esperar hasta la ocurrencia de un accidente para que se pongan de
manifiesto. El propio desarrollo de las operaciones, afortunadamente,
aporta una cantidad de "lecciones gratis". En las cuales una defensa
o una
barrera aparece como defectuosa sin haber provocado
un accidente.
Mientras que muchas fallas latentes, sólo se manifiestan
retrospectivamente, el potencial de un sistema de generar fallas latentes
se puede determinar prospectivamente. El número
de fallas latentes en un
sistema será una función del estado de salud de la seguridad de la
organización en general. El estado de salud de la seguridad se puede
evaluar a intervalos regulares mediante parámetros de la actividad
organizacional. Esto se discutirá más adelante.
Las fallas latentes o activas también difieren en las bases necesarias
para su clasificación. Mientras las fallas activas son categorizadas de
acuerdo a su origen psicológico, las fallas latentes deben ser descriptas
en términos sistémicos. Ambas explicaciones se detallan a continuación:
CLASIFICACIÓN DE FALLAS ACTIVAS:
A los efectos de efectuar una clasificación aplicable a la práctica, de
las fallas humanas, es primero necesario distinguir los diferentes niveles
en los que la gente realiza sus tareas Son tres:
· comportamiento basado en habilidades o destrezas
· comportamiento basado en reglas
· comportamiento basado en conocimientos
El comportamiento humano está conformado tanto por factores personales (o
psicológicos) y situacionales. Luego, podemos distinguir los tres niveles
de comportamientos en esas dos dimensiones, una que tiene que ver con la
manera en que controlamos nuestras acciones, y la otra relacionada a si la
situación o contexto en que la efectuamos es rutinaria o problemática.
Estas dos dimensiones - conscientes/automáticas y
rutinarias/problemáticas definen un "espacio activo" en el cual
podemos
dibujar los tres niveles de comportamiento:
... ... ... Figura 1.4.
(omitida
por la dificultad en el escaneo)
· A nivel de las conductas basadas en destrezas, las desarrollamos
rutinariamente, están sobre-aprendidas y en gran medida automáticas,
excepto en ocasionales situaciones de chequeo del progreso de alguna de
esas actividades.
· Cuando pasamos a las tareas basadas en reglas, observamos la necesidad
de una modificación de nuestro comportamiento largamente pre-
programado.
Debemos tomar en cuenta cambios en la situación. Es un problema con el
cual ya estamos familiarizados y con el cual hemos lidiados antes con más
adiestramiento y más experiencia. Se llama "basado en reglas"
porque son
del tipo "si ocurre tal cosa, haga tal otra" y por lo general están
escritas en listas de chequeo.
· El nivel de comportamiento basado en el conocimiento, es un nivel al
cual accedemos con bastante reticencia. Sólo cuando hemos fallado
repetidamente en encontrar una solución usando los métodos ya conocidos y
que nos eran familiares, recién entonces estamos dispuestos a estudiar.
Aunque en situaciones de emergencia no solemos ser tan buenos y tendemos a
olvidar lo aprendido para retornar a antiguos usos y costumbres.
((aquí hay dos páginas sobre especificaciones de
los errores y
transgresiones en las conductas basadas en destrezas y reglas ))
Transgresiones a nivel de conductas basadas en el conocimiento:
Por definición, estos comportamientos tienen lugar en circunstancias
atípicas o nuevas, para las cuales es improbable que haya habido
suficiente entrenamiento o listas de procedimiento. Los instructores y
redactores de manuales sólo pueden referirse a situaciones potenciales.
El desastre e Chernobyl provee quizás el mejor
ejemplo de una cantidad
documentada de transgresiones excepcionales. El plan experimental, ya de
por sí demandaba una situación de violación, en particular operar sin el
sistema de refrigeración de emergencia del núcleo, con el propósito de
probar el voltaje que entregaban los generadores. La secuencia de fallas
humanas activas comienza con un desliz, el seteo
del reactor a 25% de su
potencia habitual, y continuó con el experimento sin advertir este hecho.
Luego siguieron una serie de violaciones por las cuales los operadores
clausuraron una serie de sistemas de seguridad (para que no dieran la
alarma ya que se trataba de un experimento inusual), lo que generó una
cascada de eventos que terminó en el famoso "meltdown"
y la explosión.
