AVALIAÇÃO DA METODOLOGIA ATHEANA DE ANÁLISE DE CONFIABILIDADE HUMANA DE SEGUNDA GERAÇÃO

Transcrição

1 AVALIAÇÃO DA METODOLOGIA ATHEANA DE ANÁLISE DE CONFIABILIDADE HUMANA DE SEGUNDA GERAÇÃO Paulo C. Ambros 1 e Roberto Schirru 2 1 Comissão Nacional de Energia Nuclear (CNEN/CODRE RJ) Rua Gal. Severiano, 90, 4 o. andar, Botafogo Rio de Janeiro, RJ pambros@cnen.gov.br 2 Programa de Engenharia Nuclear, COPPE/UFRJ Caixa Postal Centro de Tecnologia Bloco G - Sala 206 Cidade Universitária - RJ CEP Rio de Janeiro schirru@lmp.ufrj.br SUMÁRIO O objetivo deste trabalho é apresentar a metodologia ATHEANA (A Technique for Human Event Analysis) [1] e uma avaliação qualitativa da mesma, sob o ponto de vista prático. Apresentar suas vantagens e deficiências e uma avaliação de sua utilização nas usinas nucleares de Angra dos Reis, Brasil. ATHEANA é uma metodologia de análise de confiabilidade humana (ACH) de segunda geração que alterou os conceitos de falha humana. Integra avanços de psicologia com disciplinas de engenharia, fatores humanos e análise probabilística de segurança (APS). Contém um processo de quantificação e uma interface para a modelagem nas APSs, da contribuição do tipo de erro humano (erro de comissão) verificado em eventos reais sérios, os quais não são considerados pelas metodologias de ACH e APS atualmente em uso. 1. INTRODUÇÃO O fator humano destaca-se como o maior contribuidor para as falhas que tiveram sérias conseqüências como as ocorridas nos acidentes nas usinas nucleares de Three Mile Island, unidade 2 (TMI), nos Estados Unidos, em 1979 e Chernobyl, na Ucrânia, União Soviética, em 1986, e em outras indústrias de alta tecnologia. Como resultado de TMI, numerosas melhorias e modificações foram realizadas pela indústria nuclear norte-americana e que se esperava resolver os problemas dos erros humanos identificados naquele acidente. Entretanto, foi observada uma crescente evidência de que havia um problema de desempenho humano genérico e persistente, que foi revelado em TMI, mas que não foi corrigido: ações intencionais dos operadores baseadas em avaliações erradas da situação, envolvendo o desvio ou bloqueio inadequado da operação dos sistemas de engenharia destinados a mitigar as conseqüências de acidentes, durante os acidentes. Foram identificados 14 eventos operacionais [2] nos quais os operadores executaram ações não requeridas pelos procedimentos de resposta ao acidente e que pioraram as condições da planta. Estas ações, denominadas de erros de comissão, não estão contempladas pelas atuais análises probabilísticas de segurança. Entretanto foram consideradas ser um importante modo de falha humana e precursor de eventos mais sérios. As principais ações identificadas foram: - desligar equipamentos que estão operando; - desviar sinais de partida automática de equipamentos; 1

2 - alterar a configuração da planta para anular intertravamentos destinados a proteger equipamentos; e - esgotar, indevidamente, os recursos da planta (por exemplo, água). As análises de eventos importantes ocorridos mostraram que estas ações são fortemente influenciadas pelos contextos específicos não usuais que ocorrem em situações de acidente. Estes contextos resultam de uma combinação de influências negativas associadas com as condições da planta (na maioria das vezes, diferentes das condições previstas de acidentes assumidas pelos analistas de APS e ACH) e fatores específicos centrados no homem que praticamente predispõem os operadores a cometer erros Introdução: 2. METODOLOGIA ATHEANA A metodologia ATHEANA foi desenvolvida para tratar deste tipo de erro e está baseada no entendimento das causas das falhas na interação homem-sistema, ao invés de uma descrição comportamental e fenomenológica da resposta do operador. Isto representa uma mudança fundamental na abordagem da análise de confiabilidade humana. Os métodos tradicionais de ACH buscam responder a seguinte questão: qual é a probabilidade de um erro randômico do operador sob condições previstas de acidente? Baseada nas análises dos eventos, a pergunta mais adequada seria: Qual é a probabilidade de ocorrer um contexto que força ao erro onde é provável que o operador irá falhar? ATHEANA procura identificar as prováveis oportunidades para o disparo dos mecanismos que causam os erros, os quais podem degradar as condições de segurança. Este foco no contexto que força ao erro é o que distingue a ATHEANA dos demais métodos de ACH. ATHEANA está baseada em uma estrutura de trabalho multidisciplinar desenvolvida para permitir um melhor entendimento do desempenho humano visto em acidentes sérios e seus precursores ocorridos em usinas nucleares. Considera os fatores centrados no homem (isto é, os fatores que formatam o desempenho, PSF- performance shaping factors, tais como interface homem-máquina, conteúdo e formato dos procedimentos e treinamento) e as condições da planta que originam as necessidades de ações e criam as causas operacionais para a interação homem-sistema (isto é, indicações errôneas, indisponibilidade de equipamentos e outras configurações ou operações circunstanciais não usuais). Ela procura descrever a inter-relação entre os mecanismos de erros, as condições da planta e os fatores que formatam o desempenho e as conseqüências dos erros no que se refere em como a planta pode ser colocada em uma condição menos segura. Esta estrutura está mostrada na figura 1 e é discutida em detalhes em [3]. Ela inclui elementos de engenharia e operação de usinas, considerações de APS, engenharia de fatores humanos e ciências comportamentais. Todos estes elementos contribuem para o entendimento da confiabilidade humana e suas influências associadas e foram derivadas da revisão de eventos operacionais realizadas por um grupo de um projeto multidisciplinar representando todas estas disciplinas. 2

