Escolar Documentos
Profissional Documentos
Cultura Documentos
Processo nas
Operações
Submarinas
PROJETO DE REVISÃO DOS BOW TIES DA
ENGENHARIA SUBMARINA E ELABORAÇÃO
DE LISTA DE VERIFICAÇÃO DE BARREIRAS
PRÁTICAS E RISCOS
OPERACIONAIS
—
SUB/SSUB/PRO
INTERNA
Sumário
1. INTRODUÇÃO ................................................................................................................................................................ 4
2. DESCRIÇÃO DO PERIGO E DO EVENTO TOPO ............................................................................................................ 8
2.1 BOW TIE 1 PERDA DE CONTENÇÃO PRIMÁRIA EM DUTOS E EQUIPAMENTOS SUBMARINOS ............................... 8
2.2 BOW TIE 2 PERDA DE CONTROLE DURANTE A MOVIMENTAÇÃO DE CARGA ....................................................... 8
2.3 BOW TIE 3 PERDA DE CAPACIDADE DE MANTER POSIÇÃO ..................................................................................... 9
2.4 BOW TIE 4 PERDA DE CONTROLE EM OPERAÇÕES COM PRODUTOS INFLAMÁVEIS/ EQUIPAMENTOS
PRESSURIZADOS ....................................................................................................................................................................... 9
2.5 BOW TIE 5 CONDIÇÃO INSEGURA DE DUTOS E EQUIPAMENTOS SUBMARINOS.................................................. 10
3. DIAGRAMA BOW TIE - DESCRITIVO .......................................................................................................................... 10
3.1 ESCOPO E ABRANGÊNCIA DE APLICAÇÃO ............................................................................................................................... 11
4. AMEAÇAS/CAUSAS IDENTIFICADAS E RESPECTIVOS CONTROLES DE PREVENÇÃO............................................. 18
4.1 FALIBILIDADE HUMANA ........................................................................................................................................................ 18
4.1.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 19
4.2 NECESSIDADE DE OPERAÇÃO COM EMPRESAS CONTRATADAS .................................................................................................. 21
4.2.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 22
4.3 DEGRADAÇÃO DE EQUIPAMENTOS E DUTOS SUBMARINOS ....................................................................................................... 23
4.3.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 24
4.4 ELEVADO NÚMERO DE INTERFACES ...................................................................................................................................... 25
4.4.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 26
4.5 DOCUMENTAÇÃO DESATUALIZADA, INCOMPLETA OU INDISPONÍVEL ........................................................................................ 27
4.5.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 28
4.6 DEGRADAÇÃO DOS MATERIAIS/ ACESSÓRIOS DE MOVIMENTAÇÃO DE CARGA............................................................................. 29
4.6.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 30
4.7 DEGRADAÇÃO NATURAL DE EQUIPAMENTOS DE POSICIONAMENTO .......................................................................................... 31
4.7.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 33
4.8 INTERVENÇÃO DE MANUTENÇÃO ........................................................................................................................................... 34
4.8.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 35
4.9 NECESSIDADE DE RECURSOS CRÍTICOS ................................................................................................................................... 36
4.9.1 BARREIRAS PREVENTIVAS................................................................................................................................................. 36
4.10 DEGRADAÇÃO NATURAL DOS SISTEMAS PRESSURIZADOS .................................................................................................... 37
4.10.1 BARREIRAS PREVENTIVAS............................................................................................................................................. 38
4.11 AMBIENTE OPERACIONAL ADVERSO .................................................................................................................................. 39
4.11.1 BARREIRAS PREVENTIVAS............................................................................................................................................. 40
4.12 MUDANÇA DE PARÂMETROS OPERACIONAIS ....................................................................................................................... 42
4.12.1 BARREIRAS PREVENTIVAS............................................................................................................................................. 43
4.13 MODO DE FALHA NÃO PREVISTO ....................................................................................................................................... 43
4.13.1 BARREIRAS PREVENTIVAS............................................................................................................................................. 44
4.14 LISTA DE VERIFICAÇÃO DAS BARREIRAS PREVENTIVAS....................................................................................................... 45
5. CONSEQUÊNCIAS IDENTIFICADAS E RESPECTIVOS CONTROLES DE MITIGAÇÃO ................................................ 60
5.1 CONSEQUÊNCIAS ................................................................................................................................................................. 60
5.2 FATALIDADES ...................................................................................................................................................................... 60
5.2.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 61
5.3 VAZAMENTO DE HIDROCARBONETO OU FLUIDO PERIGOSO PARA O MAR .................................................................................. 62
5.3.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 63
5.4 INCÊNDIO ............................................................................................................................................................................ 65
5.4.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 67
5.5 EXPLOSÃO........................................................................................................................................................................... 68
5.5.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 69
5.6 DANOS A EQUIPAMENTOS ..................................................................................................................................................... 71
5.6.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 71
5.7 DANOS A SISTEMAS SUBMARINOS INSTALADOS ....................................................................................................................... 72
SUB/SSUB/PRO
INTERNA
5.7.1 BARREIRAS DE MITIGAÇÃO ................................................................................................................................................ 73
5.8 AVALIAÇÃO DAS BARREIRAS DE MITIGAÇÃO ........................................................................................................................... 74
6. RESULTADOS OBTIDOS .............................................................................................................................................. 78
7. CONSIDERAÇÕES FINAIS ............................................................................................................................................ 82
SUB/SSUB/PRO
INTERNA
1. INTRODUÇÃO
O trabalho teve como escopo principal a revisão dos bow ties da SUB e emissão da Lista
de verificação de barreiras, com avaliação de criticidade dos requisitos da lista de
verificação.
A revisão destes bow ties, bem como a construção da lista de verificação ocorreu, para
respectivamente, conforme as listas de presença abaixo. Assim sendo, para execução do
trabalho, foi constituído um grupo multidisciplinar de profissionais (gestores e técnicos)
que representaram diversas áreas da empresa, conforme explicitado na Tabela 1 abaixo.
SUB/SSUB/PRO 4
Tabela 3. Profissionais que compuseram o grupo de trabalho do Bow tie 5: Condição
insegura de dutos e equipamentos submarinos, realizado em 10/11 e 11/11 (dia todo)
Tabela 5. Profissionais que compuseram o grupo de trabalho do Bow tie 4: Perda de controle
em operação com produtos inflamáveis/ equipamentos pressurizados, realizado em 19/11
e 23/11 (dia todo)
SUB/SSUB/PRO 5
Tabela 6. Profissionais que compuseram o grupo de trabalho do Bow tie 2: Perda de controle
durante movimentação de carga, realizado em 24/11 e 24/11 (dia todo)
SUB/SSUB/PRO 6
Rodrigo Mariano da Silva SUB/SSUB/PRO X
Tiago Duarte Cardoso Faria SUB/SSUB/PGDO/STEE X
Thenisson Garcia Lorenzo SMS/SMS-DP/SP X
SUB/SSUB/PRO 7
2. DESCRIÇÃO DO PERIGO E DO EVENTO TOPO
O "perigo" é uma operação, atividade ou material com potencial para causar danos, além
disso, o perigo deve ser descrito em seu estado controlado. Desta forma, o perigo dos 5
bow ties ficou descrito como:
“Operação Submarina”
Para cada um dos cinco bow ties, foram feitas as verificações a seguir para checar se os
Eventos Topo estão bem definidos.
Este é um Evento Topo clássico, e passou nos três critérios de verificação, onde:
O Big Five é Queda de carga em operações submarinas. O Evento Topo também poderia
ser descrito como “Queda de carga em operações submarinas”, pois a queda de carga
ainda não é a consequência.
SUB/SSUB/PRO 8
“Perda de controle durante a movimentação de carga.”
Este é um Evento Topo clássico, e passou nos três critérios de verificação, onde:
O Big Five é Deriva e perda de DP em embarcações. O Evento Topo foi descrito desta
forma para melhor descrever o cenário a que se refere.
Este é um Evento Topo muito similar ao Evento Topo ‘perda de contenção’, e passou nos
três critérios de verificação, onde:
O Big Five é princípio de incêndio, incêndio e explosão. Este Evento Topo tem o objetivo
de diferenciar eventos de perda de contenção que ocorrem nos equipamentos submarinos
e estão diretamente envolvidos com as atividades da SUB, e estão tratados no BOW TIE ,
de eventos de perda de contenção que ocorrem com fluidos inflamáveis e equipamentos
pressurizados que ocorrem, por vezes, no convés da embarcação. Pode-se observar que os
dois bow ties são muito similares, mas tratam de cenários acidentais distintos.
SUB/SSUB/PRO 9
2.5 BOW TIE 5 Condição insegura de dutos e equipamentos submarinos
Porém, as análises de risco só são atualizadas a cada 5 anos. O que acontece com o risco
deste equipamento durante este período? Quem monitora se o risco de um equipamento
que estava em níveis aceitáveis, depois de, por exemplo, 2 anos, atingiu níveis intoleráveis?
Alguns sinais monitorados pela operação podem indicar que o equipamento está em uma
condição insegura ou degradada, mas não se pode afirmar que o risco é intolerável pois
somente uma nova análise de risco pode dar esta informação. De qualquer forma, alguma
ação deve ser tomada, quando a condição insegura representar risco grave e iminente, do
mesmo jeito que é feito quando o risco é intolerável.
Vamos à verificação:
De acordo com a norma ISO 310101, a metodologia bow tie consiste em uma
representação gráfica dos caminhos através dos quais as causas associadas a um
determinado evento topo podem levar às respectivas consequências, considerando uma
dada atividade em análise (perigo). Para este trabalho foi utilizado como referência o
1
ISO – International Organization of Standardization. ISO 31010 – Risk Management-Risk Assessment
Techniques, 2nd Edition, Switzerland, 2019.
SUB/SSUB/PRO 10
ebook workshop de bow tie baseado no livro do CCPS “Bow Ties in Risk management: A
concept book for process safety”.
Neste sentido, a Figura 1 a seguir ilustra as etapas que foram seguidas para este
trabalho.
No que tange o escopo do presente trabalho, foram considerados os bow ties descritos
no relatório SEGURANÇA DE PROCESSO NAS OPERAÇÕES SUBMARINAS – BOW TIE, RL-3000.00-
0000-000-P9A-001, emitido em 22/03/2018. Na ocasião, durante a etapa de identificação
dos cenários relacionados às atividades submarinas foram apontados os cinco cenários
acidentais com maior potencial e estabelecidos como os Big Fives. O perigo, evento topo e
big five, para cada bow tie, se relacionam conforme mostrado na tabela 10.
SUB/SSUB/PRO 11
Tabela 10. Relação entre BowTie, Perigo, Evento Topo e Big Five.
Foram mapeados eventos que pudessem ocorrer, na área submarina, durante projeto,
instalação, inspeção e manutenção (manter) dos sistemas de ancoragem, dutos e
umbilicais, equipamentos submarinos, equipamentos de coleta e distribuição, linhas e
risers da companhia, especificamente nas etapas de operação, Workover e Abandono.
2
http://ambipetro.com.br/embraer-desenvolve-projeto-de-inspecao-de-dutos-submarinos
SUB/SSUB/PRO 12
Figura 3 – Diagrama bow tie específico para a Perda de Contenção Primária de dutos e equipamentos submarinos.
SUB/SSUB/PRO 13
Figura 4 – Diagrama bow tie específico para a Perda de controle durante a movimentação de carga.
SUB/SSUB/PRO 14
Figura 5 – Diagrama bow tie específico para Perda de capacidade de manter posição.
