Risk & Safety

Originally in English, by Gerardo Portela



When there is an emergency or an accident, good risk management practices provide some basic strategies to try to reduce the catastrophic consequences of these events and thus also reduce the number of victims. One of the most effective strategies is to first remove as many people from exposure to danger and then provide a means of permanent abandonment of this scenario where the crash is happening. This is done by directing people to another scene, which has less risk. This is what happens for example when a ship starts to sink and people are directed to small boats to effect the abandonment of a scenario of sinking into a second scenario, which although it is also dangerous, has less risk: survival in sea

In a plane crash and other aviation accidents, this strategy becomes an even greater challenge for the specialists because not always a second scenario will be available. When critical systems of an aircraft suffering an outage that prevents definite minimum operating conditions in flight, there will be no second scenario available. On the other hand, there are many cases where an emergency landing is possible. Also surprising is the amount of aircraft accidents that occur on land. Incidentally, the biggest crash of all time in number of casualties occurred in 1977 in Tenerife, the island of the archipelago of the Canary Islands in Spain. While an aircraft preparing for takeoff, the other taxied across the runway in fog and so both crashed ashore generating a large fire. 583 were killed and dozens injured.

Whenever there is an emergency landing or forced by a fall situation, there are also chances of survival. Some information, good training, preparing adequate technical support of the aircraft and by means of rescue can be the difference between life and death. We list below some basic questions related to the chances of surviving a plane crash.


There are two types of emergencies that can generate evacuation operation of commercial aircraft: emergency prepared; emergency not evident. In the first case the commander determines to carry out an emergency landing and calls on commissioners to prepare the passengers and the cabin for landing. This preparation may include removing watches, rings, earrings to avoid possible injury. Are distributed blankets and pillows to help one reduce the bruises and shock. All loose objects in the cabin should be collected and stored in drawers or placed in a single bathroom that should be locked. Each aircraft door should have a responsable commissioner. After the emergency landing, the commissioner will be positioned to assess whether there is smoke, fire or any prohibitive factor that does not allow the use of the door to the escape operation and abandonment. Verified the availability of the door and if it is confirmed that is not possible to use it, the responsable commissioner shall remain at the door directing passengers to other doors in use. 

If the door is operational, the commissioner will open it, drive the slide if it is available, and release the cables that passengers can use to hold and access the slide. Shoes and sharp objects should be discarded to avoid damage to inflatable parts. When leaving, people should move away from of the aircraft in the first moments.  In case of a not evident emergency, there is no prior preparation for landing but the commissioners should try to meet the same procedures described for the door control.


The procedures actually saved many lives in various accidents. Two of the most recent cases were the emergency landing of U.S. Airways Flight 1549 (2009), when all 155 occupants were saved after a contact of the aircraft with the icy waters of the Hudson River, NY. Another successful case was the forced landing of the Boeing 777 Asiana Airlines Airport in San Francisco, USA (2013) in which almost all of the 307 occupants were able to leave the aircraft before a major fire destroyed it completely.


The commissioners have a vital role to the success of the escape and abandonment operations and also in the post abandonment, which may require survival at sea, in the jungle or in other hard to reach areas. If anyone thinks that the presence of commissioners on flights is just a parade of courtesy, distributing comfort items and food, are very much mistaken. Just note that some flights do not even offer food as a strategy to reducing prices but keeps the commissioners because they are essential for safety. They are trained to only open the doors that can actually save lives, know the equipment, know where the resources are located and know how to use the survival items optimizing their consumption.


Could exist if the passenger had anticipated certainty about all the details of the accident would happen in flight. But if it were possible to know this, obviously the intelligent decision would not fly. If there is an operation of escape and abandonment, being closest to the emergency doors adds advantage for survival because every second can make a difference. One recommendation is adopted by some experts to be seven rows away from the emergency door. Normally aircraft are already constructed in such a way that, when we were more than seven rows away from an emergency door, just look at the other side and realize another door with less than seven rows away. But it is also important to remember that no accident is the same as another, and even the emergency doors can become the cause of accidents in flight. In a scenario like this, the door becomes the danger, may cause sudden depressurization of the cabin and in extreme cases may even eject unbelted passengers from the aircraft. Worse, the seats closest to the door rugged can be plucked and sucked out of the plane, including a passenger, and these kind of accident have been registered in Brazil. More important than the position of the seat, the greatest safety solution means understanding prior the escape and abandonment plan, observe the evolution of unusual events and react promptly seizing the guidelines of the crew.


In case of a water landing is most likely that the central portion along the wings become more suitable for the abandonment. At first, people may go out by emergency door on the wings and still have these wings to organise people before jumping into the water. Generally, the aircraft that lands on the water begins to be flooded by the front or the back, so theoretically the flood take longer to reach the central part along the wings. On the other hand if the landing is on the ground or in tree canopy, region along the wings is precisely the one that contains the greatest volume of fuel and are more likely to catch fire. So there is no definitive rule. The most important is to understand the abandonment plan well, and observe the evolution of emergency to act correctly, regardless of what the position of the passenger on the aircraft. 


When the emergency is prepared, the commander recognizes the need for an emergency landing and it can be done in an airport runway. Besides the preparation of passengers and cabin of the aircraft are started, and the ground teams like firefighters, the support boats, ambulances and other resources, are positioned strategically on track. They are trained for this type of operation. When the commander declares emergency he also begins the preparations of the teams on the track, where the specialized fire trucks at high speed will be ready to follow the aircraft from the first point in the plane touches the runway. If necessary, a layer of special foam is also launched to prevent a fire if the aircraft needs to land "belly". When there are rivers and sea nearby, boats are powered preemptively for a possible rescue.


Not only in case of crash, but for any case of an accident, which extends over the chances of survival is the degree of awareness and knowledge about the facts that are occurring during the emergency. As in accidents events are fast and astonishing, is not possible for a person to prepare well during the emergency itself. At this time, the more information earlier, more chance to survive. Then, follow the instructions at the beginning of the flight, carefully read the cards for guidance on emergency exits, look for signs of smoke, fire, noise, observe and report any abnormalities to the crew, all of this will help to have a better attitude in time of emergency .

Instructions on how to use the masks in case of decompression, how to use floats and vests, remember that the temperature and smoke are worse in the higher parts of the airplane, to prioritize life rather than insist on carrying objects and bags, all it can be considered lifesaving information and good attitudes . It is also critical to provide a collaborative behavior, because if each passenger think only on themselves, probably the number of fatalities will be higher.

In some types of serious accident, it may seem that every person has very little to do. But in many other types of emergencies, prior knowledge, a basic plan, a lot of attention and a positive attitude are aspects that can help increase the chances of survival.

 Risk & Safety

Originally in Portuguese, by Gerardo Portela




Acidentes envolvem sempre algum componente de imprevisibilidade e surpresa. Quase sempre não é apenas uma mas são várias causas que contribuem para que um acidente ocorra. Para que os acidentes possam ser evitados, os investigadores buscam em seus relatórios a identificação da chamada causa raíz, aquela que foi a mais decisiva para que o evento chegasse às consequências indesejáveis com vítimas, perdas ambientais e materiais. Neste contexto, uma estratégia importante é classificar os acidentes para permitir o estudo das medidas de proteção conforme os pontos de semelhança entre cada causa raíz.

Existem várias formas de classificar acidentes. Basicamente podemos classificá-los quanto sua origem da seguinte forma:

  • Origem Operacional: quando a origem está numa ação operacional errada.
  • Origem de Projeto: quando a origem está num erro de projeto ou conceitual.
  • Origem de Construção e Montagem: quando a origem está num erro ocorrido durante a construção ou montagem.
  • Origem de Manutenção: quando os cuidados necessários para manter equipamentos e instalações em conformidade com o projeto original não são cumpridos originando o acidente.
  • Origem Externa: quanto uma influência completamente alheia ao escopo do projeto é a causa que origina o acidente. A origem externa pode ser, por exemplo, uma catástrofe natural (terremoto, enchente, furacão, raios, meteoritos, etc) ou um ato hostil (sabotagem, queda intencional ou não intencional de aeronave, ataque militar, atentado terrorista, etc).  



No caso das consequências geradas por um meteoro que invade a atmosfera terrestre, ou um meteorito que atinge o solo terrestre, a classificação imediata é como um acidente de origem externa. Um exemplo clássico, similar, de acidente de origem externa é a descarga atmosférica ou raio. O Brasil é o país do mundo que possui a maior incidência de raios. Mesmo nos países onde os raios não acontecem com tanta frequência, ainda assim os danos causados por uma descarga atmosfera são considerados tão elevados que tornam obrigatório o uso de equipamentos de proteção como para-raios.

