CALIL, Luís Fernando Peres Et Al. Metodologia para Gerenciamento de Risco Foco Na Segurança e Na Continuidade. 2009.

Lus Fernando Peres Calil
METODOLOGIA PARA GERENCIAMENTO DE

RISCO: FOCO NA SEGURANA E NA
CONTINUIDADE
Florianpolis
Maro de 2009
UNIVERSIDADE FEDERAL DE SANTA CATARINA
PROGRAMA DE PS-GRADUAO EM
ENGENHARIA MECNICA
METODOLOGIA PARA GERENCIAMENTO DE RISCO: FOCO NA SEGURANA E

NA CONTINUIDADE
Tese submetida
para a obteno do grau de
DOUTOR EM ENGENHARIA MECNICA
LUS FERNANDO PERES CALIL
Florianpolis, maro de 2009.

PROGRAMA DE PS-GRADUAO EM
ENGENHARIA MECNICA
METODOLOGIA PARA GERENCIAMENTO DE RISCO: FOCO NA SEGURANA E

NA CONTINUIDADE
LUS FERNANDO PERES CALIL
Esta tese foi julgada adequada para a obteno do ttulo de

DOUTOR EM ENGENHARIA
ESPECIALIDADE ENGENHARIA MECNICA

sendo aprovada em sua forma final.
Prof. Acires Dias, Dr. Eng. Orientador Prof. Nelson Back, Ph.D. Co-orientador
Prof. Eduardo Alberto Fancello, D.Sc.

Coordenador do Curso
BANCA EXAMINADORA
Prof. Acires Dias, Dr. Eng. Presidente Prof. Bernardo Lus Rodrigues de Andrade,
Dr. Eng. Relator
Prof. Andr Ogliari, Dr. Eng. Prof. Franco Giuseppe Dedini, Dr.
Prof. Ubirajara Franco Moreno, Dr. Eng.

A minha famlia.
Agradecimentos
Aos Professores Acires Dias e Nelson Back pela orientao no desenvolvimento deste tra-
balho.
Ao colegas Eduardo Yuji Sakurada e Heitor Azuma Kagueiama pelas proveitosas discus-
ses.
A Daniel Koudi Nakano, Glauco Vinicius Gil Peron e Gleber Estefani Diniz pela dedicao
na implementao do software OpenFMECA.
A minha famlia e amigos pela compreenso e carinho.
s empresas que permitiram a realizao das visitas tcnicas.
Eletrosul e Celesc pela oportunidade de realizar os estudos de caso apresentados nesta

tese destacadamente aos colaboradores Altair Coutinho de Azevedo Jr. (Eletrosul), Clvis
Nicoleit Carvalho (Eletrosul), Renato Borba Rolim (Celesc) e Ricardo Haus Guembarovski
(Celesc).
Ao Conselho Nacional de Pesquisa e Desenvolvimento Cientfico (CNPq) pelo auxlio fi-

nanceiro na forma de bolsa de doutorado.
Pode-se utilizar a ocasio da tese [...] para recuperar o sentido positivo e pro-
gressivo do estudo, entendido no como coleta de noes, mas como elabora-
o crtica de uma experincia, aquisio de uma capacidade (til para o fu-
turo) de identificar os problemas, encar-los com mtodo e exp-los segundo
certas tcnicas de comunicao.
Umberto Eco (1977)

Resumo
O presente trabalho versa sobre gerenciamento de risco em organizaes, focando no somente

os possveis danos ao homem, ao meio ambiente e ao sistema tcnico resultante de um incidente,
mas tambm os riscos de o negcio ser interrompido pela ocorrncia de um evento indesejado.
As questes relacionadas aos danos, principalmente as que se referem ao homem e ao meio
ambiente, tm sido tratadas pelo gerenciamento de segurana, enquanto as relacionadas s in-
terrupes, na operao do negcio, vm sendo tratadas pelo gerenciamento de continuidade
que um conceito ampliado do planejamento de contingncias. Apesar de a gesto de segurana
e a de continuidade terem objetivos distintos, ambas so gerenciamento de risco. Este trabalho
apresenta uma metodologia de gerenciamento de risco que considera esses dois aspectos. Este
tipo de enfoque tem benefcios mais evidentes em organizaes cujo empreendimento por-
tador de riscos segurana e continuidade, como na rea de petrleo; gerao, transmisso
e distribuio de energia; setor naval; petroqumico; entre outros. dentro desta perspectiva
que a metodologia foi desenvolvida e parcialmente aplicada em duas empresas do setor eltrico,
uma distribuidora e outra transmissora, que lidam com grande potencial de danos e, tambm,
tm grande potencial de prejuzos , no caso de uma interrupo do negcio tanto para a orga-
nizao (financeiros, imagem da organizao, etc.) quanto para a sociedade. Como resultados
deste trabalhado, alm da metodologia, destacam-se os seguintes pontos: foi definido um vo-
cabulrio nico para suprir as necessidades do gerenciamento de continuidade e de segurana;
foi elaborada uma estrutura de trabalho baseada nas tcnicas IDEF0 (integration definition for
function modeling), FHA (functional hazard assessment), FMECA (failure modes effects and
criticality analysis), CNEA (Causal network event analysis), redes bayesianas, FTA (fault tree
analysis) e atualizao bayesiana que contribui para a unificao do gerenciamento de risco;
e foi desenvolvida uma ferramenta computacional (software) a fim de auxiliar na aplicao da
tcnica FMECA. No que se refere aos estudos de caso nas duas empresas do setor eltrico,
a aplicao da metodologia implicou recomendaes e alteraes nos procedimentos internos
e na estrutura das empresas. No caso da distribuidora de energia, destaca-se a elaborao de
uma instruo (norma interna) para atendimento emergencial diante de tempestades severas; a
adequao das instalaes, equipamentos e ferramental para possibilitar o atendimento nesta
condio; a implementao de sistemas alternativos de comunicao; a implementao do es-
quema de prioridade para restabelecimento de carga (religamento); a aquisio de geradores
portteis; a disponibilizao de uma verba anual para contingncia; entre outras. Quanto
transmissora, destacam-se as recomendaes referentes poltica de atualizao tecnolgica;
poltica de atualizao dos procedimentos; e poltica de capacitao. Tambm foram elen-
cadas algumas recomendaes de responsabilidade da ANEEL (Agncia Nacional de Energia
Eltrica) referentes poltica regulatria.
Palavras-chave: Gerenciamento de risco. Gerenciamento de segurana. Gerenciamento de
continuidade. FMECA / CNEA. OpenFMECA.
Abstract
The present thesis treats of risk management in organizations, focusing not only on the possible
risks to man, to the environment and to the technical system resulting from an incident, but
on the business activities interruption due to the occurrence of an undesirable event, as well.
The issues related to harm, especially those that refer to man and to environment, have been
assessed by safety management, while those related to interruptions of the business operation
belong to the field of continuity management which is an amplified concept of contingency
planning. Despite the distinct objectives of safety and continuity management, both of them are
risk management. This thesis presents a methodology for risk management that considers both
of these aspects. The benefits of this kind of approach are more evident in organizations which
activity bears risks to both security and continuity, such as in the sectors of oil; power gene-
ration; transmission and distribution; marine operations; chemical process; among others. It is
in this perspective that a methodology was developed and partially applied in two companies
from the power sector, a electric power transmission company and a electric power distribution
one, that deal with great potential of harm as well as great potential of loss, in case of business
interruption both for the organization (financial, public image, et cetera) and the society. As
a result of this work, aside the developed methodology, the following stand out: a single voca-
bulary was established to supply the continuity and safety management needs; a framework has
been developed based on the techniques IDEF0 (integration definition for function modeling),
FHA (functional hazard assessment), FMECA (failure modes effects and criticality analysis),
CNEA (Causal network event analysis), bayesianas networks, FTA (fault tree analysis) and
bayesian update that contributes to the risk management unification; and a software has been
developed to assist in the application of the FMECA technique. Referring to the case studies
in the two companies from the power sector, the application of the methodology resulted in
recommendations and changes in the companies internal procedures and structure. In the case
of the power distribution company, should be highlighted the elaboration of a set of instructions
(internal standard) for emergency attendance in case of severe storms; the adequacy of instal-
lations, equipment and tools to allow the attendance in this circumstance; the implementation
of alternate communication systems; the implementation of priority schemes for power reesta-
blishment; the acquisition of portable generators; the availability of a annual budget to be used
in contingencies; among other results. In the case of the power transmission company, should
be highlighted the recommendations regarding the policy to upgrade technology; the policy to
upgrade procedures; and the training policy. Also, a list of recommendations was also made,
regarding some responsibilities attributed to the brazilian electricity regulatory agency ANEEL
(Agncia Nacional de Energia Eltrica) referring to the regulatory policy.
Keyword: Risk management. Safety management. Continuity management. FMECA / CNEA.
OpenFMECA.
Lista de figuras
1.1 Ciclo de vida de um produto (um sistema tcnico, por exemplo), desconside-
rando as realimentaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.1 Representao da definio de risco . . . . . . . . . . . . . . . . . . . . . . . 35
2.2 Representao da definio de incidente . . . . . . . . . . . . . . . . . . . . . 36
2.3 Relao entre os envolvidos no sistema da teoria multicausal da ocorrncia de

incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2.4 Desencadeamento de um incidente e sua trajetria atravs de barreiras . . . . . 40
2.5 Classificao de incidentes em uma unidade organizacional . . . . . . . . . . . 42
2.6 Estados de operao do sistema e os respectivos planos, para o caso de ativao

do plano de operao alternativa . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.7 Nveis para o gerenciamento de risco em uma organizao . . . . . . . . . . . 47
3.1 Modelo de ocorrncia de um incidente . . . . . . . . . . . . . . . . . . . . . . 54
3.2 Metodologia FSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.3 Processo de anlise / avaliao da segurana e o ciclo de vida do sistema . . . . 59
3.4 Processo de anlise / avaliao de segurana do sistema (SSA) . . . . . . . . . 61
3.5 O processo de gerenciamento contnuo de risco . . . . . . . . . . . . . . . . . 63
3.6 Ciclo de vida do gerenciamento da continuidade do negcio . . . . . . . . . . 66
4.1 Exemplo de IDEF0 da funo Fazer manuteno de equipamentos isolados a

SF6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.2 Exemplo de rede bayesiana antes e aps evidncia . . . . . . . . . . . . . . . . 85
4.3 Exemplo de rvore de falha para o efeito topo vibraes . . . . . . . . . . . . . 86
4.4 ETA de eventos sequenciais, na qual o evento A o evento inicializador . . . . 87
4.5 ESD ilustrativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.6 Diagrama ilustrativo de uma BTA . . . . . . . . . . . . . . . . . . . . . . . . 93
4.7 Diagrama ilustrativo da tcnica CNEA . . . . . . . . . . . . . . . . . . . . . . 94
4.8 Modelagem de correntes causais na CNEA . . . . . . . . . . . . . . . . . . . . 95
5.1 Etapas da metodologia de gesto de risco . . . . . . . . . . . . . . . . . . . . 99
5.2 Estrutura da metodologia desenvolvida . . . . . . . . . . . . . . . . . . . . . . 99
5.3 Desdobramento da etapa de delineamento do SGR . . . . . . . . . . . . . . . . 101
5.4 Notao utilizada nos fluxogramas . . . . . . . . . . . . . . . . . . . . . . . . 102
5.5 Fluxograma geral da metodologia desenvolvida . . . . . . . . . . . . . . . . . 103
5.6 Fluxograma da fase do delineamento informacional . . . . . . . . . . . . . . . 104
5.7 Fluxograma da fase do delineamento conceitual (parte 1) . . . . . . . . . . . . 105
5.8 Fluxograma da fase do delineamento conceitual (parte 2) . . . . . . . . . . . . 106
5.9 Fluxograma da fase do delineamento preliminar . . . . . . . . . . . . . . . . . 107
5.10 Fluxograma da etapa de implementao . . . . . . . . . . . . . . . . . . . . . 108
5.11 Fluxograma da etapa de utilizao . . . . . . . . . . . . . . . . . . . . . . . . 109
5.12 Critrios de aceitao de risco . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.13 Diagrama CNEA adaptado para representar FMECA . . . . . . . . . . . . . . 115
5.14 Rede bayesiana para o diagrama da Figura 5.13 . . . . . . . . . . . . . . . . . 118
5.15 Detalhe da barreira com derivao, no diagrama CNEA, e sua modelagem em

rede bayesiana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
5.16 Relaes determinsticas (regras) para definio do tratamento de cada combi-

nao de ndices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
5.17 Utilizao e manuteno do sistema de gerenciamento de riscos . . . . . . . . 131
6.1 Contextualizao das aplicaes nas empresas Eletrosul e Celesc . . . . . . . . 140
6.2 Fases da metodologia abordadas na aplicao no DMS da Eletrosul . . . . . . . 141
6.3 Emisso de SF6 pelos parceiros do programa de reduo de emisso de SF6 no

setor eltrico da agncia de proteo ambiental norte-americana . . . . . . . . 143
6.4 Algumas das tcnicas e ferramentas utilizadas na gesto do projeto MITISF6 . 144
6.5 Algumas das tcnicas e ferramentas utilizadas na fase do delineamento infor-
macional do projeto MITISF6 . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.6 Diagrama raiz da IDEF0 dos processos relacionados manipulao do SF6 . . 147
6.7 Algumas das tcnicas e ferramentas utilizadas na fase do delineamento concei-

tual do projeto MITISF6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
6.8 Diagrama A0 da IDEF0 dos processos relacionados manipulao do SF6 . . . 149
6.9 Imagem da tela do software OpenFMECA, verso Alpha 0.1 . . . . . . . . . . 150
6.10 CNEA do modo de falha Perda de SF6 durante o enchimento, em [A211] . . 151
6.11 Algumas das tcnicas e ferramentas utilizadas na fase do delineamento prelimi-

nar do projeto MITISF6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
6.12 Fluxograma para controle do uso e solicitao de SF6 parte 1 . . . . . . . . . 155
6.13 Sugesto de etiqueta de identificao dos cilindros de SF6 . . . . . . . . . . . . 156
6.14 Fases da metodologia abordadas na aplicao no nvel do sistema tcnico, na

Eletrosul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
6.15 Fotografia de disjuntores Merlin Gerin FA4 (550kV) . . . . . . . . . . . . . . 160
6.16 Mdulo de um disjuntor FA4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
6.17 Diagrama FTA da falha Anel de vedao com deformao permanente . . . . 163
6.18 Fases da metodologia abordadas na aplicao na Celesc . . . . . . . . . . . . . 165
6.19 Estrutura da instruo para contingncia (apresentada no Anexo A) . . . . . . . 170
A.1 Tela de apresentao do OpenFMECA . . . . . . . . . . . . . . . . . . . . . . 207
A.2 Tela de cadastro de sistemas, nas configuraes . . . . . . . . . . . . . . . . 208
A.3 Tela de seleo de participante, nas configuraes . . . . . . . . . . . . . . . 209
A.4 Tela de cadastro de participante, nas configuraes . . . . . . . . . . . . . . 209
A.5 Tela de elaborao da FMECA do DMS . . . . . . . . . . . . . . . . . . . . . 210
A.6 Tela de uma avaliao de ndices . . . . . . . . . . . . . . . . . . . . . . . . . 212
A.7 Parte da tela de uma reavaliao de ndices, aps aes . . . . . . . . . . . . . 213
A.8 Tela de um diagrama de sequncia . . . . . . . . . . . . . . . . . . . . . . . . 214

Lista de quadros
2.1 Comparativo entre algumas definies de risco e elementos que o compem . . 32
2.2 Definio de risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.3 Definio de incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.4 Classificao de um incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.5 Tipos de planos inseridos na continuidade do negcio . . . . . . . . . . . . . . 46
2.6 Nveis para gesto de risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.7 Terminologia proposta para gerenciamento de risco . . . . . . . . . . . . . . . 49
3.1 Comparativo entre algumas metodologias de gerenciamento de risco . . . . . . 73
3.2 Designaes relativas aceitao do risco, utilizadas na gesto de continuidade

e de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.1 Referncias bibliogrficas recomendadas . . . . . . . . . . . . . . . . . . . . . 80
4.2 Exemplo de parte de FHA de um ATCC . . . . . . . . . . . . . . . . . . . . . 89
4.3 Exemplo de parte dos objetivos de segurana . . . . . . . . . . . . . . . . . . 90
4.4 Exemplo de tabela para FMECA . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.5 Elementos utilizados na CNEA . . . . . . . . . . . . . . . . . . . . . . . . . . 94
5.1 Entradas, processos, tcnicas & ferramentas e sadas para a fase de delinea-
mento informacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
mento conceitual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.3 Lista de perigos com potencial impacto segurana e continuidade / disponi-

bilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
5.4 Tabela de relaes do ndulo CA3 da rede bayesiana da Figura 5.14 . . . . . 118
5.5 Escala dos ndices de severidade, ocorrncia e dificuldade de deteco . . . . . 120

mento preliminar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
mento detalhado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.8 Sugesto de estrutura para planos de continuidade de uma organizao de mdio

porte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
5.9 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de implemen-
tao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.10 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de utilizao . 131
5.11 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de reviso do
SGR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
5.12 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de desativao 134
6.1 GWP de alguns gases para 100 anos de horizonte de tempo . . . . . . . . . . . 142
6.2 Descrio da funo gerenciar insumos [A1] . . . . . . . . . . . . . . . . . 148
6.3 FMEA do modo de falha potencial Perda de SF6 durante o enchimento, em

[A211] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
6.4 Anlise funcional da placa de fechamento . . . . . . . . . . . . . . . . . . . . 162
6.5 Estrutura dos IDEF0 feitos para o call center e o COD . . . . . . . . . . . . . 167
6.6 Estrutura cronolgica da instruo . . . . . . . . . . . . . . . . . . . . . . . . 171
A.1 Contedo da barra lateral direita para diferentes elementos da FMECA selecio-
nados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Lista de siglas
Siglas das organizaes ou unidades organizacionais citadas no texto:
ABNT Associao Brasileira de Normas Tcnicas
ABS American Bureau of Shipping
ANEEL Agncia Nacional de Energia Eltrica
ANS American Nuclear Society
ANSI American National Standards Institute
ASME American Society of Mechanical Engineers
BCI Business Continuity Institute
BSI British Standards Institution
Celesc Centrais Eltricas de Santa Catarina S.A.
CNPq Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico
COD Centro de operao da distribuio da Celesc
DMS Departamento de Manuteno do Sistema da Eletrosul
DNV Det Norsk Veritas
DOD Department of Defense / United States of America
DRI Disaster Recovery Institute International
FAA Federal Aviation Administration / United States of America
HSE Health and Safety Executive
ICAO International Civil Aviation Organization
IEC International Electrotechnical Commission

IMO International Maritime Organization
ISO International Organization for Standardization
JAA European Joint Aviation Authoritie
KTDMS Knowledge Tree Document Management System
MIT Massachusetts Institute of Technology / United States of America
NASA National Aeronautics and Space Administration / United States of America
NeDIP Ncleo de Desenvolvimento Integrado de Produtos
OGC Office of Government Commerce / United Kingdom
PMI Project Management Institute
SAE Sociedade de Engenheiros da Mobilidade
UFSC Universidade Federal de Santa Catarina
USNRC United States Nuclear Regulatory Commission
Outras siglas utilizadas no texto:
ALARA As low as reasonably achievable (To baixo quanto se possa considerar razovel
aceitar)
ALARP As low as reasonably practicable (To baixo quanto e razoavelmente praticvel)
ATCC Air traffic control center (Central de controle de trfego areo)
BCM Business continuity management (Gerenciamento da continuidade do negcio)
BIA Business impact analysis (Anlise do impacto no negcio)
BTA Bow-tie analysis (Anlise gravata borboleta)
CNEA Causal network event analysis (Anlise de eventos por rede causal)
CRM Continuous risk management (Metodologia da NASA para gerenciamento de

risco contnuo)
DAG Directed acyclic graph (Grafos acclicos direcionados)

DMS Document management system (Sistema de gerenciamento de documentos)
EATMP European air traffic management programme (Programa europeu de

gerenciamento de trfego areo)
EMC Departamento de Engenharia Mecnica da UFSC
ESD Event sequence diagram (Diagrama sequencial de eventos)
ET&A Educations, training and awarenes (Educao, treinamento e conscientizao)
ETA Event tree analysis (Anlise por rvore de evento)
FAR Federal aviation regulations
FHA Functional hazard assessment (Anlise / avaliao do perigo funcional)
FMEA Failure modes effects and analysis (Anlise do modo de falha e seus efeitos)
FMECA Failure modes, effects and criticality analysis (Anlise do modo de falha, efeitos
e criticidade)
FSA Formal safety assessment (Anlise / avaliao formal de segurana)
FTA Fault tree analysis (Anlise por rvore de falha)
Gross CAF Gross cost of averting a fatality (Custo bruto para evitar uma fatalidade)
GWP Global warming potential (Potencial efeito-estufa)
HAZOP Hazard and operability (Perigos e operacionalidade)
IDEF0 Integration definition for function modeling
JAR Joint airworthiness requirements
MTO Maximum tolerable outage (Tempos mximos de interrupo tolervel)
NetCAF Net cost of averting a fatality (Custo lquido para evitar uma fatalidade)
NPR Nmero de prioridade de risco (Risk priority number)
PDP Processo de desenvolvimento de produto
P&D Pesquisa e desenvolvimento
PRA Probabilistic risk assessment (Avaliao probabilstica de risco)

