En este tema nos habla acerca de los accidentes, nos dice que estos no pueden ser previstos o que no son planificados esto puede implicar prdidas humanas, lesiones y prdidas materiales entre otras. Esto provocando que se A Sistemas-terico Vista de causalidadEn los modelos tradicionales de causalidad, los accidentes se consideran para ser causado por cadenasde eventos de fallo, cada falla causando directamente la siguiente en la cadena.Parte Iexplican por qu estos modelos simples ya no son adecuadas para el ms complejosistemas socio-tcnicos que estn tratando de construir hoy.La definicin de accidentela causalidad debe ser ampliado ms all de los eventos de fallo para que incluya el componenteaccidentes de interaccin y mecanismos causales indirectos o sistmicos.El primer paso es generalizar la definicin de un accidente.1 Unaccidentees unevento de prdida no planificado y no deseado.Esa prdida puede implicar la muerte humana y lesiones,pero tambin puede implicar otras prdidas importantes, incluyendo la misin, equipos, financiacin,y las prdidas de informacin.Las prdidas son resultado de fallos de componentes, perturbaciones externas al sistema, interaccionesentre los componentes del sistema, y el comportamiento de los componentes individuales del sistemaque conducen a estados del sistema peligrosos.Ejemplos de peligros incluyen la liberacin deproductos qumicos txicos de una refinera de petrleo, un paciente que recibe una dosis letal de medicamentos,dos aeronaves que violen los requisitos mnimos de separacin, y las puertas del tren de cercanasabertura entre estaciones.2En teora de los sistemas, propiedades emergentes, tales como la seguridad, surgen de las interaccionesentre los componentes del sistema.Las propiedades emergentes son controlados mediante la imposicin derestricciones sobre el comportamiento de los y las interacciones entre los componentes.Seguridad a continuacinse convierte en un problemade controldonde el objetivo del control es hacer cumplir la seguridadrestricciones.Los accidentes son el resultado de un control inadecuado o la ejecucin de safetyrelatedlimitaciones en el desarrollo, diseo y funcionamiento del sistema.En Bhopal, la restriccin de seguridad que fue violada era que el MIC no debenentrar en contacto con agua.En la Mars Polar Lander, la restriccin de seguridad era quela nave espacial no debe afectar la superficie del planeta con ms de una fuerza mximaEn el accidente del reactor qumico por lotes se describe en el captulo 2, restriccin de uno de seguridades una limitacin de la temperatura de los contenidos del reactor.El problema entonces se convierte en uno de control donde el objetivo es controlar el comportamientodel sistema mediante la aplicacin de las restricciones de seguridad en su diseo y funcionamiento.Los controles deben ser establecidos para lograr este objetivo.Estos controles no necesariamenteimplicar un controlador automatizado humano o.Comportamiento de los componentes (incluyendofracasos) e interacciones peligrosas pueden ser controlados a travs del diseo fsico, a travs deproceso (tales como los procesos y procedimientos de fabricacin, procesos de mantenimiento,y operaciones), oa travs de los controles sociales.Controles sociales incluyen organizacional(Gestin), y las estructuras regulatorias gubernamentales, pero tambin pueden ser culturales,poltica, o individuo (como el inters propio).Como ejemplo de este ltimo, unoexplicacin que se ha dado a la crisis financiera de 2009 es que cuando la inversinLos bancos fueron, controles individuales pblicas para reducir el riesgo personal y beneficios a largo plazofueron eliminados y el riesgo se desplaz a los accionistas y otros que tenan pocos y dbilescontrola ms de los que tomaban los riesgos.En este marco, la comprensin de por qu se produjo un accidente requiere determinarpor qu el control fue ineficaz.La prevencin de accidentes en el futuro requiere pasar deun enfoque en la prevencin de fallas en el objetivo ms amplio de diseo e implementacincontroles que hacer cumplir las restricciones necesarias.El SELLO modelo accidente (System-terico de Accidentes del modelo y de Procesos)se basa en estos principios.Tres construcciones bsicas subyacen SELLO: restricciones de seguridad,estructuras de control de la seguridad jerrquicas y modelos de procesos.4.1 Restricciones de seguridadEl concepto ms bsico en STAMP no es un hecho, pero una restriccin.Eventos destacadosa las prdidas ocurren slo porque las restricciones de seguridad no se aplicaron correctamente.La dificultad para identificar y hacer cumplir las restricciones de seguridad en el diseo y las operacionesha aumentado desde el pasado.En muchos de nuestros sistemas ms antiguos y menos automatizadas,limitaciones fsicas y operativas a menudo impuestas por las limitaciones de la tecnologay de los entornos operativos.Las leyes fsicas y los lmites de nuestramateriales imponen limitaciones naturales de la complejidad de los diseos fsicos ypermitido el uso de controles pasivos.En ingeniera,controles pasivosson los que mantienen la seguridad de su presencia -Bsicamente, el sistema falla en un estado seguro o enclavamientos simples se utilizan para limitarlas interacciones entre los componentes del sistema a los seguros.Algunos ejemplos de pasivacontroles que mantienen la seguridad de su presencia son escudos o barreras comorecipientes de contencin, arneses de seguridad, cascos, sistemas de retencin pasiva en los vehculos,y cercas.Controles pasivos tambin pueden basarse en principios fsicos, tales como la gravedad,a fallar en un estado seguro.Un ejemplo es un viejo semforo ferroviario que utiliza pesospara asegurar que si el cable (controlando el semforo) se rompi, el brazo hara automticamentecaer en la posicin de parada.Otros ejemplos incluyen rels mecnicosdiseado para fallar con el tren de aterrizaje de sus contactos abiertos y retrctil para aeronaves enque las ruedas caen y bloquean en la posicin de aterrizaje si el sistema de presin quesube y baja que falla.Para el ejemplo de reactor qumico por lotes en el captulo 2,donde las vlvulas se abren orden es crucial, los diseadores podran haber utilizado una fsicaenclavamiento que no permita la vlvula de catalizador que se abri mientras la vlvula de aguaestaba cerrado.En contraste,controles activosrequieren algn tipo de accin (s) para proporcionar proteccin: (1)la deteccinde un evento peligroso o condicin (monitorizacin), (2)la medicinde algunosvariable (s), (3) la interpretacin de la medicin(diagnstico),y (4)la respuesta(Recuperacin o prueba de fallos procedimientos), todo lo cual debe ser completado antes de una prdidaocurre.Estas acciones son generalmente implementados por un sistema de control, que ahora comnmenteincluye un ordenador.Considere el simple control de la seguridad pasiva en el circuito de alta potenciasalida se ejecuta a travs de una puerta que protege a la toma de corriente.Cuando se abre la puerta,el circuito se rompe y el poder desactivado.Cuando la puerta est cerrada y el poderhabilitado, los seres humanos no pueden tocar la toma de corriente de alta.Tal diseo es simple yinfalible.Un diseo activo de control de seguridad de la misma fuente de energa de alta, requierealgn tipo de sensor para detectar cuando se abre la puerta de acceso a la toma de corrientey un controlador activo para emitir una orden de control para reducir el poder.La fallamodos para el sistema de control activo se incrementan considerablemente en el diseo pasivo,como es la complejidad de las interacciones de los componentes del sistema.En el semforo de trenejemplo, debe haber una manera de detectar de que el cable se ha roto (probablemente ahora unasistema digital se utiliza en lugar de un cable de manera que el fallo del sistema de sealizacin digital dedebe ser detectado) y algn tipo de controles activos utiliza para avisar a los operadores para detenerel tren.El diseo del reactor qumico por lotes descrito en el captulo 2 utiliza unaequipo para controlar la apertura de la vlvula y el orden de cierre en lugar de una sencilla mecnicaenclavamiento.Aunque los ejemplos simples se utilizan aqu por razones prcticas, la complejidad de nuestrodiseos est alcanzando y superando los lmites de nuestra capacidad de gestin intelectual conel consiguiente aumento de los accidentes de interaccin de componentes y la falta de aplicacin de laslas restricciones de seguridad del sistema.Incluso la relativamente simple por lotes basado en computadoradiseo de control de la vlvula reactor qumico result en un accidente de la interaccin de los componentes.A menudo hay muy buenas razones para utilizar los controles activos en lugar de los pasivos,incluyendo una mayor funcionalidad, ms flexibilidad en el diseo, la capacidad de operar sobregrandes distancias, reduccin de peso, y as sucesivamente.Pero la dificultad de la ingenieraproblema se incrementa y se introduce ms potencial para error de diseo.Un argumento similar puede hacerse para las interacciones entre los operadores ylos procesos que controlan.Cocine [40] sugiere que cuando los controles fueron principalmentemecnica y fueron operados por personas situado cerca del proceso operativo,proximidad permite la percepcin sensorial de la condicin de proceso a travs de la fsica directaretroalimentacin, como la vibracin, el sonido y la temperatura (figura 4.1).Muestra erandirectamente vinculado con el proceso y eran esencialmente una extensin fsica de la misma.Paraejemplo, el parpadeo de una aguja de calibre en la cabina de un tren indic que (1) lavlvulas