SUB/SSUB/PRO 15
Figura 6 – Diagrama bow tie específico para Perda de controle em operações com produtos inflamáveis/ equipamentos
pressurizados.
SUB/SSUB/PRO 16
Figura 7 – Diagrama bow tie específico para Condição insegura de dutos e equipamentos submarinos
SUB/SSUB/PRO 17
4. Ameaças/causas identificadas e respectivos controles de prevenção
Ameaças (ou causas) são possíveis fontes de risco que podem levar ao evento topo.
Normalmente são mapeadas diversas causas que ficam localizadas no lado esquerdo do
diagrama, cada uma representando um cenário único que, individualmente, é suficiente
para dar origem ao evento central do diagrama.
Foram identificadas quatorze (13) ameaças que atendem aos pré-requisitos para serem
classificadas como tal. Algumas ameaças aparecem em mais de um bow tie.
3
Fonte: EI Hearts & Minds, Managing Rule Breaking
SUB/SSUB/PRO 18
Para prevenção dos Eventos Topo associados a esta ameaça foram elencados através do
bow tie nove barreiras, conforme explicitado na Figura 9.
Aptidão física e psicológica: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se estão sendo
observados os requisitos legais e contratuais específicos sobre saúde (aptidões
psicofisiológicas específicas) estabelecidos, se o controle de uso de álcool e substâncias
psicoativas está sendo acompanhado por meio de um programa eficaz, se existe
abertura/suporte para pessoas exercerem "na dúvida, pare" quando não estiverem física
ou psicologicamente bem para executar suas atividades e se as pessoas conhecem os
parâmetros e condições de saúde para realização das atividades.
SUB/SSUB/PRO 19
Competências asseguradas: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se as atividades
críticas foram mapeadas e se a sistemática da empresa contratada é capaz de impedir
que serviços sejam executados em desconformidade com a matriz de competência
estabelecida.
Clima organizacional é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se as pessoas se
sentem incentivadas a comunicar quaisquer preocupações referentes ao controle dos
riscos e se é realizado feedback do tratamento de desvios e relatos. A empresa que
estabelece um canal de comunicação de desvios e, além disso, trata os desvios
comunicados retornando para a força de trabalho o feedback destas comunicações passa
uma mensagem muito clara quanto à importância (“empoderamento”) que o homem da
linha de frente tem para a organização no que se refere à prevenção de acidentes
graves. Este clima organizacional é o que define se uma empresa “premia” quem relata
um desvio ou, pelo contrário, “rejeita”, “olha torto” essa mesma pessoa que relata
desvios. Com o tempo, esse clima pode ‘minar’ a espontaneidade das pessoas que
realmente estão visualizando os riscos para que elas possam espontaneamente fazer
relatos.
Operações monitoradas: é uma barreira preventiva que pretende evitar que o erro
humano aconteça ou leve à ocorrência do Evento Topo ao verificar se há requisitos de
monitoramento das operações, se estes requisitos de monitoramento, existindo e não
sendo atendidos implicam restrições nas respectivas operações. Esta barreira nem
sempre será aplicável. Entretanto, quando for aplicável, tem como objetivo garantir
que as operações que exigem monitoramento de algum tipo ocorram conforme
planejado, além disso, é importante estar estabelecido que se o monitoramento é
impeditivo para ocorrência da operação, esta não deve ocorrer.
SUB/SSUB/PRO 20
se falhas em elementos críticos e incidentes de alto potencial são divulgados
imediatamente.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Confiabilidade Humana 6 1 17%
Recursos Humanos em quantidade
5 5 100%
suficiente
Aptidão física e psicológica 6 4 67%
Competências asseguradas 4 2 50%
Fraseologia padronizada 5 2 40%
Atividades críticas concluídas em
cumprimento aos checklists ou 8 2 25%
procedimentos
Clima Organizacional 6 2 33%
Operações monitoradas 5 2 40%
Aprendizado Organizacional 6 2 33%
TOTAL 51 22 43%
Observações:
SUB/SSUB/PRO 21
de pressão da linha de descarga da bomba para recertificação, e não pode colocar a válvula
de volta em serviço antes das 18:00h, quando eles encerram o dia. Uma vez que a bomba
foi ligada, uma grande liberação de hidrocarbonetos, por fim, causou o desastre.
Cadastro de fornecedores: é uma barreira preventiva que pretende evitar que operar
com empresas contratadas leve à ocorrência do Evento Topo, verificando se existem
critérios para qualificar fornecedores para o cadastro, se os critérios são definidos pela
Autoridade Técnica competente, se as licitações utilizam o cadastro de fornecedores,
se há mais de um fornecedor no mercado para atender a demanda, se existe contrato
de suporte pós-venda e se em caso de sinistro está claro para todas as partes o
restabelecimento dos danos.
SUB/SSUB/PRO 22
Contratação: é uma barreira preventiva que pretende evitar que operar com empresas
contratadas leve à ocorrência do Evento Topo, verificando se existem critérios
corporativos de desclassificação de fornecedores que apresentem propostas com preços
manifestamente inexequíveis, verificando se o demandante do contrato especificou na
ET a necessidade de demonstração de capacidade técnica referente à execução dos
serviços críticos par a segurança nas atividades da SUB, verificando se as sanções
contratuais têm agilidade e valores necessários para impor a correção tempestiva dos
desvios contratuais, se o contrato respalda o gerente para aplicação tempestiva de
consequências (sanções) e se há critérios para impedir a contratação de fornecedores
com resultados ruins de BAD/IDF (ou outra ferramenta similar).
Gestão da contratada: é uma barreira preventiva que pretende evitar que operar com
empresas contratadas leve à ocorrência do Evento Topo, verificando se a autorização
para início de serviços está condicionada ao atendimento pleno do contrato, se o
processo de fiscalização prevê atuação proativa na identificação e comunicação de itens
não conformes, se o gerente do contrato aplica as sanções previstas nos casos de não
atendimento aos requisitos contratuais, se existe sistemática de avaliação dos serviços
realizados por fornecedores e se existem mecanismos e práticas sistematizados na SUB
para verificação do atendimento a requisitos contratuais e legais.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Cadastro de fornecedores 8 8 100%
Qualificação de fornecedores 2 2 100%
Contratação 12 12 100%
Gestão da contratada 5 5 100%
TOTAL 27 27 100%
SUB/SSUB/PRO 23
Figura 11 – Ameaça “Degradação de equipamentos e dutos submarinos”.
Projeto: é uma barreira preventiva que pretende evitar que a degradação natural de
equipamentos e dutos submarinos leve à ocorrência do Evento Topo, verificando se o
existe sistemática para controle de revisões e versões da documentação de projeto,
para gerenciamento de informações críticas do projeto e para retroalimentação das
Especificações Técnicas a partir do aprendizado das operações, além disso, verifica se
a fabricação dos equipamentos tem um acompanhamento ou fiscalização também
baseado em uma sistemática.
SUB/SSUB/PRO 24
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a degradação natural de equipamentos e dutos submarinos leve à ocorrência do Evento
Topo, verificando se existem critérios claramente definidos para identificação de
equipamentos críticos, se existe lista de equipamentos críticos, se os equipamentos e
sistemas críticos estão com seus planos de manutenção (corretiva ou preventiva, o que
for aplicável) atualizado, se as premissas do plano de manutenção e inspeção estão
sendo atendidas, se todas as rotinas de manutenção preventiva são executadas com a
periodicidade adequada, se são registradas e se estão em conformidade com a
documentação técnica aplicável. Além disso, se a sistemática de monitoramento e
rastreabilidade dos componentes instalados garante sua integridade, se a passagem de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Projeto 4 4 100%
Operação dentro do envelope
8 4 50%
operacional
Recursos planejados e dimensionados
11 7 64%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
TOTAL 42 22 52%
SUB/SSUB/PRO 25
4.4.1 Barreiras Preventivas
Análise de risco integrada: é uma barreira preventiva que pretende evitar que o
elevado número de interfaces leve à ocorrência do Evento Topo, verificando se as
embarcações têm estudos de risco, se estes estudos foram realizados com uma equipe
adequada para tornar o estudo mais robusto, se todos os cenários conhecidos foram
avaliados e se a sistemática de gerenciamento destes estudos é eficaz. Eficaz se refere,
por exemplo, ao controle de revisões, que deve seguir a regulamentação aplicável,
entre outros requisitos.
Gestão das informações: é uma barreira preventiva que pretende evitar que o elevado
número de interfaces leve à ocorrência do Evento Topo, verificando se as informações
críticas (tanto de projeto como de operação) são gerenciadas com base em uma
sistemática estabelecida. Há uma preocupação com as mudanças, por isso existem 2
perguntas sobre gestão de mudanças: se as GMs “em andamento” são de conhecimento
de todas as partes interessadas e se existem GMs com tratamento foram do prazo. Há
ainda uma preocupação com o controle de revisão dos documentos, por isso a pergunta
se a sistemática de controle de revisões e versões de documentos impede que uma
versão desatualizada seja utilizada equivocadamente em uma atividade ou operação, e
por fim, a preocupação se o fluxo de informações entre todas as partes interessadas
envolvidas nas operações, no que se refere à identificação de anomalias, está bem
estabelecida e funcionando adequadamente. O gerenciamento eficaz da informação
estabelece metodologias de elaboração, aprovação, identificação, distribuição, fácil
identificação e guarda dos documentos. Desta forma procura garantir que os
documentos sejam analisados, emitidos, alterados, aprovados ou re(aprovados) sob
condições controladas, de forma a evitar o uso de documentos obsoletos ou não válidos.
SUB/SSUB/PRO 26
Topo, verificando se as ocorrências durante as operações são registradas com base em
sistemática estabelecida, se estes registros são divulgados para todas as partes
envolvidas e se as boas práticas e recomendações são retroalimentadas nos processos.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Análise de risco integrada 5 4 80%
Gestão das informações 10 6 60%
Reuniões pré-operacionais 7 5 71%
Insumos/ recursos em conformidade
4 4 100%
antes e durante as operações
Reuniões pós operacionais com foco
6 4 67%
em lições aprendidas
TOTAL
4
http://rbmt.org.br/details/416/pt-BR/acidentes-de-trabalho-que-se-tornam-desastres--os-casos-dos-
rompimentos-em-barragens-de-mineracao-no-brasil
SUB/SSUB/PRO 27
Em seu depoimento à polícia civil, o engenheiro da VOGBR disse que coletou os dados e
que o fato de não ter analisado todos os instrumentos disponíveis não prejudicou a acuidade
de seu trabalho. Ao emitir o documento, fez ressalva: “A Samarco deverá atualizar a Carta
de Risco pois os alteamentos são constantes, correspondendo, no ano de 2014, a uma taxa
de 15 m em até 11 etapas consecutivas”. O Ministério Público Federal (MPF) considerou o
documento enganoso por se basear em Carta de Risco desatualizada e não incluir a análise
de toda a instrumentação.
SUB/SSUB/PRO 28
Padronização da Informação: é uma barreira preventiva que pretende evitar que a
documentação desatualizada, incompleta ou indisponível leve à ocorrência do Evento
Topo, verificando se a sistemática de padronização da documentação está
implementada de forma eficaz. A eficácia permite que o fluxo da informação aconteça
com facilidade, que as informações sejam encontradas com rapidez, que estejam
atualizadas, que possam ser acessadas quando necessário, entre outros.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Gestão da informação 10 6 60%
Padronização da informação 2 1 50%
TOTAL 12 7 58%
Após uma inspeção no local, a NOPSEMA determinou que a operação não deve ser
realizada novamente até que a Diamond offshore implemente sistemas e práticas de
trabalho adequados para remover a ameaça à saúde e segurança dos funcionários da
embarcação.