PSSA Preliminary system safety assessment (Anlise / avaliao preliminar de
segurana do sistema)
QFD Quality function deployment (Desdobramento da funo qualidade)
RBD Reliability block diagram (Diagramas de blocos confiabilsticos)
RPO Recovery point objective (Objetivos para os pontos de recuperao)
RVSM Reduced vertical separation minimum (Reduo da distncia vertical mnima)
SADT Structured analysis and design technique (Tcnica de delineamento e anlise

estruturada)
SAM Safety assessment methodology (Metodologia de anlise / avaliao de

segurana do EATMP)
SGR Sistema de gesto de risco (Risk managment system)
SSA System safety assessment (Anlise / avaliao de segurana do sistema)
STAMP Systems-theoretic accidents model and processes (Modelo de acidente pela

teoria dos sistemas)
TI Tecnologia de informao (Information technology)
WBS work breakdown structure (Desdobramento da estrutura de trabalho)

Lista de smbolos e operadores
P(A) Probabilidade da varivel aleatria A
P(a) Probabilidade da varivel aleatria A ser igual ao valor a ou P(A = a)
P(a) Probabilidade da varivel aleatria A no ser igual ao valor a, que complementar

a P(a)
P(B|A) Probabilidade condicional da varivel aleatria B dada a ocorrncia da varivel alea-

tria A
i ndices de iterao
Infinito
R
Integral
Parmetro desconhecido de uma distribuio
f ( ) Funo densidade de probabilidade do parmetro
E( ) Valor esperado do parmetro
Estimador do parmetro desconhecido

Sumrio
1 Introduo 22
1.1 Motivao para a seleo do tema . . . . . . . . . . . . . . . . . . . . . . . . 23
1.2 Objetivos do trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.2.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.2.2 Especficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.3 Definio do escopo do trabalho . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.4 Diretrizes utilizadas para o desenvolvimento da metodologia . . . . . . . . . . 28
1.5 Estrutura deste documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2 Conceitos e nomenclatura relativos gesto de risco 30
2.1 Nomenclatura adotada neste trabalho . . . . . . . . . . . . . . . . . . . . . . . 30
2.2 Modelagem de um incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.3 Gerenciamento de segurana e de continuidade . . . . . . . . . . . . . . . . . 43
2.4 Consideraes finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3 Abordagens de gerenciamento de risco em diferentes setores 51
3.1 Gesto de risco no setor nuclear . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.2 Gesto de risco no setor martimo . . . . . . . . . . . . . . . . . . . . . . . . 55
3.3 Gesto de risco no setor areo . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3.4 Gesto de risco no setor aeroespacial . . . . . . . . . . . . . . . . . . . . . . . 62
3.5 Gesto de risco no setor empresarial, quanto ao gerenciamento de continuidade 65
3.6 Gesto de risco no setor eltrico brasileiro . . . . . . . . . . . . . . . . . . . . 69

4 Principais tcnicas usadas para dar suporte metodologia de gerenciamento de
risco 80
4.1 IDEF0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.2 Abordagem bayesiana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.2.1 Atualizao bayesiana . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.2.2 Redes bayesianas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.3 rvore de falha (FTA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.4 rvore de eventos (ETA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.5 Diagrama sequencial de eventos (ESD) . . . . . . . . . . . . . . . . . . . . . . 88
4.6 Anlise / avaliao dos perigos funcionais (FHA) . . . . . . . . . . . . . . . . 89
4.7 Anlise do modo de falha, efeitos e criticidade (FMECA) . . . . . . . . . . . . 90
4.8 Anlise bow-tie (BTA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.9 Anlise de eventos por rede causal (CNEA) . . . . . . . . . . . . . . . . . . . 93
5 Metodologia de gerenciamento de risco desenvolvida 98
5.1 Estrutura da metodologia de gerenciamento de risco . . . . . . . . . . . . . . . 98
5.2 Fluxogramas de representao da metodologia desenvolvida . . . . . . . . . . 102
5.3 Detalhamento das etapas da metodologia . . . . . . . . . . . . . . . . . . . . . 110
5.3.1 Etapa de delineamento . . . . . . . . . . . . . . . . . . . . . . . . . . 110
5.3.1.1 Fase do delineamento informacional . . . . . . . . . . . . . 110
5.3.1.2 Fase do delineamento conceitual . . . . . . . . . . . . . . . 113
5.3.1.3 Fase do delineamento preliminar . . . . . . . . . . . . . . . 123
5.3.1.4 Fase do delineamento detalhado . . . . . . . . . . . . . . . . 127
5.3.2 Etapa de implementao . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.3.3 Etapa de utilizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.3.4 Etapa de reviso do SGR . . . . . . . . . . . . . . . . . . . . . . . . . 133

5.3.5 Etapa de desativao . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
5.4 Ferramenta computacional OpenFMECA . . . . . . . . . . . . . . . . . . . . 135
6 Aplicao da metodologia de gerenciamento de risco desenvolvida 139
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional . . . . . . . . . . 140
6.1.1 Contextualizao do problema . . . . . . . . . . . . . . . . . . . . . . 141
6.1.2 Gerenciamento do projeto MitiSF6 . . . . . . . . . . . . . . . . . . . 144
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico . . . . . . . . . . . . . . 157
6.3 Aplicao na Celesc, no mbito da unidade organizacional . . . . . . . . . . . 164
6.3.2.1 Fases do delineamento informacional e conceitual . . . . . . 167
6.3.2.2 Fases do delineamento preliminar . . . . . . . . . . . . . . . 168
6.3.2.3 Fases do delineamento detalhado . . . . . . . . . . . . . . . 169
6.4 Avaliao da metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
6.4.1 Avaliao com base nas consideraes feitas pelas empresas onde foram
realizados os estudos de caso . . . . . . . . . . . . . . . . . . . . . . . 172
6.4.2 Avaliao com base em requisitos identificados . . . . . . . . . . . . . 176
7 Concluses e recomendaes para trabalhos futuros 181
7.1 Anlise dos resultados e identificao das contribuies . . . . . . . . . . . . . 181
7.2 Recomendaes para trabalhos futuros . . . . . . . . . . . . . . . . . . . . . . 185
Referncias 187
Glossrio 197
Apndice A -- Ferramenta computacional OpenFMECA 204
A.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
A.1.1 Ferramenta colaborativa . . . . . . . . . . . . . . . . . . . . . . . . . 206
A.1.2 FMECA estruturado . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
A.1.3 FMECA / CNEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
A.1.4 CNEA / Bayesiano . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
A.1.5 IDEF0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
A.1.6 FTA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
A.2 Apresentao da verso .1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
A.2.1 Concepo do software . . . . . . . . . . . . . . . . . . . . . . . . . . 212
A.2.2 Aspectos relevantes do software . . . . . . . . . . . . . . . . . . . . . 215
Anexo A -- Instruo para atendimento em estado de contingncia 217

22
1 Introduo
O presente trabalho versa sobre gerenciamento de risco focando no somente os possveis

danos ao homem, ao meio ambiente e ao sistema tcnico resultantes de um incidente, mas
tambm os riscos de o negcio ser interrompido pela ocorrncia deste evento indesejado.
Kirchsteiger (1999) define sistemas como sendo um agrupamento de elementos que operam
em conjunto, relacionando-se, a fim de atingir algum objetivo. O sistema tcnico pode, ento,
ser entendido como um conjunto de equipamentos e instalaes que tem uma (ou mais) funo
para ser desempenhada e, a todo momento, interage com o ambiente, o homem e outros sistemas
tcnicos, influenciando e sendo influenciado1 .
Unidade organizacional, por sua vez, pode ser entendida como uma parte da organizao
(normalmente departamentos, setores, etc) composta por sistemas tcnicos e colaboradores, a
fim de desempenhar uma ou mais funes interagindo com outras unidades organizacionais e
com outras organizaes, influenciando e sendo influenciada.
interessante observar que as consequncias de um incidente, no sistema tcnico e na uni-

dade organizacional, podem interferir tanto na manuteno de sua funo, quanto na integridade
de bens (incluindo o prprio sistema tcnico), do homem e/ou do ambiente.
As questes relacionadas aos danos, principalmente as que se referem ao homem e ao meio

ambiente, tm sido tratadas pelo gerenciamento de segurana, enquanto as relacionadas s in-
terrupes, na operao do negcio, vm sendo tratadas pelo gerenciamento da continuidade do
negcio que um conceito ampliado do planejamento de contingncias.
Observe-se que a diferena entre esses dois sistemas de gesto est no tipo da consequn-
cia do incidente. No entanto, ambos so sistemas de gerenciamento de risco, embora sejam
tratados, em grande parte da literatura e na prtica nas empresas, de forma separada.
Este trabalho objetiva elaborar uma metodologia que possibilite tratar esses dois aspectos
em apenas um sistema de gerenciamento de risco. Esta uma percepo que vem sendo dis-
1A nomenclatura adotada neste trabalho est sendo apresentada ao longo do texto e, tambm, no Glossrio.
1.1 Motivao para a seleo do tema 23
cutida a partir da anlise dos grandes sistemas, em que o problema do risco da segurana no
pode mais ser visto dissociado da continuidade operacional.
A metodologia desenvolvida tem seu foco no sistema tcnico e na unidade organizacional

em que est inserido; contudo, contextualiza o sistema de gesto de risco desde o planejamento
estratgico da organizao pois o sistema tcnico existe para desempenhar alguma funo
requerida pelo negcio.
1.1 Motivao para a seleo do tema
A literatura reconhece que desastres podem ser deflagrados por diferentes tipos de perigo,
tais como: perigos naturais (furaces, enchentes, por exemplo), biolgicos, civis e tecnolgicos.
Para tratar esses incidentes, Chapman (2005) conclui que, para se progredir, so necessrios
melhores modelos conceituais e estruturas que revelem a complexidade dos sistemas, tornando-
os mais transparentes, e abordagens de gerenciamento de risco mais satisfatrias.
Catstrofes como a ocorrida na China em 13 de novembro de 2005 onde cerca de 100

toneladas de benzeno foram jogadas no rio Songhua, depois de um incidente em uma indstria
qumica, afetando milhares de habitantes da China e Rssia (BBC BRASIL, 2005) demonstram
a importncia do desenvolvimento de pesquisas no contexto da segurana.
Infelizmente, tambm ocorreram incidentes no Brasil que poderiam ter suas consequncias
mitigadas, caso tivessem sido estabelecidas barreiras para isso. Em algumas situaes, sequer
foram dimensionados os impactos do incidente, como exposto no texto extrado do Jornal da
Cmara:
O mdico do Sindicato dos Qumicos de So Paulo, Roberto Ruiz, confirmou a

ocorrncia de alteraes hepticas e neurolgicas e problemas de tireoide nos
trabalhadores da fbrica de pesticidas da Shell de Paulnia (SP). Eles foram
expostos contaminao por produtos txicos que vazaram das instalaes, em
acidente ocorrido em 1995, que atingiu tambm moradores da rea prxima
fbrica. (BRASIL, 2003, p. 4).
A necessidade de um programa de gerenciamento da continuidade do negcio (BCM

business continuity management) ficou evidenciada no episdio do bug do milnio. Salda-
nha (2000) constata que parte do mrito de o termo continuidade ser atualmente adotado se
deve ao fato de as organizaes, diante do bug do milnio, perceberem que a recuperao de
desastre apenas uma parte da continuidade.
Desastres, crises ou perturbaes prolongadas podem resultar em perdas de ativos vitais

para a organizao, de fatia de mercado e / ou do momento oportuno do negcio (KARAKASIDIS,
1997). Mesmo uma interrupo ou um desastre menor podem causar danos irreversveis
organizao e a sua imagem pblica (BOTHA; VON SOLMS, 2004).
Apesar de ser possvel calcular as perdas financeiras de uma interrupo, geralmente o

impacto mais significativo quanto reputao e perda da confiana nos resultados pela m
gesto do incidente. Por outro lado, um incidente bem gerenciado pode trazer uma melhora na
reputao da organizao e da equipe de gestores (BCI, 2005).
Alguns rgos reguladores, como o UK Financial Services Authority, consideram que o

BCM um custo inerente aos negcios e precisa ser devidamente financiado (BCI, 2005).
A certificao BS 7799 (norma da BSI British Standards Institution equivalente a ISO

17799) em sistema de gesto da segurana da informao, que contempla a gesto da continui-
dade, uma evidncia de que o assunto est ganhando importncia e ocupa posio similar aos
sistemas de gesto da qualidade e de meio ambiente (ISO 9000 e 14000, respectivamente).
Mais recentemente, a BSI publicou a norma BS259992 que substituiu a especificao

PAS-563 (publicly available specification) , que define um cdigo de prticas (parte 1) e espe-
cificaes (parte 2) para programas de BCM, no se restringindo a sistemas de informao (BCI,
2005), como a norma ABNT ISO/IEC 17799 o que demonstra a preocupao dos gestores em
atender a todas as reas necessrias para manter o negcio.
Assim, pesquisas relacionadas ao risco so oportunas e fundamentais para atenuar as con-

sequncias de incidentes.
No Brasil, os estudos sobre segurana e, principalmente, sobre continuidade ainda so in-

cipientes. A necessidade de desenvolver atividades nestas reas fica evidente em estudos como
o de Anlise dos procedimentos para operao e manuteno na gerao de energia eltrica no
Brasil, desenvolvido pela UFSC junto ANEEL e publicado no seminrio da ANEEL/2000
(DIAS et al., 2000). Neste trabalho foi constatado que os maiores percentuais de no conformida-
des, das 36 hidroeltricas e 5 termoeltricas analisadas, foram quanto aos planos de segurana
das plantas (76%), planos de aes de emergncia (49%) e planos contingenciais de cheias
(38%).
Sistemas tcnicos nos setores de gerao e fornecimento de energia, areo, petrleo, gs,
naval, siderurgia, qumica, etc., tm importncia destacada para a sociedade, quer pelo potencial
de gerar danos, quer pela dependncia que a sociedade tem de seus produtos.
2 Vide BSI (British Standards Institutio). BS 25999-1: Business continuity management Code of practice.
ISBN: 0 580 49601 5. BSI, 2006 e BSI (British Standards Institutio). BS 25999-2: Specification for business
continuity management. ISBN: 978 0 580 59913 2 . BSI, 2007.
3 Vide: BSI (British Standards Institutio). PAS 56: Guide to business continuity management. ISBN: 0 580
41370 5. BSI, 2003.

Note-se que, para um pequeno escritrio de contabilidade, por exemplo que normalmente
no portador de risco com potenciais significativos de dano ao homem ou ao ambiente , a
questo chave passa a ser a continuidade.
No entanto, organizaes como uma usina nuclear para gerao de energia eltrica primam
fundamentalmente pela segurana. Um incidente nesse ambiente pode ter consequncias ca-
tastrficas. Assim, as tomadas de decises so sempre conservativas, no sentido da segurana
mesmo que isto implique interromper o negcio, obrigando o sistema eltrico a se balan-
cear com a gerao de outras usinas. Neste caso, a continuidade levada a um segundo plano,
embora prioritria para a sobrevivncia da empresa.
Para Nicki Dennis, responsvel pela rea de desenvolvimento de mercado de risco da British
Standards, eventos recentes tm enfatizado a necessidade de as companhias integrarem conti-
nuidade de negcio e o gerenciamento de risco s estratgias da corporao, a fim de minimizar
as perdas ou danos s finanas, s pessoas ou reputao da organizao (WANE, 2005).
De fato, para empresas como uma distribuidora de energia eltrica, tanto os aspectos de se-
gurana quanto os de continuidade so fundamentais. Se, por um lado, a segurana prioritria,
por outro, uma interrupo prolongada do fornecimento de energia pode implicar consequncias
severas para a sociedade.
Em uma pesquisa junto a duas empresas do setor de energia eltrica que tm programas de
gerenciamento de risco (uma geradora, transmissora e distribuidora; e outra geradora), foi pos-
svel constatar que a preocupao em garantir a continuidade operacional, usualmente, parte da
iniciativa pessoal ou de um pequeno grupo, que consegue demonstrar a necessidade de preparar
a empresa para a ocorrncia de eventos indesejados.
As duas empresas mantm uma estrutura considervel objetivando garantir a continuidade

operacional vide Captulo 3. No entanto, nenhuma das empresas estudadas dispunha de uma
metodologia que desse suporte implementao de seus respectivos programas.
De fato, o interesse da organizao continuar operando manter a continuidade. No

entanto, no pode, com isto, comprometer a segurana da comunidade, de seus colaboradores
ou do meio ambiente.
Por outro lado, dependendo do tipo de negcio da organizao, uma interrupo prolongada
tambm pode implicar risco de dano para o homem e o ambiente.
A segurana colocada pelos autores (BCI, 2005; HENG, 1996; SAVAGE, 2002; SALDANHA,
2000, e outros) como um requisito primordial no gerenciamento de continuidade, que desta-
cam a necessidade de sempre considerar este requisito ao elaborar os planos. No entanto, no
1.2 Objetivos do trabalho 26
apresentam uma metodologia que traga, de forma integrada, os conceitos de gerenciamento da

continuidade e de gerenciamento da segurana.
Portanto, ficou evidente a necessidade de integrar a gesto destes dois atributos, o que
contribuir para uma abordagem de gerenciamento de risco mais satisfatria que Chapman
(2005) concluiu ser necessria.
Mas como integrar estes dois conceitos de gesto? De que forma os riscos dos sistemas
devem ser abordados para considerar os aspectos relativos segurana e continuidade? Quais
riscos devem ser reduzidos e quais aceitos? Como proceder na avaliao dos riscos para decidir
quais devem ser priorizados na utilizao dos recursos da organizao? Como se planejar para
a ocorrncia dos incidentes identificados?
1.2 Objetivos do trabalho
Diante do que j foi exposto e a fim de responder s questes anteriores, apresenta-se este
trabalho de doutorado, que tem os objetivos expostos a seguir.
1.2.1 Geral
O objetivo geral do trabalho desenvolver uma metodologia para gerenciamento de risco

com foco em unidades organizacionais e em sistemas tcnicos durante o uso, integrando o
gerenciamento da continuidade e o gerenciamento de segurana em um nico sistema de gesto.
Entende-se que este objetivo geral contempla sistemas j existentes e os que vo entrar em
operao neste caso, pode-se contribuir tambm com a etapa de projetao.
1.2.2 Especficos
Para se alcanar o objetivo geral deste trabalho, prevem-se os seguintes objetivos especfi-
cos:
1. compatibilizar conceitos e nomenclatura adotados no gerenciamento de segurana e de

continuidade;
2. propor e sistematizar tcnicas de suporte consolidadas que possam contribuir com a uni-
ficao do gerenciamento de risco;
3. desenvolver uma estrutura de trabalho que integre essas tcnicas; e
1.3 Definio do escopo do trabalho 27
4. desenvolver ferramenta computacional (software) para dar suporte utilizao da tcnica

FMECA.
1.3 Definio do escopo do trabalho
Diante da motivao e dos objetivos apresentados, constata-se que a metodologia desenvol-

vida mostra-se mais interessante para organizaes relacionadas com algum empreendimento
que seja portador de riscos segurana e continuidade ficando fora do escopo, por exemplo,
o estudo de desastres no mbito da sociedade, que foco do Sistema Nacional de Defesa Civil.
Assim, uma organizao na qual os riscos significativos sejam relacionados apenas a siste-
mas de informaes teria poucos benefcios em adotar a metodologia desenvolvida em substi-
tuio a uma de gerenciamento da continuidade. No entanto, a metodologia aborda a gesto de
risco continuidade de forma estruturada em contraposio maior parte das metodologias
de gesto da continuidade levantadas durante este trabalho, que so mais holsticas ; desta
forma, a metodologia apresentada neste trabalho pode trazer benefcios para a implementao
do sistema de gesto.
J para empresas como refinarias de petrleo; distribuidoras de energia eltrica; indstrias

qumicas; e outras organizaes que lidam com grande potencial de dano, e tambm tm grandes
prejuzos no caso de uma interrupo no negcio tanto para a organizao (financeiros,
imagem da organizao, etc.) quanto para a sociedade , os benefcios por adotar a metodologia
desenvolvida so mais evidentes.
Portanto, a metodologia deve ser adaptada s peculiaridades de cada setor e organizao, j

que as necessidades e a disponibilidade de recursos so distintas, apesar de compartilharem das
mesmas dificuldades na gesto dos riscos (BOTHA; VON SOLMS, 2004).
A metodologia desenvolvida est direcionada para a etapa de uso do sistema tcnico e da

unidade organizacional em que ele est inserido; contudo, leva em considerao a organizao
de maneira geral. Tambm no razovel pensar na etapa do uso sem ter como referncia o
ciclo de vida do sistema tcnico particularmente, a fase de processo de projeto. interessante
notar que muitos sistemas tcnicos, hoje em funcionamento, foram projetados h algum tempo,
em muitos casos sem o suporte de uma metodologia que tratasse de todas as fases do ciclo de
vida. Assim, neste contexto, o trabalho foi desenvolvido para ser aplicado etapa de uso, mas
a sistematizao da informao deve alimentar o projeto. Isto porque, na gesto de risco,
requerido tratar atributos de confiabilidade, mantenabilidade e segurana, sendo que a melhoria
destes atributos s possvel pela ao de projeto. A Figura 1.1 ilustra este ciclo de vida sem
1.4 Diretrizes utilizadas para o desenvolvimento da metodologia 28
apresentar as realimentaes (da etapa de uso para o projeto, por exemplo).
Planejamento Projetao Implementao Uso Descarte
Figura 1.1: Ciclo de vida de um produto (um sistema tcnico, por exemplo), desconsiderando
as realimentaes
Note-se que, ao tratar o risco, pode-se evidenciar a necessidade de fazer alteraes no sis-
tema estudado, o que caracteriza um reprojeto dele.
importante salientar que este trabalho procura contribuir para uma abordagem de gerenci-
amento de risco mais satisfatria, mas no tem pretenso de desenvolver modelos para descrever
a complexidade dos sistemas ou que possibilitem o completo levantamento dos perigos a que a
organizao pode estar exposta.
Por fim, esclarece-se que a elaborao desta metodologia oportuna e est aderente a estu-
dos que vm sendo veiculados no campo cientfico e na elaborao de normas tcnicas. Versa,
portanto, sobre um tema que est sendo estruturado h muito pouco tempo e deve assim contri-
buir com algum conhecimento, sem ter a pretenso de esgotar o assunto.
1.4 Diretrizes utilizadas para o desenvolvimento da metodo-

logia
A fim de orientar o desenvolvimento deste trabalho de doutorado, foram adotadas de

maneira geral algumas diretrizes, a saber:
Para fazer a fundamentao da metodologia, optou-se por seguir duas linhas: (1) pesquisa
bibliogrfica sobre gesto da seguraa, gesto da continuidade e gesto de rico de maneira
geral; e (2) pesquisa de campo, estudando sistemas de gesto de risco j implementados
e participando da implementao de outros.
Uma vez que um sistema de gesto de risco pode ser entendido como um produto que se
deseja desenvolver, optou-se por organizar a metodologia de gesto de risco com base na
estrutura do PDP (processo de desenvolvimento de produto), destacadamente o modelo
PRODIP vide (BACK et al., 2008).
Para dar suporte metodologia de gesto de risco, optou-se por utilizar tcnicas e modelos
1.5 Estrutura deste documento 29
consagrados, a exemplo do modelo da corrente causal de Mosleh & Dias4 e das tcnicas
FMECA, FTA, entre outras. Sendo que, na necessidade de se desenvolver alguma tcnica,
esta deveria ser baseada em outras j consagradas.
Para compatibilizar os conceitos e nomenclatura adotados no gerenciamento de segurana
e de continuidade, optou-se por seguir, sempre que pertinente, os termos e definies
apresentados na norma ABNT ISO/IEC Guia 735 .
Para a concepo da ferramenta computacional (software), optou-se pelo modelo de de-
senvolvimento incremental; pelo paradigma de programao orientado a objetos; e pela
estruturao em camadas, no caso: armazenamento (base de dados), aplicao e interface.
1.5 Estrutura deste documento
Este documento est estruturado em sete captulos, conforme apresentados a seguir.
O Captulo 2 aborda o gerenciamento de risco apresentando conceitos e nomenclatura.
No Captulo 3, apresenta-se como abordada a gesto de risco em algumas reas de aplica-

o, e, no Captulo 4, apresentam-se algumas tcnicas de suporte utilizadas no gerenciamento
de risco.
No Captulo 5, apresenta-se a metodologia desenvolvida, e, no Captulo 6, est apresentada

sua aplicao.
Por fim, no Captulo 7, apresentam-se as concluses e recomendaes para trabalhos futu-

ros.
4 Vide: Mosleh & Dias (2004) e Mosleh et al. (2004).