3 Contexto que Força ao Erro Erro Humano APS Proj. da Planta, Op. e Manut. Fatores que Formatam o Desempenho Mecanismo de Erro Ação Insegura Evento de Falha Humana Gerenciamento de Risco Condições da Planta Definição do Cenário Figura 1 Estrutura de trabalho multidisciplinar Os elementos da estrutura relacionados com o desempenho humano são os fatores que formatam o desempenho, as condições da planta e os mecanismos de erros. Estes elementos são representativos do entendimento necessário para descrever as causas básicas das ações inseguras (UA- unsafe action: ações que degradam as condições de segurança da planta) e também explicar porque a pessoa pode realizar uma ação insegura. Os elementos relacionados com a APS, denominados de evento de falha humana e definição do cenário representam o próprio modelo da APS. A ação insegura e o evento de falha humana representam o ponto de integração entre a ACH e a APS. A APS tradicionalmente, se concentra nas conseqüências da ação insegura, que ela descreve como erro humano e que é representado pelo evento de falha humana. O evento de falha humana é incluído na APS associado a um estado particular da planta que define o cenário específico do acidente que o modelo da APS representa. Esta estrutura (figura 1) serviu como base para as análises retrospectivas de eventos operacionais reais [3, 4, e 5] que identificaram os contextos onde acidentes severos aconteceram. Acidentes sérios quase sempre envolvem condições não previstas da planta (que estão além do treinamento normal do operador) e PSFs desfavoráveis (normalmente relacionados com procedimentos) os quais criam um contexto em que o operador é, praticamente, levado a cometer o erro (contexto que força ao erro, EFC- error forcing context). Para esclarecer o termo contexto que força ao erro, queremos dizer aquelas condições nas quais uma ação insegura torna-se, significativamente, mais provável de ocorrer quando comparada com outra condição que pode ser, nominalmente, similar em termos de descrição baseada na APS (por exemplo, um acidente de pequena perda de refrigerante do reator com falha da injeção de alta pressão em operar). 3

4 As condições da planta incluem as condições físicas e sua instrumentação. As condições da planta são interpretadas pelos instrumentos (que podem ou não estar funcionando) e são direcionadas para o sistema de monitoração (constituído, por exemplo, por mostradores, indicadores, registradores e computador/impressora). Os operadores recebem as informações do sistema de monitoração e interpretam estas informações (isto é, fazem uma avaliação da situação) usando seus conhecimentos e modelos mentais, formando o modelo da situação corrente. Os operadores e o sistema de monitoração formam a interface homem-máquina. Os mecanismos de erros são mecanismos comportamentais e cognitivos que causam erros humanos e são disparados por condições específicas da planta e PSFs associados. Quando aplicado em um contexto errado, o mecanismo de erro pode levar a ações inadequadas que podem ter conseqüências contra a segurança. Mecanismo de erros não é um comportamento errado, por si só, mas é um mecanismo que permite o operador realizar operações habilidosas e rápidas, por exemplo, a comparação com padrões para selecionar a resposta correta. As ações inseguras são aquelas ações indevidamente tomadas, ou não tomadas quando necessário, pelo pessoal da planta que resultam em uma degradação das condições de segurança da planta. Estas idéias levam a uma outra maneira de representar as observações dos eventos analisados: - o comportamento da planta está fora da faixa esperada; - o comportamento da planta não é entendido; - as indicações do estado atual da planta e seu comportamento não são reconhecidos; e - os planos e procedimentos existentes não são aplicáveis ou úteis Princípio Básico da ATHEANA: Os estudos dos últimos 30 anos identificaram que a causa da maioria dos erros humanos pode ser explicada baseada na maneira pela qual as pessoas processam as informações em situações complexas e de alta demanda e que poucos erros são de origem randômica. O entendimento dos processos cognitivos básicos associados com a monitoração da planta, tomada de decisão e controle é um importante fator para a identificação das causas básicas dos erros. Existem vários modelos de fatores cognitivos associados com o desempenho humano e erros em atividades complexas. ATHEANA baseou-se no trabalho de Emilie Roth [6], o qual está representado na figura 2. O modelo básico que descreve as principais atividades cognitivas requeridas para responder à condições anormais e de emergência são: (1) avaliação da situação, (2) planejamento da resposta, (3) implementação da respostas e (4) monitoração e deteção. (1) Avaliação da situação: compreende a explicação lógica para as informações que estão chegando até o operador. Envolve o desenvolvimento de um modelo mental o qual vai sendo atualizado de acordo com novas informações que chegam. As expectativas criadas deste modelo mental afetam as ações do operador, as quais podem levar erros. Vários fatores interferem nesta atividade que podem gerar modelos mentais errados e levar o operador a cometer ações inadequadas. (2) Planejamento da resposta: refere-se ao processo de tomar a decisão de qual ação tomar. Em geral, envolve o uso do modelo da situação criado para identificar objetivos, gerar e 4

