Prévia do material em texto

Gerenciamento 
de riscos baseado 
em fatores humanos 
e cultura 
de segurança
Estudo de caso 
de simulação computacional 
do comportamento 
humano durante a operação 
de escape e abandono 
em instalações offshore
Gerardo Portela
© 2014, Elsevier Editora Ltda.
Todos os direitos reservados e protegidos pela Lei no 9.610, 
de 19/02/1998. Nenhuma parte deste livro, sem autorização prévia 
por escrito da editora, poderá ser reproduzida ou transmitida sejam 
quais forem os meios empregados: eletrônicos, mecânicos, 
fotográficos, gravação ou quaisquer outros.
Copidesque: Wilton Fernandes Palha 
Revisão: Adriana Kramer 
Editoração Eletrônica: Thomson Digital
Elsevier Editora Ltda.
Conhecimento sem Fronteiras
Rua Sete de Setembro, 111 – 16o andar
20050-006 – Centro – Rio de Janeiro – RJ – Brasil
Rua Quintana, 753 – 8o andar
04569-011 – Brooklin – São Paulo – SP – Brasil
Serviço de Atendimento ao Cliente
0800-0265340
atendimento1@elsevier.com
ISBN: 978-85-352-7603-9
ISBN (versão eletrônica): 978-85-352-7604-6
Nota: Muito zelo e técnica foram empregados na edição desta obra. 
No entanto, podem ocorrer erros de digitação, impressão ou dúvida 
conceitual. Em qualquer das hipóteses, solicitamos a comunicação 
ao nosso Serviço de Atendimento ao Cliente, para que possamos 
esclarecer ou encaminhar a questão.
Nem a editora nem o autor assumem qualquer responsabilidade 
por eventuais danos ou perdas a pessoas ou bens, originados 
do uso desta publicação.
CIP-BRASIL. CATALOGAÇÃO NA PUBLICAÇÃO 
SINDICATO NACIONAL DOS EDITORES DE LIVROS, RJ
P857g
Ponte Junior, Gerardo Portela
Gerenciamento de riscos baseado em fatores humanos e cultura 
de segurança : estudo de caso de simulação computacional do 
comportamento humano durante a operação de escape e abandono em 
instalações offshore / Gerardo Portela da Ponte Junior. - 1. ed. - Rio 
de Janeiro : Elsevier, 2014.
200 p. ; 24 cm.
ISBN 978-85-352-7603-9
1. Segurança no trabalho - Brasil. 2. Acidentes - Brasil - Prevenção. 
3. Indústria petrolífera. 4. Gás natural - Indústria. I. Título.
13-05669 CDD: 363.11
 CDU: 331.4
mailto:atendimento1@elsevier.com
Dedico este trabalho primeiramente a Deus, que criou todas as coisas e 
me deu Angélica como mulher, a minha filha Alana, o meu pai Gerardo, 
minha mãe Cléo, os irmãos Lincoln, Florence, e uma família maravi-
lhosa que me apoia e incentiva.
Também dedico este trabalho aos profissionais que priorizam o be-
nefício das pessoas e da sociedade nos empreendimentos tecnológicos 
de todos os tipos.
Agradecimentos
Ao Professor José Márcio Vasconcellos da COPPE UFRJ, que nos 
orientou em direção do que há de mais avançado tecnologicamente, 
motivando e apontando caminhos para o sucesso.
Ao Professor Louis Freund, que nos Estados Unidos estudou e 
acreditou em nossa proposta brasileira de trabalho abrindo as portas 
da San Jose State University, onde aprendemos muito sobre fatores 
humanos com os engenheiros e professores do Vale do Silício. Ao 
Professor David Krack que lecionou Engenharia de Segurança sob o 
apoio do International Students Department da University of Califórnia, 
que sempre nos recebeu com todo cuidado e atenção.
Aos Professores Dracos Vassalos, Luis Guarin e toda a equipe do 
Kelvin Hydrodynamics Laboratory e da University of Strathclyde que 
nos ajudaram a realizar a parte mais difícil do trabalho. Em especial à 
minha instrutora, Professora Yasmine Hifi, que sempre dedicou tempo 
e conhecimento técnico à pesquisa realizada.
Ao consultor técnico do Cenpes (Centro de Pesquisas da Petrobras), 
Guilherme da Silva Telles Naegeli, e aos gerentes (Petrobras) Carlos 
Cyranka, Dennis Botinelly, Antônio Luiz Fernandes dos Santos, Marcos 
Assayag e Maria de Fátima que viabilizaram as pesquisas que per-
mitiram a realização deste trabalho.
VII
Agradecimento especial
Agradecimento especial a duas famílias indispensáveis para a rea-
lização deste trabalho. Primeiramente a família Mike, Kim e Phillip 
Kirouac, que nos receberam na pequena cidade de Campbell na 
Califórnia, nós um casal de brasileiros com um bebê de 2 meses. Nosso 
trabalho nos Estados Unidos não teria sido possível sem o apoio cons-
tante da família Kirouac desde a instalação na cidade até a emissão dos 
certificados de conclusão do curso. Além disso, após toda sua dedicação 
na Califórnia, a família Kirouac ainda nos indicou outra família cristã 
escocesa para continuar o suporte em Glasgow, Escócia, UK. Aos 
queridos Roddy e Moira Shaw, que também nos receberam maravi-
lhosamente bem em Glasgow, nós agradecemos igualmente por terem 
estado ao nosso lado, nos ajudando a superar as dificuldades típicas de 
uma família brasileira, sozinha, num país tão distante. Em nenhum mo-
mento nos sentimos sós quando longe de nossa terra. Teremos sempre 
um carinho especial pelos americanos e escoceses que sempre serão 
lembrados por nós, simbolizados por esses amigos extraordinários.
IX
Prefácio
Os conceitos de cultura de segurança e fatores humanos precisam ser 
abordados de forma prática no gerenciamento de riscos e na segurança de 
empreendimentos tecnológicos. Esses temas incluem aspectos subjetivos 
normalmente estranhos ao dia a dia dos engenheiros e técnicos em suas 
atividades rotineiras. Esta obra aborda tais conceitos sintetizando-os 
e indicando uma metodologia aplicável a qualquer empreendimento 
tecnológico. O estudo de caso escolhido para emprego da metodologia é 
a análise de segurança do sistema de escape e abandono de uma unidade 
de exploração e produção de óleo e gás offshore do tipo FPSO (Floating, 
Production, Storage and Offloading). A escolha de um FPSO foi baseada 
na pesquisa da tese de doutorado que originou o livro, mas os sistemas de 
escape e abandono têm aplicação generalizada em qualquer edificação, 
instalação ou meios de transporte. Sistemas de escape e abandono des-
tacam a interação homem × sistema sempre presente em qualquer em-
preendimento tecnológico, que se intensifica durante uma emergência.
A pesquisa original criou um modelo 3D representativo de um FPSO 
e, através de simulações computacionais, considerou mais de 30 grupos 
diferentes de cenários acidentais que postulam vazamentos de gás, in-
cêndios e avarias navais. Os resultados experimentais foram avaliados 
estatística e analiticamente, propiciando a identificação de oportunidades 
de melhorias de projeto, melhorias operacionais e na qualidade dos 
procedimentos. Isso resulta na elevação da qualidade do gerenciamento 
de riscos e segurança. As simulações desenvolvidas na pesquisa alcan-
çaram a suficiente correspondência com as características técnicas e 
operacionais de um FPSO, bem como reproduziram os aspectos com-
portamentais, aspectos de fatores humanos e aspectos de cultura de 
segurança que caracterizam o suposto grupo de operadores que opera 
unidades de exploração e produção de óleo e gás offshore do tipo FPSO. 
Plataformas de petróleo do tipo FPSO são instalações muito complexas, 
e por isso os especialistas, em seu estudo, alcançam adicionalmente 
resultados aplicáveis também às instalações terrestres como indústrias, 
edifícios, estádios, shoppings centers, campus universitários, hospitais, 
complexos hoteleiros e conglomerados de lazer. Ou seja, a metodologia 
empregada aplica-se a qualquer situação cuja movimentação de pessoas 
tenha importância. Os resultados também são aplicáveis aos problemas 
envolvendo a movimentação de pessoas em sistemas e veículos de trans-
porte aéreo, marítimo e terrestre, sobretudo em situações de emergência.
XI
XII Prefácio
Para interagir diretamente com o autor, acesse: gerardoportela. 
com.br ou risksafety.com.br
O autor
Lista de figuras
Figura 2.1 Posicionamento relativo das estratégias de segurança 8
Figura 2.2 Influência sobre o ambiente projetado 20
Figura 2.3 Influências sobre o erro humano 22
Figura 4.1 Definição de problema e regra 51
Figura 4.2 Solução possível numa cultura legalista 52
Figura 4.3 Solução possível numa cultura de heroísmo52
Figura 4.4 Solução possível numa cultura de segurança forte 52
Figura 6.1 Tela de interface do software Evi (simulador) 119
Figura 6.2 Tela de interface do software EvE (editor do modelo 3D) 120
Figura 6.3 Modelo 3D do FPSO estudado 120
Figura 6.4 Arranjo geral final do FPSO estudado 122
Figura 6.5 Detalhe de módulo offshore e suas rotas de fuga 124
Figura 6.6 Exemplo de janela de interface para atribuição 
de fatores humanos ao POB 130
Figura 6.7 Exemplo de posicionamento dos agentes no FPSO 131
Figura 6.8 Apresentação das propriedades e dos efeitos 
sobre o agente e grid de propagação de incêndio 133
Figura 7.1 Avaria naval, com angulação instantânea de 16 graus 142
Figura 8.1 Modelo de tabela de enquadramento de evento acidental 147
XVII
CAPÍTULO
1Introdução e roteiro de leitura
3Gerenciamento de riscos 
Este livro é baseado nos resultados obtidos em mais de 
10 anos de trabalho e pesquisas em projetos de sistemas 
de segurança offshore e mais de 30 anos de efetiva atuação profis-
sional na área de engenharia e tecnologia. Também serviram 
para o desenvolvimento do seu conteúdo as pesquisas realizadas 
durante os estudos de Doutorado em Gerenciamento de Riscos e 
Mestrado em Gestão de Tecnologia. Os estudos e pesquisas 
foram desenvolvidos na Universidade Federal do Rio de Janeiro 
(COPPE, CEFET/RJ), The California State University (San Jose, 
USA) e University of Strathclyde (Glasgow, UK). Com o objetivo 
de facilitar a compreensão da obra, apresentamos a seguir um 
resumo que serve como roteiro para a sua leitura.
Os Capítulos 2 e 3 iniciam o trabalho com um levantamento 
da evolução dos modelos de gestão tecnológica nos últimos 
40 anos, os modismos e paradigmas de gestão que prevaleceram 
em cada década e a influência histórica da gestão tecnológica no 
gerenciamento de riscos e segurança. É apresentado um levanta-
mento conceitual sobre os temas erro humano e fatores humanos, 
cuja abordagem identifica aplicações práticas na gestão de ati-
vidades de engenharia, especialmente em projeto, construção e 
operação. O trabalho pesquisou o impacto do elemento humano 
em acidentes, as consequências do erro humano e as concepções 
de modelos de gestão para o gerenciamento adequado dos pro-
blemas relacionados com o erro humano.
No Capítulo 4 são apresentadas estratégias de aplicação dos 
conceitos de cultura de segurança e fatores humanos nas ativi-
dades de gestão relacionadas com o gerenciamento de riscos e 
segurança nos empreendimentos tecnológicos. O texto descreve 
uma forma atualizada de abordagem dos assuntos relacionados à 
segurança e gerenciamento de riscos, identificando os principais 
vícios prejudiciais ao processo, mostrando a importância da 
multidisciplinaridade, da influência dos aspectos subjetivos e 
imprevisíveis nas decisões de aceitação ou não de riscos. O texto 
resume em sete princípios de fatores humanos e em sete princí-
pios de cultura de segurança os principais conceitos identificados 
no estudo dos temas. Essa consolidação é apresentada como uma 
estratégia de aplicação prática dos conceitos de fatores humanos 
e cultura de segurança em empreendimentos tecnológicos.
O Capítulo 5 descreve a importância dos sistemas de escape 
e abandono para o objetivo de priorização de proteção à vida 
humana em qualquer empreendimento tecnológico. O texto 
explica a escolha do sistema de escape e abandono como objeto 
4 CAPÍTULO 1 Introdução e roteiro de leitura
de estudo de caso para a aplicação dos conceitos de cultura de 
segurança e de fatores humanos em empreendimentos tec-
nológicos como, por exemplo, instalações offshore, inshore, 
 onshore e at shore (marítimas, costeiras, terrestres e na costa). 
É apresentado o potencial de uso de ferramentas de simulação 
computacional para o estudo e melhoria dos sistemas de escape e 
abandono de instalações offshore, aplicáveis também na melhoria 
do gerenciamento de riscos e segurança de empreendimentos 
tecnológicos em geral.
Nos Capítulos 6 e 7 o trabalho faz uma investigação sobre 
a aplicação de ferramentas de simulação computacional de es-
cape e abandono em instalações offshore, especialmente do tipo 
FPSO (Floating, Production, Storage and Offloading). O texto 
descreve a tecnologia desenvolvida para adequar o uso de um 
software de simulação computacional de escape e abandono às 
características técnicas de um FPSO. A tecnologia desenvolvida 
para a definição de cenários de emergências em instalações off- 
shore é descrita de modo que tais cenários possam alcançar a 
representatividade necessária para serem usados na realização 
de simulações tecnicamente corretas, realistas e com corres-
pondência operacional.
Os Capítulos 8 e 9 relatam os parâmetros e as metodologias 
adotadas na estratégia de abordagem do sistema de escape e 
abandono, com base nos resultados de mais de 4.000 simulações 
computacionais em mais de 30 grupos de cenários acidentais 
postulados para instalações offshore. Os resultados dessas simu-
lações são apresentados de forma consolidada após a realização 
de análises estatísticas e qualitativas dos valores obtidos com as 
simulações.
As considerações finais e a conclusão são apresentadas no 
Capítulo 10 e resumem os resultados teóricos e práticos, através 
de uma abordagem que inclui o conceito atualizado de geren-
ciamento de riscos e segurança, bem como a importância e os 
meios de inserção dos conceitos de cultura de segurança e fatores 
humanos nas estratégias de proteção de empreendimentos tecno-
lógicos. A conclusão do livro sugere oportunidades de melhorias 
e demonstra a aplicabilidade dos conceitos e resultados obtidos 
em quaisquer outros empreendimentos tecnológicos.
CAPÍTULO
2Cultura de segurança
SUMÁRIO DO CAPÍTULO
2.1 Paradigmas organizacionais e consequências 
para a segurança ................................................................. 7
2.1.1 Paradigma mecanicista da década de 1970 ...........9
2.1.2 Paradigma orgânico da década de 1980 ..............11
2.1.3 Paradigma holístico da década de 1990 ..............13
2.1.4 Paradigma da globalização da década de 2000 .....14
2.1.5 Tendência no início do terceiro milênio ................17
2.2 Conceito de cultura de segurança ...................................... 18
2.3 Conceitos básicos de fatores humanos e erro humano ......... 19
7Gerenciamento de riscos 
2.1 PARADIGMAS ORGANIZACIONAIS 
E CONSEQUÊNCIAS PARA A SEGURANÇA
Assim como o dia a dia das pessoas, o mundo tecnológico e 
corporativo também tem seus modismos e sofre a influência das 
constantes mudanças de tendências que se renovam de tempo em 
tempos. Podemos nos lembrar de várias tendências que surgiram, 
alcançaram seu máximo de aceitação e depois caíram em desuso 
de forma similar ao que acontece com os modismos do cotidiano 
das pessoas. Os modismos acabam deixando marcas, algumas 
definitivas que passam a simbolizar um determinado período e 
caracterizar determinadas décadas.
Tais modismos de gestão tecnológica e organizacional in-
fluenciam as atividades das empresas, dos seus gestores técnicos, 
das pessoas e da sociedade. Por isso, o gerenciamento de riscos 
e o tratamento das questões de segurança não poderiam passar 
isentas por essa influência, ora positiva, ora negativa, exercida 
pelos paradigmas organizacionais de seu tempo, contribuindo, 
assim, para o movimento do pêndulo da segurança. Ou seja: as 
estratégias de segurança oscilam entre um máximo e um mínimo 
de rigor, passando sempre por um ponto de equilíbrio no qual, 
devido à dinâmica organizacional, nunca permanecem. A posi-
ção estratégica varia sob a influência de fatores como acidentes 
recentes, traumas corporativos, traumas sociais entre outros que 
conduzem o pêndulo da segurança para o ponto de mais alta 
proteção. Em contrapartida, outros fatores, como o excesso de 
autoconfiança, custos excessivos, competitividade influenciam a 
posição do pêndulo da segurança para o lado oposto, em que se 
busca a proteção mínima suficiente (Figura 2.1).Para um bom trabalho estratégico de segurança, é preciso 
entender bem em que posição o pêndulo da segurança se encontra 
na organização e na sociedade em que ela se insere, considerando 
o estágio de desenvolvimento da tecnologia envolvida, e assim 
concluir se ainda é possível ceder espaços ou se já estamos no 
limite máximo de risco aceitável. A partir desse entendimento, 
são definidos os fatores estratégicos para limitar a aproximação 
operacional dos dois picos desse movimento pendular, tanto 
para evitar uma proteção tão elevada que inviabilize a operação/
empreendimento, assim como para impedir que haja proteção 
insuficiente, o que pode levar ao acidente. O objetivo é manter 
a máquina operacional em funcionamento seguro, estável mes-
mo sob a influência das variações inevitáveis na abordagem 
8 CAPÍTULO 2 Cultura de segurança
da segurança, às vezes circunstanciais, tão frequentes na vida 
organizacional.
Além dos paradigmas organizacionais, inúmeros fatores ex-
ternos compõem uma influência cultural sobre a percepção e 
aceitação de riscos. Essas informações incluem opinião pública, 
tradições familiares, tradições regionais, educação, histórico de 
vida individual e comunitária, as redes de comunicação eletrônica 
conhecidas – como as redes sociais –, a mídia, influências geo-
gráficas e históricas, religião, supertições, acidentes anteriores, 
traumas sociais, naturais, pessoais etc. Todo esse conjunto de 
influências participa da formação da cultura de segurança, que, 
por sua vez, exerce influência específica sobre a percepção e a 
aceitação de riscos.
Uma das formas de materialização dessa cultura de segurança 
são os efeitos de sua influência nos registros que compõem as le-
gislações, normas e procedimentos. Por exemplo: após um aciden-
te socialmente traumático, os procedimentos relacionados com o 
evento podem ser modificados, as rotinas podem ser alteradas 
e os equipamentos podem ser substituídos. Isso pode acontecer 
tanto em nível internacional, nacional e empresarial, como em 
âmbito individual e familiar. Trata-se da cultura geral gerando a 
FIGURA 2.1 Posicionamento relativo das estratégias de segurança.
9Gerenciamento de riscos 
cultura de segurança propriamente dita, a qual influencia direta-
mente a percepção e aceitação de riscos.
A influência socioeconômica na legislação afeta as rotinas 
operacionais e a execução de tarefas. Tal influência resulta 
na alteração da probabilidade de ocorrer o erro humano e o 
acidente.
São de grande importância os aspectos associáveis à cultura 
de segurança para a origem dos eventos acidentais. Entre as 
razões originais para os acidentes estão a falha técnica, a fa-
lha humana e eventos externos ao sistema produtivo como 
questões naturais, econômicas ou sociais, estes considerados 
componentes formadores da cultura de segurança. As ações 
individuais e coletivas têm suas condições de controle de ris-
cos e de perigos alteradas por questões organizacionais e por 
condições ambientais e isso também faz parte da cultura de 
segurança.
De acordo com nossas pesquisas, o conceito de cultura de 
segurança definido pela IAEA Safety Series No 75-INSAG-4 
(1991) é o que possibilita uma aplicação prática e sistemática 
por parte das organizações em problemas de engenharia e tec-
nologia. De acordo com a IAEA Safety Series No 75-INSAG-4, 
Cultura de segurança é o conjunto de características e atitudes 
das organizações e indivíduos, que estabelece que uma prioridade 
absoluta seja dada a segurança nuclear de modo que esta receba 
a devida atenção pela sua importância. A partir dessa definição, 
buscamos a extensão da aplicação do conceito de cultura de 
segurança para os demais empreendimentos tecnológicos, além 
das fronteiras da engenharia nuclear, o que será melhor explicado 
ao longo deste trabalho.
Apresentamos a seguir um resumo dos paradigmas organiza-
cionais (um dos principais componentes de formação da cultura 
de segurança) que caracterizaram as últimas décadas. Ressalta-
mos a influência desses paradigmas nas questões associadas ao 
gerenciamento de riscos e segurança e a consequente evolução 
conceitual da abordagem de tais temas.
2.1.1 Paradigma mecanicista da década de 1970
Os ícones de desenvolvimento tecnológico popularizados 
nos anos 1970 foram: a chegada do homem à Lua, a transmissão 
de TV via satélite e em cores, a substituição das válvulas por 
transistores, a fita cassete para gravação de áudio, as calculadoras 
10 CAPÍTULO 2 Cultura de segurança
eletrônicas portáteis, os relógios digitais, os primeiros te-
lejogos rudimentares. O controle estatístico de processos, a 
programação de cronogramas tipo PERT-CPM e o controle de 
qualidade também ganham espaço e são exemplos de ferramentas 
de gestão tecnológica. Os computadores começam a ser usados 
pelas grandes corporações, e programações em Fortran (que é 
usado até hoje) eram ensinadas nas faculdades de engenharia 
e transferidas para os computadores através de uma mídia hoje 
completamente obsoleta: cartões de papel perfurados.
Foi uma década na qual a especialização tornou-se o objetivo 
daqueles que buscavam estar tecnológica e cientificamente atua-
lizados. Quanto mais especializado, melhor. Essa tendência foi 
legitimada por um modo cartesiano newtoniano de pensar, que 
prevalece desde a origem do método científico no século XVII, 
e obteve imensos avanços e resultados tecnológicos ao longo 
de séculos, sempre fundamentados nos conceitos propostos por 
René Descartes (1637) e, posteriormente, aperfeiçoados por 
Isaac Newton (1687), os quais praticamente definiram o que 
conhecemos então como método científico.
O valor do método estava associado em conhecer as partes, os 
detalhes e a partir daí é que se poderia chegar ao entendimento 
do todo como consequência. Cada parte funciona como o com-
ponente de uma máquina maior, logo, se cada parte funcionar 
perfeitamente, a máquina também funcionará com perfeição. 
Esse é o chamado paradigma mecanicista. A repercussão desse 
conceito nas atividades do dia a dia da engenharia e da tecnologia 
resultou na valorização dos equipamentos e seus desempenhos, 
uma vez que estes eram as partes do todo, e pensava-se que se 
cada parte obtiver o desempenho ideal, consequentemente o todo 
também alcançará o melhor desempenho.
Para fazer cada parte funcionar bem, o foco tecnológico 
do paradigma mecanicista era centrado no desempenho do 
equipamento e no detalhamento dos procedimentos associados 
a cada parte. Isso resultou numa década dedicada à confiabilida-
de, cuja prioridade foi associada à qualidade dos equipamentos 
e procedimentos e os esforços concentrados na fase de projeto. 
Os procedimentos eram elaborados de tal maneira a evitar o 
risco de estar sob a influência do erro humano, mas minimi-
zando o papel do indivíduo, cuja principal tarefa era aplicar os 
procedimentos.
Em termos de segurança, um acidente marcou os anos 1970. 
O incidente nuclear de Three Mile Island USA, em 28 de março 
11Gerenciamento de riscos 
de 1979. O paradigma mecanicista da década de 1970 não foi 
eficiente para evitar esse tipo de acidente, mesmo tendo criado 
várias proteções através de barreiras sobrepostas. Para cada siste-
ma (parte) da usina (todo) havia uma proteção, mas mesmo assim 
houve liberação limitada para a contenção de gases radioativos 
acima do esperado, embora sem danos para a população e meio 
ambiente. Os melhores procedimentos e equipamentos reunidos 
pelo projeto da usina não foram suficientes para evitar o acidente 
que quase se tornou uma catástrofe ambiental de consequências 
extremamente graves. Durante a emergência, os operadores 
mostraram-se desorientados e confusos, com dificuldade de iden-
tificar o cenário de degradação que se estabelecia. Verificou-se a 
necessidade de aperfeiçoamento da confiabilidade, do desempe-
nho e da atitude do elemento humano, independentemente da 
qualidade dos equipamentos e procedimentos. Com o acidente 
de Three Mile Island em 1979, enfatizou-se a importânciado 
conceito de defesa em profundidade, o qual consiste em prever 
falhas técnicas, humanas ou organizacionais e evitá-las através 
de sucessivas linhas de defesa em todas as fases da vida de uma 
instalação industrial.
2.1.2 Paradigma orgânico da década de 1980
Nos anos 1980, os resultados mais popularizados do desen-
volvimento tecnológico foram as missões dos ônibus espaciais, 
o videocassete, os primeiros e limitados computadores pes-
soais, as agendas eletrônicas, entre outros. No campo político, 
a segunda parte da década foi marcada pelas mudanças nos 
regimes comunistas da Europa Oriental que culminaram com a 
queda do muro de Berlim, estabelecendo um novo cenário para 
o desenvolvimento técnico e científico. Em termos de gestão 
tecnológica, foi uma década marcada por ondas bem-sucedidas 
de vendas de modelos e propostas de planos de reengenharia e 
qualidade total que serviram para seguidas reorganizações tanto 
bem-sucedidas quanto desastrosas. Quase sempre inspiradas 
no sucesso da indústria japonesa e nos trabalhos profícuos de 
W.E. Deming (1982), essas ferramentas de gestão tecnológica 
proliferaram e algumas foram massificadas, como a MASP (Me-
todologia de Análise e Solução de Problemas) e o 5S, baseado 
nas 5 palavras japonesas de iniciação à chamada qualidade total. 
A informatização chega às atividades de rotina das grandes em-
presas, ainda com monitores monocromáticos e drivers externos, 
12 CAPÍTULO 2 Cultura de segurança
sendo necessário agendar horários para utilização das máquinas 
que eram disponibilizadas em pools para grupos de profissionais 
que precisavam se alternar.
Houve uma valorização do desempenho humano, seu com-
prometimento e sua confiabilidade em seguir procedimentos. Não 
mais apenas a valorização dos equipamentos e procedimentos. 
Era necessário considerar a interação dos processos técnicos 
com os recursos humanos e também a questão da atitude do 
elemento humano diante do trabalho técnico a ser feito. Foi uma 
década dedicada a levar em conta os erros humanos, o que se 
tornou o ponto de partida para se mostrar que a confiabilidade 
humana suplantava o conceito da aplicação pura e simples dos 
procedimentos. O paradigma mecanicista que via a organiza-
ção e a tecnologia como uma gigantesca máquina cujo sucesso 
resultava do perfeito funcionamento de cada equipamento que 
compunha as partes evoluiu para o paradigma orgânico, no qual o 
homem e a máquina juntos passam a definir o êxito do resultado 
organizacional.
Mesmo assim, em 26 de abril de 1986, um dos mais emblemá-
ticos acidentes de todos os tempos aconteceu na Usina Nuclear de 
Chernobyl, URSS. Apesar da rigidez dos projetos e procedimen-
tos de segurança adotados em usinas nucleares, e mesmo com to-
da experiência e disciplina operacional soviética, o grave acidente 
causou a perda instantânea e simultânea da primeira e segunda 
barreiras de defesa em profundidade (em geral são seis barreiras 
na indústria nuclear: natureza cerâmica do combustível, reves-
timento do combustível, vaso de pressão do reator, blindagem 
radiobiológica, vaso de contenção de aço, edifício de concreto 
reforçado). A terceira barreira não tinha sido projetada para evitar 
liberação de materiais radioativos em cenários com tal grau de 
degradação das duas primeiras barreiras e, como consequência, 
houve uma liberação inaceitável de parte do núcleo radioativo 
para o meio ambiente. O vazamento foi detectado em países da 
Europa como a Holanda e causou contaminação e perda de vidas. 
A catástrofe resultou na comprovação de que a confiabilidade 
humana no cumprimento de normas, o desempenho humano no 
projeto e operação da planta, não foram suficientes para evitar 
o acidente catastrófico de tamanha magnitude. O paradigma 
orgânico possuía uma limitação associada à influência da ges-
tão sobre as atividades operacionais. Ordens superiores para a 
realização de testes de segurança em um momento operacional 
inoportuno haviam sido dadas durante a operação em Chernobyl 
13Gerenciamento de riscos 
e foram seguidas pelos operadores, o que levou ao grave acidente. 
Identificou-se que nesse tipo de situação, a segurança precisaria 
ir além dos limites da confiabilidade humana, da qualidade dos 
equipamentos e da rigidez no cumprimento de normas e ordens 
hierárquicas. Entendeu-se necessário desenvolver uma cultura de 
segurança acima de regras, normas e equipamentos e que propicie 
a priorização da segurança no tempo certo, ou seja: quando ainda 
é possível evitar uma catástrofe.
2.1.3 Paradigma holístico da década de 1990
Os símbolos tecnológicos mais populares dos anos 1990 
foram a Internet, o CD, os produtos da MicrosoftTM, a telefonia 
celular, as armas eletrônicas (Guerra do Golfo), entre outros. 
Em termos de gestão tecnológica, o tema ambiental, que já 
vinha ocupando cada vez mais espaço nas décadas anteriores, 
atinge o seu ponto de mutação sob a influência de autores como 
Fritjof Capra (1982), físico, doutor pela Universidade de Viena 
e fundador do Elmwood Institute na Califórnia. Ele publicou 
diversas obras que discutem diferenças e semelhanças entre 
ciência e espiritualidade, os quais apresentam uma abordagem 
muito mais radical em relação à questão de proteção ambiental. 
A revolução da questão ambiental na ciência e tecnologia veio 
para ficar a partir dos anos 1990, mas também deixou para 
trás ameaças questionáveis como a ideia de que a poluição 
prevista para os dias de hoje nos obrigaria a usar permanente-
mente máscaras nos grandes centros urbanos, temores como 
o polêmico efeito de destruição da camada de ozônio, com 
sua variante mais ampla, o chamado efeito estufa, bem como 
mais recentemente o aquecimento global tão temido, apesar 
de que a temperatura da Terra só tenha sido cientificamente 
monitorada nos últimos três séculos, tempo insuficiente para 
qualquer conclusão definitiva se considerarmos o tempo de 
existência do planeta.
A microinformática já estava disseminada e aliada à in-
ternet, a qual era quase sempre acessada por conexão telefô-
nica. Foi também nos anos 1990 que chegaram os primeiros 
notebooks.
O novo paradigma que se estabelece nos anos 1990 é chamado 
de holístico por enfatizar o valor da visão do todo. Faz contrapon-
to ao paradigma mecanicista e ao método cartesiano de análise 
compartimentada que prevaleceu desde a origem do método 
14 CAPÍTULO 2 Cultura de segurança
científico, influenciada pelos conceitos de Descartes (1637) 
Newton (1687).
O paradigma holístico não contradiz o método científi-
co tradicional, baseado na especialização e na análise deta-
lhada de cada parte para chegar ao conhecimento do todo. 
Pelo contrário, o paradigma holístico reconhece os resultados 
produzidos pelo método científico tradicional, mas passa a 
agregar e a valorizar a necessidade da visão do todo para que 
a especialização e a análise específica de cada parte não ve-
nham a se perder por falta de orientação, comprometimento 
e objetivo com o todo que justifica cada parte. O paradigma 
holístico trabalha pontualmente, localmente, mas com a visão 
do todo muito bem definida e posicionada no mais alto grau 
de importância científica.
O paradigma holístico que prevaleceu nos anos 1990 valoriza 
o ser humano, a informação, as maneiras diferentes de pensar 
sobre o mesmo tema, a intuição, a flexibilidade, a inovação, 
o questionamento e a capacidade de aprender. Em termos de 
gestão, revela o estreito relacionamento entre o estilo de ge-
renciamento e liderança com os resultados de segurança. Es-
tabelece uma relação entre o grau de comprometimento de cada 
indivíduo e os resultados para a segurança. O acidente nuclear 
de Chernobyl, nos anos 1980, influenciou a década de 1990 e 
provocou uma mudança de paradigma em termos de segurança 
e gerenciamento de riscos. As lições foram aprendidas a um 
altíssimo preço, mas em contrapartida desenvolveu-se o conceito 
de cultura de segurança, o qual extrapola os mecanismos nor-
mativos, hierárquicos e coercitivos gerando um poderososenso 
comum em defesa da segurança (incluindo o meio ambiente), 
especialmente por tornar-se um senso de defesa cultural da 
segurança, independente de forças externas para aqueles in-
divíduos que o assimilam.
2.1.4 Paradigma da globalização da década de 2000
Como consequência de um processo originado nos anos 
anteriores, na década de 2000 a revolução da internet se con-
solidou. O uso de e-mails passou a ser massificado e oficiali-
zado como documento pelas organizações, e a transferência de 
arquivos e dados eletrônicos de forma relativamente segura foi 
facilitada pela melhoria obtida com a tecnologia da banda larga, 
que suplantou a limitada conexão discada. Vídeos e imagens 
15Gerenciamento de riscos 
passaram a ser transferidos ao redor de um mundo cada vez 
mais globalizado, com muito mais rapidez, através de computa-
dores portáteis, notebooks e outros dispositivos como telefones 
celulares. O comércio eletrônico tornou-se acessível a um maior 
número de consumidores, as redes sociais surgiram e se proli-
feraram de modo diversificado. Novos canais de comunicação 
como o YouTube e os portais de notícias revolucionaram o 
acesso à informação de interesse jornalístico. As transações 
comerciais, bancárias e aquisições em bolsas de valores foram 
facilitadas pelo acesso seguro à compra pela internet. O uso do 
papel foi reduzido no dia a dia da vida corporativa e até mes-
mo eliminado oficialmente em muitas das rotinas do cidadão 
comum.
Um dos símbolos dos avanços tecnológicos da década de 
2000 foi a substituição dos monitores catódicos (tubo de ima-
gem) por tecnologia de plasma e LCD, tanto para computadores 
como para novos aparelhos de televisão. As telas passaram do 
formato 4:3 para 16:9, adequando-se às novas tecnologias de 
alta definição de imagem em HD, HDMI e 3D. A transmis-
são de TV por satélite, cabo e internet se proliferou e abriu 
competição com a televisão aberta. Toda a imprensa escrita, 
falada e televisiva passou a concorrer com a rapidez da in-
ternet, e muitos veículos não suportaram essa concorrência 
sem mudanças radicais.
Porém o evento de maior influência na década de 2000 foi 
o surpreendente ataque terrorista de 11 de setembro de 2001, 
que desestabilizou a ordem mundial através de ações até então 
imaginadas apenas em roteiros cinematográficos, contra a maior 
potência do planeta: os Estados Unidos da América. O ataque 
provocou um profundo questionamento sobre a segurança de 
Nova York, dos Estados Unidos e do mundo, agora compro-
vadamente vulnerável em relação a ações que não podem ser 
impedidas apenas pelo sofisticado armamento de ataque e defesa 
existente até então.
O ataque de 11 de setembro exerceu uma enorme influência 
nas demandas relacionadas com a segurança pública e, grande 
parte dessas demandas foi encaminhada para os engenheiros. 
O tema da segurança pública e antiterrorismo tomou tal vulto, 
que máquinas, equipamentos, projetos arquitetônicos, veículos 
terrestres, marítimos e aéreos tiveram seus projetos alterados e 
atualizados em resposta aos novos cenários de risco postulados. 
A tecnologia passou a ser não apenas fundamental, mas a própria 
16 CAPÍTULO 2 Cultura de segurança
arma de inteligência, talvez única, capaz de enfrentar as novas 
ameaças.
Neste cenário conturbado em que várias guerras se desenca-
dearam, outro componente importantíssimo agravou a situação 
econômica mundial interferindo com os paradigmas de gestão 
adotados pelas organizações do planeta. Após um ciclo de pros-
peridade que se encerrou em 2007, a crise hipotecária americana 
foi o fato iniciador de um processo de crise econômica mun-
dial, agravada pelo processo paralelo de globalização que tanto 
propagou os benefícios tecnológicos, como propagou também 
os elementos de contaminação da crise econômica além de 
radicalizar a competitividade entre empresas e países. Todas 
as organizações tiveram de ajustar seus paradigmas de gestão 
considerando as consequências do evento de 11 de setembro e 
da crise econômica mundial. A cultura de segurança e o geren-
ciamento de riscos também se submeteram às consequências 
desses ajustes e mudanças.
Num sentido mais amplo, podemos dizer que o sucesso 
do ataque terrorista de 11 de setembro, derrubando as torres do 
World Trade Center em Nova York, pode ser considerado um 
acidente inesperado, no qual a cultura de segurança mundial 
mostrou-se frágil por não ter dado a devida atenção à ques-
tão da maior dependência entre os atores mundiais, o que teria 
tornado as insatisfações associadas aos desequilíbrios sociais, 
econômicos e éticos motivos suficientes para que as facilidades 
tecnológicas do terceiro milênio fossem usadas numa vingança 
“sem armas”, pelo menos do ponto de vista do que era conside-
rado como armas até então.
Para o gerenciamento de riscos e segurança, os traumas 
decorrentes de 11 de setembro e da crise econômica mundial 
da década de 2000 tornaram-se influências que impuseram 
marcas definitivas para os critérios de aceitação de riscos. 
Os cenários de riscos que pareciam absurdos e impossíveis 
passaram a ser alvo prioritário de investimentos e desenvolvi-
mentos tecnológicos. Essa lição de que não existe impossível, 
apesar de ser antiga, ainda não tinha tido, para alguns, uma 
evidência tão objetiva e constrangedora como foi o choque 
de aeronaves lotadas de passageiros com as torres gêmeas do 
World Trade Center e com o prédio do Pentágono, quartel 
general responsável pela segurança da maior potência do 
planeta.
17Gerenciamento de riscos 
2.1.5 Tendência no início do terceiro milênio
Toda a história da ciência (e da filosofia, quando esta era a 
única a oferecer as respostas) continua presente, influenciando 
nossos tempos, nossa tecnologia e, consequentemente, a se-
gurança envolvida na evolução tecnológica da sociedade. Os 
paradigmas modificam-se, mas deixam marcas, e até mesmo 
os modismos vão, mas voltam ajustados, modificados ou exata-
mente como antes. Tais fatores do passado, mais os fatores do 
presente e as expectativas sobre o futuro tecnológico criam uma 
resultante em termos de segurança e posicionam o pêndulo da 
segurança num ponto de equilíbrio dinâmico que oscila entre 
a proteção máxima e mínima. Os profissionais envolvidos em 
produzir soluções para problemas de segurança precisam ter a 
capacidade de fazer uma boa leitura do momento tecnológico 
presente, e para isso estar abertos à multiplicidade disciplinar e 
incluir – além de todas as especialidades disponibilizadas pela 
engenharia como opção de solução – as novas especialidades 
que envolvem subjetividade. Estas, embora não tão precisas, são 
necessárias para melhorar a interação homem × sistema e reduzir 
as consequências dos inevitáveis erros humanos. Segurança 
envolve ir até o limite em que a engenharia pode prever como 
as coisas podem acontecer e se permitir imaginar o que, além 
disso, pode acontecer. A partir desse limite, o especialista em 
segurança precisa exercitar em sábia dose sua subjetividade, 
pois as análises matemáticas, estatísticas e simulações nunca 
passarão de referências, por melhores que sejam, sendo por isso 
preciso ter a criatividade aguçada e ao mesmo tempo o equilí-
brio para limitá-la, mas sempre, sem exceção, considerando o 
imponderável, o inesperado, o elemento surpresa presente em 
toda a natureza e sua interação com o homem e com a vida. 
Já foi o tempo em que a ciência e a engenharia sobreviviam 
apenas com a verdade dos números. Realmente, os números não 
mentem, mas também ajudam a esconder pelo menos algumas 
partes da verdade.
Como exemplo de mudanças originadas fora do contexto 
puramente técnico e que geram reflexos na abordagem do tema 
segurança no início do terceiro milênio, podemos destacar 
as demandas técnicas geradas pelo ataque terrorista de 11 de 
setembro de 2001. O fato incomum e antes imaginado apenas 
como um roteiro cinematográfico gerou uma demanda tecnoló-
gica enorme por novos recursos de segurança associados a esses 
18 CAPÍTULO 2Cultura de segurança
novos cenários, que envolvem o terrorismo e a sabotagem. São 
controles que vão desde a monitoração da Internet, de softwa-
res e proteção contra vírus eletrônicos, até scanners de corpo 
inteiro (portáteis) em aeroportos, modificações nas cabinas 
das aeronaves, modificações em projetos de construção civil, 
urbanísticos, preocupação com a sabotagem industrial, e uma 
demanda multidisciplinar de recursos e tecnologias a serem 
inseridos, criados ou recriados para um novo contexto. Dessa 
forma, hoje a engenharia está sendo convidada a responder 
também a essa demanda e, possivelmente, em breve poderemos 
assistir a segurança pública, individual, social e até policial 
sofrendo uma transmutação para tornarem-se mais um campo 
da engenharia de segurança.
Para os que desenvolvem soluções de segurança, o mais im-
portante não é criar denominações e termos para definir os novos 
paradigmas que se apresentam e se renovam permanentemente 
num processo contínuo. O importante é percebê-los a cada mo-
mento e manter o equilíbrio dinâmico do pêndulo da segurança 
entre a proteção máxima e a proteção mínima, cabível, viável e 
possível, a qual permita evitar que a máquina da segurança deixe 
de funcionar e o acidente aconteça.
2.2 CONCEITO DE CULTURA DE SEGURANÇA
É a combinação de compromissos e atitudes, nas organizações 
e indivíduos, que estabelecem como prioridade absoluta que os 
assuntos relacionados com a segurança recebam atenção certa 
no tempo certo.
Esse conceito foi adaptado para a aplicação geral, em 
 empreendimentos tecnológicos, a partir do conceito original 
de cultura de segurança da International Atomic Energy Agency 
– IAEA Safety Series No 75-INSAG-4, que define: “Cultura de 
segurança é o conjunto de características e atitudes das organi-
zações e indivíduos, as quais estabelecem que uma prioridade 
absoluta seja dada a segurança nuclear de modo que esta receba 
a devida atenção pela sua importância.”
Muitas vezes, dedicamos toda atenção à segurança o tempo 
todo e mesmo assim não temos o resultado de uma cultura de 
segurança consistente que é a atenção certa no tempo certo. 
Atenção certa no tempo certo é o que pode ser reconhecido como 
tecnologia (como se faz) de segurança.
19Gerenciamento de riscos 
Atenção certa significa não apenas seguir normas, estabe-
lecer controles, fazer inspeções, fazer o melhor treinamento 
e utilizar os melhores recursos disponíveis de segurança. 
Atenção certa significa a atitude na medida exata para evitar 
o acidente.
Tempo certo significa não apenas prontidão, dedicação per-
manente, cuidado constante, verificação redundante, aperfei-
çoamento contínuo nas melhores práticas de segurança. Tempo 
certo significa a atitude no momento exato no qual um acidente 
pode ser evitado.
Não adianta adotar permanentemente todos os procedimentos 
e boas práticas de segurança se, num único momento (tempo cer-
to) em que uma ação (atenção certa) capaz de evitar um acidente 
precisar ser realizada e isso não acontecer. Resumindo: é preciso 
saber exatamente que ação deve ser adotada, e a hora boa de ser 
adotada é a que consegue evitar o acidente.
2.3 CONCEITOS BÁSICOS DE FATORES HUMANOS 
E ERRO HUMANO
Dados da Primatech Specialists in Safety, Security and Risk 
USA (2008) indicam que entre 50% e 90% dos incidentes indus-
triais podem ser atribuídos a erros humanos. Na realidade, 100% 
dos acidentes estão associados a algum tipo de falha humana. 
Os valores citados devem ser compreendidos como referentes 
aos acidentes que apresentam como causa raiz, ou seja, a causa 
mais importante para a ocorrência do evento o erro humano. A 
análise de falha humana lida com as falhas que as pessoas podem 
cometer em suas interfaces com os processos de engenharia. 
Quanto mais cedo a análise de falha humana é realizada, maior 
sua eficiência em reduzir a probabilidade de erro humano, por 
isso é importante uma abordagem baseada na análise de falha 
humana desde a fase de projeto.
As falhas humanas e suas consequências são influenciadas 
diretamente pelo projeto para fatores humanos do empreendi-
mento tecnológico como um todo. Consideramos neste trabalho 
os fatores humanos aqueles que podem aumentar ou diminuir 
a possibilidade de o homem cometer erros, sendo esses fatores 
estabelecidos como resultado de um projeto ou empreendimento 
tecnológico. Ou seja, o erro humano pode ou não acontecer de-
pendendo dos fatores humanos envolvidos na forma de interação 
20 CAPÍTULO 2 Cultura de segurança
homem × sistema criada a partir do projeto ou empreendimento 
tecnológico.