Também existem proteções contra terremotos, maremotos, furacão mas estas são incluídas nos projetos quando a frequência destes eventos as justificam. Na realidade a decisão sobre incluir um sistema de proteção contra um tipo de acidente de origem externa irá depender da conjugação de dois fatores principais: a frequência de ocorrência do evento e as suas possíveis consequências.


Utilizando ferramentas de análises de riscos, os especialistas primeiro identifcam os potenciais cenários e perigos que podem ocorrer ao longo da vida útil do projeto. Através de uma matriz de classificação de riscos os especialistas identificam aqueles perigos que ocorrem com grande frequência e/ou aqueles com consequências muito severas e catastróficas. Estes perigos e cenários, uma vez identificados, passam a ser estudados e os engenheiros projetam meios de proteção para reduzir suas consequências. O perigo propriamente dito muitas vezes é impossível de ser evitado, pois este pode ser de origem externa, estando fora do controle dos engenheiros e projetistas. Sistemas de segurança podem ser criados para reduzir as consequências catastróficas que estes perigos inevitáveis possam ocasionar em caso de acidente.



A freqência de acidentes com fatalidades, feridos, danos materiais e ambientais por eventos devido a meteoros e meteoritos é muito baixa. Embora possamos dizer que se um único objeto de origem espacial, com um tamanho significativo pode até destruir o planeta, a frequência desse evento é baixíssima considerando-se os padrões de análise atuais.

Outros fenômenos igualmente fora do controle do ser humano como descargas atmosféricas (raios), terremotos, maremotos, enchentes recebem tratamento mais rigoroso por parte da engenharia por causa de sua frequência significativa. Com relação aos meteoros e meteoritos, o fenômeno ocorrido em fevereiro de 2013 serviu para estabelecer mais um registro. O meteoro que atingiu a Rússia foi mais uma ocorrência para compor as estatísticas e lembrar que apesar da baixa frequência, dependendo do tamanho do objeto, as consequências podem ser inaceitáveis merecendo tratamento adequado por parte dos engenheiros gerenciadores de riscos.

Isso já acontece no caso de proteção contra terremoto nas usinas nucleares, mesmo em locais onde não haja frequência significativa deste tipo de fenômeno. Também podemos citar o caso das inúmeras medidas de segurança anti-terrorismo após a queda do World Trade Center em New York. O ato terrorista é um típico acidente de origem externa, embora não seja uma catástrofe natural. Assim também como os atos de sabotagem. Outro exemplo é o projeto estrutural de plataformas de petróleo que operam em alto mar. Elas são projetadas para resistir às chamadas ondas centenárias (as maiores possíveis em 100 anos). Usinas nucleares também são protegidas contra queda intencional ou não intencional de aeronaves. Mesmo os projetos de usinas nucleares datados de antes de 11 de setembro de 2001 já consideravam esse nível de proteção e para isso algumas usinas nucleares possuem uma contenção externa com cerca de 70 cm de concreto especial e mais outra contenção com 2,5 cm de espessura, de aço, para proteger as partes vitais de acidentes com liberação de material radioativo.

Evidentemente, cada proteção a mais representa custo e, muitas vezes, um custo inviável. Quanto aos riscos devidos a meteoros e meteoritos, o que a engenharia de gerenciamento de riscos tem a oferecer é a análise de todos estes fatores relacionados com a frequência e a severidade destes fenômenos naturais e assim tratar o tema dentro do realismo em termos de engenharia, viabilidade econômica e dados históricos. Na proximidade de ocorrência dos eventos acidentais envolvendo meteoros e meteoritos, a tendência natural é de se investir em estudos e em sistemas de proteções. Com o afastamento temporal das ocorrências destes fenômenos, a tendência é considerar as estatísticas, equilibrar os custos e benefícios e acima de tudo, considerar o fato inegável de que os riscos, ainda que com suas consequências bem tratadas, jamais estarão completamente eliminados de nenhuma atividade humana. Neste momento, quando recentemente ocorreu um impressionante evento acidental originado por um meteoro, muitas iniciativas e ideias poderão ser alvo de estudos e avaliações por parte das autoridades e especialistas. Mas a sustentação econômica de projetos de sistemas de proteção contra meteoros e meteoritos, bem como sua construção e montagem, precisarão resistir aos longos períodos sem acidentes desse tipo até serem efetivamente implementados.

Risk & Safety

Originally in Portuguese, by Gerardo Portela




Além das normas prescritivas, deveria ser exigido pelas autoridades que cada estabelecimento realizasse, na fase de projeto, dois estudos de específicos de engenharia segurança:
  • Análise Preliminar de Riscos APR - Técnica que identifica os perigos do local através de uma reunião prévia com a participação de pessoas que tenham experiência em trabalhar nesse tipo de local (gerente, atendente, segurança, técnicos de manutenção), além dos responsáveis pelo projeto e um engenheiro de segurança que conheça a técnica de APR.  O resultado será um relatório contendo uma lista com os potenciais perigos existentes na instalação.
  • Análise de Consequências – Com base no relatório da APR, esta técnica também reúne grupo de participantes similar para identificar os cenários acidentais relacionados com cada perigo citado no relatório da APR.  O resultado da análise de consequências é um outro relatório descrevendo as consequëncias e as contramedidas previstas para cada cenário acidental postulado.
Por exemplo: no caso das portas a legislação prescritiva de um determinado município pode estabelecer 2 portas. Porém com os estudos, os responsáveis pelo estabelecimento e seu projeto têm que comprovar que com apenas 2 portas um possível foco de incêndio jamais ficará entre uma pessoa e uma das saídas de emergência. Caso contrário, outras portas deverão ser incluídas no projeto, tantas quantas forem necessárias até não existir mais a condição de “fogo entre homem e porta”. Isso também se aplica aos extintores, corredores, sprinklers e todos os outros itens já requeridos pelas normas.


Deveria acontecer antes, durante e depois do evento e não somente fora do período de funcionamento do estabelecimento. Semelhantemente ao caso das “blitz da lei seca”, estes estabelecimentos deveriam receber a visita surpresa de fiscais momentos antes, momentos depois e principalmente durante um evento para avaliar as reais condições de funcionamento. Estas inspeções deveriam ocorrer com poder coercitivo de interromper/cancelar o evento além de aplicar as multas cabíveis.

É importante a fiscalização ser realizada durante o funcionamento do estabelecimento, preferivelmente fazendo-se valer do recurso “surpresa”. Para tal, deve haver apoio policial uma vez que o evento poderá ser interrompido necessitando força policial para organizar essa operação. A fiscalização apenas fora do momento do evento pode ser ineficaz uma vez que artifícios de bloqueio e disfarce de saídas de emergência podem ser preparados especificamente para o momento de realização dos eventos com a finalidade de facilitar o trabalho dos seguranças patrimoniais e o controle de pagamento.


·    Estabelecimento de um percentual do terreno como “área de escape” no entorno de todas as portas de acesso da edificação.  Estas áreas de escape precisam ter capacidade para comportar todas as pessoas que estejam no evento (lotação máxima).  Os cuidados dos seguranças patrimoniais para evitar a saída sem pagamento e tentativas de entrada indevidas nos eventos ("penetras") deveriam se restringir aos portões externos do estabelecimento.  Em outras palavras, boates estabelecimentos similares com uma grande concentração de pessoas devem ficar em centro de terreno de modo que as saídas de emergência possam permanecer totalmente disponíveis, sem nenhum tipo de controle que possa retardar a saída durante um sinistro.  Estas áreas de escape devem existir para cada saída de emergência e não podem conter os chamados "currais" e guarda corpos os quais podem dificultar a operação de escape e abandono.
  • Sistemas de escape e abandono projetados através de cálculo que permita a definição clara do tempo máximo para evacuação do estabelecimento. Apresentação de evidências objetivas de compatibilidade desse tempo com os resultados dos Estudos de Análise de Consequências. Resumo de segurança com apresentação continua ou em intervalos regulares através de telas/monitores de LCD posicionados e dedicados exclusivamente para esse fim durante todo o evento.
  • Rotas de fuga e portas de emergência continuamente sinalizadas com luzes indicativas mesmo em casos de falta de iluminação pública e com intensidade suficiente mesmo havendo fumaça, inclusive cenográfica.
  • Sistema de combate a incêndio (água e outros meios de combate e supressão) com reconhecimento automático de “fogo confirmado” através de detecção de fogo, fumaça e temperatura possuindo painel de controle externo que possa ser monitorado de fora do local do evento.  O sistema de aspersores de água (sprinklers) deve ser provido nas áreas em que não haja risco da água atingir equipamentos energizados. Estas redes de aspersores deve entrar em operação automaticamente por ação da variação de temperatura na região assistida por cada aspersor. Salas ou locais onde existam equipamentos essenciais, ou que concentram potência elétrica ou salas de moto geradores, devem ser assistidas por rede de aspersores com gases especiais para que o combate ao incêndio não danifique os equipamentos e amplie a extensão do incêndio

