sexta-feira, 31 de agosto de 2012

Análise de riscos, recordando...

Recordando, que para isso também é este blogue…


Declaração de interesses:
É sempre arriscado escrever sobre a vida profissional passada.
Mas o tema é esse mesmo, os riscos…
Risco de ser entendido como crítico dos jovens a quem estão cometidas as mesmas funções.
Seria um mau entendimento; orgulho-me de ter contribuído para os que vieram depois de mim saberem mais do que eu.
Não posso dizer que aprendi muito, mas que aprendi com a experiencia, isto é, com os erros e omissões, aprendi.

E isso espero dos mais jovens, que saibam aprender, não se fechem em certezas nem se abriguem em compartimentos estanques, e que ponham hipóteses.
Não é a base do método científico? Aprender com a experiencia e pôr hipóteses?
Este post está escrito em discronia, isto é, misturando factos passados efetivamente acontecidos, com outros que poderiam ter acontecido, ou com factos prováveis eventualmente já acontecidos ou que poderão vir a acontecer.



O incêndio da estação Alameda em 1997 e os contactos com outros metropolitanos e com órgãos de normalização internacional suscitaram no metropolitano de Lisboa o interesse pelo estudo da disciplina de análise de riscos e suas aplicações aos transportes.
Primeiro, logo a seguir ao incêndio, o metro contratou uma firma especializada para fazer a análise exaustiva de todos os sistemas do metro.
O relatório, com todas as árvores de falhas resultantes da análise do histórico de avarias e perturbações de funcionamento, e de entrevistas com os profissionais de cada especialidade, constituiu-se como uma bíblia a respeitar e um guia de análise e de definição de objetivos de correção.
Infelizmente, prevaleceu a doença muito portuguesa de interpretação (a comprovação de que se trata de uma doença nacional é periodicamente demonstrada com os relatórios do PISA, com base nas provas prestadas pelos alunos dos últimos anos do ensino secundário, alunos esses, pelo menos alguns, que serão os gestores de topo dentro de alguns anos), nos níveis de gestão, de manter as coisas importantes inacessíveis e sigilosas.

Digo doença de interpretação porque um documento confidencial não quer dizer que deva estar fechado, sepultado no arquivo.
O tema deveria ter sido amplamente debatido entre os profissionais do metropolitano, e não limitado a alguns.
Dado que o humilde escriba deste blogue exercia as suas funções em áreas técnicas associadas à segurança dos passageiros e da circulação dos comboios, acabou por receber um convite para participar num seminário de análise de riscos no Instituto Superior Técnico.
Foi assim que teve o prazer de voltar por uns dias ao contacto da sua alma mater, para apresentar o pequeno trabalho que poderão consultar no skydrive, em
https://skydrive.live.com/redir?resid=1EBC954ED8AE7F5F!117

A apresentação de comunicações em seminários ou congressos pode gerar, também graças às doenças de interpretação e aos critérios de rigidez hierárquica dos gestores portugueses de topo, situações embaraçosas.
Porque o gestor de topo, por não ter formação técnica em engenharia, pode interpretar, ou recear, que um trabalho original (que possivelmente não compreende em extensão e em profundidade) seja uma afirmação de discordância ou dissidência, por parte do técnico autor, relativamente às estratégias superiormente definidas.
Ou pode simplesmente achar que são ditas coisas a mais, no pressuposto de que o segredo é a alma do negócio.
Na realidade, o segredo não é a alma do negócio, entendido como prestação de um serviço à comunidade.
O segredo neste caso é uma doença, é um ataque que se faz à saúde do negócio (imagine-se o que seria se os laboratórios de investigação não cooperassem na descoberta de vacinas contra epidemias).
Aliás, já é amplamente conhecida a oposição entre o desenvolvimento científico, com a obrigação de divulgação das descobertas desde a academia das ciências do século XVII, em oposição ao desenvolvimento económico, com a guerra das patentes.

O tema da análise de riscos, por ser de interesse público, foi então tratado por mim sem a preocupação de ocultar, por exemplo, causas de acidentes ocorridos em metropolitanos.
Felizmente só recebi a reprimenda depois da realização do seminário, porque alguém se terá queixado ao gestor de topo (que no meio das suas decisões sobre estratégias não terá tido tempo para ler o texto que, de forma bem comportada, eu pus a circular no circuito hierárquico) de que era pouco diplomático eu estar a descrever as causas de acidentes em metropolitanos com que tínhamos relações, como o de Paris (um acidente incrível, um excesso de velocidade não controlada numa curva de parâmetros fora das normas porque na altura da construção da linha havia outra, de uma companhia concorrente, demasiado próxima, e a utilização de um material circulante obsoleto) e o de Londres (um caso de loucura de um maquinista).
Assim se evitou o constrangimento de uma censura prévia.