O projeto para fatores humanos pode ser fruto de um trabalho 
realizado de forma consciente e com essa intenção explícita por 
parte dos projetistas. Mas vai também ser estabelecido mesmo 
quando houver total ignorância em relação a esse tipo de abor-
dagem. Isso acontece porque todo empreendimento tecnológico 
gera em algum momento um tipo de interface homem × sistema, 
com características próprias, o que no final acaba se constituindo 
num projeto para fatores humanos, consciente ou não, criado com 
a devida técnica ou não, diminuindo os riscos de erro humano ou 
aumentando-os conforme a habilidade e o conhecimento de fato-
res humanos. Como numa sequência natural de causas e efeitos, 
a cultura geral exerce inúmeras influências sobre a organização 
e esta, por sua vez, cria sua própria cultura organizacional. Dela, 
uma cultura de segurança se estabelece e influencia o tratamento 
dado aos fatores humanos, que são aqueles que geram o ambiente 
de indução ao erro (Figura 2.2).
Temos como exemplo de grandes acidentes catastróficos, 
cujas investigações identificaram causas principais diretamente 
associadas ao erro humano nos projetos e nos demais processos 
de engenharia: Explosão de Planta Química em Flixborough 
UK, 1974; Acidente Nuclear de Three Mile Island USA, 1979; 
Vazamento Tóxico em Planta Química, Bhopal, 1984; Acidente 
FIGURA 2.2 Influência sobre o ambiente projetado.
21Gerenciamento de riscos 
Nuclear de Chernobyl, 1986; Incêndio e Explosão da Plataforma 
Offshore Piper Alpha, UK, 1988.
Uma análise do erro humano e sua influência sobre a ocorrên-
cia dos acidentes permite perceber o quão é importante investir 
em um bom projeto de fatores humanos. Podemos observar 
pelas evidências que as condições naturais, que também são 
responsáveis por acidentes catastróficos, são em grande parte 
imprevisíveis e estão fora do controle absoluto dos projetos 
de engenharia. Por outro lado, o projeto de engenharia consi-
derado mais seguro mesmo assim estará exposto à interação 
homem × sistema e, consequentemente, à influência das limita-
ções humanas, que também são inevitáveis. Ou seja, mais cedo 
ou mais tarde, em alguma circunstância o ser humano comete 
erro. Sendo assim, a engenharia precisa enfrentar as limitações 
impostas pela natureza, e isso já vem historicamente sendo feito 
através do desenvolvimento tecnológico. Mas a engenharia pre-
cisa também atuar sobre os fatores humanos que podem reduzir 
as consequências do erro humano, uma vez que o erro humano 
propriamente dito é inevitável, bem como terremotos, furacões, 
tempestades, nevascas, enchentes. Ou seja, assim como a enge-
nharia deve oferecer segurança aos riscos naturais, deve também 
fazer o mesmo para os riscos decorrentes do erro humano. A 
Figura 2.3 ilustra o conceito descrito.
O ideal é projetar sistemas de segurança que contemplem 
mecanismos de proteção contra o erro humano a partir de uma 
análise dos fatores humanos estabelecidos pelo projeto como 
um todo.
O erro humano é um tema complexo e multidisciplinar. De 
modo simplificado, através de uma abordagem prática contex-
tualizada para a engenharia, podemos classificar os tipos de erro 
humano em:
j Falta de habilidade (ex.: pular uma etapa).
j Desconhecimento de regras (ex.: acionar o botão errado).
j Falta de experiência e vivência (ex.: diagnóstico incorreto 
de um problema).
j Violações (ex.: ações proibidas, diferentes da prescrita).Os princípios básicos de fatores humanos aplicáveis aos pro-
jetos de engenharia podem ser identificados como:
j Equipamentos e plantas devem servir humanos e precisam 
ser projetados com o ser humano em mente.
22 CAPÍTULO 2 Cultura de segurança
j Os indivíduos possuem capacidades e limitações diferentes, 
o que resulta em implicações importantes para os projetos 
de engenharia.
j O projeto de plantas, equipamentos e os procedimentos 
influenciam o ambiente humano, o que indiretamente cria 
um projeto para fatores humanos associado.
j Equipamentos, procedimentos, ambientes e pessoas não 
existem isoladamente, sendo requerida uma orientação 
sistêmica que inclua a relação entre esses quatro fatores.
Há duas abordagens importantes para a proteção contra o 
erro humano: uma com enfoque na melhoria do desempenho 
humano e outra com enfoque na melhoria do projeto de fatores 
humanos. A segunda abordagem é a que gera a maior demanda 
dos projetistas de sistemas de engenharia de segurança e pode 
ser compreendida conceitualmente através dos seguintes itens:
j Projetar para pessoas, removendo as oportunidades 
para erro humano.
FIGURA 2.3 Influências sobre o erro humano.
23Gerenciamento de riscos 
j Prover oportunidades de recuperação facilitando as 
mudanças e a discussão de opções enquanto o projeto ainda 
está no papel.
j Projetar mecanismos à prova de falhas nos sistemas ou pelo 
menos associar mecanismos de mitigação de falhas.
j Orientação sistêmica desde o projeto, de equipamentos, 
ambiente, procedimentos e pessoas, já que a incidência 
de erros pode ser reduzida com maior eficiência quando 
essa orientação sistêmica ocorre desde o projeto.
Modelos conceituais e/ou matemáticos para tentar simular o 
comportamento humano são desenvolvidos alternando o uso de 
ferramentas baseadas em métodos determinísticos, lógica fuzzy, 
dados históricos e avaliações subjetivas. Porém, mesmo com os 
métodos desenvolvidos, permanece a dificuldade em predizer 
um erro humano.
Trabalhos científicos de levantamento de dados estatísticos 
indicam como estratégia o desenvolvimento de métodos que 
organizem a investigação das interferências dos componentes 
sociais externos, na cultura de segurança que influencia direta-
mente a execução das tarefas operacionais.
CAPÍTULO
3Fatores Humanos e Engenharia
SUMÁRIO DO CAPÍTULO
3.1 Da ergonomia ao conceito de fatores humanos .................... 27
3.2 Analfabetismo tecnológico como ameaça à segurança ........ 30
3.3 Fatores humanos, engenharia e segurança offshore ............. 31
27Gerenciamento de riscos 
3.1 DA ERGONOMIA AO CONCEITO DE FATORES 
HUMANOS
A ergonomia pode ser definida como o estudo da interação 
homem × sistema e dos fatores que afetam essa interação. A 
palavra sistema, neste contexto, tem como significado máquinas, 
instalações e empreendimentos tecnológicos que geram interação 
com o homem. Isso inclui desde os objetos de uso pessoal até 
equipamentos como aviões, navios, automóveis, instalações in-
dustriais complexas, equipamentos de alta tecnologia, veículos 
espaciais, refinarias, usinas nucleares, plataformas offshore, 
abrangendo assim praticamente todo o resultado de trabalho 
tecnológico. Até mesmo uma pesquisa científica que não produza 
um resultado físico e material que venha a interagir diretamente 
com as pessoas pode ser considerada, numa visão mais ampla, 
como objeto de estudo da ergonomia, já que seus resultados 
podem influenciar a sociedade e consequentemente interagir de 
alguma forma com os indivíduos.
Originalmente a ergonomia assumiu uma característica híbri-
da, sendo uma disciplina formada pela integração de fragmentos 
de vários ramos do conhecimento. Tal característica motivou 
cientistas de diferentes áreas a trabalharem em conjunto para o al-
cance de problemas complexos multidisciplinares. A abordagem 
inicial adotada pela ergonomia para solução desses problemas 
pode ser denominada como AHT (Adaptar o Homem ao Traba-
lho). Tal abordagem é focada em projetar máquinas e métodos 
eficientes e depois buscar pessoas que possam se enquadrar nas 
tarefas geradas por esses métodos e máquinas, ou pelo menos 
que possam ser treinadas para esse fim.
A base da abordagem AHT é que todo o sistema projetado 
possui características específicas e exige também que as pessoas 
tenham características específicas para executar suas tarefas, 
especialmente para alguns tipos de sistemas, como, por exem-
plo, para a pilotagem de avião de caça ou para a operação de 
reator nuclear de potência. Entretanto, a sociedade, bem como 
a legislação trabalhista cada vez mais enfatizam a igualdade de 
oportunidades para todos e questionam se realmente é necessário 
um perfil específico para a execução de uma dada tarefa ou se 
isso é requerido porque o projetista não explorou os recursos de 
engenharia suficientemente para permitir que uma maior parcela 
da população pudesse executar a tarefa adequadamente.
28 CAPÍTULO 3 Fatores Humanos e Engenharia
Diante desses questionamentos a ergonomia evoluiu pa-
ra uma nova abordagem que pode ser denominada de ATH 
(Adaptar o Trabalho ao Homem). Nessa forma de abordagem 
reside a essência do correto entendimento da ergonomia. A 
abordagem ATH possibilita que os projetos sejam melhorados 
de forma a propiciar condições mais eficientes de interação 
homem × sistema, alcançáveis por uma diversidade maior 
de pessoas.
Evidentemente, alguns sistemas específicos possuem carac-
terísticas que tornam inviável uma abordagem completamente 
ATH. É o caso de pilotos militares cuja estatura precisa ser 
limitada para evitar a amputação de pernas em caso de ejeção 
em emergência. Porém, excetuando-se esses casos extremos, 
um projeto com abordagem ATH oferece melhores condições de 
segurança, melhor eficiência operacional, maior igualdade 
de oportunidades e responsabilidade social.
Muitos pesquisadores contribuíram para que a evolução da 
ergonomia, dentre os quais destacamos Jastrzebowski que em 
1857, na Polônia, elaborou o tratado filosófico de ergonomia. 
Murrell (1949), no Reino Unido, reinventou o nome ergonomia 
logo após a Segunda Grande Guerra. Acreditava-se que o nome 
poderia ser confundido com economia. O termo ergonomia na 
Europa estava muito associado com as ciências biológicas. Foi 
então que nos Estados Unidos surgiu o termo fatores humanos 
com rota científica ancorada em Psicologia.
Temas similares aos abordados pela ergonomia faziam parte 
dos temas também tratados por fatores humanos. Enquanto a 
ergonomia permanecia com foco maior nas questões biológicas, 
fatores humanos enfatizava a integração dos aspectos compor-
tamentais humanos aos processos que compõem os sistemas. 
Fatores humanos alcançaram notável sucesso no projeto de 
grandes sistemas na indústria aeroespacial, em particular através 
da NASA, agência espacial americana, e do próprio programa 
espacial americano. A ergonomia europeia permaneceu mais 
fragmentada e tem tradicionalmente sido mais associada às 
ciências básicas, limitando-se a um determinado tópico ou área 
específica de aplicação. Apesar dessas diferenças, não deve 
haver preocupação com relação ao uso dos dois termos. Nos 
Estados Unidos, a Human Factors Society (HFS) recentemen-
te modificou seu nome para Human Factors and Ergonomics 
Society HFES (2012) (http://www.hfes.org/web/Default.aspx). 
Atualmente, o termo fatores humanos é considerado mais amplo, 
http://www.hfes.org/web/Default.aspx
29Gerenciamento de riscos 
abrangendo ergonomia, confiabilidade humana como partes. A 
disciplina fatores humanos deve ser estudada considerando-se 
dois pontos de vista principais. O primeiro com foco voltado 
para o ambiente de indução ao erro humano. Sob esse ponto de 
vista o erro humano é inevitável, e cabe aos engenheiros atuar 
desde o projeto em todos os fatores que formam o ambiente de 
indução ao erro na interação homem × sistema. O objetivo é re-
duzir ou eliminar as consequências dos erros humanos, os quais, 
como os fenômenos naturais,são inevitáveis. O segundo ponto 
de vista para estudo da disciplina de fatores humanos é focado 
no erro humano propriamente dito. Neste caso é necessária uma 
base relativamente profunda de psicologia em associação às 
ferramentas de engenharia. Esse segundo ponto de vista aborda 
com maior profundidade questões cognitivas, comportamentais 
e sociais. Em ambos os pontos de vista os componentes de 
objetividade da engenharia e de subjetividade do comportamento 
humano precisam ser dosados para que resultados objetivos 
sejam alcançados.
Fatores humanos é um tema multidisciplinar que contempla 
vários ramos do conhecimento científico e tecnológico, tais co-
mo: engenharia, psicologia, biomecânica, antropometria, física, 
probabilidade e estatística, comunicação, sociologia, além de 
estar relacionado com o conceito de cultura de segurança. As 
aplicações de engenharia para a melhoria da interface dos sis-
temas homem × sistema abordam os seguintes temas de estudo 
em fatores humanos:
j análise de riscos biomecânico
j projeto centrado no usuário
j análise de riscos do trabalho estático
j análise de riscos do trabalho repetitivo
j projeto e avaliação de trabalho manual
j demanda de trabalho psicológico: estresse e fadiga
j demanda de trabalho (sobrecarga)
j estresse ambiental
j projeto e análise de influência da temperatura
j ambiente visual
j audição, som, ruído e vibração
j processamento humano de informação e carga de trabalho 
mental
j projeto de painéis e controles operacionais
j processamento da informação, memória e linguagem
30 CAPÍTULO 3 Fatores Humanos e Engenharia
j erro humano
j análise de acidentes e segurança
j análise de projetos e interação (homem × sistema)
3.2 ANALFABETISMO TECNOLÓGICO 
COMO AMEAÇA À SEGURANÇA
Um tema também a ser tratado por abordagem de fatores 
humanos ameaça as sociedades tecnológicas. Trata-se da dispari-
dade entre produtos que dependem da tecnologia para funcionar 
e o ambiente em que se inserem. Essa disparidade ocorre tanto 
do ponto de vista da disponibilidade da tecnologia suplementar 
necessária para o bom funcionamento do equipamento, bem 
como do ponto de vista da capacitação mínima do usuário. É o 
que acontece, por exemplo, com usuários de telefones celulares 
em locais com indisponibilidade de rede, ou quando o usuário 
não conhece as funcionalidades tecnológicas e tem dificuldade 
para usar o aparelho. Não só esses produtos, mas a maioria dos 
atuais projetos de engenharia depende de fatores, como dis-
ponibilidade e capacitação tecnológica para funcionar, e com 
segurança. O progresso tecnológico requer o aumento do nível 
de conhecimento e habilidade dos usuários. Como resultado, 
alguns usuários têm habilidades e conhecimentos para manter a 
segurança do trabalho, enquanto outros não entendem por com-
pleto a tecnologia usada e, por isso, desconhecem os perigos 
em potencial associados à tecnologia envolvida na máquina. 
O nível social e econômico influencia o grau de analfabetismo 
tecnológico devido ao menor acesso à tecnologia oferecido às 
camadas sociais mais baixas.
Os engenheiros precisam projetar equipamentos, sistemas e 
ambientes seguros que incorporem cada vez mais tecnologia, 
mesmo para aqueles usuários que possuem pouco conhecimento 
tecnológico ou pouco entendimento sobre os recursos tecnoló-
gicos disponibilizados pelo projeto. Também devem considerar 
uma eventual indisponibilidade de tecnologias associadas a esse 
projeto. A percepção de perigos, os julgamentos e a tomada de 
ações corretivas para evitar acidentes não podem ser deixadas 
por conta de usuários despreparados. Isso deve acontecer desde 
situações relacionadas com instalações industriais complexas até 
o uso diário de produtos, como um telefone celular. Por exem-
plo, um celular pode não ter como funcionar numa determinada 
31Gerenciamento de riscos 
região por falta de cobertura, ou ainda que funcione, mas se suas 
funções forem de difícil entendimento por parte dos usuários 
tecnologicamente menos instruídos, o risco existe. Tais eventos 
também podem acontecer com grandes navios, de capacidades 
imensas de carga, que se forem operados em portos sem o co-
nhecimento tecnológico adequado podem se acidentar durante 
o carregamento. Levar alta tecnologia para sociedades pouco 
desenvolvidas tecnologicamente, ou a públicos despreparados, 
pode sujeitar pessoas a riscos ignorados se o projeto não tiver 
uma abordagem de segurança específica para essas situações.
3.3 FATORES HUMANOS, ENGENHARIA 
E SEGURANÇA OFFSHORE
As atividades tecnológicas associadas à engenharia, como 
a segurança offshore, a exploração, produção e refino de pe-
tróleo, exigem constante atualização e atenção às novas formas 
de abordagem técnica e à crescente complexidade de soluções 
em projetos, instalações e atividades operacionais. Um lapso de 
sensibilidade e atenção sobre as novas ideias e novas soluções 
nesse mercado pode significar a perda de competitividade, além 
de transformar projetos – e projetistas – que estão seguramente na 
liderança desse processo, em projetos – e projetistas – superados 
tecnologicamente, sem espaço competitivo no mercado, num 
curto espaço de tempo.
Especialmente, nos últimos 30 anos, as atividades tecnoló-
gicas associadas à engenharia vêm adotando uma linha que as 
aproxima de valores novos, como preservação do meio ambiente, 
busca da qualidade e excelência, aumento de segurança, respon-
sabilidade social, igualdade de oportunidades, visão globalizada 
de consequências, entre outros. Primeiramente, o despertar pelas 
questões ambientais que ocorreu, em especial nos anos 1980. 
Depois a questão da busca da excelência e da qualidade nos anos 
1990. Finalmente, no início do novo milênio, as questões sociais 
se aliam às ambientais, formando uma nova consciência sobre a 
extensão de cada projeto, instalação e operação de engenharia. 
Agora, o produto é comprado juntamente com seus efeitos ao 
meio ambiente, à sociedade e à economia, pagando-se um preço 
compatível não só com o desempenho e com a qualidade do pro-
duto, mas também com os seus efeitos ambientais e sociais. Uma 
instalação industrial, uma refinaria, uma plataforma offshore 
32 CAPÍTULO 3 Fatores Humanos e Engenharia
valem não apenas pela sua produtividade e eficiência técnica, 
mas também têm seu valor avaliado pelos efeitos produzidos na 
sociedade, na economia e no meio ambiente.
Neste cenário de início de milênio, é possível imaginar que 
cada vez mais será requerida dos engenheiros a realização de pro-
jetos, instalações e operações mais harmoniosas com a natureza, 
com a sociedade e com o equilíbrio econômico. As máquinas, 
projetos e intervenções humanas feitas pela engenharia parecem 
estar transcendendo as limitações do modelo lógico-matemático 
clássico, para adotar um novo modelo mais abrangente, rico e 
completo, sem abandonar a lógica matemática original, porém 
contemplando uma visão maior dos efeitos de cada uma das inter-
venções promovidas pela engenharia no indivíduo, na sociedade, 
na economia e no meio ambiente.
Os novos produtos precisam interagir com muito mais preci-
são e eficiência, porque resolvem problemas em cenários muito 
mais complexos do que aqueles das últimas décadas do milênio 
anterior. A comunicação homem × sistema precisa ser muito 
mais bem desenvolvida, com menos frases incompletas, além da 
inversão do processo: em vez de os homens tentarem se tornar 
máquinas, as máquinas, os projetos e as instalações precisam se 
aproximar mais do homem, do comportamento humano.
Isso envolve todas as áreas, mas o crescente aumento de 
complexidade tecnológica afeta em especial uma área básica: a 
segurança. Não é mais possível regredir no grau de complexidade 
da teia de relações requerida para manter o nível tecnológico de 
nossos tempos. Portanto, os projetos, máquinas e instalações 
precisam ser operados num grau cada vez maior de complexidade 
e risco. Embora a automação venha viabilizando sistemas mini-
mamente operados com elevado percentualde ações automáticas, 
mesmo assim, a interação homem × sistema torna-se ainda mais 
crítica. Se, por um lado, o número de operadores é reduzido pela 
diminuição de tarefas manuais, por outro lado esses operadores 
passam a atuar em situações mais críticas, nas quais o nível de 
complexidade dos problemas supera a capacidade da máquina e 
o automatismo não mais oferece soluções.
A aplicação dessa abordagem em termos de engenharia é 
geral, serve para todas as atividades e especializações. Mas, par-
ticularmente no âmbito da segurança e análise de risco offshore, 
há um grande espaço a ser preenchido até que os projetos de 
unidades offshore saiam do conceito AHT (Adaptar o Homem ao 
Trabalho) para o conceito ATH (Adaptar o Trabalho ao Homem). 
33Gerenciamento de riscos 
Ainda é preciso evoluir os projetos atuais para que possam in-
corporar o conceito de projeto externo, que busca aprimorar a 
interação homem × sistema, por meio de uma ampla visão no 
que se refere aos efeitos comportamentais do projeto na execução 
final de tarefas e organização do trabalho, sem prejuízo para o 
projeto interno, que já se refere à interação homem × sistema 
com os equipamentos e instalações propriamente ditos.
Com a tendência de redução do número de pessoas nas unida-
des de exploração e produção offshore, tais plataformas exigirão 
operadores mais capacitados e preparados para uma carga maior de 
tarefas. Isso pode gerar uma disparidade entre o novo conceito de 
plataforma com o operador e o ambiente operacional que ainda pos-
sui uma cultura tradicional e diferente. Se o projeto não incorporar 
conceitos de fatores humanos adequadamente, pode-se estabelecer 
uma situação de analfabetismo tecnológico. Ilustrativamente, seria 
como um advogado brasileiro que tivesse de defender uma causa 
no Japão em japonês. A despeito de toda a capacidade técnica, o 
desconhecimento dos novos códigos e linguagens cria um ambiente 
onde as ações poderiam ser confundidas como decorrentes de 
uma espécie de analfabetismo, gerando consequências desastrosas, 
principalmente no âmbito da segurança e aumento de riscos.
Seguindo o padrão clássico do projeto de sistemas de segu-
rança, a maioria dos projetos atuais na área offshore demanda 
dos engenheiros soluções de segurança voltadas para a prevenção 
de acidentes baseadas na eliminação ou redução de condições 
inseguras. Mas a outra face do problema, a proteção contra o ato 
inseguro, não é tão explorada pelos projetistas, e um dos motivos 
é a carência de ferramentas que atendam essa demanda no âmbito 
da engenharia clássica. Para preencher essa lacuna, é necessária a 
inclusão de conceitos de fatores humanos, capazes de contemplar, 
além da engenharia clássica, os aspectos subjetivos e multidis-
ciplinares indispensáveis para prover soluções de segurança 
associadas aos atos inseguros e erros humanos. Como incluir 
tecnologicamente nos projetos de máquinas e instalações prote-
ção contra erros humanos? Melhorando a interface homem × sis-
tema, melhorando o ambiente, a cultura, o conhecimento técnico, 
as máquinas. A resposta para a proteção contra erros humanos 
paradoxalmente inclui melhorar todos os aspectos envolvidos, 
exceto o próprio homem. O homem comete erros, e os projetos 
devem conviver e estar preparados para essa realidade, em vez de 
requerer ou esperar que o homem venha a se descaracterizar 
de sua natureza e se torne perfeito, à prova de erros.
34 CAPÍTULO 3 Fatores Humanos e Engenharia
Ferramentas clássicas, como a matemática e a estatística, 
devem ser acrescidas dos aspectos não modeláveis matemática 
e estatisticamente, como são as características comportamentais, 
culturais e sociais dos usuários da interface homem × sistema. A 
forma de inclusão dessas características subjetivas requer ferra-
mentas capazes de reunir tanto os aspectos modeláveis matemá-
tica e estatisticamente como a influência de aspectos subjetivos, 
através de simulações definidas com base nos procedimentos 
praticados e nas particularidades de cada cenário acidental pos-
tulado. Características antropométricas e biomecânicas, estas de 
maior afinidade com as ferramentas clássicas, também devem 
ser consideradas para o projeto de sistemas de segurança mais 
eficientes e com soluções mais completas e realistas. Ampliando 
a abordagem tradicional dos projetos para contemplar também 
fatores humanos em suas soluções de segurança, os projetistas 
estarão minimizando o impacto do comportamento humano nos 
acidentes e projetando para o comportamento humano.
Projetos que não contemplam conceitos de fatores humanos 
em suas soluções de segurança possuem um limitador quase 
inacessível: o próprio homem. Esses projetos deixam para o 
bom senso dos envolvidos a responsabilidade pela segurança 
do usuário, clientes, população e sociedade. Quando esse bom 
senso se soma com um projeto omisso quanto ao tratamento 
dos fatores humanos, pode ser produzido um certo tipo de falha 
do sistema, e, consequentemente, um acidente sem justificativa 
aparente. Normalmente, chama-se a isso de fatalidade. Dentro 
de uma abordagem de fatores humanos não existe fatalidade, 
mas sempre há um fato original, sempre há causas, e os projetos 
devem ser concebidos com essa consciência. O desejo de ser 
seguro é comum a todos e pode ser apurado pelo chamado bom 
senso. Mas as ações requeridas para o alcance da segurança não 
são comuns, dependem da experiência anterior, da habilidade, 
do ambiente e de todos os fatores humanos envolvidos com a 
intervenção tecnológica do homem no ambiente e na sociedade 
em que se insere.
No caso, por exemplo, de projetos de sistemas de segurança 
offshore, dentre as inúmeras situações de emergência, a mais 
extrema é a de escape e abandono da unidade. Nesse caso, a 
decisão pelo abandono é tomada depois de constatado que o 
grau de degradação da segurança da instalação chegou a um es-
tágio tal cujo risco em permanecer já não mais se justifica. São 
projetadas rotas de fugas e definidas estratégias prévias para 
35Gerenciamento de riscos 
fazer frente a essa emergência, porém cada operação de escape 
e abandono tem suas características muito particulares, exigindo 
decisões também rápidas e muitas vezes contraditórias com as 
estratégias previamente definidas. Um dos mais famosos exem-
plos de situação de evacuação e abandono malsucedidos foi a do 
clássico acidente da plataforma fixa de Piper Alpha, ocorrido no 
Mar do Norte em 1988, quando 167 pessoas morreram seguindo 
corretamente os procedimentos e mantendo-se no casario da 
plataforma, aguardando um resgate que jamais chegou. Os sobre-
viventes, 62 tripulantes, em sua maioria tomaram a decisão de se 
lançar diretamente ao mar, contrariando todos os procedimentos 
e estratégias previamente definidos para esse tipo de emergência.
Os procedimentos, estratégias, rotas de fuga, cultura opera-
cional e sistemas de segurança da Piper Alpha foram projetados e 
definidos sem uma análise completa, incluindo fatores humanos. 
Foram projetadas apenas com as ferramentas de engenharia 
clássica, obedecendo a regras de dimensões de rotas de fuga, 
estimativa de tempo. Os fatores humanos associados à emergên-
cia real foram ignorados ou subestimados em sua importância. 
Contemplar fatores humanos nos projetos de segurança offshore 
representa primeiramente evoluir da engenharia clássica para a 
engenharia resiliente, com regulações funcionais baseadas em fa-
tores humanos e capazes de fazer, durante uma emergência, que a 
instalação retorne a sua condição inicial, preservando os sistemas 
e as estratégias de projeto. Mais que isso, um degrau acima seria 
evoluir ainda mais, da engenharia resiliente para a engenharia 
robusta, na qual os sistemas homem × sistema robustos, com 
regulações estruturais baseadas em fatores humanos modificam 
o ambiente externo e a estrutura interna do projeto em resposta 
a uma perturbação. Sistemas robustos não se limitam a garantir 
as funções originais de projeto.
Plataformas offshore projetadasem engenharia robusta po-
dem, diante de uma emergência, eliminar funções de projeto e 
criar funções inéditas para solucionar perturbações, como se o 
projeto pudesse ser corrigido e transformado durante a emer-
gência com a fluidez de uma máquina de aparência quase viva, 
propiciada pela presença e intensa interação humana com a mes-
ma. Para que um empreendimento alcance esse patamar de ro-
bustez, um profundo conhecimento de fatores humanos deve ser 
considerado desde o projeto até a operação do empreendimento.
Para o desenvolvimento de sistemas homem × sistema des-
se nível, é necessário um estudo de projeto mais amplo com 
36 CAPÍTULO 3 Fatores Humanos e Engenharia
ferramentas que possibilitem simulações mais ricas e diversifica-
das dos cenários acidentais possíveis. Um erro é tentar modelar 
matematicamente – e com ferramentas clássicas – aspectos sub-
jetivos e de fatores humanos que não se enquadram na engenharia 
clássica. Outro erro é ignorar os fatores humanos e considerar 
apenas os resultados obtidos com as ferramentas da engenharia 
clássica, criando uma disparidade entre projeto e realidade, o que 
pode custar vidas preciosas. Projetos de engenharia robusta que 
contemplem conceitos de fatores humanos propiciam ambiente 
externo × sistema; homem × sistema bem conectados.
No terreno onde a engenharia clássica e os modelos matemá-
ticos não podem prover resultados confiáveis, é possível estender 
os resultados obtidos, considerando os conhecimentos multidis-
ciplinares sobre fatores humanos. Não fazê-lo é empobrecer a 
análise técnica e gerar resultados tão incompletos em relação 
à realidade que podem levar a soluções, regras e estratégias 
grotescas, como as que aconteceram em Piper Alpha. Lá, 167 
pessoas morreram seguindo uma estratégia e procedimentos 
carentes de conhecimentos de fatores humanos e projetados em 
disparidade com a situação real da emergência de que deveriam 
fazer frente. Apenas a engenharia clássica é insuficiente para 
o projeto de sistemas de segurança complexos, uma vez que 
os acidentes envolvem sempre aspectos de imprevisibilidade, 
aspectos subjetivos, forças naturais, e, principalmente, fatores 
humanos desde o projeto, passando pela fabricação/construção 
até a operação.
Com a evolução tecnológica e o aumento da qualidade técnica, 
as causas de acidentes relacionadas com a tecnologia vêm de-
crescendo, e as relacionadas com a organização e cultura vêm 
aumentando, conforme dados levantados pela Primatech (2008). 
Curiosamente, as causas relacionadas ao erro humano têm di-
minuído em quantidade, mas a sua influência tornou-se muito 
maior porque quando acontecem têm maior possibilidade de gerar 
situações catastróficas, já que a intervenção humana nos proces-
sos operacionais está se dando em níveis cada vez mais elevados 
de complexidade de consequências. Dessa forma, a experiência 
profissional passou a ser muito mais importante e o seu valor 
tem sido resgatado nos últimos anos. Para fazer um bom projeto 
de evacuação e abandono de unidade offshore, por exemplo, não 
basta uma boa simulação da movimentação de pessoas no layout 
da unidade, nem apenas cálculos precisos da velocidade das pes-
soas pelas diferentes rotas de fuga. É fundamental a experiência 
37Gerenciamento de riscos 
operacional em situações de emergência desse porte, para incluir 
nas análises de projeto muito mais do que resultados numéricos 
e estatísticos, mas as possíveis reações comportamentais, psico-
lógicas dentro de um contexto cultural, social e ambiental em 
que a unidade se insere. Para isso, é necessária a experiência 
operacional, neste caso insubstituível. Este livro incluiu em seu 
estudo de caso dados e informações acumulados por décadas de 
experiência operacional em harmonia com as ferramentas es-
tatísticas e computacionais, com o objetivo de se alcançarem 
simulações o mais realistas possíveis.
Do ponto de vista técnico e científico, o surgimento de 
possibilidade de simular, ainda que de forma limitada, a in-
teração social e emocional que pode ocorrer em um ambiente 
homem × sistema real em estado de emergência constitui uma 
verdadeira ruptura tecnológica. As reações e consequências as-
sociadas aos comportamentos indissociáveis de toda atividade 
humana possibilitam, ainda, o aprimoramento do estudo dessa 
interação entre homem e sistema.
CAPÍTULO
4Estratégias para gerenciamento de riscos
SUMÁRIO DO CAPÍTULO
4.1 Segurança e limite da engenharia ...................................... 41
4.2 Abordagem atualizada de segurança e gerenciamento 
de riscos ........................................................................... 43
4.3 Cultura de segurança em substituição ao legalismo 
e heroísmo ........................................................................ 47
4.4 Segurança, meio ambiente e multidisciplinaridade .............. 53
4.5 Princípios de fatores humanos para gerenciamento 
de riscos e segurança ........................................................ 55
4.5.1 Princípio 1: Centralização de objetivos 
nas pessoas .......................................................56
4.5.2 Princípio 2: Adaptação do projeto ao homem ........57
4.5.3 Princípio 3: Controle da interação 
homem × sistema ..............................................57
4.5.4 Princípio 4: Proteção contra o erro humano ..........58
4.5.5 Principio 5: Superioridade da decisão humana .....58
4.5.6 Princípio 6: Não mecanização do trabalho 
humano ............................................................59
4.5.7 Princípio 7: Inclusão de projeto antropométrico 
e psicológico .....................................................59
4.6 Princípios de cultura de segurança para gerenciamento 
de riscos e segurança ........................................................ 60
4.6.1 Princípio 1: Multidisciplinaridade ........................60
4.6.2 Princípio 2: Subjetividade...................................60
4.6.3 Princípio 3: Priorização ......................................61
40 CAPÍTULO 4 Estratégias para gerenciamento...
4.6.4 Princípio 4: Atenção certa ..................................61
4.6.5 Princípio 5: Tempo certo .....................................61
4.6.6 Princípio 6: Inclusão de projeto de fatores 
humanos ...........................................................61
4.6.7 Princípio 7: Inteligência técnica ..........................62
4.7 Princípios de eficiência para gerenciamento 
de riscos e segurança ........................................................ 62
4.7.1 Princípio 1: Descarte de riscos desnecessários ......63
4.7.2 Princípio 2: Respeito às leis naturais ...................63
4.7.3 Princípio 3: Simplicidade ...................................64
4.7.4 Princípio 4: Concisão de regras ...........................64
4.7.5 Princípio 5: Combate ao legalismo .......................64
4.7.6 Princípio 6: Combate ao heroísmo .......................65
4.7.7 Princípio 7: Humildade ......................................66
4.8 Lições aprendidas com eventos acidentais ......................... 67
4.8.1 Titanic e Costa Concordia ....................................67
4.8.2 Acidente nuclear de Fukushima...........................74
4.8.3 Acidente no voo 447 Rio de Janeiro-Paris ............79
4.8.4 Queda de meteorito na Rússia .............................84
4.8.5 Incêndio na boate Kiss em Santa Maria, RS .........88
4.8.6 Furacão Sandy, Nova York, USA ..........................98
4.8.7 Desmoronamentos por tempestades 
de verão, Brasil ................................................101
41Gerenciamento de riscos 
O termo segurança tem sido usado pela engenharia por décadas, 
mas há no seu uso alguma imprecisão. Se fosse o nome de um 
produto, vender segurança não seria uma atividade honesta, pois 
segurança absoluta é impossível de ser obtida. Também há uma 
dificuldade na língua portuguesa, que utiliza o mesmo termo para 
questões relacionadas com os acidentes em geral, como também 
para questões de segurançapública e patrimonial. Em inglês, são 
usadas palavras diferentes: safety, para acidentes; e security para 
segurança pública e patrimonial. Talvez, antes de o problema de 
utilização dupla do termo ser completamente sanado, isso se torne 
desnecessário. Depois dos ataques terroristas de 11 de setembro, 
aumentou a tendência de incluir no escopo da tradicional enge-
nharia de segurança assuntos relacionados à segurança pública, 
física e patrimonial. Isso tem se intensificado porque cada vez mais a 
engenharia é demandada para prover soluções nessas áreas; sendo 
a engenharia de segurança reconhecidamente um ramo multidis-
ciplinar, tende a aceitar cada vez mais essas demandas, bem como 
as relacionadas com a proteção ao meio ambiente. Ao mesmo tempo 
em que os profissionais de segurança não podem excluir esses novos 
temas de suas demandas, também não há ainda uma delimitação de 
fronteiras entre a atuação dos engenheiros e dos demais profissionais 
necessários para o alcance do resultado de aplicação multidisciplinar 
requerido, a fim de robustecer os sistemas de segurança para reduzir 
as consequências dos acidentes.
Também é preciso atentar para as correções geradas pelas déca-
das de evolução na gestão tecnológica, que inseriram novos valores a 
serem protegidos pela engenharia. Não seria possível prover soluções 
compatíveis com os nossos tempos, se a engenharia de segurança 
não aceitasse novos desafios tecnológicos e principalmente não en-
tendesse a necessidade da multidisciplinaridade necessária para isso.
Nos itens a seguir, apresentamos o posicionamento estra-
tégico da segurança e gerenciamento de riscos em relação às 
suas demandas cada vez mais multidisciplinares, complexas, 
 competitivas e, principalmente, em contextos nos quais a tec-
nologia exige cada vez mais a operação no limite da máquina.
4.1 SEGURANÇA E LIMITE DA ENGENHARIA
Todas as disciplinas de engenharia trabalham com questões de se-
gurança. Não se pode atribuir a uma parte específica do grupo de enge-
nheiros, técnicos e gestores a segurança de um empreendimento tecno-
lógico. Um organograma técnico desse tipo levaria a uma distribuição 
42 CAPÍTULO 4 Estratégias para gerenciamento...
de responsabilidades desigual, como se alguns engenheiros tivessem 
mais responsabilidade do que outros pela segurança do empreen-
dimento. Isso descaracteriza o conceito de cultura de segurança, 
visivelmente dedicado a valorizar o comprometimento de todos para 
prover a atitude certa, no tempo certo de modo a evitar o acidente.
A aparente centralização da responsabilidade da segurança em 
um grupo ou especialidade de engenharia pode também propi-
ciar um ambiente favorável para uma série de atitudes negativas 
e vícios por parte dos teoricamente responsáveis pela segurança. 
Os procedimentos operacionais, as interações homem × sistema, 
a multiplicidade e complexidade de sistemas fazem com que 
cada profissional ou gestor envolvido com o empreendimento 
seja o maior responsável pela segurança dos sistemas com os 
quais interage. Ou seja, ninguém melhor do que o especialista de 
cada sistema para prover ações de segurança e evitar acidentes.
Isso não significa que um determinado grupo não possa ser 
 dedicado especificamente a projetos e normas de sistemas de 
segurança (dedicados exclusivamente a prover contramedidas 
em caso de acidente). Esses sistemas de emergência, por exem-
plo, de água de combate a incêndio, como qualquer outro sis-
tema, necessitam de engenheiros para o seu projeto, instalação 
e operação. Mas é importantíssimo diferenciar a capacidade de 
projetar, construir e operar esse sistema, da responsabilidade com 
a segurança do empreendimento tecnológico, que é de todos os 
envolvidos ao longo de sua vida.
Ao se concentrar em uma parte específica da organização, a 
responsabilidade pela segurança do empreendimento como um 
todo, é criada a oportunidade para que um determinado grupo 
adote a postura viciada de controle e superioridade – como dono 
da última palavra – ou ainda uma abordagem na forma de auditoria 
julgadora. Isso pode acarretar nos demais grupos formadores do 
empreendimento tecnológico uma atitude defensiva, menos com-
prometida e menos transparente, o que não interessa nem um pouco 
para a formação de uma boa cultura de segurança. A auditoria deve 
existir, a fiscalização deve existir, mas a responsabilidade pelo nível 
de segurança é de todos os envolvidos ao longo de toda a vida do 
empreendimento tecnológico, inclusive gestores e administradores. 
Há casos como o da plataforma Piper Alpha, destruída por um 
incêndio no Mar do Norte (1988), com 167 vítimas fatais, em que 
o processo que desencadeou o seu incêndio catastrófico teve início 
na localização de um simples formulário no escaninho errado, o 
que demonstra as consequências de falhas em todos os níveis.
43Gerenciamento de riscos 
Ao contrário de concentrar a responsabilidade pela cobrança e 
auditoria dos assuntos relacionados com a segurança, melhor é ado-
tar o conceito de cultura de segurança como valor da organização, 
porque reduz o indispensável questionamento referente ao cum-
primento de normas, uma vez que os mecanismos não são apenas 
burocráticos, mas fazem parte da cultura da empresa. O processo 
viciado de cobrança, muitas vezes sem autoridade operacional, leva 
a uma mentalidade na qual fazer segurança passa a ser promover a 
exibição das evidências de eventuais descumprimentos, através de 
imensas listas de não conformidades, sempre por parte daqueles 
que se consideram guardiões da segurança. Tais profissionais caem 
na tentação de acreditar que a partir de uma posição cômoda podem 
dizer o que seja certo e errado, quando apenas geram um ambiente 
de cobrança no lugar do ambiente de comprometimento e res-
ponsabilidade, proposto pelo conceito de cultura de segurança. 
É importante não confundir o vício da falsa concentração de res-
ponsabilidade, com a tarefa da auditoria construtiva e produtiva 
que serve de suporte aos verdadeiros responsáveis pela segurança, 
comprometidos e envolvidos com o empreendimento tecnológico, 
e que tem como objetivo detectar possíveis vulnerabilidades, as-
sim como as oportunidades de melhorias, não como sendo uma 
finalidade da segurança, mas sim como meio de alcançá-la.
4.2 ABORDAGEM ATUALIZADA DE SEGURANÇA 
E GERENCIAMENTO DE RISCOS
A engenharia e a tecnologia incluídas nos projetos permitem 
a superação contínua de limites de desenvolvimento, exigindo 
também uma maior capacidade de gerenciamento dos riscos 
associados. Por essa razão, talvez seja mais apropriado usar o 
termo gerenciamento de riscos do que segurança, uma vez que 
segurança absoluta é um produto intangível, inalcançável em 
termos materiais, pois significaria risco nulo, o que é impossível. 
O que os engenheiros fazem na realidade é analisar e, princi-
palmente, gerenciar os riscos associados aos empreendimentos 
tecnológicos, apresentando soluções para que eles se mantenham 
em níveis aceitáveis. Gerenciar riscos significa fornecer soluções 
técnicas de engenharia, considerando o envolvimento do im-
previsível, do imponderável e do subjetivo na ocorrência dos 
acidentes, seja por influência de forças naturais, falhas de projeto, 
falhas de equipamento, falhas de operação, falhas de gestão ou 
qualquer tipo de erro humano.
44 CAPÍTULO 4 Estratégias para gerenciamento...
Todas as disciplinas de engenharia se empenham em desen-
volver as condições técnicas que viabilizem o empreendimento 
tecnológico. O limite surge quando os riscos tornam-se superio-
res ao aceitável. A percepção de risco e a percepção do que é 
aceitável não são absolutamente exatas, apesar dos esforços das 
análises quantitativas de risco em prover números desse tipo para 
tomada de decisão. As análises quantitativas de risco ainda são 
muito mais úteis como referência do que como valores absolutos 
para tomada de decisão. Análises, simulações, levantamentos que 
envolvem a quantificação de riscos sempre adquirem maior valor 
e reciprocidadecom a realidade dos empreendimentos tecnoló-
gicos quando ajustadas por uma análise qualitativa de riscos e 
pela experiência operacional, esta a mais importante de todas.
As simulações computacionais, as técnicas de análise de 
risco e análises quantitativas através de ferramentas estatísticas 
tentam reproduzir de forma teórica cenários para os quais a falta 
de experiência operacional ainda não reuniu dados históricos 
confiáveis. Nesse particular, quando não há dados históri-
cos que possam indicar uma percepção de risco aceitável, as 
simulações e os cálculos teóricos são mais que úteis, na realidade 
são as únicas ferramentas para orientar o nível de risco que o 
empreendimento tecnológico pode estar levando a organização 
a assumir. Por outro lado, o uso da experiência operacional as-
sociado a simulações e análises teóricas torna-se a mais poderosa 
das ferramentas de gerenciamento de risco. Essa combinação de 
experiência, simulações e teoria, quando equilibrados com uma 
boa cultura de segurança, possibilitam transformar alguns anos 
de experiência operacional em décadas. Com base na experiência 
operacional é possível a boa escolha e definição de cenários 
realistas, o descarte de resultados teoricamente perfeitos, mas 
operacionalmente irreais, e assim, produzir estudos e análises de 
segurança bastante úteis para a tomada de decisão, baseada em 
simulações computacionais e experiência operacional. Pior do 
que não utilizar ferramentas de simulação computacional e aná-
lises teóricas é utilizá-las sem a devida experiência operacional.
Curiosamente, há casos reais de análises teóricas com resulta-
dos que nos levam a reflexões. Uma plataforma de exploração e 
produção de petróleo com projeto dos anos 1970 e que entrou em 
operação nos anos 1980 iniciou um processo de revitalização por 
volta de 2007. Nessa ocasião, foram requeridos os estudos e as aná-
lises de segurança por meio das mais sofisticadas ferramentas de 
simulação disponíveis do mercado. Como na época da construção 
45Gerenciamento de riscos 
da plataforma (anos 1970) essas ferramentas não existiam, as 
análises seriam realizadas pela primeira vez, mais de 20 anos 
após a entrada em operação, que até aquele momento sempre foi 
considerada segura. Surpreendentemente, os técnicos, ao inicia-
rem as primeiras simulações, verificaram que não seria viável 
uma análise tecnicamente aceitável. Pelos cálculos teóricos e 
simulações, a plataforma não conseguiria passar do primeiro ano 
sem um acidente catastrófico que ocasionasse a perda da unidade. 
Isso significa que a unidade operou por 20 vezes mais tempo do 
que as análises quantitativas de risco calcularam como tempo 
máximo até o acidente fatal. Por outro lado, também existem 
casos reais de empreendimentos que foram aprovados pelos es-
tudos de segurança para uma vida útil segura de até 40 anos, e que 
simplesmente sofreram um acidente catastrófico real e definitivo, 
encerrando suas atividades com menos de cinco anos. Esses casos 
não significam que devamos desacreditar das técnicas de análise 
de riscos empregadas, mas sim que devemos utilizá-las como 
suporte à experiência operacional acumulada, que é a parte mais 
importante. Nenhum estudo ou análise de riscos, quantitativos 
ou qualitativos, substitui os fatos registrados através da coleta 
de dados históricos viabilizada pela experiência operacional. Os 
estudos e as análises de riscos devem complementar a experiên-
cia operacional e onde, nessa experiência operacional, houver 
lacunas em relação a um novo projeto ou intervenção.
