Universidade Federal do Rio de Janeiro Escola Politcnica & Escola de Qumica Programa de Engenharia Ambiental

Marcela Mayo Pires

GESTO DA INTEGRIDADE DE BARREIRAS: FATOR CHAVE NA PREVENO DE ACIDENTES

Rio de Janeiro 2012

UFRJ

Marcela Mayo Pires

GESTO DA INTEGRIDADE DE BARREIRAS: FATOR CHAVE NA PREVENO DE ACIDENTES

Dissertao de Mestrado apresentada ao Programa de Engenharia Ambiental, Escola Politcnica & Escola de Qumica, da Universidade Federal do Rio de Janeiro, como parte dos requisitos necessrios obteno do ttulo de Mestre em Engenharia Ambiental.

Orientador: Assed Naked Haddad, Prof. D.Sc.

Rio de Janeiro 2012

Pires, Marcela Mayo. Gesto da Integridade de Barreiras: Fator Chave na Preveno de Acidentes / Marcela Mayo Pires. 2012. 101 f.: il. Dissertao (mestrado) Universidade Federal do Rio de Janeiro, Escola Politcnica e Escola de Qumica, Programa de Engenharia Ambiental, Rio de Janeiro, 2012. Orientador: Assed Naked Haddad 1. Segurana de Processo. 2. Gesto de Barreiras. 3. Preveno de acidentes. I. Haddad, Assed Naked. II. Universidade Federal do Rio de Janeiro. Escola Politcnica e Escola de Qumica. III. Mestrado.

UFRJ
GESTO DA INTEGRIDADE DE BARREIRAS: FATOR CHAVE NA PREVENO DE ACIDENTES Marcela Mayo Pires

Dissertao de Mestrado apresentada ao Programa de Engenharia Ambiental, Escola Politcnica & Escola de Qumica, da Universidade Federal do Rio de Janeiro, como parte dos requisitos necessrios obteno do ttulo de Mestre em Engenharia Ambiental. Orientador: Assed Naked Haddad, Prof. D.Sc. Aprovada pela Banca: _______________________________________________ Presidente, Prof. Assed Naked Haddad, D.Sc, UFRJ

_______________________________________________

_______________________________________________

_______________________________________________

Rio de Janeiro 2012

Dedico essa dissertao minha famlia que amo e que com eles a vida faz todo sentido .

AGRADECIMENTOS
Agradeo a Deus pelo amor incondicional e por estar sempre presente na minha vida; Ao meu pai Nelson, minha me Neli e meus irmos Juliana e Vincius pelo amor, dedicao e o incentivo que recebo ao longo de minha vida; Ao meu marido Vincius Capill, obrigada pelo seu amor, companheirismo e incentivo; Aos meus amigos e irmos de corao, Uara Sarmenghi e Marcello Tardelli, sem vocs meu mundo no seria to completo; Aos meus gerentes Mariana Bardy e Tobias Alvarenga, obrigada pela pacincia, ateno e palavras de incentivo, sem vocs no teria conseguido; minha amiga Paula Dias, obrigada por nossas conversas e por sempre me orientar, tanto na vida pessoal quanto na profissional. Aos meus amigos do PEA: Henri, Gustavo, Thomas, Joo e Manuel. Meus dias no Fundo se tornaram bem mais agradveis e divertidas com a presena de vocs. Ao me orientador Assed, pelo incentivo na concluso da dissertao.

You get what you inspect, not what you expect. Desconhecido

RESUMO
Pires, Marcela. Gesto da Integridade de Barreiras: Fator Chave na Preveno de Acidentes. Rio de Janeiro, 2012. Dissertao (Mestrado) Programa de Engenharia Ambiental, Escola Politcnica e Escola de Qumica, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2012. Com os acidentes que ocorreram nos ltimos anos, fica notrio que a segurana de processo ainda um assunto srio e preocupante e que ainda h muito a ser feito. Esses acidentes na indstria de processo demostraram e intensificaram a importncia das barreiras de segurana na preveno de acidentes ou na reduo dos seus efeitos. Gerenciar as barreiras de segurana dos maiores cenrios da planta crucial e pode representar a diferena entre um dano e uma catstrofe, sendo assim um fator essencial para a preveno de acidentes. Esta dissertao visa apresentar um roteiro para identificao e verificao do status das barreiras de segurana de processo, uma vez que este elemento oferece contribuio significativa na preveno de acidentes. Adicionalmente apresenta sugestes baseadas em boas prticas para a melhor conduo e anlise da integridade das barreiras de segurana. Itens como integridade de ativos, cultura de segurana, gerenciamento de riscos e de mudanas sero abordados a fim de evidenci-los como grandes aliados efetividade das barreiras de segurana para as instalaes em operao. Alguns acidentes, como o DeepWater Horizon, apresentados no captulo 3, ilustram e reforam que o tema abordado e os itens expostos acima so importantes e essenciais na preveno de acidentes.

Palavras-chave: 1. Segurana de Processo. 2. Gesto de Barreiras. 3. Preveno de acidentes.

ABSTRACT
Pires, Marcela. Gesto da Integridade de Barreiras: Fator Chave na Preveno de Acidentes. Rio de Janeiro, 2012. Dissertao (Mestrado) Programa de Engenharia Ambiental, Escola Politcnica e Escola de Qumica, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2012. With accidents that have occurred in recent years, it became clear that the security process is still a serious and concern issue and has much remains to be done. These accidents in process industry have been demonstrated the importance of safety barriers to prevent accidents or reduce their effects. Manage the safety barriers of the plant major scenarios is crucial and may represent the difference between an injury and a catastrophe, and therefore is a key factor in accident prevention. This thesis aims to present a guide for identification and verification of the process safety barriers status, since this element provides significant contribution to accident prevention. Additionally presents suggestions based on best practices for conducting and analyzing the integrity of the safety barriers. Items such as asset integrity, safety culture, risk management and managing change will be addressed in order to evidence them as great allies to the effectiveness of safety barriers for facilities in operation. Some accidents such as the Deepwater Horizon, presented in Chapter 3, illustrate and reinforce the theme and discussed the items above are important and essential in preventing accidents. Kew-words: 1. Process Safety 2.Barriers Management. 3. Accident Prevention.

10

LISTA DE ILUSTRAES Figura 2-1 Constituintes de um acidente (Fonte: adaptado Hollnagel, 2004) .......... 20 Figura 2-2 Falta da indicao da falha (Fonte: Hollnagel, 2004) ............................. 21 Figura 2-3 Modelo sequencial do acidente (Fonte: adaptado Hollnagel, 2002) ...... 22 Figura 2-4 Teoria do domin - depois de Heinrich, 1931 (Fonte: adaptado Hollnagel, 2002) ......................................................................................................................... 23 Figura 2-5 Modelo epidemiolgico (Fonte: adaptado Hollnagel, 2002) ................... 24 Figura 2-6 Teoria do queijo suo, Reason 1990 (Fonte: Hollnagel, 2006) ............. 25 Figura 2-7 Modelo sistmico de acidente (Fonte: adaptado Hollnagel, 2002) ......... 26 Figura 2-8 Relaes entre o blunt-end e o sharp-end que levam a falha (Fonte: adaptado Hollnagel, 2002) ........................................................................................ 26 Figura 2-9 Modelo de Reason, 1990 (Fonte: Oliveira, 2008)................................... 34 Figura 2-10 Nveis de controle das Aes (Fonte: Oliveira, 2008) .......................... 36 Figura 2-11 Nveis de controle das aes relacionados com modelo de Reason (Fonte: Oliveira, 2008) ............................................................................................... 37 Figura 2-12 Preveno e Proteo (Fonte: adaptado Hollnagel, 2002) .................. 39 Figura 2-13 Mtodo PDCA (Fonte: Falconi, 2002) .................................................. 48 Figura 2-14 Exemplo de bow-tie.............................................................................. 50 Figura 3-1 Relao das barreiras com os fatores crticos (Fonte: BP, 2010). ......... 53 Figura 3-2 Acidente da Deepwater Horizon (Fonte: site BP, 2010). ........................ 54 Figura 3-3Plataforma P-36 (Fonte: ANP, 2001). ..................................................... 56 Figura 3-4 Esquemtico do processo de drenagem de emergncia da P-36 (Fonte: Aiche, 2008). ............................................................................................................. 57 Figura 3-5 Acidente da Plataforma P-36 (Fonte: ANP, 2001).................................. 59

11

Figura 3-6 Acidente na Refinaria Tosco (Fonte: site CBS). ..................................... 60 Figura 3-7 Acidente de Flixborourgh (Fonte: AICHE, 2012). ................................... 63 Figura 4-1 Planilha APP (Fonte: Adaptado AICHE, 2008) ...................................... 68 Figura 4-2 Exemplo de itens a serem avaliados em sistemas instrumentados de segurana.................................................................................................................. 76 Figura 4-3 Representao de Criticidade e Integridade no diagrama de bow-tie (Fonte: Bardy et al, 2012b). ....................................................................................... 78 Figura 4-4 Bow-tie para o cenrio de liberao de gs inflamvel. ......................... 79 Figura 5-1 Importncia das funes instrumentadas de segurana (Fonte: IEC61511-3, 2003). ................................................................................................... 87 Figura 5-2 Fatores fundamentais para obteno de resultados (Fonte: Falconi, 2010). ........................................................................................................................ 92

12

LISTA DE QUADROS Quadro 2-1 Cultura Fraca x Cultura Slida (Fonte: AICHE, 2007) ......................... 32 Quadro 2-2 Erro Humano (Oliveira, 2008) ............................................................. 34 Quadro 2-3 Relao entre SIL, PFD e FRR (Fonte: IEC 61508, 2010) .................. 44 Quadro 2-4 Exemplos de IPLs Ativas (Fonte: AICHE, 2001) ................................. 46 Quadro 2-5 Exemplos de IPLs Passivas (Fonte: AICHE, 2001) ............................. 46 Quadro 2-6 Salvaguardas que geralmente no so consideradas IPL (Fonte: AICHE, 2001) ......................................................................................................................... 46 Quadro 2-7 Descrio dos campos do bow-tie ....................................................... 50 Quadro 4-1 Descrio categoria de frequncia (Fonte: Haddad e Morgado, 2002) .................................................................................................................................. 69 Quadro 4-2 Descrio categoria de severidade (Fonte: Haddad e Morgado, 2002) .................................................................................................................................. 70 Quadro 4-3 Matriz de Risco (Fonte: Haddad e Morgado, 2002)............................. 71 Quadro 4-4 reas responsveis pela gesto das barrerias ................................... 74

13

SUMRIO 1 INTRODUO ...................................................................................................... 15 1.1 APRESENTAO DO TEMA ........................................................................... 15 1.2 OBJETIVO ........................................................................................................ 15 1.3 APRESENTAO DO PROBLEMA ................................................................. 15 1.4 JUSTIFICATIVA DO TEMA .............................................................................. 18 1.5 METODOLOGIA ............................................................................................... 19 1.6 LIMITAES DO TRABALHO.......................................................................... 19 2 REFERENCIAL TERICO .................................................................................... 20 2.1 ACIDENTES E CAUSAS .................................................................................. 20 2.2 MODELOS DE ACIDENTE ............................................................................... 21 2.2.1 Modelo Sequencial ....................................................................................... 22 2.2.2 Modelo Epidemiolgico ................................................................................. 23 2.2.3 Modelo Sistmico ......................................................................................... 25 2.3 PREVENO DE ACIDENTES ........................................................................ 27 2.4 CULTURA DE SEGURANA ........................................................................... 29 2.5 O FATOR HUMANO ......................................................................................... 33 2.6 BARREIRAS DE SEGURANA........................................................................ 38 2.6.1 Qualidade e Desempenho das Barreiras de Segurana............................... 41 2.6.2 Nvel de Confiabilidade das Barreiras de Segurana ................................... 43 2.7 SISTEMA DE GESTO .................................................................................... 47 2.8 AUDITORIA ...................................................................................................... 48 2.9 BOW-TIE .......................................................................................................... 49 3 ACIDENTES QUE DEFINIRAM E DEFINEM A SEGURANA DE PROCESSO.. 51 3.1 DEEPWATER HORIZON (ESTADOS UNIDOS, 2010) .................................... 51 3.1.1 Descrio do acidente .................................................................................. 52 3.1.2 Principais fatores para a ocorrncia do acidente .......................................... 54 3.2 PLATAFORMA P-36 DA PETROBRAS (BRASIL, 2001) .................................. 56 3.2.1 Descrio do acidente .................................................................................. 56 3.2.2 Principais fatores para a ocorrncia do acidente .......................................... 58 3.3 REFINARIA TOSCO (ESTADOS UNIDOS, 1999) ............................................ 59 3.3.1 Descrio do acidente .................................................................................. 60 3.3.2 Principais fatores para a ocorrncia do acidente .......................................... 61

14

3.4 FLIXBOROUGH (REINO UNIDO, 1974) ........................................................... 62 3.4.1 Descrio do acidente .................................................................................. 62 3.4.2 Principais fatores para a ocorrncia do acidente .......................................... 63 4 ROTEIRO E CRITRIOS PARA UMA BOA GESTO DAS BARREIRAS EXISTENTES ............................................................................................................ 65 4.1 IDENTIFICAO DOS CENRIOS .................................................................. 65 4.1.1 Anlise Preliminar de Perigos ....................................................................... 67 4.1.2 Seleo dos cenrios ................................................................................... 71 4.2 IDENTIFICAO DAS BARREIRAS DE SEGURANA PARA CADA CENRIO SELECIONADO ...................................................................................................... 72 4.3 VERIFICAO DA INTEGRIDADE DAS BARREIRAS DE SEGURANA IDENTIFICADAS PELO PROCESSO DE AUDITORIA ........................................... 72 4.3.1 Protocolos ..................................................................................................... 75 4.3.2 Verificao da criticidade das barreiras de segurana identificadas ............ 76 4.4 BOW-TIE .......................................................................................................... 77 4.5 TRATAMENTO DE NO CONFORMIDADES .................................................. 79 5 BOAS PRTICAS PARA GESTO DAS BARREIRAS DE SEGURANA ........... 81 5.1 AUDITORIA ...................................................................................................... 81 5.1.1 Pr-auditoria ................................................................................................. 82 5.1.2 Durante auditoria .......................................................................................... 82 5.1.3 Resultados da auditoria ................................................................................ 82 5.2 INTEGRIDADE DOS ATIVOS........................................................................... 84 5.2.1 Manuteno Preventiva e Plano de Inspeo .............................................. 84 5.2.2 Gerenciamento de Alarmes .......................................................................... 85 5.2.3 Sistemas Instrumentados de Segurana ...................................................... 86 5.3 GERENCIAMENTO DOS RISCOS E DE MUDANAS .................................... 88 5.3.1 Plano de Ao de Emergncia ..................................................................... 89 5.3.2 Bow-tie .......................................................................................................... 90 5.4 CULTURA DE SEGURANA ........................................................................... 90 5.4.1 Treinamento ................................................................................................. 93 5.4.2 Procedimentos .............................................................................................. 93 6 CONCLUSO ....................................................................................................... 95 7 REFERNCIAS BIBLIOGRFICAS ...................................................................... 97

15

1 INTRODUO 1.1 APRESENTAO DO TEMA Tema: Gesto da Integridade de Barreiras: Fator Chave na Preveno de Acidentes. Delimitao do Tema: Apresentar diretrizes para uma boa gesto das barreiras de segurana na indstria qumica e petroqumica para instalaes em operao. 1.2 OBJETIVO Esta dissertao tem como objetivo apresentar diretrizes para que a realidade de um empreendimento esteja mais prxima dos estudos de anlise de riscos realizados para o mesmo em termos de suas barreiras de segurana. Esta foca em apresentar diretrizes para uma boa gesto das barreiras de segurana de processo a fim de prevenir e mitigar impactos de eventos indesejveis. 1.3 APRESENTAO DO PROBLEMA O avano tecnolgico conduz o crescimento industrial em todo mundo. Este crescimento favorvel para a economia local/mundial, porm o manuseio de produtos perigosos pode acarretar em significativos danos para os trabalhadores do local, populao externa e para o meio ambiente. At a dcada de 70, a questo da segurana na indstria era somente tratada no mbito da mesma, sem interferncias do governo e da populao. Poucas aes de segurana (de preveno ou mitigao) eram implementadas para prevenir desvios de variveis de processo, bem como mitigar possveis efeitos de suas ocorrncias. Desde ento, apesar da crescente interveno do estado com a definio de regulaes especficas e controles peridicos, os grandes acidentes ocorridos demonstraram que no somente os desvios de processo em uma indstria acontecem como tambm podem levar a srios danos com relevantes perdas materiais e com expressivo nmero de feridos e vtimas fatais (Vieira, 2001). Com isso, conforme exposto no site da Companhia Ambiental do Estado de So Paulo (CETESB), as tcnicas e mtodos j amplamente utilizados nas indstrias

16

blica, aeronutica e nuclear passaram a ser adaptados para a realizao de estudos de anlise e avaliao dos riscos associados a outras atividades industriais, em especial nas reas de petrleo, qumica e petroqumica. A fim de evitar eventos que implicam em riscos graves para os trabalhadores e populao no entorno do empreendimento, danos ambientais e perdas materiais, foram

desenvolvidas/adaptadas diversas tcnicas no sentido de conter ou minimizar os danos oriundos destas atividades. Visando avaliar e gerenciar os riscos das atividades na indstria qumica ou petroqumica se estabeleceu leis e regulamentos especficos para a operao das mesmas. Com o objetivo de atender a legislao e fornecer uma maior segurana para seus funcionrios, a indstria qumica iniciou a aplicao das tcnicas de anlise e gerenciamento de risco. Segundo CETESB (2003), no Brasil, em particular em So Paulo, a preocupao com os acidentes de grande porte ganhou nfase em 1984, aps o rompimento de um duto de gasolina seguido de incndio em Cubato, causando cerca de 500 vtimas, das quais 93 fatais. Alm disto, com os acontecimentos dos ltimos 10 anos, conforme exposto por Pitblado (2011), como a perda total da plataforma P-36 (2001) da Petrobras, a exploso de nitrato de amnia em Toulouse (2001), o desastre no duto da Blgica (2004), Buncefield (2005), a exploso na refinaria de Texas City da BP (2005) entre outros, fica notrio que a segurana de processo ainda um assunto srio e preocupante e que ainda h muito a ser feito. Pitblado (2011) aponta que estudos recentes realizados nos Estados Unidos e na Europa mostram que no h uma tendncia de reduo dos cenrios acidentais, porm o banco de dados de grandes acidentes da Unio Europia apresentado pela MARS (Major Accident Reporting System) mostrou uma taxa estvel no reporte dos eventos com uma taxa estvel no nvel de severidade. J nos Estados Unidos, analisando os dados dos ltimos 10 anos do RMP-Star, a Escola de Negcios de Wharton, identificou pequenos avanos na segurana de processo. Desta forma, h de se reconhecer que a segurana de processo j um tema bem difundido junto aos trabalhadores e gestores da indstria em geral. A grande

17

questo o quanto o conhecimento j adquirido pela indstria se materializa em reduo significativa de incidentes e eventos catastrficos. O livro Recognizing Catastrophic Incident Warning Signs in the Process Industries do Center for Chemical Process Safety (AICHE, 2012), expe que as organizaes que compreendem a importncia da segurana do processo refletiro essa conscincia em suas aes. Para ser mais eficaz, segundo AICHE (2012), necessrio adotar a segurana de processo como um valor para toda a organizao e mostr-la em aes. Prioridades mudam com o ambiente de trabalho ou ambiente de negcios, j os valores no. Os valores so como algo que um grupo internaliza e caracteriza em seu comportamento para ajudar a definir suas aes. Logo de grande importncia trabalhar em todos os elementos do sistema de gerenciamento de segurana de processo para a preveno de acidentes. Durante a fase de operao de um empreendimento, a avaliao de risco predominante a qualitativa, que possui o foco voltado para identificao das barreiras crticas, alm de definir responsveis e verificar o nvel de desempenho das barreiras de segurana. E exatamente neste quesito de segurana que este trabalho se concentrar. Na presente dissertao ser abordada a gesto da integridade das barreiras de segurana como fator chave na preveno de acidentes. Muitos sistemas que so apresentados como barreiras de segurana em estudos qualitativos e utilizados nos estudos quantitativos para a reduo do risco nem sempre esto ntegros e quando demandados podem no desempenhar sua funo ou desempenh-la de forma ineficiente. Com isso, esse trabalho visa apresentar boas prticas para reduzir a distncia entre o que est na teoria e o que praticado no dia-a-dia de um empreendimento. Devido ao fato citado anteriormente, o fator humano e conceitos sobre a cultura de segurana sero abordados a fim de reforar que estes esto em plena sinergia com a efetividade das barreiras de segurana. Adicionalmente resultados da aplicao de programas de gesto de barreiras na indstria mostram o quanto ainda deve-se caminhar para alcanar a excelncia na gesto de barreiras de segurana de processo.