5 Implementação da Resposta Interface Homem- Sistema Monitoração/ Deteção Avaliação da Situação Planejamento da Resposta Sistemas I & C Automação da Planta Modelo da Situação Conhecimento/ Modelo Mental Interno aos operadores Figura 2. Principais atividades cognitivas relativas ao desempenho dos operadores avaliar planos alternativos de resposta e selecionar o plano mais adequado para o modelo da situação corrente. (3) Implementação da resposta: refere-se a tomar as ações de controle específicas para realizar a tarefa planejada. O resultado das ações é verificado pelo retorno das informações do comportamento dos parâmetros. A execução desta atividade requer uma certa atenção, a qual pode ser afetada por diversos fatores. Um dos fatores é a familiaridade com a tarefa. Se a mesma é rotineira, ela será executado automaticamente, requerendo pouco atenção. A implementação da resposta está relacionada com a demanda das atividades cognitivas. (4) Monitoração e deteção: refere-se às atividades envolvidas na obtenção de informações do ambiente. São influenciados por dois fatores fundamentais: a característica do ambiente e o conhecimento e expectativa do operador. Normalmente, em condições de acidente, esta atividade trará uma alta carga para o operador, em vista do enorme número de informações que se tornarão presentes, a qual deverá ser priorizada de acordo com o modelo mental formado e seu entendimento do estado corrente do processo Modelagem: pesquisa e quantificação: A modelagem da ATHEANA inclui uma abordagem melhor e mais completa para a identificação e quantificação do evento de falha humana e a sua inserção na APS. As orientações de como pesquisar os eventos de falha humana estão baseadas no entendimento das causas das falhas humanas como indicado acima. 5

6 A metodologia ATHEANA está baseada em uma série de premissas muito simples que foram identificadas nos eventos analisados e que são: - quando requerido responder à condições anormais nas usinas nucleares, as ações dos operadores são racionais e baseadas nos seus entendimentos das condições da planta; - o entendimento das condições da planta pelos operadores é produzido pelas evidências apresentadas a eles através da interface homem-máquina, sua atenção para as atividades que estão em andamento na planta e seu conhecimento do comportamento dos sistemas da planta; - o entendimento do estado da planta pode ser mal interpretado devido às combinações das condições da planta e fraquezas na interface homem-máquina ou deficiências nos sistemas de ajuda como treinamento e procedimentos sob aquelas condições da planta; - o mal entendimento do estado da planta pelo operador pode levá-lo a tomar ações inadequadas, que podem incluir o desligamento de equipamentos em operação. Estas premissas são utilizadas pela metodologia ATHEANA para identificar e avaliar a probabilidade dos HFEs. Ela compreende os seguintes passos: - Identificar as seqüências de eventos durante as quais os operadores podem desabilitar, impropriamente, equipamentos de segurança que estão operando ou falha em atuar equipamentos necessários (isto é, os tipos de ações inseguras de interesse) e assim criar, potencialmente, importantes contribuições para o risco da planta de danos ao núcleo ou falha da contenção; - Identificar as combinações de condições da planta e fraquezas na interface homemmáquina ou deficiências nas ajudas ao operador que podem confundir o operador e leválo a agir indevidamente em equipamentos de segurança que estão operando, sob aquelas condições da planta; - Estimar a probabilidade destas combinações das condições da planta e fraquezas; - Estimar a probabilidade dos operadores executar ações inseguras de interesse sob aquelas condições; e - Incorporar os efeitos destas ações inadequadas do operador nos modelos lógicos e processos de quantificação da APS. Um evento de falha humana pode resultar de uma entre várias ações inseguras. A aplicação da ATHEANA envolve, para cada HFE, identificar e definir as ações inseguras e os contextos que forçam ao erro associados. O contexto que força ao erro identificado nos processos de pesquisa e seus mecanismos básicos de erros são os meios para caracterizar as causas das falhas humanas. Uma ação insegura pode ser o resultado de uma entre várias causas. A ação insegura é composta do erro e da falha em corrigir este erro antes que ocorra uma falha associada com o evento básico da APS. Portanto, o contexto que força ao erro associado com a ação insegura deve contemplar os fatores que concorrem para o erro inicial e a falha em recuperar. A quantificação em ATHEANA é um processo de dois passos: o primeiro é a quantificação do contexto (condições da planta e PSFs), P(EFCs), e segundo, é a quantificação das ações inseguras, dados os contextos, P(UA/EFC). O processo de quantificação fornece uma probabilidade para a representação do evento básico para a APS, referenciado como evento de falha humana (HFE). Cada HFE pode ser originado de uma ou mais UA, cada uma ocorrendo sob um ou mais contextos. No caso mais simples de somente uma UA levar ao HFE, a UA pode ocorrer ainda sob diversos contextos. Então a quantificação do HFE é calculada como: 6