Teria o empreendimento bem-sucedido dos anos 1970 chegado 
a 20 anos de operação por mera sorte? E o empreendimento tec-
nológico aprovado para 40 anos que não passou dos cinco teria se 
acidentado por azar? Os números são meras referências quando o 
assunto é análise de risco. Mesmo o melhor projeto, com os me-
lhores recursos de segurança, dependerá da cultura de segurança 
da organização para não se acidentar. E, mesmo empreendimentos 
limitados pelas influências da natureza e pela tecnologia disponível 
podem, sim, ter uma história operacional bem-sucedida se houver 
um gerenciamento de riscos compatível e, principalmente, uma cul-
tura de segurança consciente desses elevadíssimos riscos. O sucesso 
da engenharia no gerenciamento de riscos requer uma avaliação não 
apenas baseada em números e simulações, mas principalmente em 
experiência operacional e cultura de segurança. O objetivo central 
do gerenciamento de riscos é o de não aceitar riscos desnecessários, 
e apenas aceitar aqueles riscos que sejam absolutamente necessários 
para a organização e compatíveis com as pessoas, com a sociedade 
e o meio ambiente em que se insere. Entenda-se por “absolutamente 
46 CAPÍTULO 4 Estratégias para gerenciamento...
necessários” aqueles riscos que, independentemente de seu valor, 
por alguma razão subjetiva ou objetiva precisam ser aceitos e en-
frentados para a sobrevivência das partes envolvidas, sejam estas 
organizações, indivíduos ou sociedades.
O que realmente importa na visão atualizada da análise e geren-
ciamento de riscos não é o valor quantitativo do risco traduzido em 
um número, mas a certeza de que aceitar esse risco é absolutamente 
necessário. Se o risco é absolutamente necessário para a organi-
zação, sociedade ou mesmo para um indivíduo, mesmo sendo um 
alto risco, este precisará ser gerenciado uma vez que a organização, 
sociedade ou indivíduo precisa se submeter a ele, em alguns casos 
para sobreviver. Para exemplificar, as chances de sucesso ao pousar 
um helicóptero em uma instalação offshore sinistrada são muito 
pequenas, porém se esta é a única opção para salvar a vida de 
centenas de pessoas, esse risco passa a ser considerado, estudado 
e talvez até se opte por gerenciá-lo na tentativa de realizar o pouso, 
pois em um cenário extremo como o descrito, aceitar esse elevado 
risco pode se tornar a única chance de sobrevivência para muitos.
Diante disso, a decisão sobre aceitar ou não um risco não pode 
deixar de considerar os aspectos subjetivos multidisciplinares 
(mais ricos) em complementação aos valores quantitativos de 
engenharia clássica (limitados), os quais devem ser considerados 
em posição de importância menor na decisão final. A decisão so-
bre aceitar ou não um risco deve ser baseada em dois parâmetros:
j O risco é absolutamente necessário?
j E caso a resposta seja positiva, investe-se em análises 
e avaliações qualitativas e quantitativas desse risco, 
porém sempre considerando que seja qual for a metodologia, 
ferramenta, modelo matemático ou computacional adotado 
nestas análises e avaliações, se isso resultar em um número, 
ele será apenas uma referência, jamais será definitivo 
e sempre estará sujeito a questionamentos dependendo da 
abordagem do tema. Por isso, o valor quantitativo do risco 
tem sempre importância secundária em relação à necessidade 
de aceitá-lo. E gerenciar riscos é aceitá-los o mínimo 
possível, independentemente de seus valores. Se, para a 
sobrevivência de uma pessoa ou organização, é necessário 
aceitar um determinado risco, então as pessoas e organizações 
terão de tentar gerenciá-lo independentemente de seu valor 
quantificado por uma questão de sobrevivência. Gerenciar 
riscos torna-se primeiramente aceitar o mínimo possível 
de riscos que permita a sobrevivência e a competitividade, 
47Gerenciamento de riscos 
independente de seus valores, descartando-se riscos mesmo 
que baixos quando desnecessários, e em alguns casos, 
aceitando riscos elevados “absolutamente necessários”. 
Depois desse descarte, sim, cabe o refinamento desse 
gerenciamento e a correção de excessos a partir das análises 
quantitativas e qualitativas de riscos.
4.3 CULTURA DE SEGURANÇA EM SUBSTITUIÇÃO 
AO LEGALISMO E HEROÍSMO
Há inúmeros vícios que comprometem o comportamento de 
indivíduos, grupos e sociedades em relação ao gerenciamento 
de risco e segurança. Poderíamos enumerar uma grande quanti-
dade de vícios e comentar um a umquanto aos danos que podem 
trazer para a segurança dos empreendimentos tecnológicos. 
Porém, cada indivíduo, grupo ou sociedade pode gerar vícios 
exclusivos, desenvolvidos especificamente no ambiente em que 
se inserem. Isso torna impossível prever todos os vícios e com-
portamentos nocivos à segurança e impossível gerar mecanismos 
de prevenção para cada um. O que fazer para reduzir ou eliminar 
tais vícios que tendem a surgir continuamente durante toda a vida 
operacional dos empreendimentos tecnológicos?
A melhor solução para o problema é o desenvolvimento de uma 
cultura de segurança forte em vez de procurar identificar vícios, 
erros e comportamentos nas pessoas e grupos a fim de comba-
tê-los. Para simplificar, existem dois tipos de vícios principais que 
concentram a origem da maioria dos demais vícios da segurança: 
o heroísmo e o legalismo.
O heroísmo representa os vícios originais dos primeiros em-
preendimentos tecnológicos. Representa também o menor nível 
de profissionalismo e pode ser infelizmente utilizado como 
recurso manipulador de grupos, para que eles atuem acima da 
técnica e do profissionalismo, movidos por sentimentos, motiva-
ções, emoções que, embora possam ser ou parecer nobres, não 
se comparam com a habilidade técnica, o treinamento e a capa-
citação para o gerenciamento de riscos em situações de crise.
Um exemplo polêmico que vamos citar é o caso do incêndio 
na base naval da Marinha Brasileira na Antártida. Como sabemos, 
faz parte da cultura das instituições militares o elevado grau de 
comprometimento e sacrifício em nome dos interesses da pátria, 
o que muito dignifica e orgulha o país. Porém, esse elemento fun-
damental da vida militar não é adequado em termos de cultura de 
segurança e engenharia de gerenciamento de riscos. Observemos 
48 CAPÍTULO 4 Estratégias para gerenciamento...
que, em termos de engenharia, o gerenciamento de uma crise 
como o incêndio devastador em unidade tão limitada pelas con-
dições da região deve ser conduzido medindo sempre os riscos 
a serem assumidos no combate propriamente dito. A primeira 
pergunta que deveria ser feita é: o que será ganho com a atitude 
de adentrar na instalação em chamas para fazer o combate, com 
limitações de equipamentos e suporte técnico? A segunda per-
gunta que deveria ser feita é: o que poderá ser perdido? No caso 
desse lamentável acidente, o máximo que poderia ser ganho era a 
redução das perdas de documentos, dados e materiais científicos 
resultantes das pesquisas brasileiras, mas não havia vidas em 
risco, e a própria instalação já estava altamente danificada a 
essa altura. Por outro lado, havia muito a perder: duas vidas. 
Infelizmente, as perdas se somaram, ou seja, o material científico 
foi perdido e as duas vidas também. O saldo da operação foi a 
atitude louvável de heroísmo, cabível por se tratarem de militares 
altamente comprometidos com o país, capazes de assumirem 
riscos tão elevados. Porém, em termos técnicos de engenharia 
de gerenciamento de riscos, esse heroísmo é nocivo. O objetivo 
técnico deveria ter sido minimizar as perdas humanas e se isso 
fosse tecnicamente seguido, teríamos um incêndio gravíssimo, 
com perda total da instalação e do material científico, mas sem 
perdas humanas. Esse resultado, em termos de gerenciamento 
de riscos e segurança, tornar-se-ia o grande motivo de orgulho.
O heroísmo ainda está muito presente em organizações, gru-
pos, indivíduos e sociedade e é um vício que pode prejudicar a 
eficiência do gerenciamento de riscos e segurança. Infelizmente, 
algumas pessoas e até mesmo organizações abusam desse nobre 
comportamento e extraem de colaboradores atitudes desbalan-
ceadas entre risco e objetivo. Por tudo isso, o heroísmo deve ser 
combatido e considerado como um vício de gerenciamento de 
riscos e segurança, para que durante a crise, apenas a técnica, 
capacitação e experiência profissional orientem as decisões e 
ações no sentido de não se assumir nenhum risco desnecessário 
e salvar o maior número possível de vidas humanas.
Com relação ao legalismo, trata-se de um vício presente no 
gerenciamento de riscos e segurança, no qual os assuntos técnicos 
de engenharia e gestão tecnológica, através do mau uso de nor-
mas, regras e procedimentos, passa a ser gerido por similaridades 
com os ritos legais.
Nas sociedades modernas e democráticas, as leis, para serem 
legítimas, precisam ser criadas e aprovadas pelo poder legislativo 
49Gerenciamento de riscos 
e só após o cumprimento democrático dessas exigências, o ci-
dadão passa a ser sujeito às consequências se transgredi-las. Por 
similaridade, e, principalmente, por influência dos paradigmas 
mecanicistas e orgânicos da gestão tecnológica dos anos 1970 e 
1980, alguns técnicos utilizam normas internacionais, procedi-
mentos e regras como se fossem textos legais. São estabelecidos 
mecanismos para conferir poder coercitivo aos procedimentos e 
normas exigindo-se o cumprimento dos mesmos com uma falsa 
força de lei. São criados também grupos para julgamento desse 
cumprimento e ritos que se tornam verdadeiros processos com 
direito a condenação e absolvição.
O que muitas vezes é esquecido pelos envolvidos é que cada 
país limita os textos com força de lei aos seus códigos, e mesmo 
em questões de acidentes catastróficos com implicações econômi-
cas e sociais, os textos de normas e procedimentos técnicos jamais 
serão tratados oficialmente como leis, sendo, no máximo, utiliza-
dos por peritos, réus, advogados e promotores como embasamento 
para teses de acusação e defesa, que receberão o tratamento da 
justiça segundo os códigos legais do país e não pelas normas 
técnicas. Não se pode justificar a culpa ou o dolo por um acidente 
com base específica no não cumprimento de normas, mesmo que 
reconhecidas internacionalmente. A culpa ou dolo será atribuído 
com base na legislação do país e isso faz grande diferença. É 
possível inclusive, em algum caso de não conformidade, alegar 
que as normas estejam erradas, ao contrário do que acontece em 
relação às leis do país que, em vigor, não podem ser questionadas.
Esse vício é extremamente nocivo à segurança e ao geren-
ciamento de risco e é desmotivador do desenvolvimento tecno-
lógico. As normas e procedimentos técnicos de segurança não 
devem ser vistos como textos legais. Há uma grosseira confusão 
ao substituir o respeito, o comprometimento e a conformidade às 
normas e aos procedimentos, pela ideia de que as normas técnicas 
de segurança são como leis.
Por falta de preparo técnico, ou pobreza de referências, faz-se 
essa analogia equivocada de tratamento entre os códigos legais e as 
normas internacionais de segurança. Isso poderia ser compreensível e 
aceitável para leigos, uma vez que as regras e regulamentos em geral 
estão presentes no dia a dia quase sempre respaldadas em mecanis-
mos legais e coercitivos para seu cumprimento. Mas o profissional 
de gerenciamento de risco e segurança deveria ter o conhecimento 
mínimo de que as normas e os procedimentos reúnem o que há de 
melhor na técnica para se tentar evitar um acidente, mas isso não 
50 CAPÍTULO 4 Estratégias para gerenciamento...
os isenta de erros e falhas e, em alguns casos, a conformidade aos 
mesmos não é suficiente e eficaz para evitar uma catástrofe.
É preciso muito mais do que obedecer a regras e normas de 
segurança para evitar acidentes. Um profissional de gerenciamento 
de risco e segurança eticamente não deveria usar regras e procedi-
mentos como escudo para justificar casos de acidentes que poderiam 
ser evitados com raciocínio, boa técnica, identificação e reconheci-
mento de falhas nas normas. É preciso entender em profundidade os 
fenômenos envolvidos com a atividade tecnológica e dar tratamento 
de engenharia às regras e aos procedimentos usando-os como refe-
rências diante dos fenômenos e imprevisibilidades que acontecem 
na operação real de um empreendimento tecnológico. Obedecê-los 
sempre que estiverem corretos, descumpri-los sempre que isso evitar 
o acidente.Esse descumprimento é obrigatório para os casos em que 
o profissional tem condições de identificar a falha no procedimento. 
Se isso for apurado em termos legais, o fato de ter seguido a norma 
com erro mesmo com informações suficientes para concluir que isso 
levaria ao acidente poderá gerar culpabilidade legal para o profis-
sional, uma vez que é suposto que o mesmo possua a habilidade e 
a perícia suficientes para evitar o acidente nessas circunstâncias, 
argumento que pode ser utilizado em juízo.
Se o procedimento estiver correto e for descumprido, o operador 
responsável não estará cumprindo a sua função como esperado. Se 
o procedimento estiver errado e mesmo assim for cumprido, idem. 
Nesse contexto, o homem passa a ser o centro da diferença entre 
acontecer ou não um acidente e passa a ter muito mais valor no 
contexto geral da segurança dos empreendimentos tecnológicos.
O desenvolvimento tecnológico dos sistemas de segurança é 
prejudicado quando o vício do legalismo está presente. Se por lega-
lismo é dada uma interpretação de lei às normas de segurança, e se 
há a falsa obrigação legal de segui-las sem questionamento, as novas 
soluções de problemas de engenharia de segurança acabam não 
sendo alvo de pesquisa e desenvolvimento justamente por ainda não 
terem sido contempladas pelas normas, o que intimida as iniciativas 
de desenvolvimento tecnológico de soluções de segurança. Afinal, 
por que investir em pesquisa e desenvolvimento de novos sistemas 
de segurança se eles não podem ser utilizados na prática por não 
estarem previstos nas normas e procedimentos existentes? Essa 
questão inibe pesquisa e desenvolvimento na área de segurança.
Mas o cenário está mudando, e já há uma tendência em corrigir 
os danos do vício do legalismo por parte das próprias entidades nor-
mativas. A IMO (International Maritime Organization) tem oferecido 
o recurso de reconhecimento da segurança marítima de projetos com 
51Gerenciamento de riscos 
base em demonstração dessa segurança através de análises de riscos, 
quando esses projetos envolvem desenvolvimentos tecnológicos que 
possam não permitir a conformidade plena com as normas IMO 
de segurança aplicáveis. Sem dúvida, um grande passo é o reco-
nhecimento da necessidade urgente de combate ao vício do legalismo 
na abordagem de questões de gerenciamento de risco e segurança.
Muito mais do que obedecer a normas, os profissionais de 
gerenciamento de risco e segurança devem questioná-las a cada 
projeto, a cada dia e, principalmente, a cada ato operacional. 
Reconhecê-las como a maior fonte de referência para reunir o co-
nhecimento que nos trouxe até o atual ponto de desenvolvimento 
tecnológico. Nunca usá-las como escudo para justificar omissões, 
quando for necessário identificar e apontar suas próprias falhas 
como meio de evitar acidentes.
A presença do vício do legalismo denota um baixo nível de cultu-
ra de segurança e leva a consequências danosas para as organizações, 
sociedades e para os indivíduos. A cultura de segurança deve ser 
enfatizada em ambientes contaminados pelo vício do legalismo, de 
modo a substituí-lo o mais rapidamente possível através dos con-
ceitos, compromissos e atitudes, que estabelecem como prioridade 
absoluta que os assuntos relacionados com a segurança recebam 
atenção certa, no tempo certo, independentemente da necessidade de 
isso estar ou não previsto em regra. O vício do legalismo nas ques-
tões de segurança pode levar a danos organizacionais e sociais que 
extrapolam o âmbito da segurança propriamente dita e contaminam 
a gestão da organização e o comportamento social. Transformando 
normas técnicas em falsas leis, surgem também falsos legisladores, 
falsos juízes, falsos processos, falsos condenados e falsos inocentes.
FIGURA 4.1 Definição de problema e regra.
52 CAPÍTULO 4 Estratégias para gerenciamento...
FIGURA 4.2 Solução possível numa cultura legalista.
FIGURA 4.3 Solução possível numa cultura de heroísmo.
FIGURA 4.4 Solução possível numa cultura de segurança forte.
53Gerenciamento de riscos 
4.4 SEGURANÇA, MEIO AMBIENTE 
E MULTIDISCIPLINARIDADE
A questão da multidisciplinaridade requerida em gerencia-
mento de riscos e segurança já é reconhecida e aplicada, princi-
palmente nas grandes organizações. Porém, há uma disciplina 
específica que tem demandado soluções de segurança com par-
ticular interesse e urgência: a proteção ao meio ambiente.
A urgência e a afinidade entre algumas das disciplinas as-
sociadas às questões de segurança criaram, nos anos 1980, a 
sigla SMS (Segurança, Meio Ambiente e Saúde). Mais à frente, 
algumas organizações incluíram na sigla a letra Q de qualidade, 
também com o objetivo de ressaltar a importância dessa dis-
ciplina, a qual por suas intensas demandas associadas à segurança 
acabou por requerer seu espaço na sigla.
Uma previsão que pode ser feita, mas que não podemos as-
segurar que realmente será concretizada, é a substituição da sigla 
SMS ou QSMS pelo termo gerenciamento de riscos, apesar da 
confusão que pode ocorrer com outro termo bastante difundido 
que é análise de riscos. No nosso entendimento, gerenciamento 
de riscos é muito mais adequado e coerente com a variada gama de 
especialidades envolvidas com o objetivo de reduzir os acidentes 
e suas consequências.
Além do termo segurança se confundir com questões de se-
gurança pública e patrimonial, também conduz à falsa ideia de 
que a disciplina possa realmente prover a garantia de segurança, 
o que é utópico. O trabalho de fato realizado pelos profissionais 
desta especialidade é a gestão, o gerenciamento dos riscos com 
o objetivo de conduzi-los a um nível aceitável. Por esse motivo, 
tem sido frequentemente empregado o termo gerenciamento de 
riscos como o nome da especialidade. Este trabalho também 
sugere isso ao fazer referência à especialidade utilizando ge-
renciamento de riscos e segurança juntos, reconhecendo a pos-
sibilidade de transição.
Como dissemos, o gerenciamento de riscos envolve basi-
camente engenharia, mas cada vez mais precisa incorporar a 
multidisciplinaridade, assimilando conhecimentos de saúde, 
fatores humanos, gestão tecnológica, qualidade, biologia e muitas 
outras. Mas a questão ambiental tomou, nas últimas décadas, um 
espaço grandioso nas atividades tecnológicas. O comportamento 
em relação à questão ambiental passou a ser um componente 
cultural nas sociedades ocidentais e em alguns casos leva ao 
54 CAPÍTULO 4 Estratégias para gerenciamento...
próprio questionamento dos empreendimentos tecnológicos, sua 
relação custo-benefício social, bem como sua viabilidade social.
Com base firmada no antigo termo segurança, pode ser criada 
uma resistência em aceitar essas novas demandas por parte da-
queles que já atuam nesta área, alegando falta de preparação em 
outras disciplinas, incompatibilidades técnicas entre os modelos 
biológico/ecológico com os modelos tipicamente matemáticos da 
engenharia, entre outras razões. Em geral, esta mesma linha de 
justificativa é usada para se evitarem as demandas de saúde, gestão, 
qualidade e fatores humanos.
Esse posicionamento conservador demonstra muito mais uma 
resistência ao entendimento do novo contexto da disciplina e da 
necessidade de atualização, do que uma postura tecnicamente 
correta. Mais uma vez, os velhos paradigmas mecanicista e or-
gânico dos anos 1970 e 1980 acabam sendo difíceis de serem 
deixados para trás pelos especialistas mais conservadores. Esse 
erro pode custar a perda da competitividade das organizações 
e a perda da eficiência em evitar os acidentes. Isso acontece 
quando as organizações e os especialistas em segurança não 
conseguem perceber a complexidade da teia de interdependência 
multidisciplinar que influencia a ocorrência de acidentes e suas 
consequências no mundo tecnológico de hoje.
O engenheiro ainda é o profissional teoricamente mais ade-
quado para prover soluções de segurança para um cenário tec-
nológico, ao mesmo tempo limitado e ilimitado, pela existência 
dessa teiade interdependência multidisciplinar. Mas para isso 
o engenheiro vai ter de estar preparado para assimilar novos 
conhecimentos de biologia, comportamento humano, gestão 
tecnológica e de todos os ramos de especialidades necessários 
para reduzir os riscos dos empreendimentos tecnológicos a níveis 
aceitáveis. Não é possível resolver tudo só com cálculos. Esse 
tempo já passou. Parece difícil acreditar, mas essa é a nova reali-
dade da engenharia, em especial da engenharia de gerenciamento 
de riscos e segurança. Já se foi o tempo em que a engenharia era 
baseada apenas em números. Realmente os números não mentem, 
mas ajudam a esconder a maior parte da verdade.
A proteção ao meio ambiente ocupa hoje posição de impor-
tância quase no nível da proteção das pessoas, mas nunca igual. 
Essa demanda não pode ser recusada pelos engenheiros nem 
encaminhada para outro profissional, pois nenhum está mais bem 
preparado para oferecer soluções materiais de segurança para 
proteção do meio ambiente do que os engenheiros. Poderíamos 
55Gerenciamento de riscos 
citar os biólogos, mas eles estão para este tema assim como 
os físicos, químicos, matemáticos estão para os demais pro-
blemas de engenharia. O engenheiro de gerenciamento de riscos 
e segurança terá de incluir mais essa disciplina e entender que 
a biologia em breve estará no mesmo nível da química e física 
para a engenharia de gerenciamento de riscos e segurança. Talvez 
a diferença seja a dificuldade em fazer modelagens matemáticas 
associadas a muitas das questões relacionadas com a proteção 
ambiental. Isso significa apenas que a matemática precisará de 
aliados nesse esforço e talvez seja tempo de reconhecer que ela, 
hoje ferramenta praticamente oculta nos softwares que quase 
tudo calculam, não seja tão completa para explicar a natureza 
e a própria engenharia como se pensava há algumas décadas.
4.5 PRINCÍPIOS DE FATORES HUMANOS 
PARA GERENCIAMENTO DE RISCOS E SEGURANÇA
O objetivo deste trabalho é pesquisar o tema fatores humanos, 
identificar os conceitos mais importantes e introduzir um cami-
nho de aplicação prática desses conceitos no gerenciamento de 
riscos e segurança de empreendimentos tecnológicos.
Existem trabalhos específicos sobre confiabilidade humana 
e fatores humanos que permitem um maior aprofundamento no 
conteúdo teórico multidisciplinar. O tema, por sua multidis-
ciplinaridade, desafia engenheiros a conviver com outros tipos de 
ferramentas até então incomuns na engenharia clássica, mas ne-
cessários em termos de engenharia robusta. Um dos pontos mais 
complexos é trazer tais conceitos da teoria para a prática sem 
incoerências técnicas, principalmente em relação às ferramentas 
matemáticas da engenharia clássica.
A partir de nossa pesquisa, podemos verificar a grande quan-
tidade de novos conceitos a serem incorporados pelos empreen-
dimentos tecnológicos e, consequentemente, assimilados pelos 
engenheiros em atividades que requeiram competitividade. A 
lógica e a subjetividade desses conceitos diferem da rotina 
tradicional e cartesiana da engenharia clássica, mas nem por 
isso deixam de reconhecer o valor dos já usuais métodos de 
engenharia. O melhor a ser feito é agregar os conceitos 
de fatores humanos em harmonia com a engenharia clássica, 
adequando-a e ajustando-a para alcançar o nível desejado de 
engenharia robusta.
56 CAPÍTULO 4 Estratégias para gerenciamento...
Com esse objetivo, adotamos uma estratégia específica para 
trazer os conceitos de fatores humanos que consideramos mais 
importantes para o contexto do gerenciamento de riscos e se-
gurança. Essa estratégia consiste em identificar através de sete 
princípios os conceitos com maior relevância prática para a 
 introdução do tema fatores humanos no gerenciamento de riscos 
e segurança.
A razão de estarmos resumindo um tema tão extenso em 
apenas sete itens também tem uma justificativa relacionada com 
o próprio tema fatores humanos. James Reason (2003), em sua 
discussão sobre o erro humano, abordou o tema sob três pers-
pectivas: psicológica comportamental, cognitiva (informação) e 
natural (orgânica). Considerando a abordagem natural do erro 
humano, ele descreve que a memória primária do homem é a 
responsável pela percepção imediata. A memória primária pode 
fixar vários itens e conceitos numa operação de percepção ime-
diata, mas a quantidade de itens memorizáveis depende de haver 
ou não a associação entre esses itens. (O limite na quantidade 
de itens memorizáveis pela memória primária do homem sem 
associação entre si por semelhança ou laços afetivos, segundo Ja-
mes Reason, é de no máximo sete itens.) Portanto, através de um 
esforço de pesquisa e de consolidação dos conceitos estudados, 
decidimos concentrar em sete princípios básicos a metodologia 
de introdução das ferramentas de fatores humanos no contexto 
do gerenciamento de riscos e segurança.
Assim, chegamos a um conjunto de sete princípios de per-
cepção imediata para a aplicação de fatores humanos em geren-
ciamento de riscos e segurança. Por extensão, podemos dizer que 
tais princípios também servem para introduzir fatores humanos 
na engenharia de empreendimentos tecnológicos em geral.
4.5.1 Princípio 1: Centralização de objetivos 
nas pessoas
O objetivo de qualquer empreendimento tecnológico deve ser 
centralizado no benefício ao ser humano, enquanto indivíduo e 
como sociedade, incluindo a segurança necessária para a proteção 
em relação à maior extensão possível de consequências, advindas 
do empreendimento tecnológico, que possam afetar indivíduos 
e a sociedade.
Pesquisas científicas, projetos, obras de construção e montagem, 
instalações, edificações, procedimentos, regras, normas, práticas 
57Gerenciamento de riscos 
operacionais, treinamentos, planos estratégicos, sistemas de gestão, 
administrações, hierarquias, valores, culturas organizacionais e ge-
nericamente qualquer empreendimento tecnológico devem, desde a 
concepção teórica até sua extinção, ter objetivos centralizados nos in-
divíduos e na sociedade, em todos os níveis desse empreendimento.
Embora isso possa parecer óbvio em algumas circuns-
tâncias, através da observação podemos encontrar evidências 
objetivas de que quase sempre esses objetivos naturalmente se 
afastam dos benefícios para os indivíduos e a sociedade. Uma 
das maiores evidências objetivas desse afastamento natural é a 
ausência da representação de pessoas nas plantas e documentos 
de engenharia e arquitetura. Em geral, o ser humano aparece 
apenas em demonstrações para fins de comercialização. Em 
termos de projetos de engenharia, as pessoas supostas de estarem 
interagindo com os equipamentos, bem como a diversidade de 
biótipos dessa população deveriam ser representadas em todos 
os documentos, pois o equipamento está sendo projetado para 
interagir com elas e isso precisa ser representado como acontece 
com os demais componentes do projeto. Por exemplo, os docu-
mentos de projeto de uma plataforma offshore, uma edificação, 
um veículo, deveriam ter o total de pessoas suposto para interagir 
com o equipamento representado em sua documentação. A re-
presentação das pessoas só deveria ser retirada dos documentos 
nas vistas onde isso seja indispensável para visualização. Ao 
simplesmente se inserir a representação da totalidade dos agentes 
supostos a futuramente interagir com o equipamento, muitas 
oportunidades de melhoria podem ser identificadas.
4.5.2 Princípio 2: Adaptação do projeto ao homem
O empreendimento tecnológico deve ser projetado para in-
teragir em segurança com a maior diversidade possível de seres 
humanos, independentemente de características antropométricas, 
comportamentais ou culturais. Sempre que possível o trabalho 
deve ser projetado para ser adaptado ao maior número de pessoas 
possível, ao invés de as pessoas se adaptarem ao trabalho.
4.5.3 Princípio 3: Controle da interação 
homem × sistema
Todo empreendimento tecnológico gera, conscientemente 
ou não, um projeto de fatores humanos quedefine a forma de 
interação desse empreendimento com as pessoas. Esse projeto 
58 CAPÍTULO 4 Estratégias para gerenciamento...
de fatores humanos exerce influência direta na ocorrência de 
falhas, erros e acidentes. O projeto de fatores humanos deve 
atuar sobre o ambiente de indução ao erro, possibilitando uma 
influência positiva sobre a interação homem × sistema, e limi-
tando as consequências dos erros humanos para que estes não 
venham a ocasionar acidentes catastróficos.
4.5.4 Princípio 4: Proteção contra o erro humano
O erro humano é influenciado pelas vulnerabilidades naturais 
(imprevisíveis), pelas limitações humanas (inevitáveis) e pelo 
ambiente de indução ao erro (projetado). O controle das con-
sequências do erro humano para limitá-las a níveis aceitáveis 
só é possível através de um projeto de fatores humanos que 
atua limitando o ambiente de indução ao erro, uma vez que as 
vulnerabilidades naturais e as limitações humanas não estão ao 
alcance da engenharia. Proteger contra erro humano é reconhecer 
que os erros humanos são inevitáveis, cabendo ao projeto de 
fatores humanos criar as soluções de engenharia que limitem as 
consequências desses erros a níveis de riscos aceitáveis.
4.5.5 Princípio 5: Superioridade da decisão humana
Nenhum tipo de automação, intertravamento ou computa-
dor de processo oferece melhor decisão do que o profissional 
técnico devidamente capacitado para a condução das medidas 
de mitigação de uma emergência. Os acidentes sempre incluem 
aspectos imprevisíveis ou inesperados, seja por falhas de equi-
pamentos, falhas de procedimentos, falhas de pessoas ou por 
ação da natureza. A conjugação de todos esses fatores mais a 
percepção do impacto do escalonamento do acidente tanto em 
seus efeitos técnicos, como ambientais e sociais geram um grau 
de complexidade acrescido de aspectos subjetivos que tornam a 
automação limitada para prover a melhor decisão, havendo maior 
chance de resultados positivos através da tomada de decisão por 
um profissional devidamente capacitado à frente do gerencia-
mento da crise.
É importante perceber que a automação é indispensável como 
suporte para ações rápidas, simultâneas em processos complexos. 
Mas a automação deve ter como objetivo reduzir o volume das 
demandas sobre o profissional técnico devidamente capacitado, 
de modo que este direcione a sua capacidade de processamen-
to de informações para as decisões mais críticas e complexas, 
59Gerenciamento de riscos 
e assim, seja poupado de receber quotas de demandas superiores 
à capacidade humana de processamento. Faz parte do projeto 
de automação considerar os fatores humanos envolvidos com 
a tarefa, para impedir que o projeto de automação não apenas 
dispare variáveis e alarmes sobre os operadores sem a devida 
consideração ao processo de gerenciamento humano associado, 
o qual deve ser desenvolvido para viabilizar o processamento das 
informações durante a crise.
4.5.6 Princípio 6: Não mecanização do trabalho humano
O empreendimento tecnológico deve prover soluções de enge-
nharia que impeçam a mecanização do trabalho humano em todos 
os níveis, através de um abrangente projeto de fatores humanos. 
A mecanização de qualquer atividade humana aumenta os riscos 
de acidentes catastróficos por conduzir a uma redução, ainda que 
momentânea, da capacidade de analisar e de prover soluções em 
cenários acidentais em que os elementos imprevisíveis e ines-
perados sempre estão presentes.
Inclui-se como mecanização do trabalho humano sistemas 
de interação homem × sistema que limitam essa interação ao 
cumprimento de normas, regras e procedimentos sem margem 
para que os mesmos sejam a qualquer momento questionados, 
avaliados e, se necessário, descumpridos como meio de evitar um 
acidente. Normas e procedimentos, mesmo que especificamente 
de segurança, devem ser adotados enfaticamente como uma 
mera referência considerando que teoricamente guardam em 
seu conteúdo o melhor da experiência e das boas práticas de 
engenharia aplicáveis à atividade em curso. Isso não significa 
que não possam conter erros ou avaliações inapropriadas para o 
cenário acidental real, o qual é único e pode nunca antes ter sido 
previsto, mesmo hipoteticamente. Por isso, para evitar e enfrentar 
acidentes, deve ser eliminado o vício do legalismo, bem como 
o comportamento mecânico de engenheiros e técnicos, sendo, 
portanto, indispensável uma atuação com liberdade inteligente, 
rica de habilidade técnica e experiência operacional.
4.5.7 Princípio 7: Inclusão de projeto antropométrico 
e psicológico
Os projetos de engenharia, para alcançarem maior nível de se-
gurança, devem incluir abordagem antropométrica e psicológica, 
a fim de estabelecer um projeto adequado de fatores humanos.
60 CAPÍTULO 4 Estratégias para gerenciamento...
A partir de dados antropométricos, devem ser consideradas 
análises de riscos biomecânicos, riscos de trabalhos estáticos e 
repetitivos, riscos de trabalhos manuais, bem como devem ser 
avaliadas as influências de temperatura, ambiente visual, audição, 
vibração, entre outros.
Com relação à psicologia, devem ser consideradas questões 
como estresse e fadiga individual, estresse ambiental, sobrecarga 
de demanda, processamento humano de informação e carga de 
trabalho mental.
4.6 PRINCÍPIOS DE CULTURA DE SEGURANÇA 
PARA GERENCIAMENTO DE RISCOS E SEGURANÇA
Do mesmo modo como fizemos para fatores humanos, 
apresentamos em sete princípios um resumo que consolida os 
principais conceitos pesquisados para introdução do tema cultura 
de segurança nos projetos de empreendimentos tecnológicos. 
Mais uma vez, não é escopo deste trabalho esgotar o assunto, 
mas sim fornecer um caminho para a inclusão dos conceitos 
de cultura de segurança no gerenciamento de riscos e segurança 
de empreendimentos tecnológicos.
4.6.1 Princípio 1: Multidisciplinaridade
O desenvolvimento da cultura de segurança requer visão mul-
tidisciplinar dos acidentes. Os cenários acidentais se apresentam 
como situações adversas com características multidisciplinares 
relacionadas com as consequências da imprevisibilidade de deter-
minados fatos, fenômenos naturais e relacionados com falhas de 
equipamentos, falhas de procedimentos, falhas comportamentais, 
falhas de gerenciamento entre outras.
Em síntese, acidentes são problemas de solução multidisciplinar. 
E essa solução multidisciplinar depende tanto dos conhecimentos 
típicos de engenharia, como dos conhecimentos sobre fenômenos 
naturais e sobre as falhas decorrentes das deficiências do compor-
tamento humano sob a influência maior da cultura de segurança.
4.6.2 Princípio 2: Subjetividade
O desenvolvimento da cultura de segurança requer a inclusão 
de temas subjetivos ao conjunto de temas objetivos para a for-
mação do escopo de trabalho da engenharia de gerenciamento 
de risco e segurança. Relacionar os temas subjetivos com os 
61Gerenciamento de riscos 
temas objetivos de forma coerente e eficiente é que justifica o 
desenvolvimento de uma cultura de segurança.
Como exemplo, o comprometimento (subjetivo) com os 
conceitos adquiridos na capacitação técnica conduz à atitude 
(objetiva) correta.
4.6.3 Princípio 3: Priorização
O desenvolvimento da cultura de segurança requer a priori-
zação dos assuntos relacionados à segurança.
Não é possível desenvolver cultura de segurança quando é 
permitido que outros assuntos adiem a atenção que deve ser dada 
aos assuntos relacionados com a segurança.
4.6.4 Princípio 4: Atenção certa
O desenvolvimento da cultura de segurança requer a capaci-
dade de prover a atenção certa aos assuntos relacionados com 
a segurança. Não é suficiente prover atenção, mas é requerida a 
atenção certa.
Implantar variadas medidas de segurança e prevenção, planos 
e projetos de segurança, redundâncias de sistemas de segurança, 
propaganda e divulgação, cursos, treinamento e capacitação, tudo 
isso significa atenção. Atenção certa é aquela suficiente e eficaz 
para evitar o acidente específico.
4.6.5 Princípio5: Tempo certo
O desenvolvimento da cultura de segurança requer a capaci-
dade de identificar o tempo certo para agir. Não é suficiente agir 
o tempo todo, mas é requerido agir no tempo certo em que a ação 
seja eficaz para evitar o acidente.
Manter continuamente ações de segurança preventivas e sis-
temáticas não assegura que esteja sendo mantida continuamente a 
percepção do tempo certo em que se deve ter a atitude para evitar 
o acidente. Rotina de segurança não é garantia contra acidente. 
Perceber o tempo certo de agir e agir, sim.
4.6.6 Princípio 6: Inclusão de projeto de fatores 
humanos
O desenvolvimento da cultura de segurança requer um projeto 
de fatores humanos capaz de controlar a extensão das consequên-
cias dos inevitáveis erros humanos.
62 CAPÍTULO 4 Estratégias para gerenciamento...
O erro humano é inevitável. Para evitar acidentes por erro 
humano, podemos alterar tudo menos o ser humano, pois este 
não perderá a sua característica de errar, mesmo com a melhor 
capacitação possível. Para evitar acidentes por erro humano, 
tratam-se todos os fatores capazes de influenciar a extensão das 
consequências dos inevitáveis erros humanos, para que essas con-
sequências se mantenham dentro de um limite definido por um 
projeto de fatores humanos.
4.6.7 Princípio 7: Inteligência técnica
O desenvolvimento da cultura de segurança requer inteligência 
técnica para prover soluções de engenharia isentas de vícios, como 
legalismo, heroísmo e, principalmente, de comportamentos meca-
nicistas que possam reduzir ou impedir a capacidade de analisar e 
prover soluções multidisciplinares em cenários acidentais nos quais 
os elementos imprevisíveis e inesperados sempre estão presentes.
Usar normas e procedimentos de segurança de forma legalista, 
explorar o heroísmo alheio e mecanizar as ações das pessoas 
reduzem a capacidade de inteligência técnica e de engenharia de 
gerenciamento de riscos e segurança, conduzindo o empreen-
dimento tecnológico ao acidente e ao escalonamento de suas 
consequências.
4.7 PRINCÍPIOS DE EFICIÊNCIA 
PARA GERENCIAMENTO DE RISCOS E SEGURANÇA
Complementarmente aos princípios de fatores humanos e 
cultura de segurança, alguns princípios gerais mínimos podem 
fazer grande diferença nos resultados relacionados ao geren-
ciamento de riscos e segurança. Estes princípios estão longe 
de esgotar todas as oportunidades de melhoria, que deve ser 
contínua, associadas aos processos de gerenciamento de riscos 
e segurança. Mas o fato de a complexidade do tema conduzir 
para o sentimento de termos pela frente uma longa caminhada 
não impede que se perceba a necessidade da simplicidade do 
primeiro passo necessário em qualquer jornada. Sem o primeiro 
passo pouco adiantaria termos as melhores estratégias para es-
calar as altas montanhas. Como primeiro passo para a melhoria 
da eficiência no gerenciamento de riscos, apresentamos sete 
princípios (conforme a mesma estratégia adotada para fatores 
humanos e cultura de segurança) a serem considerados.
63Gerenciamento de riscos 
4.7.1 Princípio 1: Descarte de riscos desnecessários
Aceite apenas os riscos absolutamente necessários. Todas 
as atividades incluem riscos, mais que isso a vida inclui riscos. 
Quanto mais riscos desnecessários forem descartados, mais 
atenção será dada para o gerenciamento de riscos indispensáveis.
4.7.2 Princípio 2: Respeito às leis naturais
Quanto mais a intervenção provocada pelo empreendimento tec-
nológico se opõe aos fenômenos naturais, às leis físicas, químicas 
e biológicas, maior o risco. Tanto quanto possível, as intervenções 
humanas através de empreendimentos tecnológicos devem explorar 
o sentido de evolução natural dos fenômenos a elas associados.
Por exemplo, ao projetar um equipamento do tipo embar-
cação de salvamento para abandono de instalação offshore, os 
projetistas podem optar entre dois sistemas predominantes no 
mercado: descida ao mar por cabos e descida ao mar por queda 
livre. O equipamento que conceitualmente está mais alinhado 
com o princípio de respeito às leis naturais é o que executa a 
descida ao mar por queda livre. Na realidade, durante a operação 
de descida a embarcação de salvamento por cabos trava uma 
disputa com a mais imperiosa força conhecida do universo 
físico: a força da gravidade. Os cabos estão lá para evitar a ação 
da força natural, que é a gravidade, já que embarcações conven-
cionais não resistem ao choque com a água após a queda livre. 
Em contrapartida, a embarcação por queda livre, quando liberada, 
usa a imperiosa força da gravidade como aliada do movimento 
desejado, sendo assim, essa importantíssima força natural atua 
no mesmo sentido do objetivo da intervenção promovida pelo 
empreendimento tecnológico, neste caso, a embarcação de sal-
vamento para abandono em direção ao mar.
Obviamente, há outros componentes que precisam ser con-
siderados pelo projetista que podem até inviabilizar a aplicação 
de uma embarcação por queda livre, mas o conceito de descer 
ao mar numa situação de emergência por efeito de queda livre 
é sem dúvida um conceito mais alinhado com as forças naturais 
do que aquele que se baseia no emprego de embarcações con-
vencionais que descem ao mar assistidos por cabos. O uso da 
força da gravidade para movimentar a embarcação livremente 
reduz, conceitualmente, os riscos teóricos de mau funcionamen-
to. Isso significa maior eficiência de gerenciamento dos riscos 
envolvidos.
64 CAPÍTULO 4 Estratégias para gerenciamento...
4.7.3 Princípio 3: Simplicidade
Em relação à eficiência no gerenciamento de riscos e segurança, 
o mínimo é máximo. Quanto menos partes móveis, quanto menos 
pessoas envolvidas, quanto menos automação, quanto menos va-
riações, quanto menos procedimentos, quanto menos palavras para 
comunicar, quanto menos sofisticação, quanto menos complexidade 
houver em um empreendimento tecnológico, mais eficiente ele será 
em termos de gerenciamento de riscos se comparados aos demais 
empreendimentos que alcançam o mesmo resultado final.
É importante notar que determinados resultados não podem 
ser alcançados sem empreendimentos tecnológicos sofisticados 
e complexos, envolvendo inclusive extensos sistemas de auto-
mação. Mas o gerenciamento de riscos desses empreendimentos 
serão tão eficientes quanto os projetistas puderem reduzir essa 
sofisticação, automação e complexidade ao mínimo necessário. 
Se, para um mesmo resultado, outros empreendimentos tecno-
lógicos apresentam-se mais simples, estes outros alcançarão 
maior eficiência no gerenciamento de seus riscos. Para fins de 
gerenciamento de riscos, o mínimo é o máximo.
4.7.4 Princípio 4: Concisão de regras
Regras, normas, procedimentos, sinalização, especificações 
técnicas, diretrizes, manuais, alarmes, painéis, consoles, telas e 
quaisquer textos e meios de comunicação relacionados com a 
segurança devem ser os mais concisos e simples possível. Quanto 
menos sinais, letras e palavras utilizadas nos textos relacionados 
com a segurança, maior será a eficiência da comunicação das 
informações técnicas importantes para a segurança. Textos e 
sinais relacionados à segurança devem ser eficientes como um 
“biquíni”: grande o bastante para cobrir as partes essenciais, e 
pequeno o bastante para chamar a atenção.
4.7.5 Princípio 5: Combate ao legalismo
Textos, procedimentos e regras formais de segurança devem 
ser tratados como as melhores referências técnicas para as ações 
relacionadas com a segurança e devem ser, tanto quanto possível, 
respeitados, amplamente questionados e revisados com a maior 
frequência possível. Jamais devem ser tratados como verdades 
absolutas e definitivas ou terem sua aplicação confundida com 
os ritos legais impostos pela legislação formal constituída, nos 
65Gerenciamento de riscos 
quais as leis não podem ser questionadas em juízo. Cabe aos 
engenheiros e especialistas a total responsabilidade pela análise 
científica dos fenômenos associados aos cenários de aplica-
ção dos textos, procedimentos e regras formaisde segurança, 
e, se necessário, ajustarem ou mesmo – em casos extremos – 
descumprirem-nos para se evitar um acidente. Consequentemente, 
esse ato de descumprimento exige muito conhecimento técnico, 
operacional e fenomenológico sobre o cenário em andamento, e 
os que assim decidem assumem todas as consequências decor-
rentes dessa decisão.
Em algumas situações, a formação do cenário acidental, que 
sempre inclui imprevisibilidade como um de seus componentes, 
pode requerer tanto do projetista como do operador final a ati-
tude de correção do lapso entre regras e realidade, até porque 
esse lapso pode ser maior ou menor, conforme a qualidade e 
concisão das regras. Quando as regras falham ou são omissas por 
distanciarem-se do mundo real operacional, a solução emergencial 
é procurada nos elementos da cultura de segurança. Quando essa 
cultura de segurança é pobre, a solução que resta é limitar-se às 
regras, mesmo que, por alguma falha, essas regras sejam com-
pletamente insuficientes para prover a atenção certa no tempo certo 
a fim de evitar o acidente.