18

A fim de suportar o tema proposto, no captulo 2 sero apresentados fundamentos tericos da gesto da segurana de processo envolvendo conceitos como o fator humano, a cultura de segurana, barreiras de segurana e de gesto. Alguns acidentes que tiveram de suas causas relacionadas aos itens que sero abordados nesta dissertao, sero apresentados no captulo 5. No captulo 4 ser apresentada a gesto das barreiras de proteo como um fator para a preveno de acidentes. No captulo 5, sero apresentados critrios para uma boa gesto das barreiras existentes. Finalmente no captulo 6 sero apresentadas as concluses finais desta dissertao. 1.4 JUSTIFICATIVA DO TEMA Os acidentes ocorridos nos ltimos 10 anos alertam que segurana de processo ainda um assunto srio e preocupante e que ainda h muito a ser feito. Esses acidentes na indstria de processo demostraram e intensificaram a importncia das barreiras de segurana na preveno de acidentes ou a reduo dos seus efeitos (BARDY et al, 2012). Segundo Pitblado (2011) enquanto na segurana ocupacional observado um fator de 10 em avanos ao longo dos ltimos 20 anos, na segurana de processo ainda a muito a se conquistar e um fator de 3 a 4 em avanos pode ser possvel para os prximos 20 anos. Aiche (2012) ressalta que sinais de alerta so um sutil indicador de um problema que pode levar a um acidente. Todo sinal fornece pistas que podem sinalizar preventivamente uma catstrofe. Essas pistas oferecem a oportunidade de se alterar a conduta, reduzindo assim o risco de um evento catastrfico. De alguma maneira, operadores e supervisores desenvolveram a impresso que incidentes catastrficos somente acontecem em outras instalaes e so resultados de uma m conduta ou colapso total do sistema. Uma organizao ou instituio que durante anos se sustentou sem um acidente catastrfico, tem o sentimento que ns devemos estar conduzindo as coisas de forma correta. Porm, em muitos casos, esta percepo equivocada.

19

Por esse motivo, a definio e o gerenciamento das barreiras de segurana de uma instalao crucial e pode representar a diferena entre um dano e uma catstrofe. 1.5 METODOLOGIA Com a anlise da bibliografia aplicada, foram estudadas diferentes metodologias para a elaborao de roteiro para a realizao da Gesto de Barreiras de Segurana existentes apresentado no captulo 4. As boas prticas apresentadas no captulo 5 foram baseadas na experincia em campo durante a verificao da integridade das barreiras de segurana existentes em diversas instalaes de empresas da rea petroqumica e de leo e gs e no livro do Aiche, Recognizing Catastrophic Incident Warning Signs in the Process Industries, 2012. 1.6 LIMITAES DO TRABALHO Este trabalho no aborda a Gesto da Segurana de Processo como um todo, limitando-se em apresentar um subitem deste sistema, no caso, a gesto de barreiras de segurana. Com relao auditoria, o trabalho se limita a descrever as principais etapas da mesma, bem como chamar ateno para seus pontos crticos de sucesso. No detalhado o contedo dos protocolos ou mesmo apresentados documentos de apoio para sua realizao. O Sistema de Gesto de Barreiras de Segurana proposto busca abranger diferentes instituies, independente de seu tamanho ou atividade fim, entretanto sua aplicao conceitual focada para indstrias petroqumicas e de leo e gs, desta forma sua adequao a outra realidade carece de avaliao.

20

2 REFERENCIAL TERICO 2.1 ACIDENTES E CAUSAS Acidentes no so inevitveis. Na prtica impossvel prevenir todo acidente, porm totalmente possvel prevenir muitos e s vezes a sua maioria. Quando algum acidente acontece, a primeira pergunta que se faz o que aconteceu de errado e quais so as suas causas. Segundo Hollnagel (2004), um acidente pode ser definido como um evento inesperado que resulta em um efeito indesejado. Acidentes hoje em dia raramente acontecem somente devido a uma causa singular, mas sim por sucessivas falhas. Tais combinaes so difceis de prever e de prevenir, com isso, evidenciam a importncia das protees, ou seja, das suas barreiras de segurana. Uma barreira de segurana possui a funo de prevenir ou minimizar as consequncias de um evento. Logo, uma soluo eficiente

desenvolver barreiras com ampla efetividade para diversas causas de potenciais acidentes. Conforme ilustrado na Figura 2-1, mesmo que no haja uma forma de impedir o evento de acontecer, ainda h a possibilidade de prevenir a ocorrncia das consequncias indesejadas. Prevenir um acidente de acontecer significa assegurar que o destinatrio no sofrer danos. O destinatrio pode ser uma pessoa, a sociedade, um artefato tecnolgico ou a combinao destes.
Acidente evitado Acidente evitado

Evento inesperado

Consequncia indesejada

Recebedor

Acidente
Figura 2-1 Constituintes de um acidente (Fonte: adaptado Hollnagel, 2004)

21

A ausncia de um resultado indesejado, ou seja, a falta de indicao de uma falha pode ser tomada como indicao de que est tudo bem, o que nem sempre verdade, conforme ilustrado na Figura 2-2. A falta de um resultado pode ser o resultado de vrias condies ou fatores. Em muitos casos, a falta de uma indicao de uma falha pode ocorrer por uma condio encoberta, por vezes tambm referida como um estado latente (HOLLNAGEL, 2004). Esta questo ser tratada em detalhes no prximo item, Modelos de Acidente.

Figura 2-2 Falta da indicao da falha (Fonte: Hollnagel, 2004)

No captulo 3, sero apresentados alguns acidentes que auxiliaram a definir a segurana de processo, como o acidente de Flixborough, e um dos acidentes mais recente de grandes propores, o DeepWater Horizon, que representa o quanto ainda devemos aprender. 2.2 MODELOS DE ACIDENTE A histria da segurana rica em teorias que tentam explicar a casualidade dos acidentes. Hollnagel (2006) explicita que um sistema seguro se este impenetrvel e resiliente a perturbaes, adicionalmente, a identificao e avaliao dos possveis riscos um pr-requisito essencial para um sistema seguro. O autor refora a teoria que acidentes e avaliao dos riscos so duas faces de uma mesma moeda, logo os dois esto limitados na mesma medida aos modelos e teorias, com isso razovel assumir que desenvolvimentos no sistema de segurana so combinados com desenvolvimento na anlise dos acidentes. Assim como necessria a etiologia de acidentes, um estudo de possveis causas ou origens dos acidentes, tambm o

22

para a segurana mais especificamente do que a segurana e de como esta pode estar em perigo. No entanto, por razes que no so totalmente claras, tais desenvolvimentos tem faltado conforme j exposto por Pitblado (2011). Algumas destas principais teorias sero expostas a seguir a fim de demonstrar a evoluo do tema com o passar dos anos. Benner (1978) reconheceu o valor ou a necessidade de se obter um modelo de acidente quando observou que as dificuldades prticas surgem durante a investigao e na elaborao de relatrios da maioria dos acidentes. Estas dificuldades refletem diferenas na finalidade para as investigaes, que por sua vez, refletem diferentes percepes do acidente. As diferentes percepes de um acidente so o que hoje so chamados de modelos de acidentes segundo Hollnagel (2006). Hollnagel (2004) explicita que trs modelos de acidentes foram desenvolvidos: modelo sequencial, modelo epidemiolgico e o modelo sistmico. 2.2.1 Modelo Sequencial De acordo com este modelo, um acidente pode acontecer quando um sistema est em seu estado normal e aps um evento inesperado, como um ato inseguro, se inicia a sequncia de consequncias onde pelo menos uma o acidente. A Figura 2-3 a seguir apresenta o modelo sequencial de acidente.

Sistema funcionando normalmente

Figura 2-3 Modelo sequencial do acidente (Fonte: adaptado Hollnagel, 2002)

23

Uma das teorias que seguem o modelo sequencial o modelo do domin proposto por Heinrich em 1931 conforme observado na Figura 2-4. Neste modelo, cada domin representado por diferentes fatores que levam ao acidente e suas leses. Atos inseguros ou condies inseguras so os principais fatores que levam ao acidente. De acordo com a lgica da teoria do domin, um acidente pode ser prevenido se um ou mais blocos de domin so eliminados.

Figura 2-4 Teoria do domin - depois de Heinrich, 1931 (Fonte: adaptado Hollnagel, 2002)

2.2.2 Modelo Epidemiolgico Neste modelo, conceitos como desvios de desempenho, condies latentes, condies ambientais e barreiras so adicionados ao modelo sequencial conforme apresentado na Figura 2-5.

24

Sistema funcionando normalmente

Figura 2-5 Modelo epidemiolgico (Fonte: adaptado Hollnagel, 2002)

Neste modelo, o conceito de ato inseguro (sinnimo de erro humano) gradualmente vai sendo trocado pelo conceito de desvio de desempenho. Este novo termo mais neutro e um desvio de performance pode acontecer tanto com um componente do sistema ou com uma pessoa. O modelo epidemiolgico proposto por Hollnagel (2004) tambm considera condies que podem levar a desvios de desempenho, chamando de condies ambientais. Como conceito, foi uma forma de deixar a anlise mais ampla. Condies ambientais existem, tanto para seres

humanos como para tecnologia, para o primeiro caso so referidos como condies de trabalho. A terceira caracterstica deste modelo o conceito de barreiras que podem prevenir as consequncias no esperadas ou at impedir o desenvolvimento do acidente. As condies latentes podem ter diferentes causas como decises gerenciais ou organizacionais, deficincia ou falhas no projeto, deficincia ou falhas na manuteno, e degradao das funes do sistema. Condies latentes combinadas com falhas ativas podem levar ao acidente. Um exemplo deste modelo a teoria do queijo suo proposto por James Reason em 1990 (apresentado na Figura 2-6). Neste modelo, as defesas organizacionais contra as falhas so modeladas em uma srie de barreiras,

25

representadas por fatias de queijo suo. Os orifcios no queijo representam a fraqueza individual de cada sistema, que pode ser exemplificado por um ato inseguro ou uma barreira ineficiente. Quando os orifcios de cada fatia esto alinhados, significa que o perigo ultrapassa todos os orifcios levando a falha.

Figura 2-6 Teoria do queijo suo, Reason 1990 (Fonte: Hollnagel, 2006)

2.2.3 Modelo Sistmico O modelo sistmico proposto por Hollnagel (2004) tenta descrever as caractersticas de desempenho no nvel do sistema como um todo, mais do que no nvel especfico do mecanismo de causa e efeito. As questes ambientais, propostas no modelo epidemiolgico, so substitudas neste por uma forma triangular que demonstra como a falha pode surgir desde sua base at o topo como pode ser observado na Figura 2-7 e na Figura 2-8. Outra consequncia deste modelo que no h mais indicao direta da causa. Acidentes, claro, acontecem por algum um motivo, porm mais enganoso sugerir a progresso simples que se originou nos modelos sequenciais. observado que neste modelo a seta indicando a casualidade no existe mais, porm permanece a seta indicando a direo do raciocnio. frente (sharp-end) esto as pessoas envolvidas no trabalho, no momento e lugar onde o sinistro ocorreu, ou melhor, as pessoas que interagem com o processo. Na base (blunt-end) esto as pessoas que afetam a segurana atravs de restries e recursos agindo sobre os trabalhadores.

26

Figura 2-7 Modelo sistmico de acidente (Fonte: adaptado Hollnagel, 2002)

Figura 2-8 Relaes entre o blunt-end e o sharp-end que levam a falha (Fonte: adaptado Hollnagel, 2002)

Em acordo com Hollnagel, Leveson (2002) tambm defende a ampliao da anlise dos acidentes. Segundo ela, preciso: a) Expandir a anlise, levando em considerao outros fatores alm de falhas de componentes e fatores humanos; b) Considerar erros na concepo de sistemas e disfunes de interaes;

27

c) Permitir e estimular novos tipos de anlise de riscos que vo alm das falhas de componentes e que possa lidar com o complexo papel que os softwares e os humanos assumem nos sistemas de alta tecnologia de hoje em dia; d) Mudar a nfase dada a erros humanos em acidentes para mecanismos e fatores que modelem comportamentos humanos; e) Mudana da nfase em causas enfoque limitado e de busca de culpados para compreenso de razes dos acidentes, isto , por que os eventos e erros ocorrem; f) Examinar os processos e no apenas eventos e condies envolvidos nos acidentes; g) Estimular mltiplos pontos de vista e interpretaes. 2.3 PREVENO DE ACIDENTES Kletz (2001) expe a preveno de acidentes a partir de lies aprendidas. Conforme Hollnagel, Kletz (2001) tambm evita a palavra causa por quatro motivos: a) Ao invs de se perguntar qual a causa do acidente, o correto seria: O que se pode fazer de diferente para prevenir outro acidente? Com essa abordagem se pode pensar em mudanas no projeto ou no mtodo de operar um determinado sistema; b) A palavra causa tem um ar de finalidade que desestimula as investigaes. Caso uma tubulao falhe e a causa, por exemplo, seja corroso, somos tendenciosos a pensar que sabemos por que ocorreu a falha, mas isto no nos ajuda a evitar novos fracassos. As perguntas que precisam ser respondidas passam por: o material de construo foi especificado corretamente? O material especificado foi realmente o utilizado? As condies de funcionamento foram s mesmas assumidas pelos projetistas? Foi realizado monitoramento de corroso? Os resultados foram ignorados? E assim por diante. c) A palavra causa implica culpa e as pessoas ficam na defensiva. H relutncia em admitir que fizemos algo errado, porm estamos geralmente dispostos a admitir que se pode fazer melhor.

28

d) Quando questionadas sobre a causa do acidente, muitas pessoas tendem a sugerir atos abstratos como falha institucional, nova tecnologia, atos de Deus ou, at mesmo, o destino. Mas instituies e tecnologia no tm vontade prpria e no pode mudar por conta prpria: algum tem que fazer algo. Devemos dizer quem, o qu e quando, ou nada vai acontecer. Relmpagos e outros, os chamados atos de Deus, no podem ser evitados, mas sabemos que eles podem e iro ocorrer e culp-los quase to til quanto culpar a luz ou escurido. O destino apenas uma desculpa de uma pessoa para no fazer nada. Outro ponto que Kletz (2001) enfatiza a irrelevncia de se achar um culpado. Caso isso acontea, provvel que nunca se descubra o que realmente aconteceu e consequentemente no seremos capazes de prevenir este acontecimento novamente. Uma ocasional negligncia pode no ser punida, porm segundo o autor, um pequeno preo a ser pago para prevenir novos acidentes. Um acidente pode mostrar que um trabalhador no tem a capacidade, experincia ou qualificao para realizar uma tarefa especfica e este trabalhador pode ser realocado de funo, mas no como punio, mas sim para adequ-lo na funo correta. Ainda segundo Kletz (2001), muito poucos acidentes so resultados de negligncia. Erro humano pode ser resultado de um momento de esquecimento ou aberrao. Outros erros so resultados de treinamento, superviso ou instruo inadequada. Adicionalmente, Kletz (2001) aponta que raramente acidentes so ocasionados por falha de uma nica pessoa. A responsabilidade est geralmente dividida entre muitas pessoas. Em relao aos modelos de acidentes, Kletz (2001) acredita que tais modelos podem no ser teis. Segundo ele, o tempo pode ser gasto em ajustar os dados em um modelo e que este desvie o pensamento para descobrir maneiras menos bvias para preveno do acidente. Segundo sua sugesto, deve-se utilizar os modelos de acidente somente se forem teis, mas no para se tornar um escravo, ou seja, caso acredite que um modelo no esteja ajudando, desconsidere-o. Segundo o autor, a preveno deve vir em primeiro lugar e os itens que ele considera mais valiosos so: a) Estudo de perigo e operabilidade (HAZOP) na fase de detalhamento do projeto;

29

b) A variao de tcnicas na fase de projeto bsico, quando se decide que produto ser produzido e por qual rota. c) Inspeo detalhada durante e depois da construo para assegurar que o projeto e os detalhes foram construdos de acordo com as boas prticas de engenharia; d) Auditorias de segurana durante a operao da planta. Outros fatores que atuam na preveno de acidentes a mudana de atitude, comportamento e condio estrutural. Quando medidas preventivas so usadas de forma combinada e estas passam a influenciar normas sociais e fatores culturais, provavelmente sero mais eficazes do que as intervenes que afetam somente os indivduos (modificando fatores como atitudes e crenas). Conforme exposto por Lund (2004), embora medidas de mudana de atitude paream ter pouco impacto direto sobre o comportamento, estas podem ter um papel importante na preveno de acidentes. Desafios importantes como as intervenes que influenciam as normas sociais e de segurana relacionados com aspectos da cultura e identificao das melhores combinaes de medidas preventivas, permanecem em desenvolvimento. Os pontos citados acima sero abordados nos itens seguintes desta dissertao. 2.4 CULTURA DE SEGURANA O conceito cultura de segurana tem recebido ateno considervel e representa uma importante e ampla perspectiva na pesquisa para preveno de danos. O UK Health and Safety Executive (GADD, 2002), define cultura de segurana como o produto de valores individuais e de grupo, atitudes, competncias, padres de comportamento que determinam o compromisso com o estilo e competncia, da sade de uma organizao e dos programas de segurana. J o Center for Chemical Process Safety - CCPS (AICHE, 2005), define que cultura de segurana como a organizao se comporta quando ningum est observando. Segundo Lees (2005), uma atitude positiva em relao segurana no , no entanto, suficiente para criar uma cultura de segurana. Gestores de uma indstria qumica precisam liderar de maneira bem especfica. Publicidade, como panfletos e

30

livretos, geralmente no so eficazes para se conseguir a ateno nas questes relacionadas com a segurana, pois parecem tediosos. A abordagem mais vantajosa seria enfatizar a segurana e a preveno de perdas como questo de profissionalismo. A contribuio da alta administrao, portanto, incentivar a profissionalizao na rea, atribuindo pessoas capazes, dando-lhes objetivos, recursos e a criao de sistemas adequados de trabalho. Outro fator importante para os gestores o de valorizar as iniciativas vindas de seus trabalhadores. Para o CCPS (AICHE, 2005), cada organizao possui sua cultura de segurana, porm esta pode estar operando em qualquer nvel. Os grandes desafios para a liderana de uma organizao so: e) Determinar o nvel da cultura de segurana na organizao; f) Decidir para onde querem levar a cultura de segurana, e; g) Traar e percorrer o caminho. Sistemas de gesto e as suas polticas e procedimentos associados dependem das aes de indivduos e grupos para que a sua implementao seja bem sucedida. Por exemplo, um procedimento pode refletir adequadamente a inteno desejada com as instrues devidamente detalhadas. No entanto, a execuo com sucesso do procedimento requer as aes de indivduos devidamente treinados que entendam a importncia da inteno, que assumam a responsabilidade para a conduo da tarefa, e saibam que se tomar um atalho potencialmente inseguro ser, simplesmente, um erro. Os valores do grupo (por exemplo, corporao e equipe turno), ajudam a moldar as crenas e atitudes do indivduo, que por sua vez, desempenham um papel significativo na determinao do comportamento do indivduo. Uma fraca cultura de segurana pode ser evidenciada pelas aes de indivduos em todos os nveis da organizao. Como exemplo pode-se citar, a falha de um intertravamento crtico que pode ter sido causada pelo mecnico que no conseguiu calibrar o instrumento e falsificou os registros de manuteno. Alternativamente, poderia ter sido causada pelo gerente da planta que no aprovou o recurso solicitado pelo departamento de manuteno/inspeo. Perguntas como porque operadores utilizam atalhos?; porque se sentem confortveis em realiz-lo?; ou porque supervisores toleram prticas que pem em

31

risco a segurana das instalaes? so feitas e a partir destas respostas se procura entender os valores, crenas e atitudes que moldam as aes e omisses de um indivduo. Segundo CCPS (AICHE, 2005), ao identificar e tratar os desvios dentro da cultura de segurana, efetivamente se consegue abordar e tratar a causa raiz de problemas de desempenho de segurana. Criar e manter uma cultura de segurana slida pode ser um fator decisivo na determinao de um indivduo e do sistema. Conforme j abordado em Lees (2005), o CCPS (AICHE, 2005) tambm aborda que a responsabilidade inicial de identificar, determinar ou alterar, se aplicvel, a cultura de segurana est na alta gerncia, ou seja, na liderana da organizao. Porm cada indivduo da organizao tem um papel a desempenhar, pois a responsabilidade de manter e promover uma slida cultura de segurana deve ser desdobrada desde a liderana at os operadores. Logo, se espera de uma cultura slida de segurana, que um indivduo interceda junto ao colega de trabalho prestes a cometer um ato inseguro, que a liderana monitore a sade da cultura de segurana e a atualize caso necessrio e indivduos/grupos busquem a manuteno do sistema, caso percebam que o gerenciamento no esteja ocorrendo em conformidade com os valores da organizao. Atributos chaves para uma slida cultura de segurana so apresentados no Quadro 2-1 baseada no livro Guidelines for Risk Based Process Safety do CCPS (AICHE, 2007) que coloca a cultura como um fator determinante na prtica e atitudes no controle dos riscos de processos.

32

Quadro 2-1 Cultura Fraca x Cultura Slida (Fonte: AICHE, 2007) Cultura fraca Atribui pouco valor para segurana de processo Tem pouca percepo da segurana das de Integra um Cultura slida imperativo para operao segura nas organizaes de valores fundamentais Tem um foco em possveis falhas que o conduz a buscar uma compreenso clara dos riscos e os meios para control-lo Visa proporcionar recursos proporcionais aos riscos que visa controlar nfase em aprender com experincias passadas a fim de evitar problemas futuros aceita e normaliza o Melhora continua do desempenho

vulnerabilidades processo

Dedica recursos mnimos para controlar o risco residual. Negligencia sinais de problemas de segurana. Geralmente

desempenho cada vez mais pobres Depende da gesto para identificar os riscos e determinar quais aes devem ser tomadas. Os funcionrios esto envolvidos em identificar os riscos e decidir como devem ser abordados. Empregados tomam medidas para lidar com riscos, sem envolvimento da gerncia.

Um exemplo de deficincia na cultura segurana e que refora o acima exposto pode ser observado no relatrio (The report of BP U.S. Refineries Independent Safety Panel, 2007) realizado aps a exploso na refinaria da British Petroleum (BP) no Texas, em 2005 que resultou em 15 fatalidades e mais de 170 feridos. Este relatrio foi elaborado em resposta a recomendao da United States Chemical Safety e da Hazard Investigation Board. Com isso se estabeleceu um comit de investigao liderado pelo Secretrio de Estado James Baker. O comit tinha como objetivo fazer uma avaliao completa, independente e confivel do sistema de gesto de segurana em cinco refinarias da BP nos EUA e sua cultura de segurana corporativa. Segundo Hendershot (2007), membro do comit, o relatrio emitido em 2007 possui uma importante mensagem sobre cultura e compromisso com a segurana para qualquer organizao que possua atividade perigosa. Entre as concluses importantes pode-se citar: a) No estabeleceu a segurana de processo como um valor

fundamental nas refinarias dos EUA; b) Falta de uma liderana eficaz ou o no estabelecimento de expectativas apropriadas em relao ao desempenho da segurana do processo;

33

c) nfase na segurana pessoal (esforo bem-sucedido), mas no na segurana do processo, a gesto executiva no recebeu/respondeu de forma eficaz informao de que havia deficincias na segurana processo em algumas instalaes. d) No assegurou a realizao de um integrado, compreensivo e efetivo sistema de gesto de segurana de processo. Ainda segundo Hendershot (2007), o comit acredita que esses resultados no sejam exclusivos a BP e que outras organizaes devem pensar sobre a eficcia e desempenho real de seu sistema de gesto de segurana de processo. Acidentes como a liberao de gs txico de Bophal, o desastre da plataforma de Piper Alpha e a exploso da refinaria da BP na cidade do Texas resultaram em fatalidades, srios danos e uma grande perda econmica. Todas as investigaes destes acidentes, concluram que uma fraca cultura de segurana foi um importante contribuinte para o acidente. 2.5 O FATOR HUMANO Conforme modelo de Reason (Oliveira, 2008), as falhas humanas so classificadas em erro humano (ao no intencional) e violao (ao intencional) com consequncias no intencionais conforme Figura 2-9. A sabotagem possui ao e consequncias intencionais, crime, e no uma falha humana.

34

Figura 2-9 Modelo de Reason, 1990 (Fonte: Oliveira, 2008)

Conforme figura acima, o erro humano classificado em deslizes, lapsos e enganos conforme Reason (1990). O significado de cada um deste apresentado no Quadro 2-2 a seguir:
Quadro 2-2 Erro Humano (Oliveira, 2008) Erro Humano Deslizes Falhas de Ateno - Ao desnecessria, - Inao - Ao reversa - Fora de ordem - Ao intempestiva Falhas de Memria - Omisso de um passo previsto - Esquecimento da inteno Regras - M aplicao de uma regra certa - Aplicao da regra errada Conhecimento - Diagnstico errado - M interpretao das condies - Vrias outras formas

Lapsos

Enganos

35

O modelo de desempenho humano, desenvolvido por Ramussen em 1986, representa vrias fases que o trabalhador pode passar ao lidar com perturbaes do processo. Segundo Falzon (2009), o modelo considera competncias cognitivas atravs do modelo Habilidades-Regras-Conhecimento, do ingls Skill-Rule-Knowledge (SRK), com o objetivo de tratar a dinmica dos processos de controle das tarefas. Atravs deste modelo se identifica trs tipos de comportamento do colaborador no trabalho conforme descrito abaixo e apresentado na Figura 2-10 (Rasmussen, 1983): a) Comportamento baseado em habilidades (Skills) representa um

desempenho sensrio-motor durante atos e atividades o qual, seguindo uma inteno, so acionadas sem um controle consciente, ou seja automticas e com alto padro integrado de comportamento. A flexibilidade do desempenho das habilidades devido competncia em compor em um grande repertrio de sub-rotinas automticas, os conjuntos apropriados para objetivos especficos. Adicionalmente so pouco sensveis s condicionantes do meio ambiente e permitem reaes rpidas, podendo se desenrolar paralelamente com outras atividades. Podem, certamente, originar uma ao que seja resposta inadequada ao estado do sistema. b) Comportamentos baseados em regras (Rules): a composio de sequncias de sub-rotinas em uma situao familiar no trabalho tipicamente controlada por uma regra ou procedimento o qual pode ter sido derivado empiricamente durante ocasies prvias, comunicado por outras pessoas que possuem o conhecimento, como instrues/receitas ou preparadas em uma ocasio para soluo de um problema. Os comportamentos baseados em regras so sequncias de aes controladas por normas memorizadas por meio da aprendizagem. Contrariamente a anterior, este comportamento supe uma execuo e, uma coordenao das mesmas, pois correspondem a situaes familiares, mas que tem um certo grau de variabilidade. c) Comportamentos baseados em conhecimento (Knowledge): So os comportamentos baseados em conhecimentos que aparecem no

36

familiares para as quais no existem regras pr-construdas ou conhecimento. Nesta situao o objetivo explicitamente formulado baseado na anlise do ambiente e do propsito do individuo.

Figura 2-10 Nveis de controle das Aes (Fonte: Oliveira, 2008)

A partir do apresentado acima, Oliveira (2008) apresenta a relao dos nveis de controle de ao e o modelo apresentado por Reason. (Figura 2-11). Pode-se notar que os deslizes e os lapsos se relacionam com a habilidade e os enganos com as regras e o conhecimento. Adicionalmente expe que a ao intencional, a violao, otimizadora e rotineira, levam ao ganho pessoal, ou seja, na realizao da tarefa mais rpida, porm s vezes no to eficiente. Este cita tambm que a ao rotineira pode ser realizada para o ganho do servio assim como a violao necessria, ou seja, ao dos gestores para privilegiar a produo.

37

Figura 2-11 Nveis de controle das aes relacionados com modelo de Reason (Fonte: Oliveira, 2008)

sabido que grande proporo dos acidentes atribuda a falhas humanas (7080%). Dizer que um acidente foi causado por uma falha humana no suficiente para explicar as causas do acidente em um nvel que possa ser utilizado para o aprendizado organizacional. Conforme exposto por Reason, erro humano a consequncia e no a causa. Muitas vezes o operador conformado e provocado por fatores relacionados ao ambiente de trabalho e por aspectos organizacionais. Segundo Reason, o trabalhador o agente final, conforme j observado na Figura 2-8, que realiza o ato inseguro. Este cita a influncia de condies latentes que correspondem aos fatores relacionados ao ambiente de trabalho e os fatores organizacionais, itens j mencionados na cultura de segurana. Oliveira (2008) em acordo com Kletz, diz que para se atingir a excelncia importante que a organizao promova a comunicao aberta: a) Empresa deve incentivar que o empregado relate voluntariamente a ocorrncia de erros humanos; b) Empregado deve sentir-se vontade para comunicar que cometeu um erro humano, sem correr o risco de sofrer punies ou qualquer outro tipo de constrangimento.

38

Nota-se que preveno de acidentes, cultura de segurana e o fator humano esto interligados. Uma cultura de segurana da empresa deve ser construda de modo que as pessoas sintam-se motivadas a reportar os seus erros. 2.6 BARREIRAS DE SEGURANA Um outro fator considervel na preveno de acidentes so as barreiras de segurana. As barreiras de segurana so os obstculos que podem prevenir/impedir um determinado evento perigoso, ou caso ele ocorra, proteger os indivduos e/ou o ambiente, impedindo ou minimizando os danos. Segundo Hollnagel (2004), as barreiras podem ser de Preveno ou de Proteo, devido ao fato destas atuarem antes ou depois da ao acontecer, respectivamente. As barreiras de preveno se destinam a funcionar antes de iniciar um evento especfico, servindo como um meio de preveno. Estas barreiras possuem pretenso de assegurar que o acidente no acontea, ou pelo menos retardar o desenvolvimento de situaes que possam resultar em um acidente As barreiras de proteo tem o objetivo de proteger o ambiente e as pessoas, assim como o prprio sistema, das consequncias do acidente. As barreiras de segurana tambm podem ser classificadas em ativas ou passivas. Uma barreira ativa pode envolver uma ou mais funes, e atravs de sua ao atingir a finalidade da barreira. J a barreira passiva no precisa tomar nenhuma ao, ou seja, cumpre a sua finalidade apenas por estar no local do evento. Como exemplo de barreira ativa pode-se citar um intertravamento de segurana e o dique de conteno como exemplo de barreira passiva. Em relao proteo, uma barreira ativa serve para reduzir ou desviar as consequncias, enquanto uma barreira passiva contm ou detm as consequncias. A diferena entre barreiras de proteo/preveno e ativa/passiva ilustrada na Figura 2-12. A Figura 2-12 apresentada no momento em que o controle foi perdido ou alguma funo falhou. Antes do fato acontecer, as barreiras atuam de forma a prevenir a ocorrncia do evento (acidente). Nesta fase as barreiras podem ser ativas ou passivas. Como exemplo de barreiras preventivas ativas pode-se citar os alarmes

39

e detectores. Um acesso restrito a zona de perigo pode ser considerado como um exemplo de barreiras preventivas passivas. Aps a perda do controle, as barreiras servem para proteger das possveis consequncias do acidente. Aqui possvel fazer uma distino adicional entre as barreiras que atuam para desviar as consequncias e as barreiras que servem para minimizar as consequncias geralmente, impedindo que se propague ainda mais.

Figura 2-12 Preveno e Proteo (Fonte: adaptado Hollnagel, 2002)

Conforme exposto do Hollnagel (2004), apesar da importncia das barreiras na anlise dos acidentes e sua preveno, h poucos estudos sistemticos disponveis na literatura. Um destes estudos o das barreiras e as falhas latentes como j exposto no item 2.2. As defesas, ou barreiras, foram adicionadas como uma camada intermediria entre os atos inseguros e os acidentes. Os modelos descritos como condies de falha latentes so provenientes dos processos organizacionais que podem degradar as defesas, deixando o caminho livre para os atos inseguros se tornarem acidentes. Este modelo descreve que as defesas possuem 6 funes: a) Proteo: fornecer uma barreira entre os perigos e potenciais vtimas sob condies normais de operao;

40

b) Deteco: para detectar e identificar as ocorrncias fora das condies normais, atos inseguros ou a presena de substncias perigosas. c) Sinal de alerta: para indicar a presena e a natureza do perigo para todos aqueles que possam estar expostos aos perigos; d) Recuperao: para restaurar o sistema para um estado seguro, o mais rpido possvel; e) Conteno: para limitar a propagao do perigo no caso de uma falha em qualquer ou em todas as funes defensivas anteriores; f) Escape: para garantir a evacuao de todas as potenciais vtimas aps um acidente. A natureza das barreiras independente de sua origem, sua finalidade (preventiva ou proteo), e de sua localizao. Os sistemas de barreira podem variar desde obstculos fsicos a regras e leis. Uma proposta, feita por Hollnagel (2004), classifica os sistemas de barreira em quatro categorias: a) Fsicos: estas barreiras impedem fisicamente que uma ao seja realizada. Barreiras fsicas tambm podem proteger bloqueando ou mitigando os efeitos de um evento inesperado. Este tipo de barreira apresenta um obstculo fsico para o transporte de massa ou de energia ou de informao do ponto A para o ponto B, caso no possa impedi-lo em todas as circunstncias, ao menos poder retarda-lo. Exemplos deste tipo de barreiras so os prdios, salas, paredes, paredes corta-fogo, etc; b) Funcional (ativa ou dinmica): um sistema de barreira funcional age impedindo que o evento indesejado acontea atravs de um

intertravamento, lgico ou temporal. Um sistema de barreira funcional efetivamente configura uma ou mais pr-condies que devem ser cumpridos antes do evento indesejado. Essas pr-condies no requerem sempre a interpretao humana, mas podem ser interrogados ou detectados por um sistema. Como exemplo pode-se citar o intertravamento automtico e o bloqueio, que pode ser fsico necessitando da utilizao de uma chave, ou lgico que requer algum tipo de senha ou identificao; c) Simblico: essas barreiras requerem um ato de compreenso e interpretao por parte das pessoas. Podem ser usados individualmente

41

ou combinados e existem na forma de sinais e avisos de diversos tipos. Exemplos tpicos so os avisos passivos como proibido fumar ou mantenha-se afastado e os sistemas de avisos visuais e sonoros, como instrues presentes no local, demarcaes, alarmes, permisso de trabalho e etc; d) Imaterial: a ltima classe de barreiras o imaterial ou no-material. Isto significa que a barreira no est presente fisicamente, mas depende do conhecimento do utilizador para atingir sua finalidade. Sistemas imateriais de barreira so geralmente representados na forma fsica como um livro ou um memorando. Tpicos sistemas de barreira imateriais so: regras, diretrizes e princpios de segurana. As aes humanas, conforme citado por Dianous (2006), tambm podem ser consideradas como barreiras. Porm a eficcia destas depende do conhecimento do operador no sentido de alcanar o objetivo da tarefa. As aes humanas devem ser interpretadas sem restries, incluindo observaes feitas por todos os sentidos, comunicao, pensamento, atividade fsica e tambm as regras, diretrizes, princpios de segurana, etc. As aes humanas podem ser parte de um sistema sequencial de deteco - diagnstico - ao. 2.6.1 Qualidade e Desempenho das Barreiras de Segurana Como sabido, as barreiras de segurana so um importante meio para atingir os objetivos da segurana, prevenindo os acidentes. Logo um conjunto de critrios exposto por Hollnagel (2004) abordam vrios aspectos de qualidade das barreiras, so eles: a) Eficincia: refere-se na capacidade da barreira em atingir seu objetivo; b) Recursos necessrios: so os recursos necessrios para implementar e manter uma barreira de segurana. O custo do sistema de barreira sempre levado em conta. A eficincia nunca considerada sem pensar no custo, logo a segurana tem sempre seu preo; c) Robustez: refere-se ao quo confivel e resistente a barreira , isto , como ela pode suportar a variabilidade do ambiente (prticas de trabalho, degradao, desgaste, etc.);

42

d) Atraso na implementao: o tempo desde a concepo at aplicao de uma barreira. Este tempo pode entrar em conflito com a necessidade de se agir rapidamente; e) Aplicabilidade para tarefas crticas de segurana: tarefas crticas de segurana desempenham um papel especial em sistemas scio-tcnicos. Em certas ocasies, barreiras especficas podem ser mais necessrias, porm por outro lado estas geralmente esto sujeitas a uma srie de restries por parte da administrao ou dos rgos reguladores; f) Avaliao: de grande importncia pois determina se uma barreira funciona como esperado. A avaliao deve abordar a qualidade da barreira, tanto durante a concepo como durante a utilizao real (inspeo de verificao prontido); g) A dependncia de seres humanos: a extenso em que uma barreira depende dos seres humanos a fim de alcanar o seu objetivo. A dependncia refere-se eficcia do sistema de barreira em uso em vez de, por exemplo, a necessidade de manuteno. Conforme exposto por Dianous (2006), alm da qualidade, a avaliao do desempenho das barreiras de segurana necessria para demonstrar que uma dada funo de segurana e as barreiras relacionadas so relevantes para evitar, prevenir, controlar ou para atenuar o evento. Atravs de trs critrios, eficcia, tempo de resposta e nvel de confiabilidade, realizada a avaliao do desempenho das barreiras. A eficcia da barreira de segurana deve ser demonstrada e adaptada para o cenrio. a capacidade para realizar uma funo de segurana por um perodo de tempo, de um modo no-degradado e em determinadas condies. expressa em percentual ou uma probabilidade de desempenho da funo de segurana definida. Se a efetividade apresentada em percentagem, ela pode variar durante o perodo de funcionamento da barreira de segurana. Por exemplo, uma vlvula que no fecha completamente sob uma demanda no teria uma eficcia de 100%. Para avaliar a eficcia de uma barreira de segurana, necessrio conhecer seu projeto. Desta forma, a barreira deve ser concebida de acordo com cdigos e regras, e o projeto deve ser adaptado s caractersticas dos produtos e do ambiente. As caractersticas de sua concepo devem estar de acordo com a funo relacionada.

43

Durante a anlise de risco pode ser realizada a avaliao da eficcia, considerando os dados e a experincia de fornecedores ou especialistas, a realizao de testes no local, normas e guias tcnicos, folhas de dados de clculo das barreiras, entre outros. O tempo de resposta deve estar em conformidade com a cintica do cenrio do acidente considerado importante. o tempo entre o incio da atuao da barreira de segurana e a realizao completa (o que igual eficcia) de sua funo de segurana. Pode ser avaliado a partir de dados de especialistas, experincia, normas e manuais tcnicos. Para as barreiras humanas, o tempo de resposta pode depender de critrios diferentes como treinamento do operador, fcil diagnstico em caso de acidente, acesso a uma barreira, o conhecimento do operador sobre o que ele tem que fazer em caso de acidente. O nvel de confiabilidade de uma barreira de segurana inversamente proporcional probabilidade de falha sob demanda da barreira. Corresponde confiabilidade da barreira de desempenhar adequadamente a funo de segurana exigida de acordo com uma dada eficcia e tempo de resposta dentro de todas as condies determinadas e de um perodo de tempo determinado. O nvel de confiabilidade das barreiras ser abordado mais detalhadamente no prximo item. 2.6.2 Nvel de Confiabilidade das Barreiras de Segurana Atravs de estudos de anlise de risco pode-se determinar o nvel de integridade de segurana, ou SIL (Safety Integrity Level), de algumas barreiras de segurana. O SIL um indicador de desempenho do sistema instrumentado de segurana (SIS), medido atravs de sua probabilidade de falha na demanda (PFD). O SIS uma camada de proteo instrumentada, composta de uma ou mais malhas de segurana, cuja finalidade colocar o processo em estado seguro, quando determinadas condies pr-estabelecidas so atingidas. E a PFD a probabilidade de uma malha de segurana falhar em resposta a uma demanda. Com isso a funo instrumentada de segurana (FIS), uma funo com um determinado nvel de integridade de segurana que necessrio para que se alcance a segurana funcional.

44

Conforme o IEC 61508 (International Electrotechnical Commission, 2010), o SIL um nmero inteiro que varia de 1 a 4, e reflete a probabilidade mdia de falha de um instrumento/equipamento quando o mesmo chamado para atuar a fim de garantir a segurana do sistema. O Quadro 2-3 apresenta o SIL relacionado probabilidade de falha na demanda e o fator de reduo de risco, ou seja, quanto maior o SIL, menor a probabilidade de falha na demanda e maior o fator de reduo do risco. Em outras palavras, quanto maior SIL, mais confivel esta malha dever ser, pois o evento indesejado a ser evitado tem um risco maior quando comparado a um sistema que possui o nvel de SIL menor.
Quadro 2-3 Relao entre SIL, PFD e FRR (Fonte: IEC 61508, 2010) Safety Integrity Level 4 3 2 1 Regime de Baixa Demanda Probabilidade de Falha na Demanda (PFD) 10 a <10 10 a <10 10 a <10 10 a <10
-2 -3 -4 -5 -4

Fator de Reduo de Risco (FRR) 10.000 a 100.000 1.000 a 10.000 100 a 1.000 10 a 100

-3

-2

-1

A determinao do nvel de integridade pode ser realizada atravs da metodologia de grfico de risco ou por anlise das camadas de proteo, mais conhecida como LOPA (do ingls Layer Of Protection Analysis). A determinao do SIL requerido no mtodo de grfico de risco baseada em uma anlise qualitativa enquanto que o LOPA baseado em uma tcnica semiquantitativa. O LOPA uma tcnica de anlise de risco desenvolvida para avaliar o risco de cenrios de acidente considerando as camadas independentes de proteo pertinentes e determinar se existem camadas suficientes para proteo dos cenrios de acidente em anlise. Entre os objetivos principais para a utilizao do LOPA est a possibilidade de responder a questes relativas ao nmero e eficincia das salvaguardas existentes, atravs de uma abordagem sistemtica. Questes de subjetividade de classificao de cenrios a que as tcnicas qualitativas (exemplo: mtodo de grfico de risco) esto sujeitas so minimizadas nesta tcnica.

45

Nesses estudos, as protees, ou barreiras de um sistema so usualmente chamadas de salvaguarda. Como definio, uma salvaguarda qualquer dispositivo, sistema ou ao que possui potencial de prevenir ou mitigar a ocorrncia de eventos indesejveis. Porm a efetividade de algumas salvaguardas no pode ser quantificada devido falta de dados e incertezas. Logo a partir deste ponto se define o conceito de camada independente de proteo ou IPL quando se utiliza o mtodo de determinao do SIL requerido via LOPA. Deve-se ressaltar que toda IPL uma salvaguarda, porm nem toda salvaguarda uma IPL. Para que a proteo seja classificada como IPL, os seguintes critrios devem ser obedecidos: a) Ser eficiente: a IPL deve ser capaz de prevenir a ocorrncia das consequncias do cenrio que est sendo analisado. A eficincia da camada deve ser quantificvel, em termos da sua probabilidade de falha na demanda (PFD), que definida como a probabilidade que um sistema (no caso a IPL) falhe em executar sua ao ou atividade designada quando for demandado. um valor adimensional, entre 0 e 1; quanto menor o valor de PFD, maior a reduo na frequncia das consequncias para o evento indesejado. Para ser considerada uma IPL, a sua PFD deve ser no mximo igual a 0,1, ou seja, deve proporcionar uma reduo de riscos equivalente pelo menos a um fator de 10; b) Ser independente: a IPL deve ser independente em relao aos componentes de outras camadas de proteo associadas ao cenrio analisado. No deve existir tambm relao entre o evento iniciador e a habilidade da IPL em desempenhar sua funo (por exemplo, se a causa do cenrio for uma falha do sistema de controle, este no contar como IPL); c) Ser auditvel: a camada deve ser auditvel no sentido de demonstrar que atinge os requisitos para ser considerada uma IPL (eficincia e independncia). A auditabilidade pode ser garantida atravs de documentao, reviso, teste ou outros meios.

46

Quanto sua forma de atuao e quanto sua eficincia em reduzir a frequncia ou as consequncias do cenrio, as salvaguardas podem ser classificadas em: a) Ativa ou passiva; b) Preventiva (antes da liberao) ou mitigatria (aps a liberao). O Quadro 2-4 e Quadro 2-5 apresentam alguns exemplos de IPL ativa e passiva com sua respectiva PFD.
Quadro 2-4 Exemplos de IPLs Ativas (Fonte: AICHE, 2001) IPL Dique Sistema de drenagem Suspiro aberto (sem vlvulas) Proteo passiva contra fogo Parede contra exploso (blast wall/bunker) Projeto inerentemente seguro Retentor de chama (detonao/deflagrao) Quadro 2-5 Exemplos de IPLs Passivas (Fonte: AICHE, 2001) IPL Vlvulas de Alvio Disco de Ruptura Sistema de Controle Sistema Instrumentado de Segurana (SIL1) Sistema Instrumentado de Segurana (SIL2) Sistema Instrumentado de Segurana (SIL3) PFD 1x10 1x10 1x10
-2 -3 -4 -2 -2 -1 -1

PFD 1x10 1x10 1x10 1x10 1x10 1x10 1x10

-2 -2 -2 -2 -3 -2 -2

1x10 1x10 1x10 1x10 1x10 1x10

-2 -3

No Quadro 2-6 a seguir apresenta exemplos de salvaguardas que usualmente no so consideradas como IPL.
Quadro 2-6 Salvaguardas que geralmente no so consideradas IPL (Fonte: AICHE, 2001) Salvaguardas Treinamento e Certificao Comentrios Esses fatores podem ser considerados na determinao de PFD para a atuao do operador, porm no so IPL por si s. Esses fatores podem ser considerados na determinao de PFD para a atuao do operador, porm no so IPL por si s. Em todas as avaliaes de perigo assume-se perfeita execuo destas atividades. Testes e inspees afetam a PFD de algumas IPLs. O aumento do intervalo entre teste e inspeo pode aumentar a PFD da IPL.

Procedimentos

Testes e Inspees

47

Salvaguardas Manuteno

Comentrios Em todas as avaliaes de perigo assume-se perfeita execuo desta atividade. Manuteno afeta a PFD de algumas IPLs. uma premissa bsica que comunicaes adequadas existam em uma instalao. Comunicaes deficientes afetam a PFD de algumas IPLs. Sinalizaes no so IPLs por si mesmas. Estas podem estar confusas, mal localizadas, ignoradas, etc. Sinalizaes podem afetar a PFD de algumas IPLs. Usualmente sistema de combate a incndio no so consideradas como IPL, pois um evento posterior para a maioria dos cenrios e sua disponibilidade e efetividade pode ser comprometida pelo incndio/exploso a ser contido.

Comunicaes

Sinalizao

Sistema de Combate a Incndio

2.7 SISTEMA DE GESTO A norma ISO 14001 define um sistema de gesto de processo como a parte do sistema de gesto global que inclui a estrutura organizacional, atividades de planejamento, responsabilidades, prticas, procedimentos, processos, e recursos para desenvolvimento, implantao, reviso e manuteno da poltica ambiental. A gesto da segurana de processo uma parte do sistema de gesto global que inclui um conjunto abrangente de polticas, procedimentos e prticas com o objetivo de minimizar o risco de liberaes de substncias qumicas perigosas. O sistema de gesto de segurana de processo, tambm conhecido como PSM (do ingls, Process Safety Management), pode ter a garantia da sua efetividade seguindo o modelo Plan-Do-Check-Act (PDCA) muito utilizado em sistemas de gesto da qualidade que tem como princpio a melhoria continua dos sistemas implementados seguindo quatro (4) etapas cronolgica: a) Plan (Planejar): Nesta etapa se definem as metas e determinam os mtodos para alcana-las. essencial o desenvolvimento de politicas escritas e procedimentos para definir o programa desejvel (no caso, o PSM). b) Do (Executar/Fazer): Consiste em educar, treinar e executar o trabalho. Esta etapa a fase onde os procedimentos e polticas so implementados. c) Check (Verificar/Checar): Nesta fase so verificados os efeitos do trabalho executado, ou seja, a avaliao das aes realizadas na etapa anterior,

48

d) Act (Agir): Consiste na atuao no processo em funo dos resultados. Realimentando e modificando os procedimentos e polticas, se

necessrio, atravs dos desvios avaliados. O mtodo de gerenciamento de processos a partir do PDCA pode ser ilustrado conforme Figura 2-13.

Figura 2-13 Mtodo PDCA (Fonte: Falconi, 2002)

2.8 AUDITORIA A auditoria uma etapa fundamental para um efetivo programa de gesto da segurana de processo, pois tem o propsito de avaliar se os sistemas da empresa esto funcionando efetivamente, e sugerir aes corretivas quando identificados desvios que comprometem esses sistemas. Auditorias frequentemente revelam quais os elementos no sistema de gesto que no esto atingindo a inteno desejada. A auditoria um processo de avaliao sistemtica e independente para verificar a integridade do item auditado e a sua conformidade estabelecida por normas ou diretrizes e guiada pelo julgamento, experincia e a tendncia do auditor. No mtodo PDCA, a auditoria est localizada na fase Check, a qual possui o objetivo de verificar as aes da fase anterior e dar subsdios para a etapa posterior atravs da proposio de aes corretivas.

49

A partir das auditorias pode-se verificar se as barreiras de segurana so suficientemente inspecionadas e mantidas. 2.9 BOW-TIE Outra ferramenta que auxilia o sistema de gesto de uma empresa a metodologia de bow-tie. A metodologia de bow-tie permite a representao grfica dos cenrios acidentais, agregando uma perspectiva relacional entre evento, causas,

consequncias e barreiras, alm de facilitar a visualizao das possveis ameaas e consequncias associadas aos eventos de grande potencial de dano. Em acordo com o exposto acima, Cockshott (2005), diz que esta metodologia permite que os gerentes, engenheiros, operadores e profissionais da manuteno tenham um fcil entendimento dos riscos a serem gerenciados no empreendimento. Uma das vantagens do bow-tie que esta de simples aplicao, transparente e de fcil manuteno pelos operadores da planta. Duijm (2009) refora que a importante vantagem neste diagrama comparado a outros mtodos grficos de anlise de risco, primeiramente a facilidade de suportar a comunicao com as partes interessadas (tambm conhecido como stakeholders) que no so especialistas no assunto e em segundo, o foco nos sistemas de segurana serve de base para a gesto e manuteno dos sistemas. O bow-tie aplicado para os cenrios maiores da planta em questo. A identificao dos cenrios maiores da planta podem ser determinados a partir de outras tcnicas de anlise de risco como a Anlise de Perigo e Operabilidade HAZOP (do ingls Hazard and Operability Analysis) e a Anlise Preliminar de Perigos APP. As melhores prticas e critrios para determinao dos cenrios maiores envolvidos em uma planta de processo ser abordada no captulo 4. Na sua representao, como apresentado na Figura 2-14, o evento topo est no centro da figura, com as ameaas esquerda e as consequncias direita. Entre o evento topo e as ameaas esto as barreiras preventivas e entre o evento topo e as consequncias so listadas as barreiras de recuperao ou mitigao.

50

Figura 2-14 Exemplo de bow-tie

O Quadro 2-7 apresenta os campos indicados na Figura 2-14 do bow-tie.

Quadro 2-7 Descrio dos campos do bow-tie . Item Evento Topo Ameaas Descrio Primeiro evento na sequncia de eventos no desejados Condies que podem levar ao evento topo. Cada ameaa deve sozinha causar o evento topo. Barreiras Preventivas Barreiras existentes no sistema que possam evitar as causas (ameaas) Exemplos - Blowout, queda de objetos, exploso. - Falha de equipamento, erro humano, incorreto. - Projeto adequado - Procedimento para operao segura - Monitoramento de corroso Inspeo - Proteo contra impacto Consequncias Efeitos possveis para pessoas, meio ambietne, ativos ou imagem da Empresa Barreiras Mitigadoras Barreiras existentes que possam minimizar as consequncias - Fatalidade - Perda da unidade - Vazamento de hidrocarboneto para atmosfera - Deteco: visual, sistema de cmaras de TV Deteco de gs - Deteco de fumaa e fogo - Sistema de controle - Sistema de bloqueio (ESD, blowdown) - Sistema fixo de combate a emergncias Plano de emergncia resposta procedimento

(escape,

51

Item

Descrio

Exemplos evacuao, recuperao) resgate e

O projeto ARAMIS, que estabelece uma metodologia para Avaliao de Risco de Acidentes para Indstrias orienta a utilizao do bow-tie para o controle do risco e para avaliao do desempenho das barreiras de segurana. Segundo Dianous (2006), esta metodologia, o ARAMIS, foi construda para ajudar as empresas a demonstrarem que tm um controle de risco suficiente em seu site. A avaliao do desempenho das barreiras (tempo de resposta, eficincia e nvel de confiana), conforme exposto no item 2.4, realizada para validar que estes so relevantes para realizar a funo de segurana esperada. 3 ACIDENTES QUE DEFINIRAM E DEFINEM A SEGURANA DE PROCESSO Esta seo apresenta alguns acidentes que contriburam para a definio de segurana de processo conforme citado por Aiche (2008) e Aiche (2012) atravs de lies aprendidas. Adicionalmente apresenta o acidente DeepWater Horizon, que representa o quanto ainda devemos aprender. Uma vez que acidentes no possuem causas singulares, conforme j citado nesta dissertao, os fatores que mais contriburam para a ocorrncia destes foram baseadas na opinio dos

autores/especialistas. Os acidentes descritos a seguir esto associados aos itens abordados neste trabalho como a identificao de perigos, liderana, plano de inspeo e de manuteno preventiva e no gerenciamento dos riscos. 3.1 DEEPWATER HORIZON (ESTADOS UNIDOS, 2010) Segundo Bonfim, coordenador geral do centro de simulao aquaviria, a exploso na plataforma de perfurao Deepwater Horizon, de propriedade da empresa Transocean, deu incio ao que registrado como um dos mais graves acidentes do setor de Explorao e Produo de Petrleo.

52

Adicionalmente considerado como o maior vazamento da histria dos Estados Unidos, talvez mesmo um dos maiores a nvel mundial. 3.1.1 Descrio do acidente Numa noite de Abril/2010, um evento envolvendo tcnicas e equipamentos de controle de poos permitiu que hidrocarbonetos escapassem de forma

descontrolada do poo Macondo na direo da Plataforma Semi-submersvel Deep Horizon, da Transocean. O resultado foram exploses, incndio a bordo, 11 mortos e 17 feridos. O incndio continuou por 36 horas at que a plataforma afundou, enquanto que os hidrocarbonetos continuaram a vazar do reservatrio atravs do poo e do equipamento de controle de poo (Blowout Preventer BOP) por 87 dias, causando um derramamento de significncia nacional. A BP Exploration & Production Inc. era a operadora da rea que continha o poo Macondo. O acidente envolveu uma falha de integridade do poo, seguida pela perda do seu controle hidrosttico e por uma falha no controle do fluxo de hidrocarbonetos do poo pelo BOP. Esses hidrocarbonetos sofreram ignio j na plataforma, causando as exploses e incndio na mesma, enquanto que o BOP foi incapaz de selar o poo, permitindo que o incndio continuasse a ser alimentado pelos hidrocarbonetos provenientes do reservatrio. Durante a investigao realizada pelo time que a BP formou, foi utilizada a analise de rvore de causas para definir e avaliar vrios cenrios, modos de falha e possveis contribuintes para o acidente. Nesta investigao foram identificados oito (8) pontos chaves para as causas do acidente que sero numerados abaixo: 1. A barreira formada pela cimentao da parede do poo no isolou de forma eficiente os hidrocarbonetos do reservatrio; 2. As barreiras localizadas na sapata do revestimento de produo do poo no isolou de forma eficiente os hidrocarbonetos do reservatrio; 3. O teste de presso negativa realizado no poo foi aceito apesar de a integridade do poo como um todo no ter sido estabelecida;

53

4. O influxo de hidrocarbonetos (Kick) no foi identificado at o mesmo se encontrar na regio do Riser; 5. As aes de controle de poo realizadas foram ineficazes na tentativa de recuperar o controle do poo; 6. Desvio dos hidrocarbonetos, atravs do separador de gs do fluido de completao, permitiu que os mesmo atingissem fontes de ignio na plataforma; 7. Os sistemas de deteco de gs e de incndio no preveniram a ignio dos hidrocarbonetos; 8. O modo de Emergncia do BOP falhou em selar o poo. Dessa forma, no houve um fator nico ou determinante para a sequncia de eventos, mas o conjunto dos itens listados anteriormente, classificados como falhas mecnicas, julgamentos humanos, design de engenharia, implementao

operacional e interface entre diferentes disciplinas que, juntos, permitiram e contriburam para o acidente tomar as propores que teve. A Figura 3-1 ilustra de forma simples a escala de eventos e suas contribuies para o acidente, baseado no modelo do queijo suo conforme apresentado no item 2.2.2. A Figura 3-2 ilustra o acidente da Deepwater Horizon.

Figura 3-1 Relao das barreiras com os fatores crticos (Fonte: BP, 2010).

54

Figura 3-2 Acidente da Deepwater Horizon (Fonte: site BP, 2010).

3.1.2 Principais fatores para a ocorrncia do acidente Dentre as importantes causas subjacente listadas (TINMANNSVIK, et al,2011), as que ressaltam a importncia do que ser discutido neste trabalho so apresnetadas a seguir: a) Liderana no eficaz; b) Deficincia na comunicao; c) Falha no fornecimento de procedimentos oportunos; d) Treinamento e superviso inadequados dos empregados; e) Falha em analisar e apreciar o risco adequadamente. President Comission (2011), ressalta que a maioria dos eventos e erros relacionados ao acidente deve-se a falhas no gerenciamento e na comunicao. Como exemplo este cita que a equipe de terra estava consciente dos riscos relacionados cimentao do poo, porm no as destacaram aos trabalhadores que realizaram o teste de presso negativa no poo. Adicionalmente este fato, evidencia a deficincia na comunicao, pois supervisores da BP no entraram em contato com especialistas em terra para relatar sobre os resultados encontrados.

55

O relatrio Chief Counsel (2011), tambm identificou deficincias gerenciais incluindo a falha no fornecimento de procedimentos oportunos, treinamento e superviso inadequada dos empregados. Ambas empresas, BP e Transocean, no possuam procedimento interno e no providenciaram treinamento para conduzir e interpretar os resultados do teste de presso negativa no poo. Para a equipe que realizou o relatrio, a interpretao dos resultados do teste foi o maior contribuinte para o blowout. Outro fator expressivo foi a falha em analisar e apreciar o risco adequadamente segundo o President Comission (2011). As causas imediatas do blowout de Macondo podem ser atribudas a uma srie de erros cometidos pela BP, Halliburton e Transocean que revelaram falhas sistemticas no gerenciamento dos riscos, colocando em dvida a cultura de segurana de toda a indstria. O sistema de gerenciamento da BP solicitou estudos de anlise de risco separadamente durante a fase de planejamento do poo. Durante a fase de execuo, decises crticas foram feitas, porm no foi realizada formalmente nenhuma avalio dos riscos aps alteraes. Ao mesmo tempo, para Oktad et al (2012) a tripulao tinha uma a percepo de risco inadequado, pois achavam cientes de todos os perigos, enquanto provavelmente no eram capazes de manter a superviso dos riscos. Adicionalmente para Oktad et al (2012), a BP estava focada em tempo e custos ao invs de controle dos riscos de acidentes graves. A BP tomou uma srie de decises com prioridade sobre economia de tempo e custo. At ao momento do acidente, a operao estava 38 dias atrasada e cerca de US $ 58 milhes acima do oramento. Isto pode explicar a falta de foco em assegurar a integridade do poo. A matria do jornal O Globo publicada em 26 de Setembro de 2012 (ORDONEZ, 2012), mostra que empresas da rea de petrleo e gs vm compartilhando experincias para avanar na segurana operacional e tomam como exemplo este acidente para evitar novos acidentes. Segundo Richard Morrison, vice presidente da BP, o acidente com a plataforma Deepwater Horizon fez uma grande diferena no mundo e que aps o acidente buscam um melhor equilbrio entre preveno e tcnicas de respostas.

56

3.2 PLATAFORMA P-36 DA PETROBRAS (BRASIL, 2001) A plataforma P-36 naufragou em 20 de Maro de 2001 com 11 vtimas fatais. A P-36 era uma plataforma semi-subversvel com 4 colunas com terminao em dois flutuadores (pontoons) imersos na gua conforme pode ser observado na Figura 3-3. As colunas e os flutuadores mantinham a flutuabilidade da plataforma adicionados aos tanques de lastro que sustentavam a profundidade requerida, maximizando sua estabilidade e minimizando os movimentos.

Figura 3-3Plataforma P-36 (Fonte: ANP, 2001).

3.2.1 Descrio do acidente A anlise das causas mais provveis do acidente, realizado pela Agncia Nacional do Petrleo (ANP, 2001) em conjunto com a Marinha do Brasil, permitiu identificar o evento crtico como sendo a operao de esgotamento de gua do tanque de drenagem de emergncia da coluna de popa bombordo, iniciada no dia 14 de maro de 2001. A gua contaminada com resduos oleosos presente no tanque seria bombeada para o manifolde (header) de produo da plataforma que recebe o fluxo de petrleo e gs natural proveniente dos poos produtores conforme

57

apresentado na Figura 3-4. Juntamente com produo de hidrocarbonetos, escoaria para a planta de processo. Entretanto, dificuldades operacionais para a partida da bomba de esgotamento desse tanque permitiram que houvesse fluxo reverso de leo e gs pelas linhas de escoamento dos tanques e sua entrada no outro tanque (popa boreste) atravs de vlvula presumivelmente danificada ou parcialmente aberta. A bomba do tanque da popa boreste havia sido retirada para manuteno e o respiro do tanque bloqueado para evitar a entrada de gua vindo da drenagem aberta, pois o tanque j se encontrava cheio. A pressurizao contnua deste tanque levou a seu rompimento mecnico cerca de duas horas aps o incio da operao de esgotamento do outro tanque, caracterizando o evento relatado como sendo a primeira exploso, ocorrido no dia 15 de maro de 2001. Os fluidos do tanque rompido e de linhas e demais equipamentos tambm danificados passaram a ocupar o compartimento do quarto nvel da coluna. Houve escapamento de gs para os conveses superiores atravs de aberturas nesse compartimento e por linhas de suspiro e ventilao rompidas. Cerca de 20 minutos aps o rompimento do tanque, houve a exploso do gs que atingira a rea do convs do tank top e segundo convs junto coluna. Estava, assim, caracterizado o evento relatado como a ocorrncia da segunda exploso, quando foram vitimadas onze pessoas da brigada de incndio da plataforma.

Figura 3-4 Esquemtico do processo de drenagem de emergncia da P-36 (Fonte: Aiche, 2008).

58

O colapso mecnico do tanque de drenagem de emergncia de popa boreste, seguido imediatamente pelo rompimento da linha de recalque de gua salgada que passava pelo quarto nvel, iniciou o alagamento da coluna. A migrao de gua para a parte inferior da coluna se deu quando a gua no compartimento do quarto nvel atingiu os dampers do sistema de ventilao que deveriam fechar automaticamente; porm, devido falha no funcionamento de seus atuadores, permitiram a passagem de fluidos. A quantidade de lquido no interior da coluna e em parte do flutuador provocou o adernamento da plataforma que foi intensificado com a progresso da gua para o tanque de lastro da coluna de popa boreste e para a caixa de estabilidade contgua. Esses espaos foram inundados porque as elipses de acesso aos mesmos haviam sido deixadas abertas desde o dia anterior ao acidente para possibilitar a inspeo do reparo de trinca verificada na caixa de estabilidade. A submerso contnua foi intensificada pelo alagamento da coluna avariada, da inundao do tanque de lastro de popa boreste, da caixa de estabilidade contgua e da admisso deliberada de gua de lastro nos tanques de proa bombordo. Aps o abandono da plataforma, foram efetuadas diversas tentativas de salvamento da unidade, particularmente a injeo de nitrognio e ar comprimido nos compartimentos alagados para expulso da gua. Contudo, no houve xito em manter a unidade estabilizada e sua submerso lenta e progressiva teve continuidade at s 11 h e 40 min do dia 20 de maro quando afundou. 3.2.2 Principais fatores para a ocorrncia do acidente Segundo Aiche (2008), a Figura 3-5 apresenta que uma simples aplicao da tcnica HAZOP teria identificado o potencial fluxo reverso do fluido de produo para os tanques de drenagem. Para os autores houve falha na identificao dos perigos. O respiro atmosfrico do tanque s poderia estar fechado depois do tanque estar livre de hidrocarbonetos e com todas as conexes fechadas. Para Aiche (2008), a localizao do tanque contendo gua contaminada dentro de um membro principal de suporte caracterizou este cenrio com grande potencial de ocorrncia. A natureza do tanque faz com que uma atmosfera inflamvel seja

59

altamente provvel e que se ignitado por qualquer meio, comprometeria a segurana da plataforma. Outro item importante para a caracterizao do acidente foi os dampers do sistema de ventilao e as elipses de acesso ao flutuador estarem abertas contrariando os procedimentos. Uma das principais recomendaes deste acidente foi a implementao de um programa de excelncia operacional neste tipo de instalao. A Agncia Nacional de Petrleo (ANP) recomendou que em futuros projetos que tanques ou equipamentos ligados ao processo no devem ser localizados dentro de das colunas de suporte ou dos flutuadores.

Figura 3-5 Acidente da Plataforma P-36 (Fonte: ANP, 2001).

3.3 REFINARIA TOSCO (ESTADOS UNIDOS, 1999) A companhia de leo Tosco operava a refinaria Avon na Califrnia at a dcada de 90. No final da dcada de 90, srios acidentes ocorreram e contriburam para a transferncia de comando do empreendimento. Um desses acidentes catastrficos ocorreu em 23 de Setembro de 1999 durante a troca de uma tubulao conectada na coluna fracionadora de leo.

60

3.3.1 Descrio do acidente No dia 10 de Fevereiro de 1999, um vazamento foi descoberto na linha de nafta prxima a sua conexo com a coluna fracionadora de leo. A equipe da refinaria respondeu imediatamente a ocorrncia fechando 4 vlvulas, isolando a linha. Porm o fechamento das vlvulas no foi efetivo para sanar o vazamento. Inspeo da linha de nafta foi realizada e verificou-se que esta se encontrava com espessura fina e corroda. Durante os 13 dias entre a descoberta do vazamento e o incndio, operadores realizaram inmeros testes para isolar e drenar a linha de nafta. No entanto, supervisores da Tosco prosseguiram com o agendamento da substituio da linha que se encontrava aproximadamente a 46 metros de altura, enquanto a unidade estava em operao.

Figura 3-6 Acidente na Refinaria Tosco (Fonte: site CBS).

No dia do incidente, a linha continha, aproximadamente, 90 gales de nafta, pressurizada devido ao isolamento. Houve a permisso de trabalho para os funcionrios drenar e remover a tubulao. Depois vrias tentativas no bem sucedidas para drenar a linha, o supervisor direcionou os trabalhadores a realizar dois cortes na linha utilizando uma serra pneumtica.

61

Depois de um segundo corte, comeou a vazar a nafta e o supervisor orientou os trabalhadores a abrirem um flange para drenar a linha. Como a linha estava sendo drenada, a nafta foi repentinamente libertada na extremidade aberta do primeiro corte. Houve vazamento de nafta na seo quente da coluna fracionadora, levando a ignio do produto, resultando no incndio. A chama atingiu 5 trabalhadores localizados em diferentes alturas na coluna. Neste acidente 4 pessoas morreram e 1 em estado grave. 3.3.2 Principais fatores para a ocorrncia do acidente Para Aiche (2012) este acidente claramente um resultado de prticas no seguras de trabalho. A causa do vazamento e da corroso foram relacionadas a mudanas nas condies operacionais um ano antes do acidente. A condio da linha deveria ter sido monitorada atravs de boas prticas de manuteno preventiva. Adicionalmente um plano de trabalho seguro deveria ter sido exigido para a parada da planta e purga da linha para a realizao da manuteno. H erros graves desde o planejamento execuo da manuteno. A manuteno preventiva um importante processo para assegurar a integridade mecnica durante a operao. Quando no se consegue assegurar a condio do equipamento ou realizar reparos de forma segura, a instalao ou partes deste devem ser parados. J para CBS (1999), os procedimentos de trabalho da Tosco no exigiam uma avaliao formal dos perigos para a substituio da linha de nafta. O trabalho de reparao foi classificado como manuteno de baixo risco. Apesar de perigos graves causados pela incapacidade de drenar e isolar a linha, conhecido por supervisores e trabalhadores durante a semana anterior ao o incidente, a classificao de baixo risco no foi reavaliada nem um plano de gesto foi formulado para controlar os perigos conhecidos. Adicionalmente para CBS, a Tosco no fez o gerenciamento das mudanas para analisar os potenciais riscos relacionados s alteraes realizadas no processo.

62

Memorandos e relatrios de incidentes da Tosco revelaram que administrao reconhecia problemas operacionais e aumento da taxa de corroso. No entanto, as aes corretivas foram no implementadas a tempo de evitar entupimentos e excessiva corroso na tubulao de nafta. 3.4 FLIXBOROUGH (REINO UNIDO, 1974) Segundo artigo de Pascon contido no site da empresa Processos Solues em Engenharia, Flixborough um nome bastante conhecido para os profissionais da indstria qumica. Representa uma linha divisria na filosofia de segurana aplicada pelo setor. O inqurito que investigou este acidente foi um marco no s para o setor qumico como outros setores industriais. Entretanto, para Pascon, apesar de j transcorridos 25 anos do acontecimento, suas lies ainda permanecem desconhecidas ou so negligenciadas em muitas empresas. 3.4.1 Descrio do acidente

A cerca de 16:53 horas no sbado 1 de Junho de 1974, o site da Nypro em Flixborough no Reino Unido foi severamente danificado por uma grande exploso. Vinte e oito trabalhadores foram mortos e mais de 36 feridos. Reconhece-se que o nmero de vtimas teria sido mais se o acidente tivesse ocorrido em um dia de semana. Consequncias fora do site resultaram em cinquenta e trs leses relatadas. Propriedades na rea circundante foram danificadas em graus variados. Antes da exploso, em 27 de Maro de 1974, descobriu-se um vazamento de ciclohexano por uma trinca no reator N5. O vazamento pela trinca indicava que a parte interior de ao inoxidvel no reator estava comprometida. Houve parada da planta para uma investigao. A investigao identificou que a trinca estava com extenso de 6 ft e foi tomada a deciso de remov-lo e instalar uma linha de bypass de 20 para conectar os reatores N4 e N6 para que a planta continuasse a produo. A operao foi retomada no dia 1 de abril. A linha de by-pass estava suspensa por suportes temporrios que inicialmente asseguraram sua integridade. Porm foi observado um aumento no consumo de nitrognio e no dia do acidente estava sendo investigado.

63

No dia 29 de Maio foi observado um vazamento na vlvula de isolamento do fundo do reator e optaram por parar a planta para reparar o vazamento. No dia seguinte, em 1 de Junho 1974, houve a partida da unidade. Segundo Less (1999) a sequncia dos eventos complexa e incerta. Houve descontrole da presso nos reatores e falta de nitrognio para iniciar a oxidao e verificou-se que o suprimento no chegaria at meia-noite. O controle da presso nos reatores poderiam ser realizada pela ventilao do off-gas, mas este procedimento envolveu a perda de quantidades considerveis de nitrognio. O relatrio de Eyewitness indica que um acidente ocorreu 30 a 60 minutos antes da exploso. No se sabe se esse acidente, um incndio em uma linha prxima de 8, contribuiu o rompimento da linha de by-pass levando a liberao de ciclohexano. A liberao de ciclohexano formou uma nuvem inflamvel que encontrou uma fonte de ignio e explodiu. A exploso causou grandes danos e comearam numerosos incndios no local. No houve sobreviventes na sala de controle. Dezoito pessoas morreram devido quebra das janelas e colapso do telhado.

Figura 3-7 Acidente de Flixborourgh (Fonte: AICHE, 2012).

3.4.2 Principais fatores para a ocorrncia do acidente Dentre os fatos crticos identificados na investigao deste acidente descritos por Aiche (2012), os que esto relacionados aos que sero analisados nesta dissertao foram:

64

a) Gerenciamento de mudanas inadequado A trinca vertical no reator ocorreu devido a utilizao de cido ntrico para ajustar o pH da gua para controlar vazamentos. Essa adio de cido ntrico resultou em corroso. A corroso sob tenso de nitrato um fenmeno conhecido pelos metalrgicos. Com isso, verifica-se que esta falha foi devido a no realizao adequada do gerenciamento de mudanas. Os vazamentos revelaram que algo no estava sob controle. A trinca foi a indicao que o gerenciamento de mudanas estava falho. Revises de segurana e engenharia deveriam ter ocorrido antes das modificaes na instalao. Essas revises deveriam ter rastreado e identificado se as mudanas propostas atendiam as condies do processo, mtodos operacionais e de engenharia, segurana, condies ambientais engenharia de hardware e projeto. b) Reconhecimento inadequado dos riscos do processo Conforme dito anteriormente vazamentos frequentes de ciclohexano

representavam um sinal de alerta. Vazamentos ocasionalmente resultam no shutdown do processo, porm por vezes no desencadeiam uma anlise de completa de como evit-los. Eles so eventos srios, no aceitveis e que requerem reconhecimento e ao preventiva. A instalao de uma linha de bypass contendo ciclohexano no teve devida ateno ao perigo que estava sendo imposto. Todos trabalhadores devem ter conscincia dos perigos associados a seu trabalho e capazes de determinar os riscos envolvidos em cada atividade. Neste acidente, os perigos no receberam a reviso adequada. O foco da reviso foi direcionada em como partir a planta e no como gerenciar as falhas do sistema. c) A linha foi instalada sem teste de presso, anlise de stress ou inspeo inadequada Para Aiche (2012), outro sinal de alerta para esse acidente foi a instalao da linha sem um teste de presso hidrosttico adequado. Uma reviso apropriada nas

65

condies normais e atpicas teria revelado que a linha de by-pass no estava projetada para o servio. O teste hidrosttico com a inspeo apropriada teriam indicado potenciais questes para o projeto. Este teste mostraria que a linha estava instvel e inaceitvel para a carga que seria aplicada. No h calculo de stress realizado ou mtodos de protees equivalentes provados. O clculo realizado foi para provar que a linha tinha a capacidade para o fluxo requerido. d) Procedimento operacional no robusto Segundo Aiche (2012), os procedimentos operacionais no foram escritos com nvel de detalhes adequados para os perigos impostos pela instalao. Estes procedimentos deveriam conter procedimento para shutdown e partida da planta e operadores deveriam ser treinados nestes procedimentos. 4 ROTEIRO E CRITRIOS PARA UMA BOA GESTO DAS BARREIRAS EXISTENTES Este captulo apresenta o roteiro e critrios para a gesto das barreiras de segurana existentes em uma instalao. Baseado no mtodo PDCA, conforme apresentado no item 2.7 desta dissertao, a gesto das barreiras ocorre basicamente na etapa Check e consiste na identificao de cenrios com severidade crtica e catastrfica e suas respectivas barreiras, planejamento e realizao das auditorias, bem como a utilizao da tcnica de bow-tie para os cenrios mais crticos a fim de clarificar o entendimento sobre esses cenrios. Na etapa Act, portanto, so realizadas as aes corretivas para tratamento de problemas identificados na etapa Check. 4.1 IDENTIFICAO DOS CENRIOS A identificao dos cenrios acidentais um elemento crtico, pois um perigo omitido um perigo no analisado (AICHE, 2000). O entendimento dos riscos impostos pelos perigos essencial para se estabelecer um robusto sistema para gerenciar os perigos e seus riscos (AICHE, 2012). Para tal entendimento, deve-se ter o conhecimento bsico dos conceitos de perigo e risco.

66

Perigo uma caracterstica inerente do material, da condio fsica ou atividade que possui potencial de causar danos s pessoas, propriedade ou ao meio ambiente. Risco definido como a combinao entre a probabilidade e consequncia de ocorrncia de um perigo acontecer. Segundo o Manual de Orientao para a Elaborao de Estudos de Anlise de Riscos da CETESB (P4.261, 2003), identificao de perigos uma etapa a ser desenvolvida no estudo de anlise de riscos. A anlise de risco pode ser realizada por um processo qualitativo ou quantitativo e possui o objetivo de avaliar a probabilidade e as potenciais consequncias de um evento acontecer. A seleo das tcnicas para a avaliao de riscos depende de diversos fatores, entre os quais: a complexidade do evento, a disponibilidade de tempo, a disponibilidades de especialistas e o interesse das partes interessadas. Segundo a Cetesb em seu manual P4.261, homologado em 2003, ressalta que o estudo de anlise e avaliao de riscos implementado durante o projeto inicial de uma instalao nova deve ser revisado periodicamente, de modo a serem identificadas novas situaes de risco, possibilitando assim o aperfeioamento das operaes realizadas, de modo a manter as instalaes operando de acordo com os padres de segurana requeridos. Dentre as diversas tcnicas que podem ser utilizadas para a identificao dos perigos, dentre as quais cabe mencionar: a) Listas de verificao (Checklists); b) Anlise E se... (What if...?); c) Anlise Preliminar de Perigos (APP); d) Anlise de Modos de Falhas e Efeitos (FMEA Failure Mode and Effets Analysis); e) Anlise de Perigos e Operabilidade (HazOp - Hazard and Operability Analysis). Nesta dissertao a tcnica que ser abordada ser a Anlise Preliminar de Perigos (APP). E sta tcnica amplamente utilizada e referenciada em manuais para elaborao de estudos de anlise de risco no Brasil como a Cetesb e o Instituto

67

Estadual do Ambiente do Rio de Janeiro (Inea). Adicionalmente esta tcnica fornece todos os elementos para a anlise das barreiras de segurana existentes. 4.1.1 Anlise Preliminar de Perigos A Anlise Preliminar de Perigos uma tcnica que derivada do sistema de segurana militar dos Estados Unidos. (AICHE, 2008). Esta uma tcnica qualitativa que permite identificar os cenrios de acidentes passveis de ocorrer em um dado sistema, analisando suas causas e efeitos e buscando propor medidas para reduo dos riscos do sistema. A Anlise Preliminar de Perigos se concentra de uma forma geral sobre os materiais perigosos e processo principal de uma planta. Segundo Aiche (2008) ilustra um bom custo-benefcio para identificar os riscos no incio de uma vida da planta. Devido sua herana militar, a tcnica de Anlise Preliminar de Risco , por vezes utilizada para analisar as reas de processo onde a energia pode ser liberada de forma descontrolada. Esta metodologia pode ser usada para sistemas em incio de desenvolvimento ou em fase de projeto e, tambm, como reviso geral de segurana de sistemas j em operao. Na APP so levantadas as causas de cada um dos possveis eventos acidentais e as suas respectivas consequncias e, em seguida feita uma avaliao qualitativa do risco associado a cada cenrio acidental, avaliando a frequncia de ocorrncia do evento acidental, segundo suas causas e avaliando a severidade do cenrio de acidente. Portanto, os resultados obtidos so qualitativos, no fornecendo estimativa numrica. Adicionalmente, a APP realizada por uma equipe multidisciplinar, composta pelas pessoas que participam das operaes das atividades, o responsvel pela segurana e os responsveis pelas manutenes. O desenvolvimento desta anlise realizado atravs de uma planilha estruturada conforme o modelo apresentado na Figura 4-1 e conforme a descrio a seguir:

68

Anlise Preliminar de Perigos (APP)

Empresa: Elaborado por: Sistema: Referncia: Data:

Perigo

Causas

Efeitos

Salvaguardas

Freq

Sev

Risco

Observaes / Recomendaes

Cenrio

Figura 4-1 Planilha APP (Fonte: Adaptado AICHE, 2008)

a) 1 Coluna: Perigo - Esta coluna contm os potenciais de danos identificados para o mdulo que ser estudado. De uma forma geral, estes perigos esto relacionados a eventos acidentais que tm potencial para causar danos s instalaes, aos operadores, ao pblico e ao meio ambiente; b) 2 Coluna: Causas - As causas de cada evento so discriminadas nesta coluna. Estas causas podem envolver tanto falhas intrnsecas de equipamentos (vazamentos, rupturas, falhas de instrumentao, etc.) como erros humanos de operao/manuteno; c) 3 Coluna: Efeitos - Os possveis efeitos danosos/consequncias de cada situao identificada so listadas nessa coluna. So considerados tanto distrbios operacionais, como perda de produto e interrupo da transferncia ou parada da unidade, bem como efeitos que possam gerar incndios, exploses ou danos ao homem, meio ambiente e instalaes. d) 4 Coluna: Salvaguardas - Nesta coluna so indicadas prticas padro, assim como sistemas de proteo dos equipamentos (alarmes,

intertravamentos e bloqueios), que atuem como fatores que indicam, detectam, atenuam ou empeam a ocorrncia de situaes de risco. e) 5 Coluna: Categorias de Frequncia do Evento Acidental (Freq) - Um evento acidental definido como o conjunto formado pela origem do acidente (perigo) e suas possveis causas. Cada evento de acidente deve

69

ser classificado em categorias de frequncia, as quais fornecem uma indicao qualitativa da frequncia esperada de ocorrncia para os eventos identificados. Uma sugesto de categorizao da frequncia do evento acidental apresentada no Quadro 4-1.
Quadro 4-1 Descrio categoria de frequncia (Fonte: Haddad e Morgado, 2002) Categoria Denominao Descrio Conceitualmente possvel, mas extremamente improvvel de ocorrer durante a vida til do Processo/instalao B C D Remota Improvvel Provvel No esperado ocorrer durante a vida til do Processo/instalao Pouco provvel de ocorrer durante a vida til do Processo/instalao. Esperado ocorrer at uma vez durante a vida til do Processo/instalao Esperado ocorrer vrias vezes durante a vida til do Processo/instalao

Extremamente Remota

Frequente

f) 6 Coluna: Categoria de Severidade do Evento Acidental (Sev) - Os cenrios de acidente so classificados em categorias de severidade, as quais fornecem uma indicao qualitativa do grau de severidade das consequncias de cada um dos cenrios identificados (composto pelo evento acidental e possveis desdobramentos). Uma sugesto de categorizao da severidade do evento acidental apresentada no Quadro 4-2.

70

Quadro 4-2 Descrio categoria de severidade (Fonte: Haddad e Morgado, 2002) Categoria Denominao Descrio - Sem danos ou danos insignificantes aos equipamentos, propriedade e/ou ao meio ambiente; I Desprezvel - No ocorrem leses/mortes de funcionrios, de terceiros (No funcionrios) e/ou pessoas (indstrias e comunidade); o mximo que pode ocorrer so casos de primeiros socorros ou tratamento mdico menor. - Danos leves aos equipamentos, propriedade e/ou ao meio ambiente (os danos materiais so controlveis e/ou II Marginal de baixo custo de reparo); - Leses leves em funcionrios, terceiros e/ou em pessoas. - Danos severos aos equipamentos, propriedade e/ou ao meio ambiente; III Crtica - Leses de gravidade moderada em funcionrios, em terceiros e/ou em pessoas (probabilidade remota de morte de funcionrios e/ou de terceiros); - Exige aes corretivas imediatas para evitar seu desdobramento em catstrofe. - Danos irreparveis aos equipamentos, propriedade e/ou ao meio ambiente (reparao lenta ou impossvel); Provoca mortes ou leses graves em vrias pessoas (em funcionrios, em terceiros e/ou em pessoas).

IV

Catastrfica

g) 7 Coluna: Categoria de Risco - Combinando-se as categorias de frequncia com as de severidade obtm-se o risco baseada em uma Matriz de Riscos. De acordo com a Matriz apresentada no Quadro 4-3, os cenrios da regio em verde encontram-se numa regio de risco baixo (solues necessrias a longo prazo), a regio em amarelo indica cenrios de acidente cujo risco moderado (solues necessrias a mdio prazo) e em vermelho esto os cenrios considerados de risco alto (solues imediatas).

71

Quadro 4-3 Matriz de Risco (Fonte: Haddad e Morgado, 2002) Frequncia A IV Consequncia III II I Severidade I - Desprezvel II - Marginal III - Crtica IV - Catastrfica 2 1 1 1 B 3 2 1 1 C 4 3 2 1 D 5 4 3 2 E 5 5 4 3

Frequncia A - Extremamente Remota B - Remota C- Improvvel D - Provvel E - Frequente

Risco 1 - Desprezvel 2 - Menor 3 - Moderado 4 - Srio 5 - Crtico

h) 8 coluna:

Recomendaes/Observaes - Esta coluna contm as

recomendaes que visam a melhoria da condio de segurana, a minimizao dos efeitos dos possveis acidentes ou observaes pertinentes ao cenrio em estudo. i) 9 coluna: Cenrio Esta coluna contm um nmero de

identificao do cenrio de acidente, sendo preenchida sequencialmente para facilitar a consulta a qualquer cenrio de interesse. 4.1.2 Seleo dos cenrios Alm dos aspectos tcnicos acima mencionados, a anlise de risco, um elemento fundamental no conhecimento dos riscos, de suas barreiras e de toda gesto de Segurana de Processo. Sem uma sistemtica efetiva de anlise dos riscos em seus diversos nveis de complexidade e metodologias, no se consegue evoluir eficientemente na Segurana de Processo, muito menos no conhecimento e gesto das barreiras de proteo dos cenrios. Para a seleo dos maiores cenrios acidentais escolhem-se aqueles que foram classificados com as maiores categorias de severidade, caso de utilizao do Quadro 4-2, os cenrios que foram classificados com as categorias crtica e catastrfica na APP. Para esta anlise importante que a seleo dos cenrios acidentais seja baseada na severidade e no no risco. Como este ltimo baseado

72

na combinao de uma frequncia de ocorrncia e sua possvel consequncia, o cenrio com grande potencial de dano pode ter seu risco reduzido pela baixa frequncia a ele associada podendo ser desconsiderado da anlise. A escolha dos cenrios pela severidade viabiliza a identificao dos cenrios de maior relevncia em termos de consequncia s pessoas, meio ambiente e a instalao, os quais so prioridades no sistema de gerenciamento. O foco desta etapa consiste em entender e selecionar os principais cenrios/perigos (Major Accident Hazards) no empreendimento a ser analisado. A partir desta seleo, a prxima etapa consiste na identificao de seus mecanismos de controle, ou seja, suas barreiras de proteo. 4.2 IDENTIFICAO DAS BARREIRAS DE SEGURANA PARA CADA CENRIO SELECIONADO Para cada cenrio selecionado na etapa anterior verificam-se todas as barreiras de proteo (preventivas ou mitigatrias), no exemplo desta dissertao, a 4 coluna da planilha de APP (salvaguarda) ou em outros estudos de anlise de risco realizado para o empreendimento. Adicionalmente verificam-se todas as recomendaes realizadas durante a anlise de riscos para o cenrio identificado. Todas as barreiras identificadas, preventivas ou mitigadoras, devero ser validadas pelo responsvel de cada planta de processo do empreendimento. 4.3 VERIFICAO DA INTEGRIDADE DAS BARREIRAS DE SEGURANA IDENTIFICADAS PELO PROCESSO DE AUDITORIA A integridade de uma barreira est relacionada ao desempenho desta funo que se destina. Em relao integridade, uma barreira pode ser classificada em ntegra ou degradada. Uma barreira com bom desempenho est relacionada sua manuteno dentro dos padres esperados, os quais so atingidos atravs do cumprimento de prticas de inspeo, manuteno, auditorias dentre outros (BARDY et al, 2012b). Uma barreira considerada ntegra quando se encontra efetiva no desempenho de sua funo e degradada quando est abaixo dos padres esperados, logo poder no ser efetiva no desempenho de sua funo quando demandada.

73

importante ressaltar que caso uma barreira falhe, no necessariamente indica que a mesma est degradada, pois cada barreira possui uma taxa de falha intrnseca. Um dos fatores que pode levar a degradao , por exemplo, o no cumprimento dos planos de manuteno e inspeo. A verificao da integridade das barreiras de segurana pode ser realizada pela metodologia de auditoria.Segundo Bardy (2012a), alm de verificar o status das barreiras de segurana dos maiores cenrios para a planta em anlise, o resultado da auditoria de barreiras auxilia a alta gesto: a) na viso integrada do sistema de gesto e dos fatores que podem reduzir perdas; b) definir e acompanhar os indicadores de processo; c) o compromisso dos lderes e trabalhadores com a segurana de processo; d) verificao do nvel de implementao de princpios e polticas da segurana de processo na instalao; e) no desenvolvimento de uma cultura de segurana de processo. Adicionalmente, como resultante da auditoria, uma lista de recomendaes para as barreiras analisadas como degradadas elaborada com o objetivo de melhorar suas condies para que estas possam vir a ser consideradas como ntegras. Para a identificao do status das barreiras atravs da auditoria, uma equipe multidisciplinar consultada envolvendo especialistas das reas de engenharia de processo, operao, manuteno, instrumentao e segurana. Conforme citado anteriormente, para cada cenrio selecionado, as barreiras preventivas e mitigadoras so validadas pelo responsvel da rea. Aps essa

validao as barreiras so divididas por disciplina em que estas so geridas para facilitar a anlise. O Quadro 4-4 apresenta um exemplo de diviso da equipe responsvel por cada barreira a ser analisada.

74

Quadro 4-4 reas responsveis pela gesto das barrerias rea Responsvel Inspeo Barreiras Programas de inspeo e manuteno em linhas, equipamentos e acessrios. Sistema de alvio para equipamentos e linhas pressurizadas. Instrumentao Programa de testes de instrumentos e equipamentos de segurana. Alarme de segurana em sistemas de operao. Funo Instrumentada de Segurana

Intertravamentos. Sistema de controle (Presso, Temperatura, Nvel, etc.). Vlvulas de bloqueio (com acionamento manual ou remoto). Operao Programas de treinamentos em operao e

procedimentos crticos. Procedimentos operacionais e de manuteno. Detectores de gases. rea de carregamento/descarregamento de

carretas/caminhes. Cmeras de vdeo. Botoeira de emergncia. Civil Proteo/Pavimentao do solo Canaletas para tratamento ou substituio das pluviais. Diques de conteno. Sistema de canaletas cercando ruas e reas de processo. Segurana Preservao do sistema de combate a incndio, e operao do sistema. Plano de Ao de Emergncia. Verificao dos status das recomendaes realizadas durante estudos de anlise de risco Manuteno Programas de manuteno em equipamentos rotativos.

Aps a diviso das barreiras por disciplina, as barreiras so auditadas baseadas em um protocolo desenvolvido especificamente para a mesma visando avaliar sua integridade, item este que ser abordado a seguir nesta dissertao.

75

Alm dos protocolos a serem preenchidos, as recomendaes dos estudos de anlise de risco existentes tambm devem ser verificadas durante a auditoria. Em caso de no atendimento, deve-se verificar se h registros de justificativa ou se foram substitudas/modificadas atravs de recomendaes que garantam um nvel de segurana semelhante. Uma vez que, de acordo com boas prticas aplicadas para Gerenciamento de Risco, todas as recomendaes geradas devem ser acompanhadas ou justificadas formalmente em caso da no implementao das mesmas. 4.3.1 Protocolos Conforme mencionado acima, para auxiliar no processo da auditoria das barreiras, utilizam-se os protocolos. O protocolo define o escopo da auditoria e fornece estrutura e orientao para a equipe de auditores (AICHE, 2012). Aiche (2012) ainda expe que a equipe de auditores deve utilizar diversos mtodos para medir a conformidade da barreira analisada. Este deve incluir uma inspeo detalhada das polticas e procedimentos, verificao atravs da inspeo dos documentos registrados e validao atravs de entrevistas com a equipe da instalao, ou seja, se basear em evidncias. Com isso cada tipo de barreira de proteo deve possuir um modelo de protocolo correspondente sua funo com questes e/ou critrios usados para coletar evidncias necessrias para chegar a concluses acerca do status dos elementos auditados. Conforme exposto acima, cada protocolo dever conter uma srie de questes de forma sistemtica, na qual orienta o auditor a perguntar sobre a situao atual em que a barreira se encontra. Caso nesta etapa, a barreira seja identificada como degradada, sugestes, aes e recomendaes para alcanar a integridade desejada devero ser elaboradas pela equipe presente na auditoria. Nos casos em que a barreira estiver com ao menos um quesito no atendido, a mesma ser considerada como Degradada. Caso todos os itens estejam atendidos, a barreira ser considerada como ntegra.

76

Um exemplo de itens que devem ser avaliados durante a auditoria para um sistema instrumentado de segurana encontra-se na Figura 4-2.

A conservao do sistema adequada?

Sistema Instrumentado de Segurana

Est inserida no plano de inspeo/manuteno?

H cumprimento do plano de inspeo/manuteno?

O sistema testado periodicamente?

O intervalo de testes atende ao que foi estabelecido na classificao do SIL da malha de segurana?
Figura 4-2 Exemplo de itens a serem avaliados em sistemas instrumentados de segurana.

Os itens a serem avaliados em cada protocolo devem ser elaborados baseados em normas nacionais e internacionais, boas prticas e a expertise da equipe. 4.3.2 Verificao da criticidade das barreiras de segurana identificadas Outro fator que pode ser avaliado durante a autoria a classificao das barreiras quanto a sua criticidade (crtica ou no-crtica). Esta classificao, baseado na expertise da equipe da instalao, visa identificar as barreiras mais importantes

77

para os cenrios avaliados facilitando a priorizao de aes necessrias para mant-las ntegras. Adicionalmente a barreira pode ser classificada em barreiras principais ou secundrias. Segundo Bardy et al (2012b), uma barreira principal classificada como crtica quando esta capaz de atuar diretamente impedindo a ocorrncia do evento, no caso das barreiras preventivas, ou impedindo o desdobramento do evento nas consequncias possveis (barreiras mitigadoras). A barreira principal tambm pode ser classificada como no crticas, ou seja, aquelas que no so suficientes para impedir a ocorrncia necessitando de barreiras adicionais. Porm estas ajudam a reduzir a ocorrncia do evento ou minimizar seus impactos. J as barreiras secundrias, relacionadas a um fator de escalonamento de uma barreira principal, seguem o mesmo critrio para determinao de sua criticidade. Esta avaliada quanto manuteno da barreira principal a qual ela est relacionada e no ao evento ou suas consequncias como adotado para as barreiras principais, conforme descrito acima. Atravs deste critrio, as barreiras crticas so prioridades frente a barreiras no crticas e com isso os gestores conseguem verificar quais barreiras devem ser priorizadas caso estejam degradadas. 4.4 BOW-TIE A partir dos resultados da auditoria, um bow-tie pode ser construdo para os cenrios mais crticos analisados. vlido lembrar que o bow-tie uma ferramenta que agrega uma perspectiva relacional entre evento, causas, consequncias e barreiras, alm de facilitar a visualizao das possveis ameaas e consequncias associadas aos eventos de grande potencial de dano. Baseado nos itens 4.3 e 4.4, a Figura 4-3 apresenta um exemplo de representao no bow-tie da integridade das barreiras onde a cor vermelha representa que a barreira est degradada e cor verde representa a integridade da barreira. Adicionalmente pode-se verificar a classificao das barreiras em crticas e no-crticas representados na Figura 4-3 por CRI e NO-CRI respectivamente.

78

Figura 4-3 Representao de Criticidade e Integridade no diagrama de bow-tie (Fonte: Bardy et al, 2012b).

A Figura 4-4 apresenta um exemplo de um bow-tie resultante da aplicao dos itens mencionados acima para uma estocagem de etileno em uma planta de processo. Esta Figura 4-4 apresenta graficamente as barreiras preventivas e mitigatrias para o evento de liberao de gs inflamvel com a classificao quanto a criticidade e integridade.

79

Figura 4-4 Bow-tie para o cenrio de liberao de gs inflamvel.

4.5 TRATAMENTO DE NO CONFORMIDADES Um elemento essencial de qualquer programa de gesto o monitoramento do que existe da perspectiva de sua performance futura. Portanto, para a melhoria contnua do desempenho em segurana de processo, importante o

estabelecimento de indicadores e a definio da estrutura de governana para seu monitoramento. Tal como para qualquer dimenso sistmica, o monitoramento da gesto das barreiras de proteo dos principais cenrios de acidente de processo tambm crucial. Com isso, no basta identificar o problema, um plano de ao deve ser realizado para a melhoria contnua da instalao. Este plano de ao deve ser baseado nos cenrios de maiores risco para a instalao com os resultados da auditoria realizada. Conforme citado no captulo

80

anterior, recomendaes durante a auditoria so elaboradas com a finalidade de melhorar as condies operacionais e de segurana em uma instalao. Adicionalmente as recomendaes dos estudos de anlise de risco no atendidas ou no justificadas tambm devem ser contemplados no plano de ao. Quando auditorias subsequentes apontam repetidas resultados de auditorias anteriores ou mesmos pontos de melhoria, isto pode representar um sinal na deficincia no progresso inadequado dos resultados da auditoria ou inapropriado acompanhamento e monitoramento do sistema. Quando as recomendaes de estudos de anlise de risco no estiverem atendidas/justificadas ou resultado de auditorias apresentarem repetidas no conformidades, segundo Aiche (2012), perguntas devem ser feitas a fim de determinar a importncia deste sinal de alerta. a) Porque esta no conformidade ainda est aberta? b) Existe algum plano de ao desenvolvido para essa no conformidade? c) A instalao est rastreando o progresso do plano de ao regularmente? d) O plano de ao est sendo priorizado? e) A gesto snior local (ou e se aplicvel, o corporativo) conhece e suporta o plano de ao? f) Qual ser a possvel consequncia caso esta no conformidade no ser solucionada em tempo hbil? O monitoramento e gerenciamento do plano de ao so usualmente de responsabilidade da instalao. A responsabilidade para o desempenho da segurana de processo repousa sobre o gerente snior/gestores do negcio ou da instalao. Tal responsabilidade requer uma avaliao de desempenho eficaz. Membros da alta gesto, ou pessoas qualificadas delegadas pelos mesmos, devem participar da reunio de fechamento da auditoria para entender e conhecer o status da segurana de processo no mbito do comprometimento das barreiras de segurana da instalao em anlise. Cpias do relatrio de auditoria devem ser enviadas aos gestores a fim dos mesmos terem a oportunidade de responder a perguntas relacionadas com os resultados.

81

Adicionalmente deve-se verificar se a instalao tem recursos para atender os resultados de forma adequada e eficiente. Para instalaes com mltiplas instalaes e linhas de negcios diferentes com gerncia executiva associadas, podem elaborar uma estrutura para o monitoramento do status das barreiras e da implementao das recomendaes oriundas das auditorias/analises de risco. Esta pode ser dividida para os diferentes nveis de liderana onde o maior nvel hierrquico, por exemplo uma gerncia executiva, fique responsvel pelo monitoramento dos 10 maiores cenrios de todo o

empreendimento, a alta gerncia da empresa responsvel pelos 5 maiores cenrios de cada planta e a planta com todos os seus cenrios de maior risco. 5 BOAS PRTICAS PARA GESTO DAS BARREIRAS DE SEGURANA Este captulo visa identificar pontos importantes a serem seguidos durante todo o processo que envolve a gesto das barreiras de segurana dos maiores cenrios da instalao. Boas prticas relacionadas aos itens descritos no captulo anterior e ferramentas que auxiliam na gesto das barreiras sero expostas neste item como se segue: a) Auditoria b) Integridade dos Ativos c) Gerenciamento dos Riscos d) Cultura de segurana Essas boas prticas foram baseadas em vivncias de campo para estudos de gesto de barreiras em empresas da rea petroqumica e de leo e gs em conjunto com o livro do Aiche, Recognizing Catastrophic Incident Warning Signs in the Process Industries, 2012. 5.1 AUDITORIA Durante a auditoria, algumas dicas so importantes para que o resultado deste processo seja eficaz. Um efetivo programa de auditoria uma das melhores defesas contra a complacncia. No entanto, um programa de auditoria ineficaz pode desperdiar

82

recursos valiosos e produzir informao enganosa, podendo assim sugerir que a instalao /est melhor do que seu status atual. 5.1.1 Pr-auditoria Antes da realizao da auditoria, grande importncia que os auditores passem por um treinamento para a uniformizao dos conceitos e mtodos que sero abordados durante a auditoria. Aps o treinamento, os auditores devem: a) Ter o conhecimento bsico do processo da instalao que ser analisada; b) Conhecer as polticas, elementos estratgicos em termos da segurana de processo bem como a estrutura organizacional da empresa; c) Ter o mesmo entendimento em relao s perguntas elaboradas em cada protocolo; d) Ter o conhecimento para o preenchimento dos protocolos de maneira uniforme. Este item pode ser sanado atravs da elaborao de um guia de preenchimento o qual dever ser fornecido pela empresa. Adicionalmente, caso da metodologia de auditorias de barreiras j esteja implementada na empresa, vlido realizar uma reviso nos protocolos e itens a serem avaliados durante este processo, pois procedimentos podem ter sido alterados e/ou novas condutas definidas pela empresa. 5.1.2 Durante auditoria Caso durante a auditoria se verifique que resultados de auditorias anteriores ainda esto em aberto, deve-se investigar o motivo pela qual a mesma no est finalizada. H uma significante diferena entre aes incompletas no plano de ao que est sendo priorizada e ter recursos alocados para completar a ao baseado na avaliao do risco com um resultado de auditoria o qual no tem um plano definido. 5.1.3 Resultados da auditoria Geralmente, na maioria das organizaes, o corporativo est mais envolvido em monitorar o progresso do plano de aes a completar e reportar o progresso para os gerentes da organizao. Porm, todos os envolvidos na auditoria, desde os auditores ao gerente da planta devem ter a conscincia de como monitorar a ao e

83

acompanhar o progresso dos resultados. Surpresas nestas funes so raramente produtivas. Quando resultados da auditoria e subsequente acompanhamento e

monitoramento do desempenho no so revisados com os gerentes responsveis, dois fatores podem ter sido determinante para tal fato: a) Falha no sistema de gesto da empresa; b) Ou a falta de compromisso e importncia dos gestores com os resultados da auditoria. Itens esses que devem ser rastreados e verificados, pois representam uma importante lacuna no sistema de gesto da segurana de processo. Adicionalmente outro fator de grande relevncia para a gesto das barreiras so que os resultados/relatrios da auditoria no estejam somente disponveis para os gestores. Todos os funcionrios envolvidos no processo tem o direito de saber o status do desempenho da organizao para qual ele trabalha. Os resultados da auditoria podem motivar os empregados a participar/ajudar propondo solues no gerenciamento das atividades do sistema. Para organizaes com diversos sites e localidades diferentes, importante que os resultados da auditoria sejam divulgados a todos, pois permite que melhores prticas e lies aprendidas possam ser compartilhadas. Organizaes com diversos sites e reas de negcios diferentes possuem riscos e processos especficos. O esforo em se atingir um programa de segurana de processo sustentvel para organizaes deste porte grande, pois padres e orientaes a serem cumpridas podem ser muito abrangentes e ambiciosas para todos os sites. Embora a maioria dos programas de segurana de processo geralmente possui o mesmo objetivo, o ideal que os programas tenham adaptaes para riscos especficos e necessidades para cada site. Para finalizar, quando a auditoria encontra resultados negativos, pode acontecer explicitamente, pelos gerentes da instalao, que estes resultados sejam amenizados ou at mesmo retirados do relatrio preliminar da auditoria. Por vezes, quando a auditoria realizada externa, os auditores com a inteno de manter a relao com a organizao, podem tender a concordar com esta demanda. No importa a influncia ou a razo, auditores no devem alterar suas impresses a

84

menos que tenha esquecido uma evidncia ou novas evidncias so fornecidas durante a reviso do relatrio preliminar da auditoria que suporte a alterao dos resultados iniciais. 5.2 INTEGRIDADE DOS ATIVOS A integridade de ativos e a confiabilidade dos equipamentos so atividades de implementao sistemtica que vo desde o projeto at a operao em uma instalao. Essas atividades auxiliam a garantir que o equipamento estar seguro e confivel durante sua operao. O objetivo primrio da integridade de ativos o desempenho confivel dos equipamentos para a conteno segura, preveno ou mitigao das consequncias devido liberao de energia ou material perigoso. A integridade de equipamentos e acessrios ir determinar a probabilidade de ocorrncia de um acidente que envolve uma grande perda. 5.2.1 Manuteno Preventiva e Plano de Inspeo Um grande aliado gesto de barreiras o mtodo como a instalao conduz a manuteno preventiva de instrumentos e a inspeo em equipamentos e acessrios. Um programa de manuteno preventiva e um plano de inspeo eficaz so itens chaves para que uma barreira esteja ntegra. Manter o equipamento confivel requer que a instalao inspecione todos os equipamentos fsicos de acordo com o planejamento programado baseado em cdigos e prticas aplicadas. Alguns componentes chaves para que o plano de manuteno e inspeo sejam elaborados de forma eficiente so: a) As rotinas de inspeo e manuteno devem estar de acordo com cdigos da indstria e prticas reconhecidas, incluindo recomendaes do fabricante, quando aplicvel; b) Conduzir a realizao das tarefas usando operadores qualificados e treinados, os quais utilizam procedimentos aprovados e atualizados e que completam a tarefa no tempo programado; c) Utilizao de materiais de alta qualidade durante a manuteno/reparo; d) Manter o arquivo com o histrico de reparos do equipamento atualizados.

85

Alm do histrico de reparos atualizado para cada equipamento, toda instalao deve possuir um sistema onde registre a periodicidade da realizao da manuteno ou inspeo do equipamento/acessrio/instrumento em questo. Este mesmo sistema deve apontar a equipe responsvel quais equipamentos devem ter a manuteno realizada no prximo ms, por exemplo. Atrasos na inspeo em vasos de processo, vlvulas de alvio, e outros itens de segurana ou equipamentos crticos so de grande preocupao para as indstrias de processo. Vale ressaltar que nenhuma instalao ou programa de integridade perfeito. A troca de uma pea de um equipamento pode estar vencida por alguns dias ou semanas devido a diversas circunstncias, como exemplo, a alta demanda de produo ou reduo de custos devido baixa demanda. Alm dos critrios estabelecidos pela poltica da empresa no que tange a periodicidade e criticidade de um sistema pela confiabilidade, outra forma para auxiliar a instalao a rastrear os sistemas mais crticos basear-se nos cenrios maiores identificados para instalao. Logo, pode-se identificar os equipamentos, acessrios e instrumentos que exercem funo de proteo nos cenrios maiores da planta, e desta forma, priorizar os elementos para a realizao da manuteno ou inspeo. Durante a auditoria, etapa Check apresentada no modelo PDCA, a manuteno preventiva e a inspeo so elementos que devem ser amplamente explorados pelo auditor, verificando alm do cumprimento do plano, o status das recomendaes realizadas durante uma inspeo para o caso de linhas e equipamentos e manuteno para instrumentos. Problemas como a reprogramao das recomendaes na inspeo e recomendaes em aberto por corroso em linhas e acessrios degradados so alguns dos exemplos que podem ser encontrados pelo auditor e que devem estar contemplados no relatrio da auditoria para serem tomadas as devidas aes. 5.2.2 Gerenciamento de Alarmes Alarmes e instrumentos formam uma vital comunicao entre o processo e os operadores. Sem o funcionamento devido dos alarmes e instrumentos, torna-se mais difcil verificar o status operacional do processo e do equipamento de segurana.

86

Estes instrumentos podem estar diretamente ligados a um sistema de controle da planta ou estes podem indicar qual ao deve ser tomada pelo operador. Os alarmes devem ser testados e calibrados e ter uma rotina de inspeo definida. Adicionalmente devem ser cuidadosamente instalados e localizados de uma maneira que garanta operaes precisas e confiveis. Caso durante a identificao dos cenrios, alarmes sejam reconhecidos como uma barreira de segurana do processo, esses elementos devem ser analisados durante a auditoria. Itens como a manuteno preventiva, testes e calibrao devem ser verificados, bem como se o operador tem conhecimento de que aquele alarme uma barreira de segurana para tal cenrio. Como subsdio pode-se verificar no procedimento operacional da planta se o alarme relacionado est contemplado no mesmo. Adicionalmente comum verificar durante visitas ou conversas com operadores que existem alarmes desabilitados na planta. Quando a autorizao para desabilitar o alarme recorrente ou se alarmes e sistemas esto desabilitados por longos perodos, um sinal de alerta para o sistema de gesto deve ser acionado. Um estudo detalhado deve ser realizado na planta para se verificar a acuracidade e funcionalidade dos alarmes distribudos na planta. Este estudo pode entrar no plano de ao para a melhoria da gesto das barreiras. 5.2.3 Sistemas Instrumentados de Segurana Sistema instrumentado de segurana (SIS) um nvel independente de proteo para processos que possuem alto risco em caso de falha. Um SIS composto por trs elementos: iniciadores (sensores, ex. sensor de nvel e sensor de presso), executor da lgica (CLP - controlador lgico programvel) e elemento final (atuadores, ex. vlvula de bloqueio, bombas). Esses sistemas so independentes dos controles normais do processo e normalmente so projetados para atingir um alto desempenho. A Figura 5-1 apresenta o importante papel das SIS e de outras camadas de proteo para alcanar a reduo do risco necessrio.

87

Figura 5-1 Importncia das funes instrumentadas de segurana (Fonte: IEC61511-3, 2003).

Observa-se hoje que muitas empresas j possuem como procedimento interno a realizao do estudo para verificao do nvel de SIL requerido para as funes de segurana para seus empreendimentos. Esta verificao pode ser realizada atravs de duas metodologias: grfico de risco e/ou LOPA. Para maiores detalhes destas metodologias, vide norma IEC-61508. Com base neste estudo a empresa tem subsdios para a compra dos instrumentos que atendam ao nvel de SIL requerido da funo de segurana. Porm no basta que esses instrumentos sejam comprados com o nvel de confiabilidade estabelecido durante o estudo. Testes e calibraes de toda funo instrumentada de segurana, desde os iniciadores da funo at seus atuadores, so necessrios e de grande importncia para assegurar seu desempenho. Adicionalmente testes nestas funes devem ser considerados de alta prioridade, pois caso no atuem quando demandadas podem gerar srios danos para as pessoas, meio ambiente e instalao. Tendo em vista que de grande importncia que o SIS seja testado no intervalo timo calculado para que sua funo de segurana seja mantida ntegra, pode-se citar que o clculo do intervalo de teste uma prtica j realizada e pode ser baseado em duas propostas: na formulao proposta pelo International

Electrotechnical Commission (IEC) da Norma IEC-61508 e no SINTEF Industrial Management Safety and Reliability pela publicao, Reliability Quantification of Control and Safety Systems. The PDS-II Method.

88

Logo, de grande importncia que as SIS sejam testadas no intervalo timo calculado para que sua funo de segurana seja mantida ntegra. 5.3 GERENCIAMENTO DOS RISCOS E DE MUDANAS Como j mencionado nesta dissertao, a anlise de risco um elemento fundamental no conhecimento dos riscos, de suas barreiras e de toda gesto de Segurana de Processo. Sem uma sistemtica efetiva de anlise dos riscos em seus diversos nveis de complexidade e metodologias, no se consegue evoluir eficientemente na Segurana de Processo, muito menos no conhecimento e gesto das barreiras de proteo dos cenrios. Durante a operao de uma planta o gerenciamento de risco uma funo de contnuo empenho. Durante o projeto e a construo de uma instalao, riscos especficos so levados em conta e sistemas so utilizados para gerenci-lo. Por conseguinte, durante a vida til, mudanas e ampliaes so realizadas na instalao e o gerenciamento dos riscos precisa acompanh-las aplicando as boas prticas para gesto da segurana de processo. Gerenciar mudanas durante a vida da instalao um elemento chave na gesto dos sistemas na indstria para identificar e gerenciar os riscos. Durante a fase de projeto ou nos primeiros anos da vida til da instalao, os cenrios identificados pela equipe de uma Anlise Preliminar de Perigos, por exemplo, esto limitados aos produtos qumicos presentes e seu processo. Revalidaes permitem a equipe aplicar as lies aprendidas que ocorreram na instalao. Esta reviso permite a equipe ter uma viso holstica de todas as mudanas realizadas desde a ltima reviso ou da verso original. O risco de um incidente pode aumentar significativamente caso uma mudana no projeto no seja analisada de forma eficaz. Uma efetiva identificao dos perigos e um efetivo programa de avaliao dos riscos permite a organizao acompanhar de forma correta os maiores cenrios da instalao e identificar suas barreiras de proteo. Adicionalmente, devem motivar os trabalhadores a serem mais responsveis e gerenciar sua prpria segurana, pois frequentes mudanas podem resultar em indecises/distrbios como a definio do seu papel, suas

responsabilidades e suas aes.

89

Os trabalhadores devem ser encorajados a parar qualquer situao ou comportamento que possa representar perigo s pessoas, ao meio ambiente e a instalao. Com isso cada trabalhador passa a exercer seu importante papel no gerenciamento dos riscos. A revalidao dos riscos, alm de representar uma boa prtica, tambm questo regulada em muitos pases. No Brasil, por exemplo, segundo o INEA e a CETESB, estudos de anlise de risco devem ser revisados a cada 5 anos. Um importante fator a ser considerado quanto ao treinamento dos lideres que iro conduzir as anlises de risco. Quando se trata de uma empresa que possui diversas instalaes e que possui lderes para conduo das anlises imprescindvel que os mesmos tenham o entendimento uniforme das tcnicas que sero aplicadas adicionadas aos critrios de tolerncia ao risco e dos procedimentos internos para a conduo dos estudos. Logo, para garantir abrangncia, qualidade e consistncia nos estudos de anlise de risco realizados, indispensvel rever a sistemtica de realizao dos mesmos incluindo treinamento ou reciclagem das tcnicas de anlise de risco com validao externa, incluso de exemplos e reviso/incluso de instrues nos procedimentos internos. 5.3.1 Plano de Ao de Emergncia O Plano de Ao de Emergncia estabelece procedimentos a serem adotados em situaes de emergncia. Esses procedimentos definem aes imediatas e eficazes com o objetivo de preservar vidas, proteger comunidades vizinhas e minimizar impactos ao meio ambiente e para o patrimnio. Portanto de suma importncia manter o plano de ao de emergncia atualizado e abrangendo os maiores cenrios da instalao com suas protees evidenciadas e as aes a serem tomadas. A partir do plano atualizado, a instalao deve criar uma sistemtica de treinamentos e simulados uma vez que a preparao ponto fundamental para a realizao de um atendimento adequado a uma emergncia.

90

Est prtica deve ser adotada, pois promove preveno e a aplicao corretamente dos requisitos de segurana visando o sucesso do atendimento as situaes emergenciais. Durante a auditoria de barreiras, o plano atualizado e a realizao dos simulados so pontos fundamentais a serem abordados e evidenciados. 5.3.2 Bow-tie Com os resultados do bow-tie possvel verificar o status de integridade das barreiras de segurana dos principais cenrios acidentais da instalao e a partir destes dados desenvolver meios de manter a melhora contnua da integridade das barreiras e adequar as barreiras degradadas aos padres de qualidade esperados. Portanto, imprescindvel que os bow-ties sejam revisados continuamente pela equipe responsvel para se adquirir o retrato atualizado dos cenrios a serem gerenciados auxiliando na tomada de deciso das prximas aes a serem realizadas. 5.4 CULTURA DE SEGURANA Conforme mencionado no item 2.4 desta dissertao, a cultura de segurana tem recebido ateno considervel e representa uma importante e ampla perspectiva na pesquisa para preveno de danos. A cultura organizacional, segundo Aiche (2012), geralmente descrita como a maneira como nos comportamos quando ningum est vendo. A cultura de segurana de processo um subconjunto da cultura geral da organizao. A cultura de segurana surge como um conjunto comum de valores, comportamentos e normas que quando aplicados, influencia no desempenho da segurana de processo. A instalao com uma efetiva cultura de segurana de processo ir revelar excelentes ndices e reconhecer mais facilmente os sinais de alerta que precedem os acidentes catastrficos. Os conceitos de disciplina operacional e cultura de segurana de processo formam um ciclo de feedback positivo. Um alto nvel de disciplina operacional suporta uma efetiva cultura de segurana de processo, sendo o inverso tambm verdadeiro. Um bom lder e uma equipe de liderana sero alertados a qualquer

91

sintoma de deslize da cultura de segurana de processo e baixos ndices de disciplina operacional. Todos os itens citados nesta dissertao desde ao roteiro, apresentado no captulo 4, quanto os elementos e boas prticas para uma boa gesto das barreiras s tero continuidade caso a empresa tenha uma forte cultura de segurana, e uma forte cultura de segurana s se sustenta com uma boa liderana. Segundo Aiche (2012), caratersticas de uma boa liderana so: a) Comunicao aberta. Lderes precisam ouvir seus subordinados. Quando um trabalhador observa que algo inaceitvel ou fora das normas, este deve se sentir encorajado a relatar o problema sem sentir medo de represso. b) Responsabilidade. Lderes e seus subordinados precisam se

responsabilizar pelo trabalho atribudo e metas associadas. Um lder responsvel proporciona ferramentas e recursos que auxiliam a equipe a realizar a tarefa de forma segura e auxiliar na remoo dos obstculos quando os mesmos acontecerem. Lderes responsveis no se escondem atrs de desculpas ou negam presena ou no se importa m com os sinais de alerta. c) Uma boa liderana a habilidade de capacitar seus empregados e no somente de gerenci-los. Em concordncia com Aiche (2012), Falconi (2010) explicita que existem trs fatores fundamentais para a obteno de resultados em qualquer iniciativa humana conforme observado na Figura 5-2.

92

Figura 5-2 Fatores fundamentais para obteno de resultados (Fonte: Falconi, 2010).

Dos trs fatores citados na Figura 5-2, Falconi (2010), cita que a liderana o item mais importante em uma organizao. Para Falconi, ser um bom lder conseguir resultados por meio das pessoas, logo o mesmo deve investir uma parte substancial de seu tempo no desenvolvimento de sua equipe. Partindo do pressuposto de que a boa governana condio fundamental ao exerccio da liderana, os itens a seguir, de acordo com a Figura 5-2, apresentam o desenvolvimento do contedo de liderana em relao cultura apresentados por Falconi (2010) que est alinhado com o exposto acima por Aiche (2012): a) Criar metas que sejam crveis e desafiadoras; b) Promover o domnio do mtodo pela equipe, bem como num perfeito gerenciamento da rotina; c) Capacitar equipe atravs de treinamentos; d) Supervisionar a maneira de trabalhar de sua equipe e aconselhar, fazendo ajustes de procedimento; e) Promover uma cultura que valoriza a verdade e no escondendo os fatos como so. a cultura onde se espera que os gerentes comuniquem, para o time e para cima, no somente os bons resultados, mas tambm o que no est indo bem, para que possa ser consertado. Uma cultura onde se valorizam a busca de fatos e dados para analisar eventos e no somente opinio e intuio.

93

Com isso, a transformao da cultura de segurana pela busca de excelncia de extrema importncia, pois o lder quem promove e direciona para uma atuao focada na melhoria contnua. 5.4.1 Treinamento Um treinamento efetivo proporciona aos trabalhadores, iniciantes ou experientes, o desenvolvimento de competncias para exercer seu trabalho de forma segura com qualidade, responsabilidade ambiental e sucesso econmico. Um treinamento s efetivo quando a mudana no comportamento observada e a competncia avaliada durante demonstraes prticas no trabalho. A competncia um conjunto de conhecimentos, habilidades e atitudes, que combinados resultam no desempenho dos trabalhadores. Trabalhadores competentes so essenciais para prevenir acidentes

catastrficos. Tanto o treinamento em salas de aula quanto aqueles realizados durante o trabalho (tambm conhecido do ingls, on the job training) so essenciais. Uma verificao regular e a aplicao de procedimentos auxiliam a confirmar que os trabalhadores so de fato competentes e possuem corretas atitudes na realizao de suas tarefas. A gerncia pode verificar os ganhos de um treinamento comparando o comportamento de sua equipe antes e depois do mesmo. Um plano formal de treinamento ir ajudar a assegurar os trabalhadores operarem a planta com o projeto pretendido de maneira segura e eficiente. Treinamentos formais devem ser planejados e conduzidos para atender os requisitos operacionais do projeto e dos padres de operao e as normas de funcionamento estabelecido pelo sistema de gesto. 5.4.2 Procedimentos Procedimentos so instrues para a realizao de um trabalho com um resultado desejado. Procedimentos ajudam a assegurar que todos os trabalhadores realizam suas tarefas de forma segura, correta e consistente. Procedimentos bem escritos devem incluir detalhes dos equipamentos, perigos e precaues. O nvel de detalhes deve variar baseado na complexidade da tarefa e das potenciais

94

consequncias caso ocorra um erro. Procedimento so especialmente importantes nas situaes de maiores perigos ou quando se lida com equipamentos complexos. Adicionalmente so importantes quando diferentes trabalhadores so solicitados a trabalhar em conjunto para realizar determinadas tarefas ou atividades. Sem os procedimentos, a instalao no teria garantias que os mtodos pretendidos pela organizao seriam utilizados por cada operador. Procedimentos fornecem o suporte essencial para as atividades na planta, como a partida de um compressor ou um comissionamento em um forno. Com isso os procedimentos devem estar sempre atualizados baseados na ultima reviso dos fluxogramas de engenharia (P&ID Piping and Instrument Diagram). Adicionalmente as etapas descritas no procedimento devem ser equivalentes a atual prtica dos trabalhadores durante a operao da planta. Uma boa prtica para que o fato exposto acima se fundamente a utilizao dos procedimentos durante o treinamento. Tal fato ajuda a assegurar que os procedimentos se tornaro familiar para os operadores bem como utiliz-lo para realizar a tarefa de forma correta. Complementando, a utilizao destes em treinamentos permite que os operadores e especialistas identifiquem que as instrues no esto bem organizadas e/ou confusas. Os itens a seguir apresentam indicadores importantes para realizao de um bom procedimento: a) Procedimentos devem conter os limites seguros para a operao do processo em questo; b) Procedimentos devem identificar as consequncias caso ocorra um desvio dos limites operacionais; c) Procedimentos devem ser objetivos e claros; d) Procedimentos devem ser verificados periodicamente para conferir se a atual prtica est alinhada a prtica pretendida; e) A cultura organizacional da empresa deve incentivar/estimular a utilizao dos procedimentos.

95

6 CONCLUSO Este trabalho apresentou a gesto das barreiras de segurana como um elemento chave para a preveno de acidentes. Na introduo, foi abordada a evoluo dos estudos voltados para a segurana do processo, porm os acidentes ocorridos nos ltimos 10 anos alertam que o tema ainda um assunto srio e preocupante e que ainda h muito a ser feito. Como citado por Bardy (2012a), os acidentes demostraram e intensificaram a importncia das barreiras de segurana na preveno de acidentes ou na reduo dos seus efeitos. Na viso da gesto de segurana de processo, podemos perceber ao longo deste trabalho que o diversos elementos contribuem para sua boa performance, desde fatores humanos como a cultura e atitude dos empregados, passando por fatores tcnicos como confiabilidade dos equipamentos utilizados at outros elementos de gesto como planos de manuteno preventiva e treinamentos. Todos estes elementos, so entendidos por este trabalho como barreiras de segurana e se submetidos ao processo proposto aqui, sero muito mais efetivos quando demandados. A partir da auditoria de barreiras, ponto chave para a gesto das mesmas, identifica-se necessariamente as fragilidades dos cenrios mais crticos, e ainda sugere por similaridade aes para outros cenrios similares, mesmo que no tenham sido avaliados. Estas aes visam tratar as barreiras de forma ampla como mencionado acima, e tendo como foco a concepo da barreira ideal para a criticidade identificada. Apesar desta complexa interpretao do que considerado barreira de segurana, avanou-se um pouco mais na direo da contribuio que a cultura da empresa e o engajamento da alta gesto representam para este contexto. Ou seja, sem a participao ativa da alta gesto no se consegue permear os diferentes nveis da organizao e para facilitar o envolvimento dos mesmos, este trabalho props seu envolvimento a partir da tcnica de bow-tie. Desta forma, acredita-se que aliando a capacidade de comando ao correto e aprofundado entendimento da liderana dos desafios que seu negcio oferece, a gesto de segurana como um todo estar bem mais robusta.

96

Finalizou-se o trabalho com boas prticas de mercado em termos de gesto de barreiras de segurana, a partir de estudos que mostra sua efetividade no dia a dia, alm do detalhamento de acidentes que, de forma clara, mostram o alinhamento de problemas relacionados gesto de barreiras. Alm disto, Kletz (2001) complementa esta concluso na medida em que identifica a partir destes acidentes oportunidades de melhoria para a segurana de processo.

97

7 REFERNCIAS BIBLIOGRFICAS AICHE. Building Process Safety Culture: Tools to Enhance Process Safety Performance , Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA 2005. Disponvel em: <http:// http://www.aiche.org/uploadedFiles/CCPS/Resources/KnowledgeBase/Culture_fr ont_matter_Rev3.pdf>. Acesso em: 23 jun. 2012. AICHE. Guidelines for Chemical Process Quantitative Risk Analysis . Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA. 2000. 770p. AICHE. Guidelines for Hazard Evaluation Procedures. 3ed. Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA. 2008. 536p AICHE. Guidelines for Risk Based Process Safety . Center for Chemical Process Safety of the American Institute of Chemical Engineers, New Jersey, USA. 2007. 706p. AICHE. Incidents that Define Process Safety . Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA. 2008. 336p AICHE. Layer of Protection Analysis Simplified Risk Assessment . Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA. 2001. 258p. AICHE. Recognizing Catastrofhic Incident Warnings Signs in the Process Industries . Center for Chemical Process Safety of the American Institute of Chemical Engineers, New York, USA. 2012. 227p ALMEIDA, T. S. S. Avaliao de Segurana de Processo Aplicada Indstria de Gases. 2011. 166 f. Monografia (Especialista) - Curso de Ps-Graduao em Engenharia de Segurana do Trabalho, Universidade Federal do Rio de Janeiro, Rio de Janeiro, Rj, 2011. ANP & DPC. Anlise do acidente com a plataforma P-36. Relatrio da Comisso de Investigao ANP / DPC. 2001. BARDY, M., OLIVEIRA, K., DINIZ, A. Evaluation of Management of Safety Barriers for Major Hazard Accidents. 8th Global Congress on Process Safety, Center for Chemical Process Safety of the American Institute of Chemical Engineers, Texas, USA, 2012a. BARDY, M., et al. Gesto de Barreiras de Segurana de Processo Combinando Bowtie e Auditoria. 4th Latin American Conference on Process

98

Safety, Center for Chemical Process Safety of the American Institute of Chemical Engineers, Rio de Janeiro, Brasil, 2012b. BAKER, J.A.III, et all, The Report of the BP U.S. Refineries Independent Safety Review Panel . 2007. Disponvel em: <http://www.bp.com/liveassets/bp_internet/globalbp/globalbp_uk_english/SP/STA GING/local_assets/assets/pdfs/Baker_panel_report.pdf>. Acesso em: 23 jun. 2012. BONFIM, D. T. Deepwater Horizon: Acidente e Lies Aprendidas. Disponvel em: <http://www.sindmar.org.br/uploads/artigos/pdf/Cpia_de_ArtigoDiego.pdf>. Acesso em: 25 ago. 2012. BP. Deepwater Horizon Accident Investigation Report. BP investigation team. 2010. Disponvel em: <http://www.bp.com/liveassets/bp_internet/globalbp /globalbp_uk_english/incident_response/STAGING/local_assets/downloads_pdfs/ Deepwater_Horizon_Accident_Investigation_Report.pdf>. Acesso em: 26 ago. 2012. CSB. Federal Investigation of Tosco Refinery Fire Finds Flawed Management Supervision . Disponvel em: <http://www.csb.gov/newsroom/detail.aspx?nid=62>. Acesso em: 18 ago. 2012. CSB. Investigation Report, Refinery Fire Incident, Tosco Avon Refinery. U.S. Chemical Safety and Hazard Investigation Board. 1999. Disponvel em: <http://www.csb.gov/assets/document/Tosco_Final_Report.pdf>. Acesso em: 26 ago. 2012. CETESB. Manual de Orientao para a Elaborao de Estudos de Anlise de Riscos. P4.261, Maio, 2003. CHIEF COUNSEL. Macondo The Gulf Oil Disaster . Chief Counsels Report, National Commission on the BP Deepwater Horizon Oil Spill and Offshore Drilling, 2011. Disponvel em: <http://www.oilspillcommission.gov/chief-counselsreport>. Acesso em: 26 ago. 2012. COCKSHOTT, J. E., Probability Bow-Ties - A Transparent Risk Management Tool. Process Safety and Environmental Protection, Institution of Chemical Engineers, v.83(B4), p. 307316. 2005. COMPANHIA AMBIENTAL DO ESTADO DE SO PAULO. Anlises de Risco . Disponvel em: <http://www.cetesb.sp.gov.br/gerenciamento-deriscos/Emeg%C3%AAncias-Qu%C3%ADmicas/4-Introdu%C3%A7%C3%A3o>. Acesso em: 10 jun. 2012. DIANOUS, V., FIVEZ, C., ARAMIS project: A more explicit demonstration of risk control through the use of bow tie diagrams and the evaluation of

99

safety barrier performance . Journal of Hazardous Materials, Elsevier, v.130 p. 220233. 2006. DUIJM, N. J., Safety-barrier diagrams as a safety management tool . Reliability Engineering and System Safety, Elsevier, v.94 p. 332 34. 2009. FALCONI, V. Gerenciamento da Rotina do Trabalho do Dia-a-Dia, 8.ed Belo Horizonte: Editora de Desenvolvimento Gerencial, 2002. 259p. FALCONI, V. O Verdadeiro Poder Prticas de Gesto que Conduzem a Resultados Revolucionrios , 1.ed Belo Horizonte: Editora de Desenvolvimento Gerencial, 2010. 159p. GADD, S., COLLINS, A. M. Safety Culture: A review of the literature. Health and Safety Laboratory . Sheffield, Inglaterra, 2002. Disponvel em: <http://www.hse.gov.uk/research/hsl_pdf/2002/hsl02-25.pdf>. Acesso em: 23 jun. 2012. HADDAD, A., MORGADO, C. Elementos de Segurana Ambiental. Editora Aquarius, 2002. HENDERSHOT, D. Process Safety Culture . Journal of Chemical Health & Safety, Elsevier, p. 39-40. 2007. HOLLNAGEL, E. Barriers and Accident Prevention . Human-Technology Integration Colloquium Series, Air Force Research Laboratory Human Effectiveness Directorate, 2002 HOLLNAGEL, E. Barriers and Accident Prevention ,1.ed Inglaterra: Ashgate, 2004. 219p HOLLNAGEL, E., WOODS, D.V., LEVESON,N. Resilience Engeneering Concepts and Precepts ,1.ed Inglaterra: Ashgate, 2006. 337p. HSE. Flixborough (Nypro UK) Explosion 1st June 1974. Disponvel em:<http://www.hse.gov.uk/comah/sragtech/caseflixboroug74.htm>. Acesso em: 18 ago. 2012. INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC-61508. Functional safety of electrical/electronic/programmable electronic safety-related systems. 2010. INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC-61511. Functional safety Safety instrumented systems for the process industry sector 2003.

100

KLETZ, T. Learning from Accidents . 3.ed Oxford: Gulf Professional Publishing, 2001. 345p. LESS, F. P. Loss Prevention in the Process Industries Hazard Identification, Assessment and Control. 3.ed v.1 Oxford: Elsevier, 2005. LEVESON, N. G. A New Approach to System Safety Engineering . Aeronautics and Astronautics Massachusetts Institute of Technology, 2002. Disponvel em: <http://ocw.alfaisal.edu/NR/rdonlyres/Aeronautics-and-Astronautics/16358JSpring-2005/7A17C38C-F622-4244-ABF0-5BD2B768661C/0/book2.pdf>. Acesso em: 22 jun. 2012. LUND, J., AAR L. E. Accident Prevention. Presentation of a Model Placing Emphasis on Human, Structural and Cultural Factors . Safety Science, Pergamon, v. 42, p. 271 324. 2004. OKSTAD, E., et al. In the aftermath of the Deepwater Horizon accident: Inadequate risk managment as a common feature of major offshore well operations acidentes. ESREL, Helsinki, Finlndia, 2012. OLIVEIRA, L. F. Falhas Humanas e Medidas Disciplinares: Contribuio para o Desenvolvimento de um Procedimento para Aplicao de Medidas Disciplinares. 7o Seminrio Sobre Programa de Gerenciamento de Risco no Polo. Comit de Fomento Industrial de Camaari (COFIC), Salvador, Brasil, 2008. ORDONEZ, R. Empresas Compartilham Experincias para Avanar em Segurana Operacional. O Globo, Rio de Janeiro, 26 de set. 2012. Disponvel em:<http://oglobo.globo.com/economia/empresas-compartilham-experienciaspara-avancar-em-seguranca-operacional-6200910> Acesso em: 26 set. 2012. PASCON, P. E. FLIXBOROUGH 25 ANOS Disponvel em: <http://www.processos.eng.br/Portugues/PDFs/flixborough_25_anos.pdf> Acesso em: 25 ago. 2012. PITBLADO, R. Global Process Industry Initiatives to Reduce Major Accident Hazards. Journal of Loss Prevention in the Process Industries, Elsevier, v.24, p.57-62. 2011. PRESIDENT COMISSION . Deep Water. The Gulf Oil Disaster and the Future of Offshore Drilling. Report to the president, 1. ed, National Commission on the BP Deepwater Horizon Oil Spilland Offshore Drilling, U.S. Government Printing Office, 2011. RASMUSSEN, J. Skills, Rules and Knowledge; Signals, Signs and Symbols, and Other Distinctions in the Human Performance Models, IEEE Transactions on Systems, Man, Cybernetics, v.smc-13, no 13, 1983.

101

TINMANNSVIK, R. K., et al. Deepwater Horizon-ulykken: rsaker, lrepunkter og forbedringstiltak for norsk sokkel (Executive Summary: The Deepwater Horizon accident: Causes, lessons learned and recommendations for the Norwegian petroleum activity) . SINTEF A19148, 2011. VIEIRA, N. M. V. Metodologia para Clculo do Efeito Domin na Anlise de Riscos de uma Instalao Industrial Qumica . 2001. 101 f. Dissertao (Mestre) - Curso de Ps-Graduao em Tecnologia de Processos Qumicos e Bioqumicos da Escola de Qumica, Universidade Federal do Rio de Janeiro, Rio de Janeiro, Rj, 2001.