Em 11 de dezembro de 2005, o depósito de armazenamento de óleo de Buncefield, localizado em Hemel Hempstead, Reino Unido, foi palco da maior explosão industrial em tempos de paz já registrada no país. O evento destruiu mais de 20 tanques de combustível, feriu mais de 40 pessoas e causou danos ambientais severos — um cenário que só não resultou em mortes porque ocorreu na madrugada de um domingo.
Para profissionais que atuam em indústrias de alto risco sob normas como a COMAH (Control of Major Accident Hazards), a pergunta é inevitável: por que os sistemas de segurança de processo falharam de forma tão catastrófica?
A investigação mostrou que a explosão de Buncefield foi muito mais do que um erro técnico — foi o resultado de falhas gerenciais, ausência de liderança e uma cultura organizacional complacente que se consolidaram ao longo dos anos.
1. A origem do desastre: falhas críticas na contenção primária
O desastre começou com o transbordamento do Tanque 912, que estava sendo abastecido com gasolina. A perda de contenção primária ocorreu devido à falha simultânea de dois sistemas independentes de controle de nível, ambos projetados para prevenir esse tipo de acidente.
1.1 Sistema Automático de Medição de Tanques (ATG)
O ATG deveria monitorar o nível de combustível e emitir três alarmes (nível de operação, alto e alto-alto). No entanto, às 03h05 do dia 11, o display travou (“flatlined”), impedindo a emissão de alarmes. O problema já havia ocorrido 14 vezes nos meses anteriores, sem correção definitiva.
Essa falha recorrente demonstra a ausência de uma gestão de falhas eficaz e a falta de um sistema de rastreabilidade que permitisse ação corretiva estruturada — pontos críticos em qualquer programa de segurança de processo.
1.2 Chave Independente de Nível Alto (IHLS)
O IHLS, última barreira de segurança, deveria interromper automaticamente o enchimento. Porém, o equipamento estava inoperante. A alavanca do interruptor exigia um cadeado de travamento para permanecer na posição correta — algo não compreendido por fornecedores, instaladores e operadores. Após manutenções, o dispositivo era deixado solto, anulando sua função.
Essas falhas comprovam que sistemas de proteção são ineficazes sem entendimento operacional e supervisão gerencial.
2. As causas-raiz: falhas gerenciais e culturais
2.1 Pressões operacionais e falta de supervisão
Desde os anos 1960, o volume de combustível processado em Buncefield havia quadruplicado. Supervisores trabalhavam sob alta pressão e com pouco controle sobre os fluxos de recebimento. A ausência de sistemas SCADA independentes reduzia a visibilidade operacional e aumentava a probabilidade de erro humano.
2.2 Procedimentos falhos e jornadas exaustivas
Os procedimentos de enchimento eram incompletos e pouco práticos. Operadores criavam métodos improvisados, como o uso de despertadores para monitorar tanques. Turnos de até 84 horas semanais agravavam a fadiga e a chance de falhas operacionais.
2.3 Gestão de mudanças e contratados
A substituição de equipamentos críticos, como o IHLS, ocorreu sem processo formal de Gestão de Mudanças (MOC). Além disso, a competência técnica de contratados (como a Motherwell e a TAV) não foi avaliada, violando princípios básicos de gestão de integridade e segurança.
3. O colapso das contenções secundária e terciária
Mesmo após o transbordamento, a tragédia poderia ter sido contida se as bacias de contenção e o sistema de drenagem estivessem em condições adequadas. No entanto, ambas as barreiras falharam, permitindo a propagação do incêndio e a contaminação do solo e do aquífero local.
3.1 Falhas nas bacias de contenção
As bacias apresentavam juntas de concreto sem vedação adequada, penetrações mal seladas e materiais de vedação não resistentes ao fogo. Essas deficiências transformaram uma barreira projetada para conter líquidos em um ponto adicional de falha.
3.2 Falta de contenção terciária
O sistema de drenagem existente não tinha capacidade para lidar com grandes volumes de combustível e espuma de combate a incêndio. Sem barreiras físicas, o vazamento atingiu diretamente o aquífero subterrâneo, provocando contaminação ambiental severa.
4. Lições de Buncefield para a segurança de processo
- Sistemas independentes de proteção: Não confie apenas em alarmes. Múltiplas barreiras devem ser testadas e monitoradas.
- Auditorias eficazes: Avalie a efetividade real dos sistemas no campo, não apenas a conformidade documental.
- Gestão de Mudanças (MOC): Qualquer alteração em equipamentos críticos exige avaliação formal.
- Competência de contratados: Atue como um “cliente inteligente”, assegurando a qualificação técnica de fornecedores.
- Integridade das contenções: Trate bacias e drenagens como equipamentos de segurança críticos, com inspeções periódicas e planos de contingência robustos.
Conclusão: liderança e cultura como barreiras de segurança
O relatório final concluiu que a explosão de Buncefield foi, acima de tudo, um fracasso de gestão. A diretoria da HOSL se reunia apenas duas vezes por ano e não possuía envolvimento ativo na supervisão de riscos críticos. A ausência de liderança em segurança de processo permitiu que falhas conhecidas evoluíssem até o desastre.
O caso Buncefield é um lembrete duradouro de que tecnologia e equipamentos não substituem liderança, cultura de segurança e gestão competente.
Referências principais
- Major Incident Investigation Board. Buncefield: Why did it happen? UK Competent Authority, 2011.
- Health and Safety Executive. The Buncefield Incident 11 December 2005 – Final Report. HSE Books, 2008.
- Process Safety Leadership Group. Safety and Environmental Standards for Fuel Storage Sites. HSE Books, 2009.