Muitas vezes, dada a diferença entre o mundo ideal projetado 
e o mundo real operado, é necessário descumprir as regras e os 
procedimentos para atender aos requisitos de cumprimento das 
leis naturais envolvidas no cenário acidental. Segurança não é 
parar no sinal vermelho de trânsito. Segurança é avançar o sinal 
verde da mesma forma que se avança o sinal vermelho quando 
isso é necessário. Para evitar acidentes é necessário tomar co-
mo referência as regras estabelecidas, como, por exemplo, as 
cores dos sinais de trânsito, mas em nenhum momento deve-se 
 considerá-las garantia para evitar o acidente, sendo necessário 
avaliar os fenômenos reais em andamento. No exemplo do trân-
sito, devem ser considerados parâmetros como velocidade dos 
veículos envolvidos, espaço disponível e tempo disponível, para 
de fato se tomar a decisão correta, seja ela de avançar ou não, 
esteja o sinal de trânsito verde, amarelo ou vermelho.
4.7.6 Princípio 6: Combate ao heroísmo
A contribuição da engenharia para o gerenciamento de riscos 
é a tecnologia capaz de promover a atenção certa no tempo certo 
66 CAPÍTULO 4 Estratégias para gerenciamento...
de modo a evitar o acidente. Buscar a segurança das pessoas, do 
meio ambiente e do patrimônio pode ser um desejo natural, mas 
a maneira de alcançar essa segurança não. O mesmo se aplica 
no caso de se manter heroicamente a produção de uma instalação 
sob riscos para o alcance dos objetivos corporativos. São ne-
cessários tecnologia e conhecimento técnico sobre o cenário 
acidental, e uma profunda consciência fenomenológica sobre 
os eventos em andamento, para que a atenção certa seja dada no 
tempo certo, de modo a evitar o acidente e seus danos à vida, ao 
meio ambiente e à propriedade.
A decisão pelo ato heroico é direito de todos, mas para os 
engenheiros e profissionais de gerenciamento de riscos o ato 
heroico só é cabível após o emprego inteligente da tecnologia 
de análise e resposta ao cenário acidental. Cumprindo primeiro 
sua obrigação de prover as soluções que mais reduzam o número 
de vítimas, o engenheiro e os profissionais de gerenciamento de 
riscos também podem exercer seu direito de ser verdadeiramente 
herói.
O heroísmo ainda está presente em organizações, grupos, 
indivíduos e sociedade e é um vício que pode prejudicar a efi-
ciência do gerenciamento de riscos e segurança. Infelizmente 
algumas pessoas e até mesmo organizações abusam desse nobre 
comportamento humano e extraem de colaboradores atitudes des-
balanceadas entre risco e objetivo. Por tudo isso o heroísmo deve 
ser combatido e considerado como um vício de gerenciamento 
de riscos e segurança, para que durante a crise apenas a técnica, 
capacitação e experiência profissional orientem as decisões e 
ações no sentido de não se assumir nenhum risco desnecessário 
e salvar o maior número de vidas humanas, ao invés de ampliar 
o número de vítimas.
4.7.7 Princípio 7: Humildade
Os empreendimentos tecnológicos são intervenções humanas 
no mundo natural o qual possui suas próprias regras imperiosas 
e que estão fora do alcance do controle absoluto por parte do 
homem. Qual o pior acidente que pode acontecer com qualquer 
ser humano? Aquele no qual ele torna-se vítima fatal. Entre-
tanto, com toda ciência e tecnologia desenvolvida por séculos, 
esse acidente um dia ocorrerá para todos. Seja por falhas de 
comportamento, falhas de equipamentos, forças naturais ou 
acidentes biológicos (doenças) que se desenvolvem em nosso 
67Gerenciamento de riscos 
organismo, e por não termos a menor capacidade de controlá-los 
os denominamos naturais.
A ciência e tecnologia parece ter avançado muito e sua inte-
ligência nos fascina, nos cativa e infelizmente também nos ilude 
temporariamente com seus encantos passageiros. Mas talvez 
para a questão mais importante relacionada ao gerenciamento de 
riscos da vida, nada acrescenta para evitar o acidente fatal que a 
natureza nos impõe. Em muitíssimos casos, a atenção certa no 
tempo certo não é dada de forma eficiente para evitar o acidente, 
por falta de reconhecimento desse fato, por falta de humildade.
4.8 LIÇÕES APRENDIDAS COM EVENTOS ACIDENTAIS
As investigações de acidentes fornecem grande quantidade de 
informações para o aprendizado sobre as causas dos acidentes 
e melhorias no gerenciamento de riscos e segurança. Mas nem 
sempre os temas associados aos fatores humanos são investigados 
com a profundidade desejável. Muitas vezes, a principal razão 
disso é a dificuldade de conciliação entre a subjetividade presente 
nas questões relativas aos fatores humanos e as metodologias 
objetivas empregadas nas investigações de acidentes. Mas, in-
dependentemente das questões estritamente técnicas registradas 
nos relatórios finais de investigação de acidentes, muitas lições 
podem ser aprendidas a partir da simples reflexão sobre os fa-
tos comprovados sobre os eventos acidentais. Apresentamos a 
seguir comentários livres e curiosidades sobre alguns acidentes 
importantes, como exemplo de exercício de reflexão pós-eventos 
acidentais.
4.8.1 Titanic e Costa Concordia
Naufrágios habitam o inconsciente coletivo
Cem anos se passaram e fica a certeza de que grandes nau-
frágios habitam o inconsciente coletivo reforçando imagens 
universais que existem desde os tempos mais remotos.
O desafio de navegar é tão antigo que nem é possível precisar 
como e quando exatamente o homem iniciou sua jornada pelas 
águas. É fácil reconhecer que a simples visão da imensidão do mar 
desperta sentimentos desafiadores. Vários fatores formam a ideia 
de desafio associada à navegação, seja a natural vontade de ver 
além do horizonte, o medo do desconhecido, a possibilidade de que 
algo melhor possa estar do outro lado das águas, a possibilidade 
68 CAPÍTULO 4 Estratégias para gerenciamento...
do isolamento, da solidão em alto mar, a energia e o poder das 
ondas e tempestades, a presença de baleias, tubarões, cardumes. 
Alguns relatos históricos chegam a imaginar cidades e civilizações 
subaquáticas, tesouros perdidos e monstros assustadores.
Navegadores vislumbram conquistas e temem derrotas, bus-
cam sucesso e temem o fracasso, confiam no porto seguro e 
temem o naufrágio, sempre encontrando nas águas o pano de 
fundo para a busca da superação.
O mar e os céus talvez sejam os maiores desafios explícitos e 
objetivos para a curiosidade humana. Não precisam de palavras 
nem de uma cultura específica para serem compreendidos como 
tal. Simplesmente apontam para nossos limites, tanto para os 
limites físicos, como os do conhecimento.
Se observarmos o dia a dia, tais sentimentos fazem parte de 
diversas situações nas vidas das pessoas, e o desafio das águas 
apenas nos coloca frente a frente, de forma objetiva, com uma 
realidade que se repete incessantemente a cada momento: nos-
sas limitações. Acidentes aéreos e naufrágios parecem causar 
sentimentos especiais sobre as pessoas.
Muitas vezes, acidentes rodoviáriose ferroviários causam 
um número de fatalidades superior, mas parecem não exercer o 
mesmo poder de chamar a atenção, despertar o interesse, nem 
de gerar tanto questionamento.
Talvez seja mais fácil entender e aceitar que uma composição 
de vagões possa descarrilar e perder o rumo, do que um navio 
naufragar ou um avião cair. Não há nada de lógico nisso, mas 
há muitos sentimentos coletivos que ampliam a magnitude de 
alguns tipos de acidentes.
Teoricamente deveria ser o contrário, pois os céus e o mar são 
habitats naturais para outras espécies, e nossa presença lá obvia-
mente seria “menos natural” e os acidentes menos surpreendentes. 
Não é isso que acontece. Especialmente o mar, por ser um desafio 
perseguido por séculos por nossos antepassados, parece gerar no 
inconsciente coletivo uma reação diferenciada quanto aos aciden-
tes navais, nos atingindo em relação a nossa real capacidade de 
superação de limites. Pode haver no inconsciente coletivo qualquer 
coisa de “ponto de honra abalado” que diminua nossa autoconfian-
ça na tecnologia quando um naufrágio acontece.
Qual a importância disso para o gerenciamento de riscos?
É muito importante, para os gestores, entender estes aspectos 
subjetivos ou “arquétipos” que compõem a parte submersa do 
69Gerenciamento de riscos 
“iceberg da cultura de segurança”. Justamente é aquela parte 
que fica oculta onde residem os fatores mais importantes 
para que as pessoas, organizações e sociedades tomem decisões 
sobre a aceitação ou não de determinado risco.
Acidentes aéreos e naufrágios simbolizam um questiona-
mento sobre a sensatez de desafiarmos os limites além de nosso 
habitat natural. Esse questionamento é registrado e guardado 
pelas pessoas como parte de sua experiência e entendimento. 
Esse conjunto subjetivo exerce grande influência na aceitação de 
riscos de cada pessoa ao longo da vida, sejam os pessoais, como 
os profissionais. Talvez os naufrágios tenham um peso ainda 
maior do que os acidentes aéreos, pois existem desde a antigui-
dade, incomodando e construindo o inconsciente coletivo das 
pessoas há mais tempo, em relação à aceitação ou não de riscos.
Titanic e Costa Concordia são um exemplo da importância 
dessa influência. O Titanic transformou-se de símbolo de ca-
pacidade tecnológica em símbolo de fracasso tecnológico em 
apenas uma noite, 15 de abril de 1912, quando naufragou com 
mais de 1500 vítimas fatais. Hoje em dia, praticamente em todo 
o planeta o nome Titanic significa “algo que deu muito errado”. 
O desastre do Titanic tem muitas versões fantásticas que com-
plementam as evidências objetivas e históricas, mas elas não 
devem ser totalmente desprezadas, porque de fato fazem parte 
do “iceberg da cultura de segurança” e, portanto, influenciam 
também na predisposição das pessoas em aceitar ou rejeitar 
riscos, mesmo que todos saibam que tais versões não sejam 
verdadeiras. Quando citamos o modelo do “iceberg da cultura de 
segurança”, lá na origem desta ilustração, talvez esteja também 
incluída a informação registrada no inconsciente coletivo de que 
icebergs ocultam riscos e afundam navios.
Já o naufrágio do Costa Concordia ocorreu quase exatamente 
100 anos depois, em 13 de janeiro de 2012, justamente quando o 
emblemático naufrágio do Titanic está sendo mais relembrado. O 
naufrágio do Titanic não foi o maior e mais dramático da história 
e muitos outros desastres de mesmas e até maiores proporções 
ocorreram nesses 100 anos (Kichemaru, The Empress of Ireland, 
Montblanc, Wilhelm Gustloff, Estônia e muitos outros), mas 
nenhum ficou tão registrado no inconsciente coletivo das pessoas 
como o Titanic. O número de vítimas fatais do Costa Concordia 
foi de 32 pessoas, mas a repercussão e o impacto do acidente 
no inconsciente coletivo somou-se aos efeitos dos 100 anos de 
influência exercida pelo Titanic. Uma série de questionamentos 
70 CAPÍTULO 4 Estratégias para gerenciamento...
sobre a navegação foram levantados, em especial sobre os as-
pectos de segurança offshore.
A seguir apresentaremos uma comparação sobre alguns dos 
principais aspectos relacionados com os dois acidentes, na qual 
é possível encontrar semelhanças e diferenças que irão também 
continuar a alimentar o inconsciente coletivo das pessoas por 
muito tempo.
Causas do acidente
Tanto o Titanic como o Costa Concordia incluem como uma 
das razões para os naufrágios uma falha dos seus Capitães. 
No caso do Titanic o capitão é acusado de não dar a devida 
atenção ao alerta sobre a presença de icebergs na rota, enquanto 
o capitão do Costa Concordia está sendo acusado de se desviar 
da rota e navegar em região não compatível com o calado do 
transatlântico.
Tomada de decisão na hora da emergência
Em ambos os acidentes há indícios de que houve falta de lide-
rança e organização no momento de tomar a decisão de abandono 
do navio. No caso do Titanic os relatos conduzem a uma figura 
do capitão em estado de choque, sem reação, enquanto no Costa 
Concordia existe a suposição de o capitão ter retardado decisões 
fundamentais, perdendo a janela de tempo de tomada de decisão 
pelo abandono da embarcação.
O capitão é o último a sair
Muitos pensam que essa é uma norma ou regra de segurança 
offshore, mas não é verdade. Em alguns países esse conceito de 
permanência está oficializado nas regras, em outros não. É fato 
que esta é uma das expectativas das pessoas, que o capitão seja 
o último a abandonar o navio. No caso do Titanic o capitão não 
sobreviveu e isso preservou esse paradigma de permanência 
do capitão até o fim. Não podemos afirmar com exatidão se isso 
ocorreu conscientemente ou pelas circunstâncias, mas o paradig-
ma foi mantido. Já no caso do Costa Concordia, o capitão aban-
donou a embarcação antes de a operação de abandono ter sido 
encerrada, como se fosse uma pessoa a mais a tentar sobreviver 
(e não era?). Ele, mesmo que não fosse obrigado por normas a ser 
especificamente o último a sair, era o responsável principal pela 
operação de escape e abandono, e aparentemente não cumpriu 
sua obrigação. A mais forte influência sobre o inconsciente coleti-
vo das pessoas sobre o acidente é que o Capitão não cumpriu seu 
71Gerenciamento de riscos 
script, ou seja, a história que tem sido narrada há um século sobre 
o que aconteceu com o Titanic incluía o personagem do 
capitão que permaneceu no navio e afundou com ele, pagando 
inclusive pelos seus possíveis erros, mas essa parte da história 
do Titanic não foi bem desempenhada pelo capitão do Costa 
Concordia. A história do Titanic é muito famosa, conhecida e 
talvez esperada de ser repetida por aqueles que, conscientemente 
ou não, comparam os dois acidentes.
Autoridades marítimas externas
No caso do Titanic não tiveram uma participação muito relevan-
te, exceto quanto aos alertas sobre a presença de icebergs na rota, 
os quais foram ignorados pelo capitão, o que se tornou uma das 
causas diretas do acidente. Mas no acidente com o Costa 
Concordia a autoridade marítima da Capitania dos Portos teve um 
papel de destaque. Ao contactar o capitão do Costa Concordia e 
ser informado por ele que o abandono estava em andamento e que 
ele, o próprio capitão, estaria já fora do navio, sendo resgatado para 
terra, a autoridade da Capitania dos Portos se indignou e proferiu 
ordens carregadas de emoção e energia tentando convencer o 
capitão a retomar para cumprir sua missão. Isso conquistou a 
opinião pública, e alguns passaram a considerar a autoridade da 
Capitania dos Portos um verdadeiro herói, mesmo não tendo em 
nenhum momento retirado os seus pés de terra firme.
Analisando o episódio sob a perspectiva puramente técnica, a 
autoridade da Capitania dos Portos demonstrou estar tão despre-
parada quanto o capitão do Costa Concordia para a emergência. 
A autoridade em terra deveria, sim, tentar mostrar ao capitão o 
equívoco que estava cometendo ao deixar o comando da operação 
de abandono, mas o compromisso maior da Capitania dos Portos 
deveria ser salvar as vidas das pessoasno local do acidente. Ou 
seja, se a autoridade da Capitania dos Portos estivesse realmente 
bem preparada iria identificar que o capitão não tinha naquele 
momento capacidade técnica, emocional ou comportamental para 
exercer suas obrigações e por isso a Capitania dos Portos deveria 
estabelecer uma nova liderança imediatamente. Deveria, por 
exemplo, ele próprio, em vez de agir emocionalmente querendo 
fazer o capitão trabalhar na base do grito, assumir o comando da 
operação de abandono, e se necessário ir ao mar com os recur-
sos da Capitania dos Portos, uma vez que o navio estava muito 
próximo à costa. A condenação, as sanções administrativas e 
criminais aplicáveis ao capitão deveriam ser foco das atenções 
72 CAPÍTULO 4 Estratégias para gerenciamento...
num segundo momento, e não em meio ao resgate de centenas de 
pessoas sem comando e sem liderança sendo realizado durante 
a noite no mar.
Localização
O naufrágio do Titanic ocorreu em alto mar com temperaturas 
fatais para a sobrevivência na água. Já o Costa Concordia sofreu 
avaria numa região muito próxima ao litoral, podemos dizer pri-
vilegiada em termos de recursos de resgate. Isso foi decisivo para 
fazer a diferença no número de sobreviventes nos dois acidentes.
Recursos de salvamento
O número de embarcações de salvamento do Titanic era in-
ferior ao número de passageiros. Não havia lugares nas em-
barcações de salvamento para todos. Tais equipamentos eram 
extremamente limitados e com muitos problemas técnicos, prin-
cipalmente quanto aos meios de lançamento ao mar (turcos). Na 
época a regulamentação técnica vinculava o peso do navio com o 
número de embarcações de salvamento obrigatórias. Engenheiros 
alertaram a empresa responsável pelo Titanic dos problemas, 
tanto dos turcos de lançamento quanto da quantidade de embar-
cações, mas a empresa optou por cumprir as regras de segurança 
vigentes e incluiu apenas 16 embarcações de salvamento no 
Titanic, suficiente para atender apenas 33% das pessoas a bordo. 
É preciso ir muito além do cumprimento de regras e normas para 
se alcançar a segurança. Depois do acidente, uma reformulação 
completa das normas de segurança marítima ocorreu. Foi criado 
o SOLAS (International Convention for the Safety of Life at Sea) 
que estabeleceu regras muito mais consistentes sobre equipamen-
tos de sobrevivência em situações de emergências marítimas. 
Essas regras promoveram uma evolução das embarcações de 
salvamento, dos turcos e demais equipamentos de segurança ao 
longo destes 100 anos pós-Titanic. Um século depois, o Costa 
Concordia era equipado com embarcações de salvamento e turcos 
de última geração e em quantidade suficiente para atender pelo 
menos 125% da quantidade de passageiros e tripulantes. O pro-
blema mais crítico é que tais embarcações só podem ser lançadas 
até uma inclinação máxima do navio e essa inclinação é atingida 
após uma janela de tempo desde o início do acidente. O capitão 
sempre deve avaliar a situação e iniciar o abandono dentro da 
janela de tempo disponível para o lançamento das embarcações 
de salvamento, antes que se torne impossível a operação de 
73Gerenciamento de riscos 
abandono, como aconteceu no Costa Concordia. Outro aspecto 
importante é lançar as embarcações de salvamento totalmente 
lotadas. Se as primeiras embarcações forem lançadas com lugares 
vazios, no final poderão faltar lugares para as pessoas nas últimas 
embarcações a serem lançadas. Isso aconteceu no Titanic.
Empresas responsáveis pela embarcação
Em ambos os acidentes há críticas ao posicionamento das 
empresas responsáveis pelos navios. No caso do Titanic as 
acusações são de ordens para seguir viagem a todo custo e o 
estabelecimento de um ambiente de euforia e excesso de auto-
confiança. Já com relação ao Costa Concordia, as acusações são 
de se querer fazer propaganda do navio fazendo-o navegar por 
regiões incompatíveis com sua classe e porte. Certamente grande 
parte da parcela de responsabilidade por ambos os acidentes 
pode ser atribuída com justiça às empresas responsáveis pelos 
navios. Mas alguns dos produtores e diretores de filmes sobre 
o Titanic, quando indagados sobre algumas acusações até então 
desconhecidas contra a empresa responsável pelo Titanic, as quais 
foram incluídas nas últimas versões do cinema, responderam 
que mesmo não havendo base no histórico do acidente, tais pos-
sibilidades são psicologicamente tão interessantes para quem 
conta, como para quem assiste a narrativa do acidente, que eles, 
como produtores e diretores de Hollywood, não poderiam deixar 
de incluí-las, mesmo com certa dose de irresponsabilidade em 
relação à fidelidade histórica. Mais uma ampliação dos efeitos 
do naufrágio sobre o inconsciente coletivo das pessoas.
Lições aprendidas
O naufrágio do Titanic teve imensa repercussão em sua época 
e continua tendo mesmo 100 anos depois. Houve uma completa 
reformulação das regras de segurança depois do acidente que 
na realidade foi o início de um processo de evolução da segurança 
marítima. Apesar de ter acontecido há mais de um século, o Tita-
nic está fortemente presente na mídia, principalmente por cerca 
de oito filmes de longa-metragem com versões de sua história. 
Já o impacto do naufrágio do Costa Concordia foi ampliado pelo 
fato de o acidente ter ocorrido muito próximo à costa, com acesso 
fácil dos veículos de comunicação de massa, em local de grande 
interesse turístico. Outro fator que colaborou para a repercus-
são do acidente foi justamente a analogia imediata com o mais 
famoso naufrágio do mundo: Titanic. Ambos com passageiros 
74 CAPÍTULO 4 Estratégias para gerenciamento...
desfrutando de luxo e sofisticação dos melhores transatlânticos 
de sua época. Ambos com personagens e atores executando 
seus scripts. Ambos associáveis a dúvida de cada pessoa sobre a 
capacidade humana de superação dos limites naturais.
A principal lição dos naufrágios é que temos limites em rela-
ção à natureza e nunca devemos subestimá-los. Isso é tão forte 
que faz parte de nosso inconsciente coletivo. E serve não apenas 
para navios, mas para qualquer empreendimento tecnológico que 
o homem pretenda fazer.
4.8.2 Acidente nuclear de Fukushima
1979 – Estados Unidos, Three Mile Island
1986 – Ucrânia, Chernobyl
2011 – Japão, Fukushima
Desde o início da operação de Usinas Nucleares, os três mais 
importantes acidentes aconteceram distribuídos dentro de um 
intervalo de mais de 30 anos. Mesmo assim, alguns países como 
a Alemanha e o Japão estão recuando e desistindo de priorizar 
as centrais nucleares em sua matriz energética.
Quando se toma uma decisão pela aceitação ou não de um 
risco, o primeiro item que deve ser analisado é se realmente o 
risco em questão é necessário. Afinal, se o risco não é neces-
sário, também não importa muito o seu valor e consequências, 
pois a melhor regra é não aceitá-lo e assumir apenas os riscos 
absolutamente indispensáveis, que já são muitos em todos os 
empreendimentos tecnológicos e demandam considerável ge-
renciamento técnico.
Antes de determinar o fim das atividades de centrais nucleares 
em seu território, a Alemanha já era um dos maiores detentores 
de tecnologia em projetos nesta área. Suas usinas não estão rela-
cionadas na lista dos grandes acidentes e nem os vários projetos 
alemães para usinas espalhadas pelo mundo. Tecnologicamente 
os projetos alemães de centrais nucleares utilizam o que há de 
melhor em termos de segurança, com redundâncias de sistemas 
críticos, lógicas e intertravamentos sofisticados e proteção em 
profundidade que inclui até seis camadas de segurança para 
proteger os maiores perigos para uma central nuclear. Mesmo 
assim, a decisão foi de não aceitação do risco nuclear.
Outros países, como a França e os Estados Unidos, mantêm 
e até ampliam seus programas de geração de energia por cen-
trais nucleares. A França inclusive assumiu parte das empresas 
75Gerenciamento de riscos 
alemãs que detinham alta tecnologia na área de projetos de cen-
trais nucleares.A opção francesa é produzir energia nuclear e 
vendê-la para aqueles que desistiram ou recuaram nesta indús-
tria. Já os Estados Unidos, que passaram pela experiência de 
enfrentar um dos três maiores acidentes nucleares (Three Mile 
Island em 1979), demonstraram alguma hesitação nas décadas 
subsequentes ao acidente, mas retomaram novos investimentos 
no desenvolvimento de usinas nucleares mais seguras e possuem 
novos conceitos de projetos em andamento.
Toda decisão sobre a aceitação ou não de um risco envolve 
uma parcela subjetiva, associada à imprevisibilidade em que 
tudo acontece na natureza. Mesmo com as análises quantitati-
vas e qualitativas de risco, os dados estatísticos e os modelos 
matemáticos que permitem variados tipos de simulações sobre 
a segurança dos empreendimentos tecnológicos, a decisão final 
incluirá sempre uma parcela de subjetividade por conta do fato de 
que risco zero absoluto não existe, e por menor que seja o valor 
do risco calculado, se aceito assumem-se também as consequên-
cias advindas dessa decisão, caso essa pequena possibilidade se 
torne realidade em forma de acidente.
Isso serve para qualquer análise de risco. A diferença é que as 
consequências de um acidente nuclear têm se mostrado inaceitá-
veis logo após cada um dos três grandes acidentes registrados na 
indústria nuclear (Three Mile Island, Chernobyl e Fukushima). 
Os projetos e as operações seguem com o firme conceito de que 
os números das análises quantitativas de risco estão corretos. 
Mesmo havendo em teoria alguma possibilidade de acidente (cal-
culada como remotíssima), quando as autoridades e a sociedade 
aceitam o risco nuclear acreditam de forma subjetiva e sem base 
matemática que essa possibilidade remotíssima jamais irá virar 
realidade. Aí está o ingrediente de subjetividade sempre presente 
em aceitação ou não de riscos.
A sociedade japonesa, tecnológica e com alto nível de edu-
cação, sempre entendeu a necessidade de conviver com os riscos 
de centrais nucleares. Acostumada com as adversidades impostas 
pela natureza, enfrentar catástrofes com respostas de engenharia 
e tecnologia faz parte da cultura japonesa. Depois do acidente 
na central nuclear de Fukushima, tanto as autoridades, como a 
população e até mesmo as empresas responsáveis parecem reco-
nhecer que talvez seja melhor o recuo. O acidente que aconteceu 
recentemente superou todos os cenários previstos nas análises 
quantitativas de risco, mostrando que os cenários postulados 
76 CAPÍTULO 4 Estratégias para gerenciamento...
 como possíveis de gerar um acidente foram subestimados ainda 
na fase de projeto. Diante das consequências do acidente (algu-
mas ainda imprevisíveis), percebe-se que irão impactar o Japão 
e o Planeta por longo tempo. A sociedade japonesa tem manifes-
tado o anseio pelo “risco zero” em relação à segurança nuclear, 
como já aconteceu na Suécia e na Alemanha, que optaram por 
encerrar suas atividades nessa área. Apresentamos a seguir três 
dos principais pontos decorrentes do acidente de Fukushima que 
levam a reflexão sobre a necessidade de “risco zero” em relação 
à segurança nuclear.
Acidentes de origem externa (terremoto, maremoto 
e terrorismo)
Centrais nucleares, inclusive as nossas em Angra, são pro-
jetadas para os chamados acidentes de origem externa que são 
identificados tecnicamente pela sigla em alemão “EVA” (Einwir-
kungen von außen). Em Angra, por exemplo, existem as seguintes 
premissas de proteção contra terremotos:
j Proteção Contra Terremoto de Projeto: Terremoto de máxima 
intensidade que ocorreu no passado, dentro de uma área 
em torno com raio máximo de aproximadamente 50 km.
j Proteção Contra Terremoto de Segurança: Terremoto 
de máxima intensidade que possa vir a ocorrer 
considerando-se uma área em com raio máximo 
de aproximadamente 200 km.
j Efeito Combinado: Terremoto de segurança acrescido 
de onda de choque causada pela explosão de vaso de 
pressão convencional integrante da usina em consequência 
do terremoto de segurança.
A central de Angra possui ainda redundâncias de fontes de 
água de refrigeração e proteção contra maremoto, atos terroristas 
e até queda de aeronave sobre a central. Apesar de se tratar de 
um projeto mais antigo, Fukushima também foi projetada para 
acidentes do tipo EVA, mas não resistiu ao terremoto de março 
de 2011 conforme esperado. Três podem ter sido as causas:
j Os cálculos sobre os fenômenos naturais podem ter sido 
subestimados.
j As instalações podem ter sido construídas abaixo do nível 
de dimensionamento projetado.
j A gestão ou manutenção não foi adequada degradando 
as camadas de defesa.
77Gerenciamento de riscos 
Independente de qual destas tenha sido a causa, qualquer delas 
demonstra a vulnerabilidade da segurança nuclear e levanta a 
suspeita de que os resultados teoricamente precisos das análises 
quantitativas de risco chegaram a números muito inferiores do 
que os riscos reais, o que sugere o questionamento dessas técnicas 
de cálculo e projeto.
Acidentes com perda de refrigerante 
(liberação de radioatividade)
Centrais nucleares são projetadas com até seis camadas de se-
gurança para proteger o ambiente externo de acidentes com a 
liberação de radioatividade por perda de refrigerante do reator.
Esses acidentes são os mais temidos pelos projetistas de cen-
trais nucleares e são conhecidos pela sigla em inglês LOCA 
(Loss-of-Coolant Accident). Por serem tão fundamentais para 
a segurança de um projeto de central nuclear, o LOCA também 
é chamado de “acidente básico de projeto”. É o acidente para o 
qual todo o projeto é direcionado para evitá-lo. Outros acidentes 
também podem gerar a liberação indesejável de radioatividade 
para o meio ambiente, mas o que estabelece maior risco e maior 
quantidade de radioatividade liberada em curto espaço de tempo 
é o LOCA.
Em Fukushima, mesmo com as camadas de proteção e con-
tenção, as dificuldades de disponibilidade de energia para manter 
o núcleo refrigerado resultaram no aumento de pressão no vaso 
do reator e finalmente o acidente de LOCA. É surpreendente, para 
toda a comunidade nuclear, que mesmo tendo havido um terre-
moto e um tsunami de grandes proporções, uma central nuclear 
tenha se degradado a esse nível. Afinal, a grande “propaganda” 
da segurança nuclear é a de trabalhar assegurando a proteção 
mesmo nos cenários mais extremos, como catástrofes naturais. 
Foram poucas as vezes no mundo em que a engenharia nuclear 
foi submetida a uma prova real de sua eficiência como aconteceu 
em Fukushima. Infelizmente, para a sociedade japonesa, boa parte 
das autoridades e comunidade técnica, a segurança nuclear foi 
reprovada no evento real para o qual foi projetada.
Efeitos da contaminação e radioatividade
Muitos que defendem as vantagens da opção por geração 
termonuclear destacam que as centrais nucleares causam menor 
impacto ambiental do que as usinas térmicas e hidroelétricas. Em 
defesa das centrais nucleares, estas muitas vezes são identificadas 
como uma opção para a geração de “energia limpa”, já que não 
78 CAPÍTULO 4 Estratégias para gerenciamento...
queimam combustíveis fósseis. Esta é uma verdade, ou parte 
dela, pois tecnicamente a afirmação correta deveria acrescentar 
mais uma palavra: “energia limpa de carbono”.
As centrais nucleares geram os rejeitos convencionais de 
quaisquer instalações industriais, como: lixo industrial, sucata, 
efluentes líquidos e gasosos. Até mesmo emissões decorrentes da 
queima de combustível fóssil são normais em centrais nucleares 
devido aos subsistemas, como os de geração de emergência 
que utilizam grandes geradores que queimam óleo diesel. Mas, 
quando comparadas com as usinas termoelétricas convencionais, 
a emissão de gases resultantes da queima de combustível fóssil 
realmente é muito inferior nas centrais nucleares.
O problema é que usinas nucleares possuem para cada um des-
ses tipos de rejeito convencional outro similar, porém contaminado 
por radioatividade. Assim, além dos rejeitos convencionaisque são 
produzidos com menor impacto ambiental do que por outras tecno-
logias, as centrais nucleares a cada ciclo geram efluentes líquidos 
radioativos, gasosos radioativos, lixo industrial radioativo, sucata 
radioativa etc. Isso sem contar com o próprio elemento combustível 
queimado que possui produtos de fissão radioativos com meia vida 
de até 45 mil anos que sequer existem na natureza.
Para todo esse rejeito, a engenharia nuclear forneceu uma 
resposta, se não definitiva, pelo menos gerenciável. As usinas 
gastam elevadas somas para tratar e encapsular rejeito radioativo 
e depois estocá-lo indefinidamente, pois até o momento a ciência e 
a tecnologia não possuem uma solução para o processamento defi-
nitivo de rejeito radioativo. A quantidade de rejeito radioativo que 
é produzida, tratada, estocada e gerenciada pelas centrais nucleares 
já demanda grandes preocupações para a comunidade técnica e 
sociedade em geral.
Acrescentando-se ao problema do rejeito nuclear ao longo 
da vida operacional das centrais, os efeitos de uma desastrosa 
liberação de radioatividade decorrente de acidentes como o da 
central de Fukushima elevam os riscos e as consequências pa-
ra níveis tecnicamente ingerenciáveis. A sociedade, as autorida-
des e principalmente as populações mais próximas de usinas aci-
dentadas, como aconteceu no Japão, despertam para o fato de que 
o “risco zero” deveria ser adotado em relação ao verdadeiro terror 
que é o impacto de acidentes dessa ordem sobre a sociedade. 
Os efeitos de acidentes desse porte alteram o background de 
radioatividade do planeta, ou seja, estações de medição em todo 
o mundo registram os efeitos da pluma radioativa de acidentes 
79Gerenciamento de riscos 
desse tipo, seja no mar, na atmosfera, alimentos e nas pessoas 
sob a forma de incidência de doenças como o câncer.
Diante do realismo dos fatos, mesmo a sociedade japonesa 
com elevado nível de cultura científica e adaptados ao mundo 
tecnológico demonstra reconhecer os limites da natureza que 
devem ser respeitados. Agora o Japão clama pelo desligamento 
das centrais nucleares em todo o país. Busca novas opções para 
sua matriz energética tão dependente e limitada.
Talvez seja necessário reconhecer que a ciência e a tecnologia 
ainda não estão totalmente preparadas caso centrais nucleares 
sofram acidentes dessa gravidade, mesmo que raros. O conceito 
de “risco zero” de acidente nuclear se reforça. E “risco zero” 
significa em termos práticos a não aceitação de risco, ou seja, a 
não aceitação de centrais nucleares. Se isso ainda não foi viabili-
zado no Japão, o mais provável é a falta de opção imediata. Para 
os países que possuem opções alternativas para suas matrizes 
energéticas como o Brasil, Alemanha e Suécia o “risco zero” é 
viável e depende da parcela de subjetividade sempre presente em 
toda decisão por aceitação ou não de um risco.
4.8.3 Acidente no voo 447 Rio de Janeiro-Paris
Uma falha na interação do conjunto tripulação × aeronave e 
cultura de segurança equivocada construíram a catástrofe.
Espera-se mais da segurança de aviões do que de outros 
equipamentos? A falha de um instrumento básico de indicação 
de velocidade pode parecer muito mais complicada do que real-
mente é quando esse equipamento faz parte de uma aeronave. 
As pessoas têm cristalizado em sua cultura geral que tudo numa 
aeronave é complexo, sofisticado e difícil de ser operado. Quando 
se fala em comandar uma aeronave, a imagem do cockpit cheia de 
indicações, relógios, botões vem logo a mente e faz com que as 
pessoas acreditem que as atividades dos profissionais na cabine 
de um avião sejam para “super-homens”.
Essa percepção é irreal, pois toda aquela complexidade foi 
projetada e testada para ser operada por pessoas normais. Aliás, 
quanto mais normal, melhor será o operador. Visão normal, 
audição normal, coordenação normal, raciocínio lógico normal 
etc. são os fatores relevantes do perfil de um bom operador ou 
piloto. O perfil dos melhores operadores e pilotos é muito mais 
um conjunto de normalidades equilibradas e confiáveis do que 
uma lista de super-habilidades atípicas e imprevisíveis.
80 CAPÍTULO 4 Estratégias para gerenciamento...
O pesquisador britânico da área de fatores humanos James 
Reason (2003) abordou o tema sob três perspectivas: psicológica 
comportamental, cognitiva (informação) e natural (orgânica). Se-
gundo Reason, pela abordagem natural do erro humano, a memória 
primária do homem é a responsável pela percepção imediata. Mas 
a quantidade de itens memorizáveis depende se houver ou não a 
associação entre esses itens. O limite na quantidade de itens me-
morizáveis pela memória primária sem associação entre si (ou seja, 
sem confundi-los), segundo James Reason, é de no máximo sete 
itens. Por isso em geral as salas de controle de usinas nucleares, 
cockpits de aeronaves e outras estações de controle são projeta-
das para requerer o gerenciamento máximo de seis informações 
simultâneas e diretas durante uma emergência (funções críticas de 
segurança). Um sétimo canal de informação fica em aberto para 
a comunicação externa. Pelo menos essa seria a condição correta a 
ser definida em projetos de salas de controle e cockpits.
Há uma grande confusão entre as dificuldades do longo cami-
nho de preparação e estudo até que uma pessoa possa trabalhar 
num cockpit de aeronave, e as atividades que são demandadas no 
comando ou pilotagem de uma aeronave. O estudo e preparação 
exigem muita dedicação, persistência e habilidades que podem 
parecer tarefa de “super-homem”, mas pilotar ou comandar uma 
aeronave deve, necessariamente, ser uma atividade natural e 
tranquila para aqueles que realmente chegaram até o cockpit de 
comando devidamente preparados. Se ficam confusos, nervosos 
ao ponto de perderem os canais de percepção, ou não foram 
preparados para a função, ou a aeronave foi mal projetada, ou 
ambos. Considerando isso, pilotar um avião ou dirigir um auto-
móvel pode exigir demandas cognitivas e motoras semelhantes 
e responsabilidades iguais sobre vidas humanas.
Poderíamos então perguntar: se o velocímetro do seu carro 
quebrasse no meio de uma viagem, isso seria motivo justificável 
para você bater num poste ou cair num precipício matando todos 
os passageiros? Guardadas as proporções técnicas, em termos 
de gerenciamento de riscos e segurança, aconteceu algo bem 
semelhante em junho de 2009 com os 228 passageiros do voo 
AF 447 que decolou do Rio de Janeiro com destino a Paris.
Entenda a comparação: suponha que o seu carro tivesse um 
piloto automático que permitisse que você ficasse sentado, na 
frente do volante, assistindo toda a evolução do veículo pelo 
trajeto. Por alguma razão o velocímetro parasse de funcionar e 
o computador que controlasse o piloto automático simplesmente 
81Gerenciamento de riscos 
o desligasse por falta de informação sobre a velocidade. Nes-
te momento, você que é motorista e está na frente do volante 
deveria assumir o controle do veículo, bem como do acelerador 
e do freio passando a conduzir o carro manualmente, sem o uso 
do piloto automático. Se a falta do velocímetro causasse maiores 
complicações, você poderia fazer uma parada interrompendo a 
viagem para corrigir as falhas do equipamento. Caso contrário, 
mesmo sem o velocímetro e sem ferir o código de trânsito, você 
como motorista conduziria o carro até seu destino final, tal-
vez com um pouco mais de trabalho, mas em segurança.
O que aconteceu no cockpit do voo AF 447 foi uma demons-
tração de despreparo técnico da tripulação, resultado de uma 
cultura de segurança equivocada capaz de gerar projetos 
“hi-tech”, mas que subestimam a importância do elemento hu-
mano na tomada final de decisões em emergências.
Tubo de pitot: inventado no século XVIII
O tubo de pitot, um instrumento de medição de velocidade bas-
tante conhecido, inventado no século XVIII, congelou enquanto a 
aeronave atravessava uma tempestade sobre o Atlântico. O tubo de 
pitot é um instrumento relativamente simplesque mede a velocida-
de da aeronave através da comparação de pressões decorrentes do 
deslocamento de ar e depende que pequenos furos do instrumento 
estejam desobstruídos para que funcione perfeitamente. Em geral, 
as aeronaves possuem mais de um instrumento como esse, jus-
tamente para o caso de haver falha. Além disso, tais instrumentos 
são mantidos aquecidos por sistemas auxiliares justamente para 
evitar o congelamento. Lamentavelmente algo falhou e o tubo de 
pitot congelou bloqueando os orifícios e impedindo a medição 
de velocidade. Trata-se de um equipamento muito conhecido, e 
praticamente todos os engenheiros mecânicos construíram um 
protótipo de tubo de pitot durante sua formação acadêmica nas 
aulas de laboratório de mecânica dos fluidos. Mas mesmo assim, 
o equipamento falhou. Todavia apenas isso não seria suficiente 
para derrubar a aeronave. Há inclusive outros meios de se obter 
a velocidade, mas manter a aeronave em condições mínimas para 
manutenção do voo não depende exclusivamente do tubo de pitot.
Os sofisticados sistemas de automação que têm se proliferado 
em nossos tempos desde os eletrodomésticos em nossas casas até 
as aeronaves dependem de um volume de dados coletados por 
uma rede de instrumentação que inclui, por exemplo, no caso do 
Airbus 330, o tubo de pitot. Esses dados são tratados por sistemas 
82 CAPÍTULO 4 Estratégias para gerenciamento...
lógicos complexos e reduzem a demanda cognitiva daqueles que 
são responsáveis pelo controle do equipamento (pilotos). Porém, 
isso não significa que tais operadores, ou no caso os pilotos, possam 
abrir mão do conhecimento técnico necessário para conduzir o 
equipamento em situações de emergência, nas quais o ingrediente 
“imprevisibilidade” sempre está presente. Para lidar com a “impre-
visibilidade”, sempre presente nas emergências, nada melhor e mais 
sofisticado do que o cérebro humano bem preparado, capaz de me-
dir consequências, considerar aspectos subjetivos e imprevisíveis, 
o que coloca os computadores em um patamar de inferioridade.
AF 447: sem automatismo e sem piloto
No voo AF 447 o automatismo no comando da aeronave 
parou de funcionar por falta de dados sobre a velocidade devido 
à falha do tubo de pitot. Os pilotos atualmente passam a maior 
parte do tempo supervisionando o voo e não de fato pilotando. 
Os treinamentos também consideram essa realidade gerada pela 
cada vez maior sofisticação dos sistemas de automação e não 
preparam suficientemente a tripulação para situações em que, 
durante uma emergência, eles tenham de pilotar a aeronave. 
Trata-se de um problema de cultura de segurança. Determinadas 
culturas de segurança, “encantadas” com a inteligência contida 
nos sofisticados sistemas de automação, acabam por considerar 
a capacidade humana inferior ao que de fato é, o que é uma falha 
grave. Mais que isso, os defensores desse grau de automação 
exagerada, que de certa forma minimiza a capacidade da in-
tervenção humana, na realidade supervalorizam o seu próprio 
trabalho teórico de elaboração e projeto desses sistemas.
A inteligência fascina, os sistemas extremamente automa-
tizados formam uma espécie de “registro de inteligência” e, 
encantados com suas próprias obras-primas de automação, os 
fenômenos físicos, químicos e a imprevisibilidade da natureza 
são subestimados por alguns projetistas. Há uma ilusão de que os 
sistemas extremamente automatizados estejam preparados para 
quase tudo e sejam mais seguros. É apenas uma ilusão, talvez 
uma vaidade técnica. O que os acidentes ensinam é que a simpli-
cidade é amiga da segurança. Isso não significa que a automação 
não contribua para a segurança. A automação, quando limitada 
pela busca de projetos simples e intrinsecamente seguros, gera 
muito mais acertos do que erros. Quando os erros acontecem, 
geralmente apontam para o distanciamento do operador dos 
fundamentos físicos da máquina, erro este explicável por uma 
83Gerenciamento de riscos 
confiança exagerada na automação, muitas vezes excessiva, cara 
e com baixa relação custo/benefício.
Pelos registros da caixa preta e conclusões do relatório final 
elaborado pelo Escritório de Investigações e de Análises (BEA) da 
Aviação Civil da França, quando o problema aconteceu a tripulação 
do voo AF 447 ficou muito mais preocupada em tentar recuperar a 
automação da aeronave do que propriamente em assumir as ações 
de voo manual e manter as condições mínimas de controle neces-
sárias para o voo. Isso pode indicar a possibilidade de “medo de 
pilotar” ou “medo de operar”, comportamento típico de operadores 
que se afastam das atividades de rotina em decorrência de exces-
siva automação em suas tarefas. Desatentos em relação à visão do 
“todo” e com o comandante mais experiente ausente da cabine, 
poucos segundos de confusão foram suficientes para selar o destino 
de um voo previsto para cerca de 10 horas. Voos de longa duração 
como esses, na rotina dos atuais pilotos, talvez se constituam de 
cerca de 9 horas de supervisão e uma hora de “real pilotagem”.
Uma sucessão de erros de pilotagem básica e a total incapaci-
dade de entender o cenário fizeram com que os fatores humanos 
se alinhassem a uma cultura de segurança pobre desde o projeto, 
e assim fosse construída uma catástrofe.
O que fazer para evitar novas catástrofes como AF 447 ?
Depois que uma catástrofe acontece, encontrar inúmeras 
falhas associadas ao evento não parece tarefa difícil. Principal-
mente quando elas recaem especificamente sobre aqueles que, 
além de responsáveis, também foram vítimas.
De uma forma ou de outra, todo o acidente tem alguma relação 
com uma falha humana. Mesmo que um eixo ou chapa estrutural da 
fuselagem se rompesse, pelo menos um erro humano relacionado 
com a manutenção, a gestão ou o projeto original teria sido come-
tido. Portanto todo acidente envolve erro humano. O pior é que o 
erro humano é mesmo inevitável, pela natureza bem conhecida dos 
seres humanos. A solução de gerenciamento de riscos que permite 
a elevação da segurança é reduzir ao máximo os fatores que possam 
propiciar o erro humano, para que quando este venha a acontecer não 
chegue a provocar uma catástrofe como aconteceu com o AF 447.
Indo mais além, é preciso desenvolver uma cultura de se-
gurança na qual os projetos de automação tenham limites de 
complexidade, uma vez que a segurança é mais “amiga” da sim-
plicidade do que do conforto. O excesso de automação, além de 
gerar vulnerabilidades operacionais, pode afastar os operadores 
84 CAPÍTULO 4 Estratégias para gerenciamento...
e pilotos do entendimento cotidiano dos fenômenos físicos, 
químicos que estão envolvidos em suas atividades técnicas. 
