Modelo del Queso Suizo (Reason) en el Análisis Causa Raíz (RCA)
29 de marzo de 2026
El modelo del queso suizo es un marco de causalidad organizacional que postula una premisa directa, según la cual los accidentes industriales no ocurren por la torpeza de un operador sino por la alineación temporal de debilidades distribuidas en múltiples niveles de la organización; James Reason formuló este modelo a partir de la observación de que las instalaciones productivas mantienen su seguridad porque múltiples capas defensivas operan simultáneamente y cada una de esas capas tiene orificios, es decir vulnerabilidades reales que cambian de tamaño y posición según el volumen de trabajo, el estado del personal y la calidad de las decisiones gerenciales; el evento catastrófico se consuma exclusivamente cuando esos orificios de todas las capas se alinean en un instante específico y así se abre una trayectoria libre desde la fuente de daño hasta el objetivo, lo cual se demuestra en incidentes donde fallas que parecen ser aisladas y luego se producen en un mismo momento.
Adoptar este modelo como punto de partida de una investigación cambia radicalmente las preguntas que hace el equipo, por tanto la pregunta habitual, quién cometió el error, se desplaza hacia una más productiva que indaga qué condiciones del sistema convirtieron ese error en inevitable; en entornos de alta complejidad operativa, donde la maquinaria, el personal y las energías peligrosas coexisten de forma continua, esa distinción no es meramente semántica. Si la investigación se limita a la falla activa visible, es decir el acto del operador en la línea de fuego, y se sanciona al individuo, solo se cierra un agujero temporal. Además, lo cual se demuestra en incidentes donde fallas aparentemente independientes se juntan en un mismo momento, las condiciones latentes organizacionales que construyeron ese escenario permanecen intactas y pueden alinearse de nuevo con el siguiente turno y con el siguiente trabajador de modo que el mismo evento vuelve a producirse bajo otra etiqueta.
La forma de operar del modelo del queso suizo consiste en mapear dos estratos de causalidad en sentidos opuestos, por lo que cambia la mirada sobre el riesgo. Primero aparecen las fallas activas, inmediatas y visibles, que se manifiestan como actos inseguros, errores de decisión u omisiones de pasos críticos; luego surgen las condiciones latentes, vulnerabilidades sembradas por decisiones de la alta dirección que se traducen en recortes presupuestarios, eliminación de posiciones técnicas y sistemas de aseguramiento de calidad débiles. Lograr mapear ambos estratos en la misma investigación aporta profundidad para entender no solo el acto visible sino las raíces que lo hicieron posible y así orientar medidas que reduzcan la probabilidad de que esos factores vuelvan a coincidir.
El propósito de usar el modelo del queso suizo en el Análisis Causa Raíz es garantizar que la recomendación de las acciones correctivas alcancen los niveles donde el accidente fue diseñado inadvertidamente y no solo el nivel donde se ejecutó; de modo que, cuando esas acciones corrigen a la vez la falla activa del operador, las condiciones previas que la habilitaron y las decisiones gerenciales que construyeron ese entorno, os lleva a que la probabilidad de recurrencia caiga de forma sostenible y así se reduce la posibilidad de que los mismos factores vuelvan a coincidir.
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252Fwatermark-removed-Gemini_Generated_Image_98ublp98ublp98ub-1776277633338.png%3Falt%3Dmedia%26token%3D575618c1-86e2-404b-a682-9c6efd98f6cf&w=3840&q=75)
Fundamentos del modelo del queso suizo en la investigación de fallas
La teoría de sistemas aplicada a los incidentes industriales establece que los problemas surgen de interacciones disfuncionales entre los componentes de una instalación y no de fallas en un único punto, por tanto el modelo del queso suizo adopta esa premisa sistémica y la convierte en una estructura operativa donde las operaciones seguras fallan cuando no logran mantener múltiples elementos funcionando de forma armónica; así una fuerza laboral motivada, equipos mecánicos confiables, procedimientos actualizados y una supervisión activa conforman los requerimientos básicos para que las capas defensivas permanezcan funcionales, y la degradación de cualquiera de esos elementos abre orificios que por sí solos pueden ser tolerables pero que, cuando se suman y se alinean, permiten que el accidente ocurra.
La norma técnica BS EN 62740 indica explícitamente este modelo como uno de los marcos de causalidad disponibles para orientar la investigación, junto con otros modelos como el análisis de barreras y el de sistemas complejos STAMP, lo que distingue a cada uno es la forma en la se plantean las hipótesis de base, por ejemplo; así el modelo de barreras pregunta qué defensa física o administrativa falló entre el peligro y el objetivo mientras que el modelo de Reason indaga qué condición organizacional permitió que esa defensa fallara, por tanto son preguntas complementarias y combinarlas en investigaciones de alta severidad aporta un diagnóstico más profundo que el que se obtiene con uno solo.
