Teoria do queijo suíço e a segurança de ativos industriais

A teoria do queijo suíço, aplicada à segurança do trabalho e à proteção de ativos industriais, é uma das abordagens mais conhecidas quando o assunto é gestão de riscos, prevenção de acidentes e análise de falhas em sistemas complexos.

Na indústria, esse conceito se torna ainda mais relevante: máquinas, processos produtivos, fatores humanos e sistemas de segurança operam de forma integrada, e qualquer vulnerabilidade pode comprometer a operação, e, principalmente, a integridade do operador.

Na prática, o modelo ajuda empresas a compreenderem que acidentes raramente acontecem por um único motivo. Na maioria das vezes, eles são resultado do alinhamento de múltiplas falhas que atravessam diferentes camadas de proteção existentes dentro da organização.

Esse raciocínio está diretamente conectado às atividades de apreciação de riscos, adequação às normas regulamentadoras, inspeções preditivas industriais e projetos de segurança desenvolvidos aqui pela Engetex.

Quer saber mais sobre o tema? Continue a leitura deste texto até o final e entenda tudo sobre uma das mais famosas teorias de gestão de riscos!

O que é a teoria do queijo suíço?

A teoria do queijo suíço foi desenvolvida pelo psicólogo britânico James Reason e consolidada em sua obra Managing the Risks of Organizational Accidents (1997). O modelo explica como falhas organizacionais, técnicas e operacionais podem se combinar até resultar em acidentes ou eventos críticos.

A lógica é simples: imagine que cada sistema de controle existente em uma empresa seja representado por uma fatia de queijo suíço. Cada uma dessas fatias funciona como uma barreira de proteção criada para impedir que falhas avancem dentro da operação.

Essas barreiras podem assumir diferentes formas na indústria. Um procedimento operacional é uma camada de proteção. Um treinamento também é. O mesmo vale para:

• inspeções periódicas

• dispositivos de segurança

• sistemas de bloqueio (intertravamento)

• manutenção preventiva

• sinalizações

• projetos de adequação

• EPIs

• e até a cultura organizacional da empresa

Entretanto, nenhuma dessas camadas é perfeita. Todas possuem vulnerabilidades, limitações ou pontos de falha que são representadas pelos “buracos” do queijo suíço. Conseguiu visualizar?

Enquanto esses pontos frágeis permanecem desalinhados, os riscos continuam controlados. O problema acontece quando as vulnerabilidades de diferentes camadas se conectam simultaneamente. Nesse cenário, o risco consegue atravessar todas as barreiras existentes até atingir a operação, resultando em acidentes, falhas ou perdas operacionais.

Por que a teoria funciona?

A força do modelo do queijo suíço está no fato de que ele não busca explicar acidentes por uma única causa. Pelo contrário: ele reconhece que sistemas complexos, como os ambientes industriais, dependem de diversas camadas de proteção atuando simultaneamente.

Quando essas camadas funcionam de forma integrada, os riscos encontram barreiras capazes de interromper sua progressão. O problema surge quando vulnerabilidades presentes em diferentes níveis se alinham, permitindo que o risco atravesse todo o sistema.

Na indústria, esse conceito pode ser facilmente associado às Normas Regulamentadoras, aos procedimentos operacionais, aos treinamentos, às inspeções, aos sistemas de segurança e à própria cultura organizacional.

Isso acontece porque:

• Cada medida de controle atua como uma barreira de proteção, reduzindo a probabilidade de que um risco alcance as pessoas, os equipamentos ou a operação.

• Nenhuma barreira é perfeita. Toda camada possui limitações, falhas potenciais ou vulnerabilidades que podem comprometer sua eficácia.

• A integração entre diferentes medidas fortalece o sistema. Quanto maior a quantidade de controles atuando em conjunto, menor a probabilidade de que suas falhas se alinhem.

• Pessoas, processos e gestão têm papel fundamental. A eficácia das barreiras depende da forma como são implementadas, mantidas e incorporadas à rotina da organização.

• O objetivo não é eliminar completamente os riscos, mas impedir que eles atravessem todas as camadas de proteção e resultem em acidentes, perdas ou interrupções operacionais.

Por que acidentes raramente acontecem por um único erro?

Um dos principais méritos da teoria do queijo suíço é mostrar que grandes acidentes dificilmente surgem de um único evento isolado.

Na maior parte das vezes, eles são consequência da combinação de pequenas falhas que, separadamente, talvez não causassem grandes impactos.

Uma manutenção adiada, um procedimento mal definido, um treinamento insuficiente, uma proteção inadequada ou até uma decisão operacional equivocada podem parecer situações controláveis quando analisadas individualmente. Porém, quando essas vulnerabilidades passam a coexistir dentro do mesmo cenário operacional, o risco aumenta significativamente.