5 Vide: ABNT (2005).
30
2 Conceitos e nomenclatura relativos

gesto de risco
Neste captulo, esto apresentados alguns conceitos e nomenclatura referentes gesto de

risco. Na prxima seo, fazem-se consideraes sobre a terminologia adotada por alguns au-
tores e, tambm, prope-se a definio de termos, a fim de atender a um dos objetivos deste
trabalho, que compatibilizar conceitos e nomenclatura adotados no gerenciamento de segu-
rana e de continuidade. Posteriormente, na Seo 2.2, apresentam-se os conceitos e nomen-
clatura referentes modelagem de um incidente e, na Seo 2.3, referentes ao gerenciamento
de segurana, de continuidade e de disponibilidade. Por fim, na Seo 2.4, apresentam-se as
consideraes finais sobre este captulo.
2.1 Nomenclatura adotada neste trabalho
De acordo com Bernstein (1997), o termo risco uma derivao do italiano antigo ris-
care (que, por sua vez, deriva do baixo-latim risicu, riscu), que significa ousar.
interessante destacar que o risco inerente a qualquer empreendimento, e nossa cultura

aceita o risco como o motor propulsor do progresso (MORAND DEVILLER, 2005).
Desta forma, companhias, firmas, instituies, rgos de governo, fundaes e outras enti-
dades que sero designadas, neste trabalho, por organizaes , independente da natureza
do empreendimento (com ou sem fins lucrativos), esto inevitavelmente sujeitas a algum tipo
de risco, que deve ser gerenciado.
O gerenciamento de risco, para Ayyub (2005), consiste na anlise e no controle do risco.

Anlise definida como um processo tcnico e cientfico pelo qual os riscos de um sistema, em
uma dada situao, so modelados, quantificados e ponderados. Quanto ao controle, este inclui
a preveno do incidente e a mitigao de suas consequncias.
A norma ABNT ISO/IEC Guia 73 (ABNT, 2005), por sua vez, salienta que a gesto do risco
2.1 Nomenclatura adotada neste trabalho 31
engloba a anlise / avaliao, o tratamento, a aceitao e a comunicao de riscos sendo esta

ltima a troca ou compartilhamento das informaes sobre o risco com as partes envolvidas
(stakeholders).
Note-se que o tratamento e a aceitao de riscos vo no sentido de control-los, como

proposto por Ayyub (2005).
A anlise / avaliao envolve a identificao dos riscos a que se est exposto, e a avaliao
destes baseada em critrios pr-definidos. Desta forma, podem-se assumir, para cada risco, trs
estratgias de tratamento1 no excludentes:
evitar o risco;
transferir o risco; e
reduzir o risco.
A ideia de se evitar o risco, apesar de bastante atraente, implica eliminar o perigo, pois
somente assim no se correria risco uma vez que no possvel eliminar totalmente a incerteza
de o perigo vir a se tornar um incidente. Ademais, todo sistema tcnico portador de perigo
(DIAS et al., 2005), o que implica que a organizao, de alguma forma, est sujeita a algum nvel
de risco.
A transferncia do risco est associada contratao de seguro ou terceirizao do

sistema tcnico que est exposto ao risco, ou seja, transferir para outros a responsabilidade pelo
incidente o que, por si s, no exclui o risco do ciclo de vida2 . Esta estratgia no objeto de
estudo deste trabalho, apesar de ser considerada na metodologia desenvolvida.
A opo de reduzir o risco, por sua vez, prope que ele seja trabalhado a fim de diminuir
a probabilidade de ocorrncia do incidente e / ou seus efeitos. Pode-se reduzir a probabilidade
do risco at um patamar que se considere insignificante, aceitando conviver com este nvel de
risco.
A norma ABNT ISO/IEC Guia 73 (ABNT, 2005) inclui ainda uma quarta estratgia para o
tratamento, que a reteno. O conceito de reteno est associado alternativa de se aceitar
um risco mesmo quando ele est acima dos limites estabelecidos chamados de relutantemente
aceitos por Kumamoto & Henley (1996). Esta estratgia pode no parecer prudente, mas, em
alguns casos, pode ser a melhor opo. Esta deciso passa, ento, por uma anlise de custo /
risco / benefcio. interessante salientar que o processo de reteno do risco tambm inclui os
1 No h um consenso quanto aos termos para designar as estratgias. O PMBOK (PMI, 2004), por exemplo,
adota para os riscos negativos: prevenir; transferir; mitigar; e no distingue reter de aceitar. Assim, neste
trabalho, ser adotada a nomenclatura apresentada na ABNT, por consider-la mais adequada.
2 A norma ABNT ISO/IEC Guia 73 (ABNT, 2005) no inclui a tercerizao como uma forma de transferncia.
riscos que a organizao no sabe que existem os chamados involuntariamente retidos.
Observe-se que, ao reter um risco, no se est efetivamente fazendo o tratamento dele. As-
sim, neste trabalho, o processo de reteno est sendo considerado como um tipo de aceitao.
Tanto para o caso de se aceitar o risco ou ret-lo, ainda possvel planejar para a ocorrncia
do incidente, a fim de mitigar suas consequncias o que designado aceitao ativa. Esta pr-
tica fomentada por muitas seguradoras e tem resultado em redues nos valores das aplices
(SALDANHA, 2000).
Desta forma, a escolha no est entre risco e ausncia de risco, mas entre risco aceit-
vel e risco inaceitvel o que depender da disposio do analista de ousar, j que o futuro
incerto.
De fato, o conceito de risco est associado incerteza de um resultado. No entanto, no

existe um consenso quanto definio de risco e aos elementos que o compem. possvel
dar diferentes abordagens ao risco dependendo do enfoque que se quer dar, como ilustrado no
Quadro 2.1 que apresenta um comparativo entre as definies de risco elaboradas por diversos
autores.
Note-se que todas as definies consideram a incerteza do resultado como um componente

do risco.
Bhlmann (1970) aborda o risco como a relao entre o que se pode ganhar com o que se
pode perder, pois a preocupao quanto possibilidade de ocorrer o sinistro.
No contexto da segurana, Kumamoto & Henley (1996) tambm consideram o possvel

benefcio, no item significncia (que o oposto da utilidade) do perfil do risco.
interessante destacar, na definio apresentada na norma STD-8719.13A (NASA, 1997),

a incluso da metaincerteza, ou incerteza epistemolgica que tambm citada por alguns
autores, entre eles Kumamoto & Henley (1996), mesmo no estando inserida na definio.
Quadro 2.1: Comparativo entre algumas definies de risco e elementos que o compem
Fontes Definio de risco proposta pelos auto- Elementos que se po-

res dem destacar
Holton (2004) Definio geral: a exposio a algo, o Algo;
qual incerto. exposio; e
incerteza.
Saldanha (2000) Definio geral: a probabilidade de se Evento; e
concretizar um evento. incerteza.
(continua na prxima pgina)
(continuao)
res dem destacar
ABNT (2005) Definio geral:Combinao da probabi- Evento
ISO/IEC Guia 73 lidade de um evento e de suas consequn- consequncias;
cias. incerteza.
Kumamoto & Definio geral: a combinao de cinco Resultado;
Henley (1996) fatores: o resultado; a chance; a signifi- significncia;
cncia (ou a utilidade, que seu oposto); cenrio causal;
o cenrio causal (como aconteceu); e a populao;
populao afetada. incerteza.
PMI (2000) Para projetos: um evento ou uma con- Evento (ou condio);
PMBOK dio incerta, que, se ocorrer, tem efeito consequncias; e
positivo ou negativo nos objetivos do pro- incerteza.
jeto.
NASA (2005) Para projetos: a combinao de 1) Evento (ou condio);
NPR 7120.5 a probabilidade de um projeto (ou pro- consequncias; e
grama) ser atingido por um evento indese- incerteza.
jado, como sobrecustos, deslizes no cro-
nograma, etc; 2) as consequncias, im-
pacto, ou severidade do evento indese-
jado, quando ele ocorrer.
NASA (1997) Para segurana: a exposio probabi- Evento;
STD-8719.13A. lidade de ferimento ou perdas. uma fun- consequncias;
o da possvel frequncia do evento in- incerteza;
desejado ocorrer; da potencial severidade metaincerteza (incer-
das consequncias; e da incerteza associ- teza na avaliao da in-
ada com a frequncia e a severidade. certeza).
Brasil (2004) Para segurana humana: a capacidade Capacidade;
NR 10 de uma grandeza com potencial para cau- consequncias;
sar leses ou danos sade das pessoas incerteza.
Brasil (2004, p. 15).
Bhlmann (1970) Para questes de seguro: uma relao Duas variveis estocs-
entre a probabilidade de um determinado ticas:
prmio, num intervalo de tempo, e a soma Pt (prmio, num inter-
da quantia que pode ser reivindicada, isto valo de tempo); e
: o que se poder receber (num perodo St (soma da quantia
de tempo) relativo ao que se poder ter reivindicada).
que pagar.
DRJ / DRI (2005) Para recuperao de desastres: Potencial Consequncias;
Glossrio para exposio a perdas. O potencial exposio; e
usualmente medido pela probabilidade incerteza.
em anos.
(continuao)
res dem destacar
Castro et al. Para recuperao de desastres: a me- Evento (ameaa);
(2005) Manual dida de danos e prejuzos potenciais, ex- vulnerabilidade;
de defesa Civil pressa em termos de: consequncias;
do Ministrio probabilidade estatstica de ocorrn- incerteza.
da Integrao cia;
Nacional intensidade ou grandeza das con-
sequncias possveis.
Relao existente entre:

a probabilidade estatstica de que uma
ameaa de evento adverso ou de aci-
dente determinado se concretize com
uma magnitude definida;
o grau de vulnerabilidade do sistema
receptor e seus efeitos.
Kumamoto & Henley (1996) incluem, ainda, a populao afetada e o cenrio causal como
componentes do risco, que indicam, respectivamente: a proporo entre as consequncias e
a populao afetada; e os caminhos possveis para que as consequncias ocorram, sendo este
ltimo especialmente interessante para a avaliao de medidas para prevenir o incidente ou para
mitigar suas consequncias.
Observe-se que, em todas as definies, o risco representa a incerteza da alterao de um

estado inicial (que pode ser o estado atual ou um hipottico) para um determinado estado futuro
(a ocorrncia de um incidente, por exemplo).
Assim, neste trabalho, prope-se uma definio para o termo risco no Quadro 2.2, ilus-
trado na Figura 2.1.
Quadro 2.2: Definio de risco
Risco a chance de ocorrncia de um estado futuro x, dada a ocorrncia de

um estado inicial que pode ser expressa pela probabilidade condicional
P(Estado futuro x | Estado inicial) , sendo necessrio, para sua completa
caracterizao, o delineamento dos dois estados, alm dos cenrios que
possibilitem esta transio (que compem o perfil do risco).
Neste contexto, elementos como populao afetada e utilidade utilizados por Ku-
mamoto & Henley (1996) esto associados definio de estado futuro. J a incerteza epis-
temolgica est na incapacidade de caracterizar, com exatido, todos os cenrios e os estados

inicial e futuro.
Assim, pode-se entender confiabilidade como sendo a chance de um item no falhar at um

determinado estado futuro, dada a ocorrncia do estado presente isto : o risco de se manter
em operao (que um resultado positivo).
Estado
futuro 1
Cenrios
Estado
futuro 2
Estado
Estado futuro 3
inicial
....
Estado
futuro n
Figura 2.1: Representao da definio de risco
Note-se que o termo confiabilidade definido pela norma NBR 5462 (ABNT, 1994, p. 3)
como sendo a capacidade [ou habilidade] de um item desempenhar uma funo requerida sob
condies especificadas, durante um dado intervalo de tempo. No entanto, inmeros autores
incluem na definio de confiabilidade a probabilidade de ocorrncia da falha. Dias (1996)
confronta diversas definies de confiabilidade e conclui que o conceito do termo se fundamenta
em quatro pontos fundamentais: (1) probabilidade; (2) comportamento adequado; (3) perodo
de uso (ou de vida); e (4) condies de uso. O que pode ser entendido como sendo risco, pois
se trata da probabilidade (ou chance) de ocorrncia de um estado futuro, que neste caso o item
operar de maneira adequada em um determinado perodo de uso. Adicionalmente, tambm se
estipula a condio de uso, que faz parte do cenrio causal.
De forma anloga, pode-se entender a segurana como sendo a chance de ocorrer um estado
futuro caracterizado por no existir dano ao homem ou ao meio.
A exemplo da definio de confiabilidade e segurana apresentada acima, alguns autores

PMI (2000), NASA (2004b), Bhlmann (1970), entre outros consideram como risco a possi-
bilidade de o estado futuro ser positivo, como, por exemplo, em um investimento na bolsa de
valores, o que tambm aceito coloquialmente.
No entanto, no que se refere s analises de risco relativas segurana e continuidade,

usualmente se consideram apenas os resultados negativos. Mais especificamente chance de
uma condio perigosa (estado inicial) vir a se tornar um determinado incidente ou vir a resultar
em determinadas consequncias (estado futuro) ; neste contexto, cada cenrio uma possvel
corrente causal.
A norma ISO/IEC Guide 51 Safety aspects Guidelines for their inclusion in standards
define incidente como um evento que, na sua ocorrncia, resulta em dano sade de pessoas,
propriedade ou ao meio ambiente (ABNT, 2005). Para a gesto da continuidade, por sua vez,
um incidente qualquer evento que possa resultar em uma interrupo do negcio. Alguns
autores, como o DRI (Disaster Recovery Institute International), tambm consideram ainda a
possibilidade de o incidente resultar em impacto no lucro, na reputao e na habilidade de
operar (DRJ / DRI, 2005).
Tambm comum, na literatura, o uso do termo acidente, que se refere aos eventos que
resultam em dano ao homem ou ao ambiente.
Note-se que as definies de incidente apresentadas englobam este conceito de acidente3 .

Assim, neste trabalho, prope-se, no Quadro 2.3, a seguinte definio para o termo incidente,
ilustrada na Figura 2.2.
INCIDENTE
Interrupo do
sistema tcnico.
Dano reputao
da organizao. Etc.
ACIDENTE
Comprometimento Comprometimento
financeiro. segurana.
Figura 2.2: Representao da definio de incidente
Independentemente do tipo de consequncia, o incidente no poderia ocorrer se algum pe-

rigo no estivesse presente. Perigo, por sua vez, definido pela norma ABNT ISO/IEC Guia
73 (ABNT, 2005) como a fonte potencial de dano. Mosleh et al. (2004) ampliam este conceito
3 Alguns autores consideram incidente como sendo um quase-acidente.
Quadro 2.3: Definio de incidente
Incidente todo evento que tem consequncias negativas. Desta forma, o

termo incidente engloba o conceito de acidente que restrito a eventos que
acarretem dano.
e definem perigo como qualquer ato (omisso ou ao), condio ou estado do sistema ou
uma combinao desses com o potencial de resultar em um acidente, ou, de maneira mais
abrangente, em um incidente.
Neste contexto, se fosse possvel elaborar relaes determinsticas de quando a situao

perigosa (estado inicial) se tornaria um incidente (estado futuro), no existiria o risco pois
na incerteza desta alterao de estado que est o risco.
Laplace (1995) ilustra esta situao incitando o leitor a imaginar uma inteligncia capaz
de computar, em uma nica frmula, o movimento de todos os elementos do universo desde
maiores objetos do universo at as menores partculas. Assim Para esta inteligncia nada seria
incerto, e o futuro, assim como o passado, estaria presente diante dos seus olhos. (LAPLACE,
1995, p. 2, traduo nossa). Essa inteligncia foi posteriormente denominada de Demnio
de Laplace, j que Laplace postulava que ela jamais seria alcanada: Todos os esforos na
busca pela verdade tendem a levar a mente humana cada vez mais prxima da inteligncia que
acabamos de mencionar, entretanto sempre restar uma distncia infinita dela.(LAPLACE, 1995,
p. 2, traduo nossa). Desta forma, para o Demnio de Laplace no existiria risco, pois o futuro
no seria incerto.
No entanto, o homem no capaz de entender a realidade em sua totalidade. Assim faz-se

uso de modelos para represent-la da melhor maneira possvel conforme expresso por Capra
(1988, p. 30):
Ao pensarmos acerca do mundo, deparamos com o mesmo tipo de problema

que o cartgrafo quando tenta cobrir a face recurvada da Terra com uma sequn-
cia de mapas planos. S podemos esperar uma representao aproximada da
realidade a partir de um procedimento dessa espcie, o que torna todo o co-
nhecimento racional limitado.
No que se refere aos incidentes, existem inmeros modelos que procuram representar sua
ocorrncia. Na prxima seo, sero discutidos alguns deles.
2.2 Modelagem de um incidente 38
2.2 Modelagem de um incidente
Kumamoto & Henley (1996) alertam que, primeira vista, as falhas de equipamentos so
as causas dominantes dos incidentes como o de Chernobyl, Challenger ou Three Mile Island.
No entanto, uma anlise mais cuidadosa poder revelar que outros fatores contriburam (ou at
determinaram) para sua ocorrncia, tais como: erro na operao, no projeto ou na manufatura;
problemas de comunicao; falta de clareza na definio de responsabilidades; entre outros.
De fato, a viso de que todo incidente tem um culpado ainda bastante comum. Esta viso
possivelmente tem sua origem no sistema legal, no qual o acusador procura punir o suposto
culpado (PARADIES; UNGER, 2000). Hammer & Price (2001), por exemplo, acreditam que a
primeira regra escrita para penalidades de um incidente seja o cdigo de Hamurbi, aproxima-
damente 1750 a.C.: Se um construtor fizer uma casa para um homem e no contru-la com
firmeza e a casa colapsar e causar a morte de seu proprietrio, o construtor deve ser levado a
morte. (HAMMER; PRICE, 2001, p. 15, traduo nossa).
Atualmente, na maioria dos pases, as penalidades so menos severas e no seguem mais a

lei de talio. Ademais, quando se trata de uma organizao, a adoo desta viso possivel-
mente ir resultar na punio de algum que estava trabalhando diretamente no local ou mesmo
de um colaborador com falta de sorte sem se preocupar com fatores organizacionais ou pela
interao entre as pessoas, por exemplo. Esta abordagem, a qual procura explicar um incidente
por uma nica causa, chamada, no mbito da segurana no trabalho, de teoria monocausal
(CARPES JNIOR, 2004). Em contrapartida, as teorias que consideram mais de uma causa so
denominadas multicausais.
Observe-se que a base de dados MARS (Major Accident Reporting System database), em
maio de 1998, indicou que 64% dos incidentes de grande proporo - ocorridos na Unio Euro-
peia - aconteceram por falha humana, sendo 53% por disfuno organizacional e 11% por erro
do operador (LGER et al., 2006). Reason (1997) destaca, ainda, que os erros dos operadores
podem ter como causa raiz um problema organizacional, por exemplo, no caso de ele no ter
sido adequadamente capacitado.
De acordo com Lima (1985), as teorias multicausais a exemplo das teorias de Heinrich
(1959) e da Trade Ecolgica (LEAVELL; CLARK, 1976) se consolidaram na dcada de 60,
quando as monocausais se mostraram custosas e insuficientes para explicar a ocorrncia de
acidentes de trabalho, de forma que se pudessem identificar aes para evitar ou reduzir a chance
de aquele incidente ocorrer novamente ou mitigar suas consequncias.
Para Alono (2004), as teorias multicausais, de forma geral, consideram a coexistncia de

vrias causas, diretas ou indiretas, formando uma cadeia de eventos que resultam no incidente.
Essas causas foram sistematizadas em fatores relativos ao homem, ao ambiente e mquina
(ou ao sistema tcnico, em uma viso mais abrangente) alm da interao entre estes fatores,
conforme ilustrado na Figura 2.3.
Homem
Sistema
Ambiente
tcnico
Figura 2.3: Relao entre os envolvidos no sistema da teoria multicausal da ocorrncia de in-
cidentes
Fonte: Adaptado de Alono (2004)
interessante observar que os sistemas tcnicos tambm consideram softwares, alm de

componentes fsicos. Assim, a segurana nesses sistemas est intimamente ligada ao estudo de
falhas de software, de componentes fsicos, do homem e das perturbaes do ambiente.
Existe uma srie de outros modelos que procuram representar a ocorrncia de um incidente.
Leveson (1995) os classifica em 4 tipos: (1) modelos bsicos de energia, que considera o inci-
dente como resultado de uma liberao de energia indesejada ou fora de controle; (2) modelos
de evento nico ou domin, a exemplo do modelo proposto por Heinrich, em 1931, que con-
sidera o incidente causado por questes relativas ao ambiente social ou descendncia, que
levam a uma falha humana, que a razo aproximada de uma condio ou ato inseguro, que
resulta em um acidente que leva a leses; (3) modelos de cadeias de eventos, que consideram
o incidente resultado de uma srie de eventos, normalmente encadeados cronologicamente, a
exemplo dos propostos por Mosleh et al. (2004); (4) modelos baseados na teoria dos sistemas,
que considera um incidente resultado da interao entre homem, ambiente e sistema tcnico que
viole as restries do sistema, a exemplo dos propostos por Leveson et al. (2003).
O modelo proposto por Leveson et al. (2003), denominado STAMP (Systems-Theoretic