SUB/SSUB/PRO 29
do desempenho humano, o objetivo destas barreiras consiste em manter a operação
confiável e previsível dos materiais e acessórios de movimentação de carga.
O grupo reforçou a necessidade de manter esta ameaça conforme o estudo original (RL-
3000.00-0000-000-P9A-001), entretanto, o nome da única barreira existente foi alterado e
algumas barreiras foram acrescentadas
Projeto: é uma barreira preventiva que pretende evitar que a degradação natural de
materiais e acessórios de movimentação de carga leve à ocorrência do Evento Topo,
verificando se existe sistemática para controle de revisões e versões da documentação
de projeto, para gerenciamento de informações críticas do projeto e para
retroalimentação das Especificações Técnicas a partir do aprendizado das operações,
além disso, verifica se a fabricação dos equipamentos tem um acompanhamento ou
fiscalização também baseado em uma sistemática.
SUB/SSUB/PRO 30
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a degradação dos materiais e acessórios de movimentação de carga leve à ocorrência
do Evento Topo, verificando se existem critérios claramente definidos para
identificação de equipamentos críticos, se existe lista de equipamentos críticos, se os
equipamentos e sistemas críticos estão com seus planos de manutenção (corretiva ou
preventiva, o que for aplicável) atualizado, se as premissas do plano de manutenção e
inspeção estão sendo atendidas, se todas as rotinas de manutenção preventiva são
executadas com a periodicidade adequada, se são registradas e se estão em
conformidade com a documentação técnica aplicável. Além disso, se a sistemática de
monitoramento e rastreabilidade dos componentes instalados garante sua integridade,
se a passagem de serviço está sistematizada e é documentada e se o suporte do
fabricante é eficiente.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Projeto 4 4 100%
Operação dentro do envelope
8 4 50%
operacional
Recursos planejados e dimensionados
10 6 60%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
TOTAL 42 22 52%
5
https://www.teses.usp.br/teses/disponiveis/3/3135/tde-23122014-151020/publico/DISS_FabioPartelMurillo.pdf
SUB/SSUB/PRO 31
foi iniciada com a partida dos 2 propulsores principais (CPP), 3 propulsores túnel de vante
e o propulsor túnel de ré. Esses propulsores foram conectados ao sistema DP manualmente
cerca de 20 minutos após o blackout, iniciando assim o reestabelecimento do controle de
posição do navio, até este momento, em modo manual. Até este instante o navio havia se
afastado 50 metros da posição original, ainda dentro do limite operacional de 64 metros ou
3% da lâmina d’água.
Cerca de quarenta minutos após o evento inicial, a tripulação conseguiu partir a planta
DPP, acionar os propulsores azimutais da unidade e colocar o sistema DP em modo
automático, reestabelecendo a operação normal da unidade.
SUB/SSUB/PRO 32
4.7.1 Barreiras Preventivas
O grupo reforçou a necessidade de manter esta ameaça conforme o estudo original (RL-
3000.00-0000-000-P9A-001), entretanto, os nomes das barreiras existentes foram
alterados.
Projeto: é uma barreira preventiva que pretende evitar que a degradação natural de
equipamentos de posicionamento leve à ocorrência do Evento Topo, verificando se
existe sistemática para controle de revisões e versões da documentação de projeto,
para gerenciamento de informações críticas do projeto e para retroalimentação das
Especificações Técnicas a partir do aprendizado das operações, além disso, verifica se
a fabricação dos equipamentos tem um acompanhamento ou fiscalização também
baseado em uma sistemática.
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a degradação natural de equipamentos de posicionamento leve à ocorrência do Evento
Topo, verificando se existem critérios claramente definidos para identificação de
equipamentos críticos, se existe lista de equipamentos críticos, se os equipamentos e
sistemas críticos estão com seus planos de manutenção (corretiva ou preventiva, o que
for aplicável) atualizado, se as premissas do plano de manutenção e inspeção estão
sendo atendidas, se todas as rotinas de manutenção preventiva são executadas com a
periodicidade adequada, se são registradas e se estão em conformidade com a
documentação técnica aplicável. Além disso, se a sistemática de monitoramento e
rastreabilidade dos componentes instalados garante sua integridade, se a passagem de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente.
SUB/SSUB/PRO 33
Tabela 17 – Barreiras preventivas, número de requisitos total e requisitos críticos.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Projeto 4 4 100%
Parâmetros operacionais conforme
9 7 78%
estabelecido pelo fornecedor
Recursos planejados e dimensionados
10 6 60%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
TOTAL 33 19 57,5%
O objetivo das barreiras é garantir que a atividade de manutenção não aumente o risco
ou introduza novos riscos à condição do duto ou equipamento submarino.
SUB/SSUB/PRO 34
Figura 16 – Ameaça “Intervenção de manutenção”.
O grupo reforçou a necessidade de manter esta ameaça conforme o estudo original (RL-
3000.00-0000-000-P9A-001), entretanto, os nomes das barreiras existentes foram
alterados.
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a intervenção de manutenção leve à ocorrência do Evento Topo, verificando se existem
critérios claramente definidos para identificação de equipamentos críticos, se existe
lista de equipamentos críticos, se os equipamentos e sistemas críticos estão com seus
planos de manutenção (corretiva ou preventiva, o que for aplicável) atualizado, se as
premissas do plano de manutenção e inspeção estão sendo atendidas, se todas as rotinas
de manutenção preventiva são executadas com a periodicidade adequada, se são
registradas e se estão em conformidade com a documentação técnica aplicável. Além
disso, se a sistemática de monitoramento e rastreabilidade dos componentes instalados
garante sua integridade, se a passagem de serviço está sistematizada e é documentada
e se o suporte do fabricante é eficiente
SUB/SSUB/PRO 35
Tabela 18 – Barreiras preventivas, número de requisitos total e requisitos críticos.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Gestão de integridade de ativos 24 12 50%
Recursos planejados e dimensionados
10 6 60%
de acordo com a demanda
Recursos Humanos em quantidade
5 5 100%
suficiente
TOTAL 30 17 57%
SUB/SSUB/PRO 36
ferramentas utilizadas garantem sua integridade, se as ferramentas (que exigem
certificação) e massames estão com a certificação válida, se estão dimensionadas de
acordo com a demanda (para evitar soluções de engenharia alternativas), se estão
calibradas e com plano de inspeção válido e se os checklists específicos para as
ferramentas (mais complexas) utilizadas são atendidos.
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a necessidade de recursos críticos leve à ocorrência do Evento Topo, verificando se
existem critérios claramente definidos para identificação de equipamentos críticos, se
existe lista de equipamentos críticos, se os equipamentos e sistemas críticos estão com
seus planos de manutenção (corretiva ou preventiva, o que for aplicável) atualizado, se
as premissas do plano de manutenção e inspeção estão sendo atendidas, se todas as
rotinas de manutenção preventiva são executadas com a periodicidade adequada, se
são registradas e se estão em conformidade com a documentação técnica aplicável.
Além disso, se a sistemática de monitoramento e rastreabilidade dos componentes
instalados garante sua integridade, se a passagem de serviço está sistematizada e é
documentada e se o suporte do fabricante é eficiente.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Recursos planejados e dimensionados
10 6 60%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
TOTAL 10 6 60%
SUB/SSUB/PRO 37
da sala e em um quarto funcionário que fazia trabalho de soldagem próximo à entrada da
mesma.
Associadas aos fatores causais, foram identificadas como causas do incidente: (i)a falha
na Análise de Risco; (ii)falha em Gestão de Mudança; (iii)procedimento operacional
incompleto; (iv)falta de Permissão de Trabalho para o serviço; (v)ausência de procedimento
de inspeção de equipamentos; (vi)falta de controle em serviços contratados; (vii)falha no
controle de registros de operação das caldeiras; (viii), treinamento insuficiente; (ix)baixa
percepção do risco;e (x) a falta de investigação para funcionamento anormal das PSVs.
O grupo reforçou a necessidade de manter esta ameaça conforme o estudo original (RL-
3000.00-0000-000-P9A-001), entretanto, os nomes das barreiras existentes foram
alterados.
Projeto: é uma barreira preventiva que pretende evitar que a degradação natural dos
sistemas pressurizados leve à ocorrência do Evento Topo, verificando se o existe
sistemática para controle de revisões e versões da documentação de projeto, para
gerenciamento de informações críticas do projeto e para retroalimentação das
Especificações Técnicas a partir do aprendizado das operações, além disso, verifica se
a fabricação dos equipamentos tem um acompanhamento ou fiscalização também
baseado em uma sistemática.
SUB/SSUB/PRO 38
Recursos planejados e dimensionados de acordo com a demanda: é uma barreira
preventiva que pretende evitar que a degradação natural dos sistemas pressurizados
leve à ocorrência do Evento Topo, verificando se. é uma barreira preventiva que
pretende evitar que a degradação dos materiais/ acessórios de movimentação de carga
leve à ocorrência do Evento Topo, verificando se a sistemática de monitoramento e
rastreabilidade das ferramentas utilizadas garantem sua integridade, se as ferramentas
(que exigem certificação) e massames estão com a certificação válida, se estão
dimensionadas de acordo com a demanda (para evitar soluções de engenharia
alternativas), se estão calibradas e com plano de inspeção válido e se os checklists
específicos para as ferramentas (mais complexas) utilizadas são atendidos.
Gestão de integridade de ativos: é uma barreira preventiva que pretende evitar que
a degradação natural dossistemas pressurizados leve à ocorrência do Evento Topo,
verificando se existem critérios claramente definidos para identificação de
equipamentos críticos, se existe lista de equipamentos críticos, se os equipamentos e
sistemas críticos estão com seus planos de manutenção (corretiva ou preventiva, o que
for aplicável) atualizado, se as premissas do plano de manutenção e inspeção estão
sendo atendidas, se todas as rotinas de manutenção preventiva são executadas com a
periodicidade adequada, se são registradas e se estão em conformidade com a
documentação técnica aplicável. Além disso, se a sistemática de monitoramento e
rastreabilidade dos componentes instalados garante sua integridade, se a passagem de
serviço está sistematizada e é documentada e se o suporte do fabricante é eficiente
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Projeto 4 4 100%
Operação dentro do envelope
8 4 50%
operacional
Recursos planejados e dimensionados
10 6 60%
de acordo com a demanda
Gestão de integridade de ativos 24 12 50%
Dispositivo de segurança 3 3 100%
TOTAL 25 16 64%
SUB/SSUB/PRO 39
imediatamente foi dada a partida no terceiro propulsor de proa, selecionado para DP e
compartilhando os esforços com sucesso. O aumento da força de barlavento na embarcação
devido à alta velocidade do vento agindo sobre ela conforme mudava de direção, fez com
que todos os três propulsores de proa disparassem em velocidade excessiva sem DP ou
alarmes do sistema de controle dos propulsores! Uma investigação mais aprofundada
revelou que as configurações de velocidade excessiva estavam muito apertadas e tiveram
que ser aumentadas para atender as recomendações do fabricante.
O Comitê de DP marítimo da IMCA no evento acima, em seu relatório, informou que não
ficou claro por que o propulsor de proa adicional não foi colocado online antes da mudança
de rumo; Além disso, uma simulação da alteração do rumo e/ou capacidade da
embarcação, deveria ter sido considerada para garantir que a mudança de rumo poderia
ter sido realizada dentro da capacidade de DP da embarcação; A viagem de sobrevelocidade
de todos os propulsores durante as operações DP mostra falha no comissionamento inicial
e no teste de potência total durante a tria de prova FMEA.