7 P(HFE) = Σ i P(EFC i ). P(UA/EFC i ) (1) Algumas vezes somente um contexto é quantificado; outras vezes este contexto já está descrito no modelo da APS; algumas vezes contextos alternativos são incorporados através de iterações do processo de pesquisa ou via considerações de incertezas Incorporação da ATHEANA na APS: ATHEANA modificou completamente a maneira de representar o evento de falha humana na APS, principalmente, nas árvores de eventos, pela inclusão de um novo ramo, correspondente ao evento de falha humana, o qual pode levar diretamente a dano ao núcleo. A figura 3 mostra a árvore de eventos sem a incorporação do processo ATHEANA e a figura 4, com a incorporação. TMFW RPS Resfriamento pelo Resfriamento Resfriamento a Secundário do Primário longo termo (F&B) Figura 3 - Árvore de eventos antes da incorporação ATHEANA OK CD OK CD CD ATWS TMFW RPS Operador Resfriamento pelo Resfriamento Resfriamento Inicia/mantém secundário do primário a longo prazo Resfriamento (HFE) OK CD OK CD CD CD ATWS Figura 4 - Árvore de eventos depois da incorporação ATHEANA 7

8 2.5. Análise retrospectiva: A análise retrospectiva foi inicialmente desenvolvida para dar suporte ao desenvolvimento da análise prospectiva da ATHEANA. Entretanto, como a análise retrospectiva amadureceu, tornou-se evidente que esta abordagem seria útil além do mero desenvolvimento da abordagem prospectiva da ATHEANA. Os resultados da análise retrospectiva são ferramentas valiosas para ilustrar e explicar os princípios e conceitos da ATHEANA. Esta abordagem também é útil para o treinamento no uso da metodologia. O objetivo básico da análise retrospectiva é obter um entendimento das causas das falhas humanas dos eventos importantes para o risco. Os resultados destas análises servem para identificar as ações corretivas básicas para diminuir ou evitar a ocorrência de eventos similares, no futuro. Também, na fase atual do desenvolvimento desta tecnologia, estes resultados alimentarão a base de dados para as análises prospectivas. Os elementos da análise retrospectiva são similares aos da análise prospectiva, porém o ponto de partida da avaliação é, significativamente, diferente. Enquanto a análise prospectiva trabalha a partir de uma falha funcional definida na APS para identificar os modos de falha que podem ser causadas pelo comportamento racional do homem, a análise retrospectiva começa com um cenário real para identificar as falhas funcionais que foram causadas pelo homem. A análise prospectiva postula um contexto que força ao erro usando um processo de pesquisa baseado em regras enquanto a análise retrospectiva analise as informações do evento para descobrir os contexto que forçam ao erro. A análise retrospectiva compreende os seguintes passos: (1) Identificar o evento desejado. (2) Identificar as falhas funcionais, os HFEs e as UAs. (3) Identificar as causas das UAs, incluindo as condições da planta e os PSFs. (4) Documentar os resultados. A figura 5 sumariza os resultados da análise retrospectiva do erro de comissão ocorrido no evento de TMI Seleção e treinamento da equipe multidisciplinar: A ATHEANA é aplicada por uma equipe multidisciplinar, com a liderança de um analista de ACH. A equipe deve ser formada por pessoas que possuem um conhecimento e experiência da planta suficientes para fornecer informações e responder às perguntas do processo ATHEANA. É recomendado que a equipe inclua, pelo menos, os seguintes tipos de membros: - um analista de ACH; - um analista de APS; - um instrutor de operadores (com conhecimento de treinamento em simuladores); - um operador senior de reator; e - um especialista da área termo-hidráulica. A equipe pode ser complementada por outros especialistas, se necessário. O treinamento da equipe envolve, entre outros, a familiarização com características de acidentes severos, os princípios básicos e processos da ATHEANA e das ciências comportamentais e cognitivas, 8

9 PSF s Falha no Processamento da Informação Ato Inseguro (UA) HFE Interface homem-máquina (temperatura e posição da válvula de alívio) Desconhecida Op. usam ar de instr. para desentupir linha de resina: umidade provoca o desarme da bomba. Perda de água de alimentação Treinamento (nenhum para LOCA no PZER) Procedimentos (não cobriam LOCA no PZER) Avaliação da situação Op. interromperam fluxo de HPI para evitar que o PZER se tornasse sólido. Falha de resfriamento do reator Condições da Planta Meio da noite vv. alívio com vazamento evento não analisado baixa capacidade térmica dos geradores de vapor desconhecida Op. falharam em recuperar vv. de isolamento de EFW após teste. Falha inicial do resfriamento do secundário Figura 5. Sumário da análise retrospectiva de TMI-2 etc. A revisão de alguns dos eventos (mínimo de dois) documentados no banco de dados HSECS [7] é desejável Reunir informações básicas: Como nos métodos tradicionais de ACH, devem ser reunidas informações básicas da planta relevantes para a análise, como projeto dos sistemas, procedimentos, desenhos, experiência operacional, histórico de falhas de equipamentos e instrumentação. Adicionalmente, todas as informações relevantes relativas à tarefa, objeto da análise, devem ser identificadas e colecionadas, assim como a documentação e resultados da APS. Posteriormente, durante a realização da análise, novas informações poderão ser necessárias. Outra fonte de informação, muito valiosa, é a experiência e as informações do pessoal da usina, as quais não estão registradas, formalmente. A finalidade desta tarefa é desenvolver um entendimento do ambiente onde o operador estará colocado Uso do simulador: A facilidade do simulador em reproduzir eventos e permitir alternativas operacionais é muito útil no processo ATHEANA porque auxilia na identificação de ações inseguras, possíveis mecanismos de erros e contextos que forçam ao erro. Igualmente, as discussões com os 9