Accidents Model and Processes), foi apresentado no simpsio internacional do Massachusetts
Institute of Technology (MIT / USA), em maio de 2002. Ele se fundamenta na teoria dos
sistemas dos anos 30 e 40 , que foi uma resposta s limitaes das tcnicas de anlise clssica
que no atendiam crescente complexidade dos sistemas que estavam sendo construdos.
Para o STAMP, os incidentes no so causados por falha de um componente evento

inicializador (causa raiz) , mas por inadequados controles ou restries relativas segurana
impostas no projeto, no desenvolvimento e no uso do sistema, que no estavam aptos a controlar
os distrbios existentes (LEVESON et al., 2003).
Desta forma, incidentes so vistos pela teoria dos sistemas como resultado de processos
defeituosos envolvendo interao entre os componentes dos sistemas, incluindo: pessoas, estru-
tura organizacional e social, atividades de engenharia e componentes fsicos.
Neste trabalho, ser adotado o modelo proposto por Mosleh et al. (2004) apresentado
na Figura 2.4 , no qual o incidente resultado de uma condio perigosa aliada a um evento
deflagrador, atravessando as barreiras.
Causa ou Condio
condio per igosa
Barreiras
+ Incidente Consequncias
Evento Barreiras
Barreiras
gatilho
PERIGO
Alguns furos
por falhas ativas Profundidade
da defesa
Incidente Outros furos

por condies latentes
Figura 2.4: Desencadeamento de um incidente e sua trajetria atravs de barreiras

Fonte: Adaptado de Mosleh et al. (2004) e Reason (1997)
A fim de diminuir a probabilidade de ocorrncia do incidente ou, ainda, mitigar suas con-
sequncias, implementam-se barreiras ao longo da corrente causal. Estas podem ser barreiras
fsicas, procedimentos, manuais, educao, capacitao, motivao ou qualquer medida que
vise atuar na corrente causal evitando o incidente ou minimizando suas consequncias.
Um procedimento de manuteno pode atuar para que um sistema no se degrade, tornando-

se uma condio perigosa. Uma parede-corta-fogo, por sua vez, visa no permitir que o incndio
se propague, o que minimiza as consequncias desse incidente.
No entanto, as barreiras no so perfeitas e seus furos quer seja por uma falha ativa,
quer por uma condio latente podem permitir que o incidente ocorra.
A fim de reduzir o risco de ocorrer o incidente ou mitigar suas consequncias, pode-se

adotar mais de uma barreira, o que denominado defesa em profundidade.
Outro ponto a se destacar o tipo de consequncia que o incidente provoca. Neste sentido,
o Quadro 2.4 apresenta uma proposta de classificao do incidente, ilustrada na Figura 2.5, que
uma adaptao da classificao de falhas apresentada por Smith (2001a).
Quadro 2.4: Classificao de um incidente
Um incidente pode ser classificado como A, B, C, D/A, D/B ou D/C, isto :

A incidente com comprometimento segurana;
B incidente com comprometimento continuidade;
C incidente com comprometimento situao econmica e financeira;
D/A incidente desconhecido com comprometimento segurana;
D/B incidente desconhecido com comprometimento continuidade;
D/C incidente desconhecido com comprometimento situao econmica e
financeira.
Observe-se que as classificaes (A), (B) e (C) no so excludentes. Um incidente pode ter
comprometimento segurana, continuidade e situao econmica e financeira da organi-
zao. Os incidentes classificados somente como (C) devem ser gerenciados pelos processos
cotidianos da organizao, enquanto os (A) e (B) devem ser tratados e, quando aceitos, geren-
ciados de acordo com os respectivos planos de gerenciamento de incidente.
Quanto aos incidentes desconhecidos (D), e portanto involuntariamente retidos, podem ser
gerenciados de acordo com o plano de gerenciamento de crises, conforme proposto em BCI
(2005). importante destacar que uma aplice de seguro pode abranger tambm os riscos
retidos. Assim, deve-se levar em considerao, no gerenciamento de risco, a contratao de
seguro.
Note-se que esta classificao no contempla os incidentes com comprometimento ima-

gem da empresa, pois ela pode estar associada a qualquer uma destas classificaes, alm de
depender tambm de outros fatores, como, por exemplo, a forma que se gerencia o incidente.
Para o BCI (2005), um incidente bem gerenciado pode at trazer uma melhora na reputao da
organizao e da equipe de gestores.
Observe-se que esta taxonomia, apresentada na Figura 2.5, est em consonncia com a
proposta pela NASA, que apresenta 5 tipos de riscos e suas respectivas consequncias (STAMA-
TELATOS, 2000):
1. relativo segurana (humana) consequncia: morte, doena, mutilao, etc.;

2. relativo ao meio ambiente consequncia: contaminao, perda de uso, etc.;
3. relativo programao consequncia: prejuzo misso, programao, etc.;
4. relativo ao custo consequncia: perdas financeiras;
5. outros ou combinao dos tipos anteriores.
O perfil do incidente
conhecido da
organizao?
Sim No
(D)
O incidente pode
Incidente
gerar dano ao homem
desconhecido.
ou ao meio ambiente?
Sim No
(A)
Associa (D) s sadas
O incidente pode (A), (B) e (C).
Consequncias
gerar interrupo de
relativas segurana.
processos crticos?
Sim No
(B) (C)
Consequncias Consequncias
relativas econmico-
continuidade. financeiras.
Figura 2.5: Classificao de incidentes em uma unidade organizacional

Fonte: adaptado de Smith (2001a)
interessante, ainda, distinguir o conceito de segurana relativa a danos (expressa em ingls

pelo termo safety) do conceito de segurana relativa a patrimnio e privacidade (expressa em
ingls pelo termo security). Leveson (1995) destaca que o ltimo foca principalmente em aes
maliciosas tais como: invases, vrus de computador, etc. e enfatiza que os dois conceitos
se misturam quando o resultado destas aes maliciosas so considerados danos. No entanto,
normalmente eles so tratados separadamente. A norma ISO/IEC Guide 51 Safety aspects
Guidelines for their inclusion in standards, por exemplo, trata segurana relativa a dano,
enquanto a srie ISO/IEC 27000 Information technology Security techniques se atm
2.3 Gerenciamento de segurana e de continuidade 43
segurana da informao (que est inserida na gesto da continuidade).
Assim, neste trabalho, o termo segurana ser utilizado para se referir segurana relativa a
danos, enquanto a segurana relativa a patrimnio e privacidade ser abordada pela continuidade
que ser apresentada na prxima seo.
2.3 Gerenciamento de segurana e de continuidade
O gerenciamento de segurana desenvolveu-se nos mais diversos setores, destacando o ae-

ronutico, o qumico e o de energia nuclear cujos sistemas tcnicos so portadores de perigos
com grande potencial de impacto.
Pode-se definir gesto de segurana como o gerenciamento sistemtico de todas as ativida-

des para assegurar um nvel aceitvel de segurana (GEEST et al., 2003), isto , manter o risco de
dano material, ao ambiente e ao homem em um nvel que se considere aceitvel.
Para o Departamento de Defesa Civil, a anlise de segurana de um sistema tem por finali-
dade aumentar a confiabilidade e o nvel de segurana de um sistema (BRASIL, 1998b).
De fato, sistemas de segurana surgiram principalmente como resultado dos estudos de fa-
lha (SMITH, 2001b), que tambm objeto de estudo da confiabilidade. Entretanto, esta relao
nem sempre tem uma interao positiva. Por exemplo, a confiabilidade do sistema de refrige-
rao de uma usina nuclear determinante para a segurana; por outro lado, quando um rel
trmico desliga um motor por uma questo de segurana, est indo de encontro confiabilidade
do equipamento.
Assim, independente da relao entre confiabilidade e segurana, um sistema de gerencia-

mento de segurana deve abordar as falhas resultantes da trade homem, ambiente e sistema
tcnico (componentes fsicos e software) , a fim de que no ocorram danos materiais, ao am-
biente e / ou ao homem, ou que ocorram em menores propores, dentro do que se considera
aceitvel.
O gerenciamento da continuidade do negcio, por sua vez, objetiva, de acordo com a norma
ABNT ISO/IEC 177994 (ABNT, 2001, p. 45): No permitir a interrupo das atividades do
negcio e proteger os processos crticos contra efeitos de falha ou desastres significativos,
combinando aes de preveno e recuperao.
Entende-se por processos crticos aqueles que so fundamentais e mnimos para garantir
que o negcio permanea ativo. Note-se que, no contexto da continuidade, o termo negcio
4A ABNT ISO/IEC 17799 foi renomeada para ABNT ISO/IEC 27002, mas manteve o contedo idntico.
utilizado para designar a atividade fim da organizao.
O BCI (2005) define, ento, gerenciamento da continuidade do negcio (business continuity

management BCM) como um processo de gerenciamento holstico que identifica potenciais
impactos e ameaas a uma organizao e fornece a ela uma estrutura de trabalho que a possi-
bilite se adaptar s situaes de crise e uma habilidade de ser capaz de responder efetivamente
crise, a fim de salvaguardar os interesses das partes envolvidas, a reputao, a marca e as
atividades que agregam valor.
O gerenciamento da continuidade do negcio um conceito ampliado do planejamento para

recuperao de desastres, que ainda bastante utilizado por rgos administrativos de governos,
a fim de se preparar para determinadas catstrofes.
O termo continuidade passou a ser adotado no contexto de negcios, pois, na abordagem

de recuperao, admite-se que houve uma interrupo dos processos (SALDANHA, 2000),
enquanto a continuidade trabalha para no permitir que haja interrupes e, caso elas ocorram,
procura garantir que elas no atinjam um nvel que se considera inaceitvel.
De acordo com Saldanha (2000), nos EUA, a denominao mais usada at 1997 era recu-
perao do negcio, quando o Disaster Recovery Institute International (DRI) optou pelo termo
continuidade, que atualmente o termo mais adotado no mbito de negcios, especialmente
quando se refere tecnologia de informao TI.
Glenn (2005) considera que a continuidade do negcio engloba a continuidade dos pro-
cessos da organizao e a recuperao dos sistemas de informao, de forma a garantir que
a organizao poder continuar operando como usualmente ou em um nvel aceitvel na
ocorrncia de um desastre; e que os recursos de TI sejam restabelecidos a um estado similar ao
existente antes do desastre.
Savage (2002) alerta para o fato de muitos equivalerem o BCM recuperao de desastres
restrita aos sistemas de informao possivelmente pela caracterstica da TI de permear toda a
organizao.
Com a implementao dos computadores, os sistemas de informaes foram completa-

mente remodelados e hoje so dependentes da informtica a maioria das organizaes no
mais sobreviveriam sem seus computadores (BOTHA; VON SOLMS, 2004).
Com base nessa situao, alguns autores alegam que a realizao de cpias de segurana
(backup), e a sua devida guarda, representam 99% do plano de continuidade (SALDANHA, 2000).
De fato, a recuperao de desastre originalmente objetivava minimizar o perodo em que as
bases de dados ficavam fora de operao (BOTHA; VON SOLMS, 2004), procurando agilizar o
processo de retorno operao e recuperando as cpias de segurana, caso tivesse ocorrido

perda de dados.
No entanto, o BCM procura minimizar ou at evitar o impacto de interrupes do ne-

gcio e, portanto, deve abranger todos os processos crticos da organizao, no se restringindo
aos sistemas de informaes.
Vale salientar que se deve considerar, para efeito da continuidade do negcio, alm dos pos-
sveis incidentes que resultem em dano aos recursos crticos, os incidentes que possam causar a
interrupo do negcio tais como, invaso das instalaes por grupos de interesse (movimento
sem terra, movimento contra barragens, por exemplo); greve; ameaa de bomba; problemas com
fornecedores; etc.
Neste sentido, m gesto da cadeia de suprimentos, falta de poltica ambiental, no clareza

em planos de salrios, gratificaes ou incentivos, podem aumentar o risco de interrupo.
Note-se que o gerenciamento da continuidade do negcio no deixa de ser um gerencia-

mento de risco e, portanto, tambm procura avaliar e controlar os riscos existentes na organiza-
o. No entanto, o foco principal a elaborao de planos de como proceder diante dos riscos
que foram aceitos.
Tambm no existe um consenso do que exatamente compe o plano de continuidade do

negcio e tampouco quanto designao de cada parte Saldanha (2000), por exemplo, exclui
do plano o retorno condio normal. Neste sentido, o Quadro 2.5 apresenta brevemente a
estrutura e a nomenclatura adotada neste trabalho, ilustrada na Figura 2.6.
'
Plano de resposta
emergencial
Operao Operao Operao

normal
Incidente normal normal
desativada
Operao
alternativa
Plano de
monitoramento Plano de Plano de
e controle operao alternativa retorno
Figura 2.6: Estados de operao do sistema e os respectivos planos, para o caso de ativao do
plano de operao alternativa
Quadro 2.5: Tipos de planos inseridos na continuidade do negcio
1. Monitoramento e controle: procura monitorar indicadores com o intuito de

prevenir a ocorrncia do incidente ou alertar da possvel ocorrncia para que
se possa estar preparado e, assim, acionar os procedimentos de resposta
emergencial e, eventualmente, de operao alternativa.
2. Resposta emergencial: procura minimizar o impacto e a abrangncia do
incidente.
3. Operao alternativa (ou operao interina): procura fornecer
alternativas para se executar os processos crticos a fim de mant-los ativos,
mesmo durante o incidente.
4. Retorno: retornar condio normal de operao, recuperando os
processos da organizao e transferindo os processos alternativos para os
processos usuais, quando aplicvel.
Essa definio corroborada pela norma ABNT ISO/IEC 17799 que, apesar de no ter
designado nomes para cada parte, refere-se aos procedimentos relativos ao monitoramento e
controle; emergncia; operao alternativa; e retorno conforme apresentado a seguir (ABNT,
2001, p. 46 e 47):
1. as condies para ativao dos planos, os quais descrevem os processos a serem seguidos
previamente ativao (como se avaliar a situao, quem deve ser acionado, etc.) ;
2. os procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocor-
rncia do incidente [...];
3. procedimentos de recuperao que descrevam as aes necessrias para a transferncia
das atividades essenciais do negcio ou os servios de infraestrutura para localidades
alternativas temporrias [...]; e
4. procedimentos de recuperao que descrevam as aes a serem adotadas quando do
restabelecimento das operaes.
Observe-se que o termo recuperao, no ltimo tpico, se refere ao retorno s operaes

normais e no recuperao de desastres.
Outros dois conceitos que so bastante utilizados no BCM esto apresentados a seguir5 :
1. Vulnerabilidade Weichselgartner (2001) apresenta trs abordagens para a vulnerabili-

dade: como sendo relativa exposio a um risco (que pode ser relacionado aos peri-
gos); como sendo relativa capacidade de responder ao incidente a fim de minimizar
as consequncias (que pode ser relacionada a uma caracterstica social); e uma terceira
abordagem, que combina elementos das duas primeiras, no entanto est mais focada na
5 Outros termos esto apresentados no Glossrio.
localizao assim, a vulnerabilidade pode ser vista como uma caracterstica do domnio
geogrfico.
2. Ameaa Para Saldanha (2000, p. 52), ameaa toda e qualquer condio adversa
capaz de vir a causar alguma perda para a empresa. Uma ameaa uma condio latente
e potencial. Ela no ir causar necessariamente um dano.
Note-se que, apesar de no existir um consenso sobre a nomenclatura utilizada, o processo

de gerenciamento de risco utilizado por inmeras organizaes, basicamente contendo os
mesmos ingredientes essenciais. Por exemplo: o gerenciamento da continuidade considera
ameaas, vulnerabilidade e impacto como elementos-chaves na identificao do risco que so
equivalentes aos eventos indesejados, chance de ocorrncia e severidade das consequncias,
respectivamente, para o gerenciamento de segurana (NASA, 2004a).
interessante destacar que a segurana deve ser levada em considerao no gerenciamento

de continuidade da unidade organizacional. De maneira anloga, a segurana no deve ser
gerenciada sem considerar a disponibilidade do sistema tcnico, por exemplo.
A Figura 2.7 ilustra a relao entre segurana e continuidade ou disponibilidade, depen-

dendo do caso , resumida no Quadro 2.6.
Nvel da organizao:
Organizao Gerenciamento da segurana e
da continuidade do negcio
U.O. 1 U.O. 3 U.O. 5 Nvel das unidades organizacionais:

Gerenciamento da segurana e
U.O. 2 U.O. 4 U.O. n da continuidade operacional
S.T.1 S.T.3 S.T.5 S.T.7 Nvel dos sistemas tcnicos:

Gerenciamento da segurana e
S.T.2 S.T.4 S.T.6 S.T. k da disponibilidade
Figura 2.7: Nveis para o gerenciamento de risco em uma organizao
Note-se que, no patamar do sistema tcnico, o gerenciamento de risco visa manter a dis-
ponibilidade com nveis aceitveis de segurana. A disponibilidade, por sua vez, depende da
confiabilidade e da mantenabilidade do sistema tcnico.
A segurana nem sempre tem uma interao positiva com a disponibilidade. Assim, o gestor
de risco, muitas vezes, ter que partir para uma soluo de compromisso e favorecer uma em
2.4 Consideraes finais 48
detrimento da outra.
importante salientar que a disponibilidade dos sistemas tcnicos no garante a conti-

nuidade da unidade organizacional. Por exemplo, em uma situao de greve ou na falta de
fornecimento de matria-prima, os sistemas tcnicos podem estar disponveis, mas a unidade
organizacional pode no ter condio de operar.
Quadro 2.6: Nveis para gesto de risco
Nvel da organizao: A gesto de um incidente pode ser feita por um

plano de continuidade do negcio e de gerenciamento de crises, que aborde
as aes a serem tomadas pela organizao em casos de incidentes aceitos e
voluntria ou involuntariamente retidos. A continuidade do negcio
contribui para atingir a misso da organizao.
Nvel da unidade organizacional: O monitoramento & controle e a gesto
do incidente se do principalmente por aes de continuidade. A
continuidade operacional (dentro dos nveis de segurana) das unidades
organizacionais contribuem para a continuidade do negcio.
Nvel do sistema tcnico: Tanto o monitoramento & controle quanto o
planejamento para a ocorrncia do incidente se do, fundamentalmente, por
aes de manuteno e garantia de confiabilidade. A disponibilidade, com
segurana, dos sistemas tcnicos contribui para a continuidade operacional
da unidade organizacional.
De forma anloga, a continuidade das unidades organizacionais no garante que a conti-

nuidade do negcio da organizao seja alcanada. A continuidade do negcio, por sua vez,
contribui para a organizao alcanar sua misso, mas no garante, pois esta depende de outros
fatores, como: poltica econmica, tendncias de mercado, boatos, etc.
Observe-se que a segurana permeia os nveis de gerenciamento de risco e, portanto, deve

ser considerada nos trs patamares.
2.4 Consideraes finais
Ao longo do Captulo 2, foram apresentados alguns conceitos importantes relativos ao risco.
Quanto ao gerenciamento de risco, constatou-se que este contempla a anlise / avaliao,

o tratamento, a aceitao e a comunicao de riscos conforme proposto na norma ABNT
ISO/IEC Guia 73 (ABNT, 2005).
Diante da comparao de algumas abordagens do risco, foi apresentada uma definio para
este termo. Tambm, optou-se pelo modelo de representao do incidente pela corrente causal,
apresentado por Mosleh et al. (2004). com base no conceito da corrente causal que ser feita
a anlise dos riscos, que por sua vez fornecer os fundamentos para o gerenciamento dos
riscos.
Destacou-se, ento, o fato de o gerenciamento de segurana e de continuidade se diferenci-

arem pelos tipos das consequncias de um incidente e props-se uma classificao delas. Esta
classificao pode ser transposta para o nvel dos sistemas tcnicos considerando a disponibili-
dade em substituio da continuidade.
Assim, ficou evidente a possibilidade de consolidar, em um nico sistema de gesto, as

questes relacionadas continuidade e segurana.
A diferena de nomenclatura foi evidenciada como uma das dificuldades para a integrao
dos sistemas de gesto de risco, sendo um dos objetivos especficos deste trabalho compatibili-
zar conceitos e nomenclatura adotados no gerenciamento de segurana e de continuidade.
A nomenclatura adotada neste trabalho est, sempre que pertinente, baseada nas recomen-
daes da norma ABNT ISO/IEC Guia 73. A norma apresenta definies genricas, que sero
adaptadas ao contexto deste trabalho. A terminologia adotada est sendo apresentada ao longo
do texto; no entanto, o Quadro 2.7 apresenta um resumo das principais definies abordadas
at o momento estas definies tambm podem ser encontradas no Glossrio, bem como de
outros termos pertinentes gesto de risco.
Quadro 2.7: Terminologia proposta para gerenciamento de risco
Risco: Risco a chance de ocorrncia de um estado futuro x, dada a ocorrn-

cia de um estado inicial que pode ser expressa pela probabilidade condicional
P(Estado f uturo x | Estado inicial) , sendo necessrio, para sua completa ca-
racterizao, o delineamento dos dois estados, alm dos cenrios que possibilitem
esta transio (que compem o perfil do risco).
Evitar o risco: No se expor a um determinado risco implica eliminar o perigo.
Transferncia do risco: Est associada contratao de seguro ou terceiriza-

o do sistema tcnico que est exposto ao risco, ou seja, transferir para outros
a responsabilidade pelo incidente o que, por si s, no exclui o risco do ciclo
de vida. Note-se que a norma ABNT (2005) exclui da transferncia estratgias de
reposicionamento de uma fonte de risco (como na terceirizao).
Reduo do risco: Trabalhar o risco a fim de diminuir a probabilidade de ocorrn-

cia do incidente e sua gravidade.