Por fim, este incidente destaca ainda a importância dos ajustes de proteção dos
equipamentos no que diz respeito ao conceito de redundância de DP, além da segurança
dos equipamentos. As FMEAs de DP exigem considerar os efeitos do sistema de proteção do
equipamento no conceito mais amplo de redundância de DP. Guia de orientação sobre
análise de efeitos e modos de falha (FMEA) (IMCA M 166).
SUB/SSUB/PRO 40
(ASOG) conforme estabelecido pela International Marine Contractors Association (IMCA)
M220. Uma vez que a embarcação possua o ASOG, verificar se os limites operacionais
são conhecidos e definidos neste documento, e se eles garantem a redundância da
embarcação após a ocorrência do pior caso de falha (WCF: Worst Case of Failure) obtido
no estudo de FMEA. Esta barreira também verifica se as pessoas chave da tripulação
tem total conhecimento e treinamento no ASOG da embarcação. Há uma preocupação
de que o processo de tomada de decisão relativo à continuidade operacional com
segurança não seja influenciado por questões comerciais e seja fundamentado nos
limites operacionais do ASOG da embarcação, além disso, é fundamental que o fluxo de
comunicação para a tomada de decisão envolva a ponte e a operação para que seja
eficaz. Para subsidiar o processo de tomada de decisão baseada em risco, é importante
garantir que todas as partes envolvidas (ponte, máquina e operação) participem das
análises de risco, e que para os cenários de emergência da operação e da embarcação,
seja realizado um briefing pré-operacional com a participação da ponte, da operação e
de máquinas alinhando, inclusive, os papéis e responsabilidades de cada um para os
cenários levantados. Para as operações simultâneas (SIMOPS) é verificado se existe
sistemática para realização de kickoff meeting, quando da ocorrência de SIMOPS, com
base nas diretrizes do IMCA M203.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Operação condicionada a limites
12 9 75%
operacionais
Configuração redundante 14 11 78,5%
TOTAL 26 20 77%
SUB/SSUB/PRO 41
4.12 Mudança de parâmetros operacionais
O desvio falhou enquanto a usina estava sendo reiniciada, após reparos independentes,
no dia 10 de junho de 1974, liberando cerca de 30.000 quilos de material de processo
aquecido, composto principalmente de ciclohexano. A nuvem de vapor resultante explodiu,
gerando uma liberação de energia equivalente a 15 toneladas de TNT, aproximadamente.
A explosão destruiu completamente a planta e danificou casas e empresas próximas,
matando 28 funcionários, e ferindo 89 funcionários e vizinhos.
A modificação temporária foi construída por pessoas que não sabiam como projetar
grandes tubos equipados com junta de expansão – o trabalho do projeto para a mudança
foi tradado mais como acessório para tudo do que tubo de grande diâmetro, projeto do
sistema de tubulação de alta pressão. Como foi dito no relatório oficial: “...Eles não sabiam
que eles não sabiam”. Um sistema eficaz de MOC teria descoberto a falha do projeto antes
que a mudança fosse implementada, evitando assim o desastre.
O objetivo das barreiras é garantir que as mudanças nos parâmetros operacionais, seja
por alterações nas características dos fluidos de processo, ou parâmetros de pressão e
temperatura ou ainda, alterações de vazão e até mesmo by-pass de equipamentos ou
sistemas não levem à condição insegura de dutos e equipamentos submarinos.
SUB/SSUB/PRO 42
4.12.1 Barreiras Preventivas
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Avaliação contínua do envelope do
5 2 40%
projeto
Sistemática de gestão de mudanças 12 2 17%
Retroalimentação do projeto 3 1 33%
TOTAL 8 3 37,5%
7
https://www.scielo.br/pdf/prod/v20n1/aop_200701003.pdf
SUB/SSUB/PRO 43
processos administrativos, judiciais ou extrajudiciais estão sujeitos a falhas de projeto e
condução das etapas requeridas com a possibilidade de incorreções que penalizam o
exercício pleno do propósito do processo.
O objetivo das barreiras é garantir que modos de falha não previstos levem à condição
insegura de dutos e equipamentos submarinos.
O grupo entendeu que a ameaça deveria permanecer com o mesmo nome (RL-3000.00-
0000-000-P9A-001) bem como a barreira “suporte do fabricante”. As outras barreiras
tiveram seus nomes ajustados neste estudo.
Identificação dos cenários críticos: é uma barreira preventiva que pretende evitar
que um modo de falha não previsto leve à ocorrência do Evento Topo, verificando se
existem estudos de modo de falha (FMEA, FMECA) para identificação de cenários
críticos, se existe análise RAM associada ao processo (identificação de Bad Actors), se
São utilizados banco de dados internacionais como insumos de estudos de confiabilidade
e se as características do reservatório requerem tecnologias inovadoras.
Qualificação: é uma barreira preventiva que pretende evitar que um modo de falha
não previsto leve à ocorrência do Evento Topo, verificando se Foi realizado pelo
fornecedor mapeamento dos modos de falha contemplando as características do projeto
em cenários não previstos (contingèncias, margem de segurança), é exigido dos
SUB/SSUB/PRO 44
fornecedores sob contrato um programa de garantia da qualidade, se o programa de
qualificação de equipamentos atende aos requisitos internacionais e ao mapeamento
de modo de falha identificados pelo fornecedor, se foi realizado pelo fornecedor
mapeamento dos modos de falha contemplando as características do projeto em
cenários não previstos (contingèncias, margem de segurança), se é exigido dos
fornecedores sob contrato um programa de garantia da qualidade?
Suporte do fabricante: é uma barreira preventiva que pretende evitar que um modo
de falha não previsto leve à ocorrência do Evento Topo, verificando se O fornecedor
está capacitado para fornecer suporte para solucionar possíveis problemas previstos
no projeto, O fornecedor demonstra estar capacitado para fornecer suporte para
solucionar possíveis problemas não previstos no projeto (histórico, equipe), O
fornecedor está preparado para atender à demanda de sobressalentes no prazo
necessário, Existe sistemática para retroalimentação no processo de contratação a
partir de feedback da área operacional.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Identificação dos cenários críticos 6 4 67%
Estratégia de uso de tecnologias mais
5 5 100%
seguras
Qualificação 3 3 100%
Suporte do fabricante 4 4 100%
TOTAL 18 16 89%
CONFIABILIDADE HUMANA
Requisito Criticidade
O nível de exposição humana desta atividade está dentro do
SIM
estabelecido como ALARP?
Existem projetos/programas para redução da exposição humana? NÃO
A operação é realizada de maneira remota/automatizada? NÃO
Existem requisitos específicos para a avaliação dos programas de
NÃO
modernização de processos e equipamentos?
Existe rotina de elaboração, revisão, aprovação e gestão de
recomendações e boas práticas oriundas de estudos de riscos, NÃO
acidentes, auditorias, inspeções com foco na atuação humana?
As boas práticas e recomendações dos estudos de risco são
NÃO
retroalimentadas nos processos?
RECURSOS HUMANOS EM QUANTIDADE SUFICIENTE
SUB/SSUB/PRO 45
Requisito Criticidade
O dimensionamento dos recursos humanos para as diferentes tarefas
SIM
é adequado e está atualizado?
Os recursos humanos disponíveis correspondem ao dimensionamento
SIM
atualizado?
O planejamento de atividades críticas garante que um mesmo
SIM
supervisor não acompanhe atividades concomitantes?
O supervisor conduz as atividades sem necessidade de atuar
SIM
concomitantemente como executor?
É realizada interrupção (mesmo que temporária) das atividades
SIM
críticas caso não haja contingente mínimo para a sua realização?
APTIDÃO FÍSICA E PSICOLÓGICA
Requisito Criticidade
Existem requisitos legais e contratuais específicos sobre saúde
SIM
(aptidoes psico-fisiologicas específicas) estabelecidos?
O controle de uso de álcool e substâncias psicoativas ocorre por
SIM
meio de um programa eficaz?
Existe abertura/suporte para pessoas exercerem "na dúvida, pare"
quando não estiverem fisica ou psicologicamente bem para excutar SIM
suas atividades?
As pessoas conhecem os parâmetros e condições de saúde para
SIM
realização das atividades?
Foram implementadas as recomendações oriundas de acidentes e
NÃO
auditorias?
Há programas para suportar/auxiliar o trabalhador no atendimento
NÃO
aos requisitos de saúde?
COMPETÊNCIAS ASSEGURADAS
Requisito Criticidade
As atividades críticas estão mapeadas? SIM
A sistemática da empresa contratada impede que serviços sejam
SIM
executados em desconformidade com a matriz de competência?
As atividades críticas são executadas por pessoas em conformidade
NÃO
com a matriz de competências aplicável?
As competências das funções críticas são asseguradas por meio de
requisitos contratuais (Petrobras e contratada) ou, no caso de NÃO
empregados próprios, por meio de treinamentos?
FRASEOLOGIA PADRONIZADA
Requisito Criticidade
A fraseologia padronizada para comunicação por rádio é conhecida? SIM
O idioma falado a bordo é compreendido por todos? SIM
A fraseologia padronizada é usada para comunicação por rádio? NÃO
O contrato prevê utilização de idioma específico a bordo? NÃO
É previsto no contrato a presença de tradutor a bordo? NÃO
ATIVIDADES CRÍTICAS CONCLUÍDAS EM CUMPRIMENTO AOS CHECKLISTS OU
PROCEDIMENTOS
Requisito Criticidade
SUB/SSUB/PRO 46
A versão atualizada dos padrões está prontamente disponível para os
SIM
usuários?
É realizada verificação (checagem) de execução de etapas críticas
SIM
de procedimentos - double check?
As atividades críticas estão mapeadas? NÃO
A sistemática de identificação de atividades críticas está adequada? NÃO
Existe sistemática de VCP? NÃO
Os resultados de VCP são usados como gatilho para revisão de
NÃO
padrões e reciclagem de treinamentos?
Há sistemática para repósitorio e controle de revisões/versões de
NÃO
procedimentos operacionais ou checklists?
O controle de versões é eficaz? NÃO
CLIMA ORGANIZACIONAL
Requisito Criticidade
As pessoas se sentem incentivadas a comunicar quaisquer
SIM
preocupações referentes ao controle dos riscos?
É realizado feedback do tratamento de desvios e relatos? SIM
A empresa realiza pesquisa de clima organizacional de forma
NÃO
sistemática?
A empresa possui canal para registros de relatos de segurança pelos
NÃO
empregados?
O canal é utilizado? NÃO
A empresa trata os desvios? NÃO
OPERAÇÕES MONITORADAS
Requisito Criticidade
Há requisitos de monitoramento das operações? SIM
Requisitos de monitoramento não atendidos implicam restrições nas
SIM
respectivas operações?
São realizadas auditorias remotas? NÃO
Desvios identificados são tratados? NÃO
Existe sistemática de armazenamento e gerenciamento de registros
NÃO
em vídeo?
APRENDIZADO ORGANIZACIONAL
A abrangência de resultados de auditorias internas e externas têm
SIM
sido realizada de forma eficaz?
Falhas em elementos críticos e incidentes de alto potencial são
SIM
divulgados imediatamente?
Há sistemática de abrangência de lições aprendidas com
NÃO
investigações de anomalias próprias e de terceiros?
Há sistemática de internalização do aprendizado com anomalias nos
NÃO
processos e padrões que governam as operações?