10 operadores que estão operando o simulador, permitem tirar informações relevantes para o processo de análise, como expectativas, dificuldades, facilidades, etc Vantagens e deficiências: É inegável a contribuição desta metodologia para o aperfeiçoamento da representatividade das análises probabilísticas de segurança, APS, uma vez que a mesma visa incluir na APS, a contribuição da falha humana causada pelo chamado erro de comissão, EOC, para o cálculo do risco total de dano ao núcleo, os quais não são, atualmente, representados. Apesar das aplicações experimentais da metodologia [8, 9, 10, 11] feitas até o momento terem mostrado que este tipo de erro tem uma pequena contribuição [9, 11] para o risco total, a metodologia identifica importantes precursores e modos de falhas que podem e devem ser corrigidos. No desenvolvimento da ATHEANA foi identificado que os benefícios desta metodologia não se restringiam apenas às aplicações na APS (quantificação do risco). O seu bem estruturado processo de pesquisa dos eventos de falha humana, dos contextos que forçam ao erro e das ações inseguras, associados com os fatores psicológicos que influenciam o desempenho humano permite a identificação de deficiências de treinamento, procedimentos, comunicação e interface homem-máquina, o qual proporciona grandes melhorias nestas áreas resultando em melhorias significativas para a operação segura das usinas nucleares. A análise retrospectiva utilizada, inicialmente, para a identificação dos contextos e das ações inseguras e para a formação de um banco de dados [7] para serem utilizados nas análises prospectivas, também se tornou uma ferramenta útil na análise de causa-raiz e na identificação de ações corretivas mais efetivas de eventos envolvendo a participação humana. A metodologia ATHEANA, desde sua primeira edição, em 1996, vem passando por um processo de aprimoramento em virtude das deficiências iniciais apresentadas, as quais foram comentadas por vários especialistas de ACH/APS. A atual edição, NUREG-1624, Rev. 1, 2000 [1] que representa a terceira revisão desta metodologia, incorporou várias das sugestões dadas por um grupo de renomados especialistas convidado para este fim. Apesar destas melhorias, ela ainda possui algumas deficiências que a tornam de difícil aplicação. Estas deficiências foram citadas por alguns especialistas que fizeram uso experimental da metodologia [8, 9, 10, 11]. A principal deficiência é relativa ao processo de quantificação, o qual não está totalmente integrado na metodologia. Para a quantificação é necessário fazer uso de outros métodos de quantificação de ACH já existentes. Um dos método de quantificação de ACH sugerido pela ATHEANA não foi considerado adequado por alguns especialistas [9, 10] que preferiram utilizar um terceiro método. Algumas etapas deste estágio necessitam do julgamento de especialistas, o que faz com que o processo de quantificação apresente uma variação nos resultados. Para auxiliar na tarefa de quantificação foram emitidos dois documentos [12, 13] fortemente baseados no julgamento de especialistas. Entretanto, a metodologia ATHEANA aborda este processo de uma maneira clara, permitindo aos especialistas (com grande experiência em ACH/APS) identificar, claramente, a tarefa a ser feita. O processo de pesquisa de contextos e desvios do cenário base está bem estruturado, o que permite uma boa análise. Entretanto, por ser uma atividade multidisciplinar que envolve 10