Essa visão é extremamente importante para a indústria porque ajuda empresas a abandonarem análises simplistas baseadas apenas no erro humano. 

Em vez de procurar um único culpado, o modelo incentiva uma análise mais profunda sobre todo o sistema operacional, permitindo identificar vulnerabilidades estruturais que contribuem para o acidente.

Falhas ativas e falhas latentes

No modelo proposto por James Reason, as falhas se dividem em dois grupos principais: falhas ativas e falhas latentes.

Falhas ativas

As falhas ativas estão diretamente relacionadas às ações executadas durante a operação e normalmente possuem impacto imediato. Isso inclui situações como ignorar um procedimento de segurança, operar uma máquina fora das condições previstas, desativar dispositivos de proteção ou deixar de utilizar EPIs obrigatórios.

Falhas latentes

Já as falhas latentes são mais silenciosas. Ficam incorporadas ao sistema e podem permanecer ocultas por longos períodos sem gerar consequências aparentes. 

Muitas vezes, estão associadas a problemas de projeto, ausência de proteções adequadas, manutenção deficiente, treinamentos insuficientes, procedimentos desatualizados ou falhas na gestão da segurança.

O grande risco das falhas latentes é justamente o fato de permanecerem “adormecidas” até serem combinadas com uma falha ativa. Quando isso acontece, o sistema perde suas barreiras de proteção e o acidente pode ocorrer.

Na indústria, essas falhas podem estar associadas a:

• Corrosão não identificada;

• Fadiga estrutural;

• Componentes operando fora da especificação;

• Sistemas de proteção degradados;

• Instrumentação sem calibração adequada;

• Alterações não documentadas;

• Inspeções insuficientes;

• Projetos desatualizados;

• Deficiências de manutenção.

Casos reais: quando os buracos do queijo se alinham

A teoria fica mais clara quando observamos grandes acidentes reais. Em nenhum deles houve um único culpado: uma falha ativa encontrou falhas latentes que vinham se acumulando, às vezes por anos, até que todas as barreiras cederam ao mesmo tempo.

Ônibus espacial Challenger (1986)

No caso do ônibus espacial Challenger, a falha ativa foi a ruptura de um anel de vedação (O-ring) enrijecido pelo frio na manhã do lançamento, que vitimou os sete tripulantes. Mas a comissão oficial de investigação concluiu que o desastre tinha raízes no passado da organização: o defeito da junta era conhecido desde 1977 e, na véspera, engenheiros alertaram que o anel poderia falhar no frio, mas foram vencidos por pressões de custo e cronograma. As falhas latentes (projeto deficiente, decisão sob pressão e ruptura de comunicação entre engenheiros e gestores) já estavam no sistema; bastou a falha ativa para alinhá-las.

Fonte: Relatório da Rogers Commission (NASA)

Plataforma Piper Alpha (1988)

Uma das piores tragédias offshore da história (167 mortes) começou com uma combinação clássica de buracos alinhados. Uma válvula de segurança havia sido removida para manutenção e substituída por um flange cego; a informação não passou na troca de turno e o sistema de permissão de trabalho falhou. Sem saber, a equipe da noite religou a bomba, e o gás vazou e explodiu. A isso se somaram falhas latentes de projeto: bombas de combate a incêndio em modo manual e ausência de isolamento, que permitiram ao fogo se alastrar. O inquérito de Lord Cullen resultou em 106 recomendações que mudaram a segurança offshore no mundo todo.

Fonte: Piper Alpha: análise do desastre — The Chemical Engineer (IChemE)

Barragem de Brumadinho (2019)

No rompimento da Barragem I, em Minas Gerais, morreram cerca de 270 pessoas. As investigações oficiais não apontaram uma causa única, mas o alinhamento de nove fatores: distorções no cálculo do fator de segurança, drenagem interna insuficiente, demora no rebaixamento do nível d’água, anomalias recorrentes, instrumentação (piezômetros e inclinômetros) deficiente, planos de emergência falhos e gestão de segurança precária. Cada item era uma camada cheia de “buracos”; juntos, deixaram o caminho livre para a liquefação do rejeito.

Fonte: Relatório final da CPI de Brumadinho — Senado Federal

Em todos os casos, a lição é a mesma: reforçar uma única barreira não basta. É preciso enxergar, e cuidar, de todas as camadas ao mesmo tempo. É exatamente isso que a apreciação de riscos e a adequação às NRs buscam garantir.

Como esse conceito se aplica às NRs?