de motor estaban abriendo y cerrando en respuesta a las fluctuaciones leves de presin,(2) el indicador estaba conectado al motor, (3) el indicador que seala estaba libre, yas sucesivamente.De esta manera, las pantallas proporcionan una fuente rica de informacin acerca de laproceso controlado y el estado de las propias pantallas.La introduccin de controles electromecnicos permite a los operadores controlarprocesos desde una mayor distancia (tanto fsicas como conceptuales) que es posible concontroles unidos mecnicamente puros (figura 4.2).Esa distancia, sin embargo, signific queoperadores perdido una gran cantidad de informacin directa sobre el proceso - que ya no podadetectar el estado del proceso directamente y las superficies de control y visualizacin ya no proporcionaroncomo una fuente rica de informacin sobre el proceso o el estado de los controless mismos.Los diseadores de sistemas tuvieron que sintetizar y proporcionar una imagen de laestado del proceso a los operadores.Se introdujo una nueva fuente importante de errores de diseopor la necesidad de los diseadores para determinar de antemano qu tipo de informacin laoperador necesitara en todas las condiciones de controlar de forma segura el proceso.Si los diseadoresNo haba previsto una situacin particular podra ocurrir y prevista en eldiseo original del sistema, que podra tambin no prever la necesidad de los operadores deinformacin sobre el mismo durante las operaciones.Los diseadores tambin tenan que proporcionar informacin sobre las acciones de los operadores y encualquier falla que pudiera haber ocurrido.Los controles ahora podran funcionar sinel efecto deseado en el proceso, y los operadores podran no saberlo.Accidentescomenzado a ocurrir debido a la retroalimentacin incorrecta.Por ejemplo, los accidentes graves(Incluido el de Three Mile Island) han participado los operadores al mando de una vlvula pararetroalimentacin abierta y la recepcin que la vlvula se haba abierto, cuando en realidad no era as.En este caso y en otros, las vlvulas se conectan para proporcionar informacin que indique queel poder se haba aplicado a la vlvula, pero no que la vlvula se haba abierto en realidad.No slo puede el diseo de la retroalimentacin sobre el xito y fracasos de control deacciones inducir a error en estos sistemas, pero los enlaces de retorno fueron tambin objetoal fracaso.Electromecnica controla restricciones relajadas en el diseo del sistema permitemayor funcionalidad (figura 4.3).Al mismo tiempo, se crean nuevas posibilidadespara el diseador y el error del operador que no haban existido o eran mucho menos probable ensistemas controlados mecnicamente.La introduccin posterior de la computadora y digitalescontroles proporcionaron ventajas adicionales y se eliminan incluso ms restricciones sobre lael diseo del sistema de control - e introdujo ms posibilidad de error.La proximidad en nuestrasistemas mecnicos viejos siempre ricas fuentes de retroalimentacin que participan casi todosde los sentidos, lo que permite la deteccin temprana de problemas potenciales.Estamos encontrando difcilpara capturar y proporcionar estas mismas cualidades en los nuevos sistemas que utilizan automatizadocontroles y pantallas.Es la libertad de las limitaciones que hace que el diseo de estos sistemas tan difcil.Limitaciones fsicas disciplina forzada y complejidad limitada en el sistemadiseo, construccin, y la modificacin.Las limitaciones fsicas tambin sistema de formadiseo de formas que transmite de manera eficiente valioso componente fsico y el proceso deinformacin a los operadores y apoy sus procesos cognitivos.El mismo argumento se aplica a la creciente complejidad en la organizacin ycontroles sociales y en las interacciones entre los componentes de sociotcnicosistemas.Algunos proyectos de ingeniera de hoy emplean a miles de ingenieros.El ConjuntoCombatiente de la huelga, por ejemplo, tiene ocho mil ingenieros distribuidos en la mayor parte delEstados Unidos.Las operaciones corporativas se han convertido en global, con gran aumentointerdependencias y la produccin de una gran variedad de productos.Un nuevo enfoque holsticoa la seguridad, basado en el control y hacer cumplir las restricciones de seguridad en todo el sociotcnicosistema, es necesaria para garantizar la seguridad.Para lograr este objetivo, las restricciones a nivel de sistema deben ser identificados, y la responsabilidadpara hacerlas cumplir deben ser divididas y asignadas a los grupos apropiados.Por ejemplo, los miembros de un grupo pueden ser responsables de la realizacin de peligrolos anlisis.El director de este grupo podra ser asignada la responsabilidad de garantizarque el grupo cuenta con los recursos, capacidades y autoridad para llevar a cabo este tipo de anlisis ypara asegurar que la alta calidad de los anlisis de resultado.Los niveles ms altos de poder de gestinla responsabilidad de los presupuestos, para el establecimiento de polticas de seguridad corporativas, y porproporcionar supervisin para asegurar que las polticas de seguridad y las actividades se estn llevando a cabocon xito y que la informacin proporcionada por el peligro de los anlisis se utiliza endiseo y operaciones.Durante sistema y producto de diseo y desarrollo, las restricciones de seguridad lo harse descomponen y sub-requisitos o limitaciones asignados a los componentesdel diseo a medida que evoluciona.En el reactor qumico por lotes, por ejemplo, el sistema derequisito de seguridad es que la temperatura en el reactor siempre debe permanecer por debajoun nivel particular.Una decisin de diseo se puede hacer para controlar esta temperatura usandoun condensador de reflujo.Esta decisin lleva a una nueva restriccin: "El agua debe fluiren el condensador de reflujo cuando se aade catalizador al reactor."Despus de una decisinse hace sobre qu componente (s) ser el encargado de operar el catalizador yvlvulas de agua, se generarn requisitos adicionales.Si, por ejemplo, una decisinest hecho de utilizar software en lugar de (o adems de) un enclavamiento fsico, lasoftware debe asignar la responsabilidad de hacer cumplir la restriccin: "Elvlvula de agua debe estar siempre abierta cuando la vlvula de catalizador est abierta."Con el fin de proporcionar el nivel de seguridad exigido por la sociedad de hoy, necesitamos primeropara identificar las restricciones de seguridad para hacer cumplir y luego disear controles efectivos parahacerlas cumplir.Este proceso es mucho ms difcil para el complejo de hoy s ya menudosistemas de alta tecnologa que en las tcnicas anteriores y nuevos, tales como los descritos enparte III, van a ser necesarios para resolverlo, por ejemplo, los mtodos para ayudar en la generacin delas restricciones de seguridad de los componentes de las restricciones de seguridad del sistema.La alternativa - construccin slo los sistemas electromecnicos simples del pasado ovivir con mayores niveles de riesgo - es en su mayor parte no va a ser considerado unsolucin aceptable.4.2 La Estructura de Control de Seguridad jerrquicaEn la teora de sistemas (ver seccin 3.3), los sistemas son vistos como estructuras jerrquicas,donde cada nivel impone limitaciones en la actividad del nivel debajo de ella - es decir,limitaciones o falta de restricciones en un nivel superior o permiten controlar de nivel inferiorcomportamiento.Procesos de control operan entre los niveles de control de los procesos en los niveles inferioresen la jerarqua.Estos procesos de control de cumplir las restricciones de seguridad para queel proceso de control es el responsable.Los accidentes ocurren cuando estos procesos proporcionanrestricciones de control inadecuada y la seguridad son violados en el comportamiento de lacomponentes de nivel inferior.Mediante la descripcin de accidentes en trminos de una jerarqua de control basado en adaptativomecanismos de retroalimentacin, la adaptacin juega un papel central en la comprensin yprevencin de accidentes.En cada nivel de la estructura jerrquica, control inadecuada puede resultar delimitaciones que faltan (responsabilidad asignada para la seguridad), inadecuado control de seguridadcomandos, los comandos que no fueron ejecutadas correctamente en un nivel inferior, o inadecuadamentecomunicados o procesado comentarios acerca de la aplicacin de la restriccin.Paraejemplo, un gerente de operaciones puede proporcionar instrucciones o procedimientos de trabajo insegurasa los operadores, o el administrador puede proporcionar instrucciones que hacen cumplir larestricciones de seguridad, pero los operadores pueden ignorarlos.El gerente de operaciones puedeNo se han establecido los canales de retroalimentacin para determinar que las instrucciones no segurosfueron facilitados o que sus instrucciones relacionadas con la seguridad no se estn siguiendo.La figura 4.4 muestra una estructura de control de seguridad jerrquico sociotcnico tpicacomn en una industria regulada crtico para la seguridad en los Estados Unidos, tal como aireel transporte.Cada sistema, por supuesto, debe ser modelado para incluir su especficaCaractersticas.Figura 4.4 tiene dos estructuras de control jerrquicos bsicas - una para el sistemadesarrollo (a la izquierda) y otro para la operacin del sistema (a la derecha) - con las interaccionesentre ellos.Un fabricante de la aeronave, por ejemplo, podra tener solamenteel desarrollo del sistema bajo su control inmediato, pero la seguridad implica tanto el desarrolloy uso operativo de la aeronave, y tampoco se puede lograr con xitode manera aislada: La seguridad