As lições aprendidas identificadas em reuniões pós operacionais são
NÃO
retroalimentadas nos processos?
As boas práticas e recomendações são retroalimentadas nos
NÃO
processos?
SUB/SSUB/PRO 47
Tabela 25 – Lista de verificação com criticidade para Ameaça “Necessidade de operação
com empresas contratadas”.
CADASTRO DE FORNECEDORES
Requisito Criticidade
Existem critérios formais (técnicos, econômicos, legal, etc) de
SIM
qualificação para inclusão de empresas nas famílias de fornecedores?
As licitações são restritas a fornecedores pré qualificados? SIM
A qualificação técnica de empresa para prestação de serviços
críticos para a segurança está condicionada ao atendimento a SIM
critérios técnicos pré estabelecidos?
A responsabilidade pela elaboração dos requisitos para qualificação
técnica de fornecedores está formalizada na figura de uma SIM
Autoridade Técnica?
Há outros fornecedores do serviço/software no mercado? SIM
Existe contrato de suporte pós venda? SIM
Em caso de sinistro, está clara para todas as partes o
SIM
reestabelecimento do dano?
A elaboração dos requisitos para qualificação técnica de
fornecedores é definida exclusivamente pela Autoridade Técnica SIM
formalizada pela SUB?
QUALIFICAÇÃO DE FORNECEDORES
Requisito Criticidade
É exigido dos fornecedores sob contrato um programa de garantia da
SIM
qualidade que abranja os seus próprios fornecedores?
O atendimento aos requisitos para qualificação técnica de
SIM
fornecedores é verificado durante a etapa de qualificação?
CONTRATAÇÃO
Requisito Criticidade
Existem critérios corporativos para desclassificação de fornecedores
que apresentem propostas com preços manifestamente SIM
inexequíveis ?
A Autoridade Técnica designada para as atividades da SUB define os
SIM
requisitos técnicos-legais das familias de fornecedores?
O demandante do contrato especificou na ET a necessidade de
demonstração de capacidade técnica referente à execução dos SIM
serviços críticos para a segurança nas atividades da SUB?
É exigido dos fornecedores sob contrato um programa de garantia da
SIM
qualidade que abranja os seus próprios fornecedores?
As especificações técnicas para contratação de serviços são
SIM
aprovadas pela Autoridade Técnica da SUB?
As sanções contratuais têm agilidade e valores necessários para
SIM
impor a correção tempestiva dos desvios contratuais?
Há outros fornecedores do serviço/software no mercado? SIM
Existe contrato de suporte pós venda? SIM
Em caso de sinistro, está clara para todas as partes o
SIM
reestabelecimento do dano?
SUB/SSUB/PRO 48
O contrato respalda o gerente para aplicação tempestiva de
SIM
consequências (sanções)?
Os itens da planilha de custos unitários (PPU) refletem diretamente
SIM
todos os atributos críticos para a SUB?
Há critérios para impedir a contratação de fornecedores com
SIM
resultados ruins de BAD/IDF (ou outra ferramenta similar)?
GESTÃO DA CONTRATADA
Requisito Criticidade
A autorização para início de serviços está condicionada ao
SIM
atendimento pleno do contrato?
O processo de fiscalização prevê atuação proativa na identificação e
SIM
comunicação de itens não conformes?
O gerente de contrato aplica as sanções previstas nos casos de não
SIM
atendimento aos requisitos contratuais?
Existe sistemática de avaliação dos serviços realizados por
SIM
fornecedores?
Existem mecanismos e práticas sistematizados na SUB para
SIM
verificação do atendimento a requisitos contratuais e legais?
PROJETO
Requisito Criticidade
Está sistematizado o controle de revisões e versões de documentos? SIM
Existe sistemática de retroalimetação das ETs? SIM
Existe sistemática de gerenciamento de informações críticas para o
SIM
projeto?
Existe sistemática de fiscalização durante a fabricação de
SIM
equipamentos?
OPERAÇÃO DENTRO DO ENVELOPE OPERACIONAL
Requisito Criticidade
É realizada a Gestão de Mudanças para alterações em parâmetros
operacioais que afetem sistemas submarinos (linhas, equipamentos),
SIM
UEP e embarcações de apoio operando nas proximidades? Ex.:
aumento de temperatura e pressão
Existe sitemática de registro/histórico de produtos injetados nas
SIM
linhas via árvore de natal?
Os envelopes operacionais são conhecidos pela UN? SIM
O sistema de controle tem proteção para atendimento aos limites?
SIM
(HAZOP é um documento a ser consultado)
Existe protocolo sistematizado pela área operacional para
NÃO
comunicação de desvios no envelope operacional?
Os estudos de risco contemplam todos os cenários conhecidos? NÃO
Existe sistemática de gerenciamento de informações críticas para o
NÃO
projeto?
A sistemática de gestão de mudança estruturada é de conhecimento
NÃO
de todos?
SUB/SSUB/PRO 49
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDO COM A DEMANDA
Recurso Criticidade
As ferramentas utilizadas são dimensionadas de acordo com a
SIM
demanda?
A sistemática de monitoramento e rastreabilidade das ferramentas
SIM
utilizadas garante sua integridade?
As ferramentas utilizadas estão calibradas e com plano de inspeção
SIM
válido?
Os checklists específicos para as ferramentas (mais complexas)
SIM
utilizadas são atendidos?
Os contratos vigentes preveem atendimento aos serviços críticos? SIM
As ferramentas (que exigem certificação) e massames estão com a
SIM
certificação válida?
Todas as rotinas de manutenção são executadas, registradas e
SIM
estruturadas em banco de dados/sistema informatizado?
Existe política de sobressalentes? NÃO
É realizado o cumprimento das premissas do plano de
NÃO
manutenção/inspeção?
Os critérios de priorização de manutenção estão definidos? NÃO
Existem contratos vigentes para atendimento ao serviço? NÃO
GESTÃO DA INTEGRIDADE DE ATIVOS
Requisito Criticidade
Existem critérios claramente definidos para identificação de
SIM
equipamentos críticos?
Existe lista de equipamentos críticos? SIM
Os equipamentos e sistemas críticos objeto de rotina de manutenção
SIM
preventiva estão com seu plano atualizado?
Todas as rotinas de manutenção preventiva são executadas com a
SIM
periodicidade adequada e são registradas?
Os equipamentos e sistemas críticos objeto de rotina de manutenção
SIM
corretiva estão com seu plano atualizado?
O Programa de Manutenção Preventiva está em conformidade com a
SIM
documentação técnica aplicável?
São realizadas manutenções preditivas dos sistemas críticos? SIM
As premissas do plano de manutenção/inspeção estão sendo
SIM
atendidas?
Os procedimentos de manutenção são cumpridos conforme manuais
SIM
e documentação técnica do equipamento?
A sistemática de monitoramento e rastreabilidade dos componentes
SIM
instalados garante sua integridade?
A passagem de serviço está sistematizada e é documentada? SIM
O suporte do fabricante é eficiente? SIM
Existe sistemática de atualização de requisitos técnicos? NÃO
Todas as rotinas e procedimentos de manutenção estão
NÃO
contemplados num Programa de Manutenção?
SUB/SSUB/PRO 50
O dimensionamento dos recursos está adequado para atendimento
NÃO
aos planos de manutenção e de inspeção?
Existem recursos disponíveis para atendimento aos planos de
NÃO
manutenção e de inspeção?
O desempenho do processo de manutenção é eficazmente
NÃO
monitorado?
O processo de inspeção é eficazmente monitorado? NÃO
Os desvios identificados em relação à manutenção são eficazmente
NÃO
tratados?
São realizados testes de performance de válvulas visando a
NÃO
identificação de falhas ocultas?
São realizados estudos de riscos para gestão de integridade de ativos
NÃO
(FMECA, FMEA, RBI)?
São elaborados estudos específicos de confiabilidade? NÃO
A sistemática de reporte de desvios é eficaz? NÃO
São utilizados indicadores de confiabilidade reconhecidos
NÃO
internacionalmente nos estudos de riscos em confiabilidade?
A passagem de serviço é eficaz? NÃO
REUNIÕES PRÉ-OPERACIONAIS
Recurso Criticidade
Todas as partes envolvidas no processo participam das reuniões pré-
SIM
operacionais?
As interfaces são tratadas nas reuniões pré operacionais? SIM
Os pontos críticos da operação são contemplados na reunião? SIM
Os registros da reunião (atas) atendem aos critérios pré
SIM
estabelecidos (check lists, procedimentos)?
SUB/SSUB/PRO 51
Os registros da reunião são divulgados para todas as partes
SIM
envolvidas?
A reunião pré-operacional possui procedimento padrão? NÃO
O escopo da operação é de conhecimento de todos? NÃO
INSUMOS/ RECURSOS EM CONFORMIDADE ANTES E DURANTE AS OPERAÇÕES
Recurso Criticidade
Os requisitos impeditivos para início da operação estão definidos? SIM
Os requisitos impeditivos para o início da operação foram sanados? SIM
São realizados registros de ocorrências e mudanças durante as
SIM
operações?
As mudanças de escopo ocorridas antes e durante a operação são
SIM
geridas?
REUNIÕES PÓS OPERACIONAIS COM FOCO EM LIÇOES APRENDIDAS
Recurso Criticidade
São realizados registros de ocorrências durante a operação? SIM
Existe sistemática de registros de ocorrências durante as operações? SIM
Os registros da reunião são divulgados para todas as partes
SIM
envolvidas?
As boas práticas e recomendações são retroalimentadas nos
SIM
processos?
As reuniões pós operacionais abordam as lições aprendidas nas
NÃO
operações?
Os registros da reunião (atas) atendem aos critérios pré
NÃO
estabelecidos (check lists)?
GESTÃO DA INFORMAÇÃO
Requisito Criticidade
Está sistematizado o gerenciamento de informações críticas para o
SIM
projeto?
Está sistemátizado o gerenciamento de informações críticas para a
SIM
operação?
As ações das GMs (Gestão de Mudança) 'em andamento' são de
SIM
conhecimento de todas as partes interessadas?
Há mudanças com tratamento fora do prazo? SIM
O fluxo de informações entre todas as partes interessadas envolvidas
nas operações, no que se refere à identificação de anomalias, está SIM
bem estabelecido e funcionando adequadamente?
A sistemática de controle de revisões e versões de documentos
impede que uma versão desatualizada seja utilizada SIM
equivocadamente em uma atividade/ operação?
A sistemática de gestão de mudanças está sendo aplicada de forma
NÃO
eficaz?
O processo de identificação de anomalias é eficaz? NÃO
SUB/SSUB/PRO 52
O tratamento das anomalias ocorre no tempo previsto? NÃO
Existe base documentada de equipamentos antigos? NÃO
PADRONIZAÇÃO DA INFORMAÇÃO
Recurso Criticidade
A sistemática de padronização de procedimentos está implementada
SIM
de forma eficaz?
As recomendações de GTs são incorporadas aos processos? NÃO
PROJETO
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
OPERAÇÃO DENTRO DO ENVELOPE OPERACIONAL
Requisitos Criticidade
É realizada a Gestão de Mudanças para alterações em parâmetros
operacionais que afetem sistemas submarinos (linhas,
NÃO
equipamentos), UEP e embarcações de apoio operando nas
proximidades? Ex.: aumento de temperatura e pressão
Existe sistemática de registro/histórico de produtos injetados nas
NÃO
linhas via árvore de natal?
Os envelopes operacionais são conhecidos pelos envolvidos na
SIM
operação?
O sistema de controle tem proteção para atendimento aos limites?