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252Fwatermark-removed-Gemini_Generated_Image_6cf0f86cf0f86cf0-1776281024927.png%3Falt%3Dmedia%26token%3D6d54de50-46d0-446a-8043-77cd253ae5f9&w=1920&q=75)
La distinción crítica entre modelo de pensamiento y técnica de análisis
Una confusión muy frecuente en departamentos de confiabilidad es pensar que el modelo del queso suizo ofrece un procedimiento para una técnica en específico como dibujar un árbol de causas, pero no lo hace, ya que, no genera una hoja de trabajo, no asigna colores a los nodos ni organiza cronologías de eventos. Su aporte es otro, pues nos ayuda a proporcionar digamos un lente cognitivo que orienta al investigador sobre el tipo de causas que debe buscar. Para llegar a convertirse en una investigación práctica requiere de herramientas y técnicas derivadas que traduzcan ese marco en pasos, plantillas y métodos de análisis.
El esquema HFACS (Análisis del Factor Humano y Esquema de Clasificación) operacionaliza las cuatro capas del modelo de Reason como una taxonomía para clasificar el error humano. Funciona como un inventario de categorización que nos permite como analistas etiquetar con precisión qué tipo de falla activa ocurrió en el nivel 1 y qué condiciones en las capas superiores la habilitaron. En cambio, Tripod Beta sí genera un diagrama de árbol completo y riguroso, construyendo el árbol desde el evento focal hacia atrás e identificando el agente de cambio energético, las barreras fallidas, las causas inmediatas, las precondiciones psicológicas y los factores de riesgo organizacionales básicos.
Ambas herramientas surgieron para hacer aplicable en campo lo que el modelo de Reason planteaba de forma abstracta.
Fallas activas y condiciones latentes como los dos estratos del sistema
En el modelo del queso suizo todos los fallos se originan en uno de dos estratos claramente diferenciados.
En el primero están las fallas activas, que incluyen esos actos inseguros como; errores involuntarios de decisión, de habilidad o de percepción y las violaciones deliberadas de normas. Estas violaciones pueden presentarse como violación rutinaria cuando la supervisión las tolera o como violación excepcional cuando son iniciativas aisladas del individuo.
Esta diferencia orienta la respuesta: las violaciones toleradas señalan problemas de supervisión y requieren intervenciones organizacionales, mientras que las infracciones por separado o aisladas suelen abordarse con formación y seguimiento individual.
El segundo estrato agrupa todo lo que son las condiciones latentes, es decir las decisiones y políticas que la alta dirección implementó mucho antes del incidente y que crean vulnerabilidades sistémicas. Entre ellas están prácticas de selección deficientes, recortes en dotación de personal calificado, equipos inadecuados y sistemas de aseguramiento de calidad insuficientes.
Estas condiciones pueden permanecer ocultas durante meses o años y cuando se alinean con una falla activa el accidente deja de ser fortuito y se convierte en el desenlace previsible de decisiones acumuladas.
Las capas de protección del sistema y su dinámica de vulnerabilidades
Una instalación industrial debe de incorporar múltiples capas defensivas entre cualquier fuente de energía peligrosa y el objetivo a proteger, que van desde el diseño inherentemente seguro del proceso y los sistemas de control básico, pasando por alarmas instrumentadas y sistemas de seguridad independientes, hasta protecciones físicas pasivas como diques y válvulas de alivio y los procedimientos de respuesta a emergencias. Cada capa es imperfecta por definición; los agujeros existen desde el primer día de operación y, cuando se alinean, permiten que una falla activa supere las defensas y provoque un incidente.
Lo que el modelo describe no es que esas defensas fallen, sino que los agujeros también se mueven.
La dinámica de la planta, las variaciones en el volumen de trabajo y el estado del personal hacen que las vulnerabilidades cambien de tamaño y posición de forma continua.
Por ejemplo, un supervisor que normalmente interviene a tiempo puede estar cubriendo un turno doble la noche del incidente y un procedimiento que funciona bajo condiciones estándar puede volverse inaplicable cuando la instrumentación acumula falsas alarmas. En consecuencia, mantener los orificios pequeños y alejados entre sí depende de la supervisión constante y de auditorías periódicas de las capas defensivas, prácticas que reducen la probabilidad de que varias vulnerabilidades se alineen y provoquen un incidente.
Cómo se forman y migran los agujeros en el sistema productivo
Los orificios del sistema tienen dos orígenes distintos y los más peligrosos provienen de las condiciones latentes organizacionales porque nadie las percibe como un riesgo activo; por ejemplo, un presupuesto de instrumentación congelado que impide reemplazar una tarjeta defectuosa no activa alarmas en el sistema de gestión y un protocolo de alarmas que lleva meses generando falsas alertas no desencadena una revisión técnica formal. Estas situaciones abren orificios en las capas defensivas de forma silenciosa y acumulativa y, cuando se alinean con una falla activa, convierten un incidente en el desenlace previsible de decisiones previas; por tanto, es imprescindible que la investigación y la gestión del riesgo incluyan la detección proactiva de estas condiciones latentes mediante auditorías y controles que las visibilicen y permitan corregirlas.
Estos orificios generados por las fallas activas son temporales, pero de alto impacto inmediato.