durante la operacin depende en parte del diseo original ydesarrollo y en parte de un control efectivo de las operaciones.Los canales de comunicacinpuede ser necesaria entre las dos estructuras.3Por ejemplo, los fabricantes de aeronavesdebern comunicar a sus clientes las suposiciones acerca de la operativamedio ambiente en que se bas el anlisis de seguridad, as como informacin sobreprocedimientos de operacin segura.El entorno operativo (por ejemplo, la lnea area comercialindustria), a su vez, proporciona informacin a los fabricantes sobre el desempeo deel sistema durante su vida til.Entre los niveles jerrquicos de cada estructura de control de seguridad, la comunicacin efectivaSe necesitan canales, tanto uncanal de referenciahacia abajo proporcionando la82 Captulo 4Informes de problemasProcedimientos OperativosRevisadoprocedimientos de operacinLos denunciantesLos informes de cambiosInformacin de Certificacin.FabricacinAdministracinSeguridadInformesPoltica, enfermedades de transmisin sexual.TrabajoProcedimientosinformes de seguridadauditorasregistros de trabajoFabricacininspeccionesAnlisis de PeligroDocumentacinDiseo JustificacinEmpresaRecursosNormasPoltica de Operaciones Informes de seguridadAdministracinOperacionesRecursosNormasPoltica de SeguridadReportes de IncidentesEvaluaciones de RiesgoInformes de estadoCambios de seguridad relacionadosInformes de pruebaRequisitos de pruebaNormasRevisin de los resultadosRestricciones de seguridadImplementacinAnlisis de PeligroInformes de ProgresoAnlisis de Normas de Seguridad de peligroInformes de ProgresoDiseo,Instrucciones de Trabajo Cambiar solicitudesLos informes de auditoraInformes de problemasMantenimientoCongreso y las legislaturasLegislacinEmpresaCongreso y las legislaturasLegislacinSanciones legalesCertificacinNormasReglamentosInformes de GobiernoCabildeoAudiencias y reuniones abiertasAccidentesJurisprudenciaSanciones legalesCertificacinNormasReglamentosLos accidentes e incidentesInformes de GobiernoCabildeoAudiencias y abiertareunionesAccidentesLos denunciantesLos informes de cambiosReportes de mantenimientoInformes de OperacionesAccidentes e incidentesinformesSolicitudes de CambioAuditoras RendimientoReemplazos de hardwareLas revisiones de softwareLos anlisis de riesgos deproceso de funcionamientoJurisprudenciaDESARROLLO DEL SISTEMACompaas de Seguros, TribunalesAsociaciones de usuarios, sindicatos,Asociaciones de la Industria,Agencias reguladoras gubernamentalesAdministracinAdministracinAdministracinProyectoAgencias reguladoras gubernamentalesAsociaciones de la Industria,Asociaciones de usuarios, sindicatos,Documentaciny aseguramientoy EvolucinOPERACIONES DEL SISTEMACompaas de Seguros, TribunalesFsicoActuador (s)IncidentesSupuestos operativosProcesoControladorAutomatizadoController Humano (s)Sensor (s)Figura 4.4de fabricacin.El sistema legal tiende a ser utilizado cuando no hay reglamentacinautoridad y el pblico no tiene otros medios para fomentar un nivel deseado de preocupacinpara la seguridad en la gestin de la empresa.Las restricciones generadas en este nivel yimpuesta a las empresas son por lo general en forma de polticas, regulaciones, certificacin,normas (por el comercio o asociaciones de usuarios), o la amenaza de litigio.Donde hay unaunin, las limitaciones relacionadas con la seguridad en las operaciones de fabricacin o puede resultar dedemandas de los sindicatos y la negociacin colectiva.Direccin de la Sociedad realiza las normas, reglamentos y otros controles generalesen su comportamiento y los traduce en polticas y normas especficas para lacompaa.Muchas compaas tienen una poltica de seguridad general (se requiere por ley enGran Bretaa), as como los documentos ms detallados estndares.Votacin puede veniren forma de informes de estado, evaluaciones de riesgo e informes de incidentes.En la estructura de control del desarrollo (que se muestra a la izquierda de la figura 4.4), la compaapolticas y normas suelen ser adaptados y quizs aumentados por cada ingenieraproyecto para adaptarse a las necesidades del proyecto en particular.El control de nivel superiorproceso puede proporcionar slo los objetivos y las limitaciones generales y los niveles ms bajos de mayoa continuacin, aadir muchos detalles para poner en funcionamiento los objetivos generales y las limitaciones, dada lacondiciones inmediatas y objetivos locales.Por ejemplo, mientras que el gobierno o la empresallevar a cabo las normas pueden requerir un anlisis de riesgos, los diseadores de sistemas ydocumentalistas (incluidos los de disear los procedimientos operativos y la escritura del usuariomanuales) pueden tener el control sobre el proceso de anlisis de riesgos real que se utiliza para identificarrestricciones especficas de seguridad en el diseo y operacin del sistema.Estos detalladopueden necesitar ser aprobado por el nivel por encima de los procedimientos.Las restricciones de diseo identificadas como necesarias para controlar los peligros del sistema sonpas a los ejecutores y los aseguradores de los componentes individuales del sistemajunto con las normas y otros requisitos.El xito se determina a travs de la retroalimentacinproporcionada por los informes de ensayo, crticas y diversos anlisis de riesgo adicionales.Enal final del proceso de desarrollo, los resultados de el peligro analiza ascomo documentacin de las caractersticas de diseo relacionadas con la seguridad y el diseo justificacin debeser transmitida a el grupo de mantenimiento para ser utilizado en la evolucin del sistema yproceso de logstica.Un proceso similar que implica niveles de control se encuentra en la operacin del sistemaestructura de control.Adems, habr (o al menos debera ser) interaccionesentre las dos estructuras.Por ejemplo, las limitaciones de diseo de seguridad utilizados durantedesarrollo debe constituir la base de los procedimientos operativos y de rendimientoy auditora de procesos.Como en cualquier circuito de control, retardos de tiempo pueden afectar el flujo de las acciones de control y retroalimentaciny puede afectar la eficacia del bucle de control en la aplicacin de la seguridadrestricciones.Por ejemplo, las normas pueden tardar aos en desarrollarse o cambiar - un tiempoescala que pueden mantenerlos detrs de la tecnologa y la prctica actual.En la fsicanivel, la nueva tecnologa puede introducirse en diferentes partes del sistema a diferenteslas tasas, que pueden resultar enla evolucin asncronade la estructura de control.En elderribo accidental de dos helicpteros del Ejrcito de EE.UU. Negro Hawk por dos Area de los EE.UU.Fuerza F-15 en la zona de exclusin area sobre el norte de Irak en 1994, por ejemplo, el luchadoraviones de reaccin y los helicpteros fueron inhibidos en la comunicacin por radio porquelos F-15 pilotos utilizan radios mermelada resistente nuevas que no podan comunicarse conlos mayores tecnologa radios helicpteros del Ejrcito.Anlisis de peligros debe incluir lainfluencia de estos desfases y posibles cambios en el tiempo.Una forma comn para hacer frente a retrasos de tiempo que lleva a retrasos es delegar la responsabilidada niveles ms bajos que no estn sujetos a tan grande un retraso en la obtencin de informacino la retroalimentacin de los canales de medicin.En perodos de tecnologa que cambia rpidamente,rezagos de tiempo pueden hacer que sea necesario para los niveles ms bajos para aumentar los procesos de controltransmitido desde arriba o modificarlos para adaptarse a la situacin actual.Tiemporetrasos en los niveles ms bajos, como en el ejemplo derribo del Halcn Negro, puede requerir lauso del control anticipativo para superar la falta de informacin o puede requerir temporalcontroles sobre el comportamiento: La comunicacin entre los F-15 y los Black Hawkshabra sido posible si los F-15 pilotos haban indicado que use una radio ms viejatecnologa disponible para ellos, ya que se mand a hacer por otros tipos deaviones amigos.Ms en general, las estructuras de control siempre cambian con el tiempo, particularmente aquellosque incluyen seres humanos y los componentes de la organizacin.Dispositivos fsicos tambin cambiancon el tiempo, pero por lo general mucho ms lento y de una manera ms predecibles.Si vamos a manejaraspectos sociales y humanos de la seguridad, a continuacin, nuestros modelos de causalidad de accidentes deben incluirel concepto de cambio.Adems, los controles y la seguridad de que el control de la seguridadestructura sigue siendo eficaz en la aplicacin de las limitaciones en el tiempo se requieren.Control no implica necesariamente la rigidez y la gestin autoritariaestilos.Rasmussen seala que el control en cada nivel se puede hacer cumplir en un tiempo muy prescriptivomando y control estructura o puede ser implementado en trminos generales como rendimientoobjetivos con muchos grados de libertad en la forma en que se cumplan los objetivos[165].Las ltimas tendencias de la gestin dela supervisinde la gestin porvisinreflejar diferentes niveles de control de retroalimentacin que se ejercen en los niveles ms bajos yun cambio de control de la gestin prescriptivo a la gestin por objetivos,donde los objetivos se interpretan y satisfechas de acuerdo con el contexto local.Visin de gestin, sin embargo, no significa abdicacin de la responsabilidad relacionada con la seguridad.En una prdida Milstar satlite [151] y tanto el orbitador Mars Climate [191] yMars Polar Lander [95, 213] las prdidas, el accidente informa toda nota que una transicin pobresde la supervisin de visin fue un factor en las prdidas.Los intentos de