O mais importante para a segurança é agir conscientemente, 
entendendo o fenômeno e, por conseguinte, o cenário de cada 
instante da operação e do voo. A partir do momento em que os 
operadores e pilotos concentram sua capacidade cognitiva em 
entender “sistemas de automação”, alguma coisa está errada, pois 
não é essa sua atividade-fim. É bom lembrar que se existe uma 
automação ela foi construída com base na experiência anterior 
de pilotos que puderam fornecer parâmetros e informações para 
a construção das lógicas desses sistemas. Ou seja, a automação 
e os procedimentos operacionais reúnem o que se acredita ser o 
melhor do conhecimento acumulado sobre aquela atividade, mas 
não pode garantir 100% de solução para tudo que possa acontecer 
na realidade operacional. A atividade-fim de um piloto ou operador 
de qualquer máquina ou instalação é insubstituível e indispensável, 
além de sempre estar acima da importância da atuação de qualquer 
máquina. Investir na sensibilidade do operador em relação aos 
fenômenos com os quais lida é investir em segurança.
Uma lição aprendida desse acidente para a segurança de todos 
os empreendimentos tecnológicos: níveis de automação devem ter 
limites. O cérebro humano bem treinado ainda é o melhor, mais so-
fisticado e eficiente equipamento para gerenciar crises em emergên-
cias. Estessão conceitos fundamentais que precisam ser enfatizados 
e incluídos na cultura de segurança adotada nos empreendimentos 
tecnológicos. Afinal, com o grau de evolução tecnológica de nos-
sos tempos, os recursos de automação sempre oferecerão mais um 
passo em direção à substituição do homem pela máquina. Não 
apenas em aeronaves, mas nas indústrias, usinas nucleares e até 
em cirurgias através do uso de robôs capazes de realizar cirurgias 
mesmo à distância. Não há nada de errado em toda essa tecnologia, 
mas caso os robôs e computadores parem de fazer seu trabalho, 
conforme projetado durante um voo ou cirurgia, o cirurgião, por 
exemplo, deve estar preparado para enfrentar a proximidade com o 
paciente, seus órgãos e seu sangue já que esses são os componentes 
que jamais deixarão de fazer parte de sua atividade-fim.
4.8.4 Queda de meteorito na Rússia
Como tratar acidentes atípicos como a queda de um meteo-
rito sobre uma área habitada? A engenharia oferece algum tipo 
de abordagem para esse cenário? Há realmente alguma medida de 
segurança a ser adotada?
85Gerenciamento de riscos 
Classificação do acidente
Acidentes envolvem sempre algum componente de impre-
visibilidade e surpresa. Quase sempre não é apenas uma, mas 
várias causas que contribuem para que um acidente ocorra. Para 
que os acidentes sejam evitados, os investigadores buscam em 
seus relatórios a identificação da chamada causa raiz, aquela que 
foi a mais decisiva para que o evento chegasse às consequências 
indesejáveis com vítimas, perdas ambientais e materiais. Nesse 
contexto, uma estratégia importante é classificar os acidentes 
para permitir o estudo das medidas de proteção conforme os 
pontos de semelhança entre cada causa raiz.
Existem várias formas de classificar acidentes. Basicamente 
podemos classificá-los quanto sua origem da seguinte forma:
j Origem Operacional: quando a origem está numa ação 
operacional errada.
j Origem de Projeto: quando a origem está num erro de projeto 
ou conceitual.
j Origem de Construção e Montagem: quando a origem está 
num erro ocorrido durante a construção ou montagem.
j Origem de Manutenção: quando os cuidados necessários 
para manter equipamentos e instalações em conformidade 
com o projeto original não são cumpridos, originando 
o acidente.
j Origem Externa: quanto uma influência completamente alheia 
ao escopo do projeto é a causa que origina o acidente. A 
origem externa pode ser, por exemplo, uma catástrofe natural 
(terremoto, enchente, furacão, raios, meteoritos etc.) ou um 
ato hostil (sabotagem, queda intencional ou não de aeronave, 
ataque militar, atentado terrorista etc.).
Acidente de origem externa
No caso das consequências geradas por um meteoro que 
invade a atmosfera terrestre, ou um meteorito que atinge o solo 
terrestre, a classificação imediata é como um acidente de origem 
externa. Um exemplo clássico, similar, de acidente de origem ex-
terna é a descarga atmosférica ou raio. O Brasil é o país do mundo 
que possui a maior incidência de raios. Mesmo nos países onde 
os raios não acontecem com tanta frequência, ainda assim os 
danos causados por uma descarga na atmosfera são considerados 
tão elevados que tornam obrigatório o uso de equipamentos de 
proteção como para-raios.
86 CAPÍTULO 4 Estratégias para gerenciamento...
Também existem proteções contra terremotos, maremotos, 
furacões, mas estas são incluídas nos projetos quando a frequência 
dos eventos as justificam. Na realidade, a decisão sobre incluir um 
sistema de proteção contra um tipo de acidente de origem externa 
irá depender da conjugação de dois fatores principais: a frequência 
de ocorrência do evento e as suas possíveis consequências.
Análise de riscos
Utilizando ferramentas de análises de riscos, os especialistas 
primeiro identificam os potenciais cenários e perigos que podem 
ocorrer ao longo da vida útil do projeto. Através de uma matriz 
de classificação de riscos, os especialistas identificam aqueles pe-
rigos que ocorrem com grande frequência e/ou aqueles com con-
sequências muito severas e catastróficas. Tais perigos e cenários, 
uma vez identificados, passam a ser estudados, e os engenheiros 
projetam meios de proteção para reduzir suas consequências. O 
perigo propriamente dito muitas vezes é impossível de ser evitado, 
pois este pode ser de origem externa, estando fora do controle 
dos engenheiros e projetistas. Sistemas de segurança podem ser 
criados para reduzir as consequências catastróficas que os perigos 
inevitáveis possam ocasionar em caso de acidente.
Meteoros e meteoritos
A frequência de acidentes com fatalidades, feridos, danos ma-
teriais e ambientais por eventos devido a meteoros e meteoritos é 
muito baixa. Embora possamos dizer que um único objeto de origem 
espacial com um tamanho significativo pode até destruir o planeta, 
a probabilidade de esse evento ocorrer é baixíssima. Por um lado, a 
teórica baixa frequência, e por outro a extrema severidade do evento 
precisam ser equilibradas nas análises de segurança.
Outros fenômenos igualmente fora do controle do ser huma-
no, como: descargas atmosféricas (raios), terremotos, maremotos, 
enchentes recebem tratamento mais rigoroso por parte da enge-
nharia por causa de sua frequência significativa. Com relação 
aos meteoros e meteoritos, o fenômeno ocorrido em fevereiro de 
2013 serviu para estabelecer mais um registro. O meteoro que 
atingiu a Rússia foi mais uma ocorrência para compor as estatís-
ticas e lembrar que, apesar da baixa frequência, dependendo do 
tamanho do objeto, as consequências podem ser inaceitáveis, 
merecendo tratamento adequado por parte dos engenheiros ge-
renciadores de riscos.
87Gerenciamento de riscos 
Isso já acontece no caso de proteção contra terremoto nas 
usinas nucleares, mesmo em locais onde não haja frequência 
significativa desse tipo de fenômeno. Também podemos citar 
o caso das inúmeras medidas de segurança antiterrorismo após 
a queda do World Trade Center em Nova York. O ato terrorista 
é um típico acidente de origem externa, embora não seja uma 
catástrofe natural. Assim também como os atos de sabotagem. 
Outro exemplo é o projeto estrutural de plataformas de petróleo 
que operam em alto mar. Elas são projetadas para resistir às 
chamadas ondas centenárias (as maiores possíveis em 100 anos). 
Usinas nucleares também são protegidas contra queda intencional 
ou não de aeronaves. Mesmo os projetos de usinas nucleares 
datados de antes de 11 de setembro de 2001 já consideravam 
esse nível de proteção e para isso algumas usinas nucleares pos-
suem uma contenção externa com cerca de 70 cm de concreto 
especial e mais outra contenção com 2,5 cm de espessura, de 
aço, para proteger as partes vitais de acidentes com liberação 
de material radioativo.
Evidentemente, cada proteção a mais representa custo e, 
muitas vezes, um custo inviável. Quanto aos riscos devidos a 
meteoros e meteoritos, o que a engenharia de gerenciamento 
de riscos tem a oferecer é a análise de todos estes fatores re-
lacionados com a frequência e a severidade dos fenômenos 
naturais e assim tratar o tema dentro do realismo em termos 
de engenharia, viabilidade econômica e dados históricos. Na 
proximidade de ocorrência dos eventos acidentais envolvendo 
meteoros e meteoritos, a tendência natural é de se investir em 
estudos e em sistemas de proteções. Com o afastamento tempo-
ral das ocorrências desses fenômenos, a tendência é considerar 
as estatísticas, equilibrar os custos e benefícios e, acima de 
tudo, considerar o fato inegável de que os riscos, ainda que 
com suas consequências bem tratadas, jamais estarão com-
pletamente eliminados de nenhuma atividade humana. Neste 
momento, quando recentemente ocorreu um impressionante 
evento acidental originado por um meteoro, muitas iniciativas 
e ideias poderão ser alvo de estudos e avaliações por parte das 
autoridades e especialistas. Mas a sustentação econômica de 
projetos de sistemas de proteção contra meteoros e meteoritos, 
bem como sua construçãoe montagem, precisarão resistir aos 
longos períodos sem acidentes desse tipo até serem efetiva-
mente implementados.
88 CAPÍTULO 4 Estratégias para gerenciamento...
4.8.5 Incêndio na boate Kiss em Santa Maria, RS
A catástrofe de Santa Maria, com mais de 240 fatalidades, 
deixou clara a necessidade de mudanças no gerenciamento dos 
riscos associados a esse tipo de estabelecimento em todo o Brasil. 
Alguns pontos importantes são:
Legislação
Além das normas prescritivas, deveria ser exigido pelas au-
toridades que cada estabelecimento realizasse, na fase de projeto, 
dois estudos de específicos de engenharia segurança:
j Análise Preliminar de Riscos (APR) – Técnica que identifica 
os perigos do local através de uma reunião prévia com a 
participação de pessoas que tenham experiência em trabalhar 
nesse tipo de local (gerente, atendente, segurança, técnicos 
de manutenção), além dos responsáveis pelo projeto e um 
engenheiro de segurança que conheça a técnica de APR. 
O resultado será um relatório contendo uma lista com os 
potenciais perigos existentes na instalação.
j Análise de Consequências – Com base no relatório da APR, 
esta técnica também reúne grupo de participantes similar 
para identificar os cenários acidentais relacionados com cada 
perigo citado no relatório da APR. O resultado da análise de 
consequências é outro relatório que descreve as consequências 
e as contramedidas previstas para cada cenário acidental 
postulado.
Por exemplo: no caso das portas a legislação prescritiva de um 
determinado município pode estabelecer duas portas. Porém, com 
os estudos, os responsáveis pelo estabelecimento e seu projeto 
têm de comprovar que com apenas duas portas um possível foco 
de incêndio jamais ficará entre uma pessoa e uma das saídas de 
emergência. Caso contrário, outras portas deverão ser incluídas 
no projeto, tantas quantas forem necessárias até não existir mais 
a condição de “fogo entre homem e porta”. Isso também se aplica 
aos extintores, corredores, sprinklers e todos os outros itens já 
requeridos pelas normas.
Fiscalização
Deveria acontecer antes, durante e depois do evento e não 
somente fora do período de funcionamento do estabelecimen-
to. Semelhantemente ao caso das “blitz da Lei Seca”, estes 
89Gerenciamento de riscos 
estabelecimentos deveriam receber a visita surpresa de fiscais 
momentos antes, momentos depois e principalmente durante 
um evento para avaliar as reais condições de funcionamento. As 
inspeções deveriam ocorrer com poder coercitivo de interromper/
cancelar o evento, além de aplicar as multas cabíveis.
É importante a fiscalização ser realizada durante o funcio-
namento do estabelecimento, preferivelmente fazendo-se valer 
do recurso “surpresa”. Para tal, deve haver apoio policial uma 
vez que o evento poderá ser interrompido, necessitando força 
policial para organizar essa operação. A fiscalização apenas 
fora do momento do evento pode ser ineficaz, uma vez que arti-
fícios de bloqueio e disfarce de saídas de emergência podem ser 
preparados especificamente para o momento de realização dos 
eventos com a finalidade de facilitar o trabalho dos seguranças 
patrimoniais e o controle de pagamento.
Estratégias e equipamentos de segurança
j Estabelecimento de um percentual do terreno como 
“área de escape” no entorno de todas as portas de 
acesso da edificação. Estas áreas de escape precisam ter 
capacidade para comportar todas as pessoas que estejam 
no evento (lotação máxima). Os cuidados dos seguranças 
patrimoniais para evitar a saída sem pagamento e tentativas 
de entrada indevidas nos eventos (“penetras”) deveriam 
se restringir aos portões externos do estabelecimento. 
Em outras palavras, boates e estabelecimentos similares 
com uma grande concentração de pessoas devem ficar em 
centro de terreno, de modo que as saídas de emergência 
possam permanecer totalmente disponíveis, sem nenhum 
tipo de controle que possa retardar a saída durante um 
sinistro. Essas áreas de escape devem existir para cada saída 
de emergência e não podem conter os chamados “currais” 
e guarda corpos os quais podem dificultar a operação 
de escape e abandono.
j Sistemas de escape e abandono projetados através de cálculo 
que permita a definição clara do tempo máximo para evacuação 
do estabelecimento. Apresentação de evidências objetivas de 
compatibilidade desse tempo com os resultados dos Estudos 
de Análise de Consequências. Resumo de segurança com 
apresentação contínua ou em intervalos regulares através 
de telas/monitores de LCD posicionados e dedicados 
exclusivamente para esse fim durante todo o evento.
90 CAPÍTULO 4 Estratégias para gerenciamento...
j Rotas de fuga e portas de emergência continuamente 
sinalizadas com luzes indicativas mesmo em casos de falta 
de iluminação pública e com intensidade suficiente mesmo 
havendo fumaça, inclusive cenográfica.
j Sistema de combate a incêndio (água e outros meios de 
combate e supressão) com reconhecimento automático 
de “fogo confirmado” através de detecção de fogo, fumaça e 
temperatura possuindo painel de controle externo que possa 
ser monitorado de fora do local do evento. O sistema de 
aspersores de água (sprinklers) deve ser provido nas áreas em 
que não haja risco de a água atingir equipamentos energizados. 
Essas redes de aspersores devem entrar em operação 
automaticamente por ação da variação de temperatura na 
região assistida por cada aspersor. Salas ou locais onde 
existam equipamentos essenciais, ou que concentram potência 
elétrica ou salas de geradores devem ser assistidas por rede 
de aspersores com gases especiais para que o combate ao 
incêndio não danifique os equipamentos e amplie a extensão 
do problema.
j Sistema de VAC (ventilação e ar-condicionado) com “dampers 
corta fogo” que impeçam a dispersão de gases entre ambientes 
e a alimentação do incêndio. O sistema VAC deve possuir um 
modo operacional em emergência que corte o insuflamento 
de ar nas áreas onde o incêndio está ocorrendo e bloqueiam 
a comunicação dos dutos de ventilação entre os ambientes de 
modo a evitar que a fumaça se espalhe.
j Sistema de geração elétrica de emergência com autonomia 
para pelo menos quatro horas sem reabastecimento.
j Barramento elétrico de emergência para atender cargas 
essenciais e de segurança como equipamentos do sistema de 
combate a incêndio.
j Os materiais utilizados, não só no isolamento acústico, 
mas também no isolamento térmico e no acabamento de 
arquitetura, devem ser autoextinguíveis e não podem produzir 
gases tóxicos quando sob calor intenso.
j Os extintores de incêndio devem ser localizados e escolhidos 
conforme o tipo de incêndio em conformidade com as NRs 
(Normas Regulamentadoras do Ministério do Trabalho). 
É fundamental uma rotina de verificação da carga e dos 
cilindros dentro da frequência estabelecida pelas normas, 
além da rotina interna de observação diária quanto a 
possíveis utilizações indevidas (vandalismo) que são comuns 
91Gerenciamento de riscos 
em locais como boates, o que deixaria o local do extintor 
descarregado descoberto.
j Todo local que concentra pessoas deve possuir um plano 
de escape e abandono elaborado por engenheiro especialista 
em segurança. Esse plano deve considerar os possíveis 
cenários de emergência que poderão ocorrer durante 
a vida útil esperada das instalações. Essa identificação 
de cenários deve ser feita com base no relatório de 
Análise Preliminar de Riscos, conforme as boas práticas 
da engenharia de gerenciamento de riscos e segurança. 
Uma equipe de brigadistas treinados e certificados deve 
estar a postos durante todo o evento para facilitar o escape 
e abandono e combater o princípio de incêndio. Brigadas 
de incêndio locais não são recomendáveis para executar 
operação de combate a incêndio de grandes proporções, 
sendo essa tarefa cabível ao Corpo de Bombeiros Militar. 
Os brigadistas locais devem se restringir à facilitação 
do escape e abandono e ao combate mínimo, com a 
finalidade de impedir que o princípiode incêndio alcance 
o nível de incêndio propriamente dito.
 Estes são apenas os itens principais e mais urgentes.
Cultura de segurança
É necessário desenvolver um programa nacional de educação e 
cultura de segurança desde o ensino básico. Isso não significa 
a criação de nova disciplina, mas a inclusão nas ementas das 
disciplinas existentes (estudos sociais, ciências etc.) instruções 
sobre prevenção de acidentes, incêndios e ações básicas em ca-
tástrofes naturais, como: enchentes, cuidados com eletricidade, 
produtos químicos inflamáveis e combustíveis, prevenção de 
acidentes com gás, comportamento coletivo em emergências 
e principalmente formando uma mentalidade observadora e 
crítica quanto a riscos e condições inseguras, combatendo a 
famosa expressão “vira essa boca pra lá” diante de alertas sobre 
riscos e perigos.
É fundamental a participação dos meios de comunicação 
através da inserção de ações educativas e incentivadoras da 
cultura de segurança, seja de forma diluída no próprio enredo 
dos programas, como de forma explícita na programação e nos 
intervalos comerciais. Isso se aplica a cinema, teatro, televisão, 
rádio, sites de internet, impressos, literatura, outdoors e todo o 
tipo de mídia.
92 CAPÍTULO 4 Estratégias para gerenciamento...
Devem ser criados cursos públicos de formação de brigadistas 
civis e comunitários com certificação e com baixo ou nenhum 
custo. Além disso, cursos de segurança para síndicos e funcio-
nários de condomínios, curso de inspeção de equipamentos de 
segurança, cursos de layout e requisitos de rotas de fuga, todos 
disponibilizados para a sociedade.
Também deve ser criada uma certificação que classifique o 
nível de segurança dos estabelecimentos comerciais em níveis 
1 (elevado), 2 (médio) ou 3 (mínimo) conforme o nível de prote-
ção identificado no projeto e nas instalações quanto a estratégias 
e equipamentos de segurança. Inclusão da exibição obrigatória de 
selo de certificação na entrada do estabelecimento.
As diferenças de normas são significativas principalmente 
quando consideramos outros países. Basicamente, para o enge-
nheiro o objetivo é evitar o acidente. Cumprir rigorosamente as 
normas não significa nenhuma garantia. Seguir regras e normas 
nacionais e internacionais é fazer o mínimo do mínimo. Para evi-
tar acidentes é preciso muito mais do que uma postura legalista, 
uma vez que depois do acidente ocorrido há sempre uma história 
a ser contada que serve de explicação e em alguns casos “jus-
tificativa” para os fatos ocorridos. É preciso desenvolver uma real 
cultura de segurança que resumidamente significa “atenção certa 
no tempo certo”. Sendo “atenção certa” aquela ação prática que 
impede a sequência de eventos que leva ao acidente, e “tempo 
certo” agir antes de o acidente acontecer.
Independentemente de todos os cuidados técnicos, quando um 
incêndio acontece, qual deveriam ser os cuidados que as pessoas 
deveriam adotar para ter mais chances de sobreviver? A seguir, 
uma lista de algumas recomendações para ampliar as chances 
de sobrevivência em incêndios.
Entender o que está acontecendo
O que mais contribui para o sucesso de uma pessoa frente 
a um acidente é o grau de conhecimento que essa pessoa tem 
sobre os fatos que estão em andamento. Quanto mais informa-
ções sobre o que está acontecendo, maiores as chances de agir 
corretamente. Quanto mais consciente de uma estratégia de es-
cape e abandono, maiores as chances de sobreviver. Entender o 
que está acontecendo começa bem antes da emergência. Começa 
quando adquirimos uma cultura permanentemente relacionada 
com a segurança, a qual nos mantenha sempre atentos e mais 
preparados. O tempo é um fator decisivo em caso de incêndio. É 
93Gerenciamento de riscos 
necessário analisar previamente as opções de escape e abandono, 
identificar antecipadamente as saídas, pensar sobre possíveis es-
tratégias, manter constante atenção sobre o que está acontecendo 
e se permitir imaginar o que poderia ser feito numa situação de 
emergência. Quem age assim está mais preparado para sobreviver.
Perceber rápido que existe uma emergência
Estar atento aos alarmes e sinais suspeitos como fumaça, 
sirenes, ruídos, sons e calor pode fazer diferença decisiva. Os 
mais atentos têm mais chances de reagir num tempo menor. 
Segundos a mais no tempo de reação podem fazer diferença em 
caso de incêndio.
Ter um plano prévio, mas não se limitar a ele
Instalações industriais, edificações, aeronaves e embarcações em 
geral possuem um plano de escape e abandono. Mesmo que você 
não conheça esse plano formalmente, a sinalização, as portas e os 
corredores podem indicar uma estratégia. Independentemente do 
grau de informação sobre os planos de escape e abandono, sempre 
considere uma estratégia prévia sobre como sair do local em que 
se encontre. Alguns ambientes não possuem planos de escape, 
como florestas, cavernas e ambientes naturais, no entanto também 
é importante estabelecer uma estratégia mínima para o caso de 
precisar sair rápido. E quando a emergência propriamente dita 
acontecer, reavalie seu plano prévio considerando os fatos reais que 
estão presentes no cenário da emergência. Nunca se limite apenas 
a seguir regras e planos previamente estabelecidos. Todo acidente 
inclui fatores imprevistos e específicos. Os planos, procedimentos e 
regras são as melhores referências para se chegar à atitude correta, 
mas não são em si garantia absoluta de sobrevivência. O enten-
dimento do cenário real pode, e deve, corrigir planos e regras 
 previamente estabelecidos.
Tentar identificar a direção de origem do fogo
Antes de iniciar o escape e abandono, tente identificar de que 
lado está o incêndio. Pode ser que esteja progredindo no mesmo 
piso. Pode também estar vindo de cima ou de baixo. Fumaça e 
calor tendem a subir, e observar isso pode ajudar a identificar a 
direção de onde vem o incêndio para que seja evitada.
Na dúvida saia
Caso haja indício ou suspeita de um incêndio, não hesite: siga 
o plano prévio e saia! Depois verifique se realmente se trata ou 
94 CAPÍTULO 4 Estratégias para gerenciamento...
não de uma emergência. O máximo que vai acontecer é ter de 
retornar ao seu local de origem. Por outro lado, se realmente for 
um incêndio e a pessoa hesitar, irá logo ter toda a certeza de que 
se trata de uma emergência, no entanto poderá ser tarde demais.
Estar preparado para escapar rápido
Na hora em que se percebe o incêndio o efeito surpresa causa 
um impacto emocional sobre as pessoas envolvidas. A ideia 
inicial é sair, mas o ambiente emocional pode tornar difícil a 
simples localização da chave da porta. Portanto, é recomendável 
manter as saídas disponíveis. Por exemplo, manter as chaves 
na própria porta agiliza o processo, principalmente se houver 
fumaça. O mais importante é priorizar a vida sempre, em vez 
de documentos e valores. Se algum item essencial precisar ser 
levado (como, por exemplo, um medicamento, óculos), este por 
sua importância deverá ser mantido previamente em local de fácil 
acesso junto ao interessado ou próximo à porta, porém a regra 
principal é que nada tem mais valor do que a vida.
Fumaça
Simulações computacionais e investigações de acidentes mos-
tram que a fumaça causa mais vítimas do que o fogo direto. Mui-
tas vítimas, antes das queimaduras, perdem os sentidos devido 
a fumaça. Uma toalha molhada sobre a cabeça pode prover um 
tempo extra de resistência em um ambiente com fumaça. Se for 
fácil e rápido, entre debaixo do chuveiro com roupa antes de 
sair porque isso também ajuda em relação ao calor. Em geral a 
fumaça tende a subir, ou seja, próximo ao piso é mais provável 
de se respirar melhor. Fumaça negra e muito densa também cria 
um problema muito importante que muitas vezes é esquecido: 
perda de visibilidade. Não raramente ambientes podem estar 
parcialmente tomados por fumaça negra apenas na parte superior. 
Como as pessoas estão com a cabeça dentro da fumaça negra, não 
enxergam, ficam desorientadas como cegos e acabamrespiran-
do essa fumaça negra, em geral letal e de rápido efeito. Basta 
abaixar-se para a pessoa perceber que a nuvem de fumaça negra 
está apenas na parte superior, enquanto é possível respirar e se 
deslocar abaixado por mais tempo. Infelizmente pessoas podem 
permanecer confusas e serem asfixiadas, mesmo com fu-
maça apenas na metade superior do local. Portanto, em caso de 
fumaça negra, o mais provável é que junto ao piso as condições 
sejam melhores para a sobrevivência. Manter uma lanterna 
 disponível junto aos locais de saída pode ajudar a avançar melhor 
95Gerenciamento de riscos 
contra a fumaça. Conhecer as saídas de emergência, percorrê-las 
com certa frequência também faz diferença.
Não deixe pessoas para trás
Um erro é sair para ver o que está acontecendo e deixar pes-
soas para trás sem comunicação. Se realmente estiver acontecen-
do um incêndio, a velocidade de progressão pode ser tão rápida 
que torne impossível o retorno para avisar as pessoas que ficaram 
para trás. Isso pode gerar pânico e desespero, fazendo com que 
a pessoa tente retornar em meio a um incêndio impossível de 
ser enfrentado. O melhor a fazer é sair em grupo, todos juntos. 
São raros os casos de existirem rádios autônomos independentes 
capazes de garantir a comunicação durante o incêndio. Mesmo 
nesses casos, o melhor é saírem todos juntos para evitar perda 
de tempo precioso em um incêndio.
Elevadores
Os elevadores mais modernos possuem uma programação au-
tomática para incêndio, que ao ser acionada faz com que a cabine 
desça para o térreo e abra a porta. Isso significa que se a pessoa es-
tiver no elevador e a programação for iniciada, basta aguardar que 
o elevador chegará ao térreo e abrirá as portas. Porém há incêndios 
que interrompem a energia elétrica subitamente sem tempo hábil 
para a programação ser realizada. Nesse caso é preciso ter certeza 
de que está havendo uma emergência envolvendo fumaça e fogo 
antes de tentar agir. Se for necessário tentar sair, opte pela saída 
de emergência no teto do elevador e se não estiver disponível tente 
liberar a porta principal. Mas essa é uma situação extrema que deve 
ser evitada ao máximo, pois envolve grandes riscos. O melhor a 
fazer é aguardar ajuda externa, já que em caso de incêndio um 
dos primeiros locais a serem atendidos pelos bombeiros são os 
elevadores. Mesmo sem energia elétrica os bombeiros e técnicos 
especializados podem descer o elevador através de mecanismo 
existente na sala de máquinas.
Energia elétrica é cortada
Uma das primeiras ações a serem tomadas no combate a um 
incêndio é cortar a energia elétrica para reduzir a propagação do 
mesmo. Muitas vezes o incêndio se inicia por um curto-circuito 
que desliga o fornecimento de energia automaticamente mes-
mo antes de um agente externo executar essa tarefa. Portanto, 
opte sempre pelas escadas, mantenha em local de fácil acesso 
lanternas disponíveis e carregadas.
96 CAPÍTULO 4 Estratégias para gerenciamento...
Sprinklers atuam automaticamente
Alguns locais possuem redes de sprinklers, que são chuveiros 
aspersores que possuem uma ampola ou dispositivo bloqueando 
permanentemente a saída de água. No caso de prédios, os sprinklers 
em geral funcionam a partir do momento em que as ampolas sejam 
rompidas pela elevação da temperatura. Somente onde haja calor, 
a água será liberada. Isso ajuda a economizar a água do reser-
vatório durante o incêndio. Por isso alguns sprinklers podem estar 
liberando água, outros não. Onde os sprinklers estiverem liberando 
água significa que a temperatura atingiu o limite máximo previsto. 
Se num determinado local for possível identificar uma área com 
sprinklers liberando água e outra área com os sprinklers intactos, 
possivelmente o fogo estará mais próximo daqueles que estão 
abertos. Existem também outros tipos de aspersores que utilizam 
outros fluidos diferentes da água para combater o incêndio. Um 
cuidado especial deve ser adotado quando houver a identificação 
de uso de “CO2”. Locais protegidos por aspersores de “CO2” 
precisam ser desocupados antes que esse gás comece a ser liberado. 
Em geral há alarmes e avisos antes da liberação do “CO2” para 
que as pessoas saiam do local porque podem ficar asfixiadas. Esse 
tipo de proteção tem sido substituída gradativamente, mas alguns 
locais como museus, bibliotecas, cofres de documentações, salas 
com componentes eletroeletrônicos podem ainda utilizar o “CO2”. 
O objetivo é que a água não danifique obras de arte, documentos 
e equipamentos, entretanto atualmente existem outros fluidos que 
também evitam esses danos e não causam asfixia.
Crianças e limitações de locomoção
Se alguém tem limitações físicas mesmo que transitórias, meios 
de suporte devem ser providos antecipadamente para facilitar o 
escape e abandono. Existem cadeiras de rodas não sofisticadas, de 
funcionamento puramente mecânico que permitem descer escadas. 
Crianças pequenas devem ser levadas no colo e com o rosto pró-
ximo ao do adulto. Assim as condições de respiração para ambos 
serão as mesmas. Frequentemente pessoas que estão socorrendo 
outras instintivamente buscam o ar de melhor qualidade, mas não 
atentam que a alguns centímetros de distância o ar pode estar irres-
pirável para quem está sendo socorrido.
Portas
Antes de abrir uma porta observe a temperatura na superfície 
e se há passagem de fumaça. Em alguns casos, se do outro lado o 
fogo estiver intenso, uma vez aberta a porta esta não conseguirá 
mais ser fechada.
97Gerenciamento de riscos 
Não siga grupos por seguir
Esteja consciente de suas ações. Não siga um grupo apenas por 
seguir, principalmente se não existia treinamento prévio e uma es-
tratégia definida para isso. Grupos muito grandes sem treinamento 
enfrentam dificuldades de comunicação, o primeiro não consegue 
falar com o último e se o primeiro perceber que é preciso voltar 
os últimos poderão estar forçando o grupo para frente gerando 
confusão. O melhor é o treinamento prévio, mas se isso não tiver 
acontecido permaneça no grupo enquanto a estratégia se mostrar 
coerente. Apesar da situação caótica, quanto mais consciente 
sobre os seus atos maiores as chances de a pessoa sobreviver.
Não perca tempo combatendo o incêndio
Ao perceber que o fogo está fora do controle, priorize sair 
e deixe a tarefa de combate para os bombeiros profissionais e 
brigadistas. Utilize o sistema de combate a incêndio, extintores, 
mangueiras etc. para abrir caminho para sair.
Evite o confinamento
Não fique em locais confinados se há opção de saída. A hora 
de tomar a decisão de sair é enquanto as saídas estão disponíveis. 
Fuja de ficar confinado mesmo que isso pareça seguro. Só con-
sidere a possibilidade de um abrigo confinado em último caso. 
Mas se não houver opção e for inevitável o confinamento, tente 
identificar o ponto com a melhor condição de ar e proteja-o como 
puder. Apesar de ser arriscado, alguns pontos podem, sim, resistir 
ao incêndio por um bom tempo. Observe se está havendo um 
avanço progressivo do fogo e fumaça em direção ao local. Caso 
positivo tente forçar a saída pelo lado oposto. Janelas são uma 
opção em situações extremas. Em alguns casos é possível passar 
entre janelas e varandas. Se isso for necessário concentre-se em 
onde firmar mãos e pés, e tenha em mente que se não houvesse 
a influência da altura talvez você fizesse os mesmos movimentos 
em uma aula de ginástica. Se previamente for possível manter 
algum equipamento como corda e pontos de fixação próximos 
da janela, esta será uma ação proativa que ampliará bastante as 
chances de sobrevivência.
Nível elevado de consciência
Tenha em mente antecipadamente as regras de escape e aban-
dono sobre o local onde você se encontra. Mas considere também 
os fatos que estão acontecendo no momento real do acidente para 
corrigir e ajustar o plano original se isto for necessário. Seguir 
regras cegamente é pior do que desobedecê-las conscientemente.
98 CAPÍTULO 4 Estratégias para gerenciamento...
Ajude outras pessoas
Apesarda gravidade do estado emocional gerado durante um 
incêndio, tente pensar nos outros também. Evite gerar conflitos 
na hora do escape. É totalmente normal acontecerem divergên-
cias, tensão e até brigas. Isso leva a perda de tempo, nervosismo e 
em termos práticos criam congestionamentos e pânico. Mantenha 
o senso de companheirismo e evite discussões danosas que só 
irão agravar o ambiente emocional da emergência. Ajude outras 
pessoas a sobreviverem, mas não se deixe contagiar pelo pânico 
de outrem. Mantenha sua atitude positiva e determinada em 
sobreviver em meio a um desafio extremo. As atitudes de ajuda só 
têm sentido quando aumentam o número de sobreviventes, não o 
de vítimas. Um grupo com ambiente de sobrevivência mútua tem 
mais chances do que um “cada um por si” desesperado. Mas nem 
sempre o grupo está certo em suas decisões, e em alguns casos 
pode ser necessário não seguir o grupo. Saiba que essa é uma 
decisão pessoal e você não poderá obrigar outros a concordarem 
com você e muito menos você poderá deixar de assumir a total 
responsabilidade e as consequências da sua decisão.
Sorte ?
Existem inúmeros relatos de sobreviventes de incêndios e de 
outros tipos de acidentes que não tiveram nenhuma preparação, 
orientação, reação ou atitude frente à emergência e mesmo assim 
sobreviveram. Há casos de recém-nascidos e pessoas que estavam 
dormindo e que foram os únicos sobreviventes dentre dezenas 
e até centenas de vítimas fatais. Investigando esses casos, 
 percebe-se que muitas atitudes, escolhas e decisões inconscientes 
foram tomadas de modo a resultar na perfeita conjugação de 
todos os fatores para que aquela pessoa específica sobrevivesse. 
O fato relevante é que para esses raros sobreviventes tudo acon-
teceu por “sorte”, mas para a maioria de milhares de pessoas que 
sobreviveram em todos os incêndios e tragédias, a sobrevivência 
veio de atitudes, escolhas e decisões corretas tomadas com um 
mínimo de consciência e que fizeram a grande diferença entre 
viver e morrer. Não acredito na sorte. Acredito em Deus, seus 
mistérios e na capacidade concedida ao homem de lutar pela vida.
4.8.6 Furacão Sandy, Nova York, USA
Em meio aos esforços de recuperação, o Governador do 
Estado americano de Nova Jersey Chris Christie fez ontem a 
seguinte declaração: “não existem meios de resposta suficientes 
99Gerenciamento de riscos 
para algo como o que eu vi na noite passada” (CNN Anderson 
Cooper), referindo-se ao impacto da supertempestade Sandy na 
costa leste americana. Apesar de se tratar de uma declaração que 
possa ter uma influência política, em termos de gerenciamento 
de risco está tecnicamente correta considerando-se o histórico de 
grandes catástrofes naturais como terremotos, vulcões, furacões, 
nevascas e maremotos entre outros. Diante da expectativa de 
eventos dessa gravidade o verbo “superar” é tecnicamente mais 
adequado do que o verbo “evitar”.
Mesmo as regiões com a melhor infraestrutura do planeta 
como Europa e Estados Unidos, ou as sociedades com os mais 
elevados níveis de preparação para catástrofes naturais como 
o Japão, não conseguem viabilizar meios que possam evitar as 
consequências desastrosas destes eventos naturais. É o que foi 
registrado no caso do Furacão Katrina que em 2005 atingiu os Es-
tados Unidos, das nevascas do inverno de 2010 que paralisaram 
a Europa e o terremoto e tsunami do Japão em 2011.
Catástrofes naturais como a supertempestade Sandy são fenô-
menos que envolvem uma quantidade extremamente elevada de 
energia, e sua ocorrência e extensão de seus efeitos dificilmente 
conseguem ser previstos com grande antecedência. É surpreen-
dente para alguns cientistas que mesmo com toda a tecnologia 
e os mais poderosos computadores, tais ferramentas ainda não 
sejam boas para a modelagem computacional de fenômenos 
naturais tão complexos. As consequências da supertempestade 
Sandy resultaram da interação de três enormes massas atmosféri-
cas, com deslocamentos diferenciados em velocidades, energia 
e temperaturas próprias. Um cenário complexo demais para ser 
simulado previamente, mesmo com a tecnologia do século XXI.
Brasil
Quando catástrofes como a supertempestade Sandy promo-
vem a destruição em cidades como Nova York, alguns poderiam 
logo perguntar: imagine se isso acontecesse no Brasil? Regiões 
desenvolvidas como Estados Unidos, Europa e Japão em geral 
possuem uma infraestrutura de resposta mais estruturada e orga-
nizada, mas em se tratando de eventos naturais dessa proporção, o 
Governador de Nova Jersey Chris Christie está certo em dizer que 
nada ou muito pouco pode ser feito para evitar os enormes danos 
às cidades. Nenhuma infraestrutura é perfeita e comparando com o 
Brasil, há até pontos questionáveis como a tecnologia de casas cons-
truídas em madeira, muito disseminada nos Estados Unidos, sendo 
100 CAPÍTULO 4 Estratégias para gerenciamento...
menos resistentes do que as casas brasileiras que em geral são 
de alvenaria. Talvez o aspecto mais importante para a superação 
da catástrofe seja a preparação da população para desenvolver 
uma atitude frente a esse tipo de adversidade. Equipamentos e 
estruturas físicas em geral não conseguem funcionar em situações 
extremas dessa magnitude. O Governador Christie chegou a 
afirmar que não seria possível realizar resgates ou prestar socorro, 
pois nenhum equipamento conseguia ser mobilizado durante 
o evento, e o melhor que deveria ser feito seria cada pessoa se 
manter em local seguro até que o evento natural se abrandasse.
Outro aspecto importante é que grandes cidades como Nova 
York, Rio de Janeiro e São Paulo, apesar de terem mais es-
trutura de resposta, também são mais vulneráveis, porque pos-
suem sistema de transporte mais crítico, maior movimentação 
de pessoas, maior dependência de alimentação elétrica etc. As 
grandes cidades brasileiras têm evoluído bastante no sentido de 
se estruturarem para oferecer resposta às catástrofes naturais. A 
população brasileira não tem o mesmo nível de preparação que 
a população japonesa para reagir em eventos como esses, mas 
por outro lado é inegável o elevado espírito de solidariedade e 
mobilização o que em situações caóticas podem fazer grande 
diferença.
Não seria justo, em situações de catástrofes naturais, atri-
buir apenas às autoridades a responsabilidade para reduzir o 
impacto da destruição. Nem mesmo as seguradoras conseguem 
viabilizar coberturas para esses tipos de evento. O que realmente 
faz a diferença é uma sociedade preparada para a adversidade. 
Entende-se por adversidade algo que inevitavelmente afetará 
pessoas, patrimônio e meio ambiente. Uma população cons-
ciente, incluindo-se nela suas autoridades, adota uma cultura de 
segurança desde a construção adequada dos edifícios, meios 
de drenagem e provimento de equipamentos de resgate, socorro 
e evacuação. Somente uma cultura de segurança nesse nível, 
aliada a uma atitude de solidariedade e mobilização frente à 
adversidade dá a uma população a capacidade de superação de 
catástrofes naturais dessa magnitude.
Ao contrário do que alguns possam afirmar, o Brasil possui 
capacitação técnica e características de comportamento coletivo 
importantes para o sucesso frente a uma catástrofe natural. Cabe 
a cada setor da sociedade fazer a sua parte coordenando esses 
recursos e mantendo nossas cidades preparadas para prover a 
superação frente à adversidade quando isso for requerido.
101Gerenciamento de riscos 
4.8.7 Desmoronamentos por tempestades de verão, 
Brasil
Um problema que parece crônico é a repetição de catástrofes 
em decorrência das chuvas e tempestades no período final do 
verão no Brasil. O número de vítimas e a reincidência de ocor-
rências podem aparentar tratar-se de um problema sem solução 
alcançável. A seguir, apresentamos cinco questões básicas sobre 
o gerenciamento desse tipo de risco.
j Os desmoronamentos com grande número de vítimas, que 
ocorrem devido às chuvas de verão, resultam de um fenômeno 
natural e, portanto, sem solução?Não. Os acidentes por desmoronamentos com vítimas 
fatais podem ser classificados como acidentes de origem 
externa, ou seja, acidentes cujo fato original que os gerou 
é decorrente de uma influência completamente externa 
ao projeto. Entretanto, a causa raiz desse tipo de acidente 
é a inadequação do tipo de projeto em relação à sua locação. 
Atualmente a tecnologia de construção civil permite 
construir edificações em praticamente qualquer local, mas 
dependendo das dificuldades de construção, o elevado custo 
torna determinados locais inviáveis economicamente para 
a comercialização. Terrenos e áreas que exigem projetos e 
construções difíceis e caras obviamente têm menor interesse 
comercial. Muitas vezes esses terrenos transformam-se em 
áreas aparentemente abandonadas, disponíveis e até 
convidativas para serem ocupadas pela parcela mais carente 
da população. Em algumas áreas é até proibido construir 
edificações, e isso não está claro para todos, principalmente 
para a população mais carente.
j Os responsáveis por esses acidentes são os próprios moradores 
e usuários da edificação?
 A princípio não. Afinal, não é esperado que alguém inten-
cionalmente construa uma edificação para seu uso nessas 
condições de alto risco. Em geral, quando isso acontece, há 
uma ignorância dos moradores sobre o elevado nível de risco 
ou pelo menos uma cultura de segurança tão baixa a ponto de 
gerar uma tolerância inaceitável ao risco, por total ignorância. 
A responsabilidade pela educação básica, principalmente da 
população mais carente, é do poder público. E é na educação 
básica que se forma a cultura de segurança, a percepção e 
o respeito aos riscos, aprendem-se os cuidados necessários 
102 CAPÍTULO 4 Estratégias para gerenciamento...
para as intervenções do homem no ambiente natural, e se com-
bate o menosprezo aos perigos. Nesse caso, ignorância mata. 
E o antídoto é uma boa educação básica fornecida pelo poder 
público aliada a informação técnica especializada. Desejar 
segurança pode ser algo natural e fruto de bom senso. Alcançá- 
la não. Alcançá-la é fruto de trabalho técnico especializado.
j Que atenção certa deve ser dada a esse problema em tempo 
de evitar as catástrofes de final de verão?
 Primeiramente as regiões onde são proibidas as construções 
precisam ser permanentemente fiscalizadas e segregadas. 
A fiscalização precisa ter presteza para agir imediatamente 
quando for identificada alguma tentativa de ocupação. 
Outro fator importante é a educação e a informação dada 
à população. Tanto a fiscalização das áreas de exclusão 
como a educação básica da população são responsabilidades 
das autoridades. Também de responsabilidade das autoridades 
é a aprovação de projetos em áreas que exijam mais 
tecnologia para construir estruturas seguras. Muitas vezes, 
apesar de tecnicamente possível, o terreno exige um projeto 
estrutural mais robusto e caro, mas por falhas de fiscalização, 
projetos inadequados acabam sendo aprovados com riscos 
latentes, como já aconteceu, por exemplo, com hotéis de luxo 
construídos fora dos requisitos de segurança estrutural e que 
por isso sofreram soterramentos na região da Costa Verde, 
Angra do Reis, RJ.
j Como devem agir os que já estão ocupando uma edificação 
que pode estar sob esse tipo de risco?
 O simples fato de existir a suspeita de se estar ocupando uma 
edificação com risco de desmoronamento faz grande diferença. 
O pior é ignorar completamente isso. A primeira atitude deve 
ser deixar a edificação até que seja verificada a adequação 
técnica da construção e projeto (se houver) ao terreno. Essa 
verificação tem de ser feita por profissional de engenharia 
civil, especializado em estruturas e fundações. A defesa civil 
dispõe desse tipo de profissional. Depois, caso haja alguma 
inadequação, a edificação pode ser recuperada se o custo para 
isso for viável. Caso não seja, o melhor a fazer é não mais 
fazer uso da edificação.
j O que fazer quando o morador de uma edificação condenada 
pela inadequação do projeto ao terreno não tem para onde ir? 
E quando nem sequer existiu projeto, tendo sido construída 
uma edificação amadoristicamente, como acontece na maioria 
103Gerenciamento de riscos 
das comunidades carentes afetadas por esse tipo de tragédia?
 O fato de não ter para onde ir talvez seja o que exerça maior 
pressão para o não abandono da edificação condenada. 