Quadro 2.7: Terminologia proposta para gerenciamento de risco

(continuao)
Reteno do risco: Aceitao do nus da perda associada a um determinado risco
tanto dos riscos voluntariamente retidos (conviver com um risco acima do aceitvel)
quanto os involuntariamente (riscos no identificados). A reteno do risco exclui
o tratamento envolvendo seguro ou qualquer outra forma de transferncia do risco
(ABNT, 2005).
Incidente: Incidente todo evento que interfere negativamente na organizao.

Desta forma, o termo incidente engloba o conceito de acidente que restrito a
eventos que acarretem dano.
Preveno do incidente: Equivalente ao monitoramento e controle. Neste traba-

lho, ser evitada a designao preveno do incidente, para facilitar a distino
do contexto da reduo do risco.
Gerenciamento do incidente: Gerenciamento sistemtico de atividades e recursos

objetivando mitigar as consequncias de um incidente mitigando os danos e / ou
a condio de interrupo do negcio.
Neste sentido, tambm foi apresentada a estrutura adotada para o gerenciamento da conti-
nuidade, que contempla o monitoramento e controle, a resposta emergencial, a operao alter-
nativa (ou operao interina) e o retorno operao normal.
Por fim, foi apresentada uma hierarquizao do gerenciamento de risco na organizao, na

qual, no nvel dos sistemas tcnicos, a gesto de risco visa garantir a disponibilidade com nveis
aceitveis de segurana; no nvel das unidades organizacionais, o foco manter a continuidade
operacional com nveis aceitveis de segurana; e, no nvel da organizao, concentra-se na
continuidade do negcio e na segurana. Com isso foi possvel correlacionar os conceitos de
segurana, confiabilidade, mantenabilidade e continuidade.
51
3 Abordagens de gerenciamento de risco

em diferentes setores
Este captulo apresenta uma breve reviso histrica e uma descrio da aplicao da gesto
de risco nos setores: nuclear (principalmente americano); martimo; areo; aeroespacial; em-
presarial; e eltrico brasileiro destacando as metodologias, tcnicas e diretrizes adotadas em
cada setor.
3.1 Gesto de risco no setor nuclear
Para o setor nuclear, a segurana o foco do gerenciamento de risco. Um incidente em

uma planta nuclear pode ter propores catastrficas, o que deflagra o mecanismo de averso
ao risco1 . fato que, para garantir a segurana, necessrio garantir a disponibilidade de
uma srie de sistemas tcnicos, o que corrobora com a ideia de gerenciar o risco de maneira
abrangente.
Historicamente, o setor nuclear vem fazendo a anlise / avaliao da segurana de plantas

nucleares com base numa abordagem determinstica, que surgiu na dcada de 1940 e ainda hoje
a base para a aprovao de plantas nucleares nos EUA (DIAS et al., 2007a). A abordagem
probabilstica ganhou fora na dcada de 1970, com a publicao do relatrio WASH-14002
tambm conhecido como Rasmussen Report ; no entanto, somente aps o incidente de
Three Miles Island, em 1979, o relatrio se tornou referncia para as PRAs (probabilistic risk
assessment) no setor nuclear. Keller & Modarres (1998) destacam que muitos dos procedimen-
tos e tcnicas descritos no WASH-1400 ainda so utilizados nos dias de hoje a tcnica ETA,
por exemplo, foi proposta neste relatrio.
Na abordagem determinstica, a anlise / avaliao feita de forma a garantir que um con-

1 Averso ao risco a postura de se valorizar mais um incidente com 1000 fatalidades, por exemplo, que 1000
incidentes com 1 fatalidade.
2 Vide: USNRC (United States Nuclear Regulatory Commission). WASH-1400 (NUREG-75/014): reactor
safety study, an assessment of accident risks in U.S. commercial nuclear power plants. USNRC, 1975.
3.1 Gesto de risco no setor nuclear 52
junto bsico de incidentes de projeto no ocorram. Isso feito atendendo a uma srie de
premissas previamente definida. Como consequncia dessa abordagem, o projeto das plantas
nucleares se caracteriza por ser bastante conservativo apesar do grande conhecimento sobre os
sistemas envolvidos , fazendo uso de elevadas margens de segurana e de mltiplas barreiras
e/ou sistemas de segurana independentes (KELLER; MODARRES, 1998).
Na anlise / avaliao probabilstica de risco (PRA), o sistema tcnico analisado de forma

sistemtica objetivando delinear o perfil dos riscos que se est exposto, para posteriormente
avali-los.
Com o crescimento em tamanho e complexidade das plantas, evidenciou-se a necessidade

de uma abordagem baseada no desempenho da planta. Neste sentido, a abordagem quantitativa,
destacadamente a probabilstica, ganhou nfase.
Embora o primeiro guia da USNRC (United States Nuclear Regulatory Commission) tenha
sido publicado em 1982 (o NUREG/CR-2300 PRA procedures guide: A guide to the perfor-
mance of probabilistic risk assessments for nuclear power plants3 ), a PRA foi efetivamente
considerada e incorporada no processo de aprovao e licenciamento de plantas nucleares nos
EUA, em meados da dcada de 1990 (KELLER; MODARRES, 1998).
Com a obrigatoriedade do uso da PRA, inicia-se, em 1997, o processo de elaborao de

normas para padronizar procedimentos. Em 2002, a primeira dessas normas, a ASME RA-S-
2002 Standard for probabilistic risk assessment for nuclear power plant applications4 , foi
homologada pelo ANSI (American National Standards Institute). Em 2003, foi publicada a pri-
meira norma que considera os eventos externos na planta, a ANSI/ANS-58.21-2007 External
events in PRA methodology5 . (DIAS et al., 2007b).
O guia NUREG/CR-2300 ainda utilizado e foi o primeiro que props a diviso da PRA
em trs nveis, dependendo da profundidade da anlise, a saber (IAEA, 2002 apud DIAS et al.,
2007b):
Nvel 1: identificar a sequncia de eventos que podem levar a danos no

ncleo; estimar a frequncia de danos no ncleo; fornecer indicativos das
capacidades e fraquezas dos sistemas de segurana e dos procedimentos
para prevenir danos ao ncleo.
Nvel 2: agrupar as sequncias de acidentes conforme caractersticas si-
3 Vide: USNRC (United States Nuclear Regulatory Commission). NUREG/CR-2300: PRA procedures guide.
A guide to the performance of probabilistic risk assessments for nuclear power plants. Final report, Vol. 1-2.
USNRC, 1983
4 Vide: ASME (American Society of Mechanical Engineers). RA-S-2002: Standard for probabilistic risk as-
sessment for nuclear power plant applications. New York: ASME, 2002
5 Vide: ANS (American Nuclear Society). ANSI/ANS-58.21-2007: External events in PRA methodology.
ANS, 2007.
milares dos estados de danos na planta; identificar os modos pelos quais

vazamentos radioativos da planta podem ocorrer; estimar a intensidade e
frequncia dos vazamentos.
Nvel 3: agrupar as categorias de vazamento; estimar consequncias e
riscos para a sade pblica e ambiental.
Esta estrutura fica clara na abordagem de Kumamoto & Henley (1996) para a corrente
causal do incidente. Para os autores, o incidente inicia-se com uma falha ou um outro distrbio,
como apresentado na Figura 3.1.
Na figura, a trajetria do incidente est destacada em cinza. Nela, as elipses representam

o estado do sistema ou componente, e os retngulos as medidas para prevenir ou gerenciar o
incidente (representadas pelas duas caixas esquerda).
Para os autores, a primeira medida para se prevenir o incidente a preveno da falha.

Mas, dada a ocorrncia da falha (ou de um distrbio), pode-se prevenir sua propagao e, por
consequncia, o incidente o que est representado pelas setas provenientes das duas elipses
em branco, retornando no ponto em que encontram a preveno da propagao.
No entanto, se a preveno da propagao falha ou se o distrbio supera as premissas de

projeto (um vento acima do que a estrutura capaz de suportar, por exemplo), o incidente ir
ocorrer o que est representado pela terceira elipse.
Nesta situao, pode-se agir para mitigar as consequncias dentro da planta e no permi-
tir que elas extrapolem os limites da organizao. No entanto, caso elas extrapolem, existe,
ainda, a possibilidade de mitigar as consequncias fora dos limites da organizao ou graves
consequncias podem ocorrer.
Para Kumamoto & Henley (1996), o processo de gerenciamento de risco consiste em:
1. identificar o risco;
2. gerar um perfil do risco (resultado, chance, cenrio causal, populao e significncia) para
cada alternativa possvel de controle ativo ou passivo; e
3. cada perfil de risco avaliado (relao custo-risco-benefcio) para se tomar decises ade-
quadas.
No processo considerado, controles ativos so aqueles que atuam na preveno do incidente

(preveno de falha e preveno de propagao), e controles passivos, na mitigao das
consequncias (tanto de mitigao interna planta quanto externa).
O primeiro meio de prevenir falhas se esforar para que se tenha uma qualidade de projeto,
manuteno, construo e operao da planta de tal maneira que desvios da operao normal
Falha
Eventos aqum das bases de Projeto
Eventos alm das bases de Projeto

Antecipao Distrbio
Preveno
Preveno Acidente
Falha
Falhas e Distrbios
Preveno da
Propagao
Acidente
Mitigao Consequncia
(interno planta)
Falhas nas Barreiras

Gerenciamento
de Acidente
Ambiente externo
atacado
Mitigao Consequncia
(externo planta)
Consequncias
Figura 3.1: Modelo de ocorrncia de um incidente

Fonte: Kumamoto & Henley (1996, p. 79, traduo nossa)
no sejam frequentes e que se faam produtos de qualidade (KUMAMOTO; HENLEY, 1996).
Os autores orientam para a implementao de um programa de qualidade assegurada, que

o ciclo de monitoramento e controle das prticas comprovadas de engenharia, dos procedimen-
tos e das atividades.
O programa de qualidade assegurada mais abrangente que o programa de controle de

qualidade e tem por meta garantir que todos os itens produzidos, servios realizados e tarefas
executadas alcancem a especificao requerida.
A preveno da propagao visa assegurar que a perturbao ou a falha incipiente no se

desenvolva, transformando-se em uma situao mais sria.
3.2 Gesto de risco no setor martimo 55
Uma vez que ocorreu o incidente, deve-se controlar o seu curso e mitigar suas consequn-
cias por meio de medidas como: executar desligamento de segurana; manter a continuidade
das utilidades, manter a integridade das clausuras; e manter ambiente externo planta prepa-
rado. Estas medidas devem ser fundamentadas na experincia operativa, na anlise de segurana
e nos resultados de pesquisa sobre segurana.
Incidentes com alta severidade e consequncias so extremamente improvveis, se fo-

rem efetivamente prevenidos ou mitigados, utilizando a filosofia da defesa-em-profundidade
(sequncia de controles).
A mitigao interna planta inclui prticas previamente planejadas e com finalidade espe-
cfica, que utilizam os recursos da planta, de forma normal ou excepcional.
No caso remoto de as medidas de segurana (mitigao interna) falharem, medidas preven-

tivas devem ser tomadas a fim de mitigar as consequncias populao e ao meio ambiente na
redondeza da planta (mitigao externa) como evacuao da populao, por exemplo, o que
envolve atividades coordenadas em conjunto com as autoridades locais.
3.2 Gesto de risco no setor martimo
Assim como no setor nuclear, a anlise / avaliao de segurana no setor martimo era
essencialmente determinstica por meio de regulamentos, regras, leis, etc. impostos por di-
ferentes estados, organizaes e instituies e passou, recentemente, a contar tambm com
abordagem probabilstica, com a publicao da anlise / avaliao formal de segurana (FSA
formal safety assessment) pela International Maritime Organization (IMO).
A regulamentao do setor estabelecida fundamentalmente pela IMO e, de forma com-

plementar, pelas sociedades classificadoras, tais como a Det Norsk Veritas (DNV), American
Bureau of Shipping (ABS) e outras, pelo uso de suas regras para classificao de navios. Das
regulamentaes, as mais notrias so as convenes SOLAS6 e a MARPOL7 , acrnimos para
safety of life at sea e marine pollution, que estabelecem requisitos e padres mnimos rela-
tivos segurana dos navios e preveno da poluio marinha, respectivamente.
Na abordagem determinstica, muitas das especificaes foram baseadas na experincia

passada e, muitas delas, aps a ocorrncia de algum acidente importante. A primeira verso da
conveno SOLAS, por exemplo, foi estabelecida em 1914, logo aps o acidente com o Titanic.
6 Vide: IMO (International Maritime Organization). SOLAS: International convention of safety of life at sea.
Consolidated edition. IMO, 2004.
7 Vide: IMO (International Maritime Organization). MARPOL: International convention for the prevention of
pollution from ships. Consolidated edition. IMO, 2004.

(DIAS et al., 2007b).
Em resposta ao incidente ocorrido em Piper Alpha, em 6 de julho de 1988, que resultou em

167 mortes, a diviso de segurana offshore da HSE (Health and Safety Executive) desencadeou
a reviso de toda a legislao de segurana de offshores. Como resultado, foi proposto que se
substitussem as regras prescritivas por um regime de metas. Em 1992, foi publicada uma verso
preliminar, que foi submetida consulta pblica, e, em 1993, aps considerar os comentrios
feitos reviso anterior, foi divulgada a regulamentao. Ela requer que se demonstre que
os perigos com potencial de causar incidentes de maiores propores foram identificados, os
riscos avaliados e medidas foram tomadas para reduzi-lo to baixo quanto e razoavelmente
praticvel (ALARP 8 as low as reasonably practicable).
Paralelamente, na indstria de navios, incidentes com grande proporo chocaram a opinio

pblica e atraram a ateno para a segurana das embarcaes. A investigao de um destes
incidentes, o afundamento do ferry Herald of Free Enterprise, ocorrido em 1987, resultou
no relatrio conhecido como Lord Carvers report, publicado em 1992 , que recomendou
encorajado pela adoo de regime de metas para instalaes offshore que fosse adotada uma
abordagem regulatria no-prescritiva, baseada em desempenho. Esta era a ideia inicial da
anlise / avaliao formal de segurana de embarcaes. (WANG, 2001).
A FSA uma metodologia estruturada que envolve o uso de tcnicas de anlise de risco
e avaliao de custo-benefcio para dar suporte ao processo de tomada de decises. A meto-
dologia, brevemente apresentada a seguir, compreende 5 etapas ilustradas na Figura 3.2 e
est descrita no documento Guidelines for formal safety assessment (FSA) for use in the IMO
rule-making process (IMO, 2002).
De maneira geral, essas cinco etapas podem ser descritas pelas seguintes questes:
O que pode sair errado? (identificao dos perigos)

Quo ruim e quo provvel? (anlise de risco)
Isso pode ser melhorado? (opes de controle de risco)
Qual o custo e quo melhor iria ficar? (avaliao do custo benefcio)
Quais aes devem ser tomadas? (recomendaes para a tomada de deciso)
A identificao dos perigos visa listar os perigos e cenrios associados, priorizados pelo
nvel de risco especfico para o problema que se est estudando.
Usualmente a identificao dos perigos compreende a combinao de tcnicas criativas e

8 Alguns autores, ex. Kumamoto & Henley (1996) e NASA (2004b), adotam a designao ALARA (as low as
reasonably achievable)
Etapa 1 Etapa 2 Etapa 5

Identificao Anlise/avaliao Recomendaes
dos perigos dos riscos
Etapa 3
Opes de
controle do risco
Etapa 4
Avaliao de
custo-beneficio
Figura 3.2: Metodologia FSA

Fonte: adaptado de IMO (2002)
analticas objetivando identificar tanto as situaes que j ocorreram (abordagem reativa) quanto
as novas (abordagem proativa). Tambm se analisam a corrente causal e os possveis resultados
de cada incidente considerado.
Uma vez identificados os perigos e os cenrios associados, na avaliao, pode-se classific-

los e prioriz-los descartando os cenrios considerados menores.
A anlise de risco, por sua vez, objetiva detalhar a investigao das causas e consequn-
cias dos cenrios mais importantes, identificados na etapa anterior. Isso permite que a ateno
esteja voltada para as reas de alto risco e para a identificao e anlise de fatores que possam
influenciar no nvel do risco.
No que se refere anlise quantitativa, pode-se fazer uso de base de dados e, quando no
se tem dados disponveis, devem-se utilizar clculos, simulaes ou outro tipo de tcnica reco-
nhecida, baseada no conhecimento dos especialistas.
A terceira etapa objetiva propor opes de controle de risco prticas e efetivas seguindo
quatro principais passos: (1) focar nas reas que necessitam de controle de risco; (2) identificar
potenciais medidas de controle de risco; (3) avaliao da efetividade das medidas na reduo do
risco, reavaliando seu perfil; e (4) agrupar as medidas em opes de regulamentaes prticas.
Para a determinao das reas que necessitam controles, deve-se avaliar o resultado da
segunda etapa, baseando-se principalmente em:
Nvel de risco, considerando a frequncia de ocorrncia em conjunto com a severidade

dos resultados assim, incidentes considerados inaceitveis so prioritrios.
Probabilidade, identificando as reas que tm alta probabilidade de ocorrncia elas de-
3.3 Gesto de risco no setor areo 58
vem ser avaliadas independentemente da severidade.

