Como aplicar LOPA em risco crítico em 7 etapas

LOPA, ou análise de camadas de proteção, é um método semiquantitativo para decidir se um cenário de risco crítico tem barreiras independentes suficientes antes da exposição. Em vez de aceitar uma matriz vermelha com plano genérico, a equipe descreve 1 evento iniciador, estima frequência, escolhe camadas preventivas e mitigatórias, calcula a redução esperada e decide se ainda precisa de novo controle.

Este guia F2 foi escrito para gerente de SSMA, engenheiro de segurança, facilitador de APR e supervisor que precisam avaliar SIF, incêndio, explosão, liberação química, aprisionamento, choque elétrico ou perda de contenção. A tese é direta: risco crítico não deve ser aprovado porque a planilha ficou amarela; deve ser aprovado quando as camadas independentes explicam por que o pior cenário ficou tolerável e quando o PSSR antes da partida confirma que essas barreiras chegaram ao campo.

A OIT informa que 2,93 milhões de trabalhadores morrem a cada ano por fatores relacionados ao trabalho e 395 milhões sofrem lesões ocupacionais não fatais. Esses números tornam a LOPA uma conversa sobre suficiência de barreira, não sobre sofisticação técnica. Como Andreza Araujo defende em Sorte ou Capacidade, risco não se assume como bravata; risco se administra com método.

O que você precisa antes de começar

Antes de aplicar LOPA em risco crítico, reúna 6 insumos: cenário perigoso, evento iniciador, consequência máxima, frequência estimada, lista de camadas existentes e critério de risco tolerável definido pela empresa. A primeira sentença da reunião deve nomear o dano, porque LOPA sem consequência clara vira exercício matemático. A ISO 31000 especifica princípios, estrutura e processo para gerir riscos em organizações de qualquer porte, atividade ou setor; a LOPA entra como aprofundamento quando a decisão exige mais que uma matriz simples.

Use a LOPA em cenários com potencial de SIF, perda material grave, interrupção operacional relevante ou exposição fora do controle rotineiro. Ela não substitui APR, Bow-Tie, HAZOP ou PGR; ela ajuda a decidir se as camadas que já aparecem nesses métodos são independentes e suficientes. Quando a equipe ainda não tem cenário bem escrito, comece por cenários de exposição no PGR antes de quantificar qualquer coisa.

O erro comum é levar para LOPA todo risco operacional. Reserve o método para 5 a 10 cenários críticos por área, porque a qualidade da análise cai quando a organização tenta transformar cada desvio em cálculo. Em 25+ anos liderando EHS em multinacionais, Andreza Araujo observa que maturidade não aparece na quantidade de planilhas, mas na coragem de aprofundar os poucos riscos que podem matar.

Etapa 1: escreva o cenário em 1 frase verificável

O cenário de LOPA precisa caber em 1 frase com causa, evento perigoso e consequência máxima, como vazamento de gás inflamável durante transferência que gera explosão e fatalidade. Essa frase deve separar perigo, evento iniciador e dano, porque misturar os 3 elementos impede calcular frequência e escolher camada. Se a equipe não concorda com a frase em até 10 minutos, a análise ainda está no nível de percepção, não de decisão.

O recorte que muda na prática é abandonar títulos vagos, como risco de incêndio, e escrever o caminho causal. Uma indústria química de 320 empregados pode ter dezenas de cenários de incêndio, mas apenas alguns combinam inventário inflamável, fonte de ignição, presença humana e barreira fraca. A LOPA só funciona quando esse caminho fica explícito.

Como Andreza Araujo sustenta no acervo de gestão de riscos, risco identificado se elimina ou controla; não fazer nada não é uma opção. Essa posição obriga a equipe a tratar o cenário escrito como decisão de campo, não como registro para auditoria. Quando o cenário envolver tarefa crítica antes da liberação, conecte a análise ao pré-mortem de tarefa crítica.

Etapa 2: defina o evento iniciador e sua frequência

O evento iniciador é a primeira falha mensurável que coloca o cenário em movimento, e sua frequência deve ser estimada em base anual ou por número de demandas. Pode ser falha de válvula, erro de transferência, perda de energia, bypass de intertravamento, rompimento de mangueira, entrada indevida em zona segregada ou liberação de energia residual. Use histórico interno de 3 a 5 anos quando existir; sem dado interno, documente a hipótese e trate a estimativa como conservadora.