delegar decisionesy gestionar por objetivos requieren una formulacin explcita del valorcriterios que se utilizarn y un medio eficaz para comunicar los valores de abajoa travs de la sociedad y las organizaciones.Adems, el impacto de las decisiones concretas encada nivel de los objetivos y valores transmite necesidad de ser adecuada yevaluado formalmente.Feedback se requiere para medir el xito con las funcionesse estn realizando.Aunque las agencias reguladoras se incluyen en el ejemplo la figura 4.4, no hay esimplicacin de que es necesaria la regulacin gubernamental para la seguridad.El nico requisitoes que la responsabilidad de la seguridad se distribuye de una manera apropiada a lo largoel sistema socio-tcnico.En la seguridad de las aeronaves, por ejemplo, los fabricantes juegan elpapel importante, mientras que la autoridad de certificacin de tipo FAA simplemente proporciona supervisin quede seguridad est siendo diseado con xito en aviones en los niveles inferiores de la jerarqua.Si las empresas o industrias no estn dispuestos o incapaces de llevar a cabo suresponsabilidades de seguridad pblica, entonces el gobierno tiene que intervenir para lograr el totalobjetivos de seguridad pblica.Sin embargo, una solucin mucho mejor es para la gestin de la empresa para tomarla responsabilidad, ya que tiene un control directo sobre el diseo del sistema y la fabricacin yoperaciones ms.La estructura de control de la seguridad ser diferente entre las industrias y los ejemplos se extendientre los siguientes captulos.Figura C.1 en el apndice C muestra la estructura de controly las restricciones de seguridad para el sistema de control de seguridad en el agua jerrquica en Ontario,Canad.La estructura se dibuja en su lado (como es ms comn que los diagramas de control)de modo que la parte superior de la jerarqua est en el lado izquierdo de la figura.El peligro del sistemaes la exposicin del pblico aE.coliu otros contaminantes relacionados con la salud a travs de lasistema pblico de agua potable;Por lo tanto, el objetivo de la estructura de control de seguridad esevitar tal exposicin.Este objetivo lleva a dos restricciones de seguridad del sistema:1. La calidad del agua no debe ser comprometida.2. Las medidas de salud pblica deben reducir el riesgo de exposicin si la calidad del agua esde alguna manera comprometida (por ejemplo, la notificacin y los procedimientos a seguir).Los procesos fsicos controlados por esta estructura de control (que se muestra en laderecha de la figura) son el sistema de agua, los pozos utilizados por los servicios pblicos locales,y la salud pblica.Los detalles de la estructura de control se discuten en el apndice C, peroproceda la responsabilidad, la autoridad y la rendicin de cuentas deben ser asignados a cadacomponente con respecto al papel que desempea en la estructura de control general.Paraejemplo, la responsabilidad del gobierno federal de Canad es establecer unasistema de salud pblica en todo el pas y asegurarse de que est funcionando con eficacia.Lagobierno provincial debe establecer organismos reguladores y cdigos, proporcionar recursosa los organismos reguladores, proporcionan supervisin y circuitos de retroalimentacin para asegurar que ellos reguladores estn haciendo su trabajo de manera adecuada, y garantizar que la evaluacin de riesgos adecuadase llevaron a cabo y los planes de gestin de riesgos efectiva estn en su lugar.Utilidad pblica localoperaciones deben aplicar dosis adecuadas de cloro para matar las bacterias, medir laresiduos de cloro, y tomar medidas adicionales si la evidencia de contaminacin bacteriana esencontrado.Mientras que los residuos de cloro son una forma rpida de obtener retroalimentacin sobre la posiblela contaminacin, la retroalimentacin ms precisa se proporciona mediante el anlisis de muestras de agua, perolleva ms tiempo (tiene un mayor lapso de tiempo).Ambos tienen sus usos en la seguridad globalestructura de control del servicio publico.Estructuras de control de seguridad pueden ser muy complejas: abstraccin y la concentracin enpartes de la estructura general pueden ser tiles en la comprensin y la comunicacinAcerca de los controles.Al examinar diferentes riesgos, slo subconjuntos de la estructura generalpuede ser relevante y necesario considerar en detalle y el resto puede ser tratadacomo los insumos para el medio ambiente o de la subestructura.La nica parte crtica es quelos peligros primero se deben identificar a nivel del sistema y el proceso debe entoncesproceder de arriba hacia abajo y no de abajo hacia arriba para identificar las restricciones de seguridad para las partesde la estructura general de control.El funcionamiento de las estructuras de control de seguridad en todos los niveles socio-tcnicos se enfrenta a latensiones observadas en el captulo 1, como la tecnologa cambia rpidamente, competitiva yel tiempo de lanzamiento al mercado presiones y cambiar pblica y vistas reguladoras de responsabilidadpor seguridad.Estas presiones pueden conducir a la necesidad de nuevos procedimientos o nuevos controlespara asegurar que las restricciones de seguridad requeridos no son ignorados.4.3 Modelos de ProcesoEl tercer concepto utilizado en STAMP, junto con las restricciones de seguridad y jerrquicaestructuras de control de seguridad, es modelos de procesos.Los modelos de proceso son una parte importante dela teora de control.Las cuatro condiciones requeridas para controlar un proceso se describen encaptulo 3. El primero es unobjetivo,que en STAMP es las restricciones de seguridad que debenser aplicadas por cada controlador en la estructura de control de seguridad jerrquico.Lacondicin de la accinse lleva a cabo en los canales de control (a la baja) y laobservabilidadcondicinse materializa en las (al alza) de realimentacin o de medicin de los canales.Lacondicin final es lacondicin demodelo:Cualquiercontrolador - humano o automtico -necesita un modelo del proceso se controla para controlar de manera eficaz (figura 4.6).En un extremo, este modelo de proceso puede contener slo una o dos variables, talescomo el modelo requerido para un simple termostato, que contiene la temperatura actualy el punto de ajuste y tal vez un par de leyes de control sobre cmo la temperatura escambiado.En el otro extremo, el control efectivo puede requerir un modelo muy complejocon un gran nmero de variables y transiciones de estado, tales como el modelo necesario paracontrolar el trfico areo.Si el modelo est incrustado en la lgica de control de un controlador automatizadoo en el modelo mental mantenida por un controlador humano, debe contener el mismotipo de informacin: la relacin necesaria entre las variables del sistema (ellas leyes de control), el estado actual (los valores actuales de las variables del sistema), y elformas del proceso pueden cambiar de estado.Este modelo se utiliza para determinar qu controlSe necesitan acciones, y se actualizan a travs de diversas formas de retroalimentacin.Si el modelode la temperatura ambiente muestra que la temperatura ambiente es menor que el punto de ajuste,a continuacin, el termostato emite un comando de control para iniciar un elemento de calentamiento.Los sensores de temperatura proporcionan informacin acerca de la (esperemos aumento) de la temperatura.Esta informacin se utiliza para actualizar el modelo de termostato 's de la temperatura ambiente actual.Cuando se alcanza el punto de consigna, el termostato se apaga el elemento calefactor.De la misma manera, los operadores humanos tambin requieren proceso exacto o modelos mentalespara efectuar acciones de control de seguridad.Accidentes de interaccin de componentes por lo general se pueden explicar en trminos de incorrectamodelos de procesos.Por ejemplo, el software de Mars Polar Lander pens que la nave espacialhaba aterrizado y emiti una instruccin de control para apagar los motores de descenso.Lacapitn delHerald of Free Enterprisepens que las puertas estaban cerradas y transbordadoresorden a la nave para abandonar el barco en el puerto.Los pilotos del accidente de Cali Colombia B757pensRera el smbolo que denota la radiobaliza cerca de Cali.En general, los accidentes ocurren a menudo, sobre todo accidentes de interaccin de componentesy los accidentes de tecnologa digital de complejo o error humano, cuando elmodelo de proceso utilizado por el controlador (automatizado o humano) no coincide con elprocesar y, como resultado:Se dan 1. comandos incorrectos o inseguros de control2. Las acciones de control obligatorios (para la seguridad) no se proporcionan3. Los comandos de control potencialmente correctas se proporcionan en el momento equivocado (demasiadopronto o demasiado tarde), o4. El control se detuvo demasiado pronto o se aplica demasiado tiempoEstos cuatro tipos de acciones de control inadecuados se utilizan en el nuevo anlisis de peligrostcnica descrita en el captulo 8.Un modelo del proceso se controla no es necesaria solo en la parte inferior fsicaniveles de la estructura de control jerrquico, sino en todos los niveles.Con el fin de hacer correctadecisiones, el gerente de una refinera de petrleo pueden necesitar tener un modelo de la corrientenivel de mantenimiento de los equipos de seguridad de la refinera, el estado de entrenamiento de seguridadde la fuerza laboral, y el grado en que se estn siguiendo los requisitos de seguridado son eficaces, entre otras cosas.El director general del conglomerado mundial de petrleo tiene unmucho menos detallada modelo del estado de las refineras que controla pero al mismotiempo