As autoridades, mais uma vez, são os maiores responsáveis 
para a resolução desse problema de infraestrutura urbana. 
Não há solução intermediária para esse problema. Pessoas 
precisam de moradia. Não havendo disponibilidade surgem 
as ocupações, comunidades e construções amadoras sem 
a menor segurança, improvisadas nas áreas disponíveis 
para ocupação que assim torna-se desordenada e irregular. 
A própria descrição do cenário desse tipo de acidente 
deixa clara a responsabilidade das autoridades sobre essas 
tragédias, que tanto se repetem. São necessárias ações a curto, 
médio e longo prazo, envolvendo desde a infraestrutura de 
habitação do país, até a fiscalização diária dos princípios de 
ocupações irregulares. Em termos de gerenciamento de riscos, 
as chamadas tempestades de verão são apenas o fenômeno 
natural que dispara a cadeia de eventos que geram catástrofes. 
A partir do primeiro evento, a tempestade, praticamente 
todos os demais poderiam são evitáveis por ações de um 
poder público capacitado e eficiente. Em síntese, as chuvas 
de verão são fenômenos naturais que têm menor peso 
no estabelecimento de tantas vítimas fatais, já que não estão no 
controle das pessoas. O maior peso está na responsabilidade 
em relação à falta de planejamento urbano e de infraestrutura 
habitacional.
CAPÍTULO
5Escape de perigos e abandono de cenários
SUMÁRIO DO CAPÍTULO
5.1 Importância dos sistemas de escape e abandono ..............108
5.2 Acidentes em Instalações offshore e sobrevivência ...........109
5.3 Interação Homem × Sistema durante 
o Escape e Abandono .......................................................110
5.4 Simulações computacionais de escape e abandono ..........111
5.5 Simulações computacionais de escape e abandono 
em instalações offshore ...................................................112
107Gerenciamento de riscos 
A proposta de uma abordagem para gerenciamento de risco 
e segurança baseada em fatores humanos e cultura de segurança 
está conceitualmente definida nos capítulos anteriores. Para 
demonstrar a aplicação prática desta proposta, foi necessário 
escolher um sistema de segurança específico considerado como 
ideal para o início da implementação dos conceitos de fatores 
humanos e cultura de segurança no gerenciamento de riscos e 
segurança de empreendimentos tecnológicos. O sistema escolhi-
do foi o sistema de escape de perigos e abandono de cenários.
O nome adotado, sistema de escape de perigos e abandono de 
cenários, baseia-se na nomenclatura adotada pela ISO – Inter-
national Organization for Standardization – n° 13702 (Petroleum 
and natural gas industries − Control and mitigation of fires and 
explosions on offshore production installations − Requirements 
and guidelines). Frequentemente, o termo evacuação é utilizado 
pelos profissionais de gerenciamento de riscos, pelas normas 
e procedimentos. Mas de acordo com a ISO 13702, o termo 
evacuação refere-se ao método planejado para deixar a instala-
ção durante uma emergência, enquanto o ato de efetivamente 
deixar a instalação durante uma emergência é denominado pela 
ISO 13702 como abandono. O significado do termo escape na 
mesma norma ISO 13702 é o ato de as pessoas se afastarem do 
evento perigoso propriamente dito para um local onde os efeitos 
desse evento sejam reduzidos ou eliminados. Escapar não signi-
fica necessariamente sair do cenário do acidente, enquanto aban-
donar significa exatamente isso, mesmo que o abandono do 
cenário do acidente seja para passar a fazer parte de outro cenário 
de risco, desde que fora da influência do primeiro.
As simulações computacionaisapresentadas neste trabalho 
permitem estudar os atos das pessoas durante o acidente e, a 
partir desses resultados, é possível reavaliar os métodos e plane-
jamentos teóricos. Decidimos por utilizar o termo abandono por 
ser mais preciso em relação à nomenclatura da norma ISO 13702. 
Portanto, as simulações estudadas neste trabalho se referem pri-
meiramente ao ato de as pessoas se afastarem do perigo imediato, 
ou seja, se afastarem do local onde o evento gera consequências 
que afetam as pessoas imediatamente. Depois de as pessoas es-
caparem do perigo imediato através de rotas de escape (ou de 
fuga do perigo, como adotado em algumas nomenclaturas), se 
necessário, essas pessoas irão efetivamente abandonar a ins-
talação e, consequentemente, passarão a ser consideradas fora 
do cenário original do acidente, mesmo que inseridas em outros 
108 CAPÍTULO 5 Escape de perigos e abandono
cenários de riscos, todavia não mais sob a influência direta do 
cenário original do acidente. Portanto, adotamos a denominação 
sistema de escape de perigos e abandono de cenários ou, de 
forma simplificada, sistema de escape e abandono, pela sua 
precisão e coerência com a norma ISO 13702, definindo assim 
de forma mais precisa o sistema de segurança a ser utilizado 
para introduzir a abordagem de fatores humanos e cultura de 
segurança em empreendimentos tecnológicos, e em especial em 
instalações offshore (nosso estudo de caso).
Neste capítulo iremos apresentar as razões da escolha do sis-
tema de escape de perigos e abandono de cenários, bem como a 
potencialidade dos resultados decorrentes desta escolha.
5.1 IMPORTÂNCIA DOS SISTEMAS DE ESCAPE 
E ABANDONO
Considerando o princípio 1 de fatores humanos (centralização 
de objetivos nas pessoas), o sistema de segurança com maior 
potencial para salvar vidas em um acidente é o sistema de escape 
e abandono. Diante da ocorrência de uma situação de perigo, 
afastar-se dele é a atitude padrão e se aplica a qualquer em-
preendimento tecnológico.
Muitas vezes, quando o tema é segurança, há uma tendên-
cia natural em priorizar a atenção para os sistemas de água 
de combate a incêndio, detecção de chama, calor e gás por 
estarem diretamente associados com a mitigação do mais 
básico acidente postulado em empreendimentos tecnológicos: 
o incêndio. No caso de instalações offshore, o incêndio é um 
dos mais importantes cenários estudados nos projetos dos 
sistemas de segurança, e talvez a maior ameaça a essas ins-
talações. Mas a abordagem baseada no princípio 1 de fatores 
humanos permite perceber que, se o acidente acontece, os sis-
temas de combate a incêndio e detecção protegem com muito 
mais eficiência a própria instalação. Obviamente tais sistemas 
também servem para proteger as pessoas, mas de forma in-
direta. Já o sistema de escape e abandono tem o objetivo direto 
de proteger as pessoas estando, assim, diretamente alinhado 
com o princípio 1 de fatores humanos: centralização de ob-
jetivos nas pessoas. Mais adiante, no Capítulo 7, trataremos 
da definição conceitual de cenários nos quais o assunto será 
abordado de forma detalhada.
109Gerenciamento de riscos 
5.2 ACIDENTES EM INSTALAÇÕES 
OFFSHORE E SOBREVIVÊNCIA
Os conceitos deste trabalho se aplicam a qualquer tipo de em-
preendimento tecnológico em que a interação homem × sistema seja 
importante, e isso torna essa aplicação bastante geral. Portanto, 
mesmo havendo particularidades técnicas no estudo de caso de 
escape e abandono de instalação offshore, os conceitos desenvol-
vidos têm aplicação geral para empreendimentos tecnológicos.
O acidente em instalação offshore com o maior registro de 
vítimas fatais foi a explosão, seguida de incêndio e, consequente 
destruição com perda total da plataforma fixa Piper Alpha em 
6 de julho de 1988 no Mar do Norte. Foram 167 mortes e 62 
sobreviventes. A maior parte das vítimas fatais estava no casario 
aguardando um resgate que jamais chegou. Esse comportamento 
era o previsto em normas, e os operadores haviam sido treinados 
para agir assim. Por outro lado, os 62 sobreviventes não seguiram 
os procedimentos porque conseguiram, no momento do acidente, 
identificar fatores que levariam a um provável insucesso, se assim 
o fizessem. Grande parte dos sobreviventes saltou diretamente 
para o mar indo frontalmente contra o treinamento e as normas. 
O relato dos sobreviventes inclui a importância da atitude do 
primeiro a saltar para o mar, que ao assumir esse risco levou 
outros também a ter a mesma atitude certa no tempo certo e por 
esse meio extremo conseguiram abandonar a instalação num 
cenário de incêndio e degradação extrema, passando para um 
cenário de sobrevivência no mar, também de alto risco, mas cuja 
aceitação fez a diferença entre a vida e a morte.
Enquanto aguardavam o resgate no casario seguindo os 
procedimentos estabelecidos, os sistemas de combate a incên-
dio estavam operantes, mas mesmo assim não tinham como 
fazer frente a um incêndio de tal proporção. Os sistemas de 
combate a incêndio de uma unidade offshore são tecnicamente 
dimensionados para mitigar “princípios” de incêndio, sendo 
eficientes nos primeiros segundos, ou por alguns minutos, com 
o objetivo de evitar o escalonamento imediato do acidente da 
categoria de princípio de incêndio para um cenário de incêndio 
de grandes proporções. Devido aos tamanhos de inventários de 
hidrocarboneto existentes nas instalações offshore de exploração 
e produção de óleo e gás, o combate a um incêndio de grandes 
proporções é tecnicamente limitado. É muito grande a diferença 
de energia que o inventário de hidrocarboneto disponibiliza 
110 CAPÍTULO 5 Escape de perigos e abandono
para alimentar o incêndio em relação à energia possível de ser 
removida por resfriamento e abafamento através dos sistemas de 
combate a incêndio, seja por água, espuma, gases ou quaisquer 
outros disponíveis no mercado offshore.
Em instalações offshore, o escalonamento de um princípio 
de incêndio para um incêndio propriamente dito pode ser muito 
rápido. Nessas circunstâncias, o sistema que tem maior influência 
direta em salvar vidas é o de escape e abandono. Os demais 
sistemas são importantíssimos para fornecer mais tempo para 
as pessoas saírem antes de um possível escalonamento ocorrer, 
aumentando assim a eficiência do sistema de escape e abandono.
Isso se aplica também aos demais cenários de acidente, mesmo 
sem incêndio, como no caso de danos estruturais e de estabilidade 
que podem conduzir a instalação a uma avaria estrutural grave 
e, consequentemente, ao afundamento. Nesses casos, também o 
sistema mais diretamente associado ao salvamento de vidas é o 
de escape e abandono, sendo os demais também responsáveis 
para fornecer tempo extra, caso seja inevitável o escalonamento 
de um cenário inicial de acidente de avaria naval para um cenário 
crítico e irreversível com perda da estabilidade e flutuabilidade.
5.3 INTERAÇÃO HOMEM × SISTEMA DURANTE 
O ESCAPE E ABANDONO
Considerando o princípio 3 de abordagem de projeto por 
fatores humanos, a interação homem × sistema deve ser con-
trolada de modo a limitar as consequências dos erros humanos 
para que estes não venham a desencadear um cenário de acidente 
catastrófico. Se há uma emergência em uma instalação offshore 
e, em tempo hábil, as pessoas escapam e abandonam a instalação 
sem danos, isso pode ser considerado uma vitória de eficiência 
técnica da segurança da unidade como um todo, além de reduzir 
significativamente o impacto negativo do acidente na imagem da 
empresa, o que representa custos.
A operação de escape e abandono propriamente dita ma-
ximiza a interatividade homem × sistema em todos os níveis. 
Assim que o processo é deflagrado, os sistemas de automação 
através de seus intertravamentos de segurança intensificam a 
comunicação com os operadores da sala de controle, e ambos, 
homem e máquina, passam a trabalhar na tentativa de obter a 
mais completa identificação do cenário do acidente para que este 
111Gerenciamento deriscos 
seja corretamente avaliado e tenha a resposta operacional certa 
no tempo certo conforme os princípios de cultura de segurança.
Além da interação de maior percentual de carga cognitiva 
que acontece na sala de controle, por toda a unidade as pessoas 
irão interagir com a máquina (plataforma) desde a percepção 
pela sonorização e alarme, preparações imediatas para escape e 
abandono, além de intensa interação física ao tentar identificar a 
melhor rota de escape e abandono, considerando o impacto das 
consequências do acidente e a interação com as demais pessoas 
envolvidas, que, embora possam estar com os mesmos objetivos, 
podem ter atitudes e decisões individuais completamente dife-
rentes, em alguns casos compatíveis entre si e em outros não.
A operação de escape e abandono justifica que sejam criadas 
ferramentas de estudo capazes de considerar a complexidade de 
centenas de interações homem × sistema simultâneas, motivadas 
pela sobrevivência, e que ocorrem sob um cenário crítico, com 
particularidades para cada projeto, e que exige presteza de atitu-
de. Uma análise do sistema de escape e abandono baseada apenas 
no cálculo de tempo de deslocamento para o homem mais dis-
tante do ponto de abandono, considerando sua velocidade média 
esperada, não retrata a realidade complexa do que ocorre no 
escape e abandono de uma unidade offshore, tanto tecnicamente 
como comportamentalmente.
5.4 SIMULAÇÕES COMPUTACIONAIS 
DE ESCAPE E ABANDONO
Para o projeto de sistemas de escape e abandono realísticos 
e eficientes, a quantidade de informações requerida é elevada.
É preciso considerar que no momento da emergência, há pos-
sibilidade de haver pessoas em cada local acessível da unidade, 
bem como cada pessoa pode ter uma reação inicial diferente, uns 
com resposta mais rápida, outros mais lenta. Dependendo da lo-
calização e da função técnica de cada pessoa, poderá haver tarefas 
a realizar antes do início do escape e abandono propriamente dito.
A posição provável de cada pessoa também pode ser alterada 
conforme o horário do acidente, se durante o dia ou noite. Tam-
bém não podemos deixar de reconhecer que o tempo de reação 
para responder aos alarmes e iniciar a ação de escape e abandono 
também sofre influências diferentes do horário diurno e noturno, 
e isso depende de cada indivíduo.
112 CAPÍTULO 5 Escape de perigos e abandono
As velocidades das pessoas também podem ser diferentes 
entre si. Seja por conta do grau de conhecimento técnico sobre 
a unidade, experiência operacional ou mesmo por idade, gênero, 
características antropométricas ou simplesmente pelo comporta-
mento psicológico. Também haverá variações de velocidade até 
mesmo para uma mesma pessoa, uma vez que existem escadas, 
portas e em acidentes com danos navais a unidade poderá sofrer 
adernamento, inclinando-se, o que reduziria a velocidade, assim 
como também no caso de possíveis alagamentos.
Fumaça e temperatura elevada podem afetar as pessoas duran-
te o escape e abandono e, lamentavelmente, levar a fatalidades, 
principalmente se tais elementos estiverem presentes em locais 
com congestionamentos. Os procedimentos operacionais previa-
mente estabelecidos e o treinamento das pessoas podem requerer, 
por exemplo, o deslocamento para cabinas em busca de coletes, 
gerando mais congestionamento e retardo.
Como podemos observar, somente uma simulação computa-
cional poderia fazer a gestão simultânea destes e muitos outros 
fatores que existem numa operação de escape e abandono real. 
Através de uma simulação computacional é possível incluir as 
características de cada pessoa e distribuí-las nas mais variadas 
configurações num modelo 3D da instalação, considerando to-
dos os parâmetros citados além de outros mais, como os efeitos 
de propagação de incêndio e os movimentos do mar quando 
isso for requerido. Mais ainda, é necessário ser possível repetir 
as simulações em bateladas, cobrindo o maior número possível 
de variação na distribuição das pessoas, tratar estatisticamente 
os resultados gerados e oferecer respostas fundamentais para a 
priorização da segurança conforme os princípios de cultura de 
segurança, de tal forma que o projeto dos sistemas de escape 
de perigos e abandono de cenários possa prover a atenção certa 
no tempo certo, maximizando as chances de sobrevivência em 
cenários de acidentes em instalações offshore.
5.5 SIMULAÇÕES COMPUTACIONAIS DE ESCAPE 
E ABANDONO EM INSTALAÇÕES OFFSHORE
O uso de simulações computacionais de escape e abandono em 
instalações offshore possibilita reproduzir o que acontecerá duran-
te a emergência em termos de sobrevivência de pessoas, para tantos 
cenários acidentais quantos sejam necessários. É possível estudar 
113Gerenciamento de riscos 
o deslocamento de pessoas durante a emergência e também as 
consequências de seus respectivos comportamentos.
Tais simulações podem ser usadas na fase de projeto para 
sugerir mudanças que reduzam os congestionamentos e proble-
mas das rotas de escape. Podem ser usadas também em unidades 
em operação para estudos de melhoria e até mesmo em tempo 
real, paralelamente ao andamento de tarefas críticas e especiais. 
Além de aspectos de segurança, o deslocamento de pessoas 
pode ser estudado sob o ponto de vista de eficiência operacional, 
verificando-se, por exemplo, o grau de perturbação que um grupo 
de trabalho atuando numa área específica pode trazer à unidade 
como um todo.
É possível também agregar, através da importação de dados 
para um único modelo 3D da instalação, os resultados de ou-
tros tipos de análises como estudos de propagação de incêndio, 
explosão e dispersão de gases, sejam esses estudos em fluido-
dinâmica computacional ou, em inglês, computational fluid 
dynamics (CFD), ou baseados em outras técnicas, sempre com 
o diferencial inovador de permitir a interação das ferramentas 
tradicionais da segurança com as pessoas, uma vez que esse tipo 
de simulação inclui explicitamente pessoas interagindo com a 
instalação durante a emergência.
A simulação computacional de escape e abandono também 
serve como ferramenta ideal para introdução da abordagem da 
segurança offshore através dos conhecimentos de fatores huma-
nos e cultura de segurança, que representam o que há de mais 
atualizado em termos de gerenciamento de riscos e segurança. 
Esse é o principal motivo da sua escolha como estudo de caso.
Como pode ser observado, o potencial de uma ferramenta 
computacional capaz de prover soluções desse tipo representa 
uma enorme evolução tecnológica em termos de segurança off- 
shore. Mais que isso, pode ser vista como um ponto de ruptura 
tecnológica levando a uma abordagem da segurança offshore 
fundamentada em princípios de fatores humanos e cultura de 
segurança.
Não apenas em projetos offshore, mas em todos os empreen-
dimentos tecnológicos os técnicos devem buscar a identificação, 
adequação e desenvolvimento de ferramentas inovadoras capazes 
de prover evolução tecnológica introduzindo a abordagem ba-
seada em princípios de fatores humanos e cultura de segurança.
Nem todas as ferramentas computacionais são homologadas 
para a realização de simulações computacionais com confiabilidade. 
114 CAPÍTULO 5 Escape de perigos e abandono
Um software utilizado em segurança marítima para navios de 
passageiros, homologado pela IMO, pode ser adaptado para apli-
cação em instalações offshore de exploração & produção de óleo 
e gás, mas é necessária experiência para fazer esse uso adaptado. 
Nos capítulos subsequentes, iremos descrever tecnicamente, 
passo a passo, a metodologia que conduziu a identificação, ade-
quação e desenvolvimento de simulação de escape e abandono, 
em 3D, de uma instalação offshore do mercado de gás e petróleo.
CAPÍTULO
6Aplicação prática em instalações offshore
SUMÁRIO DO CAPÍTULO
6.1 Características do software de simulação .........................118
6.2 Características da unidade offshore em estudo .................120
6.3 Importação de documentos originais de projeto ................1216.4 Construção do modelo 3D ................................................122
6.4.1 Adaptação da área de processo..........................123
6.4.2 Adaptação da área do casco ..............................124
6.4.3 Adaptação da área da superestrutura .................125
6.5 Definição de agentes a bordo e seus parâmetros 
comportamentais .............................................................125
6.5.1 Dimensionamento da tripulação 
e características gerais dos agentes a bordo ........126
6.5.2 Experiência operacional dos agentes a bordo ......126
6.5.3 Gênero dos agentes a bordo ..............................127
6.5.4 Idade dos agentes a bordo ................................128
6.5.5 Velocidades de deslocamento 
dos agentes a bordo ..........................................128
6.5.6 Tempos de reação dos agentes a bordo ...............129
6.5.7 Posicionamento físico dos agentes na unidade ....130
6.5.8 Tarefas especiais para agentes específicos 
durante a emergência ........................................131
6.5.9 Medição dos efeitos da emergência sobre 
a integridade das pessoas .................................132
117Gerenciamento de riscos 
Não é nosso objetivo a criação de softwares de simulação 
computacional, nem o estudo específico das programações in-
ternas e modelagens matemáticas empregadas nos mesmos. O 
escopo deste trabalho é a abordagem dos assuntos de geren-
ciamento de riscos e segurança fundamentada nos princípios 
de fatores humanos e cultura de segurança, e a investigação 
dos resultados obtidos com a aplicação desses fundamentos 
na melhoria, por exemplo, dos sistemas de escape de perigos e 
abandono de cenários de emergência em instalações offshore.
São vários os tipos de estudos, análises de risco, softwares, simu-
ladores utilizados no gerenciamento de riscos dos empreendimentos 
tecnológicos desde a fase de projeto até o fim da vida útil de cada 
empreendimento. Esses estudos e análises são normalmente dis-
persos, não se conectando diretamente entre si, principalmente no 
que se refere a interação do elemento humano com os cenários 
estudados. Um novo conceito, o qual denominamos Full Safety 
Analysis (Análise Completa de Segurança) permite agregar numa 
só ferramenta de análise, nuvens de pontos relativas aos estudos de 
dispersão de gases, propagação de incêndio, explosão num único 
modelo 3D que permite incluir a parte mais importante a ser pro-
tegida: a interação com o elemento humano. Um estudo realizado 
dentro desse conceito permite avaliar, ainda que limitadamente, a 
interação homem × sistema e o comportamento tanto dos agentes 
individualmente como em grupo, frente a um cenário de emergência.
Existem vários softwares no mercado que simulam escape 
e abandono em edifícios, hospitais, regiões urbanas, aviões e 
navios. Um dos mais completos é o software Exodus, criado pelo 
School of Computing & Mathematical Sciences (University of 
Greenwich, UK). A Siemens, empresa de tecnologia multina-
cional de origem alemã, apresentou em 2012 um protótipo de 
ferramenta de simulação computacional de escape e abandono 
que inclui elementos do comportamento humano. Essas ferra-
mentas são utilizadas para melhorar os projetos de segurança 
de empreendimentos tecnológicos e são capazes de simular 
cenários que incluem incêndio, explosão, fumaça, temperatura, 
alagamento, comportamento humano e a influência de catás-
trofes naturais, como enchentes e terremotos, e até situações de 
emergência decorrentes de ataques terroristas.
A maioria desses softwares estabelece um considerável grau 
de complexidade de programação para a elaboração de cenários, 
para a confecção de modelos, bem como significativo treina-
mento para a sua utilização por engenheiros. Alguns exigem 
118 CAPÍTULO 6 Aplicação prática ...
também considerável tempo de processamento computacional 
para conseguir resultados objetivos.
Não identificamos ainda um software criado especificamente 
para instalações offshore de exploração e produção de óleo e gás. 
Qualquer software a ser utilizado para esse fim requer o trabalho 
de adaptação de suas funcionalidades às características específicas 
das instalações offshore. Os softwares mais indicados para esse 
trabalho de adaptação são os que simulam as operações de escape e 
abandono em navios de passageiros nos cenários de emergência 
e de embarque e desembarque regulares.
Identificamos um software capaz de incluir nas simulações 
de cenários de incêndio efeitos do calor e fumaça sobre as pes-
soas, a inclinação do flutuante, os aspectos comportamentais 
e os movimentos da unidade, seja em condição de avaria ou 
não. Consideramos esse software aplicável ao estudo de caso de 
uma instalação offshore desde que suas funcionalidades sejam 
adaptadas pelo usuário. Uma adaptação tecnicamente correta 
permite a abordagem do tema escape e abandono baseada nos 
princípios de fatores humanos e cultura de segurança.
6.1 CARACTERÍSTICAS DO SOFTWARE 
DE SIMULAÇÃO
O software utilizado em nosso estudo denomina-se EvE/ 
Evi (2008) e foi criado pela empresa Safety at Sea Ltd (especia-
lizada em análise de segurança marítima) em conjunto com o 
Departamento de Arquitetura Naval da University of Strathclyde, 
Glasgow, UK.
Evi (módulo de simulação do software) é uma ferramenta usada 
para simular o movimento de pessoas em qualquer tipo de ambien-
te, mesmo onshore. Esse software tem sido usado para modelar a 
circulação e o abandono de pessoas em navios, estruturas offshore 
de produção de energia eólica e edifícios. O programa trabalha com 
uma interface 3D, a qual permite ao usuário preparar uma apresen-
tação realista de cenários e fazer modificações em tempo real.
As pessoas são modeladas como agentes individuais e intera-
gem entre si e com o ambiente da instalação no qual se inserem. 
Não há limitações para o número de pessoas nem do tamanho do 
ambiente a ser modelado. Variáveis demográficas e antropomé-
tricas que podem impactar o comportamento das pessoas, como, 
por exemplo, idade e gênero, bem como as velocidades das pes-
soas, podem ser atribuídas aos agentes probabilisticamente.
119Gerenciamento de riscos 
Programações realizadas no Evi podem incluir nos cenários 
simulados a atribuição de tarefas a serem executadas e atribuídas 
a pessoas específicas. Assim é possível criar uma circulação de 
pessoas bastante complexa, e definir previamente regras de in-
teração e as influências dos procedimentos adotados na instalação 
(por exemplo, os procedimentos operacionais de uma unidade 
em operação, ou os procedimentos de construção e montagem 
de um navio ainda não finalizado).
Uma gama de resultados pode ser obtida através da reprodu-
ção dos filmes das simulações conjugada com a utilização das 
facilidades de medição dos parâmetros técnicos envolvidos. A 
visualização 3D permite a observação do evento a partir de qual-
quer ponto de vista, sendo possível a gravação das simulações 
e a repetição das mesmas em bateladas para tratamento estatís-
tico. Um conjunto de funções de análise é capaz de fornecer 
gráficos, estatísticas e a identificação de congestionamentos além 
da verificação da eficiência dos meios de escape e abandono.
O software subdivide-se em dois componentes indepen-
dentes: um denominado EvE – Evacuation Editor, que é um 
software para fazer especificamente a edição do modelo 3D do 
ambiente a ser simulado; e um componente principal deno-
minado Evi – Evacuation Analysis Of IMO Ship, que é um soft-
ware que importa o modelo 3D do EvE (módulo de modelagem 
do software) e permite a inserção das variáveis relacionadas com 
a população e de todos os parâmetros característicos do cenário 
em estudo, criando assim a simulação propriamente dita. As Figu-
ras 6.1 e 6.2 mostram as principais telas de interface dos softwares.
FIGURA 6.1 Tela de interface do software Evi (simulador). Cortesia 
Safety-at-Sea, Glasgow UK, http://www.safety-at-sea.co.uk/
120 CAPÍTULO 6 Aplicação prática ...
6.2 CARACTERÍSTICAS DA UNIDADEOFFSHORE 
EM ESTUDO
Para este trabalho foi escolhido um FPSO (Floating Pro­
duction Storage and Offloading) (Figura 6.3) que é uma unidade 
offshore de exploração & produção de óleo e gás resultante da 
conversão de um petroleiro VLCC (Very Large Crude Carrier). 
FIGURA 6.2 Tela de interface do software EvE (editor do modelo 3D). 
Cortesia Safety-at-Sea, Glasgow UK, http://www.safety-at-sea.co.uk/
FIGURA 6.3 Modelo 3D do FPSO estudado.
121Gerenciamento de riscos 
O FPSO escolhido para estudo é suposto ter uma capacidade ins-
talada para processar e tratar 180 mil barris de petróleo dia (bpd) 
de óleo, 6 milhões de m3/d de gás e injetar 42 m3/d de água des-
sulfatada. A unidade é suposta ser instalada em lâmina d’água 
de 1600 m. O POB (People on Board) da unidade é previsto em 
projeto para 110 pessoas.
O sistema de escape de perigos e abandono de cenários do 
FPSO em estudo foi projetado em conformidade com as seguin-
tes normas:
j ISO 13702 Control and Mitigation of Fires and 
Explosions on Offshore Production Installations
j IMO SOLAS: Safety of Life at Sea
j IMO MODU CODE: Mobile Offshore Drilling Units
j NORMAN 01 Norma da Autoridade Marítima 
Brasileira para Embarcações Empregadas na Navegação 
de Mar Aberto
j REQUISITOS DE SOCIEDADES 
CLASSIFICADORAS (American Bureau of Shipping 
(ABS), Stiftelsen Det Norske Veritas (DNV), Bureau 
Veritas S.A.(BV), Lloyd's Register Group (LLOYD’S)
j API RP 14J American Petroleum Institute – Design and 
Hazards Analysis for Offshore Production Facilities.
j OPERADORA Especificações Técnicas e Normas 
Aplicáveis à Segurança Offshore de cada Operadora.
6.3 IMPORTAÇÃO DE DOCUMENTOS ORIGINAIS 
DE PROJETO
O projeto do FPSO em estudo (ver o arranjo na Figura 6.4) é 
recente, e os documentos originais do projeto básico foram dis-
ponibilizados em MicroStation (.dgn). O software de edição do 
modelo 3D requer que os documentos originais em MicroStation 
(.dgn) sejam convertidos para o formato Data Exchange Format 
(.dxf) a fim de que sejam importados sem perdas significativas de 
informações. Foram convertidos desenhos das disciplinas de ar-
ranjo físico, naval, arquitetura e segurança formando um conjunto 
de cerca de 90 desenhos como fonte para a edição do modelo 
3D do FPSO em estudo. Além dos desenhos originais, foram 
utilizadas as especificações técnicas e os relatórios de análises 
de segurança de modo a compor o conjunto de informações 
necessárias para a confecção do modelo 3D.
122 CAPÍTULO 6 Aplicação prática ...
6.4 CONSTRUÇÃO DO MODELO 3D
Após a importação dos documentos originais de projeto para 
o software os mesmos são organizados pelo software, por nível, 
em relação à quilha do FPSO. Os documentos são também re-
ferenciados através da definição de um ponto (0,0,0) em cada 
desenho para fins de posicionamento tridimensional.
Cada documento é associado a um nível de deck do FPSO. O 
modelo 3D, para ser construído, requer uma precisão de detalhes 
maior do que a disponibilizada pelos documentos de projeto, o 
que implica na necessidade de criação de decks intermediários, 
como, por exemplo, os pisos intermediários de escadarias. Esse 
grau de detalhamento é muito importante para que o modelo 3D 
funcione perfeitamente, uma vez que todos os locais acessíveis da 
unidade precisam estar devidamente interligados. Qualquer falha 
ou inconsistência técnica impede automaticamente o funciona-
mento do modelo e, consequentemente, de todas as simulações.
Após a importação dos documentos, os ajustes necessários e 
a criação dos decks intermediários, o modelo 3D do FPSO em 
estudo foi construído com um total de 45 decks.
Durante a edição do modelo 3D, são estabelecidas as posições 
das muster stations (pontos de reunião) com base nas definições 
do projeto original. Observa-se que os modelos 3D utilizados pa-
ra as simulações de escape não possuem as mesmas definições de 
FIGURA 6.4 Arranjo geral final do FPSO estudado.
123Gerenciamento de riscos 
localização de muster stations que os modelos 3D utilizados para 
simulações de abandono, pois os procedimentos operacionais 
supostos serem adotados no FPSO em estudo estabelecem que 
após o escape as pessoas irão se concentrar em salas específicas 
no casario, enquanto a concentração de pessoas na simulação 
de abandono está prevista para a área de embarque nos lifeboats 
(embarcações de salvamento).
Analogamente, a decisão pelo abandono pelos lifeboats 
de bombordo ou de estibordo também irão requerer posições 
diferenciadas das muster stations. Portanto, foram necessários 
três modelos 3D para atender às diferentes categorias de simu-
lações de escape, de abandono por bombordo e de abandono 
por estibordo.
6.4.1 Adaptação da área de processo
A área de processamento de óleo e gás da instalação offshore 
é a área que gera maior dificuldade de adaptação técnica durante a 
edição dos modelos 3D. O software utilizado foi desenvolvido para 
navios de passageiros, e a área de processo é totalmente estranha ao 
programa de edição dos modelos 3D. Não que os recursos técnicos 
disponíveis no software não sejam suficientes para representar a área 
de processo, mas o entendimento sobre as rotas, os equipamentos 
e a circulação de pessoas em unidades offshore não tem corres-
pondência com as interfaces de edição do software. É necessária 
grande vivência de campo, conhecimento operacional e de projetos 
de instalações offshore para se conseguir fazer as devidas correspon-
dências entre os módulos, vasos, tanques e inúmeros equipamentos 
da indústria offshore com as funcionalidades disponíveis no software 
para a construção do modelo 3D.
Alguns módulos possuem níveis e mezaninos onde frequen-
temente pode haver pessoas, outros por questões de segurança 
são raramente frequentados. Escadas verticais, não previstas 
pelo software, precisaram ser criadas por adaptação, pois esse 
tipo de acesso é característico nos módulos de processo. Rotas 
de circulação que exigem o desvio de inúmeras interferências 
normais no campo não são ordinariamente criadas pelo software. 
Em alguns casos, foi necessário criar rotas equivalentes para 
manter a máxima representatividade entre a plataforma real e o 
modelo 3D criado virtualmente.
A adaptação da área de processo foi feita com grau de 
 representatividade técnica aceitável para compor um modelo 
124 CAPÍTULO 6 Aplicação prática ...
3D da unidade, incluindo todos os módulos e todos os níveis es-
tabelecidos no projeto do FPSO em estudo. A Figura 6.5 mostra 
o exemplo esquemático de arranjo interno do módulo 10 (injeção 
de água), incluindo escadas e acessos.
6.4.2 Adaptação da área do casco
As áreas sob o main deck no interior do casco do FPSO em 
estudo podem ser divididas em um conjunto de áreas de ocupação 
menor na proa e um conjunto de áreas densamente ocupadas 
da popa. O conjunto de áreas da popa é subdividido em vários 
decks, mezaninos sendo significativamente compartimentado. 
A maior parte do volume no interior do casco contém áreas 
consideradas não habitadas para fins de operação do FPSO. 
Nessa região, encontram-se os grandes tanques de serviço da 
unidade considerados nesse trabalho como locais desabitados.
Embora mantenham certa reciprocidade com a região equi-
valente existente em navios de passageiros, os decks da popa no 
interior do casco possuem muitas diferenças na distribuição de 
salas e equipamentos. Para exemplificar, o FPSO em estudo não 
possui mais o motor principal depois da conversão de VLCC para 
FPSO. Muitos equipamentos e salas operacionais típicas de ins-
talações offshore fazem parte dessa região da unidade e exigiram 
adaptações das funcionalidades do software estudado para serem 
modeladas. É indispensável conhecimento técnico específico 
FIGURA 6.5 Detalhe de módulo offshore e suas rotas de fuga.
125Gerenciamento de riscos 
da área offshore, vivência presencial em unidades desse tipo e 
conhecimento de projeto para que a edição do modelo em 3D 
mantenha representatividade técnica com o FPSO real. As es-cadas verticais também são bastante utilizadas nas áreas internas 
ao casco e vários mezaninos e passarelas são de piso gradeado 
exigindo conhecimento específico de projeto offshore para uma 
interpretação precisa dos desenhos dessa região, especialmente 
as interligações indispensáveis para a edição do modelo 3D, uma 
vez que estas nem sempre estão explícitas nos desenhos originais, 
mas apenas indicadas para posterior interpretação realizada por 
especialista em projetos offshore.
A adaptação das áreas no interior do casco foi realizada com 
sucesso mantendo nível tecnicamente aceitável de correspondên-
cia com o projeto original do FPSO possibilitando a edição do 
modelo 3D da unidade com elevado grau de representatividade.
6.4.3 Adaptação da área da superestrutura
As áreas da superestrutura (também conhecidas como casario) 
são as que mantêm maior correspondência com as funcionalida-
des do software, já que são bastante similares quando comparadas 
com os arranjos de navios de passageiros. Embora sejam mais 
fáceis de ser editadas, são também as mais trabalhosas pela 
quantidade de compartimentos e detalhes. As áreas de recreação, 
dormitório e trabalho podem ser editadas com relativa facilidade, 
utilizando-se os recursos já disponíveis no software. Especial 
atenção é necessária na identificação das muster stations, aces-
sos ao helideck e ao refeitório, pois tais compartimentos são 
os mais críticos em termos de circulação de pessoas durante 
as simulações, e exigem precisão de ajustes nas conexões com 
corredores, portas e escadas de acesso.
A adaptação das áreas de superestrutura foi realizada com 
grau de correspondência aceitável, suficiente para a edição do 
modelo 3D alcançar a representatividade técnica necessária para 
as simulações.
6.5 DEFINIÇÃO DE AGENTES A BORDO E SEUS 
PARÂMETROS COMPORTAMENTAIS
Concluída a edição do modelo 3D do FPSO em estudo, es-
tá pronto para ser depurado e exportado para o programa de 
simulação (Evi), o software que é diretamente responsável pela 
126 CAPÍTULO 6 Aplicação prática ...
definição dos cenários e execução das simulações propriamente 
ditas. A definição de agentes a bordo (pessoas) pode ser feita pelo 
software de diversas formas, bem como a atribuição de caracterís-
ticas comportamentais aos agentes. A seguir, apresentamos as 
adaptações realizadas na utilização do Evi para a criação de 
cenários representativos de operações de escape e abandono em 
emergências no FPSO em estudo.
6.5.1 Dimensionamento da tripulação e características 
gerais dos agentes a bordo
O POB (People on Board) de projeto da unidade foi definido 
em 110 pessoas. O Evi é uma ferramenta criada para navios de 
passageiros com até 7000 pessoas a bordo. Por outro lado, o nível 
de complexidade de tarefas das pessoas num FPSO é superior ao de 
pessoas em navios de passageiros. Portanto, foi necessário adaptar 
a utilização do programa de simulação para que um número rela-
tivamente pequeno de agentes em atividades mais complexas não 
interferisse na qualidade dos resultados das simulações.
Essa adaptação foi feita através da utilização normal dos 
comandos de programação do software, conduzido por deci-
sões baseadas na vivência presencial em unidades offshore e 
na experiência de projetos de FPSO, o que permitiu que o pro-
grama funcionasse perfeitamente para um POB de 110 pes-
soas considerando as tarefas operacionais e suas influências no 
comportamento do POB.
6.5.2 Experiência operacional dos agentes a bordo
O software basicamente divide a população a bordo em dois 
grandes grupos: tripulação e passageiros. Essa divisão não é 
compatível com unidades offshore de exploração & produção de 
óleo e gás. Por isso substituímos esses por outros dois grupos: o 
primeiro composto de agentes com grande experiência offshore 
e o segundo composto de agentes menos experientes.
Para fins de execução da simulação foram criados os seguintes 
critérios de avaliação da experiência offshore:
j Sobre o conhecimento específico da unidade em estudo:
Agentes com menos de três anos de trabalho na unidade 
– sem experiência
Agentes com mais de três anos de trabalho na unidade 
e menos de 10 anos de experiência offshore – com 
experiência média
127Gerenciamento de riscos 
Agentes com mais de três anos de trabalho na unidade e 
mais de 10 anos de experiência offshore – com grande 
experiência
Como o FPSO em estudo é uma unidade ainda em construção, 
todos os agentes foram enquadrados como sem experiência pelo 
critério anterior, pois ninguém tem experiência específica nessa 
unidade. Por esse motivo, passamos para o segundo critério 
(aplicável em unidades novas) descrito a seguir:
j Sobre a experiência offshore:
Agentes com menos de 3 anos de experiência offshore – 
sem experiência
Agentes entre 3 e 10 anos de experiência offshore – 
média experiência
Agentes com mais de 10 anos de experiência offshore – 
grande experiência
No caso do FPSO em estudo, por ainda estar em construção, 
apenas o segundo critério é válido e por isso foram considerados 
como pertencentes ao grupo de agentes com grande experiência 
offshore, apenas as pessoas com mais de 10 anos de trabalho em 
quaisquer unidades offshore de exploração & produção de óleo 
e gás. Para fins de simulação, foi estimado um total de 25 pes-
soas com grande experiência offshore (23% do POB). Esse valor 
foi estimado com base na experiência operacional e de projeto, 
uma vez que o FPSO em estudo ainda não está em operação, o 
que impede a coleta de dados reais ainda no período de realiza-
ção desse trabalho, o que poderá ser ajustado a qualquer tempo 
se necessário for, assim que os dados estiverem disponíveis. 
Procedimento similar foi adotado também em todas as demais 
estimativas de dados relativos aos agentes, os quais serão des-
critos a seguir.
6.5.3 Gênero dos agentes a bordo
O Maritime Safety Committee através da circular MSC.1/
Circ.1238 (2007) fornece parâmetros estatísticos relacionados 
aos agentes incluídos em simulações, como as realizadas pelo 
software. Essa é uma norma específica para navios de passageiros 
e estabelece uma divisão de 50% de homens e 50% de mulheres. 
Essa premissa não é compatível com instalações offshore e, para 
fins de execução de simulações, a distribuição geral de agentes 
por gênero foi adaptada através de uma estimativa de 86% de 
128 CAPÍTULO 6 Aplicação prática ...
homens e 14% de mulheres, totalizando 95 homens e 15 mulheres 
a bordo. Esse dado foi projetado com base nas observações 
obtidas em 10 embarques em instalações offshore, e pode 
ser ajustada conforme se obtenham dados mais precisos ao 
longo da vida operacional da instalação. Complementarmente, 
consideramos também que o grupo de agentes com grande 
experiência offshore é composto por 96% de homens e 4% 
de mulheres, ou seja: das 25 pessoas consideradas com grande 
experiência offshore, conforme os critérios da Seção 6.5.2, uma 
delas é mulher.
6.5.4 Idade dos agentes a bordo
O software atribui idades aos agentes conforme requerido 
pelo Maritime Safety Committee circular MSC.1/Circ.1238 
(2007). Portanto, trata-se de uma atribuição de idade prevista para 
navios de passageiros que precisa ser adaptada para instalações 
offshore de exploração & produção de óleo e gás.
O Maritime Safety Committee circular MSC.1/Circ.1238 
(2007) estabelece distribuição de idade uniforme para três faixas 
etárias respectivamente com médias de idade de 20, 40 e 60 anos 
e desvio padrão de 10 anos. Além disso, são atribuídos percen-
tuais relativos ao POB para cada uma das faixas, subdividindo-as 
por gênero e agilidade pessoal chegando a um total de 10 faixas 
para os passageiros e duas faixas para a tripulação.
O ajuste dessa distribuição de idades para aplicação no FPSO 
em estudo resultou em três faixas etárias, respectivamente com 
médias de idade 30, 40 e 50 anos com desvio padrão de 10 anos. 
A subdivisão por gênero e agilidade pessoal foi reduzida para 
apenas seis faixas (de agentes menos experientes) e duas faixas(de agentes mais experientes), devido à maior homogeneidade 
do POB de uma unidade offshore do que o POB de um navio 
de passageiros. A atribuição de percentuais concentrou a maior 
parte do POB nas faixas masculinas com médias de 30 e 40 
anos de idade, conforme estimado com base na experiência 
operacional e de projeto de FPSOs.
6.5.5 Velocidades de deslocamento dos agentes 
a bordo
O software também atribui velocidades de deslocamento aos 
agentes conforme requerido pelo Maritime Safety Committee cir-
cular MSC.1/Circ.1238. Esses parâmetros precisam ser ajustados 
129Gerenciamento de riscos 
para compatibilizá-los com unidades offshore de exploração e 
produção de óleo e gás.
Para cada faixa de pessoas com as mesmas características de 
idade, gênero e tempo de reação, o software atribui três veloci-
dades conforme MSC.1/Circ.1238: velocidade de deslocamento 
no plano, velocidade ao subir escada e velocidade ao descer 
escada. Valores específicos para cada pessoa são atribuídos es-
tatisticamente considerando um desvio padrão de 0,25 m/s. Dessa 
forma, pessoas com as mesmas características de idade, gênero e 
tempo de reação podem assumir diferentes valores de velocidade 
considerando a média e o desvio padrão considerados, o que 
torna a simulação bastante realista.
A adaptação dos parâmetros de velocidade para valores com-
patíveis com unidades offshore de exploração e produção de óleo 
e gás foi feita através do ajuste dessas três velocidades para cada 
uma das faixas com as mesmas características de idade, gênero e 
tempo de reação. As velocidades definidas pela Maritime Safety 
Committee – circular MSC.1/Circ.1238 – foram preservadas, 
porém apenas para as faixas de idade, gênero e tempo de reação 
compatíveis com o POB do FPSO em estudo.
6.5.6 Tempos de reação dos agentes a bordo
Os tempos de reação são atribuídos pelo software com base 
na Maritime Safety Committee – circular MSC.1/Circ.1238 – 
com valores diferenciados para o dia e para a noite. Essa atri-
buição de tempo de reação é feita através de função Log normal 
para reproduzir o efeito de deflagração de processo conhecido 
popularmente pelo termo estouro de boiada (quando há uma 
primeira iniciativa por parte de um agente os demais tendem a 
reagir também). O software permite o ajuste dos parâmetros de 
média, desvio padrão e deslocamento (tempo adicional). Foram 
mantidos os valores de média e desvio padrão adotados pela 
Maritime Safety Committee – circular MSC.1/Circ.1238 –, mas 
os deslocamentos foram ajustados de modo a considerar que o 
tempo de reação durante o período da noite, apesar de ser em 
geral maior do que durante o dia, no caso de unidades offshore, 
não é tão prolongado, uma vez que nesse tipo de unidade mesmo 
durante a noite há um estado de preparação, fruto de treinamento 
profissional offshore.