A HSE orienta empregadores a fazer avaliação adequada e suficiente dos riscos para empregados e outras pessoas afetadas. Na LOPA, adequada e suficiente significa que a frequência não pode nascer de palpite confortável. Ela precisa vir de manutenção, alarmes, quase-acidentes, falhas funcionais, inspeções, desvios de PT ou registros de parada.

O erro comum é escolher a frequência depois de olhar o resultado desejado. Se a equipe quer provar que o risco já está tolerável, a frequência cai artificialmente. Para evitar esse viés, registre a base antes de discutir camadas. Use o artigo sobre barreira degradada no PGR quando o histórico mostrar que uma proteção existe no papel, mas falha repetidamente no campo.

Etapa 3: liste camadas independentes de proteção

Uma camada de proteção só entra na LOPA quando é específica, independente, auditável e capaz de reduzir a probabilidade ou a consequência do cenário. Exemplos incluem controle de engenharia, intertravamento, válvula de alívio, contenção secundária, detector com ação automática, bloqueio físico, segregação robusta, procedimento crítico verificado ou resposta de emergência treinada. EPI raramente deve ser tratado como camada principal em SIF, porque depende da pessoa exposta estar no lugar certo, no tempo certo e usando tudo corretamente.

A OSHA recomenda selecionar controles segundo uma hierarquia que privilegia eliminação, substituição e soluções de engenharia antes de práticas administrativas e EPI. Essa ordem protege a LOPA contra a tentação de somar camadas fracas, como treinamento anual, assinatura de procedimento e cartaz, como se fossem independentes.

Em 100 Objeções de Segurança, Andreza Araujo sustenta que EPI é linha de defesa secundária, porque reduz dano residual, mas não elimina a energia perigosa. A LOPA traduz essa posição em critério técnico. Se 4 camadas dependem da mesma atenção do operador, elas não são 4 camadas; são 1 dependência humana repetida com nomes diferentes.

Etapa 4: atribua fator de redução sem inflar barreira

O fator de redução de risco indica quanto uma camada diminui a chance do cenário, mas deve ser usado com prudência, rastreabilidade e revisão técnica. Em uma LOPA operacional, uma camada fraca não ganha fator alto porque parece importante; ela ganha fator quando sua função, teste, independência e disponibilidade foram demonstrados. Comece com ordens simples, como 10, 100 ou 1.000 apenas quando a empresa tiver base técnica para sustentar o número.

O que a maioria das análises apressadas ignora é a dependência comum. Um detector, um alarme e uma ação do operador podem parecer 3 camadas, embora todos dependam de energia elétrica, calibração, sala de controle, treinamento e tempo de resposta. Se a mesma falha derruba as 3 camadas, a redução foi inflada.

Use um quadro com 4 perguntas por camada: qual função executa, como é testada, de que outra camada depende e qual falha a torna indisponível. Quando não houver resposta objetiva, reduza o crédito ou retire a camada. A conversa deve se conectar à prontidão de barreiras críticas, porque barreira não testada vira esperança com nome técnico.

Etapa 5: calcule o risco residual e decida suficiência

O risco residual na LOPA nasce da frequência do evento iniciador dividida pelos fatores de redução válidos e comparada ao critério de tolerabilidade da empresa. Se um evento iniciador estimado em 1 vez a cada 10 anos recebe 2 camadas independentes com fator 10 cada, a frequência residual estimada cai para 1 vez a cada 1.000 anos, desde que as camadas sejam reais, independentes e mantidas. O número não é previsão; é critério de decisão.

A Fundacentro registrou que o GRO da NR-01 envolve identificar perigos, avaliar e classificar riscos, implementar medidas de prevenção, acompanhar controles e consultar trabalhadores. A LOPA aprofunda esse ciclo quando a classificação simples não basta para decidir se uma camada adicional é necessária.

