HAZOP vs What-If vs FMEA: qual usar em PHA de SST

A OSHA 1910.119(e) reconhece What-If, Checklist, What-If/Checklist, HAZOP, FMEA e Fault Tree como metodologias possíveis de análise de perigos de processo, desde que sejam apropriadas à complexidade do processo avaliado. Este artigo compara HAZOP, What-If e FMEA para ajudar o gerente de SST a escolher a PHA que revela melhor o risco, em vez de apenas produzir uma ata tecnicamente bonita.

PHA em SST é a análise estruturada que identifica perigos, consequências, causas, salvaguardas e recomendações antes que uma alteração, operação ou condição anormal se transforme em evento grave. HAZOP, What-If e FMEA não competem pelo mesmo espaço: cada um enxerga o risco por uma lente diferente, e a escolha errada pode deixar cenários críticos fora da conversa.

Por que a escolha da metodologia de PHA muda o resultado?

A metodologia de PHA muda o resultado porque define quais perguntas o grupo fará, quais desvios serão considerados e quais falhas ficarão invisíveis. A OSHA 1910.119(e) exige que o método seja apropriado à complexidade do processo, o que significa que uma planilha simples pode ser suficiente para uma tarefa rotineira, mas pobre para um sistema químico interligado.

O erro comum no Brasil é tratar PHA como nome genérico para qualquer reunião de risco. Quando isso acontece, a equipe escolhe o método pelo tempo disponível, pela familiaridade do facilitador ou pelo modelo de planilha herdado de outra planta. Como Andreza Araujo argumenta em A Ilusão da Conformidade, cumprir o ritual documental e reduzir risco real são coisas diferentes, especialmente quando a organização confunde evidência arquivada com barreira viva.

Em 25+ anos de trabalho em EHS executivo, Andreza Araujo identifica que a pergunta decisiva raramente é "qual metodologia é melhor?". A pergunta correta é: qual metodologia obriga a operação a enxergar a falha que ela mais tende a normalizar? Em sistemas com energia, produto inflamável, reação, pressão, intertravamento ou interface humana crítica, essa diferença muda a qualidade das recomendações.

Critérios de avaliação para escolher HAZOP, What-If ou FMEA

Uma boa escolha de PHA deve ser avaliada por pelo menos cinco critérios: complexidade técnica, maturidade do time, rastreabilidade das causas, qualidade das salvaguardas e capacidade de gerar decisão. Esses critérios evitam que o gerente escolha HAZOP apenas porque soa mais robusto, ou What-If apenas porque cabe na agenda.

O primeiro critério é a complexidade do processo. Quanto mais interdependência houver entre vazão, temperatura, pressão, sequência operacional e instrumentação, maior o valor de um método que força análise por desvios. O segundo é a maturidade do time, porque uma equipe que nunca participou de PHA pode travar em HAZOP e produzir respostas superficiais, enquanto o mesmo grupo talvez gere melhor material inicial com What-If bem facilitado.

O terceiro critério é a rastreabilidade. FMEA costuma ser forte quando a falha de componente precisa ser ligada a efeito, severidade e controle. HAZOP costuma ser forte quando a pergunta é o que acontece se uma variável se desvia do previsto. What-If costuma ser forte quando o risco está em cenários práticos de operação, manutenção, limpeza, partida, parada e contingência, nos quais a pergunta aberta puxa a experiência do campo.

O quarto critério é governança posterior. A melhor PHA não é a que lista mais recomendações, e sim a que cria dono, prazo, verificação e vínculo com controle crítico verificável em campo. Se a ata termina com vinte ações genéricas e nenhum critério de eficácia, a metodologia virou aparência de rigor.

HAZOP: quando a operação precisa analisar desvios de processo?

HAZOP é mais indicado quando o processo tem variáveis interdependentes cuja alteração pode gerar consequência grave, como pressão alta, vazão baixa, temperatura fora da faixa, reação indesejada ou perda de contenção. O método usa palavras-guia para forçar a equipe a explorar desvios, causas, consequências e salvaguardas em cada nó do processo.

O valor do HAZOP aparece quando a operação precisa ir além da pergunta "o que pode dar errado?" e entrar na pergunta "o que acontece se esta variável se comportar de modo diferente do previsto?". Essa disciplina é especialmente útil em plantas químicas, utilidades industriais, caldeiras, sistemas de transferência, tanques, linhas pressurizadas e mudanças de engenharia que alteram condições de processo.