(HAZOP é um documento a ser consultado ou outras análises de risco SIM
pertinentes)
Existe protocolo sistematizado pela área operacional para
NÃO
comunicação de desvios no envelope operacional?
Os estudos de risco contemplam todos os cenários conhecidos? NÃO
Existe sistemática de gerenciamento de informações críticas para o
NÃO
projeto?
A sistemática de gestão de mudança estruturada é de conhecimento
NÃO
de todos?
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDO COM A DEMANDA
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
GESTÃO DA INTEGRIDADE DE ATIVOS
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
SUB/SSUB/PRO 53
PROJETO
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
PARÂMETROS OPERACIONAIS CONFORME ESTABELECIDO PELO FORNECEDOR
Requisito Criticidade
A passagem de serviço está sistematizada e é documentada? SIM
É realizado monitoramento online dos sistemas críticos pelo
SIM
fabricante ou centros especializados?
São realizadas análises preditivas dos sistemas críticos (análise de
SIM
óleo e vibração)?
O fluxo para reporte e registro de não conformidades de parâmetros
operacionais está claramente definido no Padrão de gestão de SIM
manutenção da empresa?
Os parâmetros operacionais são definidos de forma independente da
SIM
operação?
Os envelopes operacionais (limites do equipamento) são conhecidos
SIM
pelos envolvidos na operação?
São realizados testes periódicos de todos os equipamentos críticos
contemplando a avaliação de performance e a aferição dos SIM
parâmetros lidos/registrados.
O sistema de monitoramento dos parâmetros operacionais dos
NÃO
sistemas críticos está alinhado com as especificações técnicas?
O fluxo para reporte e registro de não conformidades de alarmes
está claramente definido no Padrão de gestão de manutenção da NÃO
empresa?
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDO COM A DEMANDA
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
GESTÃO DA INTEGRIDADE DE ATIVOS
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos
submarinos”
SUB/SSUB/PRO 54
Recurso Criticidade
Ver Ameaça “Falibilidade Humana”
PROJETO
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos submarinos
OPERAÇÃO DENTRO DO ENVELOPE OPERACIONAL
Recurso Criticidade
Ver Ameaça “Degradação de equipamentos e dutos submarinos
RECURSOS PLANEJADOS E DIMENSIONADOS DE ACORDOO COM A DEMANDA
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos submarinos
GESTÃO DE INTEGRIDADE DE ATIVOS
Requisito Criticidade
Ver Ameaça “Degradação de equipamentos e dutos submarinos
DISPOSITIVO DE SEGURANÇA
Requisito Criticidade
O dispositivo para prevenção de chicoteamento está operacional? SIM
Os dispositivos adicionais ao sistema anti flash (anti-chama) está
SIM
operacional?
Os dispositivos visuais e auditivos (alarmes) estão operacionais? SIM
SUB/SSUB/PRO 55
A embarcação possui ASOG de acordo com o estabelecido no IMCA
SIM
M220?
Os limites operacionais estaelecidos nos ASOG garantem a
redundância da embarcação após a ocorrência do WCF definido no SIM
FMEA?
A tripulação (pessoas chave) foi treinada e tem total conhecimento
SIM
do ASOG?
Os aspectos que influenciam as decisões relacionadas à continuidade
da operação com segurança são tomadas de forma idependente de
SIM
questões comerciais e com base nos limites operacionais inseridos no
ASOG?
Os limites operacionais são conhecidos pelos envolvidos na
SIM
operação?
O fluxo para tomada de decisão baseada em risco (status
azul/amarela no ASOG) envolve a comunicação entre a ponte e a SIM
operação?
É realizado briefing pré operacional com participação da ponte, da
operação e de máquinas contemplando os possíveis cenários de
SIM
emergência da operação e da embarcação e alinhamento de papéis e
responsabilidades?
Existe sistemática para realização de kickoff meeting quando da
SIM
ocorrência de SIMOPS, com base nas diretrizes do IMCA M203?
Todas as partes envolvidas (ponte, máquinas e operação) participam
SIM
das análises de riscos?
A programação das operações (duração) está adequada às janelas de
previsão meteorológica, de forma a reduzir a vulnerabilidade de NÃO
segurança e interrupção da operação?
A programação define os recursos navais envolvidos nas operações
com base na capacidade de cada uma frente às condições NÃO
meteorológicas previstas?
A empresa possui sistemática de auditoria de verificação do
NÃO
cumprimento ASOG?
CONFIGURAÇÃO REDUNDANTE
Requisito Criticidade
O início das operações está condicionado às janelas de previsão
meteorológica, de forma a reduzir a vulnerabilidade de segurança e SIM
interrupção da operação?
Os sistemas críticos, que exigem configuração redundante, estão
SIM
operacionais?
A embarcação possui CAMO de acordo com o estabelecido no IMCA
SIM
M220?
Os configurações estabelecidas no CAMO garantem a redundância da
SIM
embarcação após a ocorrência do WCF definido no FMEA?
A tripulação foi treinada e tem total conhecimento do CAMO? SIM
Os aspectos que influenciam as decisões relacionadas ao início da
operação com segurança são tomadas de forma idependente de
SIM
questões comerciais e com base nas configurações inseridas no
CAMO?
São previstos testes periódicos no CAMO conforme IMCA M220? SIM
Os testes previstos no CAMO estão cadastrados no software de
SIM
gestão de manutenção da embarcação?
SUB/SSUB/PRO 56
O fluxo para tomada de decisão baseada em risco (status azul no
CAMO) envolve a avaliação entre a embarcação (ponte e máquinas), SIM
suporte onshore do armador, a operação e o cliente?
A embarcação possui check list de DP que atenda às orientações
contempladas no Anexo Contratual Check List Padrão de DP SIM
Petrobras?
A empresa possui sistemática de controle de registros de
SIM
cumprimento do check list?
O CAMO indica claramente a nomenclatura e a posição dos
disjuntores (breakers)e válvulas de acordo com o estabelecido na NÃO
FMEA?
A empresa possui sistemática de auditoria de verificação do
NÃO
cumprimento do checklist do CAMO?
A empresa possui sistemática de auditoria de verificação do
NÃO
cumprimento do checklist de DP?
SUB/SSUB/PRO 57
A sistemática de retroalimetação das ETs geradas pela Petrobras é
NÃO
eficaz?
A gestão de alterações e revisões está sendo aplicada conforme
NÃO
procedimento da empresa?
A sistemática de gerenciamento de informações críticas para o
NÃO
projeto?
Está sistematizado o controle de revisões e versões de documentos? NÃO
RETROALIMENTAÇÃO DO PROJETO
Requisito Criticidade
A sistemática de retroalimentação de projetos está implementada
SIM
de forma eficaz?
A sistemática de retroalimentação de projetos está sendo aplicada
NÃO
conforme procedimento da empresa?
A sistemática de retroalimentação de projetos é de conhecimento
NÃO
de todos?
Tabela 36 – Lista de verificação com criticidade para Ameaça “Modo de falha não
previsto”.
SUB/SSUB/PRO 58
É exigido dos fornecedores sob contrato um programa de garantia da
SIM
qualidade?
O programa de qualificação de equipamentos atende aos requisitos
internacionais e ao mapeamento de modo de falha identificados SIM
pelo fornecedor?
SUPORTE DO FABRICANTE
Recurso Criticidade
O fornecedor está capacitado para fornecer suporte para solucionar
SIM
possíveis problemas previstos no projeto?
O fornecedor demonstra estar capacitado para fornecer suporte para
solucionar possíveis problemas não previstos no projeto (histórico, SIM
equipe)?
O fornecedor está preparado para atender à demanda de
SIM
sobressalentes no prazo necessário?
Existe sistemática para retroalimentação no processo de contratação
SIM
a partir de feedback da área operacional?
SUB/SSUB/PRO 59
5. Consequências identificadas e respectivos controles de mitigação
5.1 Consequências
No presente trabalho foram identificadas seis consequências que poderiam ser geradas
a partir de cinco Eventos Topo citados anteriormente, as quais foram nomeadas de forma
resumida conforme citado abaixo:
Fatalidades;
Vazamento de hidrocarboneto ou fluido perigoso para o mar;
Incêndio;
Explosão;
Danos a equipamentos;
Danos a sistemas submarinos instalados.
5.2 Fatalidades
Por volta de 8 horas, em 16 de abril de 1947, um incêndio foi detectado num porão de
carga a bordo do cargueiro Grandcamp enquanto ele estava atracado próximo a Texas City,
Texas, carregando fertilizante de nitrato de amônio. No momento em que o incêndio
começou, o navio tinha sido carregado com 1.400 toneladas de nitrato de amônio (em
sacos) em um porão, e 800 toneladas do mesmo material em outro porão. Durante a hora
seguinte, o comandante do navio decidiu não usar água para extinguir o fogo, temendo que
alguma carga fosse perdida. Em vez disso, o capitão ordenou aos marinheiros que
fechassem o porão e usassem vapor de alta pressão para deslocar o oxigênio. Infelizmente,
uma vez havendo o fogo, o nitrato de amônio revestido com parafina não precisa de
oxigênio para queimar. Ainda pior, o calor do vapor aumentou a taxa de combustão. O
navio explodiu às 9:12h, matando 468 pessoas, o que, em termos de mortes, é o pior
acidente industrial que já ocorreu nos EUA. A explosão a bordo do Grandcamp causou
também vários outros grandes incêndios e explosões ao longo das 16 horas seguintes,
envolvendo uma fábrica de produtos químicos nas proximidades, terminais petrolíferos
também nas proximidades e, por último, levou a uma grande explosão no início da manhã
de 17 de abril, envolvendo 1.000 toneladas de nitrato de amônio a bordo do cargueiro
Highflyer, que estava atracado numa carreira adjacente ao Grandcamp.
Segundo o autor que estudou a catástrofe de Texas City, “Segurança e preparação para
situações de emergência foram grosseiramente deficientes, considerando-se a enormidade
dos perigos...Sem preparativos, qualquer pessoa teria pouca chance de lidar com os efeitos
de um acidente com rapidez suficiente para evitar que ele se transformasse num desastre”.
Claramente, muitas falhas ocorreram no esforço da resposta à emergência, incluindo: (1)
a decisão de usar vapor para deslocar o oxigênio em vez de água para eliminar o calor; e
(2) a falha para evacuar os espectadores da doca adjacente ao Grandcamp. Na verdade,
SUB/SSUB/PRO 60
centenas de pessoas se reuniram na área das docas entre 8:00h e 9:12h, naquela manhã,
para obter melhor visão da fumaça e das chamas com cores vivas.
Para mitigação dos impactos associados a esta consequência foram elencadas através
do bow tie cinco barreiras, conforme explicitado na Figura 22 e nos itens a seguir.
EPI: é uma barreira de mitigação que pretende evitar que uma vez que o Evento Topo
aconteça o impacto em fatalidades seja evitado ou mitigado, verificando se todas as
funções críticas utilizam os EPI necessários para realização de suas atividades, em
conformidade com o PPRA e os EPI utilizados estão em condições de uso.
Resposta à emergência local: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em fatalidades seja evitado ou
mitigado, verificando se Os recursos e as ações para responder com rapidez a uma
emergência local estão adequadamente formalizados em um plano, a embarcação
dispõe de adequados recursos de primeiros socorros, os responsáveis pelas ações
definidas no plano estão capacitados para executar suas atribuições, são realizados
SUB/SSUB/PRO 61
simulados de emergência, o plano de resposta à emergência local está em conformidade
com requisitos legais e corporativos aplicáveis, a embarcação/sonda dispõe de recursos
adequados para responder a todos os cenários previstos no Plano de resposta à
emergência local, Foram realizados simulados com práticas em cenários reais nos
últimos 12 meses, Deficiências identificadas em respostas a eventos reais ou simulados
são corrigidas tempestivamente.
