Como aplicar Bow-Tie em barreiras críticas em 8 etapas

Bow-Tie é um método visual para ligar ameaças, evento crítico, consequências e barreiras de controle em uma única leitura operacional. Em SST, ele é mais útil quando deixa de ser desenho de sala e vira rotina de verificação: cada barreira crítica precisa ter dono, padrão mínimo, frequência de teste, evidência e critério de parada.

A Organização Internacional do Trabalho reporta 2,93 milhões de mortes relacionadas ao trabalho por ano e 395 milhões de lesões ocupacionais não fatais. Esses números explicam por que empresas que lidam com SIF não podem depender apenas de matriz 5x5, porque severidade alta exige leitura de barreiras, não só pontuação de probabilidade.

Este guia F2 foi escrito para gerentes de SST, engenheiros de segurança e líderes operacionais que precisam aplicar Bow-Tie em 30 dias sem criar um painel bonito e inútil. A tese é prática: Bow-Tie funciona quando obriga a empresa a provar, em campo, que as barreiras críticas existem e continuam eficazes.

Esse raciocínio se conecta ao controle de interfaces críticas no PGR, porque muitos riscos graves nascem no intervalo entre operação, manutenção, logística, contratadas e SSMA.

O que você precisa antes de começar

Antes de aplicar Bow-Tie, escolha 1 cenário com potencial de SIF, reúna 5 pessoas que conhecem o trabalho real e separe evidências do PGR, APR, AST, Permissão de Trabalho, investigações e quase-acidentes dos últimos 12 meses. O objetivo não é mapear todos os riscos da empresa, mas transformar 1 risco crítico em decisão verificável.

Comece por cenários como queda de altura, liberação de energia perigosa, incêndio em trabalho a quente, atropelamento interno, entrada em espaço confinado, içamento de carga, exposição química aguda ou aprisionamento em máquina. Se o cenário não puder gerar fatalidade ou lesão grave, talvez outro método seja suficiente.

Como Andreza Araujo defende em Sorte ou Capacidade, não se trata de assumir riscos, e sim de administrá-los com método. No acervo de gestão de riscos, a posição dela é direta: risco identificado se elimina ou controla; não fazer nada não é uma opção.

Etapa 1: escolha o evento crítico certo

O evento crítico é a perda de controle que separa ameaça de consequência, como queda da pessoa, liberação de energia, ignição, tombamento, vazamento tóxico ou entrada não autorizada em zona de risco. Escolha 1 evento que possa ser descrito em até 12 palavras e que tenha consequência grave plausível, porque evento amplo demais vira debate abstrato.

Evite começar por palavras genéricas, como acidente, incidente, falha ou descumprimento. Elas não mostram o que precisa ser controlado. Em trabalho a quente, por exemplo, o evento crítico pode ser ignição de atmosfera inflamável, enquanto a consequência pode ser explosão, queimadura grave ou fatalidade.

A escolha melhora quando se conecta ao histórico. Se a empresa já teve 3 quase-acidentes de empilhadeira em 90 dias, o evento crítico pode ser atropelamento de pedestre em rota compartilhada. Esse recorte conversa com o artigo sobre controles críticos antes do SIF, porque o Bow-Tie precisa apontar para barreiras que merecem medição recorrente.

Etapa 2: liste ameaças que podem disparar o evento

Ameaças são condições ou ações capazes de empurrar o sistema até o evento crítico, e um Bow-Tie útil costuma começar com 4 a 8 ameaças bem descritas. Para atropelamento interno, ameaças podem incluir rota compartilhada, ponto cego, velocidade acima de 10 km/h, carga obstruindo visão, pedestre fora da faixa e iluminação deficiente.

Use linguagem de campo, não rótulo de auditoria. Ameaça boa permite que o supervisor reconheça a situação durante a ronda. Ameaça ruim parece categoria administrativa, como comportamento inadequado ou falta de atenção, porque empurra a análise para culpa individual e não para condição controlável.

Em 25+ anos liderando EHS em multinacionais, Andreza Araujo observa que a ameaça mais perigosa costuma ser a que virou normal. Quando a equipe responde que sempre fez assim, a normalização do desvio já entrou no Bow-Tie antes mesmo da primeira linha ser desenhada, embora ninguém a chame de ameaça.