requiere una visin ms amplia de la situacin de seguridad de todos los activos de la empresa con el finpara tomar decisiones a nivel corporativo apropiadas que impactan la seguridad.Los modelos de proceso no slo se utilizan durante las operaciones, sino tambin durante el desarrollo del sistemaactividades.Los diseadores utilizan ambos modelos del sistema estn diseados ymodelos del propio proceso de desarrollo.Los desarrolladores pueden tener una incorrectamodelo del comportamiento del sistema o software necesario para la seguridad o las leyes fsicascontrolar el sistema.La seguridad tambin puede verse afectado por los modelos incorrectos desarrolladoresdel propio proceso de desarrollo.Como ejemplo de este ltimo, un sistema de lanzamiento de satlites Titan / Centaur, junto conel satlite Milstar que transportaba en rbita, se perdi debido a un error tipogrfico en una cargacinta utilizada por la computadora para determinar las instrucciones de cambio de actitud para emitir alos motores.La informacin en la cinta de carga era esencialmente parte del proceso demodelo utilizado por el software de control de actitud.La errata no fue capturado durante unproceso de desarrollo en parte debido a fallas en los modelos de las pruebas de los desarrolladoresproceso - cada pensamiento que alguien ms estaba probando el software con la carga realcinta cuando, de hecho, nadie estaba (vase el apndice B).En resumen, los modelos de procesos juegan un papel importante (1) en la comprensin de por qulos accidentes ocurren y por qu los seres humanos proporcionan un control inadecuado sobre seguridad crticasistemas y (2) en el diseo de sistemas ms seguros.4.4 SELLOEl SELLO (Sistemas-terico de Accidentes del modelo y de Proceso) modelo de accidentela causalidad se basa en estos tres conceptos bsicos - restricciones de seguridad, una jerrquicamodelos de estructura de control de seguridad, y de proceso - junto con los conceptos bsicos de la teora de sistemas.Se han presentado todas las piezas para un nuevo modelo de causalidad.Ahora es simplementeuna cuestin de ponerlos juntos.En SELLO, los sistemas son vistos como componentes interrelacionados mantienen en un estado deequilibrio dinmico por los bucles de control de realimentacin.Los sistemas no son tratados como estticapero los procesos dinmicos que se estn adaptando continuamente para lograr sus fines y alreaccionar a los cambios en s mismos y su entornoLa seguridad es una propiedad emergente del sistema que se logra cuando sea apropiadorestricciones en el comportamiento del sistema y sus componentes son satisfechos.Ladiseo original del sistema no slo debe hacer cumplir las restricciones apropiadas encomportamiento para garantizar un funcionamiento seguro, pero el sistema debe seguir para hacer cumplir larestricciones de seguridad como los cambios y adaptaciones en el diseo del sistema se producen con el tiempo.Los accidentes son el resultado de procesos viciados que involucran interacciones entre las personas,las estructuras sociales y de organizacin, las actividades de ingeniera y sistema fsicocomponentes que llevan a violar las restricciones de seguridad del sistema.El lder procesohasta un accidente se describe en STAMP en trminos de una funcin de retroalimentacin adaptativaeso no funciona para mantener la seguridad como los cambios de rendimiento del sistema en el tiempo para conocer a uncomplejo conjunto de objetivos y valores.En lugar de definir la gestin de la seguridad en cuanto a la prevencin de componentefracasos, que se define como la creacin de una estructura de control de seguridad que har cumplir lalas restricciones de seguridad de comportamiento y asegurar su efectividad continua como cambiosy adaptaciones se producen con el tiempo.Gestin de la seguridad efectiva (y riesgo) puederequiere limitar los tipos de cambios que se producen, pero el objetivo es permitir que la mayor cantidadla flexibilidad y la mejora del rendimiento posible al tiempo que aplica la seguridadrestricciones.Los accidentes pueden ser entendidas, utilizando SELLO, mediante la identificacin de las limitaciones de seguridadque fueron violados y determinar por qu los controles son insuficientes para hacer cumplirellos.Por ejemplo, la comprensin del accidente de Bhopal no requiere la determinacinsimplemente por qu el personal de mantenimiento no se insertan los ciegos deslizamiento, sino tambin por qulos controles que haban sido diseados en el sistema para evitar la liberacin de peligrososproductos qumicos y para mitigar las consecuencias de estos hechos - incluyendoprocedimientos de mantenimiento y supervisin de los procesos de mantenimiento, unidades de refrigeracin,medidores y otras unidades de monitoreo, un lavador de ventilacin, chorros de agua, una torre de bengala,auditoras de seguridad, alarmas y alertas prcticas, procedimientos y equipos de emergencia, yotros - no tuvieron xito.SELLO no slo permite la consideracin de ms accidentes provoca que el componente sencillofracasos, sino que tambin permite anlisis ms sofisticado de los fracasos y de componentesaccidentes de fracaso.Fallos de los componentes pueden ser resultado de las restricciones inadecuadasen el proceso de fabricacin;diseo de ingeniera inadecuada como falta oaplicado incorrectamente la tolerancia a fallos;falta de correspondencia entre el individuola capacidad de los componentes (incluyendo la capacidad humana) y requisitos de la tarea;no controladaperturbaciones ambientales (por ejemplo, interferencia electromagntica o EMI);insuficientemantenimiento;degradacin fsica (wearout);etctera.Fallos de los componentes se pueden prevenir mediante el aumento de la integridad o resistenciadel componente a las influencias internas o externas o mediante la construccin de los mrgenes de seguridado factores de seguridad.Tambin pueden ser evitados por los controles operacionales, tales comoel funcionamiento del componente dentro de su sobre diseo y por las inspecciones peridicas ymantenimiento preventivo.Controles de fabricacin pueden reducir las deficiencias o defectosintroducido durante el proceso de fabricacin.Los efectos de componente fsicofracaso en el comportamiento del sistema puede ser eliminado o reducido mediante el uso de la redundancia.Laimportante diferencia de otros modelos de causalidad es que SELLO va ms allsimplemente culpar a fallas en los componentes de los accidentes al exigir que las razones seanidentificadas por qu ocurrieron esos fracasos (incluyendo factores sistmicos) y llevado a unaccidente, que es, por qu los controles instituidos para la prevencin de este tipo de fallos o para reducir al mnimosu impacto en la seguridad se encuentra o inadecuada.E incluye otratipos de causas de accidentes, como los accidentes de interaccin de componentes, que son cadams frecuente con la introduccin de nuevas tecnologas y nuevos roles paralos seres humanos en el control del sistema.SELLO no se presta a una representacin grfica sencilla de causalidad de accidentes(Vase el grfico 4.7).Si bien domin, cadenas de eventos, y agujeros en el queso suizo son muyconvincente porque son fciles de entender, que simplifican la causalidad y por tanto laenfoques utilizados para prevenir accidentes.4.5 Un general de clasificacin de las causas de accidentesA partir de las definiciones bsicas en STAMP, las causas generales de los accidentes puedenidentificarse utilizando sistemas bsicos y la teora de control.La clasificacin resultante estil en el anlisis de accidentes y las actividades de prevencin de accidentes.Los accidentes en STAMP son el resultado de un proceso complejo que resulta en el sistemacomportamiento que viola las restricciones de seguridad.Las restricciones de seguridad son impuestas por elbucles de control entre los diferentes niveles de la estructura de control jerrquico queestn en su lugar durante el diseo, desarrollo, fabricacin y operaciones.Usando el modelo de causalidad STAMP, si hay un accidente, uno o ms de lasiguiente debe haber ocurrido:1. Las restricciones de seguridad no fueron ejecutadas por el controlador.a.Las acciones de control necesarias para hacer cumplir la restriccin de seguridad asociado alcada nivel de la estructura de control sociotechnical para el sistema no fueraproporcionado.b.Se proporcionaron Las acciones de control necesarias, pero en el momento equivocado (demasiadopronto o demasiado tarde) o detenido demasiado pronto.c.Se proporcionaron las acciones de control inseguras que caus una violacin de la seguridadrestricciones.Se proporcionaron 2. acciones de control adecuadas, pero no siguieron.Estos mismos factores generales se aplican en cada nivel de la estructura de control sociotcnico,pero la interpretacin (aplicacin) del factor en cada nivel puede variar.Clasificacin de los factores causales de accidentes comienza examinando cada uno de los bsicoscomponentes de un circuito de control (vase el grfico 3.2) y cmo su inadecuada determinacinoperacin puede contribuir a los tipos generales de control inadecuado.La figura 4.8 muestra la clasificacin.Los factores causales de los accidentes se pueden dividiren tres categoras generales: (1) la operacin del controlador, (2) el comportamiento de los actuadoresy controlada procesos, y (3) la comunicacin y la coordinacin entrecontroladores y tomadores de decisiones.Cuando los seres humanos estn implicados en la estructura de control,mecanismos de contexto y el comportamiento de conformacin tambin juegan un papel importante encausalidad.4.5.1 Funcionamiento del controladorEl funcionamiento