Resposta à emergência da SUB: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em fatalidades seja evitado ou
mitigado, verificando se Os recursos e as ações para responder com rapidez a uma
emergência da SUB estão adequadamente formalizados em um plano, se os responsáveis
pelas ações definidas no plano estão capacitados para executar suas atribuições, se são
realizados simulados de emergência, se o PRE está em conformidade com requisitos
legais e corporativos aplicáveis, a SUB dispõe de recursos adequados para responder a
todos os cenários previstos no PRE, os recursos estão disponíveis para uso (prontidão de
resposta), foram realizados simulados com base nos cenários contemplados no PRE nos
últimos 12 meses, se as recomendações e oportunidades de melhoria decorrentes das
análises de exercícios práticos são retroalimentadas no processo, se o PRE está
integrado/alinhado com o PEVO.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
EPI 3 2 67%
Operação submarina interrompida 6 5 83%
Resposta à emergência local 11 9 82%
Resposta à emergência da SUB 9 9 100%
Recursos de escape, evacuação e
5 5 100%
abandono
TOTAL 34 30 88%
SUB/SSUB/PRO 62
também aos ecossistemas costeiros caso eventualmente o óleo venha a tocar algum ponto
da costa, conforme ilustrado na Figura 23.
Para mitigação dos impactos associados a esta consequência foram elencados através
do bow tie cinco barreiras, conforme explicitado na Figura 24 e nos itens a seguir.
8
Foto 1: http://ludoquimica.blogspot.com/2011/03/vazamento-de-petroleo-desafia.html
Foto 2: https://www.abrasco.org.br/site/noticias/saude-da-populacao/derramamento-de-petroleo-e-risco-para-saude-da-
populacao/43706/
SUB/SSUB/PRO 63
Interrupção da Operação é uma barreira de mitigação que pretende evitar que uma
vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou fluido
perigoso para o mar seja evitado ou mitigado, verificando se existe protocolo
estabelecido para interrupção da operação ou produção e se o protocolo existente é
cumprido.
Resposta à emergência local: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência local estão adequadamente
formalizados em um plano, a embarcação dispõe de adequados recursos de primeiros
socorros, os responsáveis pelas ações definidas no plano estão capacitados para
executar suas atribuições, são realizados simulados de emergência, o plano de resposta
à emergência local está em conformidade com requisitos legais e corporativos
aplicáveis, a embarcação/sonda dispõe de recursos adequados para responder a todos
os cenários previstos no Plano de resposta à emergência local, Foram realizados
simulados com práticas em cenários reais nos últimos 12 meses, Deficiências
identificadas em respostas a eventos reais ou simulados são corrigidas
tempestivamente.
Resposta à emergência da SUB: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência da SUB estão adequadamente
formalizados em um plano, se os responsáveis pelas ações definidas no plano estão
capacitados para executar suas atribuições, se são realizados simulados de emergência,
se o PRE está em conformidade com requisitos legais e corporativos aplicáveis, a SUB
dispõe de recursos adequados para responder a todos os cenários previstos no PRE, os
recursos estão disponíveis para uso (prontidão de resposta), foram realizados simulados
com base nos cenários contemplados no PRE nos últimos 12 meses, se as recomendações
e oportunidades de melhoria decorrentes das análises de exercícios práticos são
retroalimentadas no processo, se o PRE está integrado/alinhado com o PEVO.
SUB/SSUB/PRO 64
plano estão capacitados para executar suas atribuições, se são realizados simulados de
emergência, se O PEVO está em conformidade com requisitos legais e corporativos
aplicáveis, se são disponibilizados recursos adequados para responder a todos os
cenários previstos no PEVO, se os recursos estão disponíveis para uso (prontidão de
resposta), se foram realizados simulados com base nos cenários contemplados no PEVO
nos últimos 12 meses, se são realizados e registrados exercícios práticos referentes aos
cenários acidentais listados no PEVO, se deficiências identificadas em respostas a
eventos reais ou simulados são corrigidas tempestivamente
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Operação submarina interrompida 6 5 83%
Plano de emergência local 11 9 82%
Plano de emergência da SUB 9 9 100%
Recursos de escape, evacuação e
5 5 100%
abandono
TOTAL 31 28 90%
5.4 Incêndio
Para qualquer acidente de incêndio ou explosão no qual ocorra ignição de uma fonte de
fluido inflamável, um dos pontos de dificuldade para a equipe de investigação é a exata
determinação da fonte desta ignição. Durante a primeira fiscalização realizada após o
SUB/SSUB/PRO 65
incêndio, foram verificadas algumas prováveis fontes de ignição presentes no local. A
análise realizada considerou o trabalho a quente como sendo a fonte mais provável de ter
causado a ignição do líquido vazado, no relatório foram analisados os fatores que
propiciaram a ocorrência de falhas na execução do trabalho que podem ter ocasionado a
fonte de ignição.
Para mitigação dos impactos associados a esta consequência foram elencados através
do bow tie cinco barreiras, conforme explicitado na Figura 26 e nos itens a seguir.
9
https://clickpetroleoegas.com.br/incendio-na-sonda-de-perfuracao-da-constellation-que-estava-prestes-a-iniciar-
contrato-com-a-petrobras/
SUB/SSUB/PRO 66
5.4.1 Barreiras de mitigação
Detecção de fogo e gás: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça o incêndio possa ser evitado ou seus impactos mitigados,
verificando se todos os equipamentos e sistemas críticos para a detecção de fogo e gás
são objeto de rotinas de manutenção preventiva ou corretiva, o que for aplicável, se
todas as rotinas de manutenção preventiva são executadas com a periodicidade
adequada e se são registradas, se todas as rotinas e procedimentos de manutenção
estão contemplados num Programa de Manutenção, se notas de manutenção em atraso
são objeto de avaliação e análise de risco, se é expressamente comunicado ao operador
a proibição de inibição de alarmes e se as recomendações de inspeções da Marinha ou
de Classe relativas ao número de detectores e à área de cobertura estão tratadas.
Controle de ignição: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça os impactos devido à incêndio sejam evitados ou mitigados,
verificando se as superfícies aquecidas em área classificada estão protegidas com
isolamento fire proof, se existe procedimento para realização de trabalhos a quente e
se é emitida PT para realização de trabalhos a quente.
Proteção passiva: é uma barreira de mitigação que pretende evitar que uma vez que
o Evento Topo aconteça os impactos devido à incêndio sejam evitados ou mitigados,
verificando se as proteções passivas são adequadas e se a manutenção da integridade
da proteção passiva é priorizada.
Resposta à emergência local: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência local estão adequadamente
formalizados em um plano, a embarcação dispõe de adequados recursos de primeiros
socorros, os responsáveis pelas ações definidas no plano estão capacitados para
executar suas atribuições, são realizados simulados de emergência, o plano de resposta
à emergência local está em conformidade com requisitos legais e corporativos
aplicáveis, a embarcação/sonda dispõe de recursos adequados para responder a todos
os cenários previstos no Plano de resposta à emergência local, Foram realizados
simulados com práticas em cenários reais nos últimos 12 meses, Deficiências
identificadas em respostas a eventos reais ou simulados são corrigidas
tempestivamente.
SUB/SSUB/PRO 67
Resposta à emergência da SUB: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência da SUB estão adequadamente
formalizados em um plano, se os responsáveis pelas ações definidas no plano estão
capacitados para executar suas atribuições, se são realizados simulados de emergência,
se o PRE está em conformidade com requisitos legais e corporativos aplicáveis, a SUB
dispõe de recursos adequados para responder a todos os cenários previstos no PRE, os
recursos estão disponíveis para uso (prontidão de resposta), foram realizados simulados
com base nos cenários contemplados no PRE nos últimos 12 meses, se as recomendações
e oportunidades de melhoria decorrentes das análises de exercícios práticos são
retroalimentadas no processo, se o PRE está integrado/alinhado com o PEVO.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Detecção de fogo e gás 9 7 78%
Controle de ignição 4 3 75%
Proteção Passiva 2 2 100%
Plano de emergência local 11 9 82%
Plano de emergência da SUB 9 9 100%
TOTAL 35 30 86%
5.5 Explosão
10
Foto1: https://clickpetroleoegas.com.br/video-navio-petroleiro-aframax-explodiu-com-22-pessoas-abordo-dezenas-
foram-para-o-hospitais-e-outros-ficaram-presos-no-interior-da-unidade/
Foto 2: https://noticias.r7.com/internacional/hong-kong-explosao-de-navio-petroleiro-deixa-morto-e-feridos-08012019
SUB/SSUB/PRO 68
Para mitigação dos impactos associados a esta consequência foram elencados através
do bow tie cinco barreiras, conforme explicitado na Figura 28 e nos itens a seguir.
Detecção de fogo e gás: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se todos os equipamentos e sistemas críticos para a detecção de fogo e gás
são objeto de rotinas de manutenção preventiva ou corretiva, o que for aplicável, se
todas as rotinas de manutenção preventiva são executadas com a periodicidade
adequada e se são registradas, se todas as rotinas e procedimentos de manutenção
estão contemplados num Programa de Manutenção, se notas de manutenção em atraso
são objeto de avaliação e análise de risco, se é expressamente comunicado ao operador
a proibição de inibição de alarmes e se as recomendações de inspeções da Marinha ou
de Classe relativas ao número de detectores e à área de cobertura estão tratadas.
Controle de ignição: é uma barreira de mitigação que pretende evitar que uma vez
que o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se as superfícies aquecidas em área classificada estão protegidas com
isolamento fire proof, se existe procedimento para realização de trabalhos a quente e
se é emitida PT para realização de trabalhos a quente.
SUB/SSUB/PRO 69
Proteção Passiva: é uma barreira de mitigação que pretende evitar que uma vez que
o Evento Topo aconteça a explosão possa ser evitada ou seus impactos mitigados,
verificando se as proteções passivas são adequadas e se a manutenção da integridade
da proteção passiva é priorizada.
Resposta à emergência local: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência local estão adequadamente
formalizados em um plano, a embarcação dispõe de adequados recursos de primeiros
socorros, os responsáveis pelas ações definidas no plano estão capacitados para
executar suas atribuições, são realizados simulados de emergência, o plano de resposta
à emergência local está em conformidade com requisitos legais e corporativos
aplicáveis, a embarcação/sonda dispõe de recursos adequados para responder a todos
os cenários previstos no Plano de resposta à emergência local, Foram realizados
simulados com práticas em cenários reais nos últimos 12 meses, Deficiências
identificadas em respostas a eventos reais ou simulados são corrigidas
tempestivamente.
Resposta à emergência da SUB: é uma barreira de mitigação que pretende evitar que
uma vez que o Evento Topo aconteça o impacto em vazamento de hidrocarboneto ou
fluido perigoso para o mar seja evitado ou mitigado, verificando se os recursos e as
ações para responder com rapidez a uma emergência da SUB estão adequadamente
formalizados em um plano, se os responsáveis pelas ações definidas no plano estão
capacitados para executar suas atribuições, se são realizados simulados de emergência,
se o PRE está em conformidade com requisitos legais e corporativos aplicáveis, a SUB
dispõe de recursos adequados para responder a todos os cenários previstos no PRE, os
recursos estão disponíveis para uso (prontidão de resposta), foram realizados simulados
com base nos cenários contemplados no PRE nos últimos 12 meses, se as recomendações
e oportunidades de melhoria decorrentes das análises de exercícios práticos são
retroalimentadas no processo, se o PRE está integrado/alinhado com o PEVO.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Detecção de fogo e gás 9 7 78%
Controle de ignição 4 3 75%
Proteção Passiva 2 2 100%
Plano de emergência local 11 9 82%
Plano de emergência da SUB 9 9 100%
TOTAL 35 30 86%
SUB/SSUB/PRO 70
5.6 Danos a equipamentos
Para mitigação dos impactos associados a esta consequência foram elencados através
do bow tie duas barreiras, conforme explicitado na Figura 30 e nos itens a seguir.