Na verdade, o tema da comunicação integrava-se na definição de estratégias, uma vez que o seu objetivo era, através de um gráfico, mostrar a importância da comparação da gravidade das consequências de um acidente ou de uma perturbação com a frequência com que podem ocorrer para definir o risco, e da comparação entre os custos do acidente e dos custos das medidas que o evitem (ou reduzam a sua probabilidade) para, ao nível da gestão de topo, serem tomadas as decisões de investir as medidas preventivas ou aceitar o risco e preferir as medidas de remedeio depois do acidente.

O problema também não é assim tão simples, porque, apesar de um histórico de acidentes ou perturbações, interno ou de outros metropolitanos, e de convenções probabilísticas, nomeadamente em questões de software, é difícil definir uma escala de níveis de segurança e entender esses níveis e a sua correspondência com o tipo de acidente ou perturbação.
Por exemplo, na técnica de sinalização ferroviária, pretende-se que qualquer avaria de qualquer componente conduza a uma situação segura (uma avaria num componente ou uma falha no processamento de informações coloca automaticamente o sinal em vermelho, mesmo que o caminho esteja livre).
Mas isso não basta, porque na origem de um acidente ou perturbação e no agravamento das suas consequências pode estar a falha humana.
Por caricatura, pode-se exemplificar com um posto central de comando do movimento dos comboios, em que de repente os seres humanos eram substituídos pelos nossos primos primatas que começavam a carregar aleatoriamente em teclas .

O nível de segurança de um sistema será tanto mais elevado quanto melhor resistir a procedimentos incorretos e impedir que, em consequência deles, sejam executadas pelos comboios em linha manobras perigosas (no fundo, é a teoria dos itinerários incompatíveis, é a impossibilidade de permitir um itinerário sobre outro que já começou a ser percorrido, a impossibilidade de colisão).
Neste sentido, os metropolitanos e as redes ferroviárias têm caminhado para a progressiva instalação de sistemas de controle automático da marcha dos comboios (ATP – automatic train protection) e de condução automática (ATO – automatic train operation) , desviando a responsabilidade de qualquer acidente ou perturbação do fator humano para o fator técnico.
Infelizmente, por mais elevado que seja o nível de segurança do sistema, podem existir janelas de insegurança, e as pessoas terem tendência para considerar os sistemas inseguros, ou, pelo contrário, para condenar os profissionais.
O próprio sistema ATP pode ser contornado, deliberadamente e em certas circunstancias, por uma condução manual não controlada.
Daí a importância de uma regulamentação rigorosa e de uma formação e reciclagem frequente que possibilitem, através da assimilação das razões dos procedimentos e dos perigos em causa, conter os riscos.

Este caso foi brevemente tratado no pequeno trabalho que referi, com o exemplo do acidente no metro de Bangkok, pouco tempo antes, em Janeiro de 2005, seis meses depois do inicio da exploração, apesar da proteção do sistema ATP.
Houve necessidade de fazer avançar um comboio, em condução manual, sobre um outro que tinha avariado no acesso ao parque de oficinas.
De acordo com os regulamentos, só depois do acoplamento estar confirmado é que se aliviam os freios do comboio avariado.
Não foi o que fizeram os profissionais de Bangkok; como o troço tinha uma pendente para a linha em exploração, o comboio avariado, com os freios desbloqueados, deslizou para o meio dos comboios em exploração e acabou por embater num comboio parado (pelo sistema ATP) numa estação, provocando 200 feridos.
Os envolvidos, incluindo os operadores no posto de comando central, foram acusados de negligencia agravada e potenciada por deficiente formação sobre procedimentos de segurança.
A análise dos acidentes tem elevado valor didático, embora eu possa ter sido acusado de alguma morbidez, ao interessar-me sempre que ocorria um acidente.
Na especificação do sistema ATP da linha vermelha, o qual esteve a funcionar de 2000 a 2009, tendo sido retirado de serviço por razões económicas, por decisão da gestão de topo, por altura da expansão da Alameda a S.Sebastião, foram considerados estes constrangimentos.
E mesmo assim, por alguma simplificação do fornecedor, suportada pelas pressas da inauguração da linha para a Expo 1998, algumas deficiências ficaram (lá está, o nível de segurança de um sistema pode variar, desde que acima do razoável).
Por exemplo, as saídas das vias de garagem previstas a jusante das estações de Bela Vista e de Chelas, no caso do maquinista não ter ligado o sistema ATP e arrancado em condução manual, não protegida pelo sistema ATP, poderiam conduzir a uma situação perigosa (de qualquer modo, é sempre possível desligar um sistema ATP; é a sindroma do condutor louco, desligar os sistemas de segurança e ignorar os regulamentos) .
Por isso, o manual de segurança pôs a tónica na regulamentação que proibia as saídas nessas condições, exigindo a comunicação “testemunhada” por terceiro entre o maquinista e o posto de comando central, e a proximidade de um “chefe de estação” para confirmar localmente as condições de segurança.
Medidas técnicas para melhoria da segurança e deteção da manobra perigosa foram então combinadas com o fornecedor (emissão de uma ordem automática de travagem a todos os comboios nas proximidades e redução do espaço à frente do comboio para atualização da informação sobre o espaço livre à frente do comboio, para reduzir o tempo de reação a mudanças de ocupação da via) para instalação quando a linha fosse ampliada para S.Sebastião juntamente com o sistema ATP, o que infelizmente não veio a acontecer.

