HAZOP vs FMEA vs What If: 7 decisões no PGR

A pergunta correta não é qual método de análise de risco é melhor. A pergunta correta é qual decisão o PGR precisa sustentar: revisar um processo contínuo, priorizar modos de falha de um equipamento ou abrir uma conversa rápida antes de uma mudança operacional.

Em 25+ anos liderando EHS em multinacionais, Andreza Araujo observa que muitas empresas escolhem ferramenta por tradição interna, não por adequação ao risco. O resultado costuma ser uma reunião longa, uma matriz bonita e pouco efeito sobre as barreiras que realmente impedem SIF.

A tese deste comparativo é simples: HAZOP vence quando o processo é complexo e contínuo; FMEA vence quando a pergunta central está no modo de falha de componente, equipamento ou etapa; What If vence quando a organização precisa levantar cenários rapidamente antes de uma decisão de campo. O erro é tratar os 3 como substitutos perfeitos.

Critérios de avaliação para escolher o método

Um bom método para o PGR precisa ser escolhido por 7 critérios: tipo de processo, maturidade dos dados, tempo disponível, criticidade do risco, participação de trabalhadores, qualidade das barreiras e facilidade de transformar análise em plano de ação. Sem esses critérios, a empresa escolhe por hábito e depois descobre que a ferramenta não respondia à pergunta certa.

A HSE reporta que a gestão de riscos no trabalho deve partir de uma avaliação adequada e suficiente dos perigos, das pessoas expostas e das medidas de controle. Esse princípio parece básico, mas muda a escolha do método: uma análise adequada para uma planta química de 24 horas pode ser excessiva para uma mudança simples de layout, enquanto uma análise rápida pode ser fraca demais para uma linha pressurizada.

Use estes 7 critérios antes de convocar a reunião: 1) processo contínuo ou tarefa discreta; 2) risco crítico ou risco rotineiro; 3) dados históricos disponíveis ou baixa memória operacional; 4) tempo de preparação de 2 horas, 1 dia ou 1 semana; 5) necessidade de cálculo semiquantitativo; 6) exigência de participação de operação e manutenção; 7) capacidade real de fechar ações em até 30 dias. A escolha deve nascer dessa leitura, não do nome mais conhecido.

O melhor sinal de maturidade é a capacidade de dizer não ao método favorito. Se a equipe precisa de 12 participantes, 3 mapas de processo e 1 semana de preparação para responder a uma dúvida que caberia em 45 minutos, há desperdício técnico. Se tenta resolver uma mudança de alta energia com conversa de corredor, há subavaliação do risco. O critério protege a liderança desses 2 extremos.

HAZOP: melhor para processos contínuos e desvios de parâmetro

HAZOP é mais forte quando a operação depende de variáveis de processo, como vazão, pressão, temperatura, nível, concentração ou sequência operacional. Em vez de perguntar genericamente o que pode dar errado, o método força a equipe a testar desvios como mais, menos, nenhum, reverso ou parte de uma intenção de projeto. Por isso, ele costuma funcionar melhor em processos químicos, utilidades, energia, saneamento, alimentos e linhas industriais com controles interdependentes.

No PGR, HAZOP deve entrar quando a consequência de um desvio não cabe em uma observação de campo simples. Uma válvula bloqueada, uma bomba operando fora da curva ou um sensor com alarme mal calibrado podem atravessar várias camadas antes de virar evento grave. Para esse tipo de cenário, a escolha entre Bow-Tie, LOPA e APR aparece depois, quando a empresa precisa detalhar barreiras preventivas e mitigatórias.

A fraqueza do HAZOP é custo de preparação. Uma sessão séria exige P&ID atualizado, facilitador experiente, equipe multidisciplinar e tempo de agenda. Quando a empresa força HAZOP em tarefa simples, cria fadiga metodológica. Como Andreza Araujo defende em Sorte ou Capacidade, não se trata de assumir riscos, e sim de administrá-los; método demais para risco simples também é má administração, porque consome energia que deveria ir para risco crítico.

