LOPA em SST: 7 decisões antes de aceitar barreira
LOPA em SST separa barreira real de promessa de controle, embora só funcione quando a liderança testa independência, evidência e autoridade de decisão.
Principais conclusões
- 01Defina o cenário de acidente antes de contar barreiras, porque uma LOPA ampla demais mistura controles que não atuam sobre a mesma sequência crítica.
- 02Teste independência, efetividade e auditabilidade de cada camada antes de aceitar risco residual no PGR, especialmente quando o cenário tem potencial de SIF.
- 03Rejeite EPI como camada principal para fatalidades críveis, já que ele atua tarde e depende de comportamento perfeito perto da energia perigosa.
- 04Conecte cada camada fraca a um plano de ação com dono, prazo, evidência e critério de eficácia, evitando que a LOPA vire anexo técnico.
- 05Contrate o Diagnóstico de Cultura de Segurança quando o PGR lista muitas barreiras administrativas e poucas evidências de controle vivo no turno.
LOPA em SST, análise por camadas de proteção, entra quando a empresa precisa decidir se uma barreira realmente reduz risco ou apenas tranquiliza a reunião. O método é mais conhecido em segurança de processos, mas faz sentido em SST sempre que uma exposição crítica combina energia perigosa, falha humana previsível, consequência grave e controles que parecem fortes no papel. A tese deste guia é direta: barreira que depende da mesma pessoa, do mesmo alarme ou da mesma decisão operacional não é camada independente, mesmo que apareça três vezes no PGR.
Este artigo foi escrito para gerente de SSMA, engenheiro de segurança e liderança operacional que precisam defender uma decisão de risco diante de manutenção, produção e diretoria. Em 25+ anos liderando EHS em multinacionais, Andreza Araujo observa que boa parte dos SIFs, Serious Injuries and Fatalities, não nasce da ausência total de controle. Eles nascem de controles repetidos, dependentes e pouco testados, cuja aparência de redundância desaparece quando a operação acelera, porque as camadas compartilhavam a mesma fragilidade.
Por que LOPA importa no PGR
O PGR exige inventário, avaliação e controle de riscos ocupacionais, embora muitas empresas ainda tratem o registro como lista de perigos somada a uma matriz de probabilidade e severidade. A LOPA ajuda justamente no ponto em que a matriz para de responder, porque pergunta quais camadas independentes impedem que o cenário avance, qual é a força de cada uma e que evidência prova que essa força existe no trabalho real.
Como Andreza Araujo defende em A Ilusão da Conformidade, cumprir a forma do sistema não garante que a barreira esteja viva. A análise por camadas força a empresa a sair da frase genérica, como treinamento realizado ou procedimento disponível, e chegar à pergunta operacional: se esta camada falhar amanhã às 3h da manhã, qual camada realmente segura o evento?
1. Defina o cenário antes de contar barreiras
LOPA começa com um cenário específico, não com uma família genérica de risco. Entrar em espaço confinado, trocar válvula em linha pressurizada, intervir em transportador com energia acumulada ou liberar trabalho a quente perto de inflamáveis são cenários diferentes, ainda que todos apareçam no PGR como tarefas críticas. Quando o cenário fica amplo demais, a empresa conta barreiras que não atuam sobre a mesma sequência de acidente, embora pareça ter controle suficiente no quadro geral.
O recorte deve ligar evento iniciador, perda de controle e consequência máxima crível. Um vazamento pequeno de produto químico durante amostragem não carrega a mesma análise de uma abertura de flange em linha com pressão residual. O artigo sobre HAZOP em parada de manutenção aprofunda essa etapa, porque a qualidade das perguntas iniciais define a qualidade das camadas que virão depois.
2. Separe barreira independente de repetição administrativa
A armadilha mais comum é transformar documentação em redundância. Procedimento, DDS, treinamento e assinatura de PT podem depender da mesma memória, da mesma supervisão e da mesma cultura de pressa. Se uma pressão operacional derruba os quatro ao mesmo tempo, eles não são quatro camadas; são uma única camada administrativa com quatro registros.
Uma camada independente precisa atuar por mecanismo próprio. Um intertravamento físico, um bloqueio de energia testado, uma ventilação com alarme funcional, uma válvula de segurança calibrada ou uma proteção coletiva com inspeção documentada têm natureza diferente de uma orientação verbal, porque continuam atuando quando a rotina administrativa enfraquece. Isso não torna controles administrativos inúteis. Torna perigoso fingir que eles têm força equivalente a barreiras de engenharia.
3. Teste independência, efetividade e auditabilidade
Antes de aceitar uma barreira na LOPA, faça três perguntas. Ela é independente da causa iniciadora? Ela reduz a probabilidade ou a consequência de modo verificável? Ela deixa evidência auditável no campo? Se a resposta falha em uma delas, a camada pode continuar no plano de ação, mas não deveria sustentar decisão de risco residual.
A independência evita a contagem duplicada, enquanto a efetividade evita barreiras simbólicas e a auditabilidade impede que a empresa confunda intenção com controle. Essa lógica conversa com a discussão de ALARP no PGR, porque nenhum risco deveria ser chamado de tão baixo quanto razoavelmente praticável quando as camadas não foram testadas de forma objetiva.