Outro ajuste em relação aos parâmetros de navios de pas-
sageiros definidos pela Maritime Safety Committee foi a inclusão 
130 CAPÍTULO 6 Aplicação prática ...
de deslocamento (tempo adicional) maior que zero mesmo em 
tarefas diurnas, uma vez que os operadores offshore nem sempre 
podem abandonar o seu posto de trabalho imediatamente, tendo de 
executar, em alguns casos, tarefas mínimas para viabilizar o início 
da operação de escape e abandono. A Figura 6.6 mostra a janela de 
interface do software utilizada para a atribuição de valores e fun-
ções estatísticas associadas aos agentes e que exercem influência 
sobre o comportamento dos mesmos durante as simulações.
6.5.7 Posicionamento físico dos agentes na unidade
O Evi permite a distribuição de pessoas tanto do modo um 
por um (a critério do usuário), como distribuição randômica. No 
primeiro caso, o usuário pode posicionar cada uma das pessoas 
em postos específicos, considerando idade, gênero, experiência 
de trabalho, tempo de reação e características de velocidades 
específicas individuais. No segundo caso, o software distribui o 
POB aleatoriamente por todas as áreas da unidade.
Com o trabalho de análise da ferramenta identificamos vul-
nerabilidades na distribuição randômica de agentes, pois como 
o software foi criado originalmente para navios de passageiros, 
normalmente com o POB dezenas de vezes maior do que o POB 
de unidades offshore do tipo FPSO, o software cria algumas 
distorções para POB relativamente pequenos. Por esse motivo, 
adotamos uma forma mista de distribuição de pessoas na unidade.
Baseado na experiência operacional e de projetos de FPSO, 
bem como pela experiência vivencial a bordo de unidades off- 
shore, criamos várias configurações de distribuição de agentes 
FIGURA 6.6 Exemplo de janela de interface para atribuição de fatores 
humanos ao POB (People On Board). Cortesia Safety-at-Sea, Glasgow UK, 
http://www.safety-at-sea.co.uk/
131Gerenciamento de riscos 
possíveis. Algumas totalmente manuais, em que cada pessoa é 
colocada em um ponto específico do FPSO através do modelo 
3D. Outras randômicas, limitadas por região, ou seja, para uma 
determinada área do FPSO, foi estabelecido um número de pes-
soas e suas respectivas características, porém tais agentes foram 
distribuídos randomicamente dentro dessa área, que pode ser, por 
exemplo, um deck. Também foram feitas configurações mistas, 
nas quais determinados agentes de características e tarefas es-
pecíficas são posicionados previamente em pontos estratégicos 
do FPSO e os demais são distribuídos aleatoriamente por região. 
A Figura 6.7 mostra o posicionamento dos agentes na região da 
superestrutura antes do início de uma simulação. Os agentes 
com coletes amarelos são os que possuem maior experiência 
e preparo, os coletes azuis são para agentes do sexo masculino e 
os coletes verdes representam agentes do sexo feminino.
6.5.8 Tarefas especiais para agentes específicos 
durante a emergência
O software de simulação permite que sejam criadas tarefas a 
serem executadas em meio à operação de escape e abandono. Isso 
significa que, embora o POB esteja executando os procedimentos 
de escape e abandono, alguns agentes podem se deslocar em 
contrafluxos com objetivos diferentes do restante do POB para 
a execução de tarefas associadas à mitigação da emergência.
O software permite praticamente a programação de qualquer 
tarefa, e essa funcionalidade habilita também o uso do software 
FIGURA 6.7 Exemplo de posicionamento dos agentes no FPSO. Cortesia 
Safety-at-Sea, Glasgow UK, http://www.safety-at-sea.co.uk/
132 CAPÍTULO 6 Aplicação prática ...
para fins de melhoria da eficiência operacional fora de emergên-
cias, em operação normal envolvendo tarefas com movimentação 
de pessoas.
Essa funcionalidade do software foi explorada, por exemplo, 
para programar a atuação de dois operadores de instalação off- 
shore. Durante um cenário de incêndio, eles foram programados 
para se deslocar, em contrafluxo, da área segura do FPSO para 
a área de processo com o objetivo de identificar e abrir manual-
mente uma válvula dilúvio que, por alguma falha, não tenha sido 
aberta automaticamente pelos sistemas de segurança do FPSO. 
Também pode ser atribuído um tempo extra para a execução da 
tarefa após a chegada do agente no destino onde se encontram 
as válvulas.
6.5.9 Medição dos efeitos da emergência sobre 
a integridade das pessoas
Cada agente simulado ao longo da emergência tem os efeitos 
de temperatura, visibilidade e intoxicação por fumaça acumu-
lados ao longo da simulação, e o programa registra esses pa-
râmetros em tempo real. Desse modo, é possível identificar as 
pessoas afetadas ao final da simulação através dos resultados e 
mesmo durante a simulação, quando, por exemplo, um agente 
é afetado de forma letal, sendo isso indicado pela mudança da 
cor do agente.
Para que essa funcionalidade seja disponibilizada, é necessário 
fazer a importação dos dados em fluidodinâmica computacional 
ou, em inglês, computational fluid dynamics (CFD) relativos 
aos cenários de acidentes em estudo, num formato compatível 
com as simulações que consideram os efeitos sobreas pessoas. 
Durante a execução deste trabalho, foram feitas tentativas de 
aproveitamento dos estudos de CFD realizados para cenários 
de acidentes no FPSO em estudo, porém eles apresentaram pouca 
representatividade por analisarem somente cenários extremos, de 
emergências muito específicas e com resultados fornecidos em 
formatos de dados incompatíveis com o software. Entretanto, 
através de uma adaptação, foi inserida uma nuvem de pontos 
para propagação de incêndio e fumaça na região do casario (que 
é a que guarda maior similaridade entre FPSO e navios de pas-
sageiros) para fins de demonstração desse recurso de simulação. 
A Figura 6.8 mostra em ampliação o grid de temperatura na 
região de um incêndio (cozinha). As cores variam conforme a 
133Gerenciamento de riscos 
 temperatura, e qualquer agente ao ser selecionado com o mouse 
assume a cor branca, enquanto uma janela mostra as caracterís-
ticas e o percentual de comprometimento do agente devido ao 
efeito da temperatura, fumaça e visibilidade.
FIGURA 6.8 Apresentação das propriedades e dos efeitos sobre o agente 
e grid de propagação de incêndio. Cortesia Safety-at-Sea, Glasgow UK, 
http://www.safety-at-sea.co.uk/
CAPÍTULO
7Definição conceitual de cenários
SUMÁRIO DO CAPÍTULO
7.1 Cenários padrão e de vazamento de gás ...........................138
7.2 Cenários de incêndio .......................................................138
7.3 Cenários de avaria naval ..................................................141
7.4 Cenários teóricos e comparativos .....................................141
7.5 Simulações representativas para instalações offshore .......142
137Gerenciamento de riscos 
A definição conceitual de cenários é a parte mais importante 
de análises de riscos por simulações computacionais. Os softwa-
res e ferramentas apenas processam as informações, premissas 
e parâmetros estabelecidos pela definição do cenário conceitual 
da emergência a ser simulada.
Toda definição conceitual de cenário tem limitações. É im-
possível prever todas as possibilidades de acidentes, influências 
naturais, comportamentos humanos e a complexidade de meios de 
interação entre eles. Quando definimos conceitualmente um cenário 
a ser estudado ou simulado, na realidade estamos estabelecendo os 
limites de nosso estudo e simulação. Na vida prática, esses limites 
não existem, e qualquer cenário não previsto pode acontecer, o 
que justifica (como dito no Capítulo 4) a utilização mais adequada 
do termo gerenciamento de risco do que simplesmente segurança.
Quanto maior a quantidade de cenários avaliados, e de in-
fluências consideradas em sua definição, menores as limitações 
no gerenciamento dos riscos associados. Evidentemente que o 
aumento de parâmetros em estudo, variáveis e cenários torna 
o trabalho cada vez mais complexo e, justamente por isso, as 
ferramentas computacionais, a partir de um certo ponto de com-
plexidade, são as únicas opções que viabilizam a análise e geren-
ciamento de riscos, porque permitem o processamento de uma 
elevada quantidade de informações, lógicas e intertravamentos.
Considerando uma unidade de exploração e produção de 
óleo e gás, com um POB de 110 pessoas, os riscos devido ao 
grande inventário de hidrocarboneto, o comportamento humano, 
a complexidade operacional das atividades offshore, os riscos 
marítimos e muitas outras fontes de influência, podemos con-
cluir que o gerenciamento de riscos e segurança do sistema de 
escape e abandono sem ferramentas de simulação computacional 
é extremamente limitado.
Mas, mesmo utilizando simulações computacionais, é funda-
mental uma definição de cenários baseada principalmente na ex-
periência operacional, histórico de acidentes e com a priorização 
de inclusão dos casos mais gerais e prováveis. A frequência de 
ocorrência de um cenário nunca pode ser calculada com precisão 
absoluta. Apesar do grande esforço nesse sentido, ainda é muito 
mais confiável e realista a escolha com base no histórico e expe-
riência operacional. Os valores calculados com bases em bancos 
de dados e levantamentos estatísticos podem ser justificados 
através de cálculos matemáticos, mas isso não significa garantia 
alguma de que esses números mantenham correspondência com 
138 CAPÍTULO 7 Definição conceitual de cenários 
a realidade operacional. Nada substitui a vivência operacional 
e o conhecimento técnico operacional para definir os melhores 
cenários para o gerenciamento de riscos e segurança.
Neste estudo de caso, foram definidos os cenários princi-
pais de acidentes postulados no projeto do FPSO em estudo, e 
desenvolvidos meios para adaptar a utilização do software de 
simulação, de modo que as simulações possam reproduzir tais 
cenários com uma representatividade tecnicamente aceitável.
7.1 CENÁRIOS PADRÃO E DE VAZAMENTO DE GÁS
Estes cenários consideram o vazamento de gás sem a ocorrên-
cia da ignição dos volumes liberados. Consideram também que 
os danos físicos nas instalações não são significativos para im-
pactar a eficiência dos meios de abandono previstos em projeto, 
e ainda que não há concentrações de gases capazes de intoxicar 
os agentes simulados.
Basicamente, é suposto um vazamento de gás devido a um 
dano ou uma operação errada, justificando, dessa maneira, a 
ordem de escape e, posteriormente, se necessário, o abandono. 
Portanto, nesse cenário, foi considerado que todas as rotas de 
escape e abandono estão disponíveis e não há ignição de gás 
durante o acidente, tampouco a intoxicação das pessoas. Por 
esses motivos, o cenário também corresponde à ordem de escape 
e abandono durante treinamentos (padrão) ou por qualquer outro 
motivo que não seja decorrente de danos significativos ao FPSO, 
o qual é considerado neste cenário com todos os seus sistemas 
de segurança disponíveis e operacionais.
Além dos cenários de vazamento de gás considerados neste 
trabalho, o simulador tem condições técnicas também de con-
siderar o vazamento de gás tóxico, como, por exemplo, H2S, e 
avaliar o impacto deste ou qualquer outro gás nas pessoas durante 
a simulação. Para tal, é necessário importar uma nuvem de pontos 
em fluidodinâmica computacional e que seja representativa do 
vazamento que se queira simular.
7.2 CENÁRIOS DE INCÊNDIO
Após a importação da nuvem de pontos, o programa si-
mula a movimentação de pessoas e o impacto recebido por 
elas em decorrência da temperatura, toxidade e visibilidade, 
139Gerenciamento de riscos 
conforme informações contidas na nuvem de pontos em CFD 
importada.
Dessa forma, os agentes ao se deslocarem – ou mesmo quando 
parados por alguma razão no FPSO – possuem um contador que 
acumula e calcula as taxas de absorção de gases tóxicos e a visi-
bilidade no ponto em que se encontram no modelo da simulação. 
O mesmo acontece para a temperatura. Na medida em que os 
agentes são afetados de forma letal, sua coloração é alterada, a 
fim de indicar a condição de perda do agente. Ao final, é pos-
sível obter os dados de absorção de calor, gás e dificuldade de 
visibilidade para cada agente, em cada ponto e a cada momento 
do evento simulado.
A documentação do projeto do FPSO em estudo inclui aná-
lises em fluidodinâmica e estudos de propagação de incêndio, 
explosão e dispersão de gás. Porém, a metodologia estabelecida 
pelas especificações técnicas de projeto conduziram esse tipo de 
análise para casos muito específicos, e com frequência de ocor-
rência relativamente baixa. Os estudos em CFD realizados no 
projeto do FPSO não apresentam nuvens de pontos abrangentes 
do FPSO, mas apenas em regiões muito próximas aos eventos 
postulados nestes estudos, com o objetivo de verificação do 
impacto desses acidentes na estrutura e nos equipamentos das 
instalações. Os estudos clássicos de CFD não são adequados sob 
o ponto de vista de fatores humanos, que estabelece a centraliza-
ção dos objetivos nas pessoas (princípio 1 de fatores humanos). 
Isso requer um ajuste na abordagem de cenários adotada nos 
estudos de CFD.
Embora com qualidadetécnica satisfatória, os estudos em 
fluidodinâmica computacional realizados no projeto do FPSO 
em estudo não apresentam a representatividade desejável para a 
simulação computacional de escape e abandono. Entretanto, há 
uma conclusão de grande valor técnico nos relatórios do projeto, 
que foi considerada na estratégia de definição de cenários deste 
trabalho. Os relatórios dos estudos de propagação de incêndio, 
explosão e dispersão de gases (documentos de projeto básico e 
com informações estratégicas de acesso limitado) concluíram 
que mesmo nos cenários extremos estudados nas análises de 
projeto, sempre pelo menos uma rota de escape principal estará 
disponível e operacional.
Considerando essa conclusão dos relatórios de projeto, a 
pouca representatividade dos cenários dos estudos em CFD de 
projeto por não terem gerado nuvens completas do FPSO, além 
140 CAPÍTULO 7 Definição conceitual de cenários 
disso, o fato de os formatos dos arquivos não terem sido gerados de 
forma compatível com a importação para o software, foi possível 
considerar a opção de não utilizá-los nesse tipo de simulação.
Optou-se por utilizar uma nuvem de propagação de incêndio 
e dispersão de gases utilizada pelo Kelvin Hydrodynamics La-
boratory (University of Strathclyde UK) para simular os efeitos 
de um incêndio no interior do casario. O objetivo da substituição 
é demonstrar a viabilidade de uso da ferramenta a partir de um 
estudo de fluidodinâmica adequadamente realizado.
Paralelamente ao recurso, acrescentou-se outra estratégia 
fundamental na simulação de escape e abandono em emer-
gências de incêndio. O projeto do FPSO em estudo considera 
que em nenhum momento e em nenhum ponto do FPSO, uma 
pessoa precisará andar mais de 7 metros para acessar uma rota de 
escape. Também considera, em linhas gerais, que sempre haverá 
duas opções de escape para qualquer agente a bordo do FPSO em 
estudo. Em termos estratégicos, consideramos que se um evento 
de incêndio se inicia em um ponto do FPSO, sempre haverá um 
acesso disponível para uma rota de escape e outra bloqueada 
pelo próprio sinistro, seja por fumaça, calor ou qualquer outra 
consequência decorrente do incêndio.
Assim, estrategicamente, reduziram-se para 50% as opções 
de acesso para a rota de fuga para cada agente situado no bordo 
do sinistro. Por exemplo, se um incêndio se inicia a bombordo, 
50% dos acessos às rotas de escape de bombordo são bloqueadas. 
Semelhantemente, se o incêndio se inicia a estibordo, 50% dos 
acessos às rotas de escape de estibordo são bloqueadas. Dessa 
forma, simulamos as dificuldades dos agentes durante o incêndio, 
considerando que cada agente encontrará um acesso para a rota 
de escape bloqueado por causa do incêndio e o outro disponível.
Evidentemente, por não dispormos de estudos de projeto em 
fluidodinâmica computacional com representatividade adequa-
da, não poderemos contabilizar os efeitos do calor, toxidade e 
visibilidade para cada agente. Mas, por outro lado, os estudos 
disponibilizados pelo projeto original foram realizados para os 
cenários mais extremos, com danos mais severos e mesmo assim 
concluíram que não haveria indisponibilidade de acesso às rotas 
de escape.
Mas, se futuramente os estudos de CFD nos novos projetos 
forem realizados para produzir nuvens de pontos representativas 
e abrangentes da unidade, em formato adequado para exportação, 
os dados sobre os danos físicos aos agentes na operação de escape 
141Gerenciamento de riscos 
e abandono durante o incêndio serão gerados pelo simulador, da 
mesma forma como demonstrado pelo uso da nuvem de pontos 
do casario, produzida pelo Kelvin Hydrodynamics Laboratory 
– University of Strathclyde UK.
7.3 CENÁRIOS DE AVARIA NAVAL
Os cenários de avaria naval foram definidos com base na 
condição de avaria naval de projeto que estabelece um ângulo 
de inclinação de 16 graus até o qual todos os sistemas de 
segurança do FPSO em estudo têm de necessariamente estar 
operacionais e disponíveis. O valor de 16 graus foi determina-
do na fase de projeto, pelos engenheiros navais, como ângulo 
até o qual todos os sistemas de segurança, incluindo os de 
combate a incêndio e os meios de escape e abandono, precisam 
estar disponíveis e operacionais para viabilizar a mitigação do 
acidente e o escape e abandono seguro da instalação offshore. 
O cálculo desse ângulo permite conservativamente concluir 
que, a 16 graus, esta instalação estudada (FPSO P-62) já deverá 
ser considerada em estado de acidente além de projeto, ou seja, 
deverá ser abandonada.
A partir do projeto original do FPSO em estudo, foram utili-
zados os relatórios de movimentos e acelerações, estabilidade e 
danos navais, trim e estabilidade, para gerar os efeitos da condi-
ção máxima de avaria naval prevista no projeto, para o qual os 
sistemas de segurança (inclusive de escape e abandono) precisam 
estar operacionais e disponíveis.
O Hydrodynamics Laboratory preparou a simulação dos 
movimentos do FPSO em estudo com base na documentação 
de seu projeto original. Através dessas informações, o Evi in-
cluiu nos cenários de condição de avaria naval os efeitos dos 
movimentos do navio e a interferência destes na operação de 
escape e abandono (Figura 7.1).
7.4 CENÁRIOS TEÓRICOS E COMPARATIVOS
Cenários especiais foram criados para situações improváveis, 
cuja simulação fornece resultados de interesse para o geren-
ciamento de riscos e segurança. Um exemplo foi a criação de 
cenários de concentração de 100% do POB na proa e na popa, 
situação bastante improvável operacionalmente.
142 CAPÍTULO 7 Definição conceitual de cenários 
Nesse tipo de cenário, as pessoas foram concentradas nos 
locais de mais difícil acesso do FPSO em estudo. Os desloca-
mentos até os pontos de encontro foram estudados. O objetivo 
é a obtenção de resultados conservativos como referência. Por 
se tratar de situações extremamente desfavoráveis e imprová-
veis, seus resultados podem ser usados em comparações e para 
identificar possíveis distorções nas demais simulações a fim de 
que sejam corrigidas.
7.5 SIMULAÇÕES REPRESENTATIVAS PARA 
INSTALAÇÕES OFFSHORE
Em gerenciamento de riscos e segurança offshore, não é pos-
tulado que dois cenários acidentais independentes ocorram ao 
mesmo tempo num exato momento. É possível considerar em 
análises de segurança offshore o escalonamento de um cenário 
para outro, à medida que o primeiro cenário venha a elevar o grau 
de degradação do FPSO progressivamente até a ocorrência do 
segundo. Ou seja, um cenário pode degradar e gerar outros, mas 
não é postulado que, a partir de uma situação de operação normal, 
dois cenários acidentais independentes ocorram simultaneamente 
num mesmo instante estudado.
Por essa razão, cada cenário postulado será estudado sepa-
radamente. O software possui uma funcionalidade que permite 
a repetição de simulações em bateladas. Isso significa que uma 
mesma simulação ou um conjunto de simulações pode ser repe-
FIGURA 7.1 Avaria naval, com angulação instantânea de 16 graus. Cortesia 
Safety-at-Sea, Glasgow UK, http://www.safety-at-sea.co.uk/
143Gerenciamento de riscos 
tido tantas vezes quanto se queira, gerando resultados específicos 
para cada uma das repetições. Os diferentes resultados para cada 
repetição de uma mesma simulação são possíveis devido às 
variáveis aleatórias estabelecidas em cada cenário, como idade, 
tempo de reação, velocidade etc.
Foram realizadas 1.000 simulações de diferentes cenários de 
escape, 1.000 simulações de diferentes cenários de abandono e 
2.000 simulações comparativas entre cenários. Para cada batelada 
(conjunto de simulações para um mesmo cenário), foram calcula-
das as médias dos resultados e os desvios padrão. Considerou-se 
que o tempo de duração máximo de cada cenário era o valor do 
tempo médio mais três desvios padrão, o que, pela distribuição 
Gaussiana, significa um erro máximo de 0,03%. A quantidade 
de repetições de cada cenário foi definida pela relevância de sua 
influência em termos deapuração do tempo máximo de escape 
e de abandono. Durante o processo de repetição em bateladas 
de simulações, se a percepção inicial da relevância de um dado 
cenário se mostra equivocada, o número de repetições é ajustado 
para um valor compatível com os resultados máximos obtidos 
na batelada, ou seja, se os resultados de um cenário mostram-se 
mais relevantes do que o esperado, amplia-se a quantidade de 
repetições.
CAPÍTULO
8Resultados das simulações computacionais
SUMÁRIO DO CAPÍTULO
8.1 Modelo de matriz de tempos de referência ........................147
147Gerenciamento de riscos 
Os resultados para os valores de tempo máximo de escape e 
tempo máximo de abandono foram consolidados neste capítulo. 
Foram considerados os tipos de cenários acidentais e as influên-
cias de diferentes procedimentos, incluindo ou não o retorno 
para as cabinas e a ida ou não ao ponto de encontro. Também 
foram obtidas as avaliações quanto à eficiência do funcionamento 
das rotas de escape e fuga, eficiência dos diferentes procedi-
mentos de retirada de coletes, da localização escolhida para os 
pontos de encontro e, finalmente, quanto à eficiência do compor-
tamento dos agentes durante a emergência.
8.1 MODELO DE MATRIZ DE TEMPOS 
DE REFERÊNCIA
A partir da consolidação desses resultados foi possível es-
tabelecer um modelo de matriz de tempos de referência como 
suporte para tomada de decisão de abandono por parte da autori-
dade maior do FPSO e da equipe de gestão de crise (Figura 8.1). 
A matriz informa para autoridade maior do FPSO a duração 
máxima estimada para as operações de escape e de abandono 
em cada tipo de cenário acidental, considerando a possibilida-
de de reduções de tempo por alteração dos procedimentos de 
FIGURA 8.1 Modelo de tabela de enquadramento de evento acidental.
148 CAPÍTULO 8 Resultados das simulações ...
retirada de coletes e alteração dos procedimentos de ida ou não 
ao ponto de encontro.
Em instalações offshore, durante o gerenciamento de crise, as 
decisões relacionadas à ordem de escape e abandono são de res-
ponsabilidade da autoridade maior da instalação. Ela contará com 
os recursos de automação da unidade e com a equipe técnica para 
obter informações necessárias que permitam a correta identifica-
ção do cenário em andamento e assim tomar as melhores decisões.
Os resultados obtidos com análises baseadas em simulações 
computacionais possibilitam a preparação de um conjunto de 
valores de referência para dar suporte à tomada de decisão de 
escape e abandono durante o gerenciamento de crise. Esses 
valores de referência podem ser resumidos em uma tabela (exem-
plo da Figura 8.1), dispostos através de uma coluna que define, 
de forma geral, quatro possibilidades de acidentes para a tentati-
va de enquadramento do cenário em andamento. Para cada uma 
dessas quatro possibilidades de enquadramento, o conjunto de 
valores de referência oferece, como suporte para a decisão da 
autoridade maior do FPSO, as seguintes informações (sempre 
com valores conservativos, em minutos):
j A duração máxima do escape.
j A duração máxima do abandono compatível.
j A duração do embarque nas embarcações de salvamento, 
acrescida do tempo estimado até o lançamento ao mar 
e liberação dos cabos para afastamento do FPSO. Esse 
tempo depende das características de cada embarcação 
de salvamento. É esperado que o tempo para embarque 
não exceda a três minutos, com base na regulamentação 
aplicável, porém a experiência de projetos e vivência 
operacional em segurança offshore conduzem a uma 
estimativa mais conservativa de 10 minutos entre 
o início do embarque e a liberação total da embarcação 
de salvamento para afastamento do FPSO sinistrado.
j O somatório do tempo do escape, mais o tempo 
do abandono, mais o tempo de embarque e lançamento 
de embarcações de salvamento, enfatizando que não está 
incluído o tempo gasto pela própria autoridade maior 
do FPSO até a tomada de decisão e declaração de escape 
e de abandono.
j As reduções no tempo total, possíveis nos casos de ordem 
extraordinária que determine a eliminação do retorno dos 
agentes para as cabinas e de ordem que também determine 
149Gerenciamento de riscos 
a eliminação da ida aos pontos de encontro. Ou seja, neste 
último caso, a autoridade maior do FPSO ordena a ida 
dos agentes diretamente para as posições de embarque dos 
conjuntos de embarcações de salvamento.
O primeiro tipo de acidente é o pior vazamento de gás e 
concentração de pessoas (Acidentes Gerais). Essa descrição 
significa que os valores de tempo foram os maiores registrados 
nos resultados consolidados das simulações para vazamentos 
de gás, considerando ainda que possa haver concentrações em 
grupos de agentes em serviços em locais específicos. Apesar 
de ser identificado como acidente de vazamento de gás, como 
descrito nos capítulos anteriores, esse cenário considera que 
não haja ignição da nuvem liberada nem danos aos sistemas 
de segurança do FPSO. Isso significa que o cenário é genérico, 
indicado para enquadrar acidentes que não se enquadrem nos 
demais. Podemos observar que os valores de tempo de duração 
mais elevados são atribuídos a esse cenário uma vez que dentre 
os quatro que compõem a tabela, este é o que possui a maior 
incerteza.
O segundo tipo de acidente é a pior condição de avaria naval. 
Isso significa que dentre todas as simulações e possibilidades 
de conjugação de escape e abandono compatíveis, os valores de 
tempo listados na tabela são os maiores previstos com base nos 
resultados consolidados das simulações, para o caso de estabe-
lecimento da condição de avaria naval de projeto.
O terceiro tipo de acidente é o pior incêndio na área de proces-
so. Isso significa que dentre todas as simulações e possibilidades 
de conjugação de escape e abandono compatíveis, os valores 
listados são os maiores previstos, com base nos resultados con-
solidados das simulações, para o caso de incêndio na área de 
processo.
O quarto e último tipo de acidente é o pior incêndio na área 
segura (casario). Nesse caso específico, não é suposto ser mantido 
o procedimento de ida para camarotes e subsequente ida ao 
ponto de encontro específico, já que, sendo o sinistro localizado 
no casario, é suposto que tais camarotes e cabinas estejam com 
acessos indisponíveis.
Com os dados da tabela modelo (Figura 8.1), a autoridade 
maior do FPSO pode analisar o cenário de crise e obter, nessas 
informações, suporte para decidir qual o procedimento deverá ser 
adotado de modo a minimizar as consequências para as pessoas 
a bordo do FPSO.
CAPÍTULO
9Conclusão
SUMÁRIO DO CAPÍTULO
9.1 Visão atualizada de gerenciamento de riscos 
e segurança ....................................................................153
9.2 Cultura de segurança e fatores humanos ...........................155
9.3 Visão estratégica de gerenciamento de riscos 
e segurança ....................................................................159
9.4 Importância do escape e abandono no gerenciamento 
de riscos e segurança ......................................................161
9.5 Melhorias nos sistemas de escape e abandono 
em instalações offshore ...................................................164
9.6 Aplicabilidade para a segurança de instalações 
onshore ...........................................................................170
153Gerenciamento de riscos 
O trabalho identificou e testou um conjunto de conceitos, 
ferramentas e estratégias que permite a elevação da qualidade 
do gerenciamento de riscos e segurança de empreendimentos 
tecnológicos. A base desses conceitos, ferramentas e estratégias 
é constituída de conhecimentos de fatores humanos e cultura de 
segurança pesquisados e desenvolvidos.
A cultura de segurança e os fatores humanos exercem grande 
influência na interação homem × sistema e no ambiente de indu-
ção ao erro. Consequentemente influenciam também na frequên-
cia e severidade de acidentes. Entretanto existem dificuldadesem associar a subjetividade desses conceitos com as ferramentas 
práticas utilizadas em empreendimentos tecnológicos. Para com-
provar a viabilidade de aplicação dos conceitos, ferramentas e 
estratégias identificadas, um estudo de caso de escape e abandono 
de instalação offshore (FPSO) foi desenvolvido. Os resultados 
alcançados permitiram a identificação de oportunidades de me-
lhorias para o projeto estudado. Estas também podem ser apli-
cadas em outros empreendimentos tecnológicos.
Nos itens a seguir, há um resumo dos conceitos desenvolvi-
dos e dos resultados consolidados pelo trabalho. Os itens que 
compõem a conclusão resumem desde a parte conceitual e es-
tratégica até as recomendações objetivas, quanto às melhorias 
identificadas para a elevação da qualidade do gerenciamento 
de riscos e segurança do empreendimento tecnológico (FPSO) 
estudado.
9.1 VISÃO ATUALIZADA DE GERENCIAMENTO 
DE RISCOS E SEGURANÇA
O termo segurança é utilizado para identificar as atividades 
de prevenção e mitigação de acidentes. Entretanto, o termo que 
define de forma mais precisa o que a engenharia pode fazer para 
evitar e mitigar acidentes é gerenciamento de riscos e segurança. 
Segurança absoluta não existe, e mesmo com o emprego de toda a 
tecnologia possível, sempre há riscos a serem assumidos e geren-
ciados. O que a engenharia oferece é o gerenciamento desses riscos 
de modo a serem mantidos em níveis aceitáveis, sem inviabilizar o 
empreendimento tecnológico. É possível sentir-se absolutamente 
seguro sob altos riscos, bem como sentir-se completamente in-
seguro sob baixos riscos. Isso denota o aspecto de subjetividade 
inseparável do termo segurança, o qual carece de ser associado ao 
154 CAPÍTULO 9 Conclusão
termo gerenciamento de riscos para adquirir a precisão adequada 
e necessária aos instrumentos de engenharia disponíveis.
Todo acidente inclui algum aspecto de imprevisibilidade. 
Mesmo com procedimentos cuidadosamente elaborados, treina-
mento e experiência operacional, manutenção criteriosa, mesmo 
assim os elementos da natureza, o erro humano e o empreendi-
mento tecnológico propriamente dito alternam-se como fontes 
de imprevisibilidades de origens e abrangências multidisciplina-
res. Isso exige que os temas gerenciamento de riscos e segurança 
sejam estudados de forma multidisciplinar, contemplando os 
aspectos subjetivos, como comportamento humano e cultura de 
segurança. As ferramentas e tecnologias empregadas nos estudos 
de engenharia precisam ter conexões com esses temas multidis-
ciplinares e subjetivos, sob pena de tornarem-se modelos mate-
máticos perfeitos, porém pobres quanto aos demais aspectos que 
influenciam na ocorrência de acidentes, por isso absolutamente 
distantes da realidade complexa em que eles acontecem.
Basicamente, o gerenciamento de risco obedece a duas etapas 
fundamentais. Primeiramente, a avaliação preliminar da real 
necessidade em se aceitar um determinado risco. Depois, caso 
o risco seja necessário, então serão utilizados os instrumentos e 
as tecnologias disponíveis para avaliar seu tamanho e após isso 
novamente repetir a pergunta sobre a real necessidade em se acei-
tar esse risco, agora mais tecnicamente avaliado. Essa avaliação 
envolve ferramentas estatísticas, bancos de dados históricos, expe-
riência vivencial, simulações computacionais e também uma dose 
indispensável de subjetividade, pois mesmo com todos os recursos 
técnicos o elemento imprevisibilidade sempre irá requerer uma 
decisão final que inclui uma parcela de subjetividade.
Essa subjetividade requerida se reduz à medida que o ciclo 
de avaliação do risco se repete. A pergunta sobre a real neces-
sidade em se aceitar o risco não só pode, como deve sempre ser 
repetida, gerando também novas e mais refinadas avaliações 
a cada ciclo. Mesmo com um histórico de informações disponível, a 
cada vez que a decisão pelo risco precisa ser tomada, uma par-
cela complementar de subjetividade é requerida para fazer frente 
ao componente imprevisibilidade. Essa. subjetividade está presen-
te em toda decisão de aceitação ou não de um risco. Ou seja, quan-
do um risco é aceito, significa uma decisão sempre fundamentada 
em algum componente subjetivo, complementar às informações 
estritamente técnicas de avaliação do risco. Em alguns casos, 
pode até não haver avaliação técnica disponível, seja por falta 
155Gerenciamento de riscos 
de tempo hábil para isso, ou falta de conhecimento. Em outros 
casos, a avaliação técnica pode estar errada, e seja por um motivo 
ou por outro, tais possibilidades tornam ainda mais importante o 
componente subjetivo da decisão em se assumir ou não um risco.
Quem assume o risco? O nome ou a função de quem assume 
o risco é o que menos importa. Importante é que a pessoa que 
assume o risco naquele momento torna-se o seu gerenciador e, 
por esse motivo, gerenciamento de riscos e segurança são temas 
muito próximos da gestão tecnológica e não podem ser estudados 
sem se fazer o paralelismo adequado com a evolução da gestão 
tecnológica e com a cultura de segurança do grupo diretamente en-
volvido com o empreendimento tecnológico. Também é relevante 
a cultura de segurança da sociedade em que esse grupo se insere.
Para boas decisões sobre a aceitação ou não de riscos, é pre-
ciso conjugar subjetividade com ferramentas tecnológicas de 
avaliação qualitativa e quantitativa. É preciso conjugar multidis-
ciplinaridade com precisão técnica. O desejo de ser seguro é 
natural, mas as ações requeridas para um bom gerenciamento 
de risco não são naturais e necessitam de conhecimento técnico 
profundo, conhecimento multidisciplinar, capacidade de análise 
subjetiva e, finalmente, até de instinto. Gerenciamento de riscos 
e segurança não é uma simples questão de bom senso. Essa 
expectativa existe para alguns porque a decisão pela aceitação 
ou não de um risco está presente em todas as atividades durante 
toda a vida. Parece natural e fruto de bom senso decidir aceitar 
determinado risco ou não. Talvez porque a própria vida das pes-
soas possa ser descrita como constantes e sucessivas tomadas de 
decisões de aceitação ou não de riscos em variados níveis, o que 
faz esse processo parecer ser um processo natural.
Isso demonstra a abrangência do tema que extrapola os limites 
das questões relativas exclusivamente à segurança. Boas decisões 
de aceitação ou não de riscos exigem a associação complexa de 
conhecimentos técnicos multidisciplinares com a subjetividade 
necessária para o gerenciamento possível das imprevisibilidades.
9.2 CULTURA DE SEGURANÇA E FATORES 
HUMANOS
Dois conceitos são importantes para permitir a associação de 
conhecimentos técnicos multidisciplinares com a subjetividade 
complementar requerida para o melhor gerenciamento possível 
das imprevisibilidades que influenciam as decisões de aceitação 
156 CAPÍTULO 9 Conclusão
ou não de riscos: o conceito de cultura de segurança e o conceito 
de fatores humanos.
Cultura de segurança é a combinação de compromissos e 
atitudes, nas organizações e indivíduos, que estabelecem co-
mo prioridade absoluta que os assuntos relacionados com a 
segurança recebam atenção certa no tempo certo. Elaborar 
e seguir normas, estabelecer controles precisos, fazer inspe-
ções sistemáticas e treinar continuamente as pessoas não sig-
nifica necessariamente que no cenário do acidente a atenção 
certa no tempo certo irá evitar o acidente. Esses elementos con-
tribuem, mas não significam nenhuma garantia de que a atitude 
na medida exata para evitar o acidente será adotada. Em alguns 
casos, o componente de imprevisibilidade, sempre presente em 
todo cenário de acidente, requer atitudes incompatíveis com os 
procedimentos estabelecidos. Nesse sentido podemos fazer a 
comparação com o tráfego de automóveis, observando que nem 
sempre parar no sinal vermelho é atitude na medida exata para 
evitar o acidente. Se um veículo sem freio aproxima-se perigo-
samente da traseira de outro veículo parado no sinal vermelho, 
resta aomotorista ameaçado avaliar o cenário e concluir que 
para evitar a colisão é preciso passar o sinal vermelho e ainda 
tentar evitar colisões piores com os demais veículos que ultrapas-
sam o outro sinal verde e não esperam o avanço do sinal verme-
lho por parte do outro. Nessas circunstâncias, seguir quando o 
sinal está verde não é suficiente para evitar a colisão com um 
veículo que avança o sinal vermelho no mesmo cruzamento. Ou 
seja, ser seguro não é simplesmente parar no sinal vermelho, 
mas avançar o sinal verde com os mesmos cuidados com que 
se avança o sinal vermelho, pois apesar de as regras estarem es-
tabelecidas, em alguns cenários somente o desprendimento das 
limitações do procedimento pode permitir uma avaliação realista 
e, consequentemente, a atitude certa para evitar o acidente. Isso 
ocorre porque todas as técnicas, procedimentos e máquinas fa-
lham e justamente nessas falhas estão as maiores possibilidades 
de acidentes, sendo necessário muito mais do que cumprir proce-
dimentos para tomar a decisão certa, no tempo certo a fim de evitar 
o acidente. O aspecto mais importante para evitar o acidente é o 
entendimento do cenário em curso, a observação dos fatos em 
andamento independentemente dos fatos esperados e prees-
tabelecidos em regras. Em outras palavras, estar consciente e 
inteligente talvez seja a melhor regra, em vez de simplesmente 
seguir normas e procedimentos sem consciência.
157Gerenciamento de riscos 
Fatores humanos são todos aqueles que influenciam a ocor-
rência do erro humano. Como nada pode ser feito em relação 
ao fato de que errar faz parte da natureza humana, a solução 
de engenharia possível é tentar minimizar as consequências 
do erro humano através da análise e melhoria dos fatores huma-
nos (que ampliam as consequências dos erros humanos) agre-
gados ao empreendimento tecnológico em que ocorre a interação 
homem × sistema.
A abordagem do tema fatores humanos em empreendimentos 
tecnológicos pode ser iniciada através de sete princípios de fato-
res humanos para o gerenciamento de risco e segurança:
1. Centralização de Objetivos nas Pessoas: O objetivo de 
qualquer empreendimento tecnológico deve ser centralizado 
no benefício ao ser humano, enquanto indivíduo e como 
sociedade, incluindo a segurança necessária para proteção 
em relação à maior extensão possível de consequências que 
possam afetar indivíduos e a sociedade.
2. Adaptação do Projeto ao Homem: O empreendimento 
tecnológico deve ser projetado para interagir em segurança 
com a maior diversidade possível de seres humanos, 
independentemente de características antropométricas, 
comportamentais ou culturais. Sempre que possível, o trabalho 
deve ser projetado para ser adaptado ao maior número de 
pessoas possível, em vez de as pessoas se adaptarem ao 
trabalho.
3. Controle da Interação homem  sistema: Todo empreendimento 
tecnológico gera, conscientemente ou não, um projeto de 
fatores humanos que define a forma de interação com as 
pessoas e exerce influência direta na ocorrência de falhas, 
erros e acidentes. O projeto de fatores humanos deve controlar 
a interação homem × sistema limitando as consequências 
dos erros humanos para que estes não venham a ocasionar 
acidentes catastróficos.
4. Proteção Contra o Erro Humano: O erro humano é 
influenciado pelas vulnerabilidades naturais (imprevisíveis), 
pelas limitações humanas (inevitáveis) e pelo ambiente de 
indução ao erro (projetado). O controle das consequências 
do erro humano para níveis aceitáveis só é possível através do 
projeto de fatores humanos que atua limitando o ambiente 
de indução ao erro, uma vez que as vulnerabilidades naturais 
e as limitações humanas não estão ao alcance da engenharia. 
158 CAPÍTULO 9 Conclusão
Proteger contra erro humano é reconhecer que os erros 
humanos são inevitáveis, cabendo ao projeto de fatores 
humanos criar as soluções de engenharia que limitem 
as consequências dos erros humanos a níveis de risco 
aceitáveis.
5. Superioridade da Decisão Humana: Nenhum tipo de 
automação, intertravamento ou computador de processo 
oferece melhor decisão do que o profissional técnico 
devidamente capacitado para a condução das medidas 
de mitigação de uma emergência. Os acidentes sempre 
incluem aspectos imprevisíveis ou inesperados, seja por 
falha de equipamento, procedimentos, pessoas ou por ação 
da natureza. A conjugação de todos esses fatores mais a 
percepção do impacto do escalonamento do acidente tanto 
em seus efeitos técnicos como socioambientais gera um grau 
de complexidade acrescido de aspectos subjetivos que tornam 
a automação limitada para prover a melhor decisão, havendo 
maior chance de resultados positivos através da tomada de 
decisão por um profissional devidamente capacitado à frente 
do gerenciamento da crise.
6. Não Mecanização do Trabalho Humano: O empreendimento 
tecnológico deve prover soluções de engenharia que impeçam a 
mecanização do trabalho humano em todos os níveis, através de 
um abrangente projeto de fatores humanos. A mecanização 
de qualquer atividade humana aumenta os riscos de acidentes 
catastróficos por conduzir a uma redução, ainda que 
momentânea, da capacidade de analisar e de prover soluções 
em cenários acidentais em que os elementos imprevisíveis e 
inesperados sempre estão presentes. Atividades que incluam 
rotinas que conduzam a uma necessidade de mecanização 
para obtenção de eficiência devem, tanto quanto possível, 
ser transferidas para as máquinas. Mas caso isso não seja 
possível, o planejamento da tarefa deve incluir compensações 
para que o nível de consciência sobre a atividade em curso 
não venha a ser prejudicado criando ambiente de indução 
ao erro.
 Incluem-se como mecanização do trabalho humano 
sistemas de interação homem × sistema que limitam 
essa interação ao cumprimento de normas, regras e 
procedimentos sem margem para que os agentes sejam a 
qualquer momento questionados, avaliados e, se necessário, 
descumpridos como meio de evitar um acidente. Normas e 
159Gerenciamento de riscos 
procedimentos, mesmo que especificamente de segurança, 
devem ser adotados enfaticamente como uma mera 
referência, considerando que teoricamente guardam em seu 
conteúdo o melhor da experiência e das boas práticas de 
engenharia aplicáveis à atividade em curso. Isso não significa 
que não possam conter erros ou avaliações inapropriadas 
para o cenário acidental real, que é único e pode nunca antes 
ter sido previsto, mesmo em teoria. Por isso, para evitar e 
enfrentar acidentes, deve ser eliminado o vício do legalismo, 
bem como o comportamento mecânico de engenheiros e 
técnicos, sendo, portanto, indispensável uma atuação com 
liberdade inteligente, rica de habilidade técnica e experiência 
operacional.
7. Inclusão de Projeto Antropométrico e Psicológico: Os 
projetos de engenharia, para alcançarem maior nível de 
segurança, devem incluir abordagem antropométrica e 
psicológica, a fim de estabelecer um projeto de fatores 
humanos adequado.
A partir de dados antropométricos devem ser consideradas 
análises de riscos biomecânicos, riscos de trabalhos estáticos e 
repetitivos, riscos de trabalhos manuais bem como devem ser 
avaliadas as influências de temperatura, ambiente visual, audição, 
vibração, entre outros.
Com relação à psicologia, devem ser consideradas questões 
como estresse e fadiga individual, estresse ambiental, sobrecarga 
de demanda, processamento humano de informação e carga de 
trabalho mental.
9.3 VISÃO ESTRATÉGICA DE GERENCIAMENTO 
DE RISCOS E SEGURANÇA
Seja em instalações offshore, ou não, o gerenciamento de 
riscos e segurança são temas intimamente ligados à gestão tec-
nológica. Gerenciar riscos pode ser resumido em decidir por 
aceitar ou recusar riscos, e quem acumula as decisões importan-
tes sobre os riscos que envolvem os empreendimentos são em 
geral os gestores. Uma parcela significativa dessa decisão inclui 
componentes subjetivos mesmo que, como suporte, sejam feitas 
as mais criteriosas análisesde riscos com as mais sofisticadas 
ferramentas tecnológicas, pois mesmo assim a imprevisibilidade 
160 CAPÍTULO 9 Conclusão
sempre será um fator presente em toda a expectativa sobre a 
possibilidade de acidentes. No momento da decisão por aceitar 
ou não um risco, apesar de todas as informações técnicas dis-
poníveis, haverá sempre uma parcela de informações indisponí-
veis relacionadas à interação homem × sistema que acontecerá 
no futuro, durante a vida útil do empreendimento tecnológico. 
Gerenciar riscos requer a inclusão desse componente de subje-
tividade harmonizado ao conhecimento técnico de modo a gerar 
decisões não apenas matematicamente corretas, mas decisões o 
mais realistas possível.