O ganho aparece quando a liderança usa o HAZOP como filtro de investimento. Se 4 desvios apontam para a mesma válvula, para o mesmo alarme ou para a mesma permissão de bypass, a discussão deixa de ser sobre mais treinamento e passa a ser sobre barreira de engenharia, intertravamento, revisão de projeto ou disciplina de manutenção. Essa mudança de conversa justifica o esforço do método.

FMEA: melhor para modos de falha e priorização técnica

FMEA é mais forte quando a pergunta central é como um componente, uma etapa ou um sistema pode falhar, qual efeito essa falha produz e qual prioridade deve receber. A ferramenta organiza severidade, ocorrência e detecção, normalmente em uma escala de 1 a 10, para comparar modos de falha e decidir onde a ação preventiva tem maior retorno técnico.

Esse método conversa bem com manutenção, engenharia, confiabilidade e NR-12, porque transforma falhas possíveis em prioridade. Se uma proteção de máquina pode ser burlada, se um sensor pode falhar em demanda ou se uma correia transportadora pode aprisionar o trabalhador, o FMEA ajuda a comparar cenários. Ele não substitui teste de controles críticos no PGR, mas ajuda a decidir quais controles precisam ser testados primeiro.

O risco do FMEA está na falsa precisão. Multiplicar severidade, ocorrência e detecção pode gerar um número elegante, mas a decisão continua dependente da qualidade da discussão. Uma nota 160 não é automaticamente mais importante do que uma nota 120 se a segunda envolve potencial de fatalidade. Em mais de 250 projetos de transformação cultural acompanhados pela Andreza Araujo, a armadilha recorrente é confundir ranking matemático com julgamento de risco material.

Para evitar essa distorção, separe o debate em 2 rodadas. Na primeira, a equipe lista modos de falha sem discutir nota, porque a pressa em pontuar empobrece a imaginação técnica. Na segunda, aplica critérios e identifica ações. Essa cadência reduz viés de autoridade e evita que o especialista mais sênior feche a conversa antes de ouvir manutenção, operação e SST.

What If: melhor para mudanças rápidas e cenário operacional

What If é mais forte quando a equipe precisa levantar cenários plausíveis em pouco tempo, especialmente antes de mudança de rota, alteração temporária, parada de manutenção, contratação de terceiro ou tarefa não rotineira. A pergunta e se isto acontecer abre a conversa para hipóteses que a rotina esconde, sem exigir o aparato documental de um HAZOP completo.

Em campo, What If funciona porque cabe em uma janela curta: 30 a 60 minutos podem revelar riscos que uma lista padrão não captura. A OSHA, em suas práticas recomendadas para programas de segurança e saúde, descreve 7 elementos centrais, incluindo liderança, participação dos trabalhadores, identificação de perigos e prevenção e controle. What If ajuda justamente nessa ponte entre participação e identificação antes que a decisão vire execução.

O limite do método aparece quando a empresa usa perguntas abertas para riscos que exigem engenharia detalhada. What If não deve substituir HAZOP em processo contínuo crítico nem FMEA em falha de componente relevante. Ele deve funcionar como triagem inteligente, acionando métodos mais robustos quando a conversa encontra exposição grave, barreira incerta ou consequência acima do apetite de risco definido pela liderança.

Um bom What If termina com 3 saídas possíveis: ação imediata, liberação condicionada ou escalada para análise mais profunda. Se toda pergunta termina em aprovado, a reunião virou carimbo. Se toda pergunta termina em bloqueio, a equipe perdeu critério. O método serve para ajustar a decisão ao risco real, não para paralisar a operação nem para acelerar sem controle.

Matriz de decisão: notas por critério

A matriz abaixo compara HAZOP, FMEA e What If em 7 critérios práticos para o PGR, usando escala de 1 a 5. Nota 5 significa alta adequação; nota 1 significa baixa adequação. A matriz não decide sozinha, mas obriga o gerente de SST a explicar por que está escolhendo um método e não outro.