Evidentemente que o sistema de sinalização automática que foi instalado em substituição tem um nível de segurança suficiente, embora não imune ao síndroma do condutor louco, como qualquer sistema.
Por isso todas as redes de metropolitano devem ter, como o de Lisboa, um grupo de técnicos da especialidade a pensar nestas coisas e nas melhorias cujas necessidades vão sendo detetadas.

O perigo é os gestores de topo acharem, por não terem formação técnica de engenharia ou por estarem condicionados pelas implacáveis reduções de custos da tutela, e por a exploração do metropolitano de Lisboa ter primado pela ausência de acidentes, que o trabalho dos técnicos da especialidade não é necessário, ou demasiado dispendioso, e assim, progressivamente, poderão os passageiros ficar expostos a níveis menores de segurança, dependentes apenas do que os fornecedores entenderem.
O perigo é os gestores de topo acharem que tudo se passa com normalidade, quando normalidade em transportes não é ter um comportamento normal; normalidade é cumprir as regras internacionais normativas de segurança.

A confirmar as minhas preocupações especulativas aconteceu, pouco tempo depois da minha apresentação no seminário do IST, um facto improvável que poderia ter originado um acidente (um acidente acontece com a convergência de várias causas ou circunstancias que normalmente não devem ocorrer ; tal como no tráfego rodoviário, marítimo ou aéreo, se uma ou duas delas ocorrerem mas as outras não, o acidente foi evitado):
Num dos términos de inversão a seguir ao cais de chegada onde saem os passageiros (e sabe-se como é humano os maquinistas sentirem-se mais libertos na condução quando não têm passageiros no comboio) existia, junto do sinal de fim de manobra, um caixote do lixo; houve uma noite em que a senhora da limpeza não repôs o caixote na sua posição; no dia seguinte, um dos maquinistas parou o comboio junto do caixote, sem reparar que o sinal estava mais à frente; quando mudou de cabina e retomou a marcha, como o itinerário com os aparelhos de mudança de via ainda na posição de mudança de via, o comboio avançou sobre o que, entretanto, chegava à estação (porque o comboio prevaricador tinha previamente libertado o sinal de entrada por haver distancia suficiente para o cais de chegada); ambos os maquinistas conseguiram travar a tempo.
Analisada a questão, foi decidida uma série de alterações no sistema de processamento da sinalização de modo a evitar a repetição desta situação perigosa (nomeadamente a obrigatoriedade do aparelho de via retornar à sua posição direta).

Qualquer alteração só pode ser feita pelo fornecedor, que deve sujeitá-la a certificação por entidade exterior.
Da nossa parte há a obrigação da realização de um concurso público (na verdade, a lei da contratação pública permite outras formas que se esperaria serem mais expeditas, mas que no entanto obrigam a outros procedimentos igualmente paralisantes para uma empresa pública como o metropolitano de Lisboa, a qual não tem a liberdade de movimentos com que o governo negocia a privatização das empresas dos contribuintes) e isso também leva tempo e obriga a, em função dos recursos humanos da especialidade disponíveis, a seriar as prioridades das tarefas.
Foi assim que, durante alguns anos, não se conseguiu convencer a gestão de topo a dar prioridade ao concurso para resolução desta questão, que abrangia outros pontos terminais da rede.
Felizmente, numa janela de tempo a seguir ao prolongamento da Alameda para S.Sebastião, conseguiu-se. Já não era sem tempo, como se costuma dizer.