del controlador tiene tres partes principales: entradas de control y otros relevantesfuentes de informacin, los algoritmos de control, y el modelo de proceso.Inadecuada,acciones de control ineficaces, o faltantes necesario para hacer cumplir las restricciones de seguridady garantizar la seguridad puede deberse a defectos en cada una de estas partes.Para humanacontroladores y actuadores, el contexto es tambin un factor importante.Inseguras entradas (en la figura 4.8)Cada controlador en la estructura de control jerrquico es en s controlado por higherlevelcontroladores.Las acciones de control y otra informacin proporcionada por el mayornivel y la requerida para un comportamiento seguro pueden ser falta o est mal.Usando el Halcn Negroejemplo fuego amigo de nuevo, se les dio a los F-15 pilotos que patrullaban la zona de exclusin areainstrucciones para cambiar a un modo no atascado de radio para obtener una lista de tipos de aeronaves queno tena la capacidad de interpretar las emisiones atascado.Helicpteros Halcn Negrono haba sido actualizado con nueva tecnologa anti-jamming pero fueron omitidas dela lista y as no poda escuchar los programas de radio F-15.Otros tipos de falta ononcontrol entradas errneas tambin pueden afectar el funcionamiento del controlador.Inseguro Algoritmos de Control (en la figura 4.8)Algoritmos en este sentido son tanto los procedimientos diseados por los ingenieros de hardwarecontroladores y los procedimientos que utilizan los controladores humanos.Algoritmos de controlno pueden hacer cumplir las restricciones de seguridad debido a que los algoritmos estn diseados de forma inadecuadaOriginalmente, el proceso puede cambiar y los algoritmos convertido en insegura, o el controlalgoritmos pueden ser inadecuadamente modificados por mantenedores si se automatizan los algoritmosoa travs de los diversos tipos de adaptacin natural si se aplican porlos seres humanos.Algoritmos de control Humanos se ven afectados por la formacin inicial, por los procedimientosproporcionada a los operadores a seguir, y por la retroalimentacin y la experimentacin con el tiempo(Vase el grfico 2.9).Los retrasos son una consideracin importante en el diseo de algoritmos de control.Cualquierbucle de control incluye retardos de tiempo, tales como el tiempo entre la medicin deparmetros del proceso y recibir esas medidas o entre la emisin de unacomando y el momento en que el estado del proceso cambia realmente.Por ejemplo, pilotoretrasos de respuesta son momento importante est por eso debe ser considerado en el diseo de lafuncin de control de TCAS5u otra aeronave sistemas, al igual que el tiempo se queda en el controladoproceso - la trayectoria de la aeronave, por ejemplo - causado por el funcionamiento del avinlimitaciones.Los retrasos pueden no ser directamente observable, pero pueden necesitar ser inferido.Dependienteen donde en el circuito de retroalimentacin se produce el retraso, diferentes algoritmos de control sonnecesaria para hacer frente a los retrasos [25]: el tiempo muerto y constantes de tiempo requieren unalgoritmo que permite predecir cuando se necesita un recurso ante elnecesitar.Comentarios retrasos generan requisitos de predecir cundo una accin de control previoha entrado en vigor y que los recursos estarn disponibles de nuevo.Tales requisitos puedenimponer la necesidad de algn tipo de lazo abierto o estrategia de alimentacin directa para hacer frente aretrasos.Cuando retrasos de tiempo no se consideran adecuadamente en el algoritmo de control,accidentes pueden resultar.Leplat ha sealado que muchos accidentes se relacionan conla evolucin asncrono[112],donde una parte de un sistema (en este caso la estructura de control de seguridad jerrquica)cambios sin los cambios necesarios relacionados en otras partes.Los cambios en los subsistemaspuede ser diseado con cuidado, pero la consideracin de sus efectos en otras partes delsistema, incluyendo los aspectos de control de seguridad, puede ser descuidado o inadecuado.Asincrnicoevolucin tambin puede ocurrir cuando una parte de un sistema diseado correctamentedeteriora.En ambos de estos casos, las expectativas errneas de los usuarios o los componentes del sistemasobre el comportamiento del subsistema cambiada o degradados pueden dar lugar a accidentes.El Ariane 5 trayectoria cambiado de la del Ariane 4, pero la referencia inercialsoftware del sistema no se ha cambiado.Como resultado, una suposicin de la referencia inercialsoftware fue violada y la nave se perdi poco despus del lanzamiento.Un factoren la prdida de contacto con SOHO (Solar Observatorio Heliosfrico), una cientficanave espacial, en 1998 fue la falta de comunicacin a los operadores de que un funcionalel cambio se haba hecho en un procedimiento para realizar giro giroscopio hacia abajo.El Halcn Negroamigable accidente de fuego (analizada en el captulo 5) tena varios ejemplos de asncronoevolucin, por ejemplo, la misin cambi y una tecla individual a la comunicacinentre la Fuerza Area y el Ejrcito de la izquierda, dejando la estructura de control de seguridad sinun componente importante.La comunicacin es un factor crtico aqu, as como el monitoreo de los cambios quepuede ocurrir y retroalimentando esta informacin para el control de nivel superior.Por ejemplo,el proceso de anlisis de la seguridad que genera limitaciones siempre implica algn bsicasupuestos sobre el entorno operativo del proceso.Cuando el entornocambios de tal manera que esas suposiciones no son ciertas, como en el Ariane 5 yEjemplos SOHO, los controles en el lugar se vuelvan inadecuados.Marcapasos Embeddedproporcionar otro ejemplo.Estos dispositivos se supuso originalmente para ser utilizadoslo en los adultos, que sera mentir tranquilamente en la oficina del doctor s, mientras que el marcapasos eraser "programada."Ms tarde, estos dispositivos comenzaron a ser utilizados en nios, y lasuposiciones bajo las cuales se llev a cabo el anlisis de peligros y los controles fueronDiseado ya no celebrada y necesitaba ser revisado.Un requisito para la eficaciaactualizacin de los algoritmos de control es que los supuestos de la original (y posterior)El anlisis se registran y recuperables.Inconsistentes, incompletos o incorrectos modelos de procesos (en la figura 4.8)Seccin 4.3 declar que el control eficaz se basa en un modelo del estado del proceso.Los accidentes, accidentes de interaccin particular de los componentes, lo ms a menudo el resultado deinconsistencias entre los modelos del proceso utilizado por los controladores (tantohumana y automatizada) y el estado real del proceso.Cuando el modelo del controlador 's deel proceso (ya sea el modelo mental humana o el modelo de software o hardware)diverge de las estatales proceso, los comandos de control errneas (basado en la incorrectamodelo) puede dar lugar a un accidente, por ejemplo, (1) el software no saber queel avin est en el suelo y eleva el tren de aterrizaje, o (2) el controlador (automatizadoo humano) no identifica un objeto como amable y dispara un misil contra ella, o(3) el piloto piensa que los controles de la aeronave se encuentran enla velocidad demodo, pero el equipo tienecambiado el modo deabrir el descensoy el piloto se comporta de manera inapropiada para esemodo, o (4) el equipo no piensa que la aeronave ha aterrizado y anula elintentos pilotos para operar el sistema de frenado.Todos estos ejemplos tienen en realidadocurrido.Los modelos mentales de los desarrolladores de sistemas tambin son importantes.Durante softwaredesarrollo, por ejemplo, los modelos de comportamiento requerido de los programadores no puedencoincidir con los modelos de los ingenieros (comnmente conocidos como los requisitos de softwareerror), o el software pueden ser ejecutadas en el hardware del ordenador o pueden controlarsistemas fsicos durante las operaciones que difieren de lo que fue asumida por el programadory se utiliza durante la prueba.La situacin se complica ancuando hay varios controladores (tanto humanos como automatizados) porque cada uno desus modelos de procesos tambin deben mantenerse consistente.La forma ms comn de incompatibilidad se produce cuando uno o ms procesosmodelos es incompleta en trminos de no definir el comportamiento adecuado para todos es posibleestados del proceso o todas las perturbaciones posibles, incluyendo no controlada o malfallos de los componentes manejados.Por supuesto, no hay modelos estn completos en lo absolutosentido: El objetivo es hacer a completar lo suficiente que no hay restricciones de seguridad sonviolado cuando se utilizan.Se presentan criterios para la integridad en este sentidoenSafeware, y el anlisis completo est integrado en el nuevo anlisis de peligrosmtodo que se describe en el captulo 9.Cmo funciona el modelo de proceso sea incoherente con el estado real del proceso?El modelo de proceso diseado en el sistema (o proporcionado por la formacin si el controladores humano) puede ser mal desde el principio, puede haber faltante o incorrectaretroalimentacin para la actualizacin del modelo de proceso como el proceso controlado cambia de estado,el modelo de proceso se puede actualizar incorrectamente (un error en el algoritmo de lacontrolador), o tiempo rezagos no pueden ser explicados.El resultado puede ser incontroladaperturbaciones, estados de proceso no controladas, comandante accidental del sistema enun estado peligroso, no controlada o mal manejado componente de proceso controladofracasos, y as sucesivamente.La retroalimentacin es de importancia crtica para la operacin segura del