Se o critério dominante for processo contínuo, HAZOP tende a vencer por 5 a 3 contra FMEA e 5 a 2 contra What If. Se o eixo for falha técnica, FMEA ganha por 5 a 3. Se a urgência for mudança rápida, What If ganha por 5 a 2. Essa leitura é mais honesta do que vender um método como universal.

Recomendação por contexto no PGR

Para uma planta com processo químico, utilidades críticas ou sistema pressurizado, comece pelo HAZOP e use FMEA apenas nos equipamentos em que o desvio apontou vulnerabilidade técnica. Para uma fábrica com máquinas discretas, transportadores, robôs, prensas ou proteções intertravadas, comece pelo FMEA. Para parada de manutenção, alteração temporária ou tarefa não rotineira, comece pelo What If e escale para HAZOP ou FMEA se aparecer risco crítico.

A ISO, na página oficial da ISO 45001:2018, especifica requisitos para um sistema de gestão de saúde e segurança ocupacional e apresenta a norma como estrutura para gerenciar riscos e melhorar desempenho. Essa lógica ajuda o PGR: método não é fim; método é parte de um sistema que precisa identificar perigo, avaliar risco, implementar controle e verificar eficácia.

Na prática, um PGR maduro pode usar os 3 métodos no mesmo ciclo anual. HAZOP revisa processos críticos 1 vez por ano ou após mudança relevante. FMEA prioriza modos de falha de equipamentos com maior potencial de SIF. What If entra em rotinas de mudança, pré-tarefa e interface com contratadas. A granularidade do inventário de riscos precisa refletir essa combinação, porque risco amplo demais apaga decisão e risco granular demais vira planilha infinita.

Em empresas com baixa maturidade, a recomendação muda: comece por What If bem facilitado em 5 frentes críticas e use o resultado para descobrir onde HAZOP ou FMEA são indispensáveis. Em empresas com maturidade calculativa, o desafio é o oposto. Já existem planilhas, mas falta provar eficácia. Nesse caso, escolha menos análises e mais verificação de barreiras nos 90 dias seguintes.

Governança: quem decide e quem facilita

A decisão sobre método deve ficar com o dono do risco, não apenas com o técnico que domina a ferramenta. O gerente de SST pode facilitar a escolha, mas a liderança operacional precisa aceitar recursos, prazo e autoridade para executar ações. Sem essa governança, HAZOP vira ata, FMEA vira número e What If vira conversa sem dono.

Andreza Araujo argumenta que risco identificado se elimina ou controla; não fazer nada não é uma opção, posição reforçada em Cultura de Segurança. Esse ponto muda a pauta da reunião. Antes de abrir qualquer análise, defina quem aprova ação acima de 30 dias, quem aceita risco residual, quem destrava orçamento e qual indicador leading vai acompanhar a eficácia. Sem esses 4 donos, a metodologia apenas documenta indecisão.

Uma regra simples ajuda: se a ação exige CAPEX, a diretoria precisa aparecer antes da reunião terminar; se depende de mudança de procedimento, o gerente de planta precisa validar usabilidade; se depende de comportamento de campo, o supervisor precisa testar em até 7 dias; se depende de barreira crítica, o responsável pelo PGR precisa incluir verificação formal. A administração de riscos no PGR só existe quando a análise encontra dono, prazo e prova de eficácia.

Conclusão: escolha pelo risco, não pela moda

HAZOP, FMEA e What If são bons métodos quando respondem à pergunta certa. O PGR perde força quando a empresa usa HAZOP para tudo, FMEA como matemática automática ou What If como substituto de engenharia. O método correto é aquele que melhora a decisão antes da exposição acontecer.

Para o C-level, a escolha deve caber em 3 perguntas: qual risco material estamos tentando reduzir, qual método revela melhor esse risco e qual barreira será testada nos próximos 30 dias. Quando essas respostas ficam claras, o PGR deixa de ser inventário defensivo e passa a orientar investimento, rotina de campo e governança. Para aprofundar esse raciocínio, Diagnóstico de Cultura de Segurança mostra como medir maturidade antes de escolher intervenção.