Este facto, porém, não impediu que eu continuasse a ser olhado com desconfiança, ao fazer as minhas análises de risco, por exemplo estendendo ao ramal de acesso à linha em exploração, na estação da Alameda da linha do Oriente (agora do Aeroporto) as mesmas preocupações que tivemos nas saídas das garagens de Bela Vista e de Chelas.
De facto, que aconteceria se um maquinista distraído (ou louco, como disséramos no caso das vias de garagem) resolvesse entrar em contravia na linha do Oriente, a caminho da estação Saldanha e S.Sebastião, ultrapassando o sinal de fim de manobra? Que pensaria a opinião pública?




Claro que é uma situação extrema, de baixa probabilidade, frontalmente oposta ao que está escrito no regulamento, mas o cérebro humano é perigoso, gera riscos quando não cumpre as normas de rigor.
Pode um maquinista ter na sua ideia um itinerário a fazer e o operador do posto de comando central outro itinerário; pensam que estão a falar do mesmo e não estão. Aconteceu uma vez um operador do posto central mandar um maquinista para uma dada via no parque de oficinas; só depois de muita conversa pelo telefone eles perceberam que o operador estava a pensar num dos dois parques e o maquinista estava no outro.

Por isso o regulamento é muito severo e exige a intervenção do tal “chefe de estação” mais próxima (o nome da função é “operador de linha”).
Mas os tempos são de economia e pretende-se que as estações tenham o mínimo de pessoal. De preferencia só para vender bilhetes.
O mesmo no posto de comando central, dificultando a deteção de qualquer movimento anómalo de um comboio.
Criou-se também a ideia que a comunicação rádio resolve tudo (não resolve, se não se respeitarem os procedimentos pode gerar-se confusão, como se disse). Que uma supervisão centralizada economiza pessoal, contrariando assim o conceito de que a segurança ferroviária parte do local para o central, aliás numa metáfora da problemática da gestão das comunidades.

Isso é facilitismo, deixar as pessoas sem uma reciclagem frequente de regulamentos, sem ter a certeza de que as razões dos procedimentos são bem assimiladas, é gerar riscos (recordo o acidente de Clapham Junction, em que o pobre maquinista tinha tido 2 semanas de formação e não viu o sinal, encandeado pelo sol, em plena euforia tatcheriana de privatizações).

Também, desde o término de Santa Apolónia, as decisões dos gestores de topo de economizarem na configuração dos términos gerou términos que obrigam o comboio a mudar de via com passageiros a bordo (o que era interdito por uma regra anteriormente em vigor no metropolitano) e a circular em contravia durante algum tempo. É o caso também do término de S.Sebastião.

Não é bom para os maquinistas terem percursos em contravia com passageiros a bordo (psicologicamente, o fundamento desta afirmação é que o comportamento das pessoas em subterrâneos exige outros cuidados, e os intervalos curtos entre comboios também).

E depois o contexto que nos envolve a todos nestes tempos de penúria induzida, em que as pessoas se sentem ameaçadas e temem pelos seus empregos, apesar do artigo 58 da constituição da República portuguesa, também não ajuda nada.

Terá sido ou não por estas razões que comecei por propor, ao preparar as alterações para o prolongamento de Alameda II a S.Sebastião, que se mudasse um dos aparelhos de via pré-existentes para a posição assinalada no esquema a traço interrompido.
Porém, as razões económicas de simplificação levaram a que o esquema ficasse só com um aparelho de mudança de via, isto é, o acesso à linha faz-se no sentido ramal-Aeroporto e a saída da linha (para a linha verde e para os parques de oficinas) nos sentidos Aeroporto-ramal ou S.Sebastião-ramal. Os outros sentidos são possíveis, mas exigem mais do que uma mudança de cabina para a manobra.

Felizmente existem no metropolitano técnicos que sabem analisar estas questões e encontrar soluções.
Por exemplo, instalação na estação Saldanha, no sentido da contravia, de um sinal repetidor (equipado com baliza de travagem automática quando ultrapassado) do sinal de manobra do aparelho de mudança de via à saída da estação S.Sebastião.
Por exemplo, no sentido central-comboio, codificar através do sistema rádio, mensagens de autorização de acesso à linha em exploração, bloquendo a circulação em exploração, inibindo a marcha do comboio que acede sem a receção desse código e recebendo uma mensagem automática de alarme sempre que o comboio que acede desliga os sistemas de proteção.
Porém, como já referido, estas alterações exigem certificação e tempo.

Por isso, o rigor do regulamento e a reciclagem frequente dos profissionais ainda são o garante da segurança.

Pelo menos enquanto o metropolitano não voltar a ter dinheiro para instalar um sistema ATP, com as melhorias e os requisitos que referi.

E será bom continuar a praticar-se a disciplina de análise de riscos, em debate alargado, à boa maneira do método científico, por mais desconfianças que alguns possam ter.



Sem comentários:

Enviar um comentário