Severidade, identificando as reas que tm alta severidade elas devem ser avaliadas
independentemente da probabilidade de ocorrncia.
Confiana, identificando as reas com erro epistemolgico considervel.
O levantamento de medidas dos riscos que no esto suficientemente controlados pelas me-
didas existentes deve, de maneira geral, objetivar um ou mais dos seguintes fatores: (i) reduzir
a frequncia de falha por meio de melhores projetos, procedimentos, polticas organizacionais,
treinamento, etc.; (ii) mitigar os efeitos das falhas, a fim de prevenir o incidente; (iii) abrandar
as circunstncias em que a falha pode ocorrer; e (iv) mitigar as consequncias do incidente.
As medidas de controle devem, ento, ser avaliadas quanto eficcia da reduo do risco,
conforme Etapa 2, para posteriormente serem grupadas em opes de regulamentaes prticas.
Na avaliao do custo-benefcio, por sua vez, deve-ser identificar e comparar os benefcios

e os custos associados com a implementao das opes de controle do risco.
Esse processo deve ser conduzido para situaes genricas e, posteriormente, para as partes
afetadas que so mais influenciadas, direta ou indiretamente, pelos efeitos do incidente ou pelas
novas medidas reguladoras propostas.
As opes de controle devem, ento, ser expressas utilizando algum ndice de eficcia,
por exemplo: custo bruto para evitar uma fatalidade (Gross CAF Gross cost of averting a
fatality) e custo lquido para evitar uma fatalidade (NetCAF Net cost of averting a fatality)
(SKJONG, 2002).
Assim, baseadas na comparao de opes alternativas, na potencial reduo dos riscos e

nos custos para implementar as alternativas possvel definir as recomendaes para a tomada
de deciso.
3.3 Gesto de risco no setor areo
Metas de segurana numricas para definio de condies de operao foram propostas

pela International Civil Aviation Organization (ICAO) na dcada de 1950 (LEDERMAN F. NI-
EHAUS, 1996). No entanto, somente no incio dos anos 60, com o aumento da complexidade do
projeto das aeronaves, a indstria aeronutica buscou o desenvolvimento estruturado de teorias
de probabilidade, em relao ao projeto e anlise / avaliao de segurana (SILVA, 2006).
Foi nesta poca, por exemplo, que H. A. Watson, do Bells Laboratory, em parceria com
a fora area norte-americana, concebeu a FTA (fault tree analysis) para estudar o sistema de
controle de lanamento do mssil Minuteman. Tcnica que, posteriormente, a Boeing comeou

a usar durante o projeto de aeronaves comerciais (ERICSON II, 1999).
Atualmente, existem inmeras organizaes tais como: SAE (Society of Automotive En-
gineers), FAA (Federal Aviation Administration / United States of America), JAA (European
Joint Aviation Authorities) e Eurocontrol (European Organization for the Safety of Air Na-
vigation) trabalhando para desenvolver regulamentaes, recomendaes e metodologias na
perspectiva de garantir a segurana.
No caso da Eurocontrol, ela prope a EATMP SAM (European air traffic management
programme safety assessment methodology), ilustrada na Figura 3.3. A SAM similar meto-
dologia proposta pela SAE nas recomendaes prticas ARP 47619 , mas seu escopo expan-
dido para todo o sistema de navegao cobre os servios de informao aeronutica; busca
e resgate; e gerenciamento do trfego areo , enquanto a ARP 4761 restringe-se aeronave
(EVERDIJ; BLOM, 2008).
DEFINIO Quo seguro o

FHA
DO SISTEMA sistema deve ser
para atingir o nvel
de risco aceitvel?
PROJETO
PSSA
DO SISTEMA
A arquitetura
proposta capaz
IMPLEMENTAO de atingir o nvel
E INTEGRAO de risco aceitvel?
DO SISTEMA
O sistema
implementado
OPERAO E
SSA atinge o nvel de
MANUTENO
risco aceitvel?
DESCOMISSIO-
NAMENTO
Figura 3.3: Processo de anlise / avaliao da segurana e o ciclo de vida do sistema

Fonte: EUROCONTROL (2006, Level 1 / SAM / p. 4, traduo nossa)
A verificao da execuo da metodologia apresentada na ARP 4761 feita utilizando-se a

ARP 4754, que foi elaborada para ser um guia para a equipe de certificadores e para a equipe
9 Vide:
SAE (Society of Automotive Engineers). ARP 4761: Guidelines and methods for conducting the safety
assessment process on civil airborne systems and equipment. Warrendale, 1996.
de desenvolvedores dos sistemas, particularmente sistemas complexos e altamente integrados,

com significativa importncia de softwares. A ARP 4754 foi desenvolvida no contexto da FAR
(federal aviation regulations) e da JAR (joint airworthiness requirements) parte 25 tambm
pode ser aplicada a outras regulamentaes, como as partes 23, 27, 29 e 33. (SAE, 1996).
A Figura 3.3 ilustra como a metodologia utilizada para a avaliao da segurana abrange
todo o ciclo de vida de um sistema de navegao areo, das definies iniciais do sistema at
seu descomissionamento, passando pelo projeto, implementao, integrao, transferncia para
operaes, operaes e manuteno.
A metodologia envolve basicamente trs fases principais (EUROCONTROL, 2006):
Na anlise / avaliao do perigo funcional (functional hazard assessment FHA) identificam-

se os modos de falha, os perigos e suas consequncias para a segurana das operaes
dentro de um ambiente especfico. Utilizando-se a experincia e o julgamento operacio-
nal e de engenharia, a severidade de cada efeito determinada e classificada em 5 nveis.
Podem-se, ento, especificar os objetivos de segurana, i.e., especificar o nvel de segu-
rana que o sistema deve atingir. Objetivo de segurana uma declarao, quantitativa
ou qualitativa, que define a mxima frequncia (ou probabilidade) na qual um risco pode
ser aceito.
Anlise / avaliao preliminar de segurana do sistema (preliminary system safety as-
sessment PSSA) fundamentalmente um processo top-down iterativo que se inicia no
comeo do projeto (ou do re-projeto) e objetiva demonstrar se o sistema analisado atende
aos objetivos de segurana estabelecidos. A PSSA examina a arquitetura do sistema pro-
posto e determina como as falhas dos componentes e/ou eventos externos podem causar
ou contribuir para os riscos identificados na FHA. Na PSSA, os objetivos de segurana
so desdobrados em requisitos de segurana alocados em cada componente do sistema,
i.e., especifica-se o nvel de risco a ser alcanado por cada elemento do sistema. Requi-
sitos de segurana so medidas de reduo de risco definidas para alcanar um objetivo
de segurana particular. Uma arquitetura de sistema somente alcanar os objetivos de
segurana estabelecidos na FHA se os elementos do sistema cumprirem os requisitos de
segurana.
A anlise / avaliao de segurana do sistema (system safety assessment SSA) se inicia
com a implementao do sistema de navegao area. A SSA objetiva demonstrar que o
sistema, como implementado, tem um nvel de risco aceitvel (ou pelo menos tolervel) e
consequentemente atende aos objetivos de segurana estipulados na FHA. Os elementos
do sistema, por sua vez, tambm devem atender aos requisitos de segurana especifica-
dos na PSSA. Demonstra-se que todos os riscos foram eliminados ou minimizados tanto
quanto praticvel razoavelmente (as low as reasonably practicable ALARP) e, poste-
riormente, monitora-se o desempenho de segurana do sistema durante sua operao. A
Figura 3.4 ilustra o processo da SSA.
Verificao se o sistema atende aos

Fase de Objetivos de
objetivos de segurana e se os elementos
implementao segurana
atendem aos requisitos de segurana
Verificao (veja acima).

Transferncia para a Validao dos objetivos de segurana Requisitos de
operao no ambiente operacional. segurana
Risco em um nvel aceitvel.
Coleta de dados e monitoramento do

Operao,
desempenho da segurana (objetivos de
manuteno e Risco aceitvel
segurana, requisitos de segurana, risco)
descomissionamento
na anlise de segurana em andamento.
Figura 3.4: Processo de anlise / avaliao de segurana do sistema (SSA)

Fonte: EUROCONTROL (2006, Level 1 / SSA / p. III-6, traduo nossa)
interessante destacar que a FHA normalmente implementada antes de o sistema

existir, durante a fase de projeto, no entanto o documento RVSM 697 traz uma anlise feita em
um estgio avanado do programa de reduo da distncia vertical mnima (reduced vertical
separation minimum RVSM10 ) entre aeronaves de 2.000ft (609,6m) para 1.000ft (304,8m),
para aeronaves voando entre 29.000ft (8.839,2m) e 41.000ft (12.496,8m). O programa RVSM
estava to adiantado, que seria difcil mudar muitos (ou algum) procedimentos de operao ou
requisitos do sistema. No entanto, a anlise foi feita na perspectiva de que, se algum problema
fosse identificado, isto seria levado em considerao pelo programa RVSM. (EUROCONTROL,
2006).
No total, foram identificados e analisados 73 perigos. Para cada um deles, foi estabele-
cido um objetivo de segurana. Estes objetivos foram, ento, confrontados com o resultado da
anlise aps as medidas de reduo de risco, a fim de verificar se o programa RVSM atingiu o
especificado. (EUROCONTROL, 2006).
10 O programa RVSM est implementado na Europa desde janeiro de 2002 (FAA, 2007).
3.4 Gesto de risco no setor aeroespacial 62
3.4 Gesto de risco no setor aeroespacial
No setor aeroespacial, especificamente o norte-americano, a NASA (National Aeronautics

and Space Administration USA) destaca que pretende implementar anlise / avaliao de risco
probabilstica em todos os seus programas e se tornar referncia em PRA. Para a NASA, uma
PRA objetiva garantir o sucesso da misso e do programa, e atingir e manter um alto padro de
segurana. (NASA, 2002b).
Note-se que, para a NASA, a PRA extrapola a preocupao com a segurana e visa garantir
o sucesso da misso.
Tendo em vista que o desenvolvimento da PRA no setor areo iniciou-se na dcada de 1960,
era de se esperar que a NASA tivesse, desde ento, adotado esta prtica. De fato, no comeo do
projeto Apollo, questionou-se qual era a probabilidade de sucesso em enviar astronautas Lua
e retorn-los em segurana. De alguma forma, foi feito um clculo de risco / confiabilidade e a
probabilidade obtida foi considerada inaceitavelmente baixa. Isso teria desencorajado a NASA
a fazer outros estudos probabilsticos, adotando, em contrapartida, anlises de risco qualitativa,
como a FMEA. No entanto, aps o incidente com a Challenger, em 1986, a importncia da
PRA veio tona e seu uso comeou a crescer. (NASA, 2002a).
A NASA adota a metodologia de gerenciamento de risco contnuo (continuous risk mana-

gement CRM) para todo o ciclo de vida de seus programas (NASA, 2002b) e salienta que uma
comunicao aberta entre os seus membros e uma viso ampla do programa e de seus critrios
de sucesso so pontos essenciais para um gerenciamento de risco bem sucedido (NASA, 2004a).
Apesar de a metodologia atender a todo o ciclo de vida, tem nfase nas etapas anteriores
operao, uma vez que a NASA exige que se tenha um posicionamento de todos os riscos antes
da entrega para a operao (NASA, 2004a).
O principal objetivo de um sistema de segurana para a NASA fornecer uma abor-

dagem organizada e disciplinada de como identificar e trabalhar precocemente os perigos s
pessoas, s instalaes e equipamentos, ou ao sucesso do programa at atingir nveis to bai-
xos quanto se possa considerar razovel aceitar (as low as reasonably achievable ALARA11 )
(NASA, 2004b). As atividades do sistema de segurana esto subdivididas conforme apresentado
na Figura 3.5.
A identificao procura levantar cada risco, em relao ao evento indesejado, e as con-

sequncias que este evento pode causar. Adicionalmente, devem-se incluir todas as informa-
es necessrias para localizar o risco no contexto (o que; quando; onde; como; e por qu)
11 Que um conceito equivalente ao ALARP (as low as reasonably practicable).
Documentao
e comunicao
Figura 3.5: O processo de gerenciamento contnuo de risco

Fonte: (NASA, 2002b, p. 8, traduo nossa)
do programa o que importante para outras pessoas entenderem, especialmente quando j

se passou algum tempo (NASA, 2002b; NASA, 2004a). Nessa fase, devem-se fazer as seguintes
questes no se restringindo a elas , mesmo para os casos que esto sendo bem sucedidos
(NASA, 2004a): O que pode dar errado? Quais as consequncias possveis segurana, aos
objetivos do programa, ao cronograma, e aos custos se isto der errado?
Tcnicas como rvore de evento (event tree analysis ETA) e rvore de falha (fault tree
analysis FTA) podem ser utilizadas nessa fase (NASA, 2002b).
Os resultados principais dessa fase so a declarao de cada risco (contendo todas as

informaes sobre o risco, de forma concisa) e a lista dos riscos (ordenada por prioridade com
as informaes necessrias para gerenciar e documentar a evoluo dos riscos ao longo do ciclo
de vida).
Na anlise dos riscos, as seguintes questes devem ser respondidas, mas sem se restringir
a elas (NASA, 2004a): Qual a chance de esse risco ocorrer? Quo cedo devem ser tomadas as
aes relativas a esse risco? Como esse risco pode ser comparado com outros riscos?
A anlise do risco procura identificar a chance de o risco ocorrer e o momento em que se

devem tomar aes para que o risco identificado no cause danos (por exemplo: curto-prazo;
mdio-prazo; e longo-prazo). A estimativa pode ser tanto qualitativa quanto quantitativa e deve
possibilitar que se classifiquem e priorizem os riscos em relao a seu impacto.
Pode-se fazer uso de tcnicas como: FTA; anlise do modo de falha, efeitos e criticidade
(FMECA); escalas de risco; anlise estatstica dos histricos; comparao com sistemas anlo-
gos; etc.
No planejamento dos riscos, por sua vez, procura-se responder s seguintes questes, mas
sem se restringir a elas (NASA, 2004a): O que pode ser feito para prevenir, ou pelo menos
diminuir a probabilidade ou a severidade das consequncias? Quem deve ser acionado para
tomar essas providncias?
O planejamento envolve delegar a responsabilidade e determinar a abordagem que deve ser

adotada em resposta a cada risco identificado e, caso se opte por mitig-lo, devem-se elaborar e
implementar as subsequentes aes.
As seguintes abordagens podem ser adotadas:
1. mitigao: envolve eliminar o risco ou reduzir a chance de ele ocorrer, ou o impacto de

suas consequncias (o que implica definir o escopo do plano de mitigao, estabelecendo
metas e determinando os recursos necessrios para sua implementao);
2. aceitao: devem-se estabelecer critrios para aceitar um risco (um critrio pode ser, por
exemplo, o fato de existirem planos de contingncia ou de recuperao documentados,
testados e aprovados para mitigar as consequncias, caso o risco ocorra);
3. pesquisa: inclui coleta de novas informaes, avaliao e documentao dos resultados,
nos quais se basearo as prximas decises, ou em alguns casos para reduzir as incer-
tezas envolvidas na estimativa do risco (metaincertezas);
4. monitoramento: decide-se no tomar medidas imediatas, mas rastrear, levantar e observar
as tendncias no comportamento dos indicadores do risco no decorrer do tempo.
No rastreamento do risco, pretende-se avaliar o progresso do programa de gerenciamento

de risco. Para tanto, as seguintes questes devem ser respondidas, mas sem se restringir a elas
(NASA, 2004a): As aes para mitigao dos riscos esto sendo efetivas e esto dentro dos
limites do oramento? O risco geral do programa est aumentando ou diminuindo? Se o risco
geral est diminuindo e se est diminuindo ao mximo que se pode praticar?
Rastrear os riscos envolve coleta, atualizao, processamento, organizao e anlise dos

dados para indicar as tendncias de um determinado risco no decorrer do tempo. No caso de
o risco estar sendo monitorado, devem-se definir os limites de controle ou de alerta (trigger
levels).
No controle do risco, tomam-se decises quanto implementao de medidas relativas a

um determinado risco, com base nas informaes coletadas no rastreamento do risco (NASA,
2004a). Para tanto, as seguintes questes devem ser respondidas, mas sem se limitar a elas:
Quais riscos ainda necessitam ser pesquisados? Quais medidas para mitigar o risco precisam
ser revisadas? O risco atingiu um nvel que o plano de contingncia deve ser acionado? Quais
riscos podem ser aceitos e formalmente retidos, aceitando o risco residual?
Cada risco deve ser periodicamente revisado para assegurar que as decises tomadas esto
sendo efetivas e que as aes relacionadas a ele se mantm aplicveis.
O gerenciamento de risco deve contar com uma comunicao aberta, clara e contnua dos
membros da equipe do programa. A documentao deve assegurar que a poltica do gerenci-
amento de risco estabelecida foi entendida, implementada e mantida, e que se executem audi-
torias para identificar a origem e o raciocnio para todas as decises relativas a riscos. Adicio-
nalmente, indicam-se alguns requisitos e recomendaes relativas aos riscos para: o plano do
programa; o plano de aquisies; o plano de gerenciamento de risco; a declarao de risco; e a
lista de riscos. (NASA, 2004a).
3.5 Gesto de risco no setor empresarial, quanto ao gerenci-

amento de continuidade
Como apresentado no Captulo 2, o gerenciamento de continuidade foi uma evoluo da

recuperao de desastres.
Atualmente, existem diversas metodologias para gerenciamento de continuidade algumas

delas citadas no Quadro 3.1, na Seo 3.7. A seguir, ser brevemente apresentada a metodologia
proposta pelo Business Continuity Institute, conforme BCI (2005). interessante destacar que
as metodologias indicadas no Quadro 3.1 se diferenciam quanto estrutura, no entanto abordam
basicamente os pontos o que ser salientado ao longo da Seo 3.7.
O BCI prope um ciclo de vida do gerenciamento da continuidade do negcio, ilustrado

na Figura 3.6, dividido em 5 estgios no necessariamente seguindo uma progresso rgida ,
alm do gerenciamento do programa.
O gerenciamento do programa de continuidade do negcio pode ser dividido em trs partes:

poltica do BCM, gerenciamento do programa e preparao e resposta a incidentes.
A poltica do BCM objetiva produzir um documento, elaborado pelos executivos, que apre-
sente os princpios e a estrutura da gesto que nortear o delineamento e a construo do BCM.
Cabe, nessa fase, a definio do modelo de BCM que ser seguido, o levantamento de normas,
leis e diretrizes que podem influenciar no BCM, etc.
Entendendo
o negcio
1
Praticando,
mantendo e
auditando Estratgia
5 2 do BCM
Gesto do
programa
4 3
Desenvolvendo a Elaborando uma
cultura do BCM resposta para o BCM
Figura 3.6: Ciclo de vida do gerenciamento da continuidade do negcio

Fonte: BCI (2005, p. 8, traduo nossa)
O gerenciamento do programa contempla processos como definio de pessoal, definio

de escopo e monitoramento do desempenho do programa.
Por fim, a preparao e resposta a incidentes objetiva manter a organizao atenta para que,
no caso de ocorrer um incidente, a resposta seja feita de maneira tranquila e tenha como sada
o retorno bem sucedido condio normal.
O primeiro estgio visa entender o negcio. Para tanto, prev-se estudar a estratgia da
organizao, analisar os impactos de incidentes no negcio e a anlise de risco desses incidentes.
O estudo da estratgia da organizao procura alinhar o BCM com o plano de negcios da

organizao. Devem-se prever, durante a elaborao do BCM, os planos de longo e mdio prazo
da organizao, para que seja elaborado um BCM capaz (flexvel o suficiente) de ser adaptvel
s situaes futuras. Nessa fase, devem-se definir quais os tempos mximos de interrupo que
a organizao suporta levando em considerao, por exemplo, falha do sistema de informtica;
falha de equipamentos; interrupo por parte dos fornecedores; perda de pessoal; etc.
Na anlise do impacto no negcio (business impact analysis BIA), procura-se identifi-

car, quantificar e qualificar o impacto de perdas, interrupes ou distrbios nos processos da
organizao e fornecer dados para definir a estratgia da continuidade. Contempla a identifi-
cao e compreenso dos objetivos crticos e os respectivos critrios de sucesso; a definio
dos tempos mximos de interrupo tolervel (maximum tolerable outage MTO); a definio
dos objetivos para os pontos de recuperao (recovery point objective RPO); o delineamento
das dependncias internas e externas para se atingir os objetivos crticos; a identificao dos
impactos que podem resultar em perdas de reputao ou financeira; etc.
A avaliao de risco, ento, deve ser conduzida conforme a estratgia de gerenciamento de

risco da organizao e tem como propsito identificar e avaliar as probabilidades de ocorrncia
das ameaas e dos respectivos impactos. A avaliao deve focar, dentre as que podem causar
interrupo do negcio, nas funes mais crticas identificadas na BIA e pode usar tcnicas
como FTA; ETA; matriz de risco; anlise custo-benefcio; etc.
No segundo estgio, procura-se estabelecer as estratgias do BCM no mbito da organiza-

o, dos processos e dos recursos.
O propsito da definio da estratgia do BCM na organizao esclarecer e documentar

a poltica, a estrutura do trabalho e as diretrizes operacionais para garantir a continuidade da
organizao. A estratgia do BCM contempla: a seleo de alternativas a serem utilizadas,
caso haja uma interrupo, para manter ativos os processos crticos identificados na BIA e suas
dependncias (internas e externas); e proteger das vulnerabilidades e das falhas de primeira
ordem identificados na avaliao de risco.
A estratgia no nvel de processo objetiva definir a estratgia para manter a continuidade

dos processos e elaborar o planejamento para o projeto de sua implementao.
A estratgia de recuperao de recursos, por sua vez, tem como propsito coordenar e
fornecer um nvel pr-determinado de recursos para permitir a implementao das estratgias
no nvel de processo e da organizao.
Uma vez estabelecidas as estratgias, pode-se elaborar uma resposta para a gesto da conti-
nuidade do negcio terceiro estgio. Para tanto, preveem-se planos de gerenciamento de crise,
de continuidade do negcio e de reativao da unidade de negcio, quais sejam:
1. Plano de gerenciamento de crise: Visa fornecer equipe de gerenciamento de crise

um conjunto de componentes e recursos que podem ser teis no momento da crise e
um planejamento de como tratar a mdia e a comunicao com as partes afetadas. Ele
contempla todo tipo de crises, incluindo aquelas que no foram previstas no BCM, tais
como crises que no resultem na interrupo do negcio ou que tenham propores alm
do escopo do BCM.
2. Plano da continuidade do negcio: Tem como propsito fornecer uma estrutura de tra-
balho e procedimentos que possibilitem a recuperao de todos os processos do negcio
dentro do MTO.
3. Plano de reativao da unidade de negcio: Objetiva estruturar a resposta de cada
departamento s interrupes.
O quarto estgio objetiva desenvolver a cultura do BCM na organizao. Primeiramente

feita a avaliao da conscientizao, que tem como propsito avaliar o nvel atual e o desejvel
de conscientizao alm de definir quais reas devem ser alvo de campanhas e como a campa-
nha pode ser executada com eficincia. A avaliao da conscientizao envolve o levantamento
do nvel atual de conscientizao sobre BCM; especificao do nvel desejado e mtricas para
avali-lo; e identificao da natureza e do escopo das lacunas de treinamento que devem ser
preenchidas pelas campanhas.
Assim, com base nas lacunas identificadas, delineia-se o programa de educao, treina-
mento e conscientizao (educations, training and awareness ET&A), a fim de desenvolver a
cultura do BCM. O pessoal sem uma especfica responsabilidade no BCM pode se ater somente
conscientizao ou a um nvel de proficincia pr-estabelecido de como proceder nas tarefas
gerais da organizao. J os participantes devem receber um treinamento estruturado que im-
plemente habilidades, competncia (colocando em prtica o BCM) e conhecimento necessrio.
Por fim, monitoram-se as mudanas culturais, a fim de avaliar se a qualidade e a efic-