controlador.Un bsicoprincipio de la teora de sistemas es que ningn sistema de control se obtienen mejores resultados que sucanal de medicin.La retroalimentacin puede ser falta o inadecuada porque tal retroalimentacinno est incluido en el diseo del sistema, existen fallas en la supervisin o retroalimentacincanal de comunicacin, las votaciones no es oportuna, o el instrumento de medicinopera inadecuadamente.Un factor que contribuye citado en el informe del accidente Cali B757, por ejemplo, fue elomisin de los waypoints6detrs de la aeronave de pantallas de cabina, lo que contribuya la tripulacin sin darse cuenta de que el punto de referencia para los que buscaban sedetrs de ellos (falta de retroalimentacin).El modelo de la actitud Ariane 501 utilizado por lasoftware de control de actitud se hizo incompatible con la actitud lanzador cuando unmensaje de error enviado por el sistema de referencia inercial fue interpretado por la actitudsistema de control como datos (procesamiento incorrecto de la retroalimentacin), haciendo que la nave espacialordenador de a bordo para emitir un comando incorrecto y peligroso para el refuerzo yboquillas principales del motor.Otras razones de los modelos de procesos de divergen del verdadero estado del sistema puedeser ms sutil.Informacin sobre el estado del proceso tiene que ser inferido a partir de mediciones.Por ejemplo, en la aeronave II sistema de prevencin de colisiones TCAS, relativaposiciones de rango de otras aeronaves se calcula en base a la propagacin de mensajes de ida y vueltatiempo.La funcin de control terico (ley de control) utiliza los verdaderos valores de lalas variables controladas o estados de componentes (por ejemplo, las posiciones de aviones verdaderos).Sin embargo,en cualquier momento, el controlador tiene slo valores de medicin, que pueden ser objeto de tiemporetrasos o imprecisiones.El controlador debe utilizar estos valores medidos para inferir la verdadcondiciones en el proceso y, si es necesario, para derivar acciones correctivas para mantenerel estado del proceso requerido.En el ejemplo TCAS, sensores incluyen dispositivos de a bordotales como altmetros que proporcionan altitud medida (no necesariamente verdadera altitud) yantenas para comunicarse con otras aeronaves.El actuador TCAS primaria es lapiloto, que pueden o no responder a los avisos del sistema.El mapeo entre elmedidos o valores asumidos y los verdaderos valores pueden ser defectuoso.En resumen, los modelos de procesos pueden ser incorrecta desde el principio - dondecorrecta se define en trminos de coherencia con el estado del proceso actual y conlos modelos utilizados por otros controladores - o pueden llegar a ser incorrecta debido ade retroalimentacin o imprecisiones de medicin errneos o faltantes.Tambin pueden serincorrecta slo por perodos cortos de tiempo debido a desfases en el bucle de proceso.4.5.2 Los actuadores y procesos controlados (en la figura 4.8)Los factores discutidos inadecuado control hasta el momento han participado.El otro caso se producecuando los comandos de control mantienen las restricciones de seguridad, pero el controladasproceso puede no aplicar estos comandos.Una de las razones podra ser un fallo o defectoen el canal de referencia, es decir, en la transmisin de comandos de control.Otrorazn podra ser un actuador o culpa componente controlado o fracaso.Una tercera es quela seguridad del proceso controlado puede depender de las aportaciones de otros componentes del sistema,tales como la energa, para la ejecucin de las acciones de control proporcionado.Si estosentradas de proceso no estn presentes o inadecuada de alguna manera, el proceso de controlador puedesean incapaces de ejecutar los comandos de control y los accidentes pueden resultar.Por ltimo, haypueden ser perturbaciones externas que no son manejados por el controlador.En una estructura de control jerrquico, los actuadores y proceso controlado puedes ser un controlador de un proceso de nivel inferior.En este caso, los defectos en la ejecucinel control son los mismos descritos anteriormente para un controlador.Una vez ms, estos tipos de defectos no simplemente se aplican a las operaciones o para lasistema tcnico, sino tambin para el diseo y desarrollo del sistema.Por ejemplo, una comndefecto en el desarrollo del sistema es que la informacin de seguridad recolectada o creada porlos ingenieros de seguridad del sistema (los peligros y las restricciones de diseo necesarias paracontrolarlos) est inadecuadamente comunicado a los diseadores de sistemas y probadores, oque existen fallas en el uso de esta informacin en el proceso de desarrollo del sistema.4.5.3 Coordinacin y comunicacin entre los controladores y los tomadores de decisionesCuando hay varios controladores (humanos y / o automatizada), controlar las accionespueden ser inadecuadamente coordinados, incluyendo efectos secundarios inesperados de decisioneso acciones o acciones de control en conflicto.Fallas de comunicacin juegan un importantepapel aqu.Leplat sugiere que los accidentes son ms probables enlas zonas de solapamientoo enfronterareaso donde dos o ms controladores (humanos o automatizados) controlan el mismoproceso o procesos con fronteras comunes (figura 4.9) [112].En tanto lmitey la superposicin de reas, existe la posibilidad de ambigedad y de conflictos entredecisiones independientes.La responsabilidad de las funciones de control en las zonas de frontera es a menudo mal definido.Por ejemplo, Leplat cita una planta siderrgica donde ocurrieron los accidentes frecuentesen el lmite del departamento de alto horno y el departamento de transporte.Unoconflicto surgi cuando una seal informando a los trabajadores del transporte del estado de la explosinhorno no funcionaba y no fue reparado porque cada departamento estaba esperandopara el otro para arreglarlo.Faverge sugiere que dicha disfuncin puede estar relacionado con elnmero de niveles de gestin que separan a los trabajadores en los departamentos de unagerente comn: Cuanto mayor sea la distancia, ms difcil la comunicacin,y por lo tanto mayor es la incertidumbre y el riesgo.Los problemas de coordinacin en el control de las zonas de frontera son moneda corriente.Como se mencionantes, un satlite Milstar se perdi debido a insuficiente control de actitud de la Titan /Centauro vehculo de lanzamiento, que utiliza un modelo de proceso incorrectos basado en errneaentradas en una cinta de carga de software.Despus del accidente, se descubri que nadiehaba probado el software utilizando la cinta de carga real - cada grupo involucrado en las pruebasy la garanta haba asumido algn otro grupo estaba haciendo.En el desarrollo del sistemaactividades del proceso, ingeniera de sistemas y de garanta de la misin estaban desaparecidos oControl ineficaz y una comn o funcin de gestin era bastante distante delos grupos de desarrollo y aseguramiento individuales (vase el apndice B).Un factoren la prdida de los helicpteros Halcn Negro de fuego amigo en el norte de Irak fueque los helicpteros volaron normalmente slo en las zonas limtrofes de la zona de exclusin area yprocedimientos para el manejo de las aeronaves en esas reas fueron mal definidos.Otro factor fueque una base del Ejrcito controlaba los vuelos de los Black Hawks, mientras que una fuerza areabase controladas todos los otros componentes del espacio areo.Un punto de control comnuna vez ms estaba muy por encima de donde se produjo el accidente en la estructura de control.EnAdems, existan problemas de comunicacin entre las bases del Ejrcito y de la Fuerza Areaen los niveles de control intermedios.reas de superposicinexisten cuando una funcin se consigue mediante la cooperacin de los dos controladoreso cuando dos controladores ejercen influencia sobre el mismo objeto.Tal solapamientocrea el potencial para el conflicto acciones de control (interacciones disfuncionalesentre las acciones de control).Leplat cita un estudio de la industria del acero que se encuentra 67por ciento de los incidentes tcnicos con daos materiales se produjo en reas de co-actividad,aunque stos representan slo un pequeo porcentaje de la superficie total de la actividad.En unaAccidente de A320 en Bangalore, India, el piloto haba desconectado su director de vuelodurante la aproximacin y supone que el copiloto iba a hacer lo mismo.El resultado serahan sido una configuracin del modo en el que la velocidad area se controla automticamente porel acelerador automtico (lavelocidad demodo), que es el procedimiento recomendado para lafase de aproximacin.Sin embargo, el copiloto no se haba apagado su director de vuelo, lo quesignificaba queel descenso abiertamodo se convirti en activo cuando se ha seleccionado una altitud ms bajaen lugar dela velocidad demodo, con el tiempo que contribuye a la cada de la aeronave de cortola pista [181].En derribo los Black Hawks 'por fuego amigo, la vigilancia de las aeronavesoficial (ASO) pensaba que era responsable nicamente de la identificacin y seguimientoaviones al sur del paralelo 36, mientras que el controlador de trnsito areo para la zonaal norte del paralelo 36o pens que la ASO tambin estaba rastreando y la identificacin de las aeronavesen su rea y actuado en consecuencia.accidente fue la falta de coordinacin entre el TCAS en el aire (prevencin de colisiones)sistema y el controlador de trnsito areo suelo.Cada uno de ellos dieron diferente yavisos contradictorios sobre cmo evitar una colisin.Si ambos pilotos haban seguido unao el otro, la prdida se habra evitado, pero uno seguido del