A vulnerabilidade que não estava no caderno

Às 04h06 de 19 de agosto de 2024, o vento no través do Bayesian passou em segundos de manejável para mais de 70 nós. O toldo do flying bridge rasgou de bombordo a estibordo. O veleiro adernou a 90° — o mastro na água — em menos de quinze segundos, os geradores desligaram e a iluminação de emergência acendeu. Não houve alagamento no interior do casco até que a água passou por cima das amuradas de estibordo e desceu pelas escadas. Alguns passageiros usaram as gavetas dos móveis como escada para sair da cabine. Sete pessoas não saíram: seis passageiros e um tripulante.

É tentador ler essa cronologia e apontar a equipe. Tinham um aviso de temporal. Viam as tempestades. O comandante deixara a ordem de ser acordado acima de 20 nós. A embarcação já garrava a âncora e adernava antes da rajada fatal. De fora, parece um caso de pessoas que não agiram com rapidez suficiente.

Essa leitura é justamente a armadilha que esta série existe para desmontar. Porque sob a cronologia há uma condição que ninguém a bordo poderia controlar, pela razão mais simples possível: não estava no caderno.

O caderno de estabilidade do Bayesian foi aprovado em 2008 pela autoridade marítima britânica conforme o Large Commercial Yacht Code. Esse caderno de fato continha o tipo certo de salvaguarda: curvas de ângulo máximo de adernamento permanente para prevenir o alagamento progressivo em rajadas — precisamente a orientação de que uma equipe precisa para saber que rajada súbita pode suportar antes que a água comece a entrar. Mas essas curvas existiam apenas para as condições à vela, com a bolina arriada e as velas içadas.

Na noite do naufrágio, o Bayesian não navegava à vela. Estava fundeado em condição de motor: bolina recolhida, sem velas. Para essa condição — aquela em que realmente se encontrava — o caderno aprovado não continha nenhuma curva contra rajadas.

Após a perda, o MAIB encarregou a Wolfson Unit da Universidade de Southampton de reconstruir o modelo de estabilidade. Nas condições à vela, o ângulo de estabilidade nula documentado ia de 84,3° a 92,3°. Na condição de motor, a Wolfson Unit o calculou em 70,6°. O mesmo estudo determinou que o mastro de 72 metros representava sozinho metade do momento de adernamento por vento de través, e que de través uma rajada acima de 63,4 nós provavelmente faria a embarcação emborcar, independentemente dos efeitos de abrigo entre os elementos do aparelho.

A maior parte do esforço de investigação se concentra em uma única pergunta: o procedimento foi seguido? É a primeira pergunta errada, porque pressupõe que o procedimento — ou o limite, ou o dossiê, ou o certificado — descrevia a situação em que o trabalho realmente se desenrolava.

Todo documento crítico de segurança carrega um alcance implícito: o conjunto de condições operacionais para as quais foi validado. Uma base de segurança é redigida para um envelope de processo definido. Um limite operacional seguro é fixado para uma configuração suposta. Um dossiê de estabilidade é aprovado para estados de carga específicos. Fora desse conjunto validado, o documento não está errado — está em silêncio. E o silêncio, para quem trabalha sob sua autoridade, equivale a permissão.

Não é uma curiosidade marítima. Os relatórios públicos de incidentes do Chemical Safety Board norte-americano descrevem repetidamente vazamentos ocorridos em estados operacionais — uma lavagem não rotineira, um isolamento suposto em vez de verificado, uma configuração fora do caso avaliado — para os quais a análise de perigos aplicável havia concluído que o risco era baixo ou simplesmente não havia olhado. O mecanismo é idêntico: um documento aprovado, uma condição real fora de seu alcance validado e equipes que tratam o «aprovado» como «seguro em todos os estados».

Nos sites de transformação que investiguei na África Ocidental, o mesmo padrão se repete. Um HAZOP valida uma unidade para o regime estável e para uma sequência de partida definida. O vazamento ocorre durante uma repartida parcial após um desarme — uma condição que acontece dezenas de vezes por ano em operação, mas não consta em nenhum lugar do estudo. Os operadores seguiam o procedimento. Não havia procedimento para o estado em que estavam. A investigação que culpou o «erro do operador» foi encerrada em três semanas. A condição que produziu o evento nunca foi registrada, então produziu o seguinte também.

Na verdade há duas investigações do Bayesian em paralelo, e elas convergem para respostas opostas. Conforme seu mandato legal sem atribuição de culpa, o MAIB revela uma condição latente — uma vulnerabilidade de estabilidade não documentada no estado operacional, amplificada pelo efeito vela do mastro e por um projeto autorizado a descer abaixo da faixa de estabilidade habitual. A promotoria italiana, que atua sob um mandato de responsabilidade, situaria, segundo o relatado, a responsabilidade nas ações da equipe e sua leitura do tempo.

"O único objetivo de uma investigação de segurança é a prevenção de acidentes futuros. Não tem por finalidade determinar a responsabilidade nem atribuir culpa."

A mesma embarcação. A mesma cronologia. As mesmas sete mortes. Duas conclusões — porque cada investigação é construída para encontrar um tipo de coisa diferente. Uma investigação de segurança sem atribuição de culpa é projetada para revelar as condições do sistema. Uma investigação de responsabilidade é projetada para revelar os atos dos indivíduos. Nenhuma mente. Mas só uma previne a próxima perda, e não é a que termina em uma pessoa.

Não é preciso um naufrágio para encontrar seus estados silenciosos. Aplique isto a qualquer documento crítico de segurança que reja uma operação em serviço — uma base de segurança, um dossiê de estabilidade, um limite operacional seguro, um envelope de permissão, um procedimento crítico.

1. Enumere os estados operacionais reais — Liste cada condição em que o ativo é realmente operado, incluindo os estados não rotineiros: partida, repartida após desarme, carga parcial, modo manutenção, configuração degradada. Obtenha isso dos operadores, não do documento.
2. Associe cada estado ao documento — Para cada estado da sua lista, localize onde o documento caracteriza explicitamente o modo de falha e o envelope seguro para esse estado.
3. Marque os estados silenciosos — Toda condição presente em operação mas não coberta explicitamente no documento é um estado silencioso — um perigo não avaliado, não um perigo baixo.
4. Trate o silêncio como um achado — Um estado silencioso não traz nenhuma prova de segurança. Até ser caracterizado, é gerido como um perigo de acidente maior em aberto, com controles provisórios — não como rotina.
5. Reavalie após cada mudança — Toda modificação, recapacitação de regime ou novo modo operacional cria novos estados. Uma gestão da mudança que não repete os passos 1 a 4 simplesmente fabrica novos estados silenciosos.

Aplicada ao Bayesian, a auditoria o detecta no passo 1: o fundeio em condição de motor é um estado operacional real; no passo 2 não há curva contra rajadas para ele; no passo 3 é marcado como silencioso; no passo 4 é tratado como um perigo de emborcamento não avaliado que exige um limite provisório. Nada disso requer retrospectiva. Requer a disciplina de perguntar ao caderno pelas condições em que o ativo realmente se encontra.

A condição latente mais perigosa de sua operação não é a que você avaliou e julgou mal. É a que sua documentação aprovada nunca descreveu — porque ninguém soube perguntar, então ninguém foi avisado. O primeiro movimento do investigador é encontrar as condições que a aprovação nunca cobriu, e tratar esse silêncio como o perigo que é.

"«Aprovado» é uma afirmação sobre um conjunto de condições, não sobre a realidade."