11 necessariamente a participação de especialistas de diversas áreas, como ciências comportamentais, fatores humanos, engenharia, APS, treinamento e operação de usinas, possui certos custos associados que deverão ser adequadamente avaliados. A análise prospectiva gera uma vasta documentação, onde, em alguns tipos de acidentes não seria necessário. O estabelecimento de algum tipo de filtro para determinados tipos de acidentes reduziria a geração desta documentação. É reconhecido [14] que muitos dos aspectos da ATHEANA poderão ser melhorados pelo desenvolvimento de um sistema automatizado de suporte ao usuário. O processo de pesquisa, o qual está sendo refinado, pode tornar-se menos trabalhoso e mais consistente se ele for orientado por um programa de computador interativo, com perguntas para guiar o usuário. A habilidade para relacionar o processo de pesquisa dos EFCs com um banco de dados de eventos reais poderia transformar esta pesquisa em um processo baseado em exemplos. Entretanto, por ser ainda uma tecnologia em aperfeiçoamento, as deficiências apontadas, principalmente, as relativas à quantificação, ainda não permitem uma utilização mais ampla da metodologia, mesmo tendo ocorrido a emissão de orientações adicionais [12, 13]. A exemplo de outros desenvolvimentos (por exemplo, THERP [15] e ASEP [16]) é esperado que sejam feitas algumas simplificações e melhorias na metodologia, a fim de facilitar a sua utilização Estado atual da metodologia: Dois documentos [12, 13] foram emitidos para auxiliar na utilização da metodologia. Entretanto, algumas das dificuldades iniciais ainda persistem. Um dos mais importantes passos dado recentemente, em direção à utilização de uma metodologia de segunda geração que representa o estado da arte em ACH, como é a ATHEANA, foi a emissão em julho de 2004, pelo órgão regulatório norte-americano, do NUREG-1792 [17], em versão preliminar para comentários, relativo à Boas Práticas para a Implementação da Análise de Confiabilidade Humana, ACH. Este NUREG-1792 tem a finalidade de dar suporte em ACH para a avaliação probabilística de risco e a implementação do Regulatory Guide [18]. O Regulatory Guide descreve uma abordagem aceitável para determinar a adequabilidade técnica dos resultados da APS para as atividades baseadas em informações de riscos. O NUREG-1792 [17] é um documento de boas práticas de ACH de natureza genérica e não está associado a nenhum método ou ferramenta específico que poderia ser empregado para realizar a ACH, uma vez que existem vários e todos eles possuem pontos fortes e limitações quanto ao seu uso e aplicabilidade. Este NUREG utilizou a experiência adquirida na execução de ACH (por exemplo, NUREG-1150 [19], na revisão de ACH (por exemplo, nos IPEs, NUREG-1560 [20] e nas lições aprendidas no desenvolvimento de métodos de ACH (por exemplo, THERP [15] e ATHEANA[1]). Como boa prática, a NRC entende que a atribuição de uma probabilidade de erro humano, isoladamente, não é mais uma boa prática. As interações das respostas dos equipamentos e dos operadores devem ser investigadas e modeladas, convenientemente, onde o contexto da 11

12 seqüência do acidente é um processo complexo e de múltiplas facetas que pode afetar a definição do evento de falha humana, o qual deve ter a sua probabilidade estimada. Com as recomendações do NUREG-1792 [17], que considera erros pré e pós-iniciador avaliados pelos métodos atuais, a NRC, praticamente, incluiu os critérios da ATHEANA como boas práticas, citando, claramente, onde aplicável, que a ATHEANA é um método aceitável (além de outros), porém sem impor, diretamente, o seu uso. Por outro lado, o NUREG-1792 [17] declara, especificamente, que os erros de comissão estão além dos requisitos atuais da APS e não são, explicitamente, tratadas pelo Regulatory Guide [18]. Entretanto, consistente com o estado da arte de ACH, recomenda que as futuras APS/ACH atentem para identificar e modelar, não somente os erros de omissão, como é feito, atualmente e que deverá continuar, mas, também, os erros de comissão potenciais importantes. O NUREG-1792 [17] cita algumas metodologias que podem ser utilizadas, entre eles, a ATHEANA [1]. Destaca que o uso do risco em qualquer atividade de avaliação deve, pelo menos, assegurar que as condições que favorecem uma provável ocorrência de EOC não existam. Neste sentido, o NUREG-1792 (17) recomenda uma segunda boa prática que é a identificação das condições que propiciam a ocorrência de EOC e a tomada de medidas corretivas necessárias para a sua eliminação. O NUREG-1792 (17) apresenta uma orientação para esta situação, onde se pode observar a forte influência da filosofia da ATHEANA. Destaca que, discussões adicionais sobre situações que podem facilitar a ocorrências de EOC são fornecidas pelas metodologias ATHEANA [1], CESA [21] e JULIUS et al. [22]. Conclui ressaltando que, se a primeira boa prática, a qual não é requerida pelo Regulatory Guide [18], não for tomada, permitirá que o risco total calculado seja otimista, por não considerar esta fonte adicional de risco (EOC). Entretanto, considera que os contextos que levam a EOC são relativamente raros, mas quando acontecem existe uma alta probabilidade que o EOC ocorrerá. Finalmente, recomenda, pelo menos, executar a segunda boa prática (se a primeira não for realizada), para pelo menos identificar, qualitativamente, aquelas condições da planta que podem levar os operadores a cometer erros de comissão e então, corrigí-las, se necessário. Como dito, o NUREG-1792 [17] está sob a forma preliminar para comentários. Porém, podese observar, claramente, que a quantificação dos EOCs ainda é uma dificuldade a ser corrigida e que o processo de pesquisa de cenários, embora trabalhoso, já pode ser considerado como adequado. Entretanto, tanto o processo de pesquisa quanto o de quantificação ainda necessitam de melhorias para a implantação generalizada da metodologia. A emissão do NUREG-1792 [17] embora, ainda em fase preliminar, em cuja estrutura podese constatar a essência da metodologia ATHEANA, marcou o início de uma nova era para a análise de confiabilidade humana, onde o contexto, associado com fatores centrados no homem, passou a ser considerado de importância significativa nas prováveis ações do operador que poderão causar um evento de falha humana. O mesmo processo, lento, porém gradual, ocorreu com outros desenvolvimentos da arte, como por exemplo, com a própria análise probabilística de segurança [23], no final da década de 1980, e a regra de manutenção [24] na década de Com este marco inicial de implantação de metodologias de segunda geração, é esperado que novas orientações e facilidades sejam emitidas para permitir o seu uso geral e irrestrito. 12