Na prática, as Normas Regulamentadoras estruturam a segurança de ambientes, operações e maquinário industrial em camadas. O objetivo não é apenas instalar dispositivos de segurança em máquinas e equipamentos, mas montar um sistema completo de proteção, capaz de mitigar riscos reais de forma contínua e integrada (exatamente a lógica do queijo suíço).

Esse esforço se sustenta sobre a NR-01, que institui o Gerenciamento de Riscos Ocupacionais (GRO) e o Programa de Gerenciamento de Riscos (PGR). Mais do que um documento, o PGR funciona como o ponto de partida de toda a gestão de segurança.

É nessa etapa que são identificados os perigos existentes, analisados os modos de operação, avaliados os possíveis cenários de falha e definidas as medidas necessárias para reduzir os riscos a níveis aceitáveis.

A partir dessa análise, diferentes camadas de proteção passam a ser implementadas. Em muitos casos, isso envolve engenharia aplicada, adequações físicas dos ambientes ou sistemas integrados diretamente aos processos.

Cada uma dessas medidas adiciona uma nova barreira ao sistema. Quanto mais estruturadas e integradas forem essas camadas, menor a probabilidade de que uma falha consiga atravessar todas elas.

E nem todas as camadas têm o mesmo peso. A lógica de prevenção segue uma ordem de prioridade: primeiro, eliminar o perigo na origem; quando isso não é possível, adotar proteções coletivas; em seguida, medidas administrativas e de organização do trabalho, como procedimentos, capacitação e sinalização; e, por último, o EPI. 

Na imagem do queijo suíço, as primeiras camadas são as fatias mais grossas, com menos furos, por isso uma operação que confia apenas em EPI e procedimentos é estruturalmente mais frágil do que outra que eliminou ou isolou o perigo já no projeto.

Segurança industrial é uma construção sistêmica

Um dos maiores erros na gestão de segurança é acreditar que uma única medida isolada basta para eliminar os riscos de uma operação.

Instalar um sensor não resolve todos os problemas de uma máquina. Fornecer EPIs não substitui as proteções coletivas, assim como criar procedimentos não eliminem, sozinho, as falhas humanas.

A segurança industrial depende da integração entre engenharia, comportamento humano, processos operacionais e gestão.

Por isso, o atendimento às NRs precisa ser encarado como uma construção sistêmica, em que diferentes mecanismos de proteção atuam simultaneamente para reduzir riscos e aumentar a confiabilidade operacional.

Essa visão também favorece decisões estratégicas, permitindo que os investimentos sejam direcionados aos pontos mais críticos da operação.

Como o modelo fortalece a gestão de riscos?

Embora o modelo do queijo suíço não seja uma metodologia prescritiva como FMEA, APR ou matriz de riscos, ele contribui significativamente para o amadurecimento da gestão de riscos dentro das organizações.

Essa abordagem amplia a percepção sobre vulnerabilidades operacionais e ajuda empresas a desenvolverem análises mais profundas, preventivas e sistêmicas.

Em vez de atuar apenas nos efeitos dos problemas, a organização passa a investigar as causas estruturais que permitiram que as falhas acontecessem.

Isso fortalece ações corretivas, melhora controles preventivos, aumenta a confiabilidade dos processos e contribui para o desenvolvimento de uma cultura de segurança mais consistente.

Além disso, essa mentalidade permite que as empresas deixem de tratar a segurança apenas como obrigação regulatória e passem a enxergá-la como parte estratégica da operação.

A importância da apreciação de riscos nesse processo

Quando realizada de forma estruturada, a apreciação de riscos permite identificar vulnerabilidades antes que elas se transformem em acidentes. Isso possibilita decisões mais assertivas sobre adequações, investimentos, projetos e prioridades operacionais.

Mais do que atender aos requisitos das NRs, a apreciação de riscos se torna uma ferramenta essencial para aumentar a segurança, proteger trabalhadores, reduzir falhas operacionais e melhorar a confiabilidade dos processos industriais.

• Saiba mais: Projeto é obrigatório na apreciação de risco da NR-12? 

Conheça as soluções da Engetex

Agora que você já sabe a definição da teoria do queijo suíço, chegou o momento de conhecer a Engetex!

Atuamos no desenvolvimento de soluções voltadas à segurança industrial, adequação à NR-10, NR-12, NR-13, NR-20, NR-33, NR-35. Sabemos que as camadas somadas gerando a segurança e confiabilidade que é necessária, por isso a multidisciplinaridade sempre foi ponto importante e focal para nós.

Para conhecer mais sobre nossos serviços e entender como podemos apoiar sua operação na construção de ambientes industriais mais seguros, clique no banner abaixo e acesse nosso site. Vai ser um prazer receber você por lá!