cia da campanha de ET&A est adequada. Faz parte dessa fase avaliar opinies sobre cada
treinamento; monitorar a eficcia da campanha (tanto curto-prazo quanto longo); e monitorar
periodicamente a conscientizao.
O quinto estgio refere-se auditoria, manuteno e prtica do BCM.
O BCM no pode ser considerado confivel at que sejam feitos os exerccios que visam
avaliar a competncia do BCM; identificar reas que necessitam de aprimoramento ou informa-
es; destacar pressuposies que precisem ser questionadas; fornecer informao e confiana
aos participantes do exerccio; desenvolver uma equipe de trabalho; aumentar o nvel de cons-
cientizao da organizao com exerccios pblicos; etc.
A manuteno do BCM, por sua vez, objetiva garantir que o BCM se mantenha efetivo,
apesar das mudanas internas e externas, o que resulta em um programa de manuteno e moni-
toramento que orienta as circunstncias de se fazer as revises. Os relatrios de cada processo
de manuteno devem ser assinados pelos gestores apropriados.
Finalmente, a auditoria visa avaliar a conformidade com normas (internas e externas) e a

poltica do BCM alm de revisar as solues adotadas no BCM; validar os planos de continui-
dade do negcio; verificar se os exerccios e as atividades de manuteno esto sendo adequa-
3.6 Gesto de risco no setor eltrico brasileiro 69
damente executados; e destacar deficincias e problemas, garantindo as respectivas solues.
3.6 Gesto de risco no setor eltrico brasileiro
Dias et al. (2000) apresentam um estudo junto s principais usinas geradoras de energia el-
trica do pas, a fim de fazer um diagnstico dos procedimentos de operao e manuteno delas.
Foi analisado um conjunto de 36 usinas hidreltricas e 5 usinas termeltricas, selecionadas pela
potncia instalada, superior a 500 MW, ou pela sua importncia na operao do sistema. Os
autores constataram que 11% do nmero total de itens das listas de verificaes apresentavam
no-conformidades, sendo que os maiores percentuais foram referentes aos planos de segu-
rana da planta (76%), aos planos de aes de emergncia (49%) e aos planos contingenciais
de cheias (38%). Estas no-conformidades referentes inexistncia ou inadequao dos planos
totalizam 69% das no-conformidades identificadas. Os itens referentes s instrues e normas
correspondem a 14% do total de no-conformidades; recursos humanos, treinamento e manuais
operativos, a 6%; e restabelecimento autnomo a 11% (1% referente ao grau de automao e
10% manobra de restabelecimento autnomo black start). Os autores destacam que estes
ltimos procedimentos [...] esto diretamente relacionados com a operao cotidiana da planta
e influenciam diretamente o ndice de disponibilidade, possuindo portanto uma importncia sig-
nificativa [...] e que os planos de segurana da planta, de aes emergenciais e contingenciais
de cheias so [...] considerados de alta importncia estratgica para o setor de energia eltrica.
Dias et al. (2000, p. 13).
Diante dos resultados desta pesquisa, ficou evidenciada a carncia do setor de gerao por
uma metodologia que tratasse estes assuntos sendo um dos motivadores para este trabalho de
doutorado.
Esta situao confirmou-se em uma pesquisa, realizada neste trabalho de doutorado, junto
a duas empresas do setor de energia que mantm programas de gerenciamento de risco (uma
geradora, transmissora e distribuidora; e outra geradora). Nos dois casos, os respectivos pro-
gramas foram implementados pelo esforo de suas equipes, ponderando o que deviam fazer
j que no dispunham de uma metodologia para isso.
As pesquisas foram realizadas por meio de entrevistas no estruturadas em que todos

os participantes puderam questionar e opinar e por observao, no ambiente de trabalho.
A segunda empresa uma usina hidreltrica de grande porte e teve seu plano de contingn-
cia de cheias elaborado em 1984. Por muitos anos, existiu a inteno de realizar uma anlise
de outros incidentes. No entanto, somente em 1995 aps a ocorrncia de um incidente, ficou
evidenciada a falta de preparao adequada da equipe, e foi criada uma comisso para elaborar
os planos de ao emergencial.
De acordo com um dos entrevistados, o apoio da alta gerncia foi extremamente importante
nesse momento, para conseguir o comprometimento das reas, liberando os colaboradores para
os trabalhos, e tambm para analisar o investimento de cada ao. Em 2001, foi constituda
uma comisso permanente para gerenciamento das aes para minimizao dos riscos e efeitos
de contingncias crticas na usina. Na data da visita tcnica (31 de maio de 2007), existiam 12
planos de aes emergenciais na usina.
Na primeira empresa, no que se refere gerao, foi destacado que, desde a dcada de 80,
existe a preocupao de se aprender com a anlise dos incidentes ocorridos (com a viso de que
no poderia ocorrer mais o mesmo incidente), e que, aproximadamente em 1990, foram feitas
videoconferncias para discutir os incidentes que ocorreram (participavam da videoconferncia
responsveis de todas as usinas). Em torno do ano 2000, foram realizados planos de emergncia,
comeando pelo de rompimento de barragem. Sendo que, por volta de 2003, j tinham sido
elaborados planos de forma proativa, no apenas de incidentes que j tinham ocorrido. Na data
da visita (15 de maro de 2006), existiam de 12 a 15 planos de aes emergenciais (PAE) por
usina e 7 ou 8 por PCH.
Quanto transmisso e distribuio, houve uma reestruturao dos centros de operao da

distribuio (COD), reduzindo o nmero de centros e mantendo a estrutura de um call center
por COD.
Com esta reestruturao, foi possvel manter instalaes desativadas para funcionar como
hot-site12 . A arquitetura do sistema permite, ainda, trabalhar por transbordo13 e fazer a dis-
tribuio de servios na rea de responsabilidade de um COD, por outro o que caracteriza
redundncia ativa. Adicionalmente, existe um revezamento entre os operadores de cada mesa
(que so as reas de atuao das equipes) para que, em uma contingncia, se possa operar
com 2 equipes em uma mesma rea isso feito particionando a mesa em duas, uma subrea
para cada equipe.
A comunicao entre os colaboradores no campo e o COD tambm redundante, pois se

trata de recurso crtico para a garantia da continuidade operacional do COD.
Por fim, salienta-se que as duas empresas pesquisadas dedicam-se ao aprimoramento do

12 So instalaes completas, prontas para operar, caso ocorra a interrupo do negcio na instalao original
por exemplo, um Call Center redundante. Isso inclui equipamentos, mveis, instalaes, e outros itens necessrios
para a operao.
13 a transferncia de servio de uma unidade para outra, quando a primeira teve o limite de sua capacidade
atingido.
programa de gerenciamento de risco e fazem, periodicamente, simulaes dos planos e reviso

do que foi estabelecido.
interessante destacar que, em uma visita tcnica a uma distribuidora na Espanha, re-
alizada em 02 outubro de 2008, foram identificadas prticas equivalentes s identificadas na
distribuidora pesquisada, no que se refere ao transbordo, redundncia da comunicao, dis-
ponibilidade de hot site e redundncia ativa de instalaes.
Destaca-se, ainda, que parte da metodologia desenvolvida no presente trabalho foi aplicada
em uma distribuidora, no caso a Celesc (Centrais Eltricas de Santa Catarina S.A.), e em uma
transmissora, a Eletrosul Centrais Eltricas S.A., conforme descrito no Captulo 6. Nos dois
casos, pode-se confirmar a carncia de uma metodologia para o gerenciamento de risco no setor
eltrico.
Esta carncia de uma metodologia levou empresas a desenvolverem suas prprias formas de
trabalhar. Lefevre et al. (2001), por exemplo, apresentam os passos seguidos na implementao
do sistema de gerenciamento na Usina Hidroeltrica Binacional ITAIPU, conforme listado a
seguir.
1. Identificao das possveis contingncias: Este trabalho baseia-se na experincia dos

membros da comisso, suportada pela equipe tcnica.
2. Avaliao sucinta do risco e das consequncias de cada contingncia: Essa atividade
fundamental para definio de prioridades para a anlise das contingncias, uma vez que
o nmero de itens levantados exigiriam muito tempo de trabalho para que se analisem
todos.
3. Estabelecimento dos grupos de anlise: Com base na lista de prioridade elaborada no
item anterior, formam-se grupos de estudos um para cada contingncia.
4. Misso de cada grupo de anlise: Cada grupo analisa, com profundidade, cada contin-
gncia. Na anlise, deve-se verificar se o risco real ou se medidas estruturais podem
minimizar, ou at eliminar, a probabilidade de ocorrncia. Tambm tarefa do grupo
examinar as aes para mitigar as consequncias. Finalmente, de responsabilidade do
grupo a elaborao do Plano de Aes que devem ser tomadas no caso de a contingncia
ocorrer.
5. Envolvimento dos colaboradores: Ficou decidido que, antes de ser considerado con-
cludo, o plano deve ser submetido a uma apresentao aberta s reas tcnicas da Itaipu.
Esta medida permitiu uma considervel contribuio dos profissionais que no participa-
ram do grupo de estudo. parte desta apresentao, todas as recomendaes ou decises
apresentadas que incorram em grande custo so objetos de avaliao da superintendncia
ou at da diretoria da corporao.
6. Treinamento: considerada fundamental a prtica de simulaes do combate s contin-
gncias. Assim, periodicamente, so programadas simulaes. A experincia mostra que
a anlise dos resultados dessas simulaes geram importantes ajustes no plano e melho-
ram o treinamento para a aplicao deles.
7. Natureza permanente do PAE: Mesmo quando os estudos de todas as contingncias, at
ento identificadas, tenham sido concludos, fundamental que a comisso permanea.
Isto : ela deve ser de natureza permanente para tratar adequadamente novas contingn-
cias que sejam identificadas.
8. Reviso da metodologia: Muito do trabalho feito com base na experincia e no senso
comum. Um estudo sobre metodologias est sendo realizado para verificar se uma abor-
dagem mais cientfica pode ser incorporada s prticas presentes.
Ao longo do Captulo 3, foram apresentadas algumas abordagens de gesto de risco.
Observou-se que as metodologias de gerenciamento de risco vm sendo desenvolvidas prin-

cipalmente nos ltimos 50 anos, especialmente nos 15 ltimos, quando atingiu um nvel de ma-
turidade maior no entanto, somente a partir de 2000 foi possvel consolidar regras e normas.
Quanto ao BCM, concluiu-se que ele no se restringe aos sistemas de informaes e inclui
medidas de monitoramento e controle; de resposta emergencial; de operao alternativa; e de
retorno situao normal.
De fato, Karakasidis (1997) constatou que tanto os profissionais atuantes em recuperao

de desastres (para sistemas de tecnologia de informao) quanto os atuantes em recuperao
de negcios (para atividades principais do negcio) concordam que recuperar os sistemas de
informao no assegura a sobrevivncia do negcio. Essa lio aprendida na vida real, de
acordo com o autor, acarretou uma inundao de metodologias de contingncias, ferramentas,
servios de consultorias, etc., alm de um constante refinamento dos processos e metodologias
utilizadas pelos auditores a fim de assegurar que as perguntas corretas estejam sendo feitas na
execuo de revises de planos, estruturas de trabalho, estratgias, recomendaes, polticas e
normas.
O Quadro 3.1 compara a estrutura de algumas metodologias de gerenciamento de risco,

tanto abordagens gerais quanto relativas segurana ou continuidade. interessante observar
que, apesar de estruturadas de forma diferente, os pontos abordados so muito prximos do que
prope a norma ABNT ISO/IEC Guia 73, que divide a gesto de risco em: anlise / avaliao
de risco; tratamento do risco; aceitao do risco; e comunicao do risco.
Quadro 3.1: Comparativo entre algumas metodologias de gerenciamento de risco
Fontes Foco Processo

ABNT (2005) Geral. Anlise / avaliao de risco.
ABNT/ISO/IEC Tratamento do risco.
Guia 73. Aceitao do risco.
Comunicao do risco.
ABNT (2001) Continuidade. Entender os riscos a que a organizao est
ABNT/ISO/IEC exposta.
17799. Identificar e priorizar os processos crticos.
Avaliao do impacto das interrupes.
Objetivos do negcio (MTO, RPO, etc.).
Estratgia da continuidade.
Planos da continuidade.
Testar e atualizar.
Incorporar BCM estrutura da organizao.
BCI (2005). Continuidade. Poltica do BCM.
Gerenciamento do programa.
Preparao e resposta a incidentes.
Estratgia da organizao.
Anlise do impacto no negcio (BIA).
Avaliao de risco.
Estratgia do BCM da organizao.
Estratgia no nvel de processo.
Estratgia de recuperao de recursos.
Plano de gerenciamento de crise.
Plano de continuidade.
Plano de reativao da unidade de negcio.
Avaliao da conscientizao.
Desenvolvendo a cultura.
Monitorao de mudanas culturais.
Exerccios.
Manuteno.
Auditoria.

(continuao)
Botha & Von Continuidade. Planejamento do projeto.
Solms (2004). Anlise do impacto no negcio (BIA).
Estratgia da continuidade.
Implementao da estratgia da continuidade.
Treinamento da continuidade.
Testes da continuidade.
Manuteno do Plano de continuidade.
As fases anteriores devem ser aplicadas aos
4 ciclos: ciclo de cpias de segurana; ciclo de
recuperao de desastre; ciclo de planejamento
de contingncia; ciclo de planejamento de con-
tinuidade.
Cooper (2004) Segurana. Estabelecer o contexto.
SAA AS/NZS Identificar o risco.
4360:2004. Analisar o risco.
Avaliar o risco.
Tratar o risco.
Monitoramento e reviso.
Comunicao e consulta.
EUROCONTROL Segurana. Anlise / avaliao do perigo funcional
(2004). (FHA).
Anlise / avaliao preliminar de segurana
do sistema.
Anlise / avaliao de segurana do sistema.
Karakasidis Continuidade. Aprovao da alta gerncia.
(1997). Comit de planejamento da continuidade.
Anlise do impacto no negcio (BIA).
Avaliar necessidades crticas.
Estratgia da continuidade e processos de re-
cuperao.
Aprovao pelos executivos do plano de im-
plementao.
Elaborar o plano de recuperao.
Elaborar os procedimentos e critrios dos tes-
tes.
Testar os processos de recuperao.
Consensar os nveis de servio.
Atualizar / revisar os padres e procedimen-
tos.

(continuao)
Kranidiotis Segurana. Identificao dos perigos do risco.
(2001). Identificao das pessoas afetadas pelos peri-
gos.
Avaliao do risco.
Definio de medidas de segurana.
Documentao e reviso da avaliao.
Kumamoto & Segurana. Identificar o risco.
Henley (1996). Gerar o perfil do risco das combinaes de
controles ativos e passivos.
Avaliar os perfis e tomar deciso adequada.
NASA (2002b), Segurana. Identificao dos riscos.
NASA (2004b), Anlise dos riscos.
NASA (2004a). Planejamento de risco.
Rastreamento do risco.
Controle do risco.
Documentao e comunicao.
Lefevre et al. Geral. Identificao das possveis contingncias.
(2001). Avaliao sucinta do risco e das consequn-
cias de cada contingncia.
Estabelecimento dos grupos de anlise.
Misso de cada grupo de anlise.
Envolvimento dos colaboradores.
Treinamento.
Natureza permanente do PAE.
Reviso da metodologia.
SAE (1996) Segurana. Anlise / avaliao do perigo funcional
SAE ARP 4761. (FHA).
Anlise / avaliao preliminar de segurana
do sistema.
Anlise / avaliao de segurana do sistema.
Saldanha (2000). Continuidade. Avaliao do impacto (BIA).
Avaliao do grau de exposio.
Definio da estratgia da continuidade.
Plano de monitoramento e controle.
Plano de resposta emergencial.
Plano de contingncia.
Implementao.
Testes.
Manuteno.
No entanto, destaca-se a preocupao, das metodologias de gerenciamento de continuidade,

de compreender a organizao, antes de iniciar a anlise de risco. BCI (2005), por exemplo,
procura identificar os valores da organizao e alinhar o gerenciamento da continuidade ao
planejamento estratgico da organizao. J Karakasidis (1997) destaca o apoio dos executivos

para viabilizar o BCM, que tambm abordado por todas as metodologias de gerenciamento
da continuidade no entanto, no destacam em um tpico especfico, mas apresentam esta
informao ao longo do texto.
No que se refere anlise de risco, observou-se que, na gesto de continuidade, normal-

mente chamada de BIA e est associada identificao dos processos crticos. Note-se que
Saldanha (2000) divide a anlise de risco em BIA e avaliao do grau de exposio.
Quanto ao processo de comunicao do risco, destaca-se a identificao da necessidade de

se construir uma cultura de continuidade apresentada em BCI (2005) e Saldanha (2000). Essa
necessidade tambm uma caracterstica fundamental no gerenciamento de segurana e deve
abranger toda a organizao, conforme destacado por Kumamoto & Henley (1996).
De fato, Kumamoto & Henley (1996) propem, como estratgia de tratamento, o aprimo-
ramento da qualidade das prticas da empresa para diminuir o risco e alcanar uma cultura
do risco poltica tambm adotada por outras metodologias, tais como TapRoot (PARADIES;
UNGER, 2000).
De acordo com o documento 75-INSAG-3 do International Nuclear Safety Advisory Group

(IAEA, 1999), a cultura de segurana crucial para o gerenciamento de risco.
Outro ponto relevante o fato de a NASA (2004a) levar em considerao a existncia de

planos de contingncia na tomada de deciso de aceitar ou no o risco.
J a norma SAA AS/NZS 4360:2004 inclui, no tratamento dos riscos identificados, a ela-
borao de planos de contingncia para fazer a recuperao, caso o incidente ocorra (COOPER,
2004).
interessante destacar que, nas metodologias de gesto da continuidade, no h distino

entre o tratamento do risco e o planejamento ativo do risco aceito. Possivelmente, isto tem
origem na recuperao de desastre, que tem seu foco no ps-incidente. Assim, na definio das
estratgias, so consideradas tanto medidas para a reduo do risco (ou at evit-lo), quanto
para o planejamento referente aos riscos aceitos.
Destaca-se, ainda, o fato de o BCI (2005) trazer a necessidade de se criar um plano de

gerenciamento de crises que fogem do escopo do plano de continuidade, que incluem, por
exemplo, uma exposio negativa na mdia causada por um incidente mesmo que no tenha
ocorrido interrupo nos processos crticos do negcio.
Note-se que as metodologias de gesto de continuidade, adicionalmente s quatro fases

propostas na ABNT ISO/IEC Guia 73, trazem a preocupao de revisar o processo de geren-
ciamento para que ele se mantenha atualizado e se possam fazer melhorias que tambm
evidenciada na gesto da segurana por Kranidiotis (2001), na norma SAA AS/NZS 4360 (CO-
OPER, 2004), e pela NASA (2002b), NASA (2004b), NASA (2004a).
De fato, alm de poderem ser estruturadas da mesma forma, a gesto de segurana e a de

continuidade interagem em vrios aspectos.
Saldanha (2000), por exemplo, salienta que, ao identificar a criticidade de um processo ou

servio, deve-se considerar a possibilidade de colocar em risco a segurana dos funcionrios
e terceiros e que, em situaes de risco, a prioridade a segurana dos funcionrios, clientes,
visitantes e fornecedores.
A ABNT ISO/IEC 17799 (ABNT, 2001), que uma norma de segurana da informao,
acrescenta que os procedimentos de emergncia a serem executados aps a ocorrncia do in-
cidente devem contemplar aes para preservar as operaes do negcio e / ou vidas humanas.
Para Savage (2002), deve-se incluir, no plano de continuidade, procedimentos de sade e

segurana.
Karakasidis (1997), por sua vez, complementa indicando que a continuidade de negcio
deve ser usada em conjunto com um programa de gerenciamento de risco mais abrangente.
Na viso de Kumamoto & Henley (1996), a segurana fundamental para a existncia da

continuidade da organizao.
Apesar desta interao entre o gerenciamento de segurana e de continuidade, alguns au-

tores os consideram distintos. BCI (BCI, 2005), por exemplo, discute algumas diferenas entre
gerenciamento de segurana e gerenciamento de continuidade. Dentre outras, o fato de o pri-
meiro fazer uso de parmetros de impacto e probabilidade e, o segundo, de impacto e tempo
(cronologia).
interessante observar que comum, na gesto da segurana, agregar outros parmetros

no perfil do risco. Kumamoto & Henley (1996), por exemplo, incorporam a populao afetada
e o cenrio causal no perfil do risco, sendo que este ltimo considera a cronologia dos even-
tos. Portanto, no se restringindo ao impacto e probabilidade, que normalmente so tratados
como severidade e probabilidade pelos gestores de segurana. De fato, modelos cadeia causal
normalmente so cronologicamente estruturados.
Ademais, ao se verificar a necessidade de desenvolver tcnicas como FTA dinmico, ESD

dinmico, entre outras, fica evidente a necessidade de considerar a varivel tempo na gesto
de segurana, bem como recomenda-se considerar probabilidades na gesto da continuidade,
para possibilitar uma anlise de custo-risco-benefcio dos investimentos a serem feitos pela
organizao.
Neste sentido, alguns autores apresentam recomendaes que associam os conceitos de

segurana e continuidade, tais como:
1. a BIA deve ser conduzida conforme a estratgia de gerenciamento de risco da organizao