13 2.11. Utilização da metodologia ATHEANA nas usinas nucleares de Angra dos Reis: Atualmente, a implantação de tal metodologia nas usinas Angra 1 e Angra 2 da Central Nuclear Almirante Álvaro Alberto em Angra dos Reis, esbarra, além das dificuldades inerentes à própria metodologia (que espera-se que sejam melhoradas), em algumas dificuldades estruturais locais. As duas usinas são de tecnologias diferentes. Enquanto Angra-1 possui a maioria de suas funções de segurança controladas manualmente (exceto a partida inicial dos equipamentos em resposta ao evento iniciador) durante a evolução dos acidentes, Angra-2 possui uma grande automação, onde, nos primeiros 30 minutos após a ocorrência de um evento iniciador, não é requerida nenhuma ação manual do operador. A ATHEANA, que foi criada levando em consideração a tecnologia americana, como é o caso de Angra 1, provavelmente, terá que ser adaptada para sua utilização em Angra-2. Tecnicamente, após superadas as dificuldades inerentes à ATHEANA, é perfeitamente viável a aplicação desta metodologia em Angra-1, uma vez que esta já possui a sua própria APS, que é um dos requisitos básicos. Entretanto, certas dificuldades deverão ser superadas. Entre estas se encontram o custo operacional do projeto e a composição adequada da equipe que irá realizar o processo. A implantação deste projeto consome um tempo considerável de uma equipe multidisciplinar. Como a usina de Angra 1 não possui simulador e nem instrutores de simulador, a composição deste grupo poderá ficar incompleta, o que necessitará de medidas adicionais para compensar estas deficiências. Entretanto, alguns dos diversos aspectos da metodologia poderão ser aplicados mais facilmente, como é o caso da análise retrospectiva e da identificação de contextos propensos ao erro humano, conforme sugerido pela segunda boa prática do NUREG-1792 [17]. Esta metodologia ainda não possui requisitos regulatórios no seu país de origem (Estados Unidos). Até o momento foi emitido um documento, ainda em fase de comentários, sugerindo o uso das metodologias de segunda geração, onde se inclui a ATHEANA, mas sem a necessidade de quantificação pois o tipo de erro que ela aborda, erro de comissão, ainda não é requerido constar nas APSs. O desenvolvimento do estado da arte, provavelmente trará, em um futuro ainda indeterminado, esta quantificação. A obrigatoriedade da utilização da ATHEANA em outros países, por exemplo, no Brasil, dependerá ainda da sedimentação desta arte. Mas, como a exemplo de outros processos já implantados, como a Análise Probabilística de Segurança e a Regra de Manutenção, esta metodologia, se for reconhecida como importante para a segurança, certamente também será utilizada no Brasil. 3. CONCLUSÕES A filosofia da metodologia ATHEANA é uma inovação significativa no aprimoramento da análise de confiabilidade humana por considerar os contextos não usuais criados durante situações de acidentes, como possuidores de características específicas que podem induzir as falhas humanas. Ao associar os fatores físicos, relativos ao comportamento dos parâmetros e informações das condições da planta, com os fatores psicológicos centrados no homem, que afetam a maneira de processar a informação, como gatilhos que acionam os mecanismos de erros nos operadores, ATHEANA alterou drasticamente as bases utilizadas para a análise da confiabilidade humana. 13