A armadilha é usar HAZOP como símbolo de sofisticação. HAZOP consome tempo, exige dados de processo e depende de participantes que conheçam engenharia, operação e manutenção. Quando a empresa não prepara diagrama, histórico de incidentes, limites operacionais e informação de salvaguardas, o encontro vira leitura coletiva de planilha, e a análise perde a capacidade de revelar falhas latentes, no sentido descrito por James Reason.

Use HAZOP quando a pergunta principal for desvio de variável. Em troca, aceite o custo: mais preparação, mais horas de sala e maior exigência de facilitação. Para risco crítico de processo, essa contrapartida costuma valer, porque o método cria uma trilha clara entre desvio, causa, consequência e barreira.

What-If: quando a experiência do campo precisa puxar os cenários?

What-If é mais indicado quando a operação precisa levantar cenários práticos de forma rápida, especialmente em tarefas, mudanças, partidas, paradas, manutenção, limpeza industrial e situações nas quais a experiência do supervisor e do operador carrega informação que o desenho técnico não mostra. A força do método está na pergunta aberta, desde que ela seja conduzida com disciplina.

O What-If parece simples demais para muitos times de engenharia, mas essa simplicidade pode ser justamente a vantagem. Em tarefas com variação diária, como liberação de energia, trabalho a quente, entrada em espaço confinado ou intervenção em equipamento, o risco se manifesta na combinação entre condição real do dia, pressão de produção, competência da equipe e qualidade da supervisão. HAZOP pode ser pesado para esse tipo de decisão, enquanto FMEA pode prender o grupo em componentes.

O método funciona quando o facilitador transforma experiência em pergunta verificável. "E se a válvula não fechar?" precisa virar causa possível, consequência, salvaguarda existente, falha da salvaguarda e ação. Sem essa conversão, What-If degenera em conversa solta. Em Sorte ou Capacidade, Araujo sustenta que acidente não é azar isolado; essa lógica ajuda o time a tratar cada hipótese como combinação de condições, não como evento improvável que alguém citou por excesso de zelo.

Use What-If quando o cenário depende muito do campo e pouco de variáveis contínuas de processo. O método também é útil como primeira passagem antes de um Bow-Tie de risco crítico, porque ajuda a listar eventos iniciadores, controles existentes e pontos em que a barreira precisa ser testada.

FMEA: quando a falha de componente precisa virar decisão?

FMEA é mais indicado quando a organização precisa analisar modos de falha de componentes, equipamentos, subsistemas ou etapas específicas, ligando cada falha ao efeito, à severidade e aos controles existentes. O método é particularmente útil em manutenção, engenharia, confiabilidade, equipamentos de proteção coletiva, instrumentação e sistemas nos quais um item falha de forma reconhecível.

O FMEA força granularidade. Em vez de perguntar genericamente se a bomba pode falhar, a equipe pergunta como ela falha: vazamento por selo, cavitação, perda de alimentação, travamento, montagem incorreta, falha de sensor associado ou manutenção inadequada. Essa granularidade ajuda quando o gestor precisa priorizar inspeção, estoque crítico, plano de manutenção, teste funcional e critério de substituição.

A limitação aparece quando o risco não está no componente isolado, mas na interação entre pessoas, permissões, sequência operacional e mudança de condição. Nesses casos, FMEA pode produzir uma lista longa de falhas técnicas enquanto perde a dinâmica do trabalho real. O recorte que muda na prática é separar falha de equipamento de falha de sistema: uma válvula que não fecha é FMEA; uma operação que contorna uma etapa de liberação, por pressão de prazo, exige outra lente.

Use FMEA quando a decisão for técnica e localizável. Para equipamentos que sustentam uma barreira crítica exposta a ponteamento, o método ajuda a explicitar o modo de falha e a frequência de verificação. Para mudanças amplas de processo, HAZOP ou What-If tendem a capturar melhor as interações.

Matriz de decisão: qual método vence em cada critério?

A matriz abaixo compara HAZOP, What-If e FMEA em sete dimensões que costumam decidir a qualidade da PHA. Ela não substitui julgamento técnico, mas reduz uma distorção frequente: escolher o método pelo prestígio do nome, não pela pergunta de risco que precisa ser respondida.

3 métodos podem analisar o mesmo risco por lentes diferentes, mas a sobreposição não significa equivalência. Uma intervenção em linha pressurizada pode precisar de HAZOP para o processo, FMEA para um intertravamento e What-If para a liberação de campo. O ganho está em combinar métodos quando a pergunta muda, não em repetir o mesmo método para tudo.

Como combinar métodos sem criar burocracia?