Como el caso de un operador que silencia una alarma genuina por un sesgo de frecuencia porque la ha visto falsa muchas veces durante turnos largos abre un orificio en la capa de detección justo cuando más se necesita. Esa capa no está dañada de forma permanente. Está vulnerada por las condiciones del momento. Esto lo lleva una condición previa del acto inseguro y corresponde al segundo nivel de HFACS.
La alineación de fallas y la trayectoria del accidente
Un evento focal surge cuando los orificios de capas sucesivas se alinean en un instante concreto. Un evento de activación, como la vibración anómala del rodamiento, un pico de presión o la ignición de gas, actúa como vector que atraviesa las defensas vulneradas una a una hasta alcanzar el objetivo. Si cualquiera de las capas hubiera estado íntegra en ese momento, la trayectoria se habría interrumpido. Por tanto, el accidente exige que ninguna defensa intercepte el vector en su recorrido.
El objetivo central del modelo de Reason en el RCA es interceptar y quebrar la alineación de orificios antes de que vuelva a formarse. Sancionar al técnico que ejecutó la falla activa cierra un solo orificio temporal en la última capa del sistema; sin embargo, la tarjeta defectuosa, el turno de doce horas, la tolerancia de la supervisión hacia la anulación de enclavamientos y el congelamiento presupuestario siguen operando en su lugar y construyen silenciosamente las condiciones para el próximo evento. Por tanto, las acciones correctivas que propone el modelo atacan simultáneamente todos esos niveles y esa cobertura sistémica es lo que diferencia una investigación superficial de un análisis que realmente modifica la trayectoria de la organización.
Cursos recomendados
Cómo materializar el modelo del queso suizo en una investigación
Dado que el modelo no dispone de un procedimiento propio, el primer paso operativo es elegir la herramienta o técnica derivada con la que se ejecutará la investigación. Para estudios en los que el componente del error humano es central, el esquema HFACS ofrece el catálogo de clasificación más preciso. Para investigaciones que requieren un diagrama de árbol trazable desde el evento focal hasta las causas latentes organizacionales, Tripod Beta proporciona el vehículo metodológico más completo. En análisis de alta complejidad con múltiples capas fallidas simultáneamente, combinar ambos métodos con un árbol lógico de fallas ofrece un diagnóstico con una cobertura difícil de superar.
La secuencia de trabajo que impone el modelo al facilitador es siempre la misma y no depende de la técnica elegida. Primero se parte del acto inseguro visible. Luego se identifican las condiciones previas que lo habilitaron. A continuación se examina la calidad de la supervisión que gobernaba al personal. Finalmente se rastrean las decisiones organizacionales que construyeron ese entorno. Esta ruta de lo visible a lo latente es la lógica del queso suizo aplicada como protocolo de investigación.
La ruta metodológica desde HFACS hasta Tripod Beta
La investigación comienza en el nivel 1 del esquema HFACS documentando la acción inmediata del trabajador. Antes de juzgarla, el analista precisa el tipo de falla activa.
Si se trata de un error de decisión por procedimiento inadecuado conviene revisar si el procedimiento existía y era aplicable al contexto real.
Si es un error de habilidad por omisión de un paso rutinario corresponde evaluar si la carga cognitiva del momento era razonable.
Si la desviación es una violación rutinaria tolerada por la supervisión debe escalarse al nivel 3 para auditar qué mecanismo de liderazgo permitió que esa conducta se normalizara.
El ascenso al nivel 2 examina las condiciones previas: el entorno físico y tecnológico, el estado fisiológico y psicológico del operador y la calidad de la comunicación entre turnos. Factores como la fatiga acumulada por jornadas extendidas, una interfaz de control que satura al usuario con información irrelevante o la ausencia de comunicación estructurada en el cambio de turno son precursores que el modelo obliga a documentar y cuantificar y no solo a mencionar.
Desde el nivel 3 se evalúa la supervisión inmediata preguntando si las infracciones documentadas fueron corregidas, si las operaciones se planificaron con tiempos realistas y si los líderes intermedios autorizaron correr riesgos bajo presión de producción. Cuando ese nivel muestra que la supervisión toleraba activamente las desviaciones la causa latente apunta a la gestión.
Para el nivel 4 se cierra el análisis examinando las influencias organizacionales profundas, por ejemplo las políticas de recursos humanos, el clima corporativo, los procesos de planificación y la diferencia entre los valores declarados y los valores reales de la organización.
Los cuatro niveles de análisis aplicados paso a paso
En la práctica, el facilitador del análisis trabaja con el equipo natural de trabajo usando el esquema HFACS como guía de preguntas para cada nivel.
Para el nivel 1, la pregunta es: ¿qué hizo exactamente el trabajador y qué tipo de error fue?
En el nivel 2: ¿qué condición del entorno o del estado del operador convirtió ese error en probable?
Desde el nivel 3: ¿qué fallo de supervisión permitió que esa condición existiera en la planta sin ser corregida?
Por último, el nivel 4: ¿qué decisión organizacional sembró esa falla de supervisión?