Etapa 3: separe barreiras preventivas de barreiras mitigatórias

Barreiras preventivas reduzem a chance de o evento crítico acontecer, enquanto barreiras mitigatórias reduzem a gravidade depois que a perda de controle ocorreu. Essa separação é decisiva porque uma empresa pode ter 9 respostas emergenciais e nenhuma barreira forte antes do evento, ficando preparada para reagir, mas fraca para prevenir.

Para energia perigosa, bloqueio individual, teste de energia zero e segregação física são preventivos. Plano de emergência, primeiros socorros e comunicação de crise são mitigatórios. Ambos importam, mas não cumprem a mesma função, e misturar tudo em uma lista única esconde buracos relevantes.

A OSHA orienta selecionar controles conforme uma hierarquia que prioriza eliminação, substituição e controles de engenharia antes de práticas administrativas e EPI. Essa lógica ajuda a testar a qualidade do lado preventivo do Bow-Tie, porque barreira que depende só de memória humana costuma ser frágil em tarefa crítica.

Etapa 4: defina o padrão mínimo de cada barreira

Cada barreira crítica precisa de um padrão mínimo de funcionamento, com critério objetivo para dizer se está íntegra ou falhou. Sem padrão, a barreira vira promessa. Para uma proteção física, o padrão pode ser presença, integridade, intertravamento ativo e teste funcional mensal; para uma PT, pode ser análise específica do dia, assinatura em campo e critério de parada explícito.

Defina o padrão em 3 campos: condição esperada, evidência aceitável e falha que obriga parada. Uma barreira de isolamento de pedestres, por exemplo, não está íntegra se a corrente foi removida, se a pintura apagou ou se a rota alternativa força o trabalhador a cortar caminho.

Andreza Araujo argumenta em Cultura de Segurança que risco identificado se elimina ou controla. O padrão mínimo materializa essa frase, porque transforma uma intenção de controle em condição verificável, cuja ausência pode ser vista antes da exposição. Para aprofundar a etapa, o guia sobre barreiras preventivas no PGR mostra como registrar controles sem deixá-los soltos no inventário.

Etapa 5: nomeie dono, frequência e evidência de verificação

Uma barreira crítica sem dono deixa de ser controle e vira expectativa coletiva. Para cada barreira, defina 1 responsável primário, 1 frequência de verificação e 1 evidência aceita, como foto datada, checklist funcional, teste de parada, medição, registro de inspeção ou recusa formal de tarefa.

Evite dono genérico, como área de manutenção ou operação. Escreva cargo e rotina: supervisor do turno A verifica antes da partida; técnico de manutenção testa intertravamento toda segunda-feira; gerente de planta revisa barreiras vencidas no comitê mensal. Se ninguém tem agenda para olhar, ninguém é dono.

A ISO apresenta a ISO 31000:2018 como diretriz para identificar, analisar, avaliar, tratar, monitorar e comunicar riscos. No Bow-Tie, monitorar significa transformar cada barreira em evidência periódica, uma vez que declarar o controle no PGR não prova funcionamento.

Etapa 6: teste a barreira no trabalho real

Testar a barreira no trabalho real significa verificar se ela funciona durante a tarefa, com pessoas, pressão, tempo, interferências e variações reais. Um Bow-Tie revisado em sala pode parecer completo, mas falhar em 15 minutos de campo quando a rota está bloqueada, o detector está sem calibração ou o supervisor não sabe qual critério encerra a PT.

Faça uma verificação curta em 3 turnos ou 3 frentes de serviço. Pergunte ao executante qual barreira impede o evento crítico, observe se a barreira está disponível e peça demonstração quando o controle exigir ação. Se a resposta depender de improviso, reclassifique a barreira como fraca.

Em mais de 250 empresas atendidas pela Andreza Araujo, um padrão recorrente é descobrir que a barreira descrita no procedimento não existe exatamente assim no campo. Essa diferença entre trabalho do papel e trabalho real é onde o Bow-Tie deixa de ser desenho e vira instrumento de liderança, conforme a supervisão começa a decidir com base em evidência.