  • Sistema de VAC (ventilação e ar condicionado) com “dampers corta fogo” que impeçam a dispersão de gases entre ambientes e a alimentação do incêndio.  O sistema VAC, deve possuir um modo operacional em emergência que corte o insuflamento de ar nas áreas onde o incêndio está ocorrendo e bloqueiam a comunicação dos dutos de ventilação entre os ambiêntes de modo a evitar que a fumaça se espalhe.
  • Sistema de geração elétrica de emergência com autonomia para pelo menos 4 horas sem reabastecimento.
  • Barramento elétrico de emergência para atender cargas essenciais e de segurança como equipamentos do sistema de combate a incêndio.
  • Os materiais utilizados, não só no isolamento acústico mas também no isolamento térmico e no acabamento de arquitetura, devem ser auto extingüiveis e não podem produzir gases tóxicos quando sob calor intenso.
  • Os extintores de incêndio devem ser localizados e escolhidos conforme o tipo de incêndio em conformidade com as NRs (Normas Regulamentadoras do Ministério do Trabalho). É fundamental uma rotina de verificação da carga e dos cilindros dentro da frequência estabelecida pelas normas além da rotina interna de observação diária quanto a possíveis utilizações indevidas (vandalismo) que são comuns em locais como boates o que deixaria o local do extintor descarregado descoberto.
  • Todo local que concentra pessoas deve possuir um plano de escape e abandono elaborado por ENGENHEIRO especialista em segurança. Este plano deve considerar os possíveis cenários de emergência que poderão ocorrer durante a vida útil esperada das instalações. Essa identificação de cenários deve ser feita com base no relatório de Análise Preliminar de Riscos, conforme as boas práticas da engenharia de gerenciamento de riscos e segurança. Uma equipe de brigadistas treinados e certificados deve estar a postos durante todo o evento para facilitar o escape e abandono e combater o PRINCÍPIO de incêndio. Brigadas de incêndio locais não são recomendáveis para executar operação de combate a incêndio de grandes proporções sendo esta tarefa cabível ao Corpo de Bombeiros Militar. Os brigadistas locais devem se restringir à facilitação do escape e abandono e ao combate mínimo, com a finalidade de impedir que o PRINCÍPIO de incêndio alcance o nível de incêndio propriamente dito
Obs.:  Estes são apenas os itens principais e mais urgentes.

Desenvolvimento de um programa nacional de educação e cultura de segurança desde o ensino básico. Isso não significa a criação de nova disciplina mas a inclusão nas ementas das disciplinas existentes (estudos sociais, ciências, etc) instruções sobre prevenção de acidentes, incêndios e ações básicas em catástrofes naturais como enchentes, cuidados com eletricidade, produtos químicos inflamáveis e combustíveis, prevenção de acidentes com gás, comportamento coletivo em emergências e principalmente formando uma mentalidade observadora e crítica quanto a riscos e condições inseguras, combatendo a famosa expressão “vira essa boca pra lá” diante de alertas sobre riscos e perigos.

Participação dos meios de comunicação através da inserção de ações educativas e incentivadoras da cultura de segurança seja de forma diluída no próprio enredo dos programas como de forma explícita na programação e nos intervalos comerciais. Isso se aplica a cinema, teatro, televisão, rádio, sites de internet, impressos, literatura, outdoors, e todo o tipo de mídia.

Criação de cursos públicos de formação de brigadistas civis e comunitários com certificação e com baixo ou nenhum custo.  Criação de curso de segurança para síndicos e funcionários de condomínios, curso de inspeção de equipamentos de segurança, cursos de lay out e requisitos de rotas de fuga, todos disponibilizados para a sociedade.

Criação de uma certificação que classifique o nível de segurança dos estabelecimentos comerciais em níveis 1 (elevado), 2 (médio) ou 3 (mínimo) conforme o nível de proteção identificado no projeto e instalações quanto as estratégias e aos equipamentos de segurança.  Inclusão da exibição obrigatória de selo de certificação na entrada do estabelecimento.

As diferenças de normas são significativas principalmente quando consideramos outros países. Basicamente, para o ENGENHEIRO, o objetivo é evitar o acidente. Cumprir rigorosamente as normas não significa nenhuma garantia. Seguir regras e normas nacionais e internacionais é fazer o mínimo do mínimo. Para evitar acidentes é preciso muito mais do que uma postura legalista uma vez que depois do acidente ocorrido há sempre uma história a ser contada que serve de explicação e em alguns casos “justificativa” para os fatos ocorridos. É preciso desenvolver uma real CULTURA DE SEGURANÇA que resumidamente significa “atenção certa no tempo certo”. Sendo “atenção certa”, aquela ação prática que impede a sequencia de eventos que leva ao acidente. Enquanto o “tempo certo” significa agir ANTES do acidente acontecer.

Risk & Safety 

Originally in Portuguese, by Gerardo Portela 


1979 - Estados Unidos, Three Mile Island

1986 - Ucrânia, Chernobyl

2011 - Japão, Fukushima

Japão e Alemanha Rejeitam o Risco Nuclear

Desde a o início da operação de Usinas Nucleares, os três mais importantes acidentes aconteceram distribuídos dentro de um intervalo de mais de 30 anos.  Mesmo assim, alguns países como a Alemanha e o Japão estão recuando e desistindo de priorizar as centrais nucleares em sua matriz energética.

Quando se toma uma decisão pela a aceitação ou não de um risco, o primeiro item que deve ser analisado é se realmente o risco em questão é necessário.  Afinal, se o risco não é necessário, também não importa muito o seu valor e consequências, pois a melhor regra é não aceitá-lo e assumir apenas os riscos absolutamente indispensáveis, que já são muitos em todos os empreendimentos tecnológicos e demandam considerável gerenciamento técnico.

Antes de determinar o fim das atividades de centrais nucleares em seu território, a Alemanha já era um dos maiores detentores de tecnologia em projetos nesta área.  Suas usinas não estão relacionadas na lista dos grandes acidentes e nem os vários projetos alemães para usinas espalhadas pelo mundo.  Tecnologicamente os projetos alemães de centrais nucleares utilizam o que há de melhor em termos de segurança, com redundâncias de sistemas críticos, lógicas e intertravamentos sofisticados e proteção em profundidade que inclui até 6 camadas de segurança para proteger os maiores perigos para uma central nuclear.  Mesmo assim, a decisão foi de não aceitação do risco nuclear.

Outros países como a França e os Estados Unidos mantém e até ampliam seus programas de geração de energia por centrais nucleares.  A França inclusive assumiu parte das empresas alemães que detinham alta tecnologia na área de projetos de centrais nucleares.  A opção francesa é produzir energia nuclear e vendê-la inclusive para aqueles que desistiram ou recuaram nesta indústria.  Já os Estados Unidos, que passaram pela experiência de enfrentar um dos 3 maiores acidentes nucleares (Three Mile Island em 1979) chegou a demonstrar alguma hesitação nas décadas subsequentes ao acidente, mas retomou novos investimentos no desenvolvimento de usinas nucleares mais seguras e possui novos conceitos de projetos em andamento.

Central Nuclear de Three Mile Island - USA
Toda decisão sobre a aceitação ou não de um risco envolve uma parcela subjetiva, associada a imprevisibilidade em que tudo acontece na natureza.  Mesmo com as análises quantitativas e qualitativas de risco, os dados estatísticos e os modelos matemáticos que permitem variados tipos de simulações sobre a segurança dos empreendimentos tecnológicos, a decisão final incluirá sempre uma parcela de subjetividade por conta do fato que risco zero absoluto não existe, e por menor que seja o valor do risco calculado, se aceito assume-se também as consequências advindas dessa decisão caso essa pequena possibilidade se torne realidade em forma de acidente.

Isso serve para qualquer análise de risco.  A diferença é que as consequências de um acidente nuclear tem se mostrado inaceitáveis logo após cada um dos 3 grandes acidentes registrados na indústria nuclear (Three Mile Island, Chernobyl e Fukushima).  Os projetos e operações seguem com o firme conceito de que os números das análises quantitativas de risco estão corretos.  Mesmo havendo em teoria alguma possibilidade de acidente (calculada como remotíssima), quando as autoridades e a sociedade aceitam o risco nuclear acreditam de forma subjetiva e sem base matemática que essa possibilidade remotíssima jamais irá virar realidade.  Aí está o ingrediente de subjetividade sempre presente em aceitação ou não de riscos.

