O Paradoxo de PFD: Lições do Desastre de Buncefield

Essa semana li um texto de David Slater com o nome de O Paradoxo das PFDs. Achei bem interessante e resolvi trazer os principais pontos no meu blog.

Um pouco do que foi esse acidente:

O desastre de Buncefield, um dos maiores acidentes industriais da Europa, ocorreu em 11 de dezembro de 2005 em um terminal de armazenamento de petróleo em Hertfordshire, Inglaterra. A explosão, causada por uma série de falhas de segurança, resultou em contaminação ambiental e um reexame das práticas de segurança na indústria petroquímica. Este incidente serve como um estudo de caso sobre como o Paradoxo de PFD pode levar a uma falsa sensação de segurança, resultando em consequências catastróficas.

Análise Pós-Evento

A investigação do desastre de Buncefield revelou uma série de falhas de segurança, tanto em termos de barreiras preventivas quanto mitigadoras.

Barreiras Preventivas:

• O medidor de nível do tanque, que tinha um histórico de mau funcionamento, falhou.
• O intertravamento de segurança de nível alto também estava inoperante.
• Os alarmes, destinados a alertar sobre níveis altos de combustível ou vazamentos, falharam em ativar ou foram ignorados.
• A equipe de operação não realizou verificações manuais, confiando excessivamente nos sistemas automatizados.

Barreiras Mitigadoras:

• O dique de contenção era inadequado para conter o volume de gasolina liberado.
• O controle de fontes de ignição era insuficiente.
• Os sistemas de combate a incêndio foram sobrecarregados pela intensidade do incêndio.
• O espaçamento entre os tanques não era o recomendado, contribuindo para a propagação do incêndio.

O Paradoxo de PFD

O Paradoxo de PFD (Probabilidade de Falha sob Demanda) destaca como a confiança excessiva em múltiplas camadas de proteção, cada uma com sua própria PFD, pode levar a uma falsa sensação de segurança. Em teoria, a combinação de várias camadas de proteção, cada uma com uma baixa PFD, deve resultar em uma probabilidade extremamente baixa de falha geral. No entanto, na prática, a interdependência e as interações complexas entre essas camadas podem criar modos de falha não previstos, tornando o sistema menos confiável do que a análise inicial sugere.

No caso de Buncefield:

A empresa assumiu que as barreiras instaladas eram suficientes para garantir a segurança.

As PFDs individuais das barreiras, como o medidor de nível, o intertravamento de segurança e os alarmes, foram provavelmente consideradas baixas. No entanto, a falha em considerar a interdependência dessas barreiras levou a uma superestimação da segurança geral do sistema.

As barreiras, na realidade, não operavam no nível de confiabilidade idealizado.

Conclusão

O desastre de Buncefield é um lembrete sombrio da importância de uma abordagem holística para a segurança de processo. As principais conclusões incluem:

• Redundância: A necessidade de sistemas de segurança redundantes para evitar que uma única falha leve a um evento catastrófico.
• Manutenção: A importância da manutenção regular e testes de dispositivos de segurança crítica.
• Treinamento: Treinamento abrangente do operador que enfatize a verificação manual e a resposta proativa a anomalias, em vez de depender apenas da automação.
• Sistemas de Alarme Eficazes: Projetar sistemas de alarme que escalonem efetivamente para garantir que avisos críticos não sejam ignorados.
• Contenção Robusta: A necessidade de sistemas de contenção secundária robustos e bem mantidos para lidar com cenários de pior caso.
• Cultura de Segurança: Promover uma forte cultura de segurança que priorize a segurança acima da conveniência e conformidade.

O desastre de Buncefield demonstra que a confiança excessiva em camadas de proteção individuais e a falha em considerar as interações complexas do sistema podem ter consequências devastadoras. Uma abordagem sistêmica para a segurança, que leve em consideração a interdependência das barreiras e promova uma cultura de segurança vigilante, é crucial para evitar incidentes semelhantes.