14 A ATHEANA não substitui os métodos tradicionais de ACH, os quais tratam, basicamente, dos erros de omissão e tem o seu uso mantido. ATHEANA é uma metodologia complementar que trata dos erros de comissão e foi criada para preencher esta lacuna na ACH. REFERÊNCIAS 1. U.S. Nuclear Regulatory Commission, Technical Basis and Implementation Guidelines for A Technique for Human Error Analysis (ATHEANA), NUREG-1624, Rev. 1, Washington, D.C., May J.V. Kauffman, Engineering Evaluation - Operating Events with Inappropriate Bypass or Defeat of Engineered Safety Features, AEOD/E95-01, Office of Analysis and Evaluation of Operational Data, U.S. Nuclear Regulatory Commission, Washington, DC, July M.T. Barriere, J. Wreathall, S.E. Cooper, D.C. Bley, W.J. Luckas, and A. Ramey- Smith, Multidisciplinary Framework for Human Reliability Analysis with an Application to Errors of Commission and Dependencies, NUREG/CR-6265, Brookhaven National Laboratory, Upton, NY, August M. Barriere, W. Luckas, D. Whitehead, A. Ramey-Smith, D.C. Bley, M Donovan, W. Brown, J. Forester, S.E. Cooper, P. Haas, J. Wreathall, and G.W. Parry, An Analysis of Operational Experience During Low Power and Shutdown and A Plan for Addressing Human Reliability Assessment Issues, Brookhaven Laboratory and Sandia National Laboratories, NUREG/CR-6093, BNL-NUREG-52388, SAND , June S.E. Cooper, A. Ramey-Smith, J. Wreathall, G.W. Parry, D.C. Bley, W.J. Luckas Jr., J.H. Taylor, and M.T. Barriere, A Technique for Human Error Analysis (ATHEANA), NUREG/CR-6350, Brookhaven National Laboratory, Upton, NY, May E.M. Roth, R.J. Mumaw, and P.M. Lewis, An Empirical Investigation of Operator Performance in Cognitively Demanding Simulated Emergencies, NUREG/CR-6208, Westinghouse Science and Technology Center, Pittsburgh, PA, July S.E. Cooper, W.J. Luckas Jr, J. Wreathall, 1995, Human-System Event Classification Scheme (HSECS) Data Base, BNL TECHNICAL REPORT No. L-2415/95-1, Brookhaven National Laboratory, Dublin, OH, December 21, M.A. Stutzke, E.M. Dougherty, Finding the Dominant Risk: A Review of the ATHEANA Method, Human Factors and Reliability Analysis, v. 75, pp.86-88, E.M. Dougherty, Human errors of commission revisited: an evaluation of the ATHEANA approach, Reliability Engineering and System Safety, v. 60, pp , B. Reer, O. Sträter, V.N. Dang, S. Hirschberg, A Comparative Evaluation of Emerging Methods for Errors of Commission Based on Application to the Davis-Besse (1985) Event, Paul Scherrer Institut & GRS, Nuclear Energy and Safety, PSI Bericht Nr , Germany, December M. Fukuda, T. Uchida, M. Hirano, Trial Application of ATHEANA to SGTR in Level 1 PSA for a Japanese PWR, PSAM 5, International Conference on Probabilistic Safety Assessment and Management, Osaka (Japan), 27 Nov-1 Dec 2000, pp , J. Forester, D. Bley, S.E. Cooper, N. Siu, J. Wreathall, Current Status of the ATHEANA Quantification Process and Data Needs, Building the New HRA: Strengthening the Link between Experience and HRA, OECD/NEA Working Group WG-Risk Assessment,Munich, Germany, January

15 13. J. Forester, D. Bley, S.E. Cooper, E. Lois, N. Siu, A. Kolaczkowski, J. Wreathall, Expert elicitation approach for performing ATHENA quantification, Reliability Engineering and System Safety, v. 83, pp , D. Bley, S. Cooper, J.A. Forester, A.M. Kolaczkowski, A. Ramey-Smith, C.M. Thompson, D.W. Whitehead, J. Wreathall, Report (Conference), Philosophy of ATHEANA, International Workshop on Human Reliability Models, Seattle, WA, USA, September A.D. Swain, & H.E. Guttmann, Handbook of Human Reliability with Emphasis on Nuclear Power Plant Applications Final Report, NUREG/CR-1278, Rev. 1, U.S. Nuclear Regulatory Commission, Washington, DC, August, A.D. Swain, Accident Sequence Evaluation Program Human Reliability Analysis Procedure, NUREG/CR-4772, U.S. Nuclear Regulatory Commission, Washington, DC, February, A. Kolaczkowski, J. Forester, E. Lois, S. Cooper, Good Practices for Implementing Human Reliability Analysis (HRA), Draft Report for Comments, NUREG-1792, U.S. Nuclear Regulatory Commission, Washington, DC, July U.S. Nuclear Regulatory Commission, An Approach for Determining The Technical Adequacy of Probabilistic Risk Assessment Results For Risk-Informed Activities, Regulatory Guide For Trial Use, U.S. Nuclear Regulatory Commission, Washington, DC, February U.S. Nuclear Regulatory Commission, Severe Accident Risks: An Assessment for Five U.S. Nuclear Power Plants, NUREG-1150, Vol. 2, U.S. Nuclear Regulatory Commission, Washington, DC, December U.S. Nuclear Regulatory Commission, Individual Plant Examination Program: Perspectives on Reactor Safety and Plant Performance, NUREG-1560, U.S. Nuclear Regulatory Commission, Washington, DC, October B. Reer, V.N. Dang, and S. Hirschberg, The CESA Method and Its Application in a Plant-Specific Pilot Study on Errors of Commissions, Reliability Engineering and System Safety, v. 83, pp , J. Julius, E. Jorgenson, G.W. Parry, and A.M Mosleh, A Procedure for the Analysis of Error of Commission in a Probabilistic Safety Assessment of a Nuclear Power Plant at Full Power, Reliability Engineering and System Safety, v. 50, pp , U.S. Nuclear Regulatory Commission, Individual Plant Examination for Severe Accident Vulnerabilities 10CFR 50.54(f), GENERIC LETTER 88-20, U.S. Nuclear Regulatory Commission, Washington, DC, November 23, U.S. Nuclear Regulatory Commission, Monitoring the Effectiveness of Maintenance at Nuclear Power Plants, Regulatory Guide 1.600, U.S. Nuclear Regulatory Commission, Washington, DC,