asesoramiento TCASy el otro sigui la asesora de control de trfico areo de tierra.4.5.4 Contexto y Medio AmbienteLa toma de decisiones humana imperfecta puede ser resultado de informacin incorrecta e inexactamodelos de proceso, tal como se describe anteriormente.Pero el comportamiento humano tambin es enormementeafectado por el contexto y el entorno en el que el ser humano est trabajando.Estosfactores han sido llamados "mecanismos de comportamiento conformacin."Si bien los sistemas de valores yotras influencias en la toma de decisiones pueden ser considerados como entradas al controlador,describindolos de esta manera simplifica su papel y origen.Una clasificacin delos mecanismos contextuales y el comportamiento de conformacin es prematuro en este punto, peroprincipios y heursticas pertinentes se aclaran durante todo el resto del libro.4.6 Aplicacin del Nuevo ModeloEn resumen, SELLO centra especial atencin en el papel de las restricciones engestin de la seguridad.Los accidentes son vistos como el resultado de un control inadecuado ola aplicacin de las restricciones sobre el comportamiento relacionado con la seguridad en cada nivel del sistemalas operaciones de desarrollo y sistema de control de las estructuras.Los accidentes pueden ser entendidosen cuanto a por qu los controles que se encontraban en el lugar no prevenir o detectar desadaptativacambios.Anlisis causal de accidentes basado en STAMP comienza con la identificacin de las limitaciones de seguridadque se violaron y luego determina qu los controles diseados para cumplirlas restricciones de seguridad eran insuficientes o, si fueran potencialmente adecuada, por quel sistema no ha podido ejercer un control adecuado sobre su aplicacin.En esta concepcin de la seguridad, no existe una "causa raz."En cambio, el accidente" causa "se compone de una estructura de control de seguridad inadecuada que bajo algunas circunstanciasconduce a la violacin de una restriccin de seguridad conductual.La prevencin de accidentes en el futurorequiere reingeniera o el diseo de la estructura de control de seguridad para ser ms eficaces.Debido a que la estructura de control de la seguridad y el comportamiento de los individuos en ella, comocualquier sistema fsico o social, cambios en el tiempo, los accidentes debe ser visto comoprocesos dinmicos.Mirando slo en el momento de los eventos de prdida proximales distorsiona yomite a la vista los aspectos ms importantes del proceso de accidente mayor que sonnecesaria para prevenir la recurrencia de las prdidas por las mismas causas en el futuro.Sin ese punto de vista, vemos y fijamos slo los sntomas, es decir, los resultados de la defectuosaprocesos y adecuada estructura de control de seguridad sin llegar a las fuentes deesos sntomas.Para entender los aspectos dinmicos de los accidentes, el proceso que conduce a la prdidapuede ser visto como una funcin de realimentacin adaptativo donde el sistema de control de seguridadel rendimiento se degrada con el tiempo que el sistema intenta cumplir con un conjunto complejo deobjetivos y valores.La adaptacin es fundamental en la comprensin de los accidentes, y la adaptacinmecanismo de retroalimentacin inherente al modelo permite un anlisis SELLO incorporarla adaptacin como una propiedad fundamental del sistema.Hemos encontrado en la prctica que el uso de este modelo nos ayuda a separar los hechosdatos de las interpretaciones de los datos: Si bien los eventos y datos fsicosinvolucrados en accidentes pueden ser claros, su importancia y las explicaciones de por qulos factores se presente son a menudo subjetiva como es la seleccin de los eventos aconsiderar.CUPONES modelos tambin son ms completa que la mayora de los informes de accidentes y otrosmodelos, por ejemplo ver [9, 89, 140].Cada una de las explicaciones de la incorrectaEntrada FMS deRen el accidente Cali American Airlines describe en el captulo 2, paraejemplo, aparece en el anlisis SELLO de ese accidente en los niveles adecuadosde la estructura de control donde operaban.El uso de STAMP ayuda no slo aidentificar los factores, sino tambin para comprender las relaciones entre ellos.Mientras que los modelos CUPONES probablemente no va a ser til en juegos de la ley, ya que no lo hacenasignar la culpa por el accidente a una persona o grupo especfico, ellos proporcionan msayudar en la comprensin de los accidentes forzando examen de cada parte de la sociotcnicosistema para ver cmo se contribuy a la prdida - y no suele sercontribuciones en cada nivel.Tal comprensin debe ayudar en el aprendizaje de cmodisear sistemas ms seguros, incluida la tcnica, de gestin, de organizacin, y reglamentarioaspectos.Para lograr este objetivo, un marco para la clasificacin de los factores que conducen a accidentesfue derivado del modelo bsico accidente conceptual subyacente (vase el grfico4.8).Esta clasificacin se puede utilizar en la identificacin de los factores que intervienen en un concretoaccidente y en la comprensin de su papel en el proceso que conduce a la prdida.El accidenteinvestigacin despus del derribo del Halcn Negro (analizada en detalle en el prximocaptulo) identific 130 factores diferentes implicados en el accidente.Al final, slo seel director senior AWACS fue un consejo de guerra, y fue absuelto.Cuanto msse sabe acerca de un proceso de accidente, el ms difcil es encontrar una persona oparte del sistema responsable, pero la ms fcil es encontrar maneras efectivas para prevenirsucesos similares en el futuro.SELLO es til no slo en el anlisis de los accidentes que se han producido, pero en el desarrollonuevas y potencialmente ms eficaces metodologas de ingeniera de sistemas aprevenir accidentes.Anlisis de peligros puede ser pensado como la investigacin de un accidenteantes de que ocurra.Tcnicas de anlisis de peligros tradicionales, como el anlisis del rbol de fallasy varios tipos de tcnicas de anlisis de fallas, no funcionan bien para muy complejosistemas, por errores de software, errores humanos, y los errores de diseo del sistema.Tampoco sepor lo general incluyen defectos de organizacin y gestin.El problema es que estostcnicas de anlisis de riesgos estn limitados por un enfoque en eventos de fallo y el papel defallos de los componentes en los accidentes;que no tienen en cuenta la interaccin de componentesaccidentes, las funciones complejas que el software y los seres humanos estn asumiendo en alta tecnologasistemas, los factores organizativos en accidentes, y las relaciones indirectasentre los eventos y acciones necesarios para comprender por qu se producen los accidentes.SELLO proporciona una direccin a seguir en la creacin de estos nuevos anlisis de peligros ytcnicas de prevencin.Debido a que en un modelo de sistema de accidente todo empieza desdelimitaciones, el nuevo enfoque se centra en la identificacin de las limitaciones necesarias paramantener la seguridad;la identificacin de las fallas en la estructura de control que puede dar lugar a unaccidente (la aplicacin inadecuada de las restricciones de seguridad);y luego disearuna estructura de control, sistema de fsica y condiciones de funcionamiento que hace cumplir larestricciones.Tales tcnicas de anlisis de peligros aumentan el enfoque de diseo basado fracaso tpicay fomentar una mayor variedad de medidas de reduccin del riesgo de limitarse a aadir redundanciay sobredisear para hacer frente a los fallos de componentes.Las nuevas tcnicas tambinproporcionar una manera de poner en prcticael diseo guiado de seguridadpor lo que el anlisis de la seguridad gua algeneracin de diseo en lugar de esperar hasta que un diseo es completa a descubrir que esinseguro.Parte III se describen formas de utilizar tcnicas basadas en STAMP para evitar accidentesa travs del diseo del sistema, incluyendo el diseo de las condiciones de funcionamiento y laestructura de control de gestin de la seguridad.STAMP tambin se puede utilizar para mejorar el anlisis de rendimiento.La supervisin del rendimientode los sistemas complejos ha creado algunos dilemas.Los ordenadores permiten la coleccinde cantidades masivas de datos, pero el anlisis de los datos para determinar si el sistemase est moviendo hacia los lmites de la conducta segura es difcil.El uso de un accidentemodelo basado en la teora de sistemas y el concepto bsico de las restricciones de seguridad puedenproporcionar orientaciones para la identificacin de las mtricas de seguridad apropiadas y los indicadores adelantados;determinar si el control sobre las restricciones de seguridad es adecuada;la evaluacin de lasuposiciones sobre las fallas tcnicas y los posibles errores de diseo, organizacinla estructura y el comportamiento humano que subyace al anlisis de riesgos;la deteccin de errores enlos supuestos operacionales y ambientales subyacentes al diseo y la organizacinla cultura;y la identificacin de los cambios de mala adaptacin en el tiempo que podaaumentar el riesgo de accidentes a niveles inaceptables.Por ltimo, SELLO seala el camino hacia enfoques muy diferentes a la evaluacin de riesgos.Actualmente, la evaluacin de riesgos est firmemente arraigado en el anlisis probabilstico de falloeventos.Los intentos de extender las tcnicas actuales de DRP al software y otra nuevatecnologa, a la gestin y al control de las actividades humanas cognitivamente complejashan sido decepcionantes.Esta manera de avanzar puede llevar a un callejn sin salida.Significativolos avances en la evaluacin del riesgo para sistemas complejos requerir enfoques innovadoresa partir de una base terica completamente diferente.