Os empreendimentos tecnológicos na área de exploração e 
produção de óleo e gás convivem com a constante necessidade 
de gerenciamento dos consideráveis riscos envolvidos, desde 
o projeto até a venda do produto final. Tais riscos envolvem 
questões relacionadas a grandes inventários de hidrocarboneto, 
concentração de energia, impacto ambiental, vidas humanas, im-
pacto econômico e social. O gerenciamento de risco e segurança 
nessa área não pode se limitar apenas a ferramentas, simulações 
e modelos matemáticos teoricamente perfeitos, mas carentes de 
informações subjetivas sobre o comportamento humano, social, 
cultural indispensáveis para haver correspondência e realismo 
com as atividades operacionais e organizacionais. Não que 
ferramentas, simulações e modelos matemáticos tenham per-
dido seu valor. Pelo contrário, são indispensáveis, assim como 
toda uma gama multidisciplinar de conhecimentos que também 
precisam ser contemplados pelos gestores para a tomada da 
melhor decisão.
A melhor forma de alcançar as melhores decisões é cada vez 
mais criar meios de interação entre modelos tecnológicos clás-
sicos de análise e avaliação de riscos, com aspectos subjetivos 
e realísticos sobre o comportamento humano e sobre as ativi-
dades corporativas. É necessário desenvolver ferramentas que 
se aproximem mais do homem, como, por exemplo: softwares, 
máquinas, instalações, plantas, equipamentos, plataformas off- 
shore ou quaisquer empreendimentos tecnológicos. Tais em-
preendimentos precisam se tornar cada vez mais parecidos com 
o homem, em vez de os homens se tornarem parecidos com as 
máquinas. Nesse contexto, buscamos exemplificar a aplicação 
desses conhecimentos descritos através da identificação de uma 
ferramenta que já possui essas características de aproximação 
com o comportamento humano, ainda que de forma rudimentar, 
mas tecnicamente correta e irrepreensível.
161Gerenciamento de riscos 
9.4 IMPORTÂNCIA DO ESCAPE E ABANDONO 
NO GERENCIAMENTO DE RISCOS E SEGURANÇA
Em termos de gerenciamento de risco e segurança offshore, 
muita ênfase tem sido dedicada aos sistemas de detecção e 
combate a incêndio e vazamentos de gás. Os acidentes pos-
tulados pelas análises enfatizam também os cenários de in-
cêndio e explosão. A estruturação das atividades de gerencia-
mento de risco e segurança offshore estabelece um conjunto 
de medidas preventivas de segurança para cada disciplina do 
projeto da instalação offshore. Assim são criadas barreiras 
preventivas para evitar a ocorrência dos acidentes, mas isso 
não garante que as possíveis falhas nessas medidas possam 
gerar vulnerabilidades nas barreiras de segurança de cada dis-
ciplina de projeto. Em geral, o acidente acontece quando as 
vulnerabilidades de cada barreira preventiva de segurança se 
alinham entre si permitindo uma sequência infeliz de eventos 
até chegar ao acidente.
Caso isso ocorra, os projetos offshore possuem sistemas de 
segurança que atuam para mitigar o escalonamento do acidente 
propriamente dito. São sistemas como o de detecção e combate a 
incêndio, salvatagem e também o sistema de escape e abandono 
da instalação offshore. Como dissemos, tem sido dada grande e 
merecida ênfase aos sistemas de detecção e combate a incêndio, 
uma vez que tais sistemas possibilitam aumentar o tempo dis-
ponível para o escape e abandono da unidade na medida em que 
reduzem a velocidade de propagação dos incêndios ou simples-
mente o evitam através de sua extinção no princípio.
Os sistemas de detecção e combate a incêndio são eficientes 
para mitigar princípios de incêndio, quando as chamas, cargas 
térmicas e o cenário como um todo ainda são compatíveis com o 
poder de resposta desses sistemas. Um princípio de incêndio, por 
exemplo, na planta de processo, que supere e se mantenha após os 
primeiros 60 segundos dificilmente conseguirá ser extinto pelos 
sistemas próprios da unidade, uma vez que os inventários de hi-
drocarboneto em instalações offshore são em geral extremamente 
elevados. Uma comparação simples, para fins didáticos, permite 
afirmar que se o inventário de hidrocarbonetos de uma instalação 
offshore coubesse em uma garrafa de 1 litro de combustível, a 
vazão das maiores bombas de água de combate a incêndio dis-
poníveis no mercado offshore, proporcionalmente, seria capaz de 
prover 16 gotas de água num intervalo de 5 minutos para combater 
162 CAPÍTULO 9 Conclusão
o incêndio. Portanto, combater incêndio em unidades offshore 
é muito mais uma questão de estratégia do que de força bruta. 
Assim, mesmo aumentando o grau de redundância, a disparidade 
entre o inventário de energia química e a capacidade de remoção 
de energia dos sistemas de combate a incêndio continuaria a ser 
muito grande. Em termos de segurança offshsore, em caso de 
acidentes com incêndios e explosões, a solução mais eficiente é 
centralizar os objetivos em reduzir as chances de perdas humanas 
através de um sistema de escape e abandono eficiente capaz de 
permitir o rápido e seguro deslocamento do POB para fora do 
cenário de acidente. Fortes aliados neste processo são os sis-
temas de detecção e combate a incêndio, pois conseguem reduzir 
a velocidade de propagação do princípio de incêndio gerando 
tempo extra para escape e abandono, isso quando não consegue 
extinguir o evento ainda na fase inicial.
Considerando o princípio 1 de fatores humanos – centrali-
zação de objetivos nas pessoas −, o sistema de segurança off- 
shore mais importante e que mais contribui para salvar vidas é o 
sistema de escape e abandono. Prover rotas de fugas adequadas 
e estratégias de movimentação de pessoas eficientes é o que 
mais salva vidas e o que mais reduz o impacto do acidente para 
a organização e para a sociedade. Um incêndio de grandes pro-
porções em uma instalação offshore que não gere vítimas será 
um motivo de reconhecimento da eficiência dos sistemas de 
segurança, ainda que parcialmente, pois, apesar dos danos e até 
eventual perda da instalação, considerando-se a criticalidade dos 
cenários acidentais de instalações offshore a inexistência de 
vítimas humanas é uma demonstração de eficiência técnica dos 
sistemas de proteção à vida.
Também é importante perceber que no momento em que a 
operação de escape e abandono é deflagrada, um processo de 
intensa interação homem × sistema se inicia, na qual todo o POB 
passa a interagir com a instalação offshore em busca de mitigar 
o acidente, escapar do perigo e abandonar o cenário acidental. 
Uma unidade offshore com 110 pessoas a bordo como a que foi 
estudada neste trabalho precisa estar preparada desde o projeto 
para essa interação homem × sistema extrema que se estabelece 
numa emergência, especialmente quando fatores relacionados 
com a flutuabilidade, estabilidade e visibilidade estejam também 
agravando o cenário e influenciando no deslocamento e compor-
tamento das pessoas que poderão ter de enfrentar escadas, pisos 
inclinados, corredores congestionados e fumaça.
163Gerenciamento de riscos 
Teoricamente é possível medir a distância entre o posto de 
trabalho mais distante e aplicar uma velocidade estimada para se 
determinar o tempo de deslocamento durante uma emergência. 
Mas essa análise simplória pode fazer frente ao cenário real de 
uma emergência offshore? E os efeitos de uma possívelinclina-
ção da unidade? Os efeitos da falta de visibilidade pela fumaça, 
temperatura, toxidade? Não seria indispensável antever os pontos 
de congestionamentos pelas rotas de fuga? Não é importante iden-
tificar os pontos de contrafluxos quando operadores precisam se 
deslocar contra o sentido de deslocamento de escape e abandono 
para operar, por exemplo, manualmente, válvulas dilúvio que 
falharam? Também não é indispensável considerar se o acidente 
ocorre durante a noite ou durante o dia, já que os comportamen-
tos humanos são diferentes nesses períodos? As diferenças de 
velocidades para subir, descer escadas, se deslocar no plano ou 
sob inclinação não deveriam ser consideradas? As diferenças de 
comportamento de operadores experientes e novatos, homens e 
mulheres, jovens ou maduros também não deveriam ser incluídas 
nos estudos? A influência das diferentes possibilidades de dis-
tribuição de pessoas nas diversas salas e áreas ao longo de toda 
a vida da unidade offshore também não deveria ser verificada?
A movimentação de pessoas é um assunto extremamente 
complexo, principalmente quando são consideradas as condições 
comportamentais que caracterizam as emergências que exercem 
forte impacto emocional e físico sobre os operadores. Reduzir 
isso a uma análise simplória de medição de distância e aplicação 
de velocidade é desprover os gestores de informações indis-
pensáveis para que as melhores decisões pela aceitação ou não 
de riscos sejam tomadas.
O sistema de segurança mais eficaz para salvar vidas é o 
de escape e abandono. Estudá-lo com as melhores ferramentas 
possíveis, que conjuguem o conhecimento técnico clássico, com 
fatores humanos, cultura de segurança e toda a subjetividade 
associada à gestão das imprevisibilidades é uma contribuição 
essencial para minimizar os riscos de perdas humanas ao longo 
da vida útil das instalações. Utilizar ferramentas adequadas de 
análise que explicitem a interação homem × sistema permite a 
redução das chances de perdas humanas através de um geren-
ciamento de riscos baseado nas melhores decisões possíveis, 
suportadas por análises realistas e mais bem identificadas com a 
complexidade que na prática se estabelece durante a ocorrência 
dos cenários acidentais em empreendimentos tecnológicos.
164 CAPÍTULO 9 Conclusão
9.5 MELHORIAS NOS SISTEMAS DE ESCAPE 
E ABANDONO EM INSTALAÇÕES OFFSHORE
Este trabalho identificou o software EvE/Evi da Universidade 
de Strathclyde, Glasgow UK, como ferramenta capaz de simular 
a movimentação de pessoas em navios de passageiros, incluindo 
efeitos comportamentais de pessoas, fatores humanos, aspectos 
da cultura de segurança, ações estabelecidas por procedimentos 
operacionais, efeitos de propagação de incêndio, efeitos de dis-
persão de gases e efeitos de avaria naval.
Através de pesquisa sobre a utilização do software foi pos-
sível desenvolver uma metodologia de adaptação do mesmo para 
análises de instalações offshore a partir do estudo de caso de um 
FPSO. Essa adaptação resultou em mais de 4.000 simulações 
de cenários de emergência offshore cujos resultados nos per-
mitiram identificar oportunidades de melhorias para os sistemas 
de segurança desse tipo de instalação. A seguir iremos apresentar 
essas oportunidades de melhoria e também conclusões técnicas 
obtidas a partir dos resultados das simulações.
A criação de um modelo 3D através do software para uso em 
simulações de escape e abandono foi tecnicamente bem-sucedida. 
Os documentos originais puderam ser convertidos para formatos 
compatíveis com o software e a partir desses documentos foi criado 
um modelo 3D representativo do FPSO em estudo. O modelo 3D 
gerado, além de servir para análises de segurança, serve também 
para quaisquer tipos de estudos, nos quais a visualização 3D seja 
relevante, como, por exemplo, para projeto do arranjo da instalação, 
programação de manutenções, programação de paradas, mudanças 
de layout, simulações de movimentação de pessoas em tarefas.
Foi possível gerar simulações que definiram um POB específi-
co para interagir com o FPSO em estudo. Esse POB pode possuir 
exatamente os mesmos dados comportamentais e biométricos de 
cada pessoa que exerce o trabalho real na instalação. O FPSO 
em estudo ainda não está em operação e, por isso, foi criado um 
perfil para cada agente com características pessoais específicas, 
de modo que o POB simulado se aproxime ao máximo do suposto 
grupo que irá operar o FPSO quando em operação.
A adaptação do número de pessoas a bordo, bem como a es-
tratificação do POB em categorias foram realizadas com sucesso. 
Foram geradas simulações incluindo diferentes configurações de 
POBs sempre correspondentes aos perfis do POB esperado para 
o FPSO em estudo.
165Gerenciamento de riscos 
Características comportamentais esperadas para o POB do 
FPSO em estudo foram simuladas com sucesso, considerando 
faixas etárias, gênero, experiência operacional, tempo de reação, 
velocidades de deslocamento, localização física na unidade, 
atribuição de tarefas específicas e o cumprimento de procedi-
mentos. O refinamento do comportamento simulado inclui a 
diferenciação do comportamento durante o dia e a noite.
Foram simulados com sucesso a obediência a diferentes tipos 
de procedimentos operacionais possíveis de serem seguidos em 
emergências offshore. É possível fazer a comparação de tempo 
entre os diferentes procedimentos de escape e abandono adotados 
e comparar a eficiência dos mesmos.
Cenários de acidentes de vazamento de gás e acidentes com 
avaria naval foram simulados com sucesso. Foi possível analisar 
a movimentação de pessoas na instalação offshore avariada, 
considerando-se os efeitos do ângulo de adernamento e as limi-
tações de lançamento das embarcações de salvamento. Dados do 
projeto naval e das condições marítimas podem ser importados 
e incorporados às simulações.
Cenários de acidentes de incêndio na área do casario foram 
simulados com sucesso. Foi possível analisar a movimentação 
de pessoas na instalação offshore avariada considerando dados 
dos estudos de propagação de incêndio, dispersão de gases e 
explosão. Os dados precisam ser importados do modelo original 
(CFD) em formatos previamente estabelecidos para esse fim. 
Foi simulado com sucesso um incêndio na área do casario do 
FPSO através da importação de uma nuvem de pontos típica de 
propagação de incêndio e de dispersão de fumaça na área sinis-
trada no cenário postulado. Foi possível identificar os efeitos 
cumulativos de temperatura, intoxicação e visibilidade sobre 
cada um dos agentes a bordo da unidade e inclusive analisar 
a gravidade dos efeitos sobre os agentes e a identificação dos 
casos de fatalidades.
Cenários de acidentes de incêndio na área de processo foram 
simulados com sucesso. É possível analisar a movimentação 
de pessoas na instalação offshore avariada considerando dados 
dos estudos de propagação de incêndio, dispersão de gases e 
explosão desde que eles estejam disponíveis em formatos e com 
organização compatíveis com o requerido para importação pelo 
software de simulação. Uma estratégia alternativa pode ser uti-
lizada quando os arquivos originais de projeto, contendo nuvens 
em CFD com as análises de propagação de incêndio, dispersão 
166 CAPÍTULO 9 Conclusão
de fumaça e explosão não fornecem dados representativos para 
uso em simulações que consideram os efeitos sobre as pessoas 
a bordo. Trata-se da estratégia de fechamento e bloqueio parcial 
de rotas para simulação de incêndios a bombordo e a estibordo 
do FPSO. Porém, o software utilizado permite fazer simulações 
a partir de nuvens de pontos em CFD, desde que os estudos de 
propagação de incêndio, dispersão de gases e explosão sejam 
desenvolvidos para alcançar a representatividade mínima reque-
rida para obtenção de resultados válidos através das simulações.
Foi possível distribuir o POB em diversas formas de configu-
ração operacional pelos diferentes postos de ocupação do FPSO 
e verificar quais as configurações dedistribuição funcionam 
melhor na operação do FPSO.
As simulações permitem retroceder e parar no tempo do 
evento acidental em curso, podendo-se identificar os agentes e 
os locais com problemas e estudá-los. É possível, por exemplo, 
identificar quais as características do agente que chega por último 
ao ponto de encontro, ou qual agente inicia o processo de conges-
tionamento de uma determinada rota.
As simulações fornecem ao seu final e também durante o 
andamento resultados sobre o desempenho dos agentes, das rotas 
de fuga e pontos de encontro. É possível também gerar o rastro 
dos movimentos de cada um dos agentes e assim visualizar no 
modelo 3D as rotas de fuga mais congestionadas, as portas que 
mais influenciam no congestionamento e os caminhos alternati-
vos utilizados pelos agentes.
Cenários especiais podem ser simulados através de comandos 
de fechamento de portas, atribuição de tarefas específicas para 
determinados agentes e através de comportamentos diferenciados 
como atribuir a um agente a função de ficar perdido e desorienta-
do. Através desses recursos é possível incluir tarefas operacionais 
e identificar a interferência destas com outras em paralelo ou 
com a operação de escape e abandono.
Foi possível a inserção de atributos comportamentais para 
cada agente do POB através de funções estatísticas associadas 
aos atributos de cada indivíduo. Assim, tais variáveis puderam 
ser consideradas como variáveis aleatórias. O posicionamento 
dos agentes, bem como a distribuição dos atributos puderam ser 
realizadas para cada agente individualmente ou randomicamente 
pelo software. Outra opção foi uma solução híbrida, na qual, 
em determinadas salas e funções específicas, os agentes foram 
posicionados manualmente enquanto em outras áreas isso foi 
167Gerenciamento de riscos 
feito randomicamente. Foi possível também atribuir comporta-
mentos através de funções estatísticas previamente validadas pela 
IMO – International Maritime Organization. Tais tabelas servem 
como referências para instalações offshore desde que ajustadas 
para atender o perfil comportamental e demográfico do POB que 
supostamente irá trabalhar no FPSO, o que foi realizado para o 
estudo de caso deste trabalho.
Antes, durante e depois de a simulação ser realizada é possível 
usar diversos modos de visualização do modelo 3D, incluindo 
as influências dos movimentos navais, grid de propagação de 
incêndio, posicionamento dos agentes, nível do mar. Assim é 
possível realizar passeios virtuais no interior do FPSO modelado 
em 3D para ajustes e estudos de problemas durante os eventos em 
estudo, projetos e planejamentos de paradas. Também é possível 
fazer o desmembramento do modelo 3D em plantas baixas de 
todos os decks, em tempo real, antes, durante e depois da simu-
lação, o que permite uma visualização detalhada do andamento 
da operação por deck, por sala, corredor, porta, escada e em 
qualquer compartimento do FPSO.
As simulações podem ser realizadas em bateladas, ou seja: 
é possível estabelecer um conjunto de simulações de diferentes 
cenários e estabelecer uma rotina de repetições específica para 
cada cenário. Ao final, os resultados são registrados para uma 
posterior análise estatística. Assim, através das simulações em 
bateladas é possível criar estimativas de frequência de ocorrên-
cia dos cenários de sinistro e avaliar se elas se enquadram nos 
níveis de risco aceitáveis para o empreendimento tecnológico 
em estudo.
Após cada simulação é gerado um conjunto de resultados em 
gráficos e números permitindo análises variadas sobre o cum-
primento dos objetivos dos agentes, a movimentação, número 
de fatalidades, tempos de deslocamento e de congestionamento, 
distâncias percorridas, históricos de principais pontos de conges-
tionamento, densidade demográfica, ocupação de pontos de 
encontro, histórico de chegadas de pessoas, ocupação de pessoas 
por deck, entre outros.
As simulações permitem resultados suficientes para a con-
fecção de uma tabela de referência (modelo na Figura 8.1) para 
tempos de operação de escape e abandono aplicável ao FPSO. 
Essa tabela fornece o tempo máximo requerido para escape e 
abandono conforme o tipo de sinistro. Os valores podem ser 
utilizados pelo responsável pela ordem de escape e abandono 
168 CAPÍTULO 9 Conclusão
do FPSO, durante a fase de tomada de decisão, já que, com os 
valores tabelados e as informações sobre o cenário acidental em 
curso, o responsável pela decisão pode avaliar melhor se ainda 
é possível postergar ou não a decisão pelo escape e abandono.
As simulações permitem concluir que em determinados ce-
nários acidentais os agentes poderão dar preferência às rotas 
alternativas em lugar das rotas de fuga definidas no projeto. Em 
especial, no estudo de caso, foi observado que a área de chegada 
de risers, a bombordo do FPSO, foi a opção preferencial dos 
agentes localizados na proa da instalação em alguns cenários 
acidentais simulados. Como razões para esse comportamento es-
tão: a redução do trajeto no caso de haver uma passagem desobs-
truída e protegida dos efeitos do sinistro através da passarela da 
área de chegada de risers; o corredor fica abaixo do main deck e 
assim fica abrigado pelo costado do FPSO, o que poderia fornecer 
proteção adicional caso o evento, por exemplo, de incêndio, es-
tiver gerando calor e fumaça nas rotas preferenciais durante a 
operação de escape e abandono.
O estudo dos cenários de incêndio no casario mostrou que 
incêndios desse tipo exigem reação rápida por parte dos agentes 
que estejam nesta área do FPSO. Considerando-se um incêndio 
na cozinha, as simulações mostraram que após 4,4 minutos de 
iniciado o evento, de 1 a 2 fatalidades podem ocorrer depen-
dendo dos comportamentos e posicionamentos dos agentes. 
Portanto, para reduzir os riscos de fatalidades no casario, os 
agentes precisam ser treinados para ter tempos de reação es-
pecialmente reduzidos. Deve ser proposto como alvo o tempo 
de aproximadamente 2 minutos para sair do casario em direção 
aos postos de abandono e assim reduzir o risco de fatalidades. 
Nessas condições torna-se altamente recomendável a eliminação 
do procedimento de ida ao ponto de encontro para os casos de 
incêndio no casario.
Através dos experimentos realizados no Kelvin Hydrodyna-
mics Laboratory da University of Strathclyde em conjunto com 
a COPPE/UFRJ, as definições de cenários para as análises de 
propagação de incêndio, dispersão de gases e explosão, que atual-
mente são realizadas na fase de projeto de um FPSO, precisam ser 
reavaliadas para que os resultados desses estudos possam alcançar 
a representatividade mínima requerida para serem usadas em 
simulações de acidentes que considerem as consequências e os 
efeitos do sinistro sobre as pessoas. Os estudos tradicionais consi-
deram cenários extremos e geram nuvens de pontos concentradas 
169Gerenciamento de riscos 
numa região muito limitada do FPSO. Para serem representativos, 
os resultados dos estudos em CFD devem fornecer nuvens de 
pontos para todo o FPSO e também considerar cenários de maior 
frequência de ocorrência, mesmo que menos críticos do que os 
que atualmente são avaliados nos estudos de segurança de projeto. 
Embora sejam menos críticos, os cenários de maior probabilidade 
de ocorrência possuem maior representatividade em relação aos 
acidentes que o FPSO de fato terá mais chance de enfrentar du-
rante sua vida útil. É muito importante para esse tipo de análise 
que os estudos de CFD sejam realizados seguindo o princípio 1 
de fatores humanos – centralização de objetivos nas pessoas. Ou 
seja, os estudos de CFD tradicionais apresentam definições de 
cenários e resultados com o objetivo maior de identificar os efeitos 
dos acidentes na instalação, mas seria melhor a centralização dos 
objetivos dos estudos nos efeitos dos acidentes sobre as pessoas. 
Se as pessoas estiverem protegidas, a probabilidade de a instala-
ção também estar é maior, observando-se que a recíproca, nesse 
caso, nãoé verdadeira como muitas vezes pode parecer. Análises 
tradicionais em CFD para propagação de incêndio, dispersão 
de gases e explosão apresentam resultados que demonstram a 
integridade das estruturas, ou a necessidade de proteção passiva 
para isso. Porém, não demonstram em seus resultados os efeitos 
diretos sobre as pessoas em relação às temperaturas geradas, 
nem quanto ao impacto da toxidade dos gases, nem quanto à 
redução da visibilidade nas rotas de fuga e muito menos sobre 
risco de fatalidades decorrentes da evolução do evento. Ou seja, 
a metodologia usada tradicionalmente nos relatórios de análise 
de projeto em CFD fornece resultados que justificam a aceitação 
ou não do risco com base nos efeitos sobre a estrutura do FPSO, 
a partir de simulações que podem ou não indicar a ocorrência do 
colapso das estruturas da instalação.
Mas esses resultados da metodologia atual não oferecem 
qualquer informação sobre o número de fatalidades e o grau de 
impacto sobre pessoas durante esse mesmo acidente, o que é 
tratado subjetivamente. É possível observar que os resultados de 
estudos em CFD de cenários mais realistas (como incêndios em 
poças e vazamentos) em geral não resultam em impacto signifi-
cativo sobre a estrutura da instalação. Isso influencia os técnicos 
em CFD no sentido de desenvolverem simulações para cenários 
extremamente mais severos, já que os cenários mais realistas 
não trariam resultados importantes em termos de relatório de 
estudo em CFD.
170 CAPÍTULO 9 Conclusão
Mas tais cenários severos significam maiores chances de 
fatalidades, as quais não são diretamente mensuráveis pelas 
análises realizadas em CFD dentro da metodologia atual. Os 
cenários atualmente escolhidos são extremamente severos, pouco 
prováveis e não apresentam resultados diretos quanto ao impacto 
sobre a segurança das pessoas. Os piores efeitos desses cenários 
severos não estão sendo considerados (fatalidades). Os possíveis 
danos estruturais ou necessidades de proteção passiva, por exem-
plo, são os pontos mais importantes dos relatórios atuais. Mas 
como não há meios técnicos de analisar diretamente os efeitos 
do acidente sobre as pessoas dentro da metodologia atual, isso não 
aparece nos relatórios como suporte para decisões de aceitação 
de risco por parte dos gestores. A inclusão de estudos em CFD 
que produzam nuvens de pontos com objetivos centralizados 
em proteger pessoas é o que consideramos ser uma das maio-
res oportunidades de melhoria a ser considerada para os novos 
projetos de instalações offshore. Uma oportunidade de melhoria 
muito importante, dada a importância que os resultados dessa 
nova metodologia podem gerar, é a redução de probabilidade de 
fatalidades em decorrência de acidentes em instalações offshore.
9.6 APLICABILIDADE PARA A SEGURANÇA 
DE INSTALAÇÕES ONSHORE
Apesar de este trabalho ter sido desenvolvido através do estudo 
de caso de uma instalação offshore do tipo FPSO, os conceitos, 
resultados, conclusões e o software de simulação têm um campo 
de aplicação muito mais amplo.
Os conceitos de cultura de segurança e fatores humanos são 
aplicáveis a qualquer empreendimento tecnológico, desde in-
dústrias, projetos, pesquisas, desenvolvimentos, metodologias 
de treinamentos, tanto no âmbito profissional como também no 
dia a dia das pessoas que formam a sociedade e sua cultura pró-
pria de segurança. O entendimento dos conceitos de cultura de 
segurança e fatores humanos e sua efetiva aplicação nos em-
preendimentos tecnológicos de toda ordem permitem a gestão 
tecnológica eficaz dos riscos com o intuito de reduzir acidentes, 
vítimas e fatalidades. São temas que não se limitam apenas às 
atividades técnicas propriamente ditas, mas interessa a toda ges-
tão tecnológica. Os conceitos de cultura de segurança e fatores 
humanos estão intensamente associados aos atos de gestão, que 
171Gerenciamento de riscos 
em linhas gerais decidem sobre a aceitação ou não de riscos. 
Aplicar os princípios de cultura de segurança e fatores humanos é 
gerar compromissos e atitudes, mas também mudanças técnicas 
em projetos de modo a elevar o nível de recursos para tomadas 
de decisões relacionadas com os riscos à vida, ao meio ambiente 
e ao patrimônio reduzindo acidentes.
A ferramenta EvE/Evi, ou outra similar que reúna as mesmas 
características, permite a conexão entre subjetividade e obje-
tividade na aplicação dos princípios de cultura de segurança e 
fatores humanos. Através de simulações computacionais é pos-
sível alcançar resultados objetivos, estatisticamente avaliados e 
com evidências de impacto na qualidade de gestão de riscos de 
empreendimentos tecnológicos. O fato de ter sido utilizado o es-
tudo de caso de uma instalação offshore do tipo FPSO não descre-
dencia este tipo de análise e simulação para aplicação nos demais 
tipos de instalações. Na realidade, o grau de complexidade das 
instalações offshore em geral cobre as necessidades requeridas 
para simulações e análises dos demais tipos de empreendimentos 
tecnológicos.
Além da capacidade de melhoria dos elementos para a decisão 
de aceitação ou não de riscos em empreendimentos tecnológicos, 
os conceitos, ferramentas e análises que estão propostos tam-
bém se aplicam à melhoria operacional dos empreendimentos 
em tecnologia, especialmente no que se refere à influência da 
movimentação de pessoas.
Com os conceitos desenvolvidos, é possível analisar e oti-
mizar a movimentação de pessoas em paradas programadas de 
unidades industriais, ou mesmo nas atividades da rotina opera-
cional. Isso possibilita a verificação das opções de layouts tanto 
provisórios como definitivos, de modo a prover o melhor projeto 
e planejamento em termos de eficiência na movimentação de pes-
soas. Tais vantagens se aplicam tanto ao aspecto da segurança 
quanto à otimização do tempo gasto em parada ou em novas 
atividades que objetivem a eficiência global da unidade.
Especialmente em casos de paradas com prazos extremamente 
críticos, é possível simular passo a passo os eventos e detectar 
possíveis pontos de congestionamento, riscos acidentais entre ou-
tros aspectos. Isso significa um ensaio virtual da parada que pode 
ser repetido tantas vezes quanto forem necessárias para elimina-
ção de dúvidas e reavaliação de decisões. Tais simulações podem 
ser feitas em tempo real, ou em velocidade acelerada ou ainda 
em velocidade lenta. Também é possível, durante o andamento 
172 CAPÍTULO 9 Conclusão
da parada, acompanhar através de um modelo 3D toda a dis-
tribuição de pessoas no ambiente simulado, com a inclusão das 
tarefas individuais mais importantes. Estas podem ser acompa-
nhadas em tempo real, permitindo que a simulação funcione em 
paralelo com as atividades reais de campo e provendo condições 
de acompanhamento e análise comparativa excepcionais.
Também é possível aplicar conceitos, análises e ferramen-
tas desenvolvidos neste trabalho para empreendimentos tecno-
lógicos de construção e montagem, os quais possuem arranjos e 
locações de pessoas bastante dinâmicos, que podem ser testados 
previamente ou alterados virtualmente em modelo 3D antes e 
durante o evento real, tanto para fins de melhoria da segurança, 
como em termos de otimização e eficiência operacional, da mes-
ma forma como descrito anteriormente para paradas programadas 
de unidades industriais.
Considerando um campo de aplicação mais amplo, tais con-
ceitos, análises e ferramentas também podem ser aplicados a 
quaisquer conglomerados de pessoas, sejam nos eventos pú-
blicos, sociais e esportivos em estádios ou ao ar livre. Esse tipo 
de ferramenta de simulação computacional também pode ser 
adaptada para uso em análises de movimentação de veículos, 
considerando o comportamento humano do motorista em subs-
tituição aos agentes, e as estradas em substituição a rotas e 
 corredores.
São apenas alguns exemplos das múltiplas possibilidades 
que se abrem ao se incluírem os princípios de cultura de segurança 
e fatores humanos em simulações computacionaistanto para 
análises relativas ao gerenciamento de risco e segurança, como 
para análises que tenham como objetivo a otimização e melhoria 
da eficiência operacional.
CAPÍTULO
10Síntese
175Gerenciamento de riscos 
Este trabalho desenvolveu sete princípios para a implantação 
inicial de conceitos de fatores humanos, sete princípios para 
implantação inicial de cultura de segurança, e sete princípios 
de eficiência no gerenciamento de riscos em empreendimentos 
tecnológicos.
A aplicação prática dos conceitos de cultura de segurança 
e fatores humanos no gerenciamento de riscos e segurança foi 
alcançada através do estudo de caso do sistema de escape e 
abandono em unidades offshore de exploração e produção de 
óleo e gás do tipo FPSO (Floating, Production, Storage and 
Offloading). O escape e abandono foi estudado em ambiente 3D 
representativo do projeto original, através de simulações compu­
tacionais que contemplam características comportamentais dos 
agentes em cenários de emergência, bem como a influência de 
normas, procedimentos e práticas operacionais.
Os resultados obtidos com as análises das simulações com­
putacionais baseadas nos conceitos de fatores humanos e cultura 
de segurança identificaram oportunidades de melhorias para o 
aumento da eficiência dos sistemas de escape e abandono. Mais 
de 30 cenários de emergência associados a vazamento de gás, 
incêndio e avaria naval foram estudados. Os resultados foram 
tratados estatisticamente e permitiram estabelecer valores de 
tempos para suporte na tomada de decisão durante emergências, 
planejamento de paradas de manutenção, estudo de arranjo na 
fase de projeto, planejamento e estudo de movimentação de pes­
soas em tarefas específicas.
Os resultados deste livro não se aplicam somente às insta­
lações offshore, mas também a qualquer tipo de empreendimento 
tecnológico que priorize o benefício das pessoas e da sociedade 
no gerenciamento de risco e segurança.
Referências
API RP 14J. Recommended Practice for Design and Hazards Analysis for 
Offshore Production Facilities. Washington USA, 2007.
BRIDGER, R. S. Introduction to Ergonomics. 3 ed Boca Raton FL USA, CRC 
Press Taylor & Francis Group, 2009. 
CAPRA, F. O ponto de mutação: a ciência, a sociedade e a cultura emergente. 
25 ed. São Paulo: Cultrix, 1982. 
CHADWELL, G. B.; LEVERENZ, F. L.; ROSE, S. E. Contribution Of Human 
Factors To Incidents In The Petroleum Refining Industry. Process Safety 
Progress, v. 18 n. 4, 1999. 
CHAFFIN, D. Improving Digital Human Modeling For Proactive Ergonomics 
In Design. Ergonomics. Michigan USA, SAE International, 2005. 
DEMING, W. E. Quality Productivity, and Competitive Position. Massachusetts 
USA, 1982.
DEPARTMENT OF ENERGY. Comparative Safety Evaluation of Arrangements 
for Accommodating Personnel Offshore. London UK, Department of 
Energy Section 9 + Appendix 7, 1988.
DESCARTES, R. O discurso do método. Leiden França, 1637.
DET NORSKE VERITAS. OREDA-92 − Offshore Reliability Data Handbook, 
DNV Industries Norway 2nd ed., ISBN 82 515 0188 1,1993.
EVE / EVI Evacuation Simulation Software. University of Strathclyde and 
Safety at Sea Ltd, Glasgow UK, 2008.
FRUTUOSO, P.F.M. Análise da Confiabilidade Humana (ACH) na AQR. In: 11º 
Congresso de Atuação Responsável ABIQUIM, São Paulo, 2007. Palestra 
disponível em <http://www.abiquim.org.br/atuacaoresponsavel/11cong/
segundodia/Paulo_Frutuoso.pdf>. Acesso em: 16 de agosto de 2008.
GILBRETH, F. B. Jr.; CAREY, ERNESTINE G. Cheaper by the Dozen. 
Crowell, 1948, expanded edition, 1963.
GUARIN, L.; MAJUMDER, J.; PUISA, R. Human Life Safety – Quantitative 
risk Analysis. SAFEDOR Report, 2007.
GUARIN, L.; MAJUMDER, J.; SHIGUNOV, V.; VASSALOS, D. Fire 
and Flooding Risk Assessment in Ship Design for Ease of Evacuation. 
Proceedings of the 2nd International Conference on Design for Safety, 
Osaka Japan, October 2004. 
GUARIN, L. et al. Design for fire Safety. Proceedings of the International 
Conference on Design for Safety, San Francisco USA, September 2007. 
HELIN, K.; VIITANIEMI, J.; AROMA, S.; MONTONEN, J.; EVILA, T.; 
LEINO, S.; MAATTA, T.O. Digital Human Model in the Participatory 
Design Approach A New Tool to Improve Work Tasks and Workplaces. 
VTT Working Papers, v. 83, Finland, 2007.
HOLLNAGEL, E. Barriers And Accident Prevention. Aldershot UK: Ashgate 
Publishing Company, 2004. 
HOLLNAGEL, E. Human Reliability Analysis Context and Control Computers 
and People Series. San Diego CA: Academic Press Inc. 1993. 
177
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0010
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0010
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0015
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0015
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0020
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0020
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0020
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0025
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0025
http://www.abiquim.org.br/atuacaoresponsavel/11cong/segundodia/Paulo_Frutuoso.pdf
http://www.abiquim.org.br/atuacaoresponsavel/11cong/segundodia/Paulo_Frutuoso.pdf
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0030
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0030
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0030
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0030
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0035
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0035
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0040
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0040
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0045
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0045
178 Referências
HEALTH AND SAFETY EXECUTIVE. Prevention of Fire and Explosion, 
and Emergency Response on Offshore Installations. Suffolk UK, HSE 
Books UK, 1995. 
HEALTH AND SAFETY EXECUTIVE. A Methodology for Hazard 
Identification on EER Assessments. HSE Consultants Ltd, OTH 95 466, 
http://www.hse.gov.uk/research/othhtm/400-499/oth4 66.htm, 1995.
HEALTH AND SAFETY EXECUTIVE. Review of Probable Survival Times 
for Immersion in the North Sea. HSE OTO 95 038, http://www.hse.gov.uk/
research/otopdf/1995/oto95038.pdf, 1995.
HFES. Human Factors and Ergonomics Society. http://www.hfes.org/web/
Default.aspx, USA, 2012.
HOLLNAGEL, E. Cognitive Reliability and Error Analysis Method. Elsevier 
Science, January 1998. 
IAEA INTERNATIONAL ATOMIC ENERGY AGENCY. Safety Culture. 
Safety Series n. 75 INSAG-4, Vienna, 1991.
INTERNATIONAL ASSOCIATION OF OIL & GAS PRODUCERS, OGP. 
Evacuation, Escape & Rescue, London, UK, Risk Assessment Data 
Directory Report, n. 434, 19 March 2010.
INTERNATIONAL ASSOCIATION OF OIL & GAS PRODUCERS. 
Vulnerability of Humans. DNV Report n. 32335833/14, rev 2, 2009.
IMO MODU CODE. Code for Construction and Equipment of Mobile Offshore 
Drilling Units. London UK, 2009.
IMO (SOLAS). International Convention for the Safety of Life at Sea. London, 
UK, 1974.
ISO 13702. Petroleum and natural gas industries – Control and mitigation of 
fires and explosions on offshore production installations – Requirements 
and guidelines, Geneva Switzerland, 1999.
JASTRZEBOWSKI, W. An Outline of Ergonomics or the Science of Work. 
Warsaw Poland: Central Institute for Labor Protection, 2000. 
MSC.1/Circ.1238. Maritime Safety Committee – Guidelines for Evacuation 
Analysis for New and existing Passenger Ships, 30 October 2007.
MURRELL. Applied Experimental Psychology: Human Factors in Engineering 
Design. Londres, 1949.
NEWTON, I. Philosophiae Naturalis Principia Mathematica. Londres, 1687.
NORMA N° 01. Normas da Autoridade Marítima para Embarcações empregadas 
na navegação em mar aberto. Rio de Janeiro Brasil, 2005.
PASTURA, F. Avaliação Da Criação e da Difusão do Banco de Dados 
Antropométricos e Biomecânicos Ergokit. M.Sc., Riode Janeiro: Tese – 
Universidade Federal do Rio de Janeiro, Coppe/UFRJ, 2000.
PAVARD, B.; MOUTON, C.; GOURBAULT, F. Context Dependant Móbile 
Interfaces For Collaboration In Extreme Environment In: Mobile Response 
Interfaces. New York USA, M. Klann: Springer Verlag, 2008. 
PETERS, G. A.; PETERS, B.J. Human Error Causes and Control. Boca Raton 
FL USA, Taylor & Francis Group, 2006. 
PETROBRAS. Apostila de Confiabilidade Humana. Universidade Petrobras, 
Rio de Janeiro, 2011.
PORTER, J. M.; FREER, M.; CASE, K. Computer Aided Ergonomics And 
Workplace Design. In: WILSON, J. R.; CORLETT, E. N. Evaluation Of 
Human Work: A Practical Ergonomics Methodology, 2 ed, London UK, 
Taylor & Francis Group; 1995. 
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0050
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0050
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0050
http://www.hse.gov.uk/research/othhtm/400-499/oth466.htm
http://www.hse.gov.uk/research/otopdf/1995/oto95038.pdf
http://www.hse.gov.uk/research/otopdf/1995/oto95038.pdf
http://www.hfes.org/web/Default.aspx
http://www.hfes.org/web/Default.aspx
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0055
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0055
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0060
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0060
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0065
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0065
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0065
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0070
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0070
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0075
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0075
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0075
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0075
179Referências
PORTELA DA PONTE JR, G. Qualidade na Gestão da Tecnologia sob uma 
Visão Crítica da Ciência Racionalista. M.Sc., Rio de Janeiro, Dissertação 
– Centro Federal de Educação Tecnológica do Rio de Janeiro/CEFET RJ, 
1998.
PRIMATECH. Understanding and Applying Human Factors for Process Safety. 
Primatech Training Institute, Las Vegas USA, 2008. 
RASMUSSEN, J.; ROUSE, W. B. Human Detection and Diagnosis of system 
Failures. New York: Plenum Press, 1981. 
RASMUSSEN, J. Risk Management in a Dynamic Society: A modeling 
problem. London: Elsevier Safety Science, vol. 27, n. 2/3, p. 183-213, 
England, 1997.
REASON, J. T. Human Error. Cambridge UK: Cambridge University Press, 
2003. 
ROBERTSON, D. Escape III – The Evaluation of Survival Craft Availability in 
Platform Evacuation. London UK, Intl. Offshore Safety Conference, 1987.
ROGER, L. B. Safety and Health for Engineers. 2 ed., John Wiley & Sons, 
Inc, 2006. 
SANTOS, V.; ZAMBERLAN, M.C.; PAVARD. B. Confiabilidade humana e 
projeto ergonômico de centros de controle de processos de alto risco. Rio 
de Janeiro: IBP, 2009. 
SEBZALI, Y.M.; WANG, X. Z. Joint analysis of process and operator 
performance in chemical process operational safety. Journal of Loss 
Prevention in the process industries. Leeds, UK.2002. n. 15, p. 555-564.
SYKES, K. Summary of Conclusions Drawn from Reports Produced by, or 
made available to, the Emergency Evacuation of Offshore Installations 
Steering Group. MaTSU 1986.
SWAIN A.D.; GUTMANN, H.E. Handbook of Human Reliability Analysis 
with Emphasis on Nuclear Power Plant Applications (NUREG/CR-1278, 
SAND800 200, RX, AN). Sandia National Laboratories, Albuquerque, 
NM, August 1983.
TANNER, D. E. Ten Years Incident Reports Underscore Human Error as 
Primary Cause of Accidents. Bulletin: Summer 2002, Volume 57, Number 2. 
Disponível em <http://www.Nationalboard.org/SiteDocuments/Bulletins/
SU02.pdf>. Acesso em 15 de novembro de 2009.
TAYLOR, F.W. The Principles of Scientific Management. New York and 
London: Harper and Brothers Publishers, 1911. 
TECHNICA. Escape II – Risk Assessment of Emergency Evacuation from 
Offshore Installations. London UK, OTH 88 8285, ISBN 0 11 412920 7, 
1988.
TECHNICA. Risk Assessment of Emergency Evacuation from Offshore 
Installation. London UK, Technica Report F 158, prepared for DoE, 1983.
UK LEGISLATION. The Offshore Installations (Safety Case) Regulations 
SI2005/3117, Norwich: The Stationery Office, ISBN 0 11 073610 9. 
Disponível em http://www.opsi.gov.uk/si/si2005/20053117.htm, 2011.
UK STEP CHANGE IN SAFETY. Loading of Lifeboats during Drills – 
Guidance. Disponível em http://stepchangeinsafety.net/ResourceFiles/
Lifeboat%20Loading%20Guidance%20Final%20Copy.pdf, 2003.
VASSALOS. D. Shaping Ship Safety: The Face of the Future. UK, Journal of 
Marine technology, vol. 36, n. 2, pp 61-74, April 1999.
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0080
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0080
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0085
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0085
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0095
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0095
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0100
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0100
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0105
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0105
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0105
http://www.nationalboard.org/SiteDocuments/Bulletins/SU02.pdf
http://www.nationalboard.org/SiteDocuments/Bulletins/SU02.pdf
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0110
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0110
http://www.opsi.gov.uk/si/si2005/20053117.htm
http://stepchangeinsafety.net/ResourceFiles/Lifeboat%20Loading%20Guidance%20Final%20Copy.pdf
http://stepchangeinsafety.net/ResourceFiles/Lifeboat%20Loading%20Guidance%20Final%20Copy.pdf
180 Referências
VASSALOS, D. Time-based Survival Criteria for Ro-Ro Vessels. UK, 
Transactions RINA, Bronze Medal Prize, co-authors Jasionowski, A, 
Dodworth, K, Allan, T, Matthewson, B and Paloyannidis, P., 1999.
VASSALOS, D. An Experimental, Theoretical and Full-scale Investigation on 
the Snap Loading of Marine Cables. HSE Books, Vol. I and II, OTH 558, 
ISBN 0-7176-1595-2, 294pp, co-author A. Kourouklis, 1988.
VASSALOS, D. A Risk-Base Approach to Probabilistic Damage Stability. 
Proceedings of the 7th International Ship Stability Workshop, Shanghai 
China. November 2004. 
VASSALOS, D.; HAMAMOTO, M.; PAPANIKOLAOU, A.; MOLYNEUX, D. 
Contemporary Ideas on Ship Stability. Elsevier, edited by D. Vassalos, M. 
Hamamoto, A. Papanikolaou and D. Molyneux, 2000.
WYBO, J. L. Mastering Risks Of Damage And risks Of Crisis: The Role 
Of Organizational Learning. Sophia-Antipolis. International Journal of 
Emergency Management, v. 2, n. 1/2 p. 22-34, 2006. 
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0115
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0115
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0115
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0120
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0120
http://refhub.elsevier.com/B978-85-352-7603-9.00011-7/ref0120