Cada respuesta abre una línea de evidencia que requiere verificación: entrevistas con el personal de turno, revisión de los registros del SCADA, auditoría de las órdenes de trabajo históricas del activo, revisión de los registros de capacitación y del sistema de gestión de cambios. La calidad de esa evidencia determina si las causas latentes identificadas son sólidas o si quedan como suposiciones que la investigación no pudo sostener con datos.
Ejemplo práctico de aplicación
Un turbocompresor de gas residual clasificado como activo crítico sufrió un fallo catastrófico que provocó una explosión contenida y la paralización del tren de compresión principal; como consecuencia hubo lesiones a un técnico de campo y pérdidas de producción con alto impacto financiero. Al conformar el equipo natural de trabajo el facilitador adoptó el modelo del queso suizo como marco rector antes de elegir cualquier herramienta de diagramación para asegurar que la investigación partiera de la lógica de capas y no de la búsqueda de culpables.
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252F2-1776267163120.png%3Falt%3Dmedia%26token%3D2d1b040e-1106-4a4d-ba53-ea0942ab7cf7&w=2048&q=75)
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252F4-1776270226213.png%3Falt%3Dmedia%26token%3D03e881e7-20e0-4148-95c3-1a3e02a97a3a&w=3840&q=75)
Planteamiento del evento y mapeo inicial de capas
Durante la fase inicial de establecimiento de hechos se constató que el equipo operó con fluctuaciones severas de presión y de temperatura de descarga durante las tres horas previas a la rotura de la carcasa. Además, el operador de sala de control silenció manualmente la alarma de vibración y puenteó el sistema de paro de emergencia al asumir que se trataba de una falla del canal de instrumentación. El registro histórico del SCADA confirmó que ese canal había generado alarmas falsas durante tres semanas por un defecto de fábrica en la tarjeta de adquisición de datos que nunca se reemplazó.
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252F3-1776267391814.png%3Falt%3Dmedia%26token%3D3b2733fc-a455-4c2f-93ec-d1d0a40daeba&w=2048&q=75)
Al revisar las evidencias las conclusiones iniciales tendieron a sancionar al operador; sin embargo, el facilitador detuvo esa deducción y aplicó el esquema HFACS desde el nivel 2. En ese nivel se observó que el entorno tecnológico con alarmas falsas frecuentes creó el contexto en el que el sesgo de frecuencia volvió invisible la alarma real. Además, el operador cumplía jornadas de doce horas por déficit de personal en el período vacacional y por tanto la fatiga aguda se configuró como precondición del acto inseguro.
Descarte de culpa individual e identificación de la brecha gerencial
En el nivel 3 del análisis se constató que los supervisores de turno toleraban la anulación de enclavamientos para evitar paradas espurias. No fue una iniciativa aislada del operador sino una desviación rutinaria normalizada que los líderes intermedios dejaron prosperar sin registro ni corrección formal. Esto solo pudo ocurrir porque en el nivel 4 del sistema había varios orificios abiertos a la vez, por ejemplo el congelamiento del presupuesto de instrumentación, la eliminación de ingenieros residentes de confiabilidad y una cultura que priorizaba volúmenes de entrega sobre la integridad de los activos.
%2520en%2520el%2520An%25C3%25A1lisis%2520Causa%2520Ra%25C3%25ADz%2520(RCA)%252F5-1776270316791.png%3Falt%3Dmedia%26token%3D22dddfba-ee08-4793-8a4a-7c310e512bdc&w=3840&q=75)
De la investigación surgieron cinco acciones correctivas que atacaron simultáneamente cada nivel:
Restablecer el presupuesto de instrumentación para permitir el reemplazo de equipos defectuosos
Eliminar las jornadas de doce horas que generan fatiga acumulada
Prohibir la anulación de enclavamientos sin autorización documentada
Reponer los perfiles de ingeniería de confiabilidad en planta
Revisar las metas de producción para alinearlas con la capacidad real del activo
De las cuales claramente ninguna de esas acciones habría emergido de una investigación que se hubiera detenido en el nivel 1.
Conclusión
El modelo del queso suizo transforma la investigación de incidentes industriales de un ejercicio de asignación de culpas en un diagnóstico sistémico de la organización. Al postular que los accidentes requieren la alineación simultánea de vulnerabilidades distribuidas en múltiples capas, el modelo obliga a los equipos a escalar desde la falla activa visible hasta las decisiones gerenciales que la hicieron posible. Esa escalada no es un ejercicio académico: cada nivel adicional que el análisis alcanza abre una línea de acción correctiva que sin el modelo nunca habría aparecido en el informe.
Su mayor fortaleza operativa en el contexto del RCA es precisamente que no tiene procedimiento propio. Esa aparente limitación es lo que lo convierte en un lente universal: puede orientar una investigación con árbol lógico de fallas, con Tripod Beta, con diagrama de Ishikawa o con los cinco porqués, en cada caso empujando al equipo hacia las capas organizacionales que las técnicas ágnosticas no alcanzan por sí solas. Saber cuándo combinarlo con herramientas de clasificación del error humano como HFACS y cuándo utilizarlo para emparejarlo con un árbol causal completo es la competencia que diferencia un análisis de alta madurez de uno que termina siempre en el mismo nivel.