A combinação de métodos deve seguir a sequência do risco, não a vontade de parecer completo. Um caminho prático é usar What-If para mapear cenários de campo, HAZOP para trechos de processo com variáveis críticas e FMEA para equipamentos ou controles cuja falha compromete a barreira. Essa combinação cria profundidade onde existe criticidade e mantém leveza onde a complexidade é menor.

O gerente deve evitar a coleção de ferramentas. Três análises mal integradas geram três atas, três listas de ação e nenhuma decisão de risco. A integração acontece quando todos os métodos alimentam o mesmo cadastro de recomendações, com dono, prazo, critério de fechamento e teste de eficácia. Se a recomendação não muda uma condição de campo, não fortalece barreira e não altera rotina de supervisão, ela provavelmente é apenas ruído administrativo.

O ponto de controle é o evento de maior consequência. Para cada cenário SIF, pergunte qual método melhor revela a causa dominante, qual método melhor testa a salvaguarda e qual evidência provará que a ação funcionou. Essa lógica conversa diretamente com a gestão de risco crítico com dono claro, porque evita que a ata seja encerrada antes que a barreira tenha responsável real.

Recomendação por contexto: qual escolher?

Escolha HAZOP quando houver processo complexo, energia perigosa, produto perigoso, mudança de engenharia ou variável operacional cujo desvio possa gerar consequência grave. Escolha What-If quando a preocupação central estiver na tarefa real, na variação de campo, na rotina de manutenção ou na mudança operacional que precisa ser discutida com quem executa. Escolha FMEA quando a falha de item, componente ou subsistema for o ponto de decisão.

Para plantas maduras, a recomendação costuma ser híbrida: HAZOP nos sistemas de processo, FMEA nos controles e equipamentos que sustentam barreiras, What-If nas etapas de execução em campo. Para empresas em estágio inicial, começar por What-If bem conduzido pode ser mais honesto do que declarar HAZOP sem dados, sem facilitador preparado e sem disciplina de fechamento.

A decisão também depende da liderança. Uma organização que mede segurança apenas por TRIR tende a tratar PHA como requisito documental, porque o efeito da análise aparece antes do acidente e não no indicador atrasado. Em Muito Além do Zero, Andreza Araujo critica a ilusão de que ausência de acidente prova capacidade. Na PHA, essa crítica se traduz em uma regra prática: ausência de ocorrência não valida método fraco.

Como verificar se a PHA foi boa depois da reunião?

Uma PHA foi boa quando suas recomendações são rastreáveis, verificáveis e proporcionais ao risco, não quando a ata é longa. A verificação deve olhar quatro evidências: cenário crítico bem descrito, salvaguarda nomeada, dono da ação definido e critério de eficácia que possa ser testado em campo.

O primeiro teste é ler uma recomendação trinta dias depois. Um supervisor precisa conseguir verificar sua execução sem interpretar intenção. "Revisar procedimento" é fraco. Melhor escrever: "testar o intertravamento X antes da partida". O registro do resultado deve ficar no formulário Y. 30 dias bastam para testar se a ação saiu da ata e entrou na rotina, desde que a liderança cobre evidência e não apenas percentual de fechamento.

O segundo teste é procurar recomendações que atacam a mesma barreira por ângulos diferentes. Se HAZOP aponta falha de pressão, FMEA aponta falha de sensor e What-If aponta desvio na liberação de campo, a decisão não deve virar três ações isoladas. Deve virar uma intervenção integrada na barreira, incluindo teste, competência, procedimento, manutenção e autoridade de parada.

O terceiro teste é observar se a equipe mudou sua pergunta na próxima reunião. Quando a PHA amadurece, o time deixa de perguntar "qual formulário vamos preencher?" e passa a perguntar "qual falha ainda não estamos enxergando?". Essa mudança é cultural, e por isso aproxima gestão de riscos do trabalho descrito por Andreza Araujo em Cultura de Segurança.

Conclusão

HAZOP vence quando o risco está no desvio de processo; What-If vence quando o risco está na realidade da tarefa; FMEA vence quando a decisão depende do modo de falha de um item. A escolha errada não é detalhe metodológico, porque ela define o que a organização será capaz de enxergar antes do evento grave.

Se a sua empresa precisa transformar PHA em decisão, e não apenas em documento, a equipe de Andreza Araujo pode apoiar o diagnóstico da cultura de risco, a facilitação dos métodos e a governança das ações. Conheça a atuação em Andreza Araujo e aprofunde a base conceitual nos livros disponíveis na loja oficial.