11
Foto 1: https://clickpetroleoegas.com.br/akofs-brazil-entrega-mais-um-servico-de-instalacao-de-manifold-para-a-
petrobras/
Foto 2: ANÁLISE DA CONEXÃO VERTICAL DIRETA NA INSTALAÇÃO DE LINHAS FLEXÍVEIS E UMBILICAIS, projeto final, Pedro Henrique
Preza da Silveira Costa, agosto 2015
SUB/SSUB/PRO 71
mitigado, verificando se O fluxo de informações estabelecido é capaz de interromper
as atividades por iniciativa interna ou externa, quando necessário, A fase de operação
para atuar na mitigação é segura, A definição de condição segura para parada de
operação está alinhada com o procedimento executivo, As situações ou condições para
interrupção das operações por iniciativa interna ou externa até que seja reestabelecida
a normalidade estão formal e claramente definidas, A divulgação de situações ou
condições para interrupção das operações por iniciativa interna ou externa está
estabelecida adequadamente
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Operação submarina interrompida 6 5 83%
Protocolo de resposta à emergência 3 2 67%
TOTAL 9 7 78%
Para mitigação dos impactos associados a esta consequência foram elencados através
do bow tie duas barreiras, conforme explicitado na Figura 32 e nos itens a seguir.
12
Foto 1: "Top Kill" fracassa, vazamento de petróleo no Golfo continua | Fórum Outer
Foto 2: https://ronaldopires6.wixsite.com/tecnocorr/blank-7
SUB/SSUB/PRO 72
Figura 32 – Consequência “Danos a sistemas submarinos instalados” e respectivas
barreiras de mitigação.
SUB/SSUB/PRO 73
Tabela 42 – Barreiras preventivas, número de requisitos total e requisitos críticos.
Total de Requisitos %
Barreira Preventiva
Requisitos Críticos
Operação submarina interrompida 6 5 83%
Protocolo de resposta à emergência 3 2 67%
TOTAL 9 7 78%
O grupo criou uma lista de verificação, com requisitos para cada barreira e identificou
a criticidade de cada um dos requisitos, conforme tabela 29.
SUB/SSUB/PRO 74
A embarcação/sonda dispõe de recursos adequados para responder a
SIM
todos os cenários previstos no Plano de resposta à emergência local?
Foram realizados simulados com práticas em cenários reais nos
SIM
últimos 12 meses?
Deficiências identificadas em respostas a eventos reais ou simulados
SIM
são corrigidas tempestivamente?
O Plano de resposta à Emergência Local está integrado/alinhado
SIM
com o Plano de Emergência da SUB?
As rotas a serem utilizadas para evacuação de feridos estão
NÃO
definidas no plano?
São realizados e registrados exercícios práticos referentes aos
cenários acidentais listados no Plano de resposta à emergência local NÃO
da embarcação/sonda a cada troca de turma?
RESPOSTA À EMERGÊNCIA DA SUB
Requisito Criticidade
Os recursos e as ações para responder com rapidez a uma
emergência da SUB estão adequadamente formalizados em um SIM
plano?
Os responsáveis pelas ações definidas no plano estão capacitados
SIM
para executar suas atribuições?
São realizados simulados de emergência? SIM
O PRE está em conformidade com requisitos legais e corporativos
SIM
aplicáveis?
A SUB dispõe de recursos adequados para responder a todos os
SIM
cenários previstos no PRE?
Os recursos estão disponíveis para uso (prontidão de resposta)? SIM
Foram realizados simulados com base nos cenários contemplados no
SIM
PRE nos últimos 12 meses?
As recomendações e oportunidades de melhoria decorrentes das
SIM
análises de exercícios práticos são retroalimentadas no processo?
O PRE está integrado/alinhado com o PEVO? SIM
RECURSOS DE ESCAPE, EVACUAÇÃO E ABANDONO
Requisito Criticidade
As rotas a serem utilizadas estão desobstruídas e íntegras? SIM
Foi demonstrada capacidade para arriar o bote de resgate
SIM
guarnecido em até 2 minutos?
A verificação regular de prontidão do arriamento do bote de resgate
SIM
está formalmente estabelecida?
O funcionamento do bote de resgate é verificado, testado e
SIM
aprovado nos treinamentos de troca de turma?
O fluxo de comunicação de emegência para acionamento de recursos
externos contempla as interfaces com a Petrobras e demais partes SIM
envolvidas?
PEVO PLANO DE EMERGÊNCIA PARA VAZAMENTO DE ÓLEO
Requisito Criticidade
Os recursos e as ações para responder com rapidez a uma
emergência na Bacia estão adequadamente formalizados em um SIM
plano?
SUB/SSUB/PRO 75
Os responsáveis pelas ações definidas no plano estão capacitados
SIM
para executar suas atribuições?
São realizados simulados de emergência? SIM
O PEVO está em conformidade com requisitos legais e corporativos
SIM
aplicáveis?
São disponibilizados recursos adequados para responder a todos os
SIM
cenários previstos no PEVO?
Os recursos estão disponíveis para uso (prontidão de resposta)? SIM
Foram realizados simulados com base nos cenários contemplados no
SIM
PEVO nos últimos 12 meses?
São realizados e registrados exercícios práticos referentes aos
SIM
cenários acidentais listados no PEVO?
Deficièncias identificadas em respostas a eventos reais ou simulados
SIM
são corrigidas tempestivamente?
O PEVO contempla os cenários de emergência em Sondas e
NÃO
Embarcações?
PROTOCOLO DE RESPOSTA À EMERGÊNCIA
Requisito Criticidade
O contingenciamento para retorno à operação foi avaliado
SIM
formalmente?
O fluxo de informações estabelecido é capaz de interromper as
SIM
atividades por iniciativa ou externa interna, quando necessário?
Para o retorno à operação, é realizada gestão de mudanças? NÃO
INTERRUPÇÃO DA OPERAÇÃO
Requisito Criticidade
Existe protocolo estabelecido para interrupção da operação? SIM
Existe protocolo estabelecido para interrupção da produção (poço,
SIM
UEP, etc)?
O protocolo é cumprido? SIM
As situações de interrupção da operação são avaliadas
adequadamente com base em uma sistemática estabelecida (para a NÃO
Petrobras é RTA, por exemplo)?
SUB/SSUB/PRO 76
Notas de manutenção em atraso são objeto de avaliação e análise de
SIM
risco ?
É expressamente comunicado ao operador a proibição de inibição de
SIM
alarmes?
As recomendações de inspeções de Marinha ou de Classe relativas ao
SIM
número de detectores e à área de cobertura estão tratadas?
O Programa de Manutenção contempla a realização de manutenção
preditiva em sistemas e equipamentos críticos para detecção de NÃO
fogo e gás?
Os requisitos contratuais de manutenção preventiva e preditiva
exploram ao máximo o estado da arte da tecnologia disponível no NÃO
mercado?
CONTROLE DE IGNIÇÃO
Requisito Criticidade
As superfícies aquecidas em área classificada estão protegidas com
SIM
isolamento fire proof?
Existe procedimento para realização de trabalhos a quente? SIM
É emitida PT para realização de trabalhos a quente? SIM
Os requisitos contratuais de manutenção preventiva e preditiva
exploram ao máximo o estado da arte da tecnologia disponível no NÃO
mercado?
PROTEÇÃO PASSIVA
Recurso Criticidade
As proteções passivas estão adequadas? SIM
A manutenção da integridade da proteção passiva é priorizada? SIM
SUB/SSUB/PRO 77
6. RESULTADOS OBTIDOS
A partir da avaliação das barreiras com o objetivo principal de padronização dos nomes,
requisitos e filosofia de prevenção ou mitigação, foram obtidos os resultados apresentados
abaixo. Na tabela x são apresentados alguns resultados em termos de HH de reuniões e
número de reuniões, número de participantes e dias corridos de execução do projeto.
Além da revisão dos 5 bow ties, também foi elaborada uma lista de verificação para
cada barreiras. Esta Lista de verificação contém requisitos que o auditor utilizará durante
a auditoria de barreiras para verificar sua integridade. Cada requisito foi avaliado como
Crítico ou Não crítico.
A Lista de Verificação foi construída de forma que a resposta desejada para cada
requisito é SIM. Para os requisitos críticos, em caso de resposta negativa, a barreira é
automaticamente considerada DEGRADADA.
SUB/SSUB/PRO 78
Degradação natural de equipamentos
1 de 5 4
de posicionamento
Degradação natural de sistemas
1 de 5 5
pressurizados
Intervenção de manutenção 1 de 5 3
Necessidade de recursos críticos 1 de 5 2
Ambiente Operacional Adverso 1 de 5 2
Mudança de parâmetros operacionais 1 de 5 3
Modo de falha não previsto 1 de 5 4
Ameaças que tem entre 6 e 9 barreiras tem um número elevado de barreiras. Poderia
significar que estão “teoricamente” bem protegidas, mas na verdade, isto é um alerta, pois
podemos estar desconsiderando ou nos enganando quanto à independência entre as
barreiras. Neste caso, estas barreiras receberão uma sinalização AMARELA, indicando que
é importante rever as barreiras e quem sabe algumas delas não poderão ser aglutinadas
futuramente! A intenção é não deixar que todos sejam levados a uma falsa sensação de
segurança por conta de um caminho do bow tie estar com um elevado número de barreiras.
Ameaças que tem 3, 4 ou 5 barreiras tem um número razoável de barreiras. Estas receberão
a sinalização VERDE, por hora, o que não as isenta de todas as análises citadas acima.
Ameaças que tem 1 ou 2 barreiras tem um número baixo de barreiras. Estas receberão a
sinalização VERMELHA, indicando que é importante aprofundas as análises.
SUB/SSUB/PRO 79
Tabela 48 – Barreiras preventivas, número de requisitos total e requisitos críticos,
frequência de ocorrência.
Contratação 12 12 100% 4
SUB/SSUB/PRO 80
Sistemática de GM 12 2 17% 1
SUB/SSUB/PRO 81
7. CONSIDERAÇÕES FINAIS
O presente trabalho apresenta a primeira versão dos cinco diagramas bow tie revisados,
que deverão ser utilizados para auxiliar no monitoramento da integridade das barreiras de
prevenção e de mitigação identificadas. Este monitoramento, o qual tem a finalidade de
reporte aos gestores da SUB dos status das barreiras associadas aos principais riscos de
natureza operacional da SUB deverá compor o processo de gerenciamento de barreiras da
SUB.
Todas as análises realizadas foram qualitativas, e o estudo nesta fase ainda considera
que todas as barreiras têm a mesma força, isto é, nenhuma delas previne ou mitiga mais
ou menos que outra barreira do mesmo caminho.
Ressalta-se, por fim, que o trabalho desenvolvido está em constante evolução junto às
áreas envolvidas, tanto no que diz respeito aos diagramas bow tie propostos.
SUB/SSUB/PRO 82