Las organizaciones que adoptan este marco de pensamiento como estándar de investigación dejan de normalizar los accidentes como eventos fortuitos atribuibles a la imprudencia individual. Construyen en cambio la capacidad institucional de leer sus propias vulnerabilidades antes de que se alineen, y esa capacidad se traduce directamente en activos más confiables, en menor gasto correctivo y en un entorno de trabajo donde el operador de primera línea no tiene que compensar con improvisación lo que la gestión debió haber asegurado con diseño.
Dinos qué te ha parecido el artículo
Modelo del Queso Suizo (Reason) en el Análisis Causa Raíz (RCA)
29 de marzo de 2026
El modelo del queso suizo es un marco de causalidad organizacional que postula una premisa directa, según la cual los accidentes industriales no ocurren por la torpeza de un operador sino por la alineación temporal de debilidades distribuidas en múltiples niveles de la organización; James Reason formuló este modelo a partir de la observación de que las instalaciones productivas mantienen su seguridad porque múltiples capas defensivas operan simultáneamente y cada una de esas capas tiene orificios, es decir vulnerabilidades reales que cambian de tamaño y posición según el volumen de trabajo, el estado del personal y la calidad de las decisiones gerenciales; el evento catastrófico se consuma exclusivamente cuando esos orificios de todas las capas se alinean en un instante específico y así se abre una trayectoria libre desde la fuente de daño hasta el objetivo, lo cual se demuestra en incidentes donde fallas que parecen ser aisladas y luego se producen en un mismo momento.
Adoptar este modelo como punto de partida de una investigación cambia radicalmente las preguntas que hace el equipo, por tanto la pregunta habitual, quién cometió el error, se desplaza hacia una más productiva que indaga qué condiciones del sistema convirtieron ese error en inevitable; en entornos de alta complejidad operativa, donde la maquinaria, el personal y las energías peligrosas coexisten de forma continua, esa distinción no es meramente semántica. Si la investigación se limita a la falla activa visible, es decir el acto del operador en la línea de fuego, y se sanciona al individuo, solo se cierra un agujero temporal. Además, lo cual se demuestra en incidentes donde fallas aparentemente independientes se juntan en un mismo momento, las condiciones latentes organizacionales que construyeron ese escenario permanecen intactas y pueden alinearse de nuevo con el siguiente turno y con el siguiente trabajador de modo que el mismo evento vuelve a producirse bajo otra etiqueta.
La forma de operar del modelo del queso suizo consiste en mapear dos estratos de causalidad en sentidos opuestos, por lo que cambia la mirada sobre el riesgo. Primero aparecen las fallas activas, inmediatas y visibles, que se manifiestan como actos inseguros, errores de decisión u omisiones de pasos críticos; luego surgen las condiciones latentes, vulnerabilidades sembradas por decisiones de la alta dirección que se traducen en recortes presupuestarios, eliminación de posiciones técnicas y sistemas de aseguramiento de calidad débiles. Lograr mapear ambos estratos en la misma investigación aporta profundidad para entender no solo el acto visible sino las raíces que lo hicieron posible y así orientar medidas que reduzcan la probabilidad de que esos factores vuelvan a coincidir.
El propósito de usar el modelo del queso suizo en el Análisis Causa Raíz es garantizar que la recomendación de las acciones correctivas alcancen los niveles donde el accidente fue diseñado inadvertidamente y no solo el nivel donde se ejecutó; de modo que, cuando esas acciones corrigen a la vez la falla activa del operador, las condiciones previas que la habilitaron y las decisiones gerenciales que construyeron ese entorno, os lleva a que la probabilidad de recurrencia caiga de forma sostenible y así se reduce la posibilidad de que los mismos factores vuelvan a coincidir.
Fundamentos del modelo del queso suizo en la investigación de fallas
La teoría de sistemas aplicada a los incidentes industriales establece que los problemas surgen de interacciones disfuncionales entre los componentes de una instalación y no de fallas en un único punto, por tanto el modelo del queso suizo adopta esa premisa sistémica y la convierte en una estructura operativa donde las operaciones seguras fallan cuando no logran mantener múltiples elementos funcionando de forma armónica; así una fuerza laboral motivada, equipos mecánicos confiables, procedimientos actualizados y una supervisión activa conforman los requerimientos básicos para que las capas defensivas permanezcan funcionales, y la degradación de cualquiera de esos elementos abre orificios que por sí solos pueden ser tolerables pero que, cuando se suman y se alinean, permiten que el accidente ocurra.
La norma técnica BS EN 62740 indica explícitamente este modelo como uno de los marcos de causalidad disponibles para orientar la investigación, junto con otros modelos como el análisis de barreras y el de sistemas complejos STAMP, lo que distingue a cada uno es la forma en la se plantean las hipótesis de base, por ejemplo; así el modelo de barreras pregunta qué defensa física o administrativa falló entre el peligro y el objetivo mientras que el modelo de Reason indaga qué condición organizacional permitió que esa defensa fallara, por tanto son preguntas complementarias y combinarlas en investigaciones de alta severidad aporta un diagnóstico más profundo que el que se obtiene con uno solo.