Etapa 7: defina gatilhos de parada antes da exposição

Gatilho de parada é a condição objetiva que impede a tarefa de começar ou obriga interrupção imediata, como detector vencido, bloqueio incompleto, ausência de vigia, proteção removida, vento acima do limite definido ou rota de pedestres invadida por empilhadeira. Um Bow-Tie sem gatilho de parada descreve risco, mas não governa a decisão.

Escreva pelo menos 3 gatilhos para cada evento crítico de alto potencial. Eles precisam caber no briefing de início de turno e na PT. O operador, o supervisor e o técnico de SST devem reconhecer o mesmo limite, porque limite ambíguo vira negociação sob pressão.

Esse ponto se conecta à análise pré-tarefa em 9 controles. A APR ou AST deve carregar os gatilhos do Bow-Tie para a conversa antes da tarefa, caso contrário o mapa fica preso no sistema e não chega à decisão que protege.

Etapa 8: revise o Bow-Tie em 30, 60 e 90 dias

A revisão em 30, 60 e 90 dias confirma se o Bow-Tie mudou a rotina ou apenas produziu um arquivo. Em 30 dias, verifique existência das barreiras; em 60 dias, meça falhas e ações corretivas; em 90 dias, cruze os dados com quase-acidentes, recusas de tarefa e inspeções de controles críticos.

Use 5 indicadores: percentual de barreiras verificadas no prazo, número de barreiras vencidas, falhas repetidas por barreira, gatilhos de parada acionados e quase-acidentes vinculados ao evento crítico. Se todos os indicadores ficam verdes desde o primeiro mês, desconfie da qualidade da medição.

A HSE recomenda revisar avaliações de risco quando mudanças no trabalho puderem introduzir novos perigos ou quando as medidas existentes deixarem de ser adequadas. No Bow-Tie, mudança de processo, layout, equipe, matéria-prima ou meta de produção deve reabrir a análise antes que o risco volte disfarçado.

Checklist final para aplicar Bow-Tie em 30 dias

Um ciclo de 30 dias deve entregar 1 Bow-Tie vivo, 1 lista de barreiras críticas, donos nomeados, evidências de campo e gatilhos de parada aplicáveis. O valor do método não está no desenho, mas na capacidade de mudar supervisão, PT, APR, PGR e rotina de manutenção antes que um SIF exponha o buraco.

• Escolha 1 evento crítico com potencial de fatalidade ou lesão grave.
• Liste 4 a 8 ameaças em linguagem observável de campo.
• Separe barreiras preventivas e mitigatórias em lados diferentes do Bow-Tie.
• Defina padrão mínimo, evidência aceita e falha que obriga parada.
• Nomeie 1 dono, 1 frequência e 1 registro para cada barreira crítica.
• Teste barreiras em 3 turnos ou 3 frentes antes de validar o desenho.
• Inclua pelo menos 3 gatilhos de parada na PT, APR ou AST.
• Revise em 30, 60 e 90 dias com indicadores leading.

Conclusão

Aplicar Bow-Tie em barreiras críticas exige 8 etapas: escolher o evento crítico, listar ameaças, separar prevenção de mitigação, definir padrão mínimo, nomear donos, testar no trabalho real, criar gatilhos de parada e revisar em 30, 60 e 90 dias. Quando esse ciclo entra na rotina, o PGR deixa de ser inventário e passa a governar decisões de risco.

Se uma barreira crítica não tem dono, frequência, evidência e gatilho de parada, ela ainda não é barreira; é uma expectativa otimista registrada no papel.

A ISO 45001 especifica requisitos de planejamento, operação, avaliação de desempenho e melhoria em sistemas de gestão de SST. Para aplicar essa lógica com a visão da Andreza Araujo, conecte o Bow-Tie ao mapeamento de fatores contribuintes e use o Diagnóstico de Cultura de Segurança para testar se as barreiras continuam vivas quando ninguém está olhando.

O Bow-Tie mostra barreiras, mas a decisão de liberar depende da avaliação do risco residual após testar controles preventivos e mitigatórios.

No Bow-Tie, a barreira mitigatória explicada em 7 controles fica depois do evento central e precisa ser testada por tempo de resposta, dono e evidência de prontidão.

Para liberação de campo, o What If no canteiro pode anteceder análises mais estruturadas, convertendo cenários imediatos em controles para APR e PT.