(BCI, 2005);
2. deve-se trabalhar as vulnerabilidades da organizao como um todo, para reduzir os danos
e perdas por perigos naturais (WEICHSELGARTNER, 2001);
3. se a preveno completa for aceita como absolutamente inatingvel, a abordagem de de-
sastres para a continuidade resulta em uma poltica de reduo de risco a longo prazo
(WEICHSELGARTNER, 2001); e
4. um dos requisitos para o BCM deve ser fomentar um programa de reduo de riscos, para
assegurar que as ameaas da organizao sero adequadamente identificadas e avaliadas
(KARAKASIDIS, 1997).
No entanto, nenhuma das metodologias apresentadas integra, de maneira estruturada, os

conceitos de continuidade e de segurana. No Captulo 5, est delineada a metodologia desen-
volvida foco deste trabalho de doutorado , que visa atender a essa necessidade.
fato que todo sistema tcnico tem uma funo a desempenhar. Esta funo, ento, con-
tribui para a operao da organizao. Apesar de todo sistema tcnico ser portador de perigo,
a sociedade est disposta a correr o risco de um incidente para ter o benefcio adquirido pela
operao da organizao.
Desta forma, para a sociedade, a relao custo-risco-benefcio se d pelo aporte que ela faz
na organizao (seja pela aquisio de seus produtos / servios, por subsdio, por financiamento,
ou qualquer outra forma de favorecimento), pelo risco de dano sociedade em confronto com
os benefcios advindos da manuteno da operao da organizao.
A organizao, por sua vez, fornece produtos / servios em troca de remunerao. Desta
forma, cria-se um lao de dependncia entre as partes: organizao e sociedade.
Assim, a sociedade incorre em dois riscos: de um incidente gerar dano a ela ou interromper
a operao da organizao, isto , riscos relativos segurana e continuidade.
Por fim, destaca-se que ainda no existe um consenso quanto terminologia utilizada na
gesto de risco quanto segurana, nem na gesto de risco quanto continuidade, tampouco
entre elas conforme discutido no Captulo 2.
De fato, os gerenciamentos de risco segurana e continuidade abordam situaes simi-

lares, mas de forma diferente e com designao distinta. O Quadro 3.2 ilustra este ponto: nele
est apresentado um comparativo entre a nomenclatura utilizada no gerenciamento de segurana
e no de continuidade para designar as atividades tpicas, a serem realizadas no perodo anterior
e posterior a um caso de incidente.
Contudo, observa-se que as metodologias para gerenciamento de riscos destes dois atri-
butos esto convergindo, apesar de ainda no se ter uma que formalmente integre os atributos
segurana e continuidade.
Quadro 3.2: Designaes relativas aceitao do risco, utilizadas na gesto de continuidade e

de segurana
Continuidade Segurana Comentrios

Monitoramento Preveno do Nos dois casos, o objetivo monitorar os distrbios que possam causar
& controle incidente a falha. Para o gerenciamento de segurana, a preocupao a
integridade das pessoas e do meio ambiente; para o gerenciamento da
continuidade, a manuteno das funes crticas (mas sem
comprometer a segurana)
Resposta Gesto do incidente Assim como a resposta emergencial, a gesto do incidente tambm
emergencial procura minimizar os danos do incidente. Mais uma vez, a diferena
est no foco de cada: a primeira se preocupa em minimizar o impacto
s funes crticas (sem comprometer a segurana), e a segunda, em
manter a segurana.
Operao Gesto do incidente No so usuais, em sistemas tcnicos industriais, algumas solues
alternativa adotadas para sistemas de informaes, tais como local redundante
(hot site). No entanto, a prtica de redundncia comum para
equipamentos e instalaes menores.
Retorno Como a grande preocupao do gerenciamento de segurana o dano
ao homem e ao meio, normalmente no existe um planejamento para
retorno s operaes normais de operao.
80
4 Principais tcnicas usadas para dar

suporte metodologia de
gerenciamento de risco
Tanto o gerenciamento de segurana quanto o de continuidade fazem uso de tcnicas de

suporte s respectivas metodologias, a fim de modelar a realidade e estruturar o conhecimento.
Existem inmeras tcnicas de modelagem para gerenciamento de risco EUROCONTROL
(2004) e Everdij & Blom (2008) apresentam uma listagem de centenas delas, indicando a poca
de origem e as caractersticas principais de cada uma.
A seguir, ser apresentada uma breve descrio das que foram consideradas mais relevantes
para a metodologia de gerenciamento de risco desenvolvida e apresentada no Captulo 5, que
so: IDEF0; redes bayesiana; atualizao bayesiana; FTA; ETA; ESD; FHA; FMECA; BTA
e CNEA. Isto no significa que outras tcnicas no possam ser utilizadas RBD (reliability
block diagram) ou HAZOP, por exemplo, podem ser utilizadas para auxiliar na identificao de
incidentes. Por fim, na Seo 4.10, destaca-se como as tcnicas apresentadas esto associadas
metodologia desenvolvida.
Para uma leitura mais aprofundada, sugere-se a bibliografia referenciada no Quadro 4.11 .
Quadro 4.1: Referncias bibliogrficas recomendadas
Tcnica de suporte Documento Outras referncias sugeridas

NeDIP
Atualizao bayesiana NE-RE-06 Droguett & Mosleh (2000); Calil et al.
(2005); RAC (2003); Kapur & Lamber-
son (1977); Gill (2002).
Redes bayesianas NE-RE-06 Pearl (1988); Jensen (2001); Boerlage
(1994).
1 Os documentos NeDIP esto disponveis no stio do ncleo na internet: <www.nedip.ufsc.br>.

4.1 IDEF0 81
Quadro 4.1:Referncias bibliogrficas recomendadas

(continuao)
Tcnica de suporte Documento Outras referncias sugeridas
NeDIP
Anlise por rvore de falha NE-RE-03 Sakurada (2001); USA/NRC (1981);
(FTA) NASA (2002a); Ericson II (2005); Leve-
son (1995).
Anlise por rvore de eventos NE-RE-01 Papazoglou (1998); Kumamoto & Hen-
(ETA) ley (1996); Ericson II (2005); Leveson
(1995).
Diagrama sequencial de NASA (2002b); Swaminathan & Smidts
eventos (ESD) (1999).
IDEF0 NE-RE-04 NIST (1993); Presley (1997).
Anlise / avaliao dos peri- EUROCONTROL (2006), Ericson II
gos funcionais (FHA) (2005); Leveson (1995).
Anlise do modo de fa- NE-RE-02 Sakurada (2001); SAE (2002);
lha, efeitos e criticidade USA/DOD (1980); STAMATIS (1995);
(FMECA) ECSS (2001).
Anlise bow-tie (BTA) Lewis & Hurst (2005); GOVERNORS
(2005); Ramzan (2006); Trbojevic
(2004).
Anlise de eventos por rede NE-RE-05
causal (CNEA)
4.1 IDEF0
IDEF0 (integration definition for function modeling) uma tcnica para dar suporte mo-
delagem de decises, aes e atividades (PRESLEY, 1997). A ideia do IDEF0 representar
graficamente o funcionamento do objeto de estudo. Esta tcnica baseada em uma linguagem
grfica consolidada a structured analysis and design technique (SADT), desenvolvida nos
anos 70 (PRESLEY, 1997) e objetiva facilitar a anlise e a comunicao das funes estudadas
(NIST, 1993).
Como ferramenta de anlise, o mtodo auxilia na identificao das funes executadas, o

que se necessita para execut-las, o que o sistema atual faz corretamente e o que o sistema atual
faz de errado (NIST, 1993). Como ferramenta de comunicao, o mtodo possibilita aprimorar
o conhecimento e trazer consenso quanto funo do sistema.
Os componentes da sintaxe do IDEF0 so caixas, setas, regras, diagramas, textos e glossrio

como ilustrado na Figura 4.1.
As caixas representam funes definidas como atividades, processos ou transformaes

que podem ser detalhadas em caixas de nvel inferior (subfunes). O cdigo da funo
4.1 IDEF0 82
C1 C2 C3
Tempo de uso do equipamento

Estado do equipamento
Disjuntor
Equipamento
I3 Equipamento to bom como novo
Sobressalentes Fazer manuteno O2
I2 de disjuntores SF6 / N2 / leo e resduos para o meio
Insumos isolados a SF6 O1
I1
disponveis A21
Fazer manuteno
da estao blindada
isolada a SF6
(GIS)
A22
Fazer manuteno
de outros
equipamentos
isolados a SF6
A23
Sistema de informao
RH
Veculos de transporte
Oficina
M1 M2 M3 M4
Figura 4.1: Exemplo de IDEF0 da funo Fazer manuteno de equipamentos isolados a SF6
Fonte: MT-PR-RT-NE-01 (UFSC/NEDIP, 2008j, Apndice A, p. 21)
principal deve ser A0, e de suas subfunes A1, A2, A3, e assim por diante. A partir do
segundo nvel, acrescenta-se um nmero a mais para identificar cada caixa.
As setas so dados ou objetos relacionados s funes a serem executadas. As setas de

entrada representam as entradas necessrias para o desenvolvimento da funo especificada na
caixa, e as de sada representam os dados ou objetos que foram produzidos. Setas de controle
definem as condies requeridas para a produo das sadas adequadas e devem ser conectadas
no lado de cima de uma caixa. As setas de mecanismo definem os meios ou ferramentas atravs
4.2 Abordagem bayesiana 83
dos quais ser exercida a funo especificada pela caixa, devem apontar para cima e devem ser
conectadas no lado de baixo da caixa.
As regras de sintaxe definem como os componentes so utilizados, e os diagramas, que

so a principal parte do IDEF0, fornecem o formato para descrever o modelo graficamente.
Para um melhor entendimento do modelo, faz-se uso de textos explicativos que descrevem as
funes modeladas e os respectivos controles, mecanismos, entradas e sadas. Adicionalmente,
tambm recomendado que seja feito um glossrio com a definio de palavras-chave, frases
ou acrnimos utilizados. (NIST, 1993).
4.2 Abordagem bayesiana
Reverendo Thomas Bayes nasceu em Londres, em 1702, e era um matemtico amador.

Faleceu em 1761, em Tunbridge Wells tambm na Inglaterra (OCONNOR; ROBERTSON, 2004).
Seu texto mais ilustre, Essay Towards Solving a Problem in the Doctrine of Chances2 ,
foi publicado em 1763 (portanto aps sua morte), no Philosophical Transactions of the Royal
Society of London, por seu amigo Richard Price. Nesse texto, apresentado um caso especial
do que hoje denominado teorema de Bayes. Este, por sua vez, foi apresentado, em 1774, por
Pierre-Simon Laplace, no texto Mmoire sur la Probabilit des Causes par les vnements
(FIENBERG, 2006).
O teorema de Bayes fundamenta-se na teoria de probabilidade condicional e a base para

a atualizao bayesiana e para as redes bayesianas.
Para dois dados eventos A e B, pode-se apresentar o teorema pela equao a seguir:
P(A|B).P(B)
P(B|A) = (4.1)
P(A)
Onde,
P(A|B) a probabilidade de ocorrer o evento A, dado que ocorreu o evento B;

P(B|A) a probabilidade de ocorrer o evento B, dado que ocorreu o evento A;
P(A) a probabilidade de ocorrer o evento A; e
P(B) a probabilidade de ocorrer o evento B.
2A University of York, no Reino Unido, disponibiliza uma cpia do ensaio de Bayes no endereo eletrnico:
<http://www.york.ac.uk/depts/maths/histstat/essay.pdf>
4.2.1 Atualizao bayesiana
Tradicionalmente, divide-se o mundo da estatstica em dois campos: a estatstica clssica

e a estatstica bayesiana. Em sntese, o que diferencia estas duas abordagens o fato de a esta-
tstica clssica tratar os parmetros das distribuies como valores definidos fixos, enquanto
a estatstica bayesiana considera os parmetros do modelo estatstico como variveis aleatrias,
com uma prpria distribuio probabilstica (RAC, 2003).
A anlise estatstica clssica procura inferir sobre os dados coletados. No entanto, no

leva em considerao, na anlise, informaes anteriores exceto para sugerir a escolha de um
modelo de populao para ajustar, aos dados, e esta escolha posteriormente checada contra
os dados coletados para verificar se ela foi razovel .
Por outro lado, na abordagem bayesiana, utilizam-se informaes anteriores at mesmo

julgamentos subjetivos para construir um modelo da distribuio a priori do parmetro da
distribuio estudada, conforme apresentado na expresso matemtica a seguir:
f (x| ). f ( )
f ( |x) = (4.2)
f (x)
Onde,
f ( |x) a distribuio a posteriori do parmetro ;

f ( ) a distribuio a priori do parmetro ; e
f (x| ) a funo verossimilhana.
Que pode ser lida omitindo o denominador do lado direito da equao, j que ele no
depende de como: a distribuio a posteriori proporcional verossimilhana mul-
tiplicada pela funo a priori (EHLERS, 2005).
Este modelo a avaliao inicial de quo provvel so os vrios valores do parmetro.

Ento, faz-se uso dos dados observados (pela funo verossimilhana) para revisar a avaliao
inicial, chegando ao chamado modelo de distribuio a posteriori para a populao do par-
metro modelado (NIST/SEMATECH, 2003). Em outras palavras, o lado esquerdo da equao
corresponde representao matemtica da pergunta: o que se pode dizer sobre o parmetro
, dadas as informaes disponveis x, e o lado direito o mecanismo de inferncia para
responder a esta questo (DROGUETT; MOSLEH, 2000).
Para obter um valor representativo do parmetro, pode-se fazer uso de estatsticas e calcu-
lar o valor esperado da funo posteriori, e o estimador bayesiano pode ser alcanado por
(KAPUR; LAMBERSON, 1977):
Z
= E( |x) = . f ( |x).d (4.3)

4.2.2 Redes bayesianas
Redes bayesianas so grafos acclicos direcionados (DAG - directed acyclic graph). Grafos
direcionados, pois so representaes grficas em que ndulos representam as variveis, arcos
direcionados representam a existncia de uma influncia direta entre as variveis, e probabilida-
des condicionais expressam a intensidade desta influncia (PEARL, 1988). Acclicos, pois no
pode existir um caminho A1 An em que A1 = An (JENSEN, 2001); isto : no existe um
caminho que comece e termine no mesmo ndulo.
As redes bayesianas so modelos que procuram representar a realidade, podendo inferir a

probabilidade de um ou mais eventos, dada a observao de alguma evidncia.
O exemplo ilustrado pela Figura 4.2 refere-se probabilidade de um sistema falhar (ou se
manter em operao), baseando-se no estado de cinco componentes: A, B, C, D e E3 .
Evidncia de que o componente B falhou
A B A B
Operando 70.0 Operando 85.0 Operando 70.0 Operando 0
Falha 30.0 Falha 15.0 Falha 30.0 Falha 100
E Sistema E Sistema
Operando 80.0 Operando 90.6 Operando 80.0 Operando 62.2
Falha 20.0 Falha 9.38 Falha 20.0 Falha 37.8
C D C D
Operando 60.0 Operando 90.0 Operando 60.0 Operando 90.0
Falha 40.0 Falha 10.0 Falha 40.0 Falha 10.0
Figura 4.2: Exemplo de rede bayesiana antes e aps evidncia
Note-se que a probabilidade de falha do sistema alterou de 9,38% para 37,8% aps a evi-
dncia de que o componente B falhou.
3 Figura editada a partir da rede elaborada utilizando o software Netica ,
c desenvolvido pela Norsys Software
Corp.
4.3 rvore de falha (FTA) 86
4.3 rvore de falha (FTA)
FTA (fault tree analysis) foi elaborada por H. A. Watson, dos Laboratrios Bell, em 1961,
em atividade desenvolvida para a fora area norte-americana, com o fim de estudar o mssil
Minuteman. Em 1965, na primeira conferncia de sistemas de segurana, patrocinada pela Bo-
eing e pela Universidade de Washington, foram apresentados os primeiros trabalhos utilizando
FTA, difundindo a tcnica. (ERICSON II, 1999).
FTA, ilustrada na Figura 4.3, uma tcnica dedutiva que elabora o modelo partindo de um
evento (evento topo) e, posteriormente, identificando as causas necessrias para sua ocorrncia.
A diagramao feita utilizando operadores lgicos como e, ou, etc. , o que possibilita
calcular a probabilidade de ocorrncia do evento topo por lgica booleana, atribuindo probabi-
lidades ocorrncia de cada causa.
Vibrao
OU
Tampas
Eixo Eixo Mancal Estator
laterais
deformado desalinhado deformado desgastado
desgastadas
OU 3 3 2 OU 2
Erro na
fabricao
Nvel
Erro na Erro de Erro de excessivo de Presso Uso 3
fabricao montagem projeto contaminao excessiva excessivo
do fluido
Figura 4.3: Exemplo de rvore de falha para o efeito topo vibraes

Fonte: Sakurada (2001, p. 83)
Na Figura 4.3, por exemplo, o evento eixo desalinha ocorre sempre que um dos eventos
abaixo erro na fabricao, erro na montagem ou erro no projeto ocorrer, pois uma
porta ou. Note-se que as causas que foram desdobradas esto representadas por retngulos, e
as que ainda requerem uma futura anlise so diagramadas como losangos (crculos representam
4.4 rvore de eventos (ETA) 87
as causas razes). O tringulo, por sua vez, representa o ramo que est abaixo dele assim, no
necessrio repetir o mesmo ramo vrias vezes.
interessante esclarecer que o smbolo do tringulo utilizado para evitar que se repita a
mesma informao vrias vezes. Assim, o tringulo de nmero 3 representa o conjunto abaixo
da porta.
FTA pode ser executada em quatro etapas (ALBERTON, 1996): definio do sistema, cons-
truo da rvore de falhas, avaliao qualitativa e avaliao quantitativa (quando aplicvel).
4.4 rvore de eventos (ETA)
Aparentemente, ETA (event tree analysis) foi desenvolvida no incio dos anos 70, durante o
WASH-1400, para apoiar a implementao de anlises de riscos em centrais nucleares (ERICSON
II, 2005), e atualmente utilizada nas mais diversas reas.
ETA um mtodo indutivo que, partindo de um determinado evento inicializador, delineia

as combinaes de eventos at chegar aos possveis resultados (cenrios). Nestes modelos,
usualmente cada evento pode ser instanciado apenas em aconteceu ou no aconteceu, o que
resulta em 2n cenrios, onde n o nmero de eventos da rvore.
Note-se que existem tcnicas de otimizao da rvore (desbaste dos ramos), que simplificam
o diagrama j que o nmero de ramos cresce exponencialmente com o nmero de eventos,
podendo resultar em rvores complexas.
A Figura 4.4 ilustra uma rvore de eventos. Nela, o evento A o inicializador, e a ocorrncia
(ou no) dos eventos B e C determina qual o cenrio esperado. Por exemplo, caso ocorra A, B e
no ocorrer C (A = a, B = b e C = c), o estado final resultante o 2, sendo que a probabilidade
de este cenrio ocorrer P(a).P(b|a).P(c|a, b).
A B C CENRIO PROBABILIDADE
c
1 P a . P ba . P ca , b
b
c
a
2 P a . P ba . P ca , b
c
b 3 P a . P ba . P ca , b
c
4 P a . P ba . P ca , b
Figura 4.4: ETA de eventos sequenciais, na qual o evento A o evento inicializador

4.5 Diagrama sequencial de eventos (ESD) 88
A tcnica pode ser utilizada para delinear, barreiras a fim de reduzir consequncia ou para
organizar, caracterizar e quantificar potenciais incidentes de uma maneira metdica (EUROCON-
TROL, 2004). Ela pode ser executada em cinco etapas: (i) identificao dos eventos inicializado-
res; (ii) identificao dos eventos que podem influenciar (incluindo barreira, salvaguardas, etc.);
(iii) estruturao da rvore de eventos; (iv) simplificao da rvore de eventos; e (v) clculo da
probabilidade de cada cenrio (quando aplicvel).
4.5 Diagrama sequencial de eventos (ESD)
Um ESD (event sequence diagram), a exemplo do ilustrado na Figura 4.5, um modelo que
procura representar esquematicamente sequncias de eventos que levam a diferentes estados
finais. Cada caminho, no diagrama, um cenrio, e cada evento pivotal identificado como
ocorreu ou no ocorreu (NASA, 2002b).
ESD mais uma tcnica para delinear cenrios; no entanto, ela se destaca por ser mais
aderente forma de pensar dos engenheiros, comparada com as rvores de eventos (NASA,
2002b). Assim, ESD tambm utilizado como tcnica de suporte para elicitar o conhecimento
do especialista, para, ento, modelar rvores de eventos e fazer anlises probabilsticas.
Evento Evento Evento Estado final

inicializador pivotal A pivotal B 2
Estado final Evento Estado final

Sim 1 pivotal C 3
No
Estado final
4
Figura 4.5: ESD ilustrativo
Everdij & Blom (2008, p. 44) consideram ESD como sendo uma generalizao da ETA,
pois no se restringe representao da sequncia de eventos, podendo modelar sistemas repa-
rveis. Ademais, recentemente, Swaminathan & Smidts (1999) propuseram uma extenso da
tcnica, possibilitando a modelagem de sistemas dinmicos, bem como sua anlise probabils-
tica.
4.6 Anlise / avaliao dos perigos funcionais (FHA) 89
4.6 Anlise / avaliao dos perigos funcionais (FHA)
A origem exata da tcnica FHA (functional hazard assessment) incerta; no entanto,

acredita-se que os estudos iniciais para sua concepo tenham sido feitos na dcada de 1960
(EUROCONTROL, 2006).
A tcnica, no setor areo, atualmente utilizada em metodologias como a EATMP SAM,

que originalmente baseou-se na FHA proposta na SAE ARP 4761, mas extrapolou o escopo,
contemplando todo o sistema de navegao area (EUROCONTROL, 2006). A SAE ARP 4761,
por sua vez, um refinamento e uma extenