Relatorio BowTie SUB Rev0

Segurança de
Processo nas
Operações
Submarinas
PROJETO DE REVISÃO DOS BOW TIES DA
ENGENHARIA SUBMARINA E ELABORAÇÃO
DE LISTA DE VERIFICAÇÃO DE BARREIRAS
PRÁTICAS E RISCOS
OPERACIONAIS
—
SUB/SSUB/PRO
INTERNA
Sumário
1. INTRODUÇÃO ................................................................................................................................................................ 4
2. DESCRIÇÃO DO PERIGO E DO EVENTO TOPO ............................................................................................................ 8
2.1 BOW TIE 1 PERDA DE CONTENÇÃO PRIMÁRIA EM DUTOS E EQUIPAMENTOS SUBMARINOS ............................... 8
2.2 BOW TIE 2 PERDA DE CONTROLE DURANTE A MOVIMENTAÇÃO DE CARGA ....................................................... 8
2.3 BOW TIE 3 PERDA DE CAPACIDADE DE MANTER POSIÇÃO ..................................................................................... 9
2.4 BOW TIE 4 PERDA DE CONTROLE EM OPERAÇÕES COM PRODUTOS INFLAMÁVEIS/ EQUIPAMENTOS
PRESSURIZADOS ....................................................................................................................................................................... 9
2.5 BOW TIE 5 CONDIÇÃO INSEGURA DE DUTOS E EQUIPAMENTOS SUBMARINOS.................................................. 10
3. DIAGRAMA BOW TIE - DESCRITIVO .......................................................................................................................... 10
3.1 ESCOPO E ABRANGÊNCIA DE APLICAÇÃO ............................................................................................................................... 11
4. AMEAÇAS/CAUSAS IDENTIFICADAS E RESPECTIVOS CONTROLES DE PREVENÇÃO............................................. 18
4.1 FALIBILIDADE HUMANA ........................................................................................................................................................ 18
4.1.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 19
4.2 NECESSIDADE DE OPERAÇÃO COM EMPRESAS CONTRATADAS .................................................................................................. 21
4.3 DEGRADAÇÃO DE EQUIPAMENTOS E DUTOS SUBMARINOS ....................................................................................................... 23
4.4 ELEVADO NÚMERO DE INTERFACES ...................................................................................................................................... 25
4.5 DOCUMENTAÇÃO DESATUALIZADA, INCOMPLETA OU INDISPONÍVEL ........................................................................................ 27
4.6 DEGRADAÇÃO DOS MATERIAIS/ ACESSÓRIOS DE MOVIMENTAÇÃO DE CARGA............................................................................. 29
4.7 DEGRADAÇÃO NATURAL DE EQUIPAMENTOS DE POSICIONAMENTO .......................................................................................... 31
4.8 INTERVENÇÃO DE MANUTENÇÃO ........................................................................................................................................... 34
4.9 NECESSIDADE DE RECURSOS CRÍTICOS ................................................................................................................................... 36
4.10 DEGRADAÇÃO NATURAL DOS SISTEMAS PRESSURIZADOS .................................................................................................... 37
4.10.1 BARREIRAS PREVENTIVAS............................................................................................................................................. 38
4.11 AMBIENTE OPERACIONAL ADVERSO .................................................................................................................................. 39
4.12 MUDANÇA DE PARÂMETROS OPERACIONAIS ....................................................................................................................... 42
4.13 MODO DE FALHA NÃO PREVISTO ....................................................................................................................................... 43
4.14 LISTA DE VERIFICAÇÃO DAS BARREIRAS PREVENTIVAS....................................................................................................... 45
5. CONSEQUÊNCIAS IDENTIFICADAS E RESPECTIVOS CONTROLES DE MITIGAÇÃO ................................................ 60
5.1 CONSEQUÊNCIAS ................................................................................................................................................................. 60
5.2 FATALIDADES ...................................................................................................................................................................... 60
5.2.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 61
5.3 VAZAMENTO DE HIDROCARBONETO OU FLUIDO PERIGOSO PARA O MAR .................................................................................. 62
5.4 INCÊNDIO ............................................................................................................................................................................ 65
5.5 EXPLOSÃO........................................................................................................................................................................... 68
5.6 DANOS A EQUIPAMENTOS ..................................................................................................................................................... 71
5.7 DANOS A SISTEMAS SUBMARINOS INSTALADOS ....................................................................................................................... 72
SUB/SSUB/PRO
INTERNA
5.8 AVALIAÇÃO DAS BARREIRAS DE MITIGAÇÃO ........................................................................................................................... 74
6. RESULTADOS OBTIDOS .............................................................................................................................................. 78
7. CONSIDERAÇÕES FINAIS ............................................................................................................................................ 82
Revisão 0 Nome Chave Área Data

Elaboração Flavia Carreiro CTUY LIBRA 30/12/2020
Verificação Luciana Heil TBHZ SMS 30/12/2020
Aprovação Felipe Farias U4F1 SUB 30/12/2020
SUB/SSUB/PRO
INTERNA
1. INTRODUÇÃO
O presente relatório tem como objetivo apresentar os resultados do trabalho idealizado

pela gerência SUB/SSUB/PRO e executado sob liderança de Flavia Carreiro
(LIBRA/CIP/PROJ-MERO2), Luciana Heil (SMS/SMS-E&P-FC/SP),), Francisco Andrade
(LOEP/SCA), Fernando Moraes (LOEP/SCA) e Raquel Abram (SUB/SSUB/PRO), com apoio de
diversas gerências da SUB, SBS e SMS.
O trabalho teve como escopo principal a revisão dos bow ties da SUB e emissão da Lista
de verificação de barreiras, com avaliação de criticidade dos requisitos da lista de
verificação.
A revisão destes bow ties, bem como a construção da lista de verificação ocorreu, para
respectivamente, conforme as listas de presença abaixo. Assim sendo, para execução do
trabalho, foi constituído um grupo multidisciplinar de profissionais (gestores e técnicos)
que representaram diversas áreas da empresa, conforme explicitado na Tabela 1 abaixo.
Tabela 1. Profissionais que compuseram o grupo de trabalho e respectivas áreas.
Gerência Executiva Equipe responsável pelo estudo Área específica

LIBRA Flavia dos Reis Carreiro LIBRA/CIP/PROJ-MERO2
SMS Luciana Heil Figueira SMS/SMS-E&P-FC/SP
Francisco José Tinoco de Andrade Filho LOEP/SCA
LOEP
Fernando Moraes Ribeiro LOEP/SCA
Raquel Ambram SUB/SSUB/PRO
SUB
Felipe Augusto Farias de Carvalho (gerente) SUB/SSUB/PRO
Tabela 2. Profissionais que compuseram o grupo de trabalho do Bow tie 1: Perda de

contenção de dutos e equipamentos submarinos, realizado em 04/11 (tarde), 05/11 e 06/11
(dia todo).
Nome Lotação 04/11 05/11 06/11

Ayres de Azevedo Filho SUB/SSUB/PRO X X X
Flávio Barroso de Mello SUB/ES/PSUB X X X
Gabriela Pancev Danez SUB/SSUB/SANM/OP-AUP X
Guilherme Cruvinel Silva SUB/SSUB/PGDO/STEE
Guilherme Ximenes do Prado SUB/SSUB/SMS X X X
Gustavo Adolfo C Freitas SUB/ES/PSUB X X X
Lauro Lemos Lontra SUB/SSUB/ISBM/SIDS X X X
Leila Valladares Heitich SUB/SSUB/ANC/STIANC X
Rafael Andrade Alves SUB/SSUB/PRO
Rodrigo Mariano da Silva SUB/SSUB/PRO X X X
Tiago Duarte Cardoso Faria SUB/SSUB/PGDO/STEE X X X
SUB/SSUB/PRO 4
Tabela 3. Profissionais que compuseram o grupo de trabalho do Bow tie 5: Condição
insegura de dutos e equipamentos submarinos, realizado em 10/11 e 11/11 (dia todo)
Nome Lotação 10/11 11/11

Ayres de Azevedo Filho SUB/SSUB/PRO X X
Flávio Barroso de Mello SUB/ES/PSUB X X
Gabriela Pancev Danez SUB/SSUB/SANM/OP-AUP X X
Guilherme Ximenes do Prado SUB/SSUB/SMS X X
Gustavo Adolfo C Freitas SUB/ES/PSUB X X
Lauro Lemos Lontra SUB/SSUB/ISBM/SIDS X X
Leila Valladares Heitich SUB/SSUB/ANC/STIANC X X
Rodrigo Mariano da Silva SUB/SSUB/PRO X
Tiago Duarte Cardoso Faria SUB/SSUB/PGDO/STEE X X
Tabela 4. Profissionais que compuseram o grupo de trabalho do Bow tie 3: Perda de

capacidade de manter posição, realizado em 16/11 e 17/11 (dia todo)

Guilherme Cruvinel Silva SUB/SSUB/PGDO/STEE X
Tiago Duarte Cardoso Faria SUB/SSUB/PGDO/STEE
Tabela 5. Profissionais que compuseram o grupo de trabalho do Bow tie 4: Perda de controle
em operação com produtos inflamáveis/ equipamentos pressurizados, realizado em 19/11
e 23/11 (dia todo)

Guilherme Cruvinel Silva SUB/SSUB/PGDO/STEE X
Guilherme Ximenes do Prado SUB/SSUB/SMS X
Gustavo Adolfo C Freitas SUB/ES/PSUB X
SUB/SSUB/PRO 5
Tabela 6. Profissionais que compuseram o grupo de trabalho do Bow tie 2: Perda de controle
durante movimentação de carga, realizado em 24/11 e 24/11 (dia todo)

Rodrigo Mariano da Silva SUB/SSUB/PRO
Tabela 7. Profissionais que compuseram o grupo de trabalho Validação de requisitos e

criticidade das barreiras preventivas da ameaça “Necessidade de operação com empresas
contratada”, realizado em 11/12 (manhã)
Nome Lotação 11/12

Ayres de Azevedo Filho SUB/SSUB/PRO X
Flávio Barroso de Mello SUB/ES/PSUB X
Jeanderson Azevedo ??? X
Lauro Lemos Lontra SUB/SSUB/ISBM/SIDS
Rafael Andrade Alves SUB/SSUB/PRO X
Thenisson Garcia Lorenzo SMS/SMS-DP/SP x

criticidade das barreiras mitigadores, realizado em 14/12 (manhã)
Nome Lotação 14/12

Ayres de Azevedo Filho SUB/SSUB/PRO X
Flávio Barroso de Mello SUB/ES/PSUB X
Jeanderson Azevedo ???
Lauro Lemos Lontra SUB/SSUB/ISBM/SIDS X
Leila Valladares Heitich SUB/SSUB/ANC/STIANC
SUB/SSUB/PRO 6
Tiago Duarte Cardoso Faria SUB/SSUB/PGDO/STEE X
Thenisson Garcia Lorenzo SMS/SMS-DP/SP X

criticidade das barreiras, realizado em 15/12 (tarde), 18/12 (manhã), 22/12 (manhã) e
29/12 (manhã)
Nome Lotação 15/12 18/12 22/12 29/12

Ayres de Azevedo Filho SUB/SSUB/PRO X X X X
Gustavo Adolfo C Freitas SUB/ES/PSUB X X x
Lauro Lemos Lontra SUB/SSUB/ISBM/SIDS X
Leila Valladares Heitich SUB/SSUB/ANC/STIANC X X X
Rafael Andrade Alves SUB/SSUB/PRO X
Thenisson Garcia Lorenzo SMS/SMS-DP/SP X X
SUB/SSUB/PRO 7
2. DESCRIÇÃO DO PERIGO E DO EVENTO TOPO
O "perigo" é uma operação, atividade ou material com potencial para causar danos, além
disso, o perigo deve ser descrito em seu estado controlado. Desta forma, o perigo dos 5
bow ties ficou descrito como:
“Operação Submarina”
A partir da descrição do PERIGO deve-se definir o EVENTO TOPO no centro do diagrama.

O EVENTO TOPO é o momento em que o controle sobre o perigo é perdido, liberando seu
potencial prejudicial. Essa perda de controle pode ser: perda de contenção (clássico evento
topo em segurança de processo), perda de controle em uma reação química, perda de
estabilidade de uma embarcação, perda de posição de uma embarcação, são alguns
exemplos.
Para cada um dos cinco bow ties, foram feitas as verificações a seguir para checar se os
Eventos Topo estão bem definidos.
 O Evento Topo não deve ser uma consequência

 O Evento Topo deve significar a perda de controle do perigo
 Deve-se escolher o melhor evento topo para aquele cenário
2.1 BOW TIE 1 Perda de Contenção primária em dutos e equipamentos submarinos
Este é um Evento Topo clássico, e passou nos três critérios de verificação, onde:
 A perda de contenção primária não é uma consequência!

 A perda de contenção primária em dutos e equipamentos submarinos é,
certamente, uma perda de controle, da operação submarina. Desta forma, o
Evento Topo atende ao critério de ser uma perda de controle do perigo.
 Este Evento Topo foi escolhido por ser um dos Big Five da Engenharia Submarina
“Perda de contenção primária em dutos e equipamentos submarinos.”
2.2 BOW TIE 2 Perda de Controle durante a movimentação de carga
São exemplos clássicos de Evento Topo: queda de altura e queda de carga.
 A perda de controle durante a movimentação de carga não é uma consequência!

 A perda de controle durante a movimentação de carga é, certamente, uma perda
de controle, da operação submarina. Desta forma, o Evento Topo atende ao
critério de ser uma perda de controle do perigo.
O Big Five é Queda de carga em operações submarinas. O Evento Topo também poderia
ser descrito como “Queda de carga em operações submarinas”, pois a queda de carga
ainda não é a consequência.
SUB/SSUB/PRO 8
“Perda de controle durante a movimentação de carga.”
2.3 BOW TIE 3 Perda de Posicionamento Dinâmico
Este é um Evento Topo clássico, e passou nos três critérios de verificação, onde:
 A perda de capacidade de manter a posição de uma embarcação não é uma

consequência!
 A perda de capacidade de manter posição é, certamente, uma perda de controle,
da operação submarina. Desta forma, o Evento Topo atende ao critério de ser uma
perda de controle do perigo.
O Big Five é Deriva e perda de DP em embarcações. O Evento Topo foi descrito desta
forma para melhor descrever o cenário a que se refere.
“Perda de Posicionamento Dinâmico.”
2.4 BOW TIE 4 Perda de controle em operações com produtos inflamáveis/

equipamentos pressurizados
Este é um Evento Topo muito similar ao Evento Topo ‘perda de contenção’, e passou nos
três critérios de verificação, onde:
 A perda de controle em operações com produtos inflamáveis e equipamentos

pressurizados não é uma consequência!
 A perda de controle em operações com produtos inflamáveis e equipamentos
pressurizados é, certamente, uma perda de controle, da operação submarina.
Desta forma, o Evento Topo atende ao critério de ser uma perda de controle do
perigo.
O Big Five é princípio de incêndio, incêndio e explosão. Este Evento Topo tem o objetivo
de diferenciar eventos de perda de contenção que ocorrem nos equipamentos submarinos
e estão diretamente envolvidos com as atividades da SUB, e estão tratados no BOW TIE ,
de eventos de perda de contenção que ocorrem com fluidos inflamáveis e equipamentos
pressurizados que ocorrem, por vezes, no convés da embarcação. Pode-se observar que os
dois bow ties são muito similares, mas tratam de cenários acidentais distintos.
“Perda de controle em operações com produtos inflamáveis/ equipamentos

pressurizados.”
SUB/SSUB/PRO 9
2.5 BOW TIE 5 Condição insegura de dutos e equipamentos submarinos
Inicialmente o que é a condição insegura de dutos e equipamentos submarinos?
Todos os equipamentos submarinos têm sua condição de risco avaliada através de

estudos de risco (APR) onde está estabelecido se este equipamento está em uma condição
de risco tolerável ou não.
Quando é identificado que um equipamento está em uma condição de risco intolerável

deve-se tomar uma ação de contingenciamento imediato (pode ser interromper a produção
daquele equipamento, por exemplo) e um plano de ação é estabelecido para redução do
risco para níveis aceitáveis.
Portanto, nenhum equipamento opera com risco intolerável!
Porém, as análises de risco só são atualizadas a cada 5 anos. O que acontece com o risco
deste equipamento durante este período? Quem monitora se o risco de um equipamento
que estava em níveis aceitáveis, depois de, por exemplo, 2 anos, atingiu níveis intoleráveis?
Alguns sinais monitorados pela operação podem indicar que o equipamento está em uma
condição insegura ou degradada, mas não se pode afirmar que o risco é intolerável pois
somente uma nova análise de risco pode dar esta informação. De qualquer forma, alguma
ação deve ser tomada, quando a condição insegura representar risco grave e iminente, do
mesmo jeito que é feito quando o risco é intolerável.
Diante da importância deste evento, a condição insegura de dutos e equipamentos

submarinos se tornou um Evento Topo, onde a operação normal seria operar equipamentos
e dutos submarinos em condições seguras, que é a operação submarina normal!
Vamos à verificação:
 A Condição insegura de dutos e equipamentos submarinos não é uma consequência!

 A Condição insegura de dutos e equipamentos submarinos é, certamente, uma perda
de controle, da operação submarina. Desta forma, o Evento Topo atende ao critério
de ser uma perda de controle do perigo.
 Este Evento Topo foi escolhido por ser um cenário relevante para a Engenharia
Submarina.
“Condição insegura de dutos e equipamentos submarinos.”
3. DIAGRAMA BOW TIE - DESCRITIVO
De acordo com a norma ISO 310101, a metodologia bow tie consiste em uma
representação gráfica dos caminhos através dos quais as causas associadas a um
determinado evento topo podem levar às respectivas consequências, considerando uma
dada atividade em análise (perigo). Para este trabalho foi utilizado como referência o
1
ISO – International Organization of Standardization. ISO 31010 – Risk Management-Risk Assessment
Techniques, 2nd Edition, Switzerland, 2019.
SUB/SSUB/PRO 10
ebook workshop de bow tie baseado no livro do CCPS “Bow Ties in Risk management: A
concept book for process safety”.
Neste sentido, a Figura 1 a seguir ilustra as etapas que foram seguidas para este
trabalho.
• Revisado perigo e evento topo

1
• Revisadas as consequências
2
• Revisadas as ameaças/causas
3
• Revisadas as barreiras preventivas
4
• Revisadas as barreiras mitigadoras
5
6 • Identificar requisitos da lista de verificação
• Definir criticidade para os requisitos da LV

7
Figura 1 – Fluxograma de etapas para elaboração de bow ties.
Os diagramas bow tie revisados, são apresentados a seguir nas Figura 3 a 7.
3.1 Escopo e abrangência de aplicação
No que tange o escopo do presente trabalho, foram considerados os bow ties descritos
no relatório SEGURANÇA DE PROCESSO NAS OPERAÇÕES SUBMARINAS – BOW TIE, RL-3000.00-
0000-000-P9A-001, emitido em 22/03/2018. Na ocasião, durante a etapa de identificação
dos cenários relacionados às atividades submarinas foram apontados os cinco cenários
acidentais com maior potencial e estabelecidos como os Big Fives. O perigo, evento topo e
big five, para cada bow tie, se relacionam conforme mostrado na tabela 10.
É importante observar que o Big Five “Princípio de incêndio, incêndio e explosão”

aparece como consequência nos BOW TIE 1 e 4, enquanto o Big Five “Perda de controle da
ferramenta de desconexão de emergência de equipamentos submarinos” é tratado como
ameaça “Necessidade de recursos críticos” no BOW TIE 5.
SUB/SSUB/PRO 11
Tabela 10. Relação entre BowTie, Perigo, Evento Topo e Big Five.
BOW-TIE PERIGO EVENTO TOPO BIG FIVE

 Perda de contenção
Perda de contenção primária
Operação  Princípio de
1 de dutos e equipamentos
Submarina incêndio, incêndio e
submarinos
explosão
 Queda de carga em
Operação Perda de controle durante a
2 operações
Submarina movimentação de carga
submarinas
 Deriva e perda de
Operação Perda de Posicionamento
3 DP em embarcações
Submarina Dinâmico
Perda de controle em
 Princípio de
Operação operação com produtos
4 incêndio, incêndio e
Submarina inflamáveis/ equipamentos
explosão
pressurizados
 Perda de controle
da ferramenta de
Operação Condição insegura de dutos e
5 desconexão de
Submarina equipamentos submarinos
emergência de
equipamentos
submarinos
Foram mapeados eventos que pudessem ocorrer, na área submarina, durante projeto,
instalação, inspeção e manutenção (manter) dos sistemas de ancoragem, dutos e
umbilicais, equipamentos submarinos, equipamentos de coleta e distribuição, linhas e
risers da companhia, especificamente nas etapas de operação, Workover e Abandono.
Figura 2: Inspeção em dutos submarinos2
2
http://ambipetro.com.br/embraer-desenvolve-projeto-de-inspecao-de-dutos-submarinos
SUB/SSUB/PRO 12
Figura 3 – Diagrama bow tie específico para a Perda de Contenção Primária de dutos e equipamentos submarinos.
SUB/SSUB/PRO 13
Figura 4 – Diagrama bow tie específico para a Perda de controle durante a movimentação de carga.
SUB/SSUB/PRO 14
Figura 5 – Diagrama bow tie específico para Perda de capacidade de manter posição.
SUB/SSUB/PRO 15
Figura 6 – Diagrama bow tie específico para Perda de controle em operações com produtos inflamáveis/ equipamentos
pressurizados.
SUB/SSUB/PRO 16
Figura 7 – Diagrama bow tie específico para Condição insegura de dutos e equipamentos submarinos
SUB/SSUB/PRO 17
4. Ameaças/causas identificadas e respectivos controles de prevenção
Ameaças (ou causas) são possíveis fontes de risco que podem levar ao evento topo.
Normalmente são mapeadas diversas causas que ficam localizadas no lado esquerdo do
diagrama, cada uma representando um cenário único que, individualmente, é suficiente
para dar origem ao evento central do diagrama.
Foram identificadas quatorze (13) ameaças que atendem aos pré-requisitos para serem
classificadas como tal. Algumas ameaças aparecem em mais de um bow tie.
4.1 Falibilidade Humana
Segundo Hollnagel uma mistura de pensamento entre Safety-I e Safety-II, mantendo as

melhores partes do pensamento convencional, mas reconhecendo o papel positivo dos
humanos na adaptação a situações novas ou complexas é a melhor abordagem para Fatores
Humanos em um bow tie. Entretanto, a decisão do grupo para este bow tie foi trabalhar o
ERRO HUMANO como ameaça e denominá-lo FALIBILIDADE HUMANA.
Figura 8 – Tipos de comportamento humano positivo e negativo3.
Falibilidade, segundo o dicionário, é um substantivo feminino, e significa qualidade ou

condição do que é falível, do que pode falhar, sujeito a erro, possibilidade de engano ou
de se enganar.
3
Fonte: EI Hearts & Minds, Managing Rule Breaking
SUB/SSUB/PRO 18
Para prevenção dos Eventos Topo associados a esta ameaça foram elencados através do
bow tie nove barreiras, conforme explicitado na Figura 9.
Figura 9 – Ameaça “Falibilidade Humana”.
4.1.1 Barreiras Preventivas
O grupo reforçou a necessidade de manter esta ameaça e todas as barreiras conforme

o estudo anterior (RL-3000.00-0000-000-P9A-001).
 Confiabilidade Humana: A confiabilidade humana é uma ciência que analisa o erro

humano e seu impacto sobre indicadores de produtividade, segurança e qualidade, além
de estabelecer estratégias para prevenir, mitigar ou eliminar erros. Neste bow tie, está
funcionando como uma barreira preventiva que tem por objetivo impedir que o erro
humano aconteça ou leve à ocorrência do Evento Topo, verificando se a exposição
humana nas operações submarinas teve o seu nível de risco avaliado e se está ALARP.
 Recursos Humanos em quantidade suficiente: é uma barreira preventiva que pretende

evitar que o erro humano aconteça ou leve à ocorrência do Evento Topo ao verificar se
o dimensionamento do efetivo está adequado às operações submarinas, se este
dimensionamento está sendo atualizado e se o planejamento das operações submarinas
está garantindo que um mesmo supervisor não atue em atividades concomitantes
(supervisionando ou supervisionando e executando), e, se é possível interromper uma
operação caso não haja contingente mínimo para a sua realização.
 Aptidão física e psicológica: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se estão sendo
observados os requisitos legais e contratuais específicos sobre saúde (aptidões
psicofisiológicas específicas) estabelecidos, se o controle de uso de álcool e substâncias
psicoativas está sendo acompanhado por meio de um programa eficaz, se existe
abertura/suporte para pessoas exercerem "na dúvida, pare" quando não estiverem física
ou psicologicamente bem para executar suas atividades e se as pessoas conhecem os
parâmetros e condições de saúde para realização das atividades.
SUB/SSUB/PRO 19
 Competências asseguradas: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se as atividades
críticas foram mapeadas e se a sistemática da empresa contratada é capaz de impedir
que serviços sejam executados em desconformidade com a matriz de competência
estabelecida.
 Fraseologia padronizada: A fraseologia padronizada é uma forma de comunicação

verbal, via rádio, entre pilotos e órgãos de controle. Neste bow tie é uma barreira
preventiva que pretende evitar que o erro humano aconteça ou leve à ocorrência do
Evento Topo ao verificar se a fraseologia padronizada para comunicação por rádio é
conhecida e se o idioma falado a bordo é compreendido por todos. Esta barreira tem o
objetivo de evitar falhas na comunicação causadas por idioma ou ruídos na fala, não
necessariamente pelo conteúdo, mas por não ter escutado com clareza devido ao
ambiente ruidoso, por exemplo.
 Atividades críticas concluídas em cumprimento aos checklists ou procedimentos: é

uma barreira preventiva que pretende evitar que o erro humano aconteça ou leve à
ocorrência do Evento Topo ao verificar se as versões atualizadas dos padrões estão
prontamente disponíveis para os usuários. O objetivo desta barreira é evitar que
procedimentos ou checklists desatualizados sejam utilizados nas atividades podendo
causar acidentes.
 Clima organizacional é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se as pessoas se
sentem incentivadas a comunicar quaisquer preocupações referentes ao controle dos
riscos e se é realizado feedback do tratamento de desvios e relatos. A empresa que
estabelece um canal de comunicação de desvios e, além disso, trata os desvios
comunicados retornando para a força de trabalho o feedback destas comunicações passa
uma mensagem muito clara quanto à importância (“empoderamento”) que o homem da
linha de frente tem para a organização no que se refere à prevenção de acidentes
graves. Este clima organizacional é o que define se uma empresa “premia” quem relata
um desvio ou, pelo contrário, “rejeita”, “olha torto” essa mesma pessoa que relata
desvios. Com o tempo, esse clima pode ‘minar’ a espontaneidade das pessoas que
realmente estão visualizando os riscos para que elas possam espontaneamente fazer
relatos.
 Operações monitoradas: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se há requisitos de
monitoramento das operações, se estes requisitos de monitoramento, existindo e não
sendo atendidos implicam restrições nas respectivas operações. Esta barreira nem
sempre será aplicável. Entretanto, quando for aplicável, tem como objetivo garantir
que as operações que exigem monitoramento de algum tipo ocorram conforme
planejado, além disso, é importante estar estabelecido que se o monitoramento é
impeditivo para ocorrência da operação, esta não deve ocorrer.
 Aprendizado organizacional: é uma barreira preventiva que pretende evitar que o

erro humano aconteça ou leve à ocorrência do Evento Topo ao verificar se a abrangência
de resultados de auditorias internas e externas têm sido realizados de forma eficaz e
SUB/SSUB/PRO 20
se falhas em elementos críticos e incidentes de alto potencial são divulgados
imediatamente.
Tabela 11 – Barreiras preventivas, número de requisitos total e requisitos críticos.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Confiabilidade Humana 6 1 17%
Recursos Humanos em quantidade
5 5 100%
suficiente
Aptidão física e psicológica 6 4 67%
Competências asseguradas 4 2 50%
Fraseologia padronizada 5 2 40%
Atividades críticas concluídas em
cumprimento aos checklists ou 8 2 25%
procedimentos
Clima Organizacional 6 2 33%
Operações monitoradas 5 2 40%
Aprendizado Organizacional 6 2 33%
TOTAL 51 22 43%
Observações:
 A barreira preventiva confiabilidade humana tem muito potencial de melhoria,

principalmente por se tratar de uma barreira que pode ter muitos elementos de
hardware, o que aumenta a força da barreira.
 Ficou bastante evidente a preocupação com o dimensionamento do efetivo e o acúmulo
de funções durante atividades críticas;
 As atividades da engenharia submarina além de exigirem treinamento nas técnicas
exigem habilidades físicas e psicológicas que devem ser tratadas com atenção para que
erros humanos sejam evitados.
4.2 Necessidade de operação com empresas contratadas
Na noite de 06 de julho de 1988, uma explosão e incêndio ocorreram na plataforma

marítima Piper Alpha, resultando em 167 mortes e na destruição da plataforma. O acidente
foi causado pela tripulação noturna, ao colocarem em funcionamento uma bomba de
injeção de condensado que, mais cedo, durante o dia, havia sido tirada de serviço para
manutenção. A tripulação noturna estava ciente da atividade de manutenção e, de fato,
tiveram que autorizar os eletricistas a fechar a chave no centro de controle do motor, de
modo que a bomba pudesse ser colocada em serviço. Os operadores do turno da noite
provavelmente foram avisados de que todo o trabalho de manutenção programado para ser
executado pelo grupo de manutenção estava completo ou tinha sido adiado, entretanto,
eles não estavam cientes de que outro trabalho sendo realizado por uma contratada estava
incompleto. De fato, a tripulação da contratada havia removido uma válvula de segurança
SUB/SSUB/PRO 21
de pressão da linha de descarga da bomba para recertificação, e não pode colocar a válvula
de volta em serviço antes das 18:00h, quando eles encerram o dia. Uma vez que a bomba
foi ligada, uma grande liberação de hidrocarbonetos, por fim, causou o desastre.
A investigação subsequente indicou que o supervisor do contrato, responsável pelo trabalho

de manutenção relacionado, não foi devidamente treinado para o procedimento de
trabalho seguro. Além disso, a investigação concluiu que deficiências no treinamento de
resposta à emergência dado (ou, em alguns casos, não dado) para contratadas na
plataforma de petróleo, provavelmente contribuíram para a alta perda de vidas no
acidente.
O objetivo das barreiras é assegurar que sejam executadas, pela organização, práticas
para garantir que os trabalhadores contratados possam executar suas atividades com
segurança, e que os serviços contratados não acionem ou aumentem os riscos de operações
e/ou instalações operacionais.
Figura 10 – Ameaça “Necessidade de operação com empresas contratadas”.
No estudo anterior (RL-3000.00-0000-000-P9A-001) esta ameaça era “Empresa de baixa

qualificação”, então neste estudo o nome da ameaça foi alterado, a barreira “cadastro de
fornecedores” foi mantida, e outras barreiras foram acrescentadas.
 Cadastro de fornecedores: é uma barreira preventiva que pretende evitar que operar
com empresas contratadas leve à ocorrência do Evento Topo, verificando se existem
critérios para qualificar fornecedores para o cadastro, se os critérios são definidos pela
Autoridade Técnica competente, se as licitações utilizam o cadastro de fornecedores,
se há mais de um fornecedor no mercado para atender a demanda, se existe contrato
de suporte pós-venda e se em caso de sinistro está claro para todas as partes o
restabelecimento dos danos.
 Qualificação de fornecedores: é uma barreira preventiva que pretende evitar que

operar com empresas contratadas leve à ocorrência do Evento Topo, verificando se a
preocupação com a qualidade abrange fornecedores e subfornecedores e se o
atendimento aos requisitos para qualificação de fornecedores é verificado durante a
etapa de qualificação.
SUB/SSUB/PRO 22
 Contratação: é uma barreira preventiva que pretende evitar que operar com empresas
contratadas leve à ocorrência do Evento Topo, verificando se existem critérios
corporativos de desclassificação de fornecedores que apresentem propostas com preços
manifestamente inexequíveis, verificando se o demandante do contrato especificou na
ET a necessidade de demonstração de capacidade técnica referente à execução dos
serviços críticos par a segurança nas atividades da SUB, verificando se as sanções
contratuais têm agilidade e valores necessários para impor a correção tempestiva dos
desvios contratuais, se o contrato respalda o gerente para aplicação tempestiva de
consequências (sanções) e se há critérios para impedir a contratação de fornecedores
com resultados ruins de BAD/IDF (ou outra ferramenta similar).
 Gestão da contratada: é uma barreira preventiva que pretende evitar que operar com
empresas contratadas leve à ocorrência do Evento Topo, verificando se a autorização
para início de serviços está condicionada ao atendimento pleno do contrato, se o
processo de fiscalização prevê atuação proativa na identificação e comunicação de itens
não conformes, se o gerente do contrato aplica as sanções previstas nos casos de não
atendimento aos requisitos contratuais, se existe sistemática de avaliação dos serviços
realizados por fornecedores e se existem mecanismos e práticas sistematizados na SUB
para verificação do atendimento a requisitos contratuais e legais.
Barreira Preventiva
Cadastro de fornecedores 8 8 100%
Qualificação de fornecedores 2 2 100%
Contratação 12 12 100%
Gestão da contratada 5 5 100%
TOTAL 27 27 100%
4.3 Degradação de equipamentos e dutos submarinos
A falha de equipamentos tem resultado em um largo número de acidentes nas indústrias

de processo. As falhas para detectar as condições que indicariam uma grande probabilidade
de perda de contenção podem resultar em desastres. Por exemplo, na manhã do dia 19 de
novembro de 1984, um duto utilizado para transportar hidrocarbonetos leves de uma
refinaria a um terminal de armazenagem na Cidade do México, rompeu. A corrosão havia
danificado lentamente o duto. Rapidamente, os hidrocarbonetos leves encontraram uma
fonte de ignição, dando início a uma série de incêndios e explosões, que resultaram em
aproximadamente 500 mortes (CCPS).
O objetivo das barreiras é garantir um desempenho confiável dos equipamentos que

naturalmente sofrem degradação pelo uso. Ainda que a execução das atividades associadas
exija um alto nível do desempenho humano, o objetivo destas barreiras consiste em manter
a operação confiável e previsível dos equipamentos e dutos submarinos.
SUB/SSUB/PRO 23
Figura 11 – Ameaça “Degradação de equipamentos e dutos submarinos”.
No estudo anterior (RL-3000.00-0000-000-P9A-001) esta ameaça era “Operação com

equipamento submarino degradado/ inapropriado” no bow tie 1 e tinha uma barreira que
chamava o bow tie 5, e era a ameaça “Degradação de sistemas, componentes e outros
suprimentos”, no bow tie 5. Neste estudo o nome da ameaça foi alterado e as barreiras
existentes foram transformadas em requisitos ou tiveram seus nomes alterados.
 Projeto: é uma barreira preventiva que pretende evitar que a degradação natural de
equipamentos e dutos submarinos leve à ocorrência do Evento Topo, verificando se o
existe sistemática para controle de revisões e versões da documentação de projeto,
para gerenciamento de informações críticas do projeto e para retroalimentação das
Especificações Técnicas a partir do aprendizado das operações, além disso, verifica se
a fabricação dos equipamentos tem um acompanhamento ou fiscalização também
baseado em uma sistemática.
 Operação dentro do envelope operacional: (limites do equipamento) é uma barreira

preventiva que pretende evitar que a degradação natural de equipamentos e dutos
submarinos leve à ocorrência do Evento Topo, verificando se os envelopes operacionais
são conhecidos pela unidade de negócio, se o sistema de controle tem proteção para
atendimento aos limites (HAZOP é um documento a ser consultado), se existe
sistemática de registro/histórico de produtos injetados nas linhas via árvore de natal e
se é realizada a Gestão de Mudanças para alterações em parâmetros operacionais que
afetem sistemas submarinos (linhas, equipamentos), UEP e embarcações de apoio
operando nas proximidades? Ex.: aumento de temperatura e pressão.
 Recursos planejados e dimensionados de acordo com a demanda: é uma barreira

preventiva que pretende evitar que a degradação natural de equipamentos e dutos
submarinos leve à ocorrência do Evento Topo, verificando se a sistemática de
monitoramento e rastreabilidade das ferramentas utilizadas garantem sua integridade,
se as ferramentas (que exigem certificação) e massames estão com a certificação
válida, se estão dimensionadas de acordo com a demanda (para evitar soluções de
engenharia alternativas), se estão calibradas e com plano de inspeção válido e se os
checklists específicos para as ferramentas (mais complexas) utilizadas são atendidos.
SUB/SSUB/PRO 24
 Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a degradação natural de equipamentos e dutos submarinos leve à ocorrência do Evento
Topo, verificando se existem critérios claramente definidos para identificação de
equipamentos críticos, se existe lista de equipamentos críticos, se os equipamentos e
sistemas críticos estão com seus planos de manutenção (corretiva ou preventiva, o que
for aplicável) atualizado, se as premissas do plano de manutenção e inspeção estão
sendo atendidas, se todas as rotinas de manutenção preventiva são executadas com a
periodicidade adequada, se são registradas e se estão em conformidade com a
documentação técnica aplicável. Além disso, se a sistemática de monitoramento e
rastreabilidade dos componentes instalados garante sua integridade, se a passagem de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente.
Barreira Preventiva
Projeto 4 4 100%
Operação dentro do envelope
8 4 50%
operacional
Recursos planejados e dimensionados
11 7 64%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
TOTAL 42 22 52%
4.4 Elevado Número de Interfaces
Gerenciar interfaces é uma ameaça a qualquer atividade. Nas atividades da engenharia

submarina, o gerenciamento de interfaces inclui identificar todas as partes interessadas e
todas as interfaces técnicas (sistemas e equipamentos) envolvidos nas operações, além
disso “integrar” e “comunicar” adequadamente são requisitos fundamentais para uma
gestão de interfaces bem sucedida.
Quanto mais complexa é a atividade ou operação, maior a dificuldade em gerenciar as

interfaces com sucesso. Esta complexidade também envolve um aumento significativo no
volume de informações e dados técnicos que necessitam de compatibilização.
Figura 12 – Ameaça “Elevado número de interfaces”.
SUB/SSUB/PRO 25
O grupo reforçou a necessidade de manter esta ameaça e algumas barreiras foram

mantidas conforme o estudo anterior (RL-3000.00-0000-000-P9A-001) e outras sofreram
alteração no nome. Contudo o número de barreiras é igual ao do estudo original.
 Análise de risco integrada: é uma barreira preventiva que pretende evitar que o
elevado número de interfaces leve à ocorrência do Evento Topo, verificando se as
embarcações têm estudos de risco, se estes estudos foram realizados com uma equipe
adequada para tornar o estudo mais robusto, se todos os cenários conhecidos foram
avaliados e se a sistemática de gerenciamento destes estudos é eficaz. Eficaz se refere,
por exemplo, ao controle de revisões, que deve seguir a regulamentação aplicável,
entre outros requisitos.
 Gestão das informações: é uma barreira preventiva que pretende evitar que o elevado
número de interfaces leve à ocorrência do Evento Topo, verificando se as informações
críticas (tanto de projeto como de operação) são gerenciadas com base em uma
sistemática estabelecida. Há uma preocupação com as mudanças, por isso existem 2
perguntas sobre gestão de mudanças: se as GMs “em andamento” são de conhecimento
de todas as partes interessadas e se existem GMs com tratamento foram do prazo. Há
ainda uma preocupação com o controle de revisão dos documentos, por isso a pergunta
se a sistemática de controle de revisões e versões de documentos impede que uma
versão desatualizada seja utilizada equivocadamente em uma atividade ou operação, e
por fim, a preocupação se o fluxo de informações entre todas as partes interessadas
envolvidas nas operações, no que se refere à identificação de anomalias, está bem
estabelecida e funcionando adequadamente. O gerenciamento eficaz da informação
estabelece metodologias de elaboração, aprovação, identificação, distribuição, fácil
identificação e guarda dos documentos. Desta forma procura garantir que os
documentos sejam analisados, emitidos, alterados, aprovados ou re(aprovados) sob
condições controladas, de forma a evitar o uso de documentos obsoletos ou não válidos.
 Reuniões pré-operacionais: é uma barreira preventiva que pretende evitar que o

elevado número de interfaces leve à ocorrência do Evento Topo, verificando se. As
reuniões para funcionarem como uma barreira preventiva devem verificar se todas as
partes envolvidas no processo estão participando, se, em seguida, os registros da
reunião são divulgados para todas as partes interessadas, e se estes registros atendem
aos critérios pré-estabelecidos (check-lists, procedimentos) quando aplicável. Com
relação ao escopo da reunião, é importante saber se os pontos críticos da operação são
contemplados e se as interfaces (equipamentos, sistemas, etc) são tratadas nas
reuniões.
 Insumos/ recursos em conformidade antes e durante as operações: é uma barreira

preventiva que pretende evitar que o elevado número de interfaces leve à ocorrência
do Evento Topo, verificando se. os requisitos impeditivos para início da operação estão
definidos e se foram sanados, bem como se as ocorrências e as mudanças são registradas
durante as operações e se, quando aplicável, a mudança de escopo antes e durante a
operação é gerenciada adequadamente (normalmente conforme sistemática definida).
 Reuniões pós-operacionais com foco em lições aprendidas: é uma barreira preventiva

que pretende evitar que o elevado número de interfaces leve à ocorrência do Evento
SUB/SSUB/PRO 26
Topo, verificando se as ocorrências durante as operações são registradas com base em
sistemática estabelecida, se estes registros são divulgados para todas as partes
envolvidas e se as boas práticas e recomendações são retroalimentadas nos processos.
OBSERVAÇÃO: A pergunta “Existe base documentada de equipamentos antigos?” precisa

ser aprofundada no que se refere exatamente à que equipamentos está se referindo. A
palavra antigo ficou genérica, e talvez não esteja representando exatamente a
preocupação do grupo.
Barreira Preventiva
Análise de risco integrada 5 4 80%
Gestão das informações 10 6 60%
Reuniões pré-operacionais 7 5 71%
Insumos/ recursos em conformidade
4 4 100%
antes e durante as operações
Reuniões pós operacionais com foco
6 4 67%
em lições aprendidas
TOTAL
4.5 Documentação desatualizada, incompleta ou indisponível
Para ilustrar como a documentação desatualizada, incompleta ou indisponível é uma

ameaça relevante, podemos citar o rompimento de barragem da Mineradora Vale, em 2019,
que, entre outras causas, teve a documentação como uma delas.
Em um artigo, o autor4, cita que, quatro meses antes do rompimento da barragem, o

engenheiro funcionário da VOGBR Recursos Hídricos e Geotecnia, responsável pela
elaboração do laudo de estabilidade de Fundão, exigência da Política Nacional de
Segurança de Barragens (PNSB) (Lei nº 12.334), entregou o documento após breve inspeção
na barragem. O laudo atestava a segurança da estrutura para os órgãos fiscalizadores e
condicionava a execução de procedimentos de segurança. O estudo foi entregue sem que
os piezômetros (equipamentos utilizados para a auscultação da barragem) instalados na
ombreira esquerda, onde várias anomalias haviam sido registradas, fossem aferidos. Eram
esses equipamentos fundamentais, portanto, para o monitoramento da barragem. O mapa
do conjunto de equipamentos deve constar na Carta de Risco, documento que a empresa
deve atualizar de acordo com a evolução da estrutura e seus alteamentos.
Inexplicavelmente, a última atualização do documento de referência fora feita em agosto
de 2013. Não incorporava, portanto, os mecanismos de aferição recomendados, em 2014,
pelo engenheiro projetista da BRF, após a inspeção das trincas da ombreira esquerda.
4
http://rbmt.org.br/details/416/pt-BR/acidentes-de-trabalho-que-se-tornam-desastres--os-casos-dos-
rompimentos-em-barragens-de-mineracao-no-brasil
SUB/SSUB/PRO 27
Em seu depoimento à polícia civil, o engenheiro da VOGBR disse que coletou os dados e
que o fato de não ter analisado todos os instrumentos disponíveis não prejudicou a acuidade
de seu trabalho. Ao emitir o documento, fez ressalva: “A Samarco deverá atualizar a Carta
de Risco pois os alteamentos são constantes, correspondendo, no ano de 2014, a uma taxa
de 15 m em até 11 etapas consecutivas”. O Ministério Público Federal (MPF) considerou o
documento enganoso por se basear em Carta de Risco desatualizada e não incluir a análise
de toda a instrumentação.
Figura 13 – Ameaça “Documentação desatualizada, incompleta ou indisponível”.
No estudo anterior (RL-3000.00-0000-000-P9A-001) esta ameaça era “Diversidade da

documentação técnica e quantidade de modificações não rastreáveis”, e “Documentação
desatualizada ou incompleta” era um fator de degradação da barreira “Processos e
documentos rastreados”. Neste estudo a ameaça teve seu nome alterado para
“Documentação desatualizada, incompleta ou indisponível” e as barreiras foram alteradas.
 Gestão da informação: é uma barreira preventiva que pretende evitar que a

documentação desatualizada, incompleta ou indisponível leve à ocorrência do Evento
Topo, verificando se as informações críticas (tanto de projeto como de operação) são
gerenciadas com base em uma sistemática estabelecida. Há uma preocupação com as
mudanças, por isso existem 2 perguntas sobre gestão de mudanças: se as GMs “em
andamento” são de conhecimento de todas as partes interessadas e se existem GMs com
tratamento foram do prazo. Há ainda uma preocupação com o controle de revisão dos
documentos, por isso a pergunta se a sistemática de controle de revisões e versões de
documentos impede que uma versão desatualizada seja utilizada equivocadamente em
uma atividade ou operação, e por fim, a preocupação se o fluxo de informações entre
todas as partes interessadas envolvidas nas operações, no que se refere à identificação
de anomalias, está bem estabelecida e funcionando adequadamente. O gerenciamento
eficaz da informação estabelece metodologias de elaboração, aprovação, identificação,
distribuição, fácil identificação e guarda dos documentos. Desta forma procura garantir
que os documentos sejam analisados, emitidos, alterados, aprovados ou re(aprovados)
sob condições controladas, de forma a evitar o uso de documentos obsoletos ou não
válidos.
SUB/SSUB/PRO 28
 Padronização da Informação: é uma barreira preventiva que pretende evitar que a
documentação desatualizada, incompleta ou indisponível leve à ocorrência do Evento
Topo, verificando se a sistemática de padronização da documentação está
implementada de forma eficaz. A eficácia permite que o fluxo da informação aconteça
com facilidade, que as informações sejam encontradas com rapidez, que estejam
atualizadas, que possam ser acessadas quando necessário, entre outros.
OBSERVAÇÃO: A pergunta “Existe base documentada de equipamentos antigos?” precisa

ser aprofundada no que se refere exatamente à que equipamentos está se referindo. A
palavra antigo ficou genérica, e talvez não esteja representando exatamente a
preocupação do grupo.
Barreira Preventiva
Gestão da informação 10 6 60%
Padronização da informação 2 1 50%
TOTAL 12 7 58%
4.6 Degradação dos materiais/ acessórios de movimentação de carga
Em 21 de outubro de 2019, um trabalhador offshore sofreu ferimentos graves na

plataforma de perfuração Ocean Monarch da Diamond offshore em operação no Estreito de
Bass na Austrália, levando o organismo nacional de segurança offshore (NOPSEMA) a emitir
um “aviso de proibição”. A NOPSEMA disse que o trabalhador foi ferido em 17 de setembro,
depois que uma linha de perfuração caiu no piso da sonda da “Ocean Monarch” após a
tensão aplicada pelos trabalhos de tração, durante a substituição da linha de perfuração
2, exceder a força de ruptura do cabo de aço, causando sua destruição.
Segundo a agência de segurança, o impacto resultou em ferimentos significativos e o

equipamento que caiu da altura considerável teve o potencial de ferimentos fatais.
Ao entender porque o incidente aconteceu, a NOPSEMA declarou: “Ao mudar a linha de

perfuração, o operador não tinha como monitorar a quantidade de tensão aplicada pelos
trabalhos de tração, como resultado, uma tensão excessiva foi aplicada à linha de
perfuração que excedia a ruptura causando a destruição do cabo de aço, resultando na
queda da linha de perfuração no piso da sonda e ferindo significativamente um membro da
força de trabalho.”
Após uma inspeção no local, a NOPSEMA determinou que a operação não deve ser
realizada novamente até que a Diamond offshore implemente sistemas e práticas de
trabalho adequados para remover a ameaça à saúde e segurança dos funcionários da
embarcação.

naturalmente sofrem degradação pelo uso ou ainda, pelo uso inadequado, ou fora dos seus
limites operacionais. Ainda que a execução das atividades associadas exija um alto nível
SUB/SSUB/PRO 29
do desempenho humano, o objetivo destas barreiras consiste em manter a operação
confiável e previsível dos materiais e acessórios de movimentação de carga.
Figura 14 – Ameaça “Degradação dos materiais/ acessórios de movimentação de carga”.
O grupo reforçou a necessidade de manter esta ameaça conforme o estudo original (RL-
3000.00-0000-000-P9A-001), entretanto, o nome da única barreira existente foi alterado e
algumas barreiras foram acrescentadas
materiais e acessórios de movimentação de carga leve à ocorrência do Evento Topo,
verificando se existe sistemática para controle de revisões e versões da documentação
de projeto, para gerenciamento de informações críticas do projeto e para
retroalimentação das Especificações Técnicas a partir do aprendizado das operações,
além disso, verifica se a fabricação dos equipamentos tem um acompanhamento ou
fiscalização também baseado em uma sistemática.
 Operação dentro do envelope operacional: é uma barreira preventiva que pretende

evitar que a degradação dos materiais e acessórios de movimentação de carga leve à
ocorrência do Evento Topo, verificando se os envelopes operacionais são conhecidos
pelos envolvidos nas operações e se o sistema de controle tem proteção para
atendimento aos limites (HAZOP é um documento a ser consultado, ou outras análises
de risco pertinentes).

preventiva que pretende evitar que a degradação dos materiais/ acessórios de
movimentação de carga leve à ocorrência do Evento Topo, verificando se a sistemática
de monitoramento e rastreabilidade das ferramentas utilizadas garantem sua
integridade, se as ferramentas (que exigem certificação) e massames estão com a
certificação válida, se estão dimensionadas de acordo com a demanda (para evitar
soluções de engenharia alternativas), se estão calibradas e com plano de inspeção válido
e se os checklists específicos para as ferramentas (mais complexas) utilizadas são
atendidos.
SUB/SSUB/PRO 30
a degradação dos materiais e acessórios de movimentação de carga leve à ocorrência
do Evento Topo, verificando se existem critérios claramente definidos para
identificação de equipamentos críticos, se existe lista de equipamentos críticos, se os
equipamentos e sistemas críticos estão com seus planos de manutenção (corretiva ou
preventiva, o que for aplicável) atualizado, se as premissas do plano de manutenção e
inspeção estão sendo atendidas, se todas as rotinas de manutenção preventiva são
executadas com a periodicidade adequada, se são registradas e se estão em
conformidade com a documentação técnica aplicável. Além disso, se a sistemática de
monitoramento e rastreabilidade dos componentes instalados garante sua integridade,
se a passagem de serviço está sistematizada e é documentada e se o suporte do
fabricante é eficiente.
Barreira Preventiva
Projeto 4 4 100%
8 4 50%
operacional
10 6 60%
TOTAL 42 22 52%
4.7 Degradação natural de equipamentos de posicionamento
FABIO PARTEL MURILLO, em 2014, apresentou sua tese de mestrado intitulada,

Aplicação de estudo de confiabilidade de operação de produção de petróleo com
embarcação posicionada dinamicamente5, onde faz uma série de análises de falha para
embarcações do tipo FPWSO DP (Floating Production Storage Workover Offloading Dynamic
Positioning Unit). Partel descreve um dos eventos de falha do sistema de posicionamento
dinâmico do Dynamic Producer, ocorrido logo nos primeiros meses de operação. No final
da tarde, durante operação normal da plataforma, em condições ambientais amenas,
ocorreu um blackout total da planta de geração de energia, deixando todos os sistemas da
plataforma inoperantes. Apenas os equipamentos de navegação e as luzes de emergência
(equipamentos que possuem bateria própria) permaneceram ligados.
A geração de energia na plataforma começou a ser restabelecida com a partida

automática do gerador de emergência, 45 segundos após o incidente, alimentando o
barramento de emergência da unidade. Cerca de um minuto após o incidente foi acionado
o alarme geral na plataforma, e o alarme amarelo do sistema de conexão ao poço, devido
a progressiva perda de posição. Neste momento, a plataforma já havia derivado 30 metros.
O procedimento de recuperação da geração principal de energia foi iniciado partindo-

se o gerador auxiliar e os geradores de eixo, acoplados aos motores principais, e
conectando ambos ao barramento principal. A recuperação do sistema de posicionamento
5
https://www.teses.usp.br/teses/disponiveis/3/3135/tde-23122014-151020/publico/DISS_FabioPartelMurillo.pdf
SUB/SSUB/PRO 31
foi iniciada com a partida dos 2 propulsores principais (CPP), 3 propulsores túnel de vante
e o propulsor túnel de ré. Esses propulsores foram conectados ao sistema DP manualmente
cerca de 20 minutos após o blackout, iniciando assim o reestabelecimento do controle de
posição do navio, até este momento, em modo manual. Até este instante o navio havia se
afastado 50 metros da posição original, ainda dentro do limite operacional de 64 metros ou
3% da lâmina d’água.
Cerca de quarenta minutos após o evento inicial, a tripulação conseguiu partir a planta
DPP, acionar os propulsores azimutais da unidade e colocar o sistema DP em modo
automático, reestabelecendo a operação normal da unidade.
A investigação mostrou que o incidente teve início com o desarme de um disjuntor de

controle que alimentava o disjuntor principal do barramento de emergência. Foram
identificados dois eventos principais que levaram ao blackout: o desarme do disjuntor de
controle e a falta das duas UPS. A investigação mostrou que o desarme do disjuntor de
controle foi iniciado pelo seu sistema de proteção, que detectou alta temperatura no
disjuntor. Verificou-se que, no dia do incidente, o exaustor do compartimento onde está
localizado este disjuntor não estava operando. Acredita-se que a falha do sistema de
ventilação provocou um aumento da temperatura no local, levando a abertura do disjuntor
por alta temperatura. Podemos concluir então que este evento teve duas causas iniciais:
falha de equipamento (ventilação no compartimento) e falha de manutenção (equipe de
manutenção não realizou a troca do equipamento danificado). O segundo evento, falha das
duas UPS, também teve duas causas iniciais: falha de equipamento (no caso da UPS de
boreste) e falha de manutenção (UPS de bombordo, que após manutenção periódica não
foi retornada para operação).

naturalmente sofrem degradação pelo uso ou ainda, pelo uso inadequado, ou fora dos
limites operacionais. Ainda que a execução das atividades associadas exija um alto nível
do desempenho humano, o objetivo destas barreiras consiste em manter a operação dos
equipamentos de posicionamento, confiável e previsível.
Figura 15 – Ameaça “Degradação natural de equipamentos de posicionamento”.
SUB/SSUB/PRO 32
3000.00-0000-000-P9A-001), entretanto, os nomes das barreiras existentes foram
alterados.
equipamentos de posicionamento leve à ocorrência do Evento Topo, verificando se
existe sistemática para controle de revisões e versões da documentação de projeto,
para gerenciamento de informações críticas do projeto e para retroalimentação das
 Parâmetros operacionais conforme estabelecido pelo fornecedor: é uma barreira

preventiva que pretende evitar que a degradação natural de equipamentos de
posicionamento leve à ocorrência do Evento Topo, verificando se os envelopes
operacionais (por exemplo, os limites dos equipamentos) são conhecidos pelos
envolvidos nas operações, se são definidos de forma independente da operação e se o
reporte das não conformidades de parâmetros operacionais está claramente definido
no padrão de gestão da manutenção da empresa; se os sistemas críticos são testados
periodicamente contemplando avaliação de performance e aferição dos parâmetros
lidos (e registrados) e se são monitorados online pelo fabricante ou centros
especializados, e para equipamentos críticos, se são realizadas análises preditivas
(análise de óleo e de vibração, por exemplo), além disso, verifica se a passagem de
serviço está sistematizada e é documentada.

preventiva que pretende evitar que a degradação natural dos equipamentos de
posicionamento leve à ocorrência do Evento Topo, verificando se a sistemática de
monitoramento e rastreabilidade das ferramentas utilizadas garantem sua integridade,
se as ferramentas (que exigem certificação) e massames estão com a certificação
válida, se estão dimensionadas de acordo com a demanda (para evitar soluções de
engenharia alternativas), se estão calibradas e com plano de inspeção válido e se os
checklists específicos para as ferramentas (mais complexas) utilizadas são atendidos.
a degradação natural de equipamentos de posicionamento leve à ocorrência do Evento
Topo, verificando se existem critérios claramente definidos para identificação de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente.
SUB/SSUB/PRO 33
Barreira Preventiva
Projeto 4 4 100%
Parâmetros operacionais conforme
9 7 78%
estabelecido pelo fornecedor
10 6 60%
TOTAL 33 19 57,5%
4.8 Intervenção de manutenção
Os acidentes catastróficos devidos a falhas no equipamento não se limitam a

deterioração gradual não detectada (ou sem tratamento) e, ainda, não são limitados à
indústria de processos. No dia 25 de maio de 1979, um DC-10 bateu em uma decolagem no
Aeroporto O’Hare, em Chicago, quando a viga tipo pylon que segurava o motor da esquerda
junto à asa falhou. A National Transportation Safety Board (NTSB) concluiu que o dano ao
pylon resultara de procedimentos de manutenção incorretos durante a substituição de
alguns rolamentos internos oito semanas antes da colisão. O procedimento de substituição
exigia a remoção do motor antes da remoção do pylon. Mas, para economizar tempo e
dinheiro, a companhia aérea instruíra os mecânicos a remover as duas peças ao mesmo
tempo, utilizando uma empilhadeira para sustentar o motor no lugar. Uma falha no sistema
hidráulico da empilhadeira fez com que o motor ficasse sem apoio durante uma mudança
de turno, o que, consequentemente, danificou o pylon. O dano permaneceu sem ser notado
durante muitos voos, sendo agravado a cada viagem. Durante a última decolagem, o pylon
falhou, separando o motor esquerdo da asa esquerda. A colisão resultante, que ainda hoje
representa o maior acidente envolvendo avião da história dos EUA, matou 273 pessoas,
incluindo duas que estavam na pista. Após o acidente, a Federal Aviation Administration
deu andamento à inspeção pendente dos pylons de toda a frota do DC-10. Em seis outras
aeronaves do tipo, operadas por duas companhias aéreas diferentes, foram encontrados
danos semelhantes nos pilones. As duas companhias aéreas haviam optado pelo
procedimento de remoção do motor e do pylon de uma só vez. (CCPS).
O objetivo das barreiras é garantir que a atividade de manutenção não aumente o risco
ou introduza novos riscos à condição do duto ou equipamento submarino.
SUB/SSUB/PRO 34
Figura 16 – Ameaça “Intervenção de manutenção”.
alterados.
a intervenção de manutenção leve à ocorrência do Evento Topo, verificando se existem
critérios claramente definidos para identificação de equipamentos críticos, se existe
lista de equipamentos críticos, se os equipamentos e sistemas críticos estão com seus
planos de manutenção (corretiva ou preventiva, o que for aplicável) atualizado, se as
premissas do plano de manutenção e inspeção estão sendo atendidas, se todas as rotinas
de manutenção preventiva são executadas com a periodicidade adequada, se são
registradas e se estão em conformidade com a documentação técnica aplicável. Além
disso, se a sistemática de monitoramento e rastreabilidade dos componentes instalados
garante sua integridade, se a passagem de serviço está sistematizada e é documentada
e se o suporte do fabricante é eficiente

preventiva que pretende evitar que intervenção de manutenção leve à ocorrência do
Evento Topo, verificando se a sistemática de monitoramento e rastreabilidade das
ferramentas utilizadas garantem sua integridade, se as ferramentas (que exigem
certificação) e massames estão com a certificação válida, se estão dimensionadas de
acordo com a demanda (para evitar soluções de engenharia alternativas), se estão
calibradas e com plano de inspeção válido e se os checklists específicos para as
ferramentas (mais complexas) utilizadas são atendidos.
 Recursos Humanos em quantidade suficiente: é uma barreira preventiva que pretende

evitar que a intervenção de manutenção leve à ocorrência do Evento Topo, verificando
se a passagem de serviço está sistematizada e é documentada, se o supervisor conduz
as atividades sem necessidade de atuar concomitantemente como executor e se as
atividades críticas são interrompidas (mesmo que temporariamente) caso não haja
contingente mínimo para a sua realização.
SUB/SSUB/PRO 35
Barreira Preventiva
10 6 60%
Recursos Humanos em quantidade
5 5 100%
suficiente
TOTAL 30 17 57%
4.9 Necessidade de recursos críticos
A necessidade de operar com recursos críticos requer um planejamento eficiente,

principalmente quando as premissas utilizadas sofrem alterações ao longo do horizonte de
planejamento, ou quando o impacto financeiro é alto por não dispor daquele recurso, em
particular.
O objetivo da barreira é garantir que os recursos críticos estejam dimensionados,

operacionais e disponíveis na data da necessidade de acordo com o planejamento inicial e,
que alguma forma, consiga ser suficientemente flexível para atender variações ou
alterações nas premissas iniciais do planejamento, evitando, desta forma, que a ameaça
“necessidade de recurso crítico” leve os dutos e equipamentos submarinos à uma condição
insegura.
Figura 17 – Ameaça “Necessidade de recursos críticos”.
No estudo anterior (RL-3000.00-0000-000-P9A-001) esta ameaça era “Utilização de

ferramentas específicas” e “Demanda de recursos críticos para operações de intervenção”.
Neste estudo o nome da ameaça foi alterado e as barreiras existentes foram transformadas
em requisitos ou tiveram seus nomes alterados.

preventiva que pretende evitar que a necessidade de recursos críticos leve à ocorrência
do Evento Topo, verificando se a sistemática de monitoramento e rastreabilidade das
SUB/SSUB/PRO 36
ferramentas utilizadas garantem sua integridade, se as ferramentas (que exigem
certificação) e massames estão com a certificação válida, se estão dimensionadas de
acordo com a demanda (para evitar soluções de engenharia alternativas), se estão
calibradas e com plano de inspeção válido e se os checklists específicos para as
ferramentas (mais complexas) utilizadas são atendidos.
a necessidade de recursos críticos leve à ocorrência do Evento Topo, verificando se
existem critérios claramente definidos para identificação de equipamentos críticos, se
existe lista de equipamentos críticos, se os equipamentos e sistemas críticos estão com
seus planos de manutenção (corretiva ou preventiva, o que for aplicável) atualizado, se
as premissas do plano de manutenção e inspeção estão sendo atendidas, se todas as
rotinas de manutenção preventiva são executadas com a periodicidade adequada, se
são registradas e se estão em conformidade com a documentação técnica aplicável.
Além disso, se a sistemática de monitoramento e rastreabilidade dos componentes
instalados garante sua integridade, se a passagem de serviço está sistematizada e é
documentada e se o suporte do fabricante é eficiente.
Barreira Preventiva
10 6 60%
TOTAL 10 6 60%
4.10 Degradação Natural dos sistemas pressurizados
No dia 09/06/2017, a ANP recebeu a Comunicação Inicial de Incidente na sonda Norbe

VIII6 que relatava a ocorrência de explosão mecânica na caldeira auxiliar de popa, causando
ferimentos graves em quatro funcionários. Posteriormente foram realizadas retificações na
comunicação inicial, tendo sido informado que três dos quatro funcionários acidentados
tinham vindo a óbito em decorrência dos ferimentos. Norbe VIII é um navio sonda de
perfuração marítima, de propriedade da empresa Ocyan (ex-Odebrecht Óleo e Gás -OOG)
que se encontrava operando para a Petrobras no campo de Marlim. O início de suas
operações se deu em 2011. Na data do acidente, a sonda estava realizando operação de
intervenção em poço.
Instantes antes do acidente, dois técnicos de inspeção de equipamentos de empresa

contratada pela Ocyan acompanhavam, na sala de máquinas, a partida da caldeira auxiliar
nº 1 realizada pelo Segundo Oficial de Máquinas, para observação da pressão de atuação
das válvulas de segurança (PSVs). Esta operação tinha por objetivo determinar quais
válvulas precisariam ser retiradas para calibração, quando então ocorreu a explosão, com
liberação de vapor a alta temperatura que causou danos à caldeira auxiliar, painel de
controle, bombas de água e ferimentos graves nos três funcionários que estavam no interior
6
http:// www.anp.gov.br/ images/EXPLORACAO_E_PRODUCAO_DE_OLEO_E_GAS/ Seguranca_Operacional/
Relat_incidentes/sonda-nobre-viii/sumario-executivo-sonda-norbe-viii.pdf
SUB/SSUB/PRO 37
da sala e em um quarto funcionário que fazia trabalho de soldagem próximo à entrada da
mesma.
Associadas aos fatores causais, foram identificadas como causas do incidente: (i)a falha
na Análise de Risco; (ii)falha em Gestão de Mudança; (iii)procedimento operacional
incompleto; (iv)falta de Permissão de Trabalho para o serviço; (v)ausência de procedimento
de inspeção de equipamentos; (vi)falta de controle em serviços contratados; (vii)falha no
controle de registros de operação das caldeiras; (viii), treinamento insuficiente; (ix)baixa
percepção do risco;e (x) a falta de investigação para funcionamento anormal das PSVs.

naturalmente sofrem degradação pelo uso. Ainda que a execução das atividades associadas
exija um alto nível do desempenho humano, o objetivo destas barreiras consiste em manter
a operação confiável e previsível dos sistemas pressurizados, bem como de todos os
equipamentos que compõem esses sistemas.
Figura 18 – Ameaça “Degradação natural dos sistemas pressurizados”.
alterados.
 Projeto: é uma barreira preventiva que pretende evitar que a degradação natural dos
sistemas pressurizados leve à ocorrência do Evento Topo, verificando se o existe
sistemática para controle de revisões e versões da documentação de projeto, para
gerenciamento de informações críticas do projeto e para retroalimentação das
 Operação dentro do envelope operacional: é uma barreira preventiva que pretende

evitar que a degradação natural dos sistemas pressurizados leve à ocorrência do Evento
Topo, verificando se os envelopes operacionais são conhecidos pelos envolvidos nas
operações e se o sistema de controle tem proteção para atendimento aos limites (HAZOP
é um documento a ser consultado, ou outras análises de risco pertinentes).
SUB/SSUB/PRO 38
preventiva que pretende evitar que a degradação natural dos sistemas pressurizados
leve à ocorrência do Evento Topo, verificando se. é uma barreira preventiva que
pretende evitar que a degradação dos materiais/ acessórios de movimentação de carga
leve à ocorrência do Evento Topo, verificando se a sistemática de monitoramento e
rastreabilidade das ferramentas utilizadas garantem sua integridade, se as ferramentas
(que exigem certificação) e massames estão com a certificação válida, se estão
dimensionadas de acordo com a demanda (para evitar soluções de engenharia
alternativas), se estão calibradas e com plano de inspeção válido e se os checklists
específicos para as ferramentas (mais complexas) utilizadas são atendidos.
a degradação natural dossistemas pressurizados leve à ocorrência do Evento Topo,
verificando se existem critérios claramente definidos para identificação de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente
 Dispositivo de segurança: é uma barreira preventiva que pretende evitar que a

degradação natural dos sistemas pressurizados leve à ocorrência do Evento Topo,
verificando se.
Barreira Preventiva
Projeto 4 4 100%
8 4 50%
operacional
10 6 60%
Dispositivo de segurança 3 3 100%
TOTAL 25 16 64%
4.11 Ambiente Operacional Adverso
No Boletim Manutenção da estação DP MCA 01/20 de fevereiro de 2020 tem um relato

de um evento indesejado de DP devido ao trabalho de manutenção online. O evento deveu-
se a uma embarcação que estave em DP o dia todo e, no momento de içar o ROV no convés
com o guindaste, o rumo da embarcação teve que ser alterado 15 graus contra o vento.
Isso causou uma alta carga em dois propulsores de proa que estavam operando e
SUB/SSUB/PRO 39
imediatamente foi dada a partida no terceiro propulsor de proa, selecionado para DP e
compartilhando os esforços com sucesso. O aumento da força de barlavento na embarcação
devido à alta velocidade do vento agindo sobre ela conforme mudava de direção, fez com
que todos os três propulsores de proa disparassem em velocidade excessiva sem DP ou
alarmes do sistema de controle dos propulsores! Uma investigação mais aprofundada
revelou que as configurações de velocidade excessiva estavam muito apertadas e tiveram
que ser aumentadas para atender as recomendações do fabricante.
O Comitê de DP marítimo da IMCA no evento acima, em seu relatório, informou que não
ficou claro por que o propulsor de proa adicional não foi colocado online antes da mudança
de rumo; Além disso, uma simulação da alteração do rumo e/ou capacidade da
embarcação, deveria ter sido considerada para garantir que a mudança de rumo poderia
ter sido realizada dentro da capacidade de DP da embarcação; A viagem de sobrevelocidade
de todos os propulsores durante as operações DP mostra falha no comissionamento inicial
e no teste de potência total durante a tria de prova FMEA.
Por fim, este incidente destaca ainda a importância dos ajustes de proteção dos
equipamentos no que diz respeito ao conceito de redundância de DP, além da segurança
dos equipamentos. As FMEAs de DP exigem considerar os efeitos do sistema de proteção do
equipamento no conceito mais amplo de redundância de DP. Guia de orientação sobre
análise de efeitos e modos de falha (FMEA) (IMCA M 166).
O objetivo das barreiras é garantir a operação dentro dos limites operacionais e a

disponibilidade da configuração redundante, pois desta forma a ameaça “Ambiente
Operacional Adverso” tem a probabilidade eliminada ou reduzida de levar ao evento
indesejado, que é a perda de capacidade de manter posição da embarcação.
Figura 19 – Ameaça “Ambiente Operacional Adverso”.
Esta ameaça não estava contemplada no estudo anterior (RL-3000.00-0000-000-P9A-

001).
 Operação condicionada a limites operacionais: é uma barreira preventiva que

pretende evitar que o ambiente operacional adverso leve à ocorrência do Evento Topo,
verificando se a embarcação possui o documento Activity Specific Operating Guideline
SUB/SSUB/PRO 40
(ASOG) conforme estabelecido pela International Marine Contractors Association (IMCA)
M220. Uma vez que a embarcação possua o ASOG, verificar se os limites operacionais
são conhecidos e definidos neste documento, e se eles garantem a redundância da
embarcação após a ocorrência do pior caso de falha (WCF: Worst Case of Failure) obtido
no estudo de FMEA. Esta barreira também verifica se as pessoas chave da tripulação
tem total conhecimento e treinamento no ASOG da embarcação. Há uma preocupação
de que o processo de tomada de decisão relativo à continuidade operacional com
segurança não seja influenciado por questões comerciais e seja fundamentado nos
limites operacionais do ASOG da embarcação, além disso, é fundamental que o fluxo de
comunicação para a tomada de decisão envolva a ponte e a operação para que seja
eficaz. Para subsidiar o processo de tomada de decisão baseada em risco, é importante
garantir que todas as partes envolvidas (ponte, máquina e operação) participem das
análises de risco, e que para os cenários de emergência da operação e da embarcação,
seja realizado um briefing pré-operacional com a participação da ponte, da operação e
de máquinas alinhando, inclusive, os papéis e responsabilidades de cada um para os
cenários levantados. Para as operações simultâneas (SIMOPS) é verificado se existe
sistemática para realização de kickoff meeting, quando da ocorrência de SIMOPS, com
base nas diretrizes do IMCA M203.
 Configuração redundante: é uma barreira preventiva que pretende evitar que o

ambiente operacional adverso leve à ocorrência do Evento Topo, verificando se a
embarcação possui o documento Critical Activity Mode of Operation (CAMO) conforme
estabelecido pela International Marine Contractors Association (IMCA) M220. Uma vez
que a embarcação possua o CAMO, verificar se está garantida a redundância da
embarcação após a ocorrência do pior caso de falha (WCF: Worst Case of Failure) obtido
no estudo de FMEA, se neste documento estão previstos os testes periódicos e se os
testes são cadastrados no software de gestão de manutenção da embarcação, além
disso, verificar se os sistemas críticos, que exigem configuração redundante, estão
operacionais. Esta barreira também verifica se as pessoas chave da tripulação tem total
conhecimento e treinamento no CAMO da embarcação. Há uma preocupação de que o
processo de tomada de decisão relativo ao início da operação com segurança não seja
influenciado por questões comerciais e seja fundamentado nas configurações inseridas
no CAMO da embarcação, além disso, é fundamental que o fluxo de comunicação para
a tomada de decisão envolva a ponte e máquinas, suporte onshore do armador, a
operação e o cliente para que seja eficaz. Verifica-se também, se o início das operações
está condicionado às janelas de previsão meteorológica, de forma a reduzir a
vulnerabilidade de segurança e interrupção da operação. Com relação aos check lists,
verifica-se a embarcação possui e se está atendendo às orientações contempladas no
ANEXO contratual “Check List Padrão de DP Petrobras”, além de verificar se existe
sistemática de controle de registros de cumprimento dos check lists.
Barreira Preventiva
Operação condicionada a limites
12 9 75%
operacionais
Configuração redundante 14 11 78,5%
TOTAL 26 20 77%
SUB/SSUB/PRO 41
4.12 Mudança de parâmetros operacionais
Há 43 anos ocorreu o Acidente de Flixborough, no qual uma modificação de projeto mal

gerenciada causou a morte de 28 pessoas e mais de 100 pessoas ficaram feridas. Ao
identificar-se uma trinca em um dos seis reatores que se dispunham em série, a organização
concentrou esforços em garantir que a produção ficasse parada pelo menor tempo possível
e a solução encontrada para atingir tal objetivo foi a instalação de uma linha de by-pass
do reator 05 (que possuía as trincas) ao invés de antes de executar essa mudança de
instalação, inicia-se um processo formal de gerenciamento de mudanças, realizando análise
de risco e as demais ações que iriam assegurar juntamente com a confirmação das
inspeções e testes, a busca da causa raiz do problema e qual a melhor solução a ser tomada
de forma confiável e produtiva.
O desvio falhou enquanto a usina estava sendo reiniciada, após reparos independentes,
no dia 10 de junho de 1974, liberando cerca de 30.000 quilos de material de processo
aquecido, composto principalmente de ciclohexano. A nuvem de vapor resultante explodiu,
gerando uma liberação de energia equivalente a 15 toneladas de TNT, aproximadamente.
A explosão destruiu completamente a planta e danificou casas e empresas próximas,
matando 28 funcionários, e ferindo 89 funcionários e vizinhos.
A modificação temporária foi construída por pessoas que não sabiam como projetar
grandes tubos equipados com junta de expansão – o trabalho do projeto para a mudança
foi tradado mais como acessório para tudo do que tubo de grande diâmetro, projeto do
sistema de tubulação de alta pressão. Como foi dito no relatório oficial: “...Eles não sabiam
que eles não sabiam”. Um sistema eficaz de MOC teria descoberto a falha do projeto antes
que a mudança fosse implementada, evitando assim o desastre.
O objetivo das barreiras é garantir que as mudanças nos parâmetros operacionais, seja
por alterações nas características dos fluidos de processo, ou parâmetros de pressão e
temperatura ou ainda, alterações de vazão e até mesmo by-pass de equipamentos ou
sistemas não levem à condição insegura de dutos e equipamentos submarinos.
Figura 20 – Ameaça “Mudança de parâmetros operacionais”.
SUB/SSUB/PRO 42
No estudo anterior (RL-3000.00-0000-000-P9A-001) esta ameaça era ‘Mudanças de

projeto” e tinha duas barreiras chamadas “mudanças geridas” e “projeto de modificação
aprovado”. Neste estudo o nome da ameaça foi alterado para “Mudança de parâmetros
operacionais” e as barreiras existentes foram unidas em uma única barreira chamada
“sistemática de gestão de mudanças”, onde o processo de aprovação do projeto está
incluído, além disso foram incluídas as barreiras “avaliação contínua do envelope de
projeto” e “retroalimentação do projeto”.
 Avaliação contínua do envelope de projeto: é uma barreira preventiva que pretende

evitar que a mudança de parâmetros operacionais leve à ocorrência do Evento Topo,
verificando se os envelopes de projeto (limites operacionais) são conhecidos e
monitorados.
 Sistemática de Gestão de Mudanças: é uma barreira preventiva que pretende evitar

que a mudança de parâmetros operacionais leve à ocorrência do Evento Topo,
verificando se o qualquer serviço em um equipamento ou sistema tem seu início
condicionado à não existência de ações de GMs (associadas ao equipamento ou sistema)
abertas e não concluídas e se a sistemática de fiscalização da Petrobras durante a
fabricação de equipamentos é eficaz.
 Retroalimentação do projeto: é uma barreira preventiva que pretende evitar que a

mudança de parâmetros operacionais leve à ocorrência do Evento Topo, verificando se
a sistemática de retroalimentação de projetos está implementada de forma eficaz.
Barreira Preventiva
Avaliação contínua do envelope do
5 2 40%
projeto
Sistemática de gestão de mudanças 12 2 17%
Retroalimentação do projeto 3 1 33%
TOTAL 8 3 37,5%
4.13 Modo de falha não previsto
Em um artigo sobre metodologias para mapeamento de falhas7, falha é definida como

sendo um evento indesejado e responsável por erros e mau funcionamento do processo
produtivo. Segundo Slack et al. (2002), embora nenhuma operação produtiva seja
indiferente às falhas, em algumas é crucial que os produtos e serviços não falhem,
culminando em prejuízos que podem alcançar grandes proporções – aviões em vôo,
fornecimento de eletricidade a hospitais e funcionamento dos freios de um automóvel, por
exemplo. Em outras elas são incidentais e podem não representar grande impacto ao
processo, podendo, inclusive, ser negligenciadas, tais como a falha da luz interna de
iluminação do porta-luvas de um automóvel. Ainda, atividades de serviços, tais como
7
https://www.scielo.br/pdf/prod/v20n1/aop_200701003.pdf
SUB/SSUB/PRO 43
processos administrativos, judiciais ou extrajudiciais estão sujeitos a falhas de projeto e
condução das etapas requeridas com a possibilidade de incorreções que penalizam o
exercício pleno do propósito do processo.
O objetivo das barreiras é garantir que modos de falha não previstos levem à condição
insegura de dutos e equipamentos submarinos.
Figura 21 – Ameaça “Modo de falha não previsto”.
O grupo entendeu que a ameaça deveria permanecer com o mesmo nome (RL-3000.00-
0000-000-P9A-001) bem como a barreira “suporte do fabricante”. As outras barreiras
tiveram seus nomes ajustados neste estudo.
 Identificação dos cenários críticos: é uma barreira preventiva que pretende evitar
que um modo de falha não previsto leve à ocorrência do Evento Topo, verificando se
existem estudos de modo de falha (FMEA, FMECA) para identificação de cenários
críticos, se existe análise RAM associada ao processo (identificação de Bad Actors), se
São utilizados banco de dados internacionais como insumos de estudos de confiabilidade
e se as características do reservatório requerem tecnologias inovadoras.
 Estratégia de uso de tecnologias mais seguras: é uma barreira preventiva que

pretende evitar que um modo de falha não previsto leve à ocorrência do Evento Topo,
verificando se se existe análise RAM associada ao processo (identificação de Bad Actors),
se são utilizados banco de dados internacionais como insumos de estudos de
confiabilidade e se as características do reservatório requerem tecnologias inovadoras,
se são incorporadas orientações de normas de maneira a termos projetos cada vez mais
seguros e se as recomendações de GTs são incorporadas aos projetos que envolvem o
uso de tecnologias mais seguras.
 Qualificação: é uma barreira preventiva que pretende evitar que um modo de falha
não previsto leve à ocorrência do Evento Topo, verificando se Foi realizado pelo
fornecedor mapeamento dos modos de falha contemplando as características do projeto
em cenários não previstos (contingèncias, margem de segurança), é exigido dos
SUB/SSUB/PRO 44
fornecedores sob contrato um programa de garantia da qualidade, se o programa de
qualificação de equipamentos atende aos requisitos internacionais e ao mapeamento
de modo de falha identificados pelo fornecedor, se foi realizado pelo fornecedor
mapeamento dos modos de falha contemplando as características do projeto em
cenários não previstos (contingèncias, margem de segurança), se é exigido dos
fornecedores sob contrato um programa de garantia da qualidade?
 Suporte do fabricante: é uma barreira preventiva que pretende evitar que um modo
de falha não previsto leve à ocorrência do Evento Topo, verificando se O fornecedor
está capacitado para fornecer suporte para solucionar possíveis problemas previstos
no projeto, O fornecedor demonstra estar capacitado para fornecer suporte para
solucionar possíveis problemas não previstos no projeto (histórico, equipe), O
fornecedor está preparado para atender à demanda de sobressalentes no prazo
necessário, Existe sistemática para retroalimentação no processo de contratação a
partir de feedback da área operacional.
Barreira Preventiva
Identificação dos cenários críticos 6 4 67%
Estratégia de uso de tecnologias mais
5 5 100%
seguras
Qualificação 3 3 100%
Suporte do fabricante 4 4 100%
TOTAL 18 16 89%
4.14 Lista de Verificação das Barreiras Preventivas
Tabela 24 – Lista de verificação com criticidade para Ameaça “Falibilidade Humana”.
CONFIABILIDADE HUMANA
Requisito Criticidade
O nível de exposição humana desta atividade está dentro do
SIM
estabelecido como ALARP?
Existem projetos/programas para redução da exposição humana? NÃO
A operação é realizada de maneira remota/automatizada? NÃO
Existem requisitos específicos para a avaliação dos programas de
NÃO
modernização de processos e equipamentos?
Existe rotina de elaboração, revisão, aprovação e gestão de
recomendações e boas práticas oriundas de estudos de riscos, NÃO
acidentes, auditorias, inspeções com foco na atuação humana?
As boas práticas e recomendações dos estudos de risco são
NÃO
retroalimentadas nos processos?
RECURSOS HUMANOS EM QUANTIDADE SUFICIENTE
SUB/SSUB/PRO 45
O dimensionamento dos recursos humanos para as diferentes tarefas
SIM
é adequado e está atualizado?
Os recursos humanos disponíveis correspondem ao dimensionamento
SIM
atualizado?
O planejamento de atividades críticas garante que um mesmo
SIM
supervisor não acompanhe atividades concomitantes?
O supervisor conduz as atividades sem necessidade de atuar
SIM
concomitantemente como executor?
É realizada interrupção (mesmo que temporária) das atividades
SIM
críticas caso não haja contingente mínimo para a sua realização?
APTIDÃO FÍSICA E PSICOLÓGICA
Existem requisitos legais e contratuais específicos sobre saúde
SIM
(aptidoes psico-fisiologicas específicas) estabelecidos?
O controle de uso de álcool e substâncias psicoativas ocorre por
SIM
meio de um programa eficaz?
Existe abertura/suporte para pessoas exercerem "na dúvida, pare"
quando não estiverem fisica ou psicologicamente bem para excutar SIM
suas atividades?
As pessoas conhecem os parâmetros e condições de saúde para
SIM
realização das atividades?
Foram implementadas as recomendações oriundas de acidentes e
NÃO
auditorias?
Há programas para suportar/auxiliar o trabalhador no atendimento
NÃO
aos requisitos de saúde?
COMPETÊNCIAS ASSEGURADAS
As atividades críticas estão mapeadas? SIM
A sistemática da empresa contratada impede que serviços sejam
SIM
executados em desconformidade com a matriz de competência?
As atividades críticas são executadas por pessoas em conformidade
NÃO
com a matriz de competências aplicável?
As competências das funções críticas são asseguradas por meio de
requisitos contratuais (Petrobras e contratada) ou, no caso de NÃO
empregados próprios, por meio de treinamentos?
FRASEOLOGIA PADRONIZADA
A fraseologia padronizada para comunicação por rádio é conhecida? SIM
O idioma falado a bordo é compreendido por todos? SIM
A fraseologia padronizada é usada para comunicação por rádio? NÃO
O contrato prevê utilização de idioma específico a bordo? NÃO
É previsto no contrato a presença de tradutor a bordo? NÃO
ATIVIDADES CRÍTICAS CONCLUÍDAS EM CUMPRIMENTO AOS CHECKLISTS OU
PROCEDIMENTOS
SUB/SSUB/PRO 46
A versão atualizada dos padrões está prontamente disponível para os
SIM
usuários?
É realizada verificação (checagem) de execução de etapas críticas
SIM
de procedimentos - double check?
As atividades críticas estão mapeadas? NÃO
A sistemática de identificação de atividades críticas está adequada? NÃO
Existe sistemática de VCP? NÃO
Os resultados de VCP são usados como gatilho para revisão de
NÃO
padrões e reciclagem de treinamentos?
Há sistemática para repósitorio e controle de revisões/versões de
NÃO
procedimentos operacionais ou checklists?
O controle de versões é eficaz? NÃO
CLIMA ORGANIZACIONAL
As pessoas se sentem incentivadas a comunicar quaisquer
SIM
preocupações referentes ao controle dos riscos?
É realizado feedback do tratamento de desvios e relatos? SIM
A empresa realiza pesquisa de clima organizacional de forma
NÃO
sistemática?
A empresa possui canal para registros de relatos de segurança pelos
NÃO
empregados?
O canal é utilizado? NÃO
A empresa trata os desvios? NÃO
OPERAÇÕES MONITORADAS
Há requisitos de monitoramento das operações? SIM
Requisitos de monitoramento não atendidos implicam restrições nas
SIM
respectivas operações?
São realizadas auditorias remotas? NÃO
Desvios identificados são tratados? NÃO
Existe sistemática de armazenamento e gerenciamento de registros
NÃO
em vídeo?
APRENDIZADO ORGANIZACIONAL
A abrangência de resultados de auditorias internas e externas têm
SIM
sido realizada de forma eficaz?
Falhas em elementos críticos e incidentes de alto potencial são
SIM
divulgados imediatamente?
Há sistemática de abrangência de lições aprendidas com
NÃO
investigações de anomalias próprias e de terceiros?
Há sistemática de internalização do aprendizado com anomalias nos
NÃO
processos e padrões que governam as operações?
As lições aprendidas identificadas em reuniões pós operacionais são
NÃO
retroalimentadas nos processos?
As boas práticas e recomendações são retroalimentadas nos
NÃO
processos?
SUB/SSUB/PRO 47
Tabela 25 – Lista de verificação com criticidade para Ameaça “Necessidade de operação
com empresas contratadas”.
CADASTRO DE FORNECEDORES
Existem critérios formais (técnicos, econômicos, legal, etc) de
SIM
qualificação para inclusão de empresas nas famílias de fornecedores?
As licitações são restritas a fornecedores pré qualificados? SIM
A qualificação técnica de empresa para prestação de serviços
críticos para a segurança está condicionada ao atendimento a SIM
critérios técnicos pré estabelecidos?
A responsabilidade pela elaboração dos requisitos para qualificação
técnica de fornecedores está formalizada na figura de uma SIM
Autoridade Técnica?
Há outros fornecedores do serviço/software no mercado? SIM
Existe contrato de suporte pós venda? SIM
Em caso de sinistro, está clara para todas as partes o
SIM
reestabelecimento do dano?
A elaboração dos requisitos para qualificação técnica de
fornecedores é definida exclusivamente pela Autoridade Técnica SIM
formalizada pela SUB?
QUALIFICAÇÃO DE FORNECEDORES
É exigido dos fornecedores sob contrato um programa de garantia da
SIM
qualidade que abranja os seus próprios fornecedores?
O atendimento aos requisitos para qualificação técnica de
SIM
fornecedores é verificado durante a etapa de qualificação?
CONTRATAÇÃO
Existem critérios corporativos para desclassificação de fornecedores
que apresentem propostas com preços manifestamente SIM
inexequíveis ?
A Autoridade Técnica designada para as atividades da SUB define os
SIM
requisitos técnicos-legais das familias de fornecedores?
O demandante do contrato especificou na ET a necessidade de
demonstração de capacidade técnica referente à execução dos SIM
serviços críticos para a segurança nas atividades da SUB?
SIM
qualidade que abranja os seus próprios fornecedores?
As especificações técnicas para contratação de serviços são
SIM
aprovadas pela Autoridade Técnica da SUB?
As sanções contratuais têm agilidade e valores necessários para
SIM
impor a correção tempestiva dos desvios contratuais?
Há outros fornecedores do serviço/software no mercado? SIM
Existe contrato de suporte pós venda? SIM
Em caso de sinistro, está clara para todas as partes o
SIM
reestabelecimento do dano?
SUB/SSUB/PRO 48
O contrato respalda o gerente para aplicação tempestiva de
SIM
consequências (sanções)?
Os itens da planilha de custos unitários (PPU) refletem diretamente
SIM
todos os atributos críticos para a SUB?
Há critérios para impedir a contratação de fornecedores com
SIM
resultados ruins de BAD/IDF (ou outra ferramenta similar)?
GESTÃO DA CONTRATADA
A autorização para início de serviços está condicionada ao
SIM
atendimento pleno do contrato?
O processo de fiscalização prevê atuação proativa na identificação e
SIM
comunicação de itens não conformes?
O gerente de contrato aplica as sanções previstas nos casos de não
SIM
atendimento aos requisitos contratuais?
Existe sistemática de avaliação dos serviços realizados por
SIM
fornecedores?
Existem mecanismos e práticas sistematizados na SUB para
SIM
verificação do atendimento a requisitos contratuais e legais?
Tabela 26 – Lista de verificação com criticidade para Ameaça “Degradação de

equipamentos e dutos submarinos”.
PROJETO
Está sistematizado o controle de revisões e versões de documentos? SIM
Existe sistemática de retroalimetação das ETs? SIM
Existe sistemática de gerenciamento de informações críticas para o
SIM
projeto?
Existe sistemática de fiscalização durante a fabricação de
SIM
equipamentos?
OPERAÇÃO DENTRO DO ENVELOPE OPERACIONAL
É realizada a Gestão de Mudanças para alterações em parâmetros
operacioais que afetem sistemas submarinos (linhas, equipamentos),
SIM
UEP e embarcações de apoio operando nas proximidades? Ex.:
aumento de temperatura e pressão
Existe sitemática de registro/histórico de produtos injetados nas
SIM
linhas via árvore de natal?
Os envelopes operacionais são conhecidos pela UN? SIM
O sistema de controle tem proteção para atendimento aos limites?
SIM
(HAZOP é um documento a ser consultado)
Existe protocolo sistematizado pela área operacional para
NÃO
comunicação de desvios no envelope operacional?
Os estudos de risco contemplam todos os cenários conhecidos? NÃO
NÃO
projeto?
A sistemática de gestão de mudança estruturada é de conhecimento
NÃO
de todos?
SUB/SSUB/PRO 49
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDO COM A DEMANDA
Recurso Criticidade
As ferramentas utilizadas são dimensionadas de acordo com a
SIM
demanda?
A sistemática de monitoramento e rastreabilidade das ferramentas
SIM
utilizadas garante sua integridade?
As ferramentas utilizadas estão calibradas e com plano de inspeção
SIM
válido?
Os checklists específicos para as ferramentas (mais complexas)
SIM
utilizadas são atendidos?
Os contratos vigentes preveem atendimento aos serviços críticos? SIM
As ferramentas (que exigem certificação) e massames estão com a
SIM
certificação válida?
Todas as rotinas de manutenção são executadas, registradas e
SIM
estruturadas em banco de dados/sistema informatizado?
Existe política de sobressalentes? NÃO
É realizado o cumprimento das premissas do plano de
NÃO
manutenção/inspeção?
Os critérios de priorização de manutenção estão definidos? NÃO
Existem contratos vigentes para atendimento ao serviço? NÃO
GESTÃO DA INTEGRIDADE DE ATIVOS
Existem critérios claramente definidos para identificação de
SIM
equipamentos críticos?
Existe lista de equipamentos críticos? SIM
Os equipamentos e sistemas críticos objeto de rotina de manutenção
SIM
preventiva estão com seu plano atualizado?
Todas as rotinas de manutenção preventiva são executadas com a
SIM
periodicidade adequada e são registradas?
Os equipamentos e sistemas críticos objeto de rotina de manutenção
SIM
corretiva estão com seu plano atualizado?
O Programa de Manutenção Preventiva está em conformidade com a
SIM
documentação técnica aplicável?
São realizadas manutenções preditivas dos sistemas críticos? SIM
As premissas do plano de manutenção/inspeção estão sendo
SIM
atendidas?
Os procedimentos de manutenção são cumpridos conforme manuais
SIM
e documentação técnica do equipamento?
A sistemática de monitoramento e rastreabilidade dos componentes
SIM
instalados garante sua integridade?
A passagem de serviço está sistematizada e é documentada? SIM
O suporte do fabricante é eficiente? SIM
Existe sistemática de atualização de requisitos técnicos? NÃO
Todas as rotinas e procedimentos de manutenção estão
NÃO
contemplados num Programa de Manutenção?
SUB/SSUB/PRO 50
O dimensionamento dos recursos está adequado para atendimento
NÃO
aos planos de manutenção e de inspeção?
Existem recursos disponíveis para atendimento aos planos de
NÃO
manutenção e de inspeção?
O desempenho do processo de manutenção é eficazmente
NÃO
monitorado?
O processo de inspeção é eficazmente monitorado? NÃO
Os desvios identificados em relação à manutenção são eficazmente
NÃO
tratados?
São realizados testes de performance de válvulas visando a
NÃO
identificação de falhas ocultas?
São realizados estudos de riscos para gestão de integridade de ativos
NÃO
(FMECA, FMEA, RBI)?
São elaborados estudos específicos de confiabilidade? NÃO
A sistemática de reporte de desvios é eficaz? NÃO
São utilizados indicadores de confiabilidade reconhecidos
NÃO
internacionalmente nos estudos de riscos em confiabilidade?
A passagem de serviço é eficaz? NÃO
Tabela 27 – Lista de verificação com criticidade para Ameaça “Elevado número de

interfaces”.
ANÁLISE DE RISCO INTEGRADA

Existe Estudo de Risco (HAZOP, HAZID, etc) da embarcação? SIM
A composição da equipe da análise de risco é representativa? SIM
Os estudos de risco contemplam todos os cenários conhecidos? SIM
A sistemática de gerenciamento e registro das análises de risco está
SIM
sendo aplicada de forma eficaz?
Existe a sistemática de gerenciamento e registro das análises de
NÃO
risco?
GESTÃO DA INFORMAÇÃO
Ver Ameaça “Documentação desatualizada, incompleta ou
indisponível”
REUNIÕES PRÉ-OPERACIONAIS
Recurso Criticidade
Todas as partes envolvidas no processo participam das reuniões pré-
SIM
operacionais?
As interfaces são tratadas nas reuniões pré operacionais? SIM
Os pontos críticos da operação são contemplados na reunião? SIM
Os registros da reunião (atas) atendem aos critérios pré
SIM
estabelecidos (check lists, procedimentos)?
SUB/SSUB/PRO 51
Os registros da reunião são divulgados para todas as partes
SIM
envolvidas?
A reunião pré-operacional possui procedimento padrão? NÃO
O escopo da operação é de conhecimento de todos? NÃO
INSUMOS/ RECURSOS EM CONFORMIDADE ANTES E DURANTE AS OPERAÇÕES
Recurso Criticidade
Os requisitos impeditivos para início da operação estão definidos? SIM
Os requisitos impeditivos para o início da operação foram sanados? SIM
São realizados registros de ocorrências e mudanças durante as
SIM
operações?
As mudanças de escopo ocorridas antes e durante a operação são
SIM
geridas?
REUNIÕES PÓS OPERACIONAIS COM FOCO EM LIÇOES APRENDIDAS
Recurso Criticidade
São realizados registros de ocorrências durante a operação? SIM
Existe sistemática de registros de ocorrências durante as operações? SIM
Os registros da reunião são divulgados para todas as partes
SIM
envolvidas?
As boas práticas e recomendações são retroalimentadas nos
SIM
processos?
As reuniões pós operacionais abordam as lições aprendidas nas
NÃO
operações?
Os registros da reunião (atas) atendem aos critérios pré
NÃO
estabelecidos (check lists)?
Tabela 28 – Lista de verificação com criticidade para Ameaça “Documentação

desatualizada, incompleta ou indisponível”.
GESTÃO DA INFORMAÇÃO
Está sistematizado o gerenciamento de informações críticas para o
SIM
projeto?
Está sistemátizado o gerenciamento de informações críticas para a
SIM
operação?
As ações das GMs (Gestão de Mudança) 'em andamento' são de
SIM
conhecimento de todas as partes interessadas?
Há mudanças com tratamento fora do prazo? SIM
O fluxo de informações entre todas as partes interessadas envolvidas
nas operações, no que se refere à identificação de anomalias, está SIM
bem estabelecido e funcionando adequadamente?
A sistemática de controle de revisões e versões de documentos
impede que uma versão desatualizada seja utilizada SIM
equivocadamente em uma atividade/ operação?
A sistemática de gestão de mudanças está sendo aplicada de forma
NÃO
eficaz?
O processo de identificação de anomalias é eficaz? NÃO
SUB/SSUB/PRO 52
O tratamento das anomalias ocorre no tempo previsto? NÃO
Existe base documentada de equipamentos antigos? NÃO
PADRONIZAÇÃO DA INFORMAÇÃO
Recurso Criticidade
A sistemática de padronização de procedimentos está implementada
SIM
de forma eficaz?
As recomendações de GTs são incorporadas aos processos? NÃO
Tabela 29 – Lista de verificação com criticidade para Ameaça “Degradação dos

materiais/ acessórios de movimentação de carga”.
PROJETO
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
Requisitos Criticidade
É realizada a Gestão de Mudanças para alterações em parâmetros
operacionais que afetem sistemas submarinos (linhas,
NÃO
equipamentos), UEP e embarcações de apoio operando nas
proximidades? Ex.: aumento de temperatura e pressão
Existe sistemática de registro/histórico de produtos injetados nas
NÃO
linhas via árvore de natal?
Os envelopes operacionais são conhecidos pelos envolvidos na
SIM
operação?
O sistema de controle tem proteção para atendimento aos limites?
(HAZOP é um documento a ser consultado ou outras análises de risco SIM
pertinentes)
Existe protocolo sistematizado pela área operacional para
NÃO
comunicação de desvios no envelope operacional?
Os estudos de risco contemplam todos os cenários conhecidos? NÃO
NÃO
projeto?
A sistemática de gestão de mudança estruturada é de conhecimento
NÃO
de todos?
submarinos”
submarinos”
Tabela 30 – Lista de verificação com criticidade para Ameaça “Degradação natural de

equipamentos de posicionamento”.
SUB/SSUB/PRO 53
PROJETO
submarinos”
PARÂMETROS OPERACIONAIS CONFORME ESTABELECIDO PELO FORNECEDOR
A passagem de serviço está sistematizada e é documentada? SIM
É realizado monitoramento online dos sistemas críticos pelo
SIM
fabricante ou centros especializados?
São realizadas análises preditivas dos sistemas críticos (análise de
SIM
óleo e vibração)?
O fluxo para reporte e registro de não conformidades de parâmetros
operacionais está claramente definido no Padrão de gestão de SIM
manutenção da empresa?
Os parâmetros operacionais são definidos de forma independente da
SIM
operação?
Os envelopes operacionais (limites do equipamento) são conhecidos
SIM
pelos envolvidos na operação?
São realizados testes periódicos de todos os equipamentos críticos
contemplando a avaliação de performance e a aferição dos SIM
parâmetros lidos/registrados.
O sistema de monitoramento dos parâmetros operacionais dos
NÃO
sistemas críticos está alinhado com as especificações técnicas?
O fluxo para reporte e registro de não conformidades de alarmes
está claramente definido no Padrão de gestão de manutenção da NÃO
empresa?
submarinos”
submarinos”
Tabela 31 – Lista de verificação com criticidade para Ameaça “Intervenção de

manutenção”
GESTÃO DE INTEGRIDADE DE ATIVOS

submarinos”
Ver Ameaça “Degradação de equipamentos e dutos submarinos
RECURSOS HUMANOS EM QUANTIDADE SUFICIENTE
SUB/SSUB/PRO 54
Recurso Criticidade
Ver Ameaça “Falibilidade Humana”
Tabela 32 – Lista de verificação com criticidade para Ameaça “Necessidade de recursos

críticos”.

Tabela 33 – Lista de verificação com criticidade para Ameaça “Degradação natural de

sistemas pressurizados”.
PROJETO
Recurso Criticidade
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDOO COM A DEMANDA
DISPOSITIVO DE SEGURANÇA
O dispositivo para prevenção de chicoteamento está operacional? SIM
Os dispositivos adicionais ao sistema anti flash (anti-chama) está
SIM
operacional?
Os dispositivos visuais e auditivos (alarmes) estão operacionais? SIM
Tabela 34 – Lista de verificação com criticidade para Ameaça “Ambiente Operacional

Adverso”.
OPERAÇÃO CONDICIONADA A LIMITES OPERACIONAIS

SUB/SSUB/PRO 55
A embarcação possui ASOG de acordo com o estabelecido no IMCA
SIM
M220?
Os limites operacionais estaelecidos nos ASOG garantem a
redundância da embarcação após a ocorrência do WCF definido no SIM
FMEA?
A tripulação (pessoas chave) foi treinada e tem total conhecimento
SIM
do ASOG?
Os aspectos que influenciam as decisões relacionadas à continuidade
da operação com segurança são tomadas de forma idependente de
SIM
questões comerciais e com base nos limites operacionais inseridos no
ASOG?
Os limites operacionais são conhecidos pelos envolvidos na
SIM
operação?
O fluxo para tomada de decisão baseada em risco (status
azul/amarela no ASOG) envolve a comunicação entre a ponte e a SIM
operação?
É realizado briefing pré operacional com participação da ponte, da
operação e de máquinas contemplando os possíveis cenários de
SIM
emergência da operação e da embarcação e alinhamento de papéis e
responsabilidades?
Existe sistemática para realização de kickoff meeting quando da
SIM
ocorrência de SIMOPS, com base nas diretrizes do IMCA M203?
Todas as partes envolvidas (ponte, máquinas e operação) participam
SIM
das análises de riscos?
A programação das operações (duração) está adequada às janelas de
previsão meteorológica, de forma a reduzir a vulnerabilidade de NÃO
segurança e interrupção da operação?
A programação define os recursos navais envolvidos nas operações
com base na capacidade de cada uma frente às condições NÃO
meteorológicas previstas?
A empresa possui sistemática de auditoria de verificação do
NÃO
cumprimento ASOG?
CONFIGURAÇÃO REDUNDANTE
O início das operações está condicionado às janelas de previsão
meteorológica, de forma a reduzir a vulnerabilidade de segurança e SIM
interrupção da operação?
Os sistemas críticos, que exigem configuração redundante, estão
SIM
operacionais?
A embarcação possui CAMO de acordo com o estabelecido no IMCA
SIM
M220?
Os configurações estabelecidas no CAMO garantem a redundância da
SIM
embarcação após a ocorrência do WCF definido no FMEA?
A tripulação foi treinada e tem total conhecimento do CAMO? SIM
Os aspectos que influenciam as decisões relacionadas ao início da
operação com segurança são tomadas de forma idependente de
SIM
questões comerciais e com base nas configurações inseridas no
CAMO?
São previstos testes periódicos no CAMO conforme IMCA M220? SIM
Os testes previstos no CAMO estão cadastrados no software de
SIM
gestão de manutenção da embarcação?
SUB/SSUB/PRO 56
O fluxo para tomada de decisão baseada em risco (status azul no
CAMO) envolve a avaliação entre a embarcação (ponte e máquinas), SIM
suporte onshore do armador, a operação e o cliente?
A embarcação possui check list de DP que atenda às orientações
contempladas no Anexo Contratual Check List Padrão de DP SIM
Petrobras?
A empresa possui sistemática de controle de registros de
SIM
cumprimento do check list?
O CAMO indica claramente a nomenclatura e a posição dos
disjuntores (breakers)e válvulas de acordo com o estabelecido na NÃO
FMEA?
NÃO
cumprimento do checklist do CAMO?
NÃO
cumprimento do checklist de DP?
Tabela 35 – Lista de verificação com criticidade para Ameaça “Mudança de parâmetros

operacionais”.
AVALIAÇÃO CONTÍNUA DO ENVELOPE DO PROJETO

Os envelopes de projeto (limites operacionais) são conhecidos? SIM
O envelope de projeto (limites operacionais) é monitorado? SIM
A sistemática de avaliação contínua do envelope de projeto garante
que (o envelope de projeto x envelope operacional) esteja sempre NÃO
atualizado?
A sistemática de gestão de mudança prevê fiscalização na etapa de
NÃO
projeto?
A sistemática de gestão de mudanças estruturada é de conhecimento
NÃO
de todos?
SISTEMÁTICA DE GESTÃO DE MUDANÇAS
Uma Gestão de Mudança, com ações abertas e não concluídas
impede que serviços sejam executados nos sitemas ou equipamentos SIM
associados a ela?
A sistemática de fiscalização da Petrobras durante a fabricação de
SIM
equipamentos é eficaz?
A sistemática de gestão de mudança estruturada é aplicada
NÃO
conforme procedimento da empresa?
A sistemática de gestão de mudança é de conhecimento de todos? NÃO
O controle de revisões e versões de documentos está sendo realizado
NÃO
de forma eficaz?
A sistemática de gestão de mudança prevê fiscalização na etapa de
NÃO
projeto?
Há GMs com tratamento fora do prazo? NÃO
Está sistematizado o controle de revisões e versões de documentos? NÃO
SUB/SSUB/PRO 57
A sistemática de retroalimetação das ETs geradas pela Petrobras é
NÃO
eficaz?
A gestão de alterações e revisões está sendo aplicada conforme
NÃO
procedimento da empresa?
A sistemática de gerenciamento de informações críticas para o
NÃO
projeto?
Está sistematizado o controle de revisões e versões de documentos? NÃO
RETROALIMENTAÇÃO DO PROJETO
A sistemática de retroalimentação de projetos está implementada
SIM
de forma eficaz?
A sistemática de retroalimentação de projetos está sendo aplicada
NÃO
conforme procedimento da empresa?
A sistemática de retroalimentação de projetos é de conhecimento
NÃO
de todos?
Tabela 36 – Lista de verificação com criticidade para Ameaça “Modo de falha não
previsto”.
IDENTIFICAÇÃO DOS CENÁRIOS CRÍTICOS

Existem estudos de modo de falha (FMEA, FMECA) para identifcação
SIM
de estudos críticos?
As características do reservatório requerem tecnologias inovadoras? SIM
Existe análise RAM associada ao processo (identificação de Bad
SIM
Actors)?
São utilizados banco de dados internacionais como insumos de
SIM
estudos de confiabilidade?
Existe base de dados estruturada para análise histórica de acidentes? NÃO
Existe base de dados estruturada para análise histórica de falhas de
NÃO
equipamentos?
ESTRATÉGIA DE USO DE TECNOLOGIAS MAIS SEGURAS
As características do reservatória requerem tecnologias inovadoras? SIM
Existe análise RAM associada ao processo (identificação de Bad
SIM
Actors)?
São utilizados banco de dados internacionais como insumos de
SIM
estudos de confiabilidade?
São incorporadas orientações de normas de maneira a termos
SIM
projetos cada vez mais seguros?
As recomendações de GTs são incorporadas aos projetos que
SIM
envolvem o uso de tecnologias mais seguras?
QUALIFICAÇÃO
Recurso Criticidade
Foi realizado pelo fornecedor mapeamento dos modos de falha
contemplando as características do projeto em cenários não SIM
previstos (contingèncias, margem de segurança)?
SUB/SSUB/PRO 58
SIM
qualidade?
O programa de qualificação de equipamentos atende aos requisitos
internacionais e ao mapeamento de modo de falha identificados SIM
pelo fornecedor?
SUPORTE DO FABRICANTE
Recurso Criticidade
O fornecedor está capacitado para fornecer suporte para solucionar
SIM
possíveis problemas previstos no projeto?
O fornecedor demonstra estar capacitado para fornecer suporte para
solucionar possíveis problemas não previstos no projeto (histórico, SIM
equipe)?
O fornecedor está preparado para atender à demanda de
SIM
sobressalentes no prazo necessário?
Existe sistemática para retroalimentação no processo de contratação
SIM
a partir de feedback da área operacional?
SUB/SSUB/PRO 59
5. Consequências identificadas e respectivos controles de mitigação
5.1 Consequências
Consequências são efeitos (em geral negativos) possíveis de serem originados em

decorrência da materialização do evento topo. Um evento topo pode dar origem a várias
consequências, que ficam representadas do lado direito do bow tie.
No presente trabalho foram identificadas seis consequências que poderiam ser geradas
a partir de cinco Eventos Topo citados anteriormente, as quais foram nomeadas de forma
resumida conforme citado abaixo:
 Fatalidades;
 Vazamento de hidrocarboneto ou fluido perigoso para o mar;
 Incêndio;
 Explosão;
 Danos a equipamentos;
 Danos a sistemas submarinos instalados.
A seguir as consequências são apresentadas com suas respectivas barreiras de mitigação

associadas.
5.2 Fatalidades
Por volta de 8 horas, em 16 de abril de 1947, um incêndio foi detectado num porão de
carga a bordo do cargueiro Grandcamp enquanto ele estava atracado próximo a Texas City,
Texas, carregando fertilizante de nitrato de amônio. No momento em que o incêndio
começou, o navio tinha sido carregado com 1.400 toneladas de nitrato de amônio (em
sacos) em um porão, e 800 toneladas do mesmo material em outro porão. Durante a hora
seguinte, o comandante do navio decidiu não usar água para extinguir o fogo, temendo que
alguma carga fosse perdida. Em vez disso, o capitão ordenou aos marinheiros que
fechassem o porão e usassem vapor de alta pressão para deslocar o oxigênio. Infelizmente,
uma vez havendo o fogo, o nitrato de amônio revestido com parafina não precisa de
oxigênio para queimar. Ainda pior, o calor do vapor aumentou a taxa de combustão. O
navio explodiu às 9:12h, matando 468 pessoas, o que, em termos de mortes, é o pior
acidente industrial que já ocorreu nos EUA. A explosão a bordo do Grandcamp causou
também vários outros grandes incêndios e explosões ao longo das 16 horas seguintes,
envolvendo uma fábrica de produtos químicos nas proximidades, terminais petrolíferos
também nas proximidades e, por último, levou a uma grande explosão no início da manhã
de 17 de abril, envolvendo 1.000 toneladas de nitrato de amônio a bordo do cargueiro
Highflyer, que estava atracado numa carreira adjacente ao Grandcamp.
Segundo o autor que estudou a catástrofe de Texas City, “Segurança e preparação para
situações de emergência foram grosseiramente deficientes, considerando-se a enormidade
dos perigos...Sem preparativos, qualquer pessoa teria pouca chance de lidar com os efeitos
de um acidente com rapidez suficiente para evitar que ele se transformasse num desastre”.
Claramente, muitas falhas ocorreram no esforço da resposta à emergência, incluindo: (1)
a decisão de usar vapor para deslocar o oxigênio em vez de água para eliminar o calor; e
(2) a falha para evacuar os espectadores da doca adjacente ao Grandcamp. Na verdade,
SUB/SSUB/PRO 60
centenas de pessoas se reuniram na área das docas entre 8:00h e 9:12h, naquela manhã,
para obter melhor visão da fumaça e das chamas com cores vivas.
Para mitigação dos impactos associados a esta consequência foram elencadas através
do bow tie cinco barreiras, conforme explicitado na Figura 22 e nos itens a seguir.
Figura 22 – Consequência “Fatalidades” e respectivas barreiras de mitigação.
5.2.1 Barreiras de mitigação
No estudo anterior (RL-3000.00-0000-000-P9A-001) as consequências estavam nomeadas

como “perda de vida em acidente devido a liberação de energia”, “Perda de vida em
operação de mergulho”, “lesão ou morte de colaboradores”. Neste estudo os nomes das
consequências foi alterado para fatalidades.
 EPI: é uma barreira de mitigação que pretende evitar que uma vez que o Evento Topo
aconteça o impacto em fatalidades seja evitado ou mitigado, verificando se todas as
funções críticas utilizam os EPI necessários para realização de suas atividades, em
conformidade com o PPRA e os EPI utilizados estão em condições de uso.
 Operação submarina interrompida: é uma barreira de mitigação que pretende evitar

que uma vez que o Evento Topo aconteça o impacto em fatalidades seja evitado ou
mitigado, verificando se O fluxo de informações estabelecido é capaz de interromper
as atividades por iniciativa interna ou externa, quando necessário, A fase de operação
para atuar na mitigação é segura, A definição de condição segura para parada de
operação está alinhada com o procedimento executivo, As situações ou condições para
interrupção das operações por iniciativa interna ou externa até que seja reestabelecida
a normalidade estão formal e claramente definidas, A divulgação de situações ou
condições para interrupção das operações por iniciativa interna ou externa está
estabelecida adequadamente
 Resposta à emergência local: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em fatalidades seja evitado ou
mitigado, verificando se Os recursos e as ações para responder com rapidez a uma
emergência local estão adequadamente formalizados em um plano, a embarcação
dispõe de adequados recursos de primeiros socorros, os responsáveis pelas ações
definidas no plano estão capacitados para executar suas atribuições, são realizados
SUB/SSUB/PRO 61
simulados de emergência, o plano de resposta à emergência local está em conformidade
com requisitos legais e corporativos aplicáveis, a embarcação/sonda dispõe de recursos
adequados para responder a todos os cenários previstos no Plano de resposta à
emergência local, Foram realizados simulados com práticas em cenários reais nos
últimos 12 meses, Deficiências identificadas em respostas a eventos reais ou simulados
são corrigidas tempestivamente.
 Resposta à emergência da SUB: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em fatalidades seja evitado ou
mitigado, verificando se Os recursos e as ações para responder com rapidez a uma
emergência da SUB estão adequadamente formalizados em um plano, se os responsáveis
pelas ações definidas no plano estão capacitados para executar suas atribuições, se são
realizados simulados de emergência, se o PRE está em conformidade com requisitos
legais e corporativos aplicáveis, a SUB dispõe de recursos adequados para responder a
todos os cenários previstos no PRE, os recursos estão disponíveis para uso (prontidão de
resposta), foram realizados simulados com base nos cenários contemplados no PRE nos
últimos 12 meses, se as recomendações e oportunidades de melhoria decorrentes das
análises de exercícios práticos são retroalimentadas no processo, se o PRE está
integrado/alinhado com o PEVO.
 Recursos de escape, evacuação e abandono: é uma barreira de mitigação que

pretende evitar que uma vez que o Evento Topo aconteça o impacto em fatalidades
seja evitado ou mitigado, verificando se As rotas a serem utilizadas estão desobstruídas
e íntegras, se foi demonstrada capacidade para arriar o bote de resgate guarnecido em
até 2 minutos, se a verificação regular de prontidão do arriamento do bote de resgate
está formalmente estabelecida, se o funcionamento do bote de resgate é verificado,
estado e aprovado nos treinamentos de troca de turma, se o fluxo de comunicação de
emergência para acionamento de recursos externos contempla as interfaces com a
Petrobras e demais partes envolvidas
Barreira Preventiva
EPI 3 2 67%
Operação submarina interrompida 6 5 83%
Resposta à emergência local 11 9 82%
Resposta à emergência da SUB 9 9 100%
Recursos de escape, evacuação e
5 5 100%
abandono
TOTAL 34 30 88%
5.3 Vazamento de hidrocarboneto ou fluido perigoso para o mar
Caso haja a concretização dos eventos topo, existe a possibilidade da ocorrência de

derramamento de grande quantidade de hidrocarbonetos no mar ou fluidos perigosos como
fluido hidráulico, por exemplo, a qual tem o potencial de causar danos à vida marinha e
SUB/SSUB/PRO 62
também aos ecossistemas costeiros caso eventualmente o óleo venha a tocar algum ponto
da costa, conforme ilustrado na Figura 23.
Figura 23 – Impactos possíveis de serem gerados devido à liberação de hidrocarbonetos e

fluidos perigosos no mar8.
Para mitigação dos impactos associados a esta consequência foram elencados através
Figura 24 – Consequência “Vazamento de hidrocarboneto ou fluido perigoso no mar” e

respectivas barreiras de mitigação.
No estudo anterior (RL-3000.00-0000-000-P9A-001) as consequências estavam nomeadas

como “perda resultante de vazamento de hidrocarboneto de equipamento submarino
instalado”, “perda resultante de vazamento de hidrocarboneto de equipamento submarino
instalado e conectado”, “perda resultante de vazamento de produto perigoso”. Neste
estudo os nomes das consequências foi alterado para “Vazamento de hidrocarboneto e
fluido perigoso para o mar”.
8
Foto 1: http://ludoquimica.blogspot.com/2011/03/vazamento-de-petroleo-desafia.html
Foto 2: https://www.abrasco.org.br/site/noticias/saude-da-populacao/derramamento-de-petroleo-e-risco-para-saude-da-
populacao/43706/
SUB/SSUB/PRO 63
 Interrupção da Operação é uma barreira de mitigação que pretende evitar que uma
vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou fluido
perigoso para o mar seja evitado ou mitigado, verificando se existe protocolo
estabelecido para interrupção da operação ou produção e se o protocolo existente é
cumprido.

que uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto
ou fluido perigoso para o mar seja evitado ou mitigado, verificando se O fluxo de
informações estabelecido é capaz de interromper as atividades por iniciativa interna ou
externa, quando necessário, A fase de operação para atuar na mitigação é segura, A
definição de condição segura para parada de operação está alinhada com o
procedimento executivo, As situações ou condições para interrupção das operações por
iniciativa interna ou externa até que seja reestabelecida a normalidade estão formal e
claramente definidas, A divulgação de situações ou condições para interrupção das
operações por iniciativa interna ou externa está estabelecida adequadamente
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência local estão adequadamente
formalizados em um plano, a embarcação dispõe de adequados recursos de primeiros
socorros, os responsáveis pelas ações definidas no plano estão capacitados para
executar suas atribuições, são realizados simulados de emergência, o plano de resposta
à emergência local está em conformidade com requisitos legais e corporativos
aplicáveis, a embarcação/sonda dispõe de recursos adequados para responder a todos
os cenários previstos no Plano de resposta à emergência local, Foram realizados
simulados com práticas em cenários reais nos últimos 12 meses, Deficiências
identificadas em respostas a eventos reais ou simulados são corrigidas
tempestivamente.
ações para responder com rapidez a uma emergência da SUB estão adequadamente
formalizados em um plano, se os responsáveis pelas ações definidas no plano estão
capacitados para executar suas atribuições, se são realizados simulados de emergência,
se o PRE está em conformidade com requisitos legais e corporativos aplicáveis, a SUB
dispõe de recursos adequados para responder a todos os cenários previstos no PRE, os
recursos estão disponíveis para uso (prontidão de resposta), foram realizados simulados
com base nos cenários contemplados no PRE nos últimos 12 meses, se as recomendações
e oportunidades de melhoria decorrentes das análises de exercícios práticos são
retroalimentadas no processo, se o PRE está integrado/alinhado com o PEVO.
 PEVO: Plano de emergência de vazamento de óleo: é uma barreira de mitigação que

pretende evitar que uma vez que o Evento Topo aconteça o impacto em vazamento de
hidrocarboneto ou fluido perigoso para o mar seja evitado ou mitigado, verificando se
Os recursos e as ações para responder com rapidez a uma emergência na Bacia estão
adequadamente formalizados em um plano, se os responsáveis pelas ações definidas no
SUB/SSUB/PRO 64
plano estão capacitados para executar suas atribuições, se são realizados simulados de
emergência, se O PEVO está em conformidade com requisitos legais e corporativos
aplicáveis, se são disponibilizados recursos adequados para responder a todos os
cenários previstos no PEVO, se os recursos estão disponíveis para uso (prontidão de
resposta), se foram realizados simulados com base nos cenários contemplados no PEVO
nos últimos 12 meses, se são realizados e registrados exercícios práticos referentes aos
cenários acidentais listados no PEVO, se deficiências identificadas em respostas a
eventos reais ou simulados são corrigidas tempestivamente
Barreira Preventiva
Plano de emergência local 11 9 82%
Plano de emergência da SUB 9 9 100%
5 5 100%
abandono
TOTAL 31 28 90%
5.4 Incêndio
Em 17/03/2016 a ANP recebeu através do SISO1, a comunicação inicial de incidente nº

1603/000156 de ocorrência de incêndio significante com parada emergencial de planta de
processo por emergency shut down (ESD), ocorrido na plataforma FPSO P-48. O local
atingido pelo incêndio foi o main deck da plataforma, abaixo do deck de produção, nas
proximidades de dois vasos de drenagem fechada (vasos de slop), responsáveis por receber
rejeitos da planta de processo (água com hidrocarbonetos). O fogo se alastrou em sentido
longitudinal, atingindo cerca de 100m da instalação. O incêndio significante foi ocasionado
por perda de contenção primária na tubulação de interligação do vaso de slop aos tanques
de carga, quando se realizava manobra não usual de direcionamento de fluxo de líquidos,
seguida de ignição por provável fagulha de um dos serviços a quente2realizados na área. O
fluido vazado pela tubulação migrou da meia nau proa em direção à popa devido ao
posicionamento derrabado (desnivelado) da plataforma, entrando em ignição
aproximadamente na altura das defensas. As chamas se alastraram em sentido popa-proa.
Posteriormente, de 21 a 25 de novembro de 2016, foi realizada nova ação de fiscalização

na P-48 pela equipe de investigação do acidente. Nesta oportunidade, foi possível coletar
evidências, que possibilitaram que a equipe de investigação esclarecesse os fatos e
determinasse fatores causais, causas intermediárias, fato notável e as causas raiz do
acidente. Também foram apontados eventos externos, ou seja, fatos que não se
caracterizam como desvios e sim como características ou condições inerentes de unidades
de produção, que contribuíram para a ocorrência do acidente.
Para qualquer acidente de incêndio ou explosão no qual ocorra ignição de uma fonte de
fluido inflamável, um dos pontos de dificuldade para a equipe de investigação é a exata
determinação da fonte desta ignição. Durante a primeira fiscalização realizada após o
SUB/SSUB/PRO 65
incêndio, foram verificadas algumas prováveis fontes de ignição presentes no local. A
análise realizada considerou o trabalho a quente como sendo a fonte mais provável de ter
causado a ignição do líquido vazado, no relatório foram analisados os fatores que
propiciaram a ocorrência de falhas na execução do trabalho que podem ter ocasionado a
fonte de ignição.

incêndio, a qual tem o potencial de causar danos à e perdas financeiras.
Figura 25 – Impactos possíveis de serem gerados devido à liberação de hidrocarbonetos e

fluidos perigosos no mar9.
Figura 26 – Consequência “Incêndio” e respectivas barreiras de mitigação.
9
https://clickpetroleoegas.com.br/incendio-na-sonda-de-perfuracao-da-constellation-que-estava-prestes-a-iniciar-
contrato-com-a-petrobras/
SUB/SSUB/PRO 66
No estudo anterior (RL-3000.00-0000-000-P9A-001) era uma consequência única,

denominada “incêndio/explosão”. Neste estudo as consequências foram separadas pois a
matriz de risco do bow tie permite categorizar a severidade com base em estudos de riscos
realizados (probabilidade x impacto), o que pode levar à necessidade de avaliar as duas
consequências separadamente, além da integridade das barreiras associadas a elas. Além
disso, as barreiras de resposta à emergência local e da sub foram mantidas apenas com
ajuste no nome, agentes extintores e detecção teve seu nome ajustado para detecção de
fogo e gás e as barreiras de controle de ignição e proteção passiva foram adicionadas. A
barreira comunicação de crise foi retirada pois pode estar contemplada na resposta à
emergência da SUB acionar a EOR de crise, se for o caso.
 Detecção de fogo e gás: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça o incêndio possa ser evitado ou seus impactos mitigados,
verificando se todos os equipamentos e sistemas críticos para a detecção de fogo e gás
são objeto de rotinas de manutenção preventiva ou corretiva, o que for aplicável, se
todas as rotinas de manutenção preventiva são executadas com a periodicidade
adequada e se são registradas, se todas as rotinas e procedimentos de manutenção
estão contemplados num Programa de Manutenção, se notas de manutenção em atraso
são objeto de avaliação e análise de risco, se é expressamente comunicado ao operador
a proibição de inibição de alarmes e se as recomendações de inspeções da Marinha ou
de Classe relativas ao número de detectores e à área de cobertura estão tratadas.
 Controle de ignição: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça os impactos devido à incêndio sejam evitados ou mitigados,
verificando se as superfícies aquecidas em área classificada estão protegidas com
isolamento fire proof, se existe procedimento para realização de trabalhos a quente e
se é emitida PT para realização de trabalhos a quente.
 Proteção passiva: é uma barreira de mitigação que pretende evitar que uma vez que
o Evento Topo aconteça os impactos devido à incêndio sejam evitados ou mitigados,
verificando se as proteções passivas são adequadas e se a manutenção da integridade
da proteção passiva é priorizada.
tempestivamente.
SUB/SSUB/PRO 67
Barreira Preventiva
Detecção de fogo e gás 9 7 78%
Controle de ignição 4 3 75%
Proteção Passiva 2 2 100%
TOTAL 35 30 86%
5.5 Explosão

explosão com potencial de causar danos à e perdas financeiras.
Figura 27 – Impactos possíveis de serem gerados devido à explosão10.
10
Foto1: https://clickpetroleoegas.com.br/video-navio-petroleiro-aframax-explodiu-com-22-pessoas-abordo-dezenas-
foram-para-o-hospitais-e-outros-ficaram-presos-no-interior-da-unidade/
Foto 2: https://noticias.r7.com/internacional/hong-kong-explosao-de-navio-petroleiro-deixa-morto-e-feridos-08012019
SUB/SSUB/PRO 68
Figura 28 – Consequência “Explosão” e respectivas barreiras de mitigação.
No estudo anterior (RL-3000.00-0000-000-P9A-001) era uma consequência única,

denominada “incêndio/explosão”. Neste estudo as consequências foram separadas pois a
matriz de risco do bow tie permite categorizar a severidade com base em estudos de riscos
realizados (probabilidade x impacto), o que pode levar à necessidade de avaliar as duas
consequências separadamente, além da integridade das barreiras associadas a elas. Além
disso, as barreiras de resposta à emergência local e da sub foram mantidas apenas com
ajuste no nome, agentes extintores e detecção teve seu nome ajustado para detecção de
fogo e gás e as barreiras de controle de ignição e proteção passiva foram adicionadas. A
barreira comunicação de crise foi retirada pois pode estar contemplada na resposta à
emergência da SUB acionar a EOR de crise, se for o caso.
 Detecção de fogo e gás: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se todos os equipamentos e sistemas críticos para a detecção de fogo e gás
são objeto de rotinas de manutenção preventiva ou corretiva, o que for aplicável, se
todas as rotinas de manutenção preventiva são executadas com a periodicidade
adequada e se são registradas, se todas as rotinas e procedimentos de manutenção
estão contemplados num Programa de Manutenção, se notas de manutenção em atraso
são objeto de avaliação e análise de risco, se é expressamente comunicado ao operador
a proibição de inibição de alarmes e se as recomendações de inspeções da Marinha ou
de Classe relativas ao número de detectores e à área de cobertura estão tratadas.
 Controle de ignição: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se as superfícies aquecidas em área classificada estão protegidas com
isolamento fire proof, se existe procedimento para realização de trabalhos a quente e
se é emitida PT para realização de trabalhos a quente.
SUB/SSUB/PRO 69
 Proteção Passiva: é uma barreira de mitigação que pretende evitar que uma vez que
o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se as proteções passivas são adequadas e se a manutenção da integridade
da proteção passiva é priorizada.
tempestivamente.
Barreira Preventiva
Detecção de fogo e gás 9 7 78%
Controle de ignição 4 3 75%
Proteção Passiva 2 2 100%
TOTAL 35 30 86%
SUB/SSUB/PRO 70
5.6 Danos a equipamentos

explosão com potencial de causar danos à e perdas financeiras Figura 29.
Figura 29 – Impactos possíveis de serem gerados devido à danos a equipamentos11.
do bow tie duas barreiras, conforme explicitado na Figura 30 e nos itens a seguir.
Figura 30 – Consequência “Danos a equipamentos” e respectivas barreiras de mitigação.
No estudo anterior (RL-3000.00-0000-000-P9A-001) a ameaças eram “Perdas resultantes

de danos em equipamentos submarinos instalados e conectados” e “Perdas resultantes de
danos em equipamentos submarinos instalados”. Neste estudo as ameaças se tornaram
“Danos a equipamentos” e “Danos a sistemas submarinos instalados”. A barreira de
resposta à emergência da SUB foi mantida com ajuste no nome e as demais barreiras
sofreram alteração de nome ou inclusão.

11
Foto 1: https://clickpetroleoegas.com.br/akofs-brazil-entrega-mais-um-servico-de-instalacao-de-manifold-para-a-
petrobras/
Foto 2: ANÁLISE DA CONEXÃO VERTICAL DIRETA NA INSTALAÇÃO DE LINHAS FLEXÍVEIS E UMBILICAIS, projeto final, Pedro Henrique
Preza da Silveira Costa, agosto 2015
SUB/SSUB/PRO 71
 Protocolo de resposta à emergência: é uma barreira de mitigação que pretende evitar

que uma vez que o Evento Topo aconteça a consequência incêndio seja evitado ou seus
impactos mitigados, verificando se o contingenciamento para retorno à operação foi
avaliado formalmente e se o fluxo de informações estabelecido é capaz de interromper
Barreira Preventiva
Protocolo de resposta à emergência 3 2 67%
TOTAL 9 7 78%
5.7 Danos a sistemas submarinos instalados

explosão com potencial de causar danos à e perdas financeiras Figura 31.
Figura 31 – Impactos possíveis de serem gerados devido à sistemas submarinos

instalados12.
do bow tie duas barreiras, conforme explicitado na Figura 32 e nos itens a seguir.
12
Foto 1: "Top Kill" fracassa, vazamento de petróleo no Golfo continua | Fórum Outer
Foto 2: https://ronaldopires6.wixsite.com/tecnocorr/blank-7
SUB/SSUB/PRO 72
Figura 32 – Consequência “Danos a sistemas submarinos instalados” e respectivas
barreiras de mitigação.
No estudo anterior (RL-3000.00-0000-000-P9A-001) a ameaças eram “Perdas resultantes

de danos em equipamentos submarinos instalados e conectados” e “Perdas resultantes de
danos em equipamentos submarinos instalados”. Neste estudo as ameaças se tornaram
“Danos a equipamentos” e “Danos a sistemas submarinos instalados”. A barreira de
resposta à emergência da SUB foi mantida com ajuste no nome e as demais barreiras
sofreram alteração de nome ou inclusão.

 Protocolo de resposta à emergência: é uma barreira de mitigação que pretende evitar

que uma vez que o Evento Topo aconteça a consequência incêndio seja evitado ou seus
impactos mitigados, verificando se o contingenciamento para retorno à operação foi
avaliado formalmente e se o fluxo de informações estabelecido é capaz de interromper
SUB/SSUB/PRO 73
Barreira Preventiva
Protocolo de resposta à emergência 3 2 67%
TOTAL 9 7 78%
5.8 Avaliação das barreiras de mitigação
O grupo criou uma lista de verificação, com requisitos para cada barreira e identificou
a criticidade de cada um dos requisitos, conforme tabela 29.
Tabela 43 – Lista de verificação com criticidade para as barreiras mitigadoras
EPI EQUIPAMENTO DE PROTEÇÃO INDIVIDUAL

Todas as funções críticas utilizam os EPI necessários para realização
SIM
de suas atividades, em conformidade com o PPRA?
Os EPI utilizados estão em condições de uso? SIM
O uso do EPI é eficazmente cobrado? NÃO
OPERAÇÃO SUBMARINA INTERROMPIDA
O fluxo de informações estabelecido é capaz de interromper as
SIM
atividades por iniciativa interna ou externa, quando necessário?
A fase de operação para atuar na mitigação é segura? SIM
A definição de condição segura para parada de operação está
SIM
alinhada com o procedimento executivo?
As situações ou condições para interrupção das operações por
iniciativa interna ou externa até que seja reestabelecida a SIM
normalidade estão formal e claramente definidas?
A divulgação de situações ou condições para interrupção das
operações por iniciativa interna ou externa está estabelecida SIM
adequadamente?
É realizada gestão de mudança para o reestabelimento da operação
NÃO
normal?
RESPOSTA À EMERGÊNCIA LOCAL
Os recursos e as ações para responder com rapidez a uma
SIM
emergência local estão adequadamente formalizados em um plano?
A embarcação dispõe de adequados recursos de primeiros socorros? SIM
Os responsáveis pelas ações definidas no plano estão capacitados
SIM
para executar suas atribuições?
São realizados simulados de emergência? SIM
O Plano de resposta à emergência local está em conformidade com
SIM
requisitos legais e corporativos aplicáveis?
SUB/SSUB/PRO 74
A embarcação/sonda dispõe de recursos adequados para responder a
SIM
todos os cenários previstos no Plano de resposta à emergência local?
Foram realizados simulados com práticas em cenários reais nos
SIM
últimos 12 meses?
Deficiências identificadas em respostas a eventos reais ou simulados
SIM
são corrigidas tempestivamente?
O Plano de resposta à Emergência Local está integrado/alinhado
SIM
com o Plano de Emergência da SUB?
As rotas a serem utilizadas para evacuação de feridos estão
NÃO
definidas no plano?
São realizados e registrados exercícios práticos referentes aos
cenários acidentais listados no Plano de resposta à emergência local NÃO
da embarcação/sonda a cada troca de turma?
RESPOSTA À EMERGÊNCIA DA SUB
emergência da SUB estão adequadamente formalizados em um SIM
plano?
SIM
O PRE está em conformidade com requisitos legais e corporativos
SIM
aplicáveis?
A SUB dispõe de recursos adequados para responder a todos os
SIM
cenários previstos no PRE?
Os recursos estão disponíveis para uso (prontidão de resposta)? SIM
Foram realizados simulados com base nos cenários contemplados no
SIM
PRE nos últimos 12 meses?
As recomendações e oportunidades de melhoria decorrentes das
SIM
análises de exercícios práticos são retroalimentadas no processo?
O PRE está integrado/alinhado com o PEVO? SIM
RECURSOS DE ESCAPE, EVACUAÇÃO E ABANDONO
As rotas a serem utilizadas estão desobstruídas e íntegras? SIM
Foi demonstrada capacidade para arriar o bote de resgate
SIM
guarnecido em até 2 minutos?
A verificação regular de prontidão do arriamento do bote de resgate
SIM
está formalmente estabelecida?
O funcionamento do bote de resgate é verificado, testado e
SIM
aprovado nos treinamentos de troca de turma?
O fluxo de comunicação de emegência para acionamento de recursos
externos contempla as interfaces com a Petrobras e demais partes SIM
envolvidas?
PEVO PLANO DE EMERGÊNCIA PARA VAZAMENTO DE ÓLEO
emergência na Bacia estão adequadamente formalizados em um SIM
plano?
SUB/SSUB/PRO 75
SIM
O PEVO está em conformidade com requisitos legais e corporativos
SIM
aplicáveis?
São disponibilizados recursos adequados para responder a todos os
SIM
cenários previstos no PEVO?
Os recursos estão disponíveis para uso (prontidão de resposta)? SIM
Foram realizados simulados com base nos cenários contemplados no
SIM
PEVO nos últimos 12 meses?
São realizados e registrados exercícios práticos referentes aos
SIM
cenários acidentais listados no PEVO?
Deficièncias identificadas em respostas a eventos reais ou simulados
SIM
são corrigidas tempestivamente?
O PEVO contempla os cenários de emergência em Sondas e
NÃO
Embarcações?
PROTOCOLO DE RESPOSTA À EMERGÊNCIA
O contingenciamento para retorno à operação foi avaliado
SIM
formalmente?
O fluxo de informações estabelecido é capaz de interromper as
SIM
atividades por iniciativa ou externa interna, quando necessário?
Para o retorno à operação, é realizada gestão de mudanças? NÃO
INTERRUPÇÃO DA OPERAÇÃO
Existe protocolo estabelecido para interrupção da operação? SIM
Existe protocolo estabelecido para interrupção da produção (poço,
SIM
UEP, etc)?
O protocolo é cumprido? SIM
As situações de interrupção da operação são avaliadas
adequadamente com base em uma sistemática estabelecida (para a NÃO
Petrobras é RTA, por exemplo)?
Tabela 44 – Lista de verificação com criticidade para as barreiras exclusivas das

consequências “Incêndio” e “Explosão”
DETECÇÃO DE FOGO E GÁS

Todos os equipamentos e sistemas críticos para a detecção de fogo e
SIM
gás são objeto de rotina de manutenção preventiva?
Todas as rotinas de manutenção preventiva são executadas com a
SIM
periodicidade adequada e são registradas?
Todos os equipamentos e sistemas críticos para a detecção de fogo e
SIM
gás são objeto de rotina de manutenção corretiva?
Todas as rotinas e procedimentos de manutenção estão
SIM
contemplados num Programa de Manutenção?
SUB/SSUB/PRO 76
Notas de manutenção em atraso são objeto de avaliação e análise de
SIM
risco ?
É expressamente comunicado ao operador a proibição de inibição de
SIM
alarmes?
As recomendações de inspeções de Marinha ou de Classe relativas ao
SIM
número de detectores e à área de cobertura estão tratadas?
O Programa de Manutenção contempla a realização de manutenção
preditiva em sistemas e equipamentos críticos para detecção de NÃO
fogo e gás?
Os requisitos contratuais de manutenção preventiva e preditiva
exploram ao máximo o estado da arte da tecnologia disponível no NÃO
mercado?
CONTROLE DE IGNIÇÃO
As superfícies aquecidas em área classificada estão protegidas com
SIM
isolamento fire proof?
Existe procedimento para realização de trabalhos a quente? SIM
É emitida PT para realização de trabalhos a quente? SIM
Os requisitos contratuais de manutenção preventiva e preditiva
exploram ao máximo o estado da arte da tecnologia disponível no NÃO
mercado?
PROTEÇÃO PASSIVA
Recurso Criticidade
As proteções passivas estão adequadas? SIM
A manutenção da integridade da proteção passiva é priorizada? SIM
SUB/SSUB/PRO 77
6. RESULTADOS OBTIDOS
A partir da avaliação das barreiras com o objetivo principal de padronização dos nomes,
requisitos e filosofia de prevenção ou mitigação, foram obtidos os resultados apresentados
abaixo. Na tabela x são apresentados alguns resultados em termos de HH de reuniões e
número de reuniões, número de participantes e dias corridos de execução do projeto.
Tabela 45. Número de reuniões, HH total, número de participantes e áreas envolvidas
Data Descrição Valor

Realização da primeira fase do projeto. Iniciado com a
29/10/2020 a entrega do Termo de Referência e concluído com a reunião
61 dias
30/12/2020 de apresentação e resultados e entrega da primeira versão
do relatório.
Primeira Reunião: revisão e elaboração da LV do bow tie 1:
perda de contenção primária em dutos e equipamentos
04/11/2020 a 16 reuniões
submarinos.
29/12/2020 113 horas
Última Reunião: Conclusão da criticidade dos requisitos das
LVs.
- Profissionais envolvidos 18
- Gerências/ Áreas de Conhecimento 12
Além da revisão dos 5 bow ties, também foi elaborada uma lista de verificação para
cada barreiras. Esta Lista de verificação contém requisitos que o auditor utilizará durante
a auditoria de barreiras para verificar sua integridade. Cada requisito foi avaliado como
Crítico ou Não crítico.
A Lista de Verificação foi construída de forma que a resposta desejada para cada
requisito é SIM. Para os requisitos críticos, em caso de resposta negativa, a barreira é
automaticamente considerada DEGRADADA.
A tabela 46 a seguir traz um resumo contendo a ameaça identificada, o número de bow

ties em que ela aparece e o número de barreiras preventivas identificadas.
Tabela 46 – Ameaça identificada e barreiras de prevenção e respectivos responsáveis.
Ameaças Qtd BowTies Qtd de Barreiras

Falibilidade Humana TODOS 9
Necessidade de operação com
4 de 5 4
empresas contratadas
Degradação de equipamentos e dutos
4 de 5 4
submarinos
Elevado número de interfaces 2 de 5 5
Documentação desatualizada,
2 de 5 2
incompleta ou indisponível
Degradação dos materiais/ acessórios
1 de 5 4
de movimentação de carga
SUB/SSUB/PRO 78
Degradação natural de equipamentos
1 de 5 4
de posicionamento
Degradação natural de sistemas
1 de 5 5
pressurizados
Intervenção de manutenção 1 de 5 3
Necessidade de recursos críticos 1 de 5 2
Ambiente Operacional Adverso 1 de 5 2
Mudança de parâmetros operacionais 1 de 5 3
Modo de falha não previsto 1 de 5 4
Considerando um critério qualitativo e comparativo onde:
Ameaças que tem entre 6 e 9 barreiras tem um número elevado de barreiras. Poderia
significar que estão “teoricamente” bem protegidas, mas na verdade, isto é um alerta, pois
podemos estar desconsiderando ou nos enganando quanto à independência entre as
barreiras. Neste caso, estas barreiras receberão uma sinalização AMARELA, indicando que
é importante rever as barreiras e quem sabe algumas delas não poderão ser aglutinadas
futuramente! A intenção é não deixar que todos sejam levados a uma falsa sensação de
segurança por conta de um caminho do bow tie estar com um elevado número de barreiras.
Ameaças que tem 3, 4 ou 5 barreiras tem um número razoável de barreiras. Estas receberão
a sinalização VERDE, por hora, o que não as isenta de todas as análises citadas acima.
Ameaças que tem 1 ou 2 barreiras tem um número baixo de barreiras. Estas receberão a
sinalização VERMELHA, indicando que é importante aprofundas as análises.
A tabela 47 a seguir traz um resumo contendo as consequências identificadas, o número

de bow ties em que ela aparece e o número de barreiras mitigadoras identificadas.
Tabela 47 – Ameaça identificada e barreiras de prevenção e respectivos responsáveis.
Ameaças Qtd BowTies Qtd de Barreiras

Fatalidades 4 de 5 5
Danos à equipamentos 4 de 5 2
Vazamento de hidrocarboneto ou
3 de 5 5
fluido perigoso para o mar
Incêndio 2 de 5 5
Explosão 2 de 5 5
Danos à sistemas submarinos
1 de 5 2
instalados
Na tabela 48, a seguir, são apresentados os resultados por barreira preventiva.
SUB/SSUB/PRO 79
Tabela 48 – Barreiras preventivas, número de requisitos total e requisitos críticos,
frequência de ocorrência.
Total de Requisitos % Freq

Barreira Preventiva
Gestão de Integridade de Ativos 24 12 50% 9
Recursos planejados e dimensionados 9
11 7 64%
Projeto 4 4 100% 7
Recursos Humanos em quantidade 6
5 5 100%
suficiente
Operação dentro do envelope 6
8 4 50%
operacional
Confiabilidade Humana 6 1 17% 5
Aptidão física e psicológica 6 4 67% 5
Competências asseguradas 4 2 50% 5
Fraseologia padronizada 5 2 40% 5

Atividades críticas concluídas em 5
cumprimento aos checklists ou 8 2 25%
procedimentos
Clima Organizacional 6 2 33% 5
Operações monitoradas 5 2 40% 5
Aprendizado Organizacional 6 2 33% 5
Cadastro de Fornecedores 8 8 100% 4
Qualificação de Fornecedores 2 2 100% 4
Contratação 12 12 100% 4
Gestão da contratada 5 5 100% 4
Gestão da Informação 10 6 60% 4
Análise de Risco Integrada 5 4 80% 2
Reuniões Pré-Operacionais 7 5 71% 2

Insumos/ Recursos em conformidade 2
4 4 100%
antes e durante as operações
Reuniões Pós-Operacionais com foco 2
6 4 67%
em lições aprendidas
Padronização da informação 2 1 50% 2
Parâmetros operacionais conforme 1
9 7 78%
estabelecido pelo fornecedor
Operação condicionada a limites 1
12 9 75%
operacionais
Avaliação contínua do envelope de 1
5 2 40%
projeto
Configuração redundante 14 11 78,5% 1
SUB/SSUB/PRO 80
Sistemática de GM 12 2 17% 1
Retroalimentação do projeto 3 2 67% 1
Identificação de cenários críticos 6 4 67% 1

Estratégia de uso de tecnologias mais 1
5 5 100%
seguras
Qualificação 3 3 100% 1
Suporte do fabricante 4 4 100% 1
Dispositivo de segurança 3 3 100% 1
TOTAL 235 152 64,5% 118
A Frequência de ocorrência o somatório de ocorrência da barreira (nos 5 bow ties). O

total de barreiras preventivas nos 5 bow ties é de 118. O total de requisitos das barreiras
preventivas foi de
Na tabela 49, a seguir, são apresentados os resultados por barreira mitigadora.
Tabela 49 – Barreiras preventivas, número de requisitos total e requisitos críticos,

frequência de ocorrência.
Total de Requisitos % Freq

Barreira Preventiva
Resposta à emergência local 11 9 82% 11
Resposta à emergência da SUB 9 9 100% 11
Operação submarina interrompida 6 5 83% 8
Interrupção da operação 4 3 75% 7
Protocolo de Resposta à Emergência 3 2 67% 5
EPI 3 2 67% 4
5 5 100% 4
abandono
Detecção de fogo e gás 9 7 78% 4
Controle de ignição 4 3 75% 4
Proteção passiva 2 2 100% 4
PEVO 10 9 90% 3
TOTAL 66 56 85% 65
A Frequência de ocorrência o somatório de ocorrência da barreira (nos 5 bow ties). O

total de barreiras preventivas nos 5 bow ties é de 65. O Total de requisitos das barreiras
mitigadoras foi de 66, sendo 56 considerados críticos.
SUB/SSUB/PRO 81
7. CONSIDERAÇÕES FINAIS
O presente trabalho apresenta a primeira versão dos cinco diagramas bow tie revisados,
que deverão ser utilizados para auxiliar no monitoramento da integridade das barreiras de
prevenção e de mitigação identificadas. Este monitoramento, o qual tem a finalidade de
reporte aos gestores da SUB dos status das barreiras associadas aos principais riscos de
natureza operacional da SUB deverá compor o processo de gerenciamento de barreiras da
SUB.
É importante destacar que:
 Os resultados do presente relatório não trazem medidas de probabilidade de ocorrência

do evento topo. Ainda que os status das barreiras estejam íntegros (verdes), isto não
significa que a probabilidade associada à materialização do risco seja nula;
 Todas as análises realizadas foram qualitativas, e o estudo nesta fase ainda considera
que todas as barreiras têm a mesma força, isto é, nenhuma delas previne ou mitiga mais
ou menos que outra barreira do mesmo caminho.
Ressalta-se, por fim, que o trabalho desenvolvido está em constante evolução junto às
áreas envolvidas, tanto no que diz respeito aos diagramas bow tie propostos.
SUB/SSUB/PRO 82

Relatorio BowTie SUB Rev0

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Relatorio BowTie SUB Rev0

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança de

Revisão 0 Nome Chave Área Data

O presente relatório tem como objetivo apresentar os resultados do trabalho idealizado

Tabela 1. Profissionais que compuseram o grupo de trabalho e respectivas áreas.

Gerência Executiva Equipe responsável pelo estudo Área específica

Tabela 2. Profissionais que compuseram o grupo de trabalho do Bow tie 1: Perda de

Nome Lotação 04/11 05/11 06/11

Nome Lotação 10/11 11/11

Tabela 4. Profissionais que compuseram o grupo de trabalho do Bow tie 3: Perda de

Nome Lotação 16/11 17/11

Nome Lotação 19/11 23/11

Nome Lotação 24/11 25/11

Tabela 7. Profissionais que compuseram o grupo de trabalho Validação de requisitos e

Nome Lotação 11/12

Tabela 8. Profissionais que compuseram o grupo de trabalho Validação de requisitos e

Nome Lotação 14/12

Tabela 9. Profissionais que compuseram o grupo de trabalho Validação de requisitos e

Nome Lotação 15/12 18/12 22/12 29/12

A partir da descrição do PERIGO deve-se definir o EVENTO TOPO no centro do diagrama.

 O Evento Topo não deve ser uma consequência

2.1 BOW TIE 1 Perda de Contenção primária em dutos e equipamentos submarinos

 A perda de contenção primária não é uma consequência!

“Perda de contenção primária em dutos e equipamentos submarinos.”

2.2 BOW TIE 2 Perda de Controle durante a movimentação de carga

São exemplos clássicos de Evento Topo: queda de altura e queda de carga.

 A perda de controle durante a movimentação de carga não é uma consequência!

2.3 BOW TIE 3 Perda de Posicionamento Dinâmico

 A perda de capacidade de manter a posição de uma embarcação não é uma

“Perda de Posicionamento Dinâmico.”

2.4 BOW TIE 4 Perda de controle em operações com produtos inflamáveis/

 A perda de controle em operações com produtos inflamáveis e equipamentos

“Perda de controle em operações com produtos inflamáveis/ equipamentos

Inicialmente o que é a condição insegura de dutos e equipamentos submarinos?

Todos os equipamentos submarinos têm sua condição de risco avaliada através de

Quando é identificado que um equipamento está em uma condição de risco intolerável

Portanto, nenhum equipamento opera com risco intolerável!

Diante da importância deste evento, a condição insegura de dutos e equipamentos

 A Condição insegura de dutos e equipamentos submarinos não é uma consequência!

“Condição insegura de dutos e equipamentos submarinos.”

3. DIAGRAMA BOW TIE - DESCRITIVO

• Revisado perigo e evento topo

6 • Identificar requisitos da lista de verificação

• Definir criticidade para os requisitos da LV

Figura 1 – Fluxograma de etapas para elaboração de bow ties.

Os diagramas bow tie revisados, são apresentados a seguir nas Figura 3 a 7.

3.1 Escopo e abrangência de aplicação

É importante observar que o Big Five “Princípio de incêndio, incêndio e explosão”

BOW-TIE PERIGO EVENTO TOPO BIG FIVE

Figura 2: Inspeção em dutos submarinos2

4.1 Falibilidade Humana

Segundo Hollnagel uma mistura de pensamento entre Safety-I e Safety-II, mantendo as

Figura 8 – Tipos de comportamento humano positivo e negativo3.

Falibilidade, segundo o dicionário, é um substantivo feminino, e significa qualidade ou

Figura 9 – Ameaça “Falibilidade Humana”.

4.1.1 Barreiras Preventivas

O grupo reforçou a necessidade de manter esta ameaça e todas as barreiras conforme

 Confiabilidade Humana: A confiabilidade humana é uma ciência que analisa o erro

 Recursos Humanos em quantidade suficiente: é uma barreira preventiva que pretende

 Fraseologia padronizada: A fraseologia padronizada é uma forma de comunicação

 Atividades críticas concluídas em cumprimento aos checklists ou procedimentos: é

 Aprendizado organizacional: é uma barreira preventiva que pretende evitar que o

Tabela 11 – Barreiras preventivas, número de requisitos total e requisitos críticos.

 A barreira preventiva confiabilidade humana tem muito potencial de melhoria,