Hicieron todo en la ignorancia de los principios básicos de la física de
la planta, y en la esperanza de completar las pruebas en el tiempo breve
que les quedaba.
Los problemas en este nivel de conocimiento, no necesariamente son los que
se encontrarían en Marte, sino que suelen ser temas conocidos y
entrenados, pero en una combinación no habitual.
Un ejemplo. Los pilotos saben qué hacer para apagar un motor que pierde
aceite y volar con los que quedan buenos. Pero en 1983 un L-1011 tuvo
pérdida simultánea de los tres. Lograron llegar, apagando y re-encendiendo
secuencialmente cada uno hasta el aeropuerto más
cercano.
CLASIFICACIÓN DE LAS FALLAS LATENTES:
Las fallas latentes pueden ser clasificadas según el modo o la función de
las defensas, barreras y salvaguardias, ya descriptas. En conjunto
conforman una matriz donde es posible localizar c/u de ellas:
... ... ... Figura 1.6.
(omitida
por la dificultad en el escaneo)
La matriz provee no sólo la posibilidad de clasificar las fallas latentes
en general, sino también "mapear" la
relativa importancia de c/u de ellas
en un accidente cualquiera. Cada accidente tiene su respectiva "huella
digital" de fallas latentes.
Del mismo modo, es posible usar la matriz de fallas latentes como una
base sistemática para evaluar la efectividad del sistema de seguridad
managerial. Un análisis célula por célula
permitirá descubrir las áreas de
potencial vulnerabilidad.
La matriz se limita a la organización y no hace mención a las funciones
defensivas cruciales que poseen los entes reguladores externos
(administrativos, legales, emergencias, etc.). Fallas graves tanto en los
dominios internos como externos fueron cruciales para los accidentes del
Challenger, y el Herald.
De todos modos, como los entes reguladores
cumplen las mismas funciones, podrían adosarse en una columna adicional a
la matriz.
TERCERA ETAPA: LOS EVENTOS ACCIDENTALES
El próximo paso consiste en desarrollar el modelo de las causas del
accidente propiamente dicho. Un evento, aquí, se define como una
penetración parcial o total de una trayectoria accidentógena
a través de
las capas del sistema defensivo. Una trayectoria accidentógena
es algo
que, si atraviesa las capas defensivas y barreras y salvaguardias, puede
producir un peligro descontrolado en presencia de víctimas potenciales.
Este tercer paso se muestra en diagrama de la
... ... ... Figura 1.7.
(omitida
por la dificultad en el escaneo)
Es a nivel del EVENTO que las fallas activas o latentes se entrecruzan,
completan su trayectoria accidentógena y ocurre
la catástrofe.
Esas trayectorias (la vieja cadena causal) puede
interactuar con los
gatillos locales, tales como situaciones específicas contextuales,
vientos, niebla (Tenerife), mareas, temperatura ambiente (Challenger),
etc.
Cuando una trayectoria accidentógena se presenta,
se debe a las fallas de
las defensas y las hay de diverso tipo, a saber:
· Defectos crónicos o debilidades latentes o cortapisas no descubiertas en
las defensas. Son puestas de manifiesto recién cuando ocurre un evento.
· Fisuras creadas a sabiendas en el transcurso de tareas de mantenimiento
o en situaciones operacionales atípicas.
· Fisuras que se crean por fallas activas, ya sea por acciones inseguras o
por la ruptura de algún componente.
En sistemas que poseen mínimas defensas, tales como la apertura de una
"picada" en un monte, un simple desvío del machete puede producir
un corte
grave en una pierna. Pero en los sistemas más modernos y complejos y bien
defendidos, hace falta el alineamiento de los agujeros de las diferentes
capas de defensas para que la trayectoria accidentógena
tenga un desenlace
catastrófico.
Este alineamiento es muy dinámico, los agujeros se abren y cierran, las
capas se deslizan lateralmente, las influencias estocásticas están siempre
activas.
Finalmente, cabe aclarar que no necesariamente el alineamiento de los
agujeros o fisuras llevará a un accidente, a veces por razones mas
bien
fortuitas, sólo dan lugar a una "lección gratis" de lo que pudo
haber
pasado. Pero esta lección no se aprende totalmente si no se aplica el
presente instrumento conceptual para decodificarlo y comprender la
importancia de cada falla, tanto las activas como las latentes en el
tejido de la organización.