La distinción crítica entre modelo de pensamiento y técnica de análisis
Una confusión muy frecuente en departamentos de confiabilidad es pensar que el modelo del queso suizo ofrece un procedimiento para una técnica en específico como dibujar un árbol de causas, pero no lo hace, ya que, no genera una hoja de trabajo, no asigna colores a los nodos ni organiza cronologías de eventos. Su aporte es otro, pues nos ayuda a proporcionar digamos un lente cognitivo que orienta al investigador sobre el tipo de causas que debe buscar. Para llegar a convertirse en una investigación práctica requiere de herramientas y técnicas derivadas que traduzcan ese marco en pasos, plantillas y métodos de análisis.
El esquema HFACS (Análisis del Factor Humano y Esquema de Clasificación) operacionaliza las cuatro capas del modelo de Reason como una taxonomía para clasificar el error humano. Funciona como un inventario de categorización que nos permite como analistas etiquetar con precisión qué tipo de falla activa ocurrió en el nivel 1 y qué condiciones en las capas superiores la habilitaron. En cambio, Tripod Beta sí genera un diagrama de árbol completo y riguroso, construyendo el árbol desde el evento focal hacia atrás e identificando el agente de cambio energético, las barreras fallidas, las causas inmediatas, las precondiciones psicológicas y los factores de riesgo organizacionales básicos.
Ambas herramientas surgieron para hacer aplicable en campo lo que el modelo de Reason planteaba de forma abstracta.
Fallas activas y condiciones latentes como los dos estratos del sistema
En el modelo del queso suizo todos los fallos se originan en uno de dos estratos claramente diferenciados.
En el primero están las fallas activas, que incluyen esos actos inseguros como; errores involuntarios de decisión, de habilidad o de percepción y las violaciones deliberadas de normas. Estas violaciones pueden presentarse como violación rutinaria cuando la supervisión las tolera o como violación excepcional cuando son iniciativas aisladas del individuo.
Esta diferencia orienta la respuesta: las violaciones toleradas señalan problemas de supervisión y requieren intervenciones organizacionales, mientras que las infracciones por separado o aisladas suelen abordarse con formación y seguimiento individual.
El segundo estrato agrupa todo lo que son las condiciones latentes, es decir las decisiones y políticas que la alta dirección implementó mucho antes del incidente y que crean vulnerabilidades sistémicas. Entre ellas están prácticas de selección deficientes, recortes en dotación de personal calificado, equipos inadecuados y sistemas de aseguramiento de calidad insuficientes.
Estas condiciones pueden permanecer ocultas durante meses o años y cuando se alinean con una falla activa el accidente deja de ser fortuito y se convierte en el desenlace previsible de decisiones acumuladas.
Las capas de protección del sistema y su dinámica de vulnerabilidades
Una instalación industrial debe de incorporar múltiples capas defensivas entre cualquier fuente de energía peligrosa y el objetivo a proteger, que van desde el diseño inherentemente seguro del proceso y los sistemas de control básico, pasando por alarmas instrumentadas y sistemas de seguridad independientes, hasta protecciones físicas pasivas como diques y válvulas de alivio y los procedimientos de respuesta a emergencias. Cada capa es imperfecta por definición; los agujeros existen desde el primer día de operación y, cuando se alinean, permiten que una falla activa supere las defensas y provoque un incidente.
Lo que el modelo describe no es que esas defensas fallen, sino que los agujeros también se mueven.
La dinámica de la planta, las variaciones en el volumen de trabajo y el estado del personal hacen que las vulnerabilidades cambien de tamaño y posición de forma continua.
Por ejemplo, un supervisor que normalmente interviene a tiempo puede estar cubriendo un turno doble la noche del incidente y un procedimiento que funciona bajo condiciones estándar puede volverse inaplicable cuando la instrumentación acumula falsas alarmas. En consecuencia, mantener los orificios pequeños y alejados entre sí depende de la supervisión constante y de auditorías periódicas de las capas defensivas, prácticas que reducen la probabilidad de que varias vulnerabilidades se alineen y provoquen un incidente.
Cómo se forman y migran los agujeros en el sistema productivo
Los orificios del sistema tienen dos orígenes distintos y los más peligrosos provienen de las condiciones latentes organizacionales porque nadie las percibe como un riesgo activo; por ejemplo, un presupuesto de instrumentación congelado que impide reemplazar una tarjeta defectuosa no activa alarmas en el sistema de gestión y un protocolo de alarmas que lleva meses generando falsas alertas no desencadena una revisión técnica formal. Estas situaciones abren orificios en las capas defensivas de forma silenciosa y acumulativa y, cuando se alinean con una falla activa, convierten un incidente en el desenlace previsible de decisiones previas; por tanto, es imprescindible que la investigación y la gestión del riesgo incluyan la detección proactiva de estas condiciones latentes mediante auditorías y controles que las visibilicen y permitan corregirlas.