Central Nuclear de Chernobyl - Ucrânia
A sociedade japonesa, tecnológica e com alto nível de educação, sempre entendeu a necessidade de conviver com os riscos de centrais nucleares.  Acostumada com as adversidades impostas pela natureza, enfrentar catástrofes com respostas de engenharia e tecnologia faz parte da cultura japonesa.  Depois do acidente na central nuclear de Fukushima tanto as autoridades, como a população e até mesmo as empresas responsáveis parecem reconhecer que talvez seja melhor o recuo.  O acidente que aconteceu recentemente superou todos os cenários previstos nas análises quantitativas de risco, mostrando que os cenários postulados como possíveis de gerar um acidente foram subestimados ainda na fase de projeto.  Diante das consequências do acidente (algumas ainda imprevisíveis), percebe-se que irão impactar o Japão e o Planeta por longo tempo .  A sociedade japonesa tem manifestado o anseio pelo “risco zero” em relação à segurança nuclear, como já aconteceu na Suécia e na Alemanha que optaram por encerrar suas atividades nessa área.  Apresentamos a seguir 3 dos principais pontos decorrentes do acidente de Fukushima que levam a reflexão sobre a necessidade de “risco zero” em relação à segurança nuclear:

1 - Acidentes de Origem Externa (Terremoto, Maremoto e Terrorismo)

Centrais nucleares, inclusive as nossas em Angra, são projetadas para os chamados acidentes de origem externa que são identificados tecnicamente pela sigla em alemão “EVA” (Einwirkungen von außen).  Em Angra por exemplo, existem as seguintes premissas de proteção contra terremotos:
  • Proteção Contra Terremoto de Projeto: Terremoto de máxima intensidade que ocorreu no passado, dentro de uma área em torno com raio máximo de aproximadamente 50 km
  • Proteção Contra Terremoto de Segurança:  Terremoto de máxima intensidade que possa vir a ocorrer considerando-se uma área em com raio máximo de aproximadamente 200 km.
  • Efeito Combinado:  Terremoto de segurança acrescido de onda de choque causada pela explosão de vaso de pressão convencional  integrante da usina em consequência do terremoto de segurança
A central de Angra possui ainda redundâncias de fontes de água de refrigeração e proteção contra maremoto, atos terroristas e até queda de aeronave sobre a central.  Apesar de se tratar de um projeto mais antigo, Fukushima também foi projetada para acidentes do tipo EVA, mas não resistiu ao terremoto de março de 2011 conforme esperado.  Três podem ter sido as causas:
  •  Os cálculos sobre os fenômenos naturais podem ter sido subestimados
  • As instalações podem ter sido construídas abaixo do nível de dimensionamento projetado
  • A gestão ou manutenção não foi adequada degradando as camadas de defesa
Independente de qual destas tenha sido a causa, qualquer delas demonstra a vulnerabilidade da segurança nuclear e levanta a suspeita de que os resultados teoricamente precisos das análises quantitativas de risco chegaram a números muito inferiores do que os riscos reais, o que sugere o questionamento destas técnicas de cálculo e projeto.

Explosão na Central de Fukushima - Japão


2 - Acidentes com Perda de Refrigerante (Liberação de Radioatividade)

Centrais nucleares são projetas com até 6 camadas de segurança para proteger o ambiente externo de acidentes com a liberação de radioatividade por perda de refrigerante do reator. 

Estes acidentes são os mais temidos pelos projetistas de centrais nucleares e são conhecidos pela sigla em inglês “LOCA” (Loss-of-Coolant Accident).  Por serem tão fundamentais para a segurança de um projeto de central nuclear, o LOCA também é chamado de “acidente básico de projeto”.  É o acidente para o qual todo o projeto é direcionado para evitá-lo.  Outros acidentes também podem gerar a liberação indesejável de radioatividade para o meio ambiente, mas o que estabelece maior risco e maior quantidade de radioatividade liberada em curto espaço de tempo é o LOCA.

Em Fukushima, mesmo com as camadas de proteção e contenção, as dificuldades de disponibilidade de energia para manter o núcleo refrigerado resultaram no aumento de pressão no vaso do reator e finalmente o acidente de LOCA.  É surpreendente para toda a comunidade nuclear, que mesmo tendo havido um terremoto e um tsuname de grandes proporções, uma central nuclear tenha se degradado a esse nível.  Afinal a grande “propaganda” da segurança nuclear é a de trabalhar assegurando a proteção mesmo nos cenários mais extremos como catástrofes naturais.  Foram poucas as vezes no mundo em que a engenharia nuclear foi submetida a uma prova real de sua eficiência como aconteceu em Fukushima.  Infelizmente para a sociedade japonesa, boa parte das autoridades e comunidade técnica, a segurança nuclear foi reprovada no evento real para o qual foi projetada.

Manifestações contra Centrais Nucleares - Japão

3 - Efeitos da Contaminação e Radioatividade

Muitos que defendem as vantagens da opção por geração termonuclear destacam que as centrais nucleares causam menor impacto ambiental do que as usinas térmicas e hidroelétricas.  Em defesa das centrais nucleares, estas muitas vezes são identificadas como uma opção para a geração de “energia limpa” já que não queimam combustíveis fósseis.  Esta é uma verdade, ou parte dela pois tecnicamente a afirmação correta deveria acrescentar mais uma palavra:  “energia lima de carbono”.

As centrais nucleares geram os rejeitos convencionais de qualquer instalações industriais como lixo industrial, sucata, efluentes líquidos e gasosos.  Até mesmo emissões decorrentes da queima de combustível fóssil são normais em centrais nucleares devido aos subsistemas como os de geração de emergência que utilizam grandes geradores que queimam óleo diesel.  Mas quando comparadas com as usinas termoelétricas convencionais, a emissão de gases resultantes da queima de combustível fóssil realmente é muito inferior nas centrais nucleares.

O problema é que usinas nucleares possuem para cada um destes tipos de rejeito, convencional outro similar porém contaminado por radioatividade.  Assim, além dos rejeitos convencionais que são produzidos com menor impacto ambiental do que por outras tecnologias, as centrais nucleares a cada ciclo geram efluentes líquidos radioativos, gasosos radioativos, lixo industrial radioativo, sucata radioativa, etc.  Isso sem contar com o próprio elemento combustível queimado que possui produtos de fissão radiotivos com meia vida de até 45 mil anos que sequer existem na natureza.

Para todo esse rejeito, a engenharia nuclear forneceu uma resposta senão definitiva pelo menos gerenciável.  As usinas gastam elevadas somas para tratar e encapsular rejeito radioativo e depois estocá-lo indefinidamente pois até o momento a ciência e a tecnologia não possuem uma solução para o processamento definitivo de rejeito radioativo.  A quantidade de rejeito radioativo que é produzida, tratada, estocada e gerenciada pelas centrais nucleares já demanda grandes preocupações para a comunidade técnica e sociedade em geral.

Acrescentando-se ao problema do rejeito nuclear ao longo da vida operacional das centrais, os efeitos de uma desastrosa liberação de radioatividade decorrente de acidentes como o da central de Fukushima elevam os riscos e consequências  para níveis tecnicamente ingerenciáveis.  A sociedade, as autoridades e principalmente as populações mais próximas de usinas acidentadas como aconteceu no Japão, despertam para o fato que o “risco zero” deveria ser adotado em relação ao verdadeiro terror que é o impacto de acidentes dessa ordem sobre a sociedade.  Os efeitos de acidentes desse porte alteram o background de radioatividade do planeta, ou seja, estações de medição em todo o mundo registram os efeitos da pluma radioativa de acidentes desse tipo, seja no mar, na atmosfera, alimentos e nas pessoas sob a forma de incidência de doenças como o câncer.

Diante do realismo dos fatos, mesmo a sociedade japonesa com elevado nível de cultura científica e adaptados ao mundo tecnológico, demonstram reconhecer os limites da natureza que devem ser respeitados.  Agora o Japão clama pelo desligamento das centrais nucleares em todo o país.  Busca novas opções para sua matriz energética tão dependente e limitada.  

Talvez seja necessário reconhecer que a ciência e a tecnologia ainda não estão totalmente preparadas caso centrais nucleares sofram acidentes dessa gravidade, mesmo que raros.  O conceito de “risco zero” de acidente nuclear se reforça.  E “risco zero” significa em termos práticos a não aceitação de risco, ou seja, a não aceitação de centrais nucleares.  Se isso ainda não foi viabilizado no Japão, o mais provável é a falta de opção imediata.  Para os países que possuem opções alternativas para suas matrizes energéticas como o Brasil, Alemanha e Suécia o “risco zero” é viável e depende da parcela de subjetividade sempre presente em toda decisão por aceitação ou não de um risco.



Risk & Safety 
Originally in Portuguese, by Gerardo Portela

Naufrágios Habitam o Inconsciente Coletivo

100 anos se passaram e fica a certeza de que grandes naufrágios habitam o inconsciente coletivo reforçando imagens universais que existem desde os tempos mais remotos.