A posição da Andreza Araujo em Sorte ou Capacidade ajuda a evitar uma armadilha: resultado numérico bonito não autoriza descuido com o trabalho real. Se a camada depende de inspeção mensal e a área acumula 18 inspeções vencidas, o risco residual calculado está melhor que o risco residual vivido. Nesse caso, a decisão correta é revisar disponibilidade, não comemorar o número.

Etapa 6: transforme lacunas em plano de ação com dono

A saída da LOPA deve ser um plano de ação com dono, prazo, evidência e critério de verificação para cada lacuna de camada. Se o cálculo mostra que o risco residual ainda excede o critério, a resposta não deve ser reforçar atenção; deve ser criar, fortalecer ou substituir uma camada. Em cenários críticos, a ação precisa mudar engenharia, automação, isolamento, segregação, detecção, resposta ou autoridade de parada.

Use 3 horizontes: contenção imediata em 24 horas, controle provisório em até 30 dias e solução definitiva em 60 a 180 dias, conforme complexidade. Esse desenho impede que a empresa aceite controle temporário como paisagem permanente. Quando a solução exigir fase intermediária, conecte ao roteiro de controle temporário no PGR.

Em mais de 250 empresas atendidas, Andreza Araujo identifica que planos de ação fracos repetem 3 respostas: treinar, comunicar e orientar. A LOPA deveria reduzir esse automatismo, porque mostra qual camada faltou e por que uma ação administrativa não compensa uma barreira de engenharia ausente.

Etapa 7: revise a LOPA em campo e em mudança

A LOPA precisa ser revisada quando muda processo, matéria-prima, equipe, taxa de produção, manutenção, automação, leiaute, contratada, histórico de falha ou requisito legal. Uma análise feita em 2026 pode perder validade em poucos meses se a camada crítica foi desativada, se o sensor saiu da rotina de calibração ou se a tarefa passou para turno noturno. Defina revisão anual para cenários estáveis e revisão imediata para mudança material.

A ISO 31000 descreve a família 31000 como apoio à gestão de risco para resiliência econômica, reputação profissional e resultados de segurança e ambientais. No chão de fábrica, essa lógica só aparece quando a LOPA conversa com MOC, PGR, auditoria de barreiras e indicadores leading.

Durante a passagem pela PepsiCo LatAm, onde a taxa de acidentes caiu 86%, Andreza Araujo consolidou uma lição aplicável aqui: redução consistente depende de rotina de liderança, não de documento brilhante. Revise a LOPA com fotos de campo, testes de barreira, falhas reais e conversa com executantes, porque a camada que ninguém consegue mostrar já começou a desaparecer.

Comparação: matriz de risco frente à LOPA

Matriz de risco e LOPA não competem; elas respondem a perguntas diferentes dentro do PGR. A matriz prioriza muitos riscos com rapidez, enquanto a LOPA aprofunda poucos cenários críticos para testar suficiência de camadas. Em uma rotina madura, a matriz indica onde olhar primeiro, e a LOPA decide se o controle existente explica, com evidência, por que o SIF ficou menos provável.

Se a matriz já mostra risco alto e a equipe discute apenas cor, a LOPA pode destravar a decisão. Se a LOPA encontra camada insuficiente, a resposta volta ao PGR como plano de ação, orçamento, prazo e verificação de eficácia.

Conclusão

Aplicar LOPA em risco crítico em 7 etapas torna o PGR mais decisório porque obriga a equipe a escrever cenário, estimar evento iniciador, testar camadas independentes, atribuir fator de redução, calcular risco residual, criar ação com dono e revisar quando o campo muda. O ganho não está no cálculo isolado, mas na disciplina de provar que as camadas reduzem exposição antes que a tarefa comece.

Cada cenário de SIF aprovado apenas por matriz colorida deixa a empresa dependente de sorte, porque 1 cor verde não prova que 2 camadas independentes estejam prontas no campo.

Para aprofundar a tese, use Sorte ou Capacidade como leitura de base e conecte a LOPA ao Diagnóstico de Cultura de Segurança da Andreza Araujo. Quando risco crítico envolve fatalidade, incêndio, explosão ou perda de contenção, a pergunta madura deixa de ser se o risco cabe na matriz e passa a ser quais camadas impedem o dano.