Estos orificios generados por las fallas activas son temporales, pero de alto impacto inmediato.
Como el caso de un operador que silencia una alarma genuina por un sesgo de frecuencia porque la ha visto falsa muchas veces durante turnos largos abre un orificio en la capa de detección justo cuando más se necesita. Esa capa no está dañada de forma permanente. Está vulnerada por las condiciones del momento. Esto lo lleva una condición previa del acto inseguro y corresponde al segundo nivel de HFACS.
La alineación de fallas y la trayectoria del accidente
Un evento focal surge cuando los orificios de capas sucesivas se alinean en un instante concreto. Un evento de activación, como la vibración anómala del rodamiento, un pico de presión o la ignición de gas, actúa como vector que atraviesa las defensas vulneradas una a una hasta alcanzar el objetivo. Si cualquiera de las capas hubiera estado íntegra en ese momento, la trayectoria se habría interrumpido. Por tanto, el accidente exige que ninguna defensa intercepte el vector en su recorrido.
El objetivo central del modelo de Reason en el RCA es interceptar y quebrar la alineación de orificios antes de que vuelva a formarse. Sancionar al técnico que ejecutó la falla activa cierra un solo orificio temporal en la última capa del sistema; sin embargo, la tarjeta defectuosa, el turno de doce horas, la tolerancia de la supervisión hacia la anulación de enclavamientos y el congelamiento presupuestario siguen operando en su lugar y construyen silenciosamente las condiciones para el próximo evento. Por tanto, las acciones correctivas que propone el modelo atacan simultáneamente todos esos niveles y esa cobertura sistémica es lo que diferencia una investigación superficial de un análisis que realmente modifica la trayectoria de la organización.
Cursos recomendados
Cómo materializar el modelo del queso suizo en una investigación
Dado que el modelo no dispone de un procedimiento propio, el primer paso operativo es elegir la herramienta o técnica derivada con la que se ejecutará la investigación. Para estudios en los que el componente del error humano es central, el esquema HFACS ofrece el catálogo de clasificación más preciso. Para investigaciones que requieren un diagrama de árbol trazable desde el evento focal hasta las causas latentes organizacionales, Tripod Beta proporciona el vehículo metodológico más completo. En análisis de alta complejidad con múltiples capas fallidas simultáneamente, combinar ambos métodos con un árbol lógico de fallas ofrece un diagnóstico con una cobertura difícil de superar.
La secuencia de trabajo que impone el modelo al facilitador es siempre la misma y no depende de la técnica elegida. Primero se parte del acto inseguro visible. Luego se identifican las condiciones previas que lo habilitaron. A continuación se examina la calidad de la supervisión que gobernaba al personal. Finalmente se rastrean las decisiones organizacionales que construyeron ese entorno. Esta ruta de lo visible a lo latente es la lógica del queso suizo aplicada como protocolo de investigación.
La ruta metodológica desde HFACS hasta Tripod Beta
La investigación comienza en el nivel 1 del esquema HFACS documentando la acción inmediata del trabajador. Antes de juzgarla, el analista precisa el tipo de falla activa.
Si se trata de un error de decisión por procedimiento inadecuado conviene revisar si el procedimiento existía y era aplicable al contexto real.
Si es un error de habilidad por omisión de un paso rutinario corresponde evaluar si la carga cognitiva del momento era razonable.
Si la desviación es una violación rutinaria tolerada por la supervisión debe escalarse al nivel 3 para auditar qué mecanismo de liderazgo permitió que esa conducta se normalizara.
El ascenso al nivel 2 examina las condiciones previas: el entorno físico y tecnológico, el estado fisiológico y psicológico del operador y la calidad de la comunicación entre turnos. Factores como la fatiga acumulada por jornadas extendidas, una interfaz de control que satura al usuario con información irrelevante o la ausencia de comunicación estructurada en el cambio de turno son precursores que el modelo obliga a documentar y cuantificar y no solo a mencionar.
Desde el nivel 3 se evalúa la supervisión inmediata preguntando si las infracciones documentadas fueron corregidas, si las operaciones se planificaron con tiempos realistas y si los líderes intermedios autorizaron correr riesgos bajo presión de producción. Cuando ese nivel muestra que la supervisión toleraba activamente las desviaciones la causa latente apunta a la gestión.
Para el nivel 4 se cierra el análisis examinando las influencias organizacionales profundas, por ejemplo las políticas de recursos humanos, el clima corporativo, los procesos de planificación y la diferencia entre los valores declarados y los valores reales de la organización.
Los cuatro niveles de análisis aplicados paso a paso
En la práctica, el facilitador del análisis trabaja con el equipo natural de trabajo usando el esquema HFACS como guía de preguntas para cada nivel.
Para el nivel 1, la pregunta es: ¿qué hizo exactamente el trabajador y qué tipo de error fue?
En el nivel 2: ¿qué condición del entorno o del estado del operador convirtió ese error en probable?
Desde el nivel 3: ¿qué fallo de supervisión permitió que esa condición existiera en la planta sin ser corregida?