O desafio de navegar é tão antigo que nem é possível precisar como e quando exatamente o homem iniciou sua jornada pelas águas.  Mas é fácil reconhecer que a simples visão da imensidão do mar desperta sentimentos desafiadores.  Vários fatores formam a idéia de desafio associada à navegação, seja a natural vontade de ver além do horizonte,  o medo do desconhecido, a possibilidade de que algo melhor possa estar do outro lado das águas, a possibilidade do isolamento, da solidão em alto mar, a energia e o poder das ondas e tempestades, a presença de baleias, tubarões, cardumes.  Alguns relatos históricos chegam a imaginar cidades e civilizações subaquáticas, tesouros perdidos e monstros assustadores. 

Navegadores vislumbram conquistas e temem derrotas, buscam sucesso e temem o fracasso, confiam no porto seguro e temem o naufrágio, sempre encontrando nas águas o pano de fundo para a busca da superação.

O mar e os céus talvez sejam os maiores desafios explícitos e objetivos para a curiosidade humana.  Não precisam de palavras nem de uma cultura específica para serem compreendidos como tal.  Simplesmente apontam para nossos limites, tanto para os limites físicos como os do conhecimento.

Se observarmos o dia a dia, tais sentimentos fazerm parte de diversas situações nas vidas das pessoas e o desafio das águas apenas nos coloca frente a frente, de forma objetiva com uma realidade que se repete incessantemente a cada momento:  nossas limitações.
Acidentes aéreos e naufrágios parecem causar sentimentos especiais sobre as pessoas. 

Muitas vezes, acidentes rodoviários e ferroviários causam um número de fatalidades superior mas parecem não exercer o mesmo poder de chamar a atenção, despertar o interesse, nem de gerar tanto questionamento.

Talvez seja mais fácil entender e aceitar que uma composição de vagões possa descarrilhar e perder o rumo do que um navio naufragar ou um avião cair.  Não há nada de lógico nisso mas há muitos sentimentos coletivos que ampliam a magnitude de alguns tipos de acidentes. 

Teoricamente deveria ser o contrário, pois os céus e o mar são habitats naturais para outras espécies e nossa presença lá obviamente seria “menos natural” e os acidentes menos surpreendentes.  Não é  isso que acontece.  Especialmente o mar, por ser um desafio perseguido por séculos por nossos antepassados, parece gerar no inconsciente coletivo uma reação diferenciada quanto aos acidentes navais, nos atingindo em relação a nossa real capacidade de superação de limites. Pode haver no inconsciente coletivo qualquer coisa de “ponto de honra abalado" que diminua nossa autoconfiança na tecnologia quando um naufrágio acontece.

A repercussão do naufrágio do Titanic
que até hoje não foi esquecido

Qual a importância disso para o Gerenciamento de Risco ?

É muito importante para os gestores entender que estes aspectos subjetivos ou “arquétipos” [1] que compõem a parte submersa do “Iceberg da Cultura de Segurança”

Justamente aquela parte que fica oculta onde residem os fatores mais importantes para que as pessoas, organizações e sociedades tomem decisões sobre a aceitação ou não de determinado risco.

Acidentes aéreos e naufrágios simbolizam um questionamento sobre a sensatez de desafiarmos os limites além de nosso habitat natural.  Esse questionamento é registrado e guardado pelas pessoas como parte de sua experiência e entendimento.  Esse conjunto subjetivo exerce grande influência na aceitação de riscos de cada pessoa ao longo da vida, sejam os pessoais como os profissionais.  Talvez os naufrágios tenham um peso ainda maior do que os acidentes aéreos pois existem desde a antiguidade, incomodando e construindo o inconsciente coletivo das pessoas há mais tempo, em relação à aceitação ou não de riscos.

Titanic e Costa Concórdia são um exemplo da importância dessa influência.  O Titanic transformou-se de símbolo de capacidade tecnológica em símbolo de fracasso tecnológico em apenas uma noite, 15 de abril de 1912 quando naufragou com mais de 1500 vítimas fatais.  Hoje em dia, praticamente em todo o planeta o nome Titanic significa “algo que deu muito errado”.  O desastre do Titanic tem muitas versões fantásticas que complementam as evidencias objetivas e históricas, mas estas versões não devem ser totalmente desprezadas porque de fato fazem parte do “Iceberg da Cultura de Segurança” e portanto influenciam também na predisposição das pessoas em aceitar ou rejeitar riscos, mesmo que todos saibam que tais versões não sejam verdadeiras.  Quando citamos o modelo do “Iceberg da Cultura de Segurança”, lá na origem desta ilustração tavez esteja também incluída a informação registrada no inconsciente coletivo de que icebergs ocultam riscos e afundam navios.

Já o naufrágio do Costa Concórdia, ocorreu quase exatamente 100 anos depois, em 13 de janeiro de 2012, justamente quando o emblemático naufrágio do Titanic está sendo mais relembrado.  O naufrágio do Titanic não foi o maior e mais dramático da história e muitos outros desastres de mesmas e até maiores proporções ocorreram nesses 100 anos (Kichemaru, The Empress of Ireland, Montblanc, Wilhelm Gustloff, Estônia e muitos outros) mas nenhum ficou tão registrado no inconsciente coletivo das pessoas como o Titanic.  O número de vítimas fatais do Costa Concórdia foi de 32 pessoas, mas a repercussão e o impacto do acidente no inconsciente coletivo somou-se aos efeitos dos 100 anos de influência exercida pelo Titanic.  Uma série de questionamentos sobre a navegação foram levantados, em especial sobre os aspectos de segurança offshore.

A cobertura da operação de resgate no Costa Concórdia
foi transmitida ao vivo para todo o mundo

A seguir apresentaremos uma comparação sobre alguns dos principais aspectos relacionados com os dois acidentes onde é possível encontrar semelhanças e diferenças que irão também continuar a alimentar o inconsciente coletivo das pessoas por muito tempo:


Tanto o Titanic como o Costa Concórdia incluem como uma das razões para os naufrágios uma falha dos seus Capitães.  No caso do Titanic o Capitão é acusado de não dar a devida atenção ao alerta sobre a presença de icebergs na rota, enquanto que o Capitão do Costa Concórdia está sendo acusado de se desviar da rota e navegar em região não compatível com o calado do transatlântico


Em ambos os acidentes há indícios de que houve falta de liderança e organização no momento de tomar a decisão de abandono do navio.  No caso do Titanic os relatos conduzem a uma figura do Capitão em estado de choque, sem reação, enquanto que no Costa Concórdia existe a suposição do Capitão ter retardado decisões fundamentais perdendo a janela de tempo de tomada de decisão pelo abandono da embarcação.


Muitos pensam que essa é uma norma ou regra de segurança offshore, mas não é verdade.  Em alguns países esse conceito de permanência está ofcializado nas regras, em outros não.  É fato que esta é uma das expectativas das pessoas, que o Capitão seja o último a abandonar o navio.  No caso do Titanic o Capitão não sobreviveu e isso preservou esse paradigma de permanência do Capitão até o fim.   Não podemos afirmar com exatidão se isso ocorreu conscientemente ou pelas circunstâncias, mas o paradigma foi mantido. Já no caso do Costa Concórdia, o Capitão abandonou a embarcação antes da operação de abandono ter sido encerrada, como se fosse uma pessoa a mais a tentar sobreviver (e não era ?).  Ele, mesmo que não fosse obrigado por normas a ser especificamente o último a sair, era o responsável principal pela operação de escape e abandono e aparentemente não cumpriu sua obrigação.  A mais forte influência sobre o inconsciente coletivo das pessoas sobre o acidente, é que o Capitão não cumpriu seu “script”, ou seja, a história que tem sido narrada há um século sobre o que aconteceu com o Titanic incluía o personagem do Capitão que permaneceu no navio e afundou com ele, pagando inclusive pelos seus possíveis erros, mas essa parte da história do Titanic não foi bem desempenhada pelo Capitão do Costa Concórdia.  A história do Titanic é muito famosa, conhecida e talvez esperada  de ser repetida por aqueles que conscientemente ou não, comparam os dois acidentes.


No caso do Titanic não tiveram uma participação muito relevante, exceto quanto aos alertas sobre a presença de icebergs na rota, os quais foram ignorados pelo Capitão o que se tornou uma das causas diretas do acidente.  Mas no acidente com o Costa Concórdia a autoridade marítima da Capitania dos Portos teve uma papel de destaque.  Ao contactar o Capitão do Costa Concórdia e ser informado por ele que o abandono estava em andamento e que ele, o próprio Capitão estaria já fora do navio sendo resgatado para terra, a autoridade da Capitania dos Portos se indignou e proferiu ordens carregadas de emoção e energia tentando convencer o Capitão a retomar para cumprir sua missão.  Isso conquistou a opinião pública e alguns passaram a considerar a autoridade da Capitania dos Portos um verdadeiro herói, mesmo não tendo em nenhum momento retirado os seus pés de terra firme. 