4. Use LOPA quando a matriz de risco ficar confortável demais
A matriz de risco é útil para priorizar, mas pode suavizar cenários raros e graves quando a probabilidade recebe nota baixa sem evidência. Em SIF, a baixa frequência histórica não prova controle. Pode provar apenas sorte estatística, subnotificação ou pouca exposição observada. A LOPA entra quando a consequência máxima é alta e a empresa precisa justificar por que não vai eliminar, substituir ou redesenhar a tarefa.
O erro executivo aparece quando a matriz vira autorização. Em matriz de risco no PGR, esse ponto fica claro: probabilidade baixa não deveria encerrar a conversa quando a fatalidade ainda é crível. A LOPA reabre a análise e exige que cada camada tenha dono, teste, frequência e critério de falha, uma vez que a decisão de aceitar risco precisa sobreviver à auditoria e ao turno real.
5. Não aceite EPI como camada forte para SIF
EPI pode reduzir lesão em muitos cenários, mas raramente deveria ser a camada que sustenta aceitabilidade de risco com potencial de SIF. Quando uma queda, esmagamento, explosão, choque elétrico ou atmosfera tóxica já chegou ao trabalhador, a empresa perdeu camadas anteriores. O EPI atua tarde, depende de uso correto e, em muitos casos, só reduz parte da consequência.
Como Andreza Araujo argumenta em Sorte ou Capacidade, acidente grave costuma mostrar decisões acumuladas antes do minuto final. A LOPA torna esse acúmulo visível. Se a análise conclui que capacete, luva, óculos e atenção do trabalhador são as principais camadas, o problema não é o trabalhador; o problema é uma arquitetura de controle que deixou a pessoa perto demais da energia perigosa.
6. Dê autoridade à pessoa que pode interromper o risco
Camada sem autoridade vira conselho. Se a LOPA depende de supervisor recusar tarefa, operador acionar direito de recusa, técnico barrar liberação ou gerente liberar investimento, essas autoridades precisam estar escritas e treinadas. Mais importante ainda, precisam ser aceitas quando geram atraso, custo ou conflito com produção, já que a camada humana perde força quando parar vira ato de coragem individual.
Durante a passagem pela PepsiCo LatAm, onde a taxa de acidentes caiu 86%, Andreza Araujo viu que a redução sustentável vinha da liderança que tornava a barreira visível no turno, não de pedir atenção genérica. Uma LOPA bem feita expõe essa verdade: a barreira humana só tem força quando o sistema protege a decisão de parar.
7. Conecte LOPA ao plano de ação, não ao arquivo
A análise por camadas perde valor quando termina como anexo técnico. Cada camada fraca precisa virar ação com responsável, prazo, critério de eficácia e evidência esperada. Se a ação é comprar equipamento, o plano precisa dizer qual cenário deixará de depender de comportamento. Se a ação é treinamento, precisa indicar qual decisão será tomada de modo diferente no turno seguinte.
Aceitar risco residual sem esse vínculo cria uma falsa estabilidade. O artigo sobre aceitabilidade de risco no PGR mostra por que a assinatura executiva precisa vir acompanhada de evidência, prazo e revisão. LOPA não substitui governança; ela fornece a base técnica para a governança não assinar no escuro.
Comparação: barreira contada frente a camada comprovada
| Dimensão | Barreira apenas contada | Camada comprovada por LOPA |
|---|---|---|
| Independência | depende da mesma pessoa ou rotina | atua por mecanismo próprio e verificável |
| Evidência | treinamento, assinatura ou procedimento disponível | teste funcional, inspeção, calibração ou registro de campo |
| Resposta à pressão | falha quando prazo e produção apertam | mantém função mesmo sob pressão operacional |
| Uso no PGR | justifica probabilidade baixa sem prova | sustenta decisão de risco residual com critério |
| Dono da camada | genérico, atribuído ao SESMT | autoridade operacional nomeada e cobrada |
Roteiro de 45 minutos para aplicar na operação
Escolha um cenário com potencial de SIF e reúna produção, manutenção, SSMA e supervisão. Descreva o evento iniciador, desenhe a sequência até a consequência máxima crível e liste as camadas existentes. Depois risque tudo que depende da mesma pessoa, do mesmo alarme não testado ou do mesmo procedimento não observado em campo. O que sobrar é o começo da análise real, não o fim dela.
Em seguida, atribua dono e evidência para cada camada. Uma barreira sem evidência recente entra como suspeita. Uma barreira sem dono entra como fraca. Uma barreira que falha junto com outra entra como duplicada. Esse exercício geralmente revela que o PGR parece robusto porque conta controles, enquanto a operação real depende de duas ou três camadas frágeis.
Conclusão. LOPA em SST não é sofisticação desnecessária. É uma forma disciplinada de impedir que a empresa aceite risco grave com base em camadas que nunca foram independentes. Quando a análise é bem conduzida, ela muda a conversa do PGR: sai da lista de controles e entra na prova de que uma fatalidade crível tem barreiras fortes antes de encontrar o trabalhador.
Para aprofundar essa revisão, combine a análise por camadas com a metodologia de Diagnóstico de Cultura de Segurança e com a crítica de A Ilusão da Conformidade. A consultoria de Andreza Araujo pode apoiar a revisão de PGR, barreiras críticas e rituais de liderança que transformam controle escrito em capacidade preventiva real.
Perguntas frequentes
O que é LOPA em SST?
Qual a diferença entre LOPA e matriz de risco?
EPI pode ser camada de proteção em LOPA?
Quando aplicar LOPA no PGR?
Como Andreza Araujo conecta LOPA com cultura de segurança?
Sobre o autor