Por último, el nivel 4: ¿qué decisión organizacional sembró esa falla de supervisión?
Cada respuesta abre una línea de evidencia que requiere verificación: entrevistas con el personal de turno, revisión de los registros del SCADA, auditoría de las órdenes de trabajo históricas del activo, revisión de los registros de capacitación y del sistema de gestión de cambios. La calidad de esa evidencia determina si las causas latentes identificadas son sólidas o si quedan como suposiciones que la investigación no pudo sostener con datos.
Ejemplo práctico de aplicación
Un turbocompresor de gas residual clasificado como activo crítico sufrió un fallo catastrófico que provocó una explosión contenida y la paralización del tren de compresión principal; como consecuencia hubo lesiones a un técnico de campo y pérdidas de producción con alto impacto financiero. Al conformar el equipo natural de trabajo el facilitador adoptó el modelo del queso suizo como marco rector antes de elegir cualquier herramienta de diagramación para asegurar que la investigación partiera de la lógica de capas y no de la búsqueda de culpables.
Planteamiento del evento y mapeo inicial de capas
Durante la fase inicial de establecimiento de hechos se constató que el equipo operó con fluctuaciones severas de presión y de temperatura de descarga durante las tres horas previas a la rotura de la carcasa. Además, el operador de sala de control silenció manualmente la alarma de vibración y puenteó el sistema de paro de emergencia al asumir que se trataba de una falla del canal de instrumentación. El registro histórico del SCADA confirmó que ese canal había generado alarmas falsas durante tres semanas por un defecto de fábrica en la tarjeta de adquisición de datos que nunca se reemplazó.
Al revisar las evidencias las conclusiones iniciales tendieron a sancionar al operador; sin embargo, el facilitador detuvo esa deducción y aplicó el esquema HFACS desde el nivel 2. En ese nivel se observó que el entorno tecnológico con alarmas falsas frecuentes creó el contexto en el que el sesgo de frecuencia volvió invisible la alarma real. Además, el operador cumplía jornadas de doce horas por déficit de personal en el período vacacional y por tanto la fatiga aguda se configuró como precondición del acto inseguro.
Descarte de culpa individual e identificación de la brecha gerencial
En el nivel 3 del análisis se constató que los supervisores de turno toleraban la anulación de enclavamientos para evitar paradas espurias. No fue una iniciativa aislada del operador sino una desviación rutinaria normalizada que los líderes intermedios dejaron prosperar sin registro ni corrección formal. Esto solo pudo ocurrir porque en el nivel 4 del sistema había varios orificios abiertos a la vez, por ejemplo el congelamiento del presupuesto de instrumentación, la eliminación de ingenieros residentes de confiabilidad y una cultura que priorizaba volúmenes de entrega sobre la integridad de los activos.
De la investigación surgieron cinco acciones correctivas que atacaron simultáneamente cada nivel:
Restablecer el presupuesto de instrumentación para permitir el reemplazo de equipos defectuosos
Eliminar las jornadas de doce horas que generan fatiga acumulada
Prohibir la anulación de enclavamientos sin autorización documentada
Reponer los perfiles de ingeniería de confiabilidad en planta
Revisar las metas de producción para alinearlas con la capacidad real del activo
De las cuales claramente ninguna de esas acciones habría emergido de una investigación que se hubiera detenido en el nivel 1.
Conclusión
El modelo del queso suizo transforma la investigación de incidentes industriales de un ejercicio de asignación de culpas en un diagnóstico sistémico de la organización. Al postular que los accidentes requieren la alineación simultánea de vulnerabilidades distribuidas en múltiples capas, el modelo obliga a los equipos a escalar desde la falla activa visible hasta las decisiones gerenciales que la hicieron posible. Esa escalada no es un ejercicio académico: cada nivel adicional que el análisis alcanza abre una línea de acción correctiva que sin el modelo nunca habría aparecido en el informe.
Su mayor fortaleza operativa en el contexto del RCA es precisamente que no tiene procedimiento propio. Esa aparente limitación es lo que lo convierte en un lente universal: puede orientar una investigación con árbol lógico de fallas, con Tripod Beta, con diagrama de Ishikawa o con los cinco porqués, en cada caso empujando al equipo hacia las capas organizacionales que las técnicas ágnosticas no alcanzan por sí solas. Saber cuándo combinarlo con herramientas de clasificación del error humano como HFACS y cuándo utilizarlo para emparejarlo con un árbol causal completo es la competencia que diferencia un análisis de alta madurez de uno que termina siempre en el mismo nivel.
Las organizaciones que adoptan este marco de pensamiento como estándar de investigación dejan de normalizar los accidentes como eventos fortuitos atribuibles a la imprudencia individual. Construyen en cambio la capacidad institucional de leer sus propias vulnerabilidades antes de que se alineen, y esa capacidad se traduce directamente en activos más confiables, en menor gasto correctivo y en un entorno de trabajo donde el operador de primera línea no tiene que compensar con improvisación lo que la gestión debió haber asegurado con diseño.
Dinos qué te ha parecido el artículo