Analisando o episódio sob a perspectiva puramente técnica, a autoridade da Capitania dos Portos demonstrou estar tão despreparado quanto o Capitão do Costa Concórdia para a emergência.  A autoridade em terra deveria sim tentar mostrar ao Capitão o equívoco que estava cometendo ao deixar o comando da operação de abandono, mas o compromisso maior da Capitania dos Portos deveria ser salvar as vidas das pessoas no local do acidente.  Ou seja, se a autoridade da Capitania dos Portos estivesse realmente bem preparada iria identificar que o Capitão não tinha naquele momento capacidade técnica, emocional ou comportamental para exercer suas obrigações e por isso a Capitania dos Portos deveria estabelecer uma nova liderança imediatamente.  Deveria por exemplo, ele próprio, ao invés de agir emocionalmente querendo fazer o Capitão trabalhar na base do grito, assumir o comando da operação de abandono, e se necessário ir ao mar com os recursos da Capitania dos Portos, uma vez que o navio estava muito próximo à costa.  A condenação, as sanções tanto administrativas como criminais aplicáveis ao Capitão deveriam ser foco das atenções num segundo momento, e não em meio ao resgate de centenas de pessoas sem comando e sem liderança sendo realizado durante a noite no mar.


O naufrágio do Titanic ocorreu em alto mar com temperaturas fatais para a sobrevivência na água.  Já o Costa Concórdia sofreu avaria numa região muito próxima ao litoral, podemos dizer privilegiada em termos de recursos de resgate.  Isso foi decisivo para fazer a diferença no número de sobreviventes nos dois acidentes.


O número de embarcações de salvamento do Titanic era inferior ao número de passageiros.  Não havia lugares nas embarcações de salvamento para todos.  Tais equipamentos eram extremamente limitados e com muitos problemas técnicos principalmente quanto aos meios de lançamento ao mar (turcos).  Na época a regulamentação técnica vinculava o peso do navio com o número de embarcações de salvamento obrigatórias.  Engenheiros alertaram a empresa responsável pelo Titanic dos problemas, tanto dos turcos de lançamento quanto da quantidade de embarcações, mas a empresa optou por cumprir as regras de segurança vigentes e incluiu apenas 16 embarcações de salvamento no Titanic, suficiente para atender apenas 33% das pessoas a bordo.  É preciso ir muito além do cumprimento de regras e normas para se alcançar a segurança.  Depois do acidente, uma reformulação completa das normas de segurança marítmia ocorreu.  Foi criado o SOLAS (International Convention for the Safety of Life at Sea) que estabeleceu regras muito mais consistentes sobre equipamentos de sobrevivência em situações de emergências marítimas.  Estas regras promoveram uma evolução das embarcações de salvamento, dos turcos e demais equipamentos de segurança ao longo destes 100 anos pós Titanic.  Um século depois, o Costa Concórdia era equipado com embarcações de salvamento e turcos de última geração e em quantidade suficiente para atender pelo menos 125% da quantidade de passageiros e tripulantes.  O problema mais crítico é que tais embarcações só podem ser lançadas até uma inclinação máxima do navio e essa inclinação é atingida após uma janela de tempo desde o início do acidente.  O Capitão sempre deve avaliar a situação e iniciar o abandono dentro da janela de tempo disponível para lançamento das embarcações de salvamento, antes que se torne impossível a operação de abandono, como aconteceu no Costa Concórdia.  Outro aspecto importante é lançar as embarcações de salvamento totalmente lotadas.  Se as primeiras embarcações forem lançadas com lugares vazios, no final poderá faltar lugares para as pessoas nas últimas embarcações a serem lançadas.  Isso aconteceu no Titanic.

As embarcações de salvamento do Costa Concórdia eram
de última geração, mas a maioria não pôde ser utilizada
porque o atraso no lançamento ao mar levou o navio a um
ângulo onde isso seria tecnicamente impossível


Em ambos os acidentes há críticas ao posicionamento das empresas responsáveis pelos navios.  No caso do Titanic as acusações são de ordens para seguir viagem a todo custo e o estabelecimento de um ambiente de euforia e excesso de auto confiança.  Já com relação ao Costa Concórdia as acusações são de se querer fazer propaganda do navio fazendo-o navegar por regiões incompatíveis com sua classe e porte.  Certamente grande parte da parcela de responsabilidade por ambos os acidentes pode ser atribuída com justiça às empresas responsáveis por ambos os navios.  Mas alguns dos produtores e diretores de filmes sobre o Titanic em Hollywood, quando indagados sobre algumas acusações até então desconhecidas contra a empresa responsável pelo Titanic as quais foram incluídas nas últimas versões do cinema, responderam que mesmo não havendo base no histórico do acidente, tais possibilidades são pisicologicamente tão interessantes tanto para quem conta como para quem assiste a narrativa do acidente, que eles como produtores e diretores  de Hollywood não poderiam deixar de cair na tentação de incluí-las, mesmo com certa dose de irresponsabilidade em relação à fidelidade histórica.  Mais uma ampliação dos efeitos do naufrágio sobre o inconsciente coletivo das pessoas.


O naufrágio do Titanic teve imensa repercussão em sua época e continua tendo mesmo 100 anos depois.  Houve uma completa reformulação das regras de segurança depois do acidente que na realidade foi o início de um processo de evolução da segurança marítima.  Apesar de ter aconcecido há mais de um século atrás, o Titanic está fortemente presente na mídia principalmente por cerca de 8 filmes de longametragem com versões de sua história.  Já o impacto do naufrágio do Costa Concórdia foi ampliado pelo fato do acidente ter ocorrido muito próximo da costa, com acesso fácil dos veículos de comunicação de massa, em local de grande interesse turístico.  Um outro fator que colaborou para a repercussão do acidente foi justamente a analogia imediata com o mais famoso naufrágio do mundo, Titanic.  Ambos com passageiros desfrutando do luxo e sofisticação dos melhores transatlânticos de sua época.  Ambos com personagens e atores executando seus “scripts”.  Ambos associáveis a dúvida de cada pessoa sobre a capacidade humana de superação dos limites naturais.

A principal lição dos naufrágios é que temos limites em relação à natureza e nunca devemos subestimá-los.  Isso é tão forte que faz parte de nosso inconsciente coletivo.  E serve não apenas para navios, mas para qualquer empreendimento tecnológico que o homem pretenda fazer.


Editora Abril - Entrevista Especialista
Vídeo - Engenheiro Comenta Acidente do Costa Concórdia
Video - Resgate no Costa Concórdia, Especialista Comenta
Video - Procedimentos durante Escape e Abandono de Navio de Cruzeiro

[1] Carl Gustav Jung, psiquatra suiço e fundador da psicologia analítica


Risk & Safety 

Originally in Portuguese, by Gerardo Portela

Falha na Interação do Conjunto Tripulação x Aeronave

e Cultura de Segurança Equivocada

Fizeram a Catástrofe

Espera-se mais da segurança de aviões do que de outros equipamentos ?  A falha de um  instrumento básico de indicação de velocidade pode parecer muito mais complicada do que realmente é quando este equipamento faz parte de uma aeronave.  As pessoas tem cristalizado em sua cultura geral que tudo numa aeronave é complexo, sofisticado e difícil  de ser operado.  Quando se fala em comandar uma aeronave, a imagem do cockpit cheia de indicações, relógios, botões vem logo a mente e faz com que as pessoas acreditem que as atividades dos profissionais na cabine de um aviáo sejam para "super homens".

Essa percepção é irreal, pois toda aquela complexidade foi projetada e testada para ser operada por pessoas normais.  Aliás quanto mais normal, melhor será o operador.  Visão normal, audição normal, coordenação normal, racicínio lógico normal, etc etc são os fatores relevantes do perfil de um bom operador ou piloto.  O perfil dos melhores operadores e pilotos é muito mais um conjunto de normalidades equilibradas e confiáveis do que uma lista de super habilidades atípicas e imprevisíveis.

O pesquisador britânico da área de Fatores Humanos James Reason[1], abordou o tema sob três perspectivas:  psicológica comportamental, cognitiva (informação) e natural (orgânica).  Segundo Reason, pela abordagem natural do erro humano, a memória primária do homem é a responsável pela percepção imediata.  Mas a quantidade de itens memorizáveis depende se houver ou não a associação entre esses itens.  O limite na quantidade de itens memorizáveis pela memória primária sem associação entre si (ou seja, sem confundí-los), segundo James Reason, é de no máximo sete itens.  Por isso em geral as salas de controle de usinas nucleares, cockpits de aeronaves e outras estações de controle, são projetadas para requerer o gerenciamento máximo de 6 informações simultâneas e diretas durante uma emergência (funções críticas de segurança).  Um sétimo canal de informação fica em aberto para a comunicação externa.  Pelo menos essa seria a condição correta a ser definida em projetos de salas de controle e cockpits.

Há uma grande confusão entre as dificuldades do longo caminho de preparação e estudo até que uma pessoa possa trabalhar num cockpit de aeronave, e as atividades que são demandadas no comando ou pilotagem de uma aeronave.  O estudo e preparação exigem muita dedicação, persistência e habilidades que podem sim parecer tarefa de “super homem”, mas pilotar ou comandar uma aeronave deve necessariamente ser uma atividade natural e tranquila para aqueles que realmente chegaram até o cockpit de comando devidamente preparados.  Se ficam confusos, nervosos ao ponto de perderem os canais de percepção então ou não foram preparados para a função, ou a aeronave foi mal projetada, ou ambos.  Considerando isso, pilotar um avião ou dirigir um automóvel pode exigir demandas congnitivas e motoras semelhantes e responsabilidades iguais sobre vidas humanas.

Poderíamos então perguntar:  se o velocímetro do seu carro quebrasse no meio de uma viagem, isso seria motivo justificável para você bater num poste ou cair num precipício matando todos os passageiros ?  Guardadas as proporções técnicas, em termos de gerenciamento de riscos e segurança, aconteceu algo bem semelhante em junho de 2009 com os 228 passageiros do vôo AF 447 que decolou do Rio de Janeiro com destino a Paris.
Entenda a comparação:  Suponha que o seu carro tivesse um piloto automático que permitisse que você ficasse sentado, na frente do volante, assistindo toda a evolução do veículo pelo trajeto.  Por alguma razão o velocímetro parasse de funcionar e o computador que controlasse o piloto automático simplesmente o desligasse por falta de informação sobre a velocidade.  Neste momento, você que é motorista e está na frente ao volante, deveria assumir o controle do mesmo bem como do acelerador e do freio passando a conduzír o carro manualmente, sem o uso do piloto automático.  Se a falta do velocímetro causasse maiores complicações, você poderia fazer uma parada interrompendo a viagem para corrigir as falhas do equipamento.  Caso contrário, mesmo sem o velocímetro e sem ferir o código de trânsito, você como motorista conduziria o carro até seu destino final, talvez com um pouco mais de trabalho, mas em segurança.

O que aconteceu no cockpit do voo AF 447 foi uma demonstração de despreparo técnico da tripulação, resultado de uma Cultura de Segurança equivocada capaz de gerar projetos “hi-tech” mas que subestimam a importância do elemento humano na tomada final de decisões em emergências.

Tubo de Pitot, inventado no século XVIII

O tubo de pitot, um instrumento de medição de velocidade bastante conhecido inventado no século XVIII congelou enquanto a aeronave atravessava uma tempestade sobre o Atlântico.  O tubo de pitot, é um instrumento relativamente simples que mede a velocidade da aeronave através da comparação de pressões decorrentes do deslocamento de ar e depende que pequenos furos do instrumento estejam desobstruídos para que funcione perfeitamente.  Em geral, as aeronaves possuem mais de um instrumento como esse,  justamente para o caso de haver falha.  Além disso tais instrumentos são mantidos aquecidos por sistemas auxiliares justamente para evitar o congelamento.  Lamentavelmente algo falhou e o tubo de pitot congelou bloqueando os orifícios e impedindo a medição de velocidade.  Trata-se de um equipamento muito conhecido, e praticamente todos os engenheiros mecânicos construíram um protótipo de tubo de pitot durante sua formação acadêmica nas aulas de laboratório de mecânica dos fluidos.  Mas mesmo assim, o equipamento falhou.  Mas apenas isso não seria suficiente para derrubar a aeronave.  Há inclusive outros meios de se obter a velocidade, mas manter a aeronave em condições mínimas para manutenção do vôo não depende exclusivamente do tubo de pitot.

Os sofisticados sistemas de automação que tem se proliferado em nossos tempos desde os eletrodomésticos em nossas casas até as aeronaves, dependem de um volume de dados coletados por uma rede de instrumentação, que inclue por exemplo no caso do Airbus 330 o tubo de pitot.  Estes dados são tratados por sistemas lógicos complexos e reduzem a demanda congnitiva daqueles que são responsáveis pelo controle do equipamento (pilotos).  Mas isso não significa que tais operadores, ou no caso, os pilotos possam abrir mão do conhecimento técnico necessário para conduzir o equipamento em situações de emergência, onde o ingrediente “imprevisibilidade” sempre está presente.  Para lidar com a “imprevisilidade”, sempre presente nas emergências, nada melhor e mais sofisticado do que o cérebro humano bem preparado, capaz de medir consequências, considerar aspectos subjetivos e imprevisíveis o que coloca os computadores em um patamar de inferioridade.

AF 447 deixou 228 mortos em junho de 2009

AF 447, Sem Automatismo e Sem Piloto

No voo AF 447 o automatismo no comando da aeronave parou de funcionar por falta de dados sobre a velocidade devido a falha do tubo de pitot.   Os pilotos atualmente passam a maior parte do tempo supervisionando o voo e não de fato pilotando.  Os treinamentos também consideram essa realidade gerada pela cada vez maior sofisticação dos sistemas de automação e não prepara suficientemente a tripulação para situações em que, durante uma emergência eles tenham que pilotar a aeronave.  Trata-se de um problema de cultura de segurança.  Determinadas culturas de segurança, “encantadas” com a inteligência contida nos sofisticados sistemas de automação, acabam por considerar a capacidade humana inferior ao que de fato é, o que é uma falha grave.  Mais que isso, os defensores desse grau de automação exagerada que de certa forma minimiza a capacidade da intervenção humana, na realidade supervalorizam o seu próprio trabalho teórico de elaboração e projeto destes sistemas.

A inteligência fascina,  os sistemas extremamente automatizados formam uma espécie de "registro de inteligência", e encantados com suas próprias obras primas de automação os fenômenos físicos, químicos bem como a imprevisibilidade da natureza são subestimados por alguns projetistas.  Há uma ilusão de que os sistemas extremamente automatizados estejam preparados para quase tudo e sejam mais seguros.  É apenas uma ilusão, talvez uma vaidade técnica.  O que os acidentes ensinam é que a simplicidade é amiga da segurança.

Pelos registros da caixa preta e conclusões do relatório final elaborado pelo Escritório de Investigações e de Análises (BEA) da Aviação Civil da França, quando o problema aconteceu a tribuplação do voo AF 447 ficou muito mais preocupada em tentar recuperar a automação da aeronave do que propriamente em assumir as ações de vôo manual e manter as condições mínimas de controle necessárias para manter as condições de voo.  Isso pode indicar a possibilidade de “medo de pilotar”, ou "medo de operar" -  comportamento típico de operadores que se afastam das atividades de rotina em decorrência de excessiva automação em suas tarefas.  Desatentos em relação á visão do “todo” e com o comandante mais experiente ausente da cabine, poucos segundos de confusão foram suficientes para selar o destino de um voo previsto para cerca de 10 horas.  Voos de longa duração como esses, na rotina dos atuais pilotos talvez se constituam de cerca de 9 horas de supervisão e uma hora de “real pilotagem”.

Uma sucessão de erros de pilotagem básica e a total incapacidade de entender o cenário fizeram com que os Fatores Humanos se alinhassem a uma cultura de segurança pobre desde o projeto, e assim fosse construída uma catástrofe.

O que fazer para evitar novas catástrofes como AF 447 ?

Depois que uma catástrofe acontece, encontrar inúmeras falhas associadas ao evento não parece tarefa difícil.  Principalmente quando elas recaem especificamente sobre aqueles que além de responsáveis, também foram vítimas.

De uma forma ou de outra, todo o acidente tem alguma relação com uma falha humana.  Mesmo que um eixo ou chapa estrutural da fuzelagem se rompesse, pelo menos um erro humano relacionado com a manutenção, gestão ou projeto original teria sido cometido.  Portanto todo acidente envolve erro humano.  O pior é que o erro humano é mesmo inevitável, pela natureza bem conhecida dos seres humanos.  A solução de gerenciamento de riscos que permite a elevação da segurança é reduzir ao máximo os fatores que possam propiciar o erro humano, para que quando este venha a acontecer não chegue a provocar uma catástrofe como aconteceu com o AF 447.

Indo mais além, é preciso desenvolver uma cultura de segurança onde os projetos de automação tenham limites de complexidade, uma vez que a segurança é mais “amiga” da simplicidade do que do conforto.  O excesso de automação. além de gerar vulnerabilidades operacionais, pode afastar os operadores e pilotos do entendimento cotidiano dos fenômenos físicos, químicos que estão envolvidos em suas atividades técnicas.  O mais importante para a segurança é agir conscientemente, entendendo o fenômeno e por conseguinte o cenário de cada instante da operação e do voo.  A partir do momento em que os operadores e pilotos concentram sua capacidade cognitiva em entender “sistemas de automação”, alguma coisa está errada pois não é essa sua atividade fim.  É bom lembrar que se existe uma automação ela foi construída com base na experiência anterior de pilotos que puderam fornecer parâmetros e informações para a construção das lógicas destes sistemas.  Ou seja, a automação e os procedimentos operacionais reúnem o que se acredita ser o melhor do conhecimento acumulado sobre aquela atividade, mas não pode garantir 100% de solução para tudo que possa acontecer na realidade operacional.  A atividade fim de um piloto ou operador de qualquer máquina ou instalação, é insubstituível e indispensável, além de sempre estar acima da importância da atuação de qualquer máquina.  Investir na sensibilidade do operador em relação aos fenômenos com os quais lida, é investir em segurança.

Uma lição aprendida fica deste acidente para a segurança de todos os empreendimentos tecnológicos.  Níveis de automação devem ter limites.  O cérebro humano bem treinado ainda é o melhor, mais sofisticado e eficiente equipamento para gerenciar crises em emergências.  Estes são conceitos fundamentais que precisam ser enfatizados e incluídos na cultura de segurança adotada nos empreendimentos tecnológicos.  Afinal, com o grau de evolução tecnológica de nossos tempos, os recursos de automação sempre oferecerão mais um passo em direção ã substituição do homem pela máquina.  Não apenas em aeronaves, mas nas indústrias, usinas nucleares, e até em cirurgias através do uso de robos capazes de realizar cirurgias mesmo à distância.  Não há nada de errado em toda essa tecnologia, mas caso os robos e computadores parem de fazer seu trabalho conforme projetado durante um vôo ou cirurgia, o cirurgião, por exemplo, deve estar preparado para enfrentar a proximidade com o pacientte, seus orgãos e seu sangue já que estes são os componentes que jamais deixarão de fazer parte de sua atividade fim.

[1] REASON, J.  Human Error.  Cambridge University Press, 2003. 302p.


Risk & Safety

Originally in English, by Gerardo Portela

Piper Alpha Disaster

The Worst Accident of the Offshore Industry

Although several other accidents such as Deepwater Horizon (USA), and P-36 (Brazil), no accident of the offshore industry has caused more deaths than Piper Alpha. The disaster was caused by a succession of failures. There was also a poor safety culture, which aggravated the consequences of the accident. But the investigation concluded that the main cause of the high number of fatalities was the failure of the strategies and means of escape and abandonment. All the people who survived, had to disobey the original procedures. The Piper Alpha disaster has become a landmark in the history of offshore safety and many changes have occurred in the projects after the accident.

A study about Piper Alpha accident was presented at the "Seminar of the Biggest Fires in History" in The California State University, San Jose CA - USA. The seminar 
 was coordinated by Professor David Krack and included studies on the major fires of history and is part of the post graduate degree in safety engineering of the Charles W. Davidson College of Engineering, .

Here is a part of this study, which summarizes the Piper Alpha accident in 8 steps and also includes a summary of "lessons learned" from this tragedy:


This platform, located in the North Sea approximately 110 miles from Aberdeen, Scotland, had 226 people on board at the time of the event, 165 of whom perished (in addition, two emergency response personnel died during a rescue attempt). The platform was totally destroyed.


The disaster began with a routine maintenance procedure. On the morning of the 6th of July 1988, a certain backup propane condensate pump in the processing area needed to have its pressure safety valve checked. The work could not be completed by 6 pm and the workers asked for, and received permission to leave the rest of the work until the next day.


Later in the evening during the next work shift, the primary condensate pump failed. None of those present were aware that a vital part of the machine had been removed and decided to start the backup pump. Gas products escaped from the hole left by the valve.


Gas audibly leaked out at high pressure, ignited and exploded, blowing through the firewalls. The fire spread through the damaged firewalls, destroyed some oil lines and soon large quantities of stored oil were burning out of control. The automatic deluge system, which was designed to spray water on such a fire in order to contain it or put it out, was never activated because it had been turned off.


About twenty minutes after the initial explosion, at 10:20 pm, the fire had spread and become hot enough to weaken and then burst the gas risers from the other platforms. These were steel pipes of a diameter from 24 to 36 inches, containing flammable gas products at two thousand pounds per square inch of pressure. When these risers burst, the resulting jet of fuel dramatically increased the size of the fire.


The accommodations were not smoke-proofed, and the lack of training that caused people to repeatedly open and shut doors only worsened the problem. Conditions got so bad in the accommodations area that some people realized that the only way to survive would be to escape the station immediately.


They, however, found that all routes to lifeboats were blocked by smoke and flames, and in the lack of any other instructions, they made the jump into the sea hoping to be rescued by boat. Sixty-two men were saved in this fashion; most of the other 167 who died suffocated on carbon monoxide and fumes in the accommodations area.


The generation and utilities module, which included the fireproofed accommodation block, slipped into the sea. The largest part of the platform followed it.  The whole accident took place in 22 minutes.

Lessons Learned

Regulatory Control of Offshore Installations

The accident was instrumental in bringing about the Offshore Installations (Safety Case) Regulations.
A safety case is a written document in which a company must demonstrate that an effective safety management system (SMS) is in place on a particular offshore installation. The implementation of this was handed over to the HSE in 1991.

Adherence to Permit-to-Work System

This was a system of paperwork designed to promote communication between all parties affected by any maintenance procedure done on the platform. The system on Piper Alpha had become too relaxed. Employees relied on too many informal communications and communication between shift changes was lacking. If the system had been implemented properly, the initial gas leak never would have occurred.

Quality of safety management is critical

The Cullen report on Piper Alpha was highly critical of the management system in the company. Managers had minimal qualifications, which led to poor practices and ineffective audits.

Disabling of protective equipment by explosion

The firewalls on Piper Alpha could have stopped the spread of a fire. They were, however, not built to withstand an explosion. The initial blast blew the firewalls down, and the subsequent fire spread unimpeded

Need for safety training

The workers on the platform were not adequately trained in emergency procedures, and management was not trained to make up the gap and provide good leadership during a crisis situation.

Auditing is vital

The Company had regular safety audits of its facilities but they were not performed well. Few, if any, problems were ever brought up, even though there were serious issues with corrosion of deluge system pipes and heads and many other issues. When a major problem was found, it was sometimes just ignored.

Proper isolation of plant for maintenance

The disaster would not have occurred if the pump where work was being done had been positively isolated. Isolation is not achieved by shutting a valve but requires means such as insertion of a slip plate or removal of a pipe section.

Limit inventory on installation and in pipelines

The large inventory of the pipelines connected to the platform fed the fire. Despite technical problems, it should be a design objective to reduce the amount of hydrocarbons.

Emergency Shutdown Valves

Proper location of emergency shutdown valves and backup valves are essential to cutting off fuel supply in case of a fire; above water positioning provides testing accessibility for vigilant maintenance.

Fire and explosion protection

Protection against and mitigation of fire and explosion as well as fire fighting are of particular importance as there is no possibility to rely on outside assistance, such as the fire brigade.

Temporary Safe Refuge (TSR)

TSR on each installation should have a breathable atmosphere through prevention of smoke ingress and provision of fire protection; escape routes and embarkation points should be determined through safety cases. Prevention of smoke ingress into TSR is available through smoke and gas detectors that initiate smoke dampers and prevent circulation of smoke throughout the TSR

Evacuation and Escape

More than one route to helicopters and lifeboats must be present at any given time to ensure evacuation of the platform in a crisis situation. To facilitate escape from a hazardous situation, luminescent strips and heat shielding provide visibility in smoke and protection from flames, respectively. Secondary escapes such as ropes, ladders, and nets are also available as backup for the more sophisticated escape methods

Use of wind tunnel tests and explosion simulations in design

Wind tunnels are useful to assess the effectiveness of the ventilation and the gas detection system. The explosion simulations help investigate the effect of different layouts on explosion overpressures and assess the effectiveness of blast walls.

Memorial to the Disaster Hazlehead Park, Aberdeen


1) Lees’ Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control, ed. Mannan, S., 3rd edition, Elsevier Butterworth-Heinemann, 2005.
2) Learning from accidents, Kletz, T., 3rd edition, Gulf Professional Publishing, 2001.
3) The Public Inquiry into the Piper Alpha Disaster, Cullen, The Honourable Lord, HM Stationery Office, 1990.
4) Building Process Safety Culture, CCPS, New York, NY, 2005

Nenhum comentário:

Postar um comentário

Seu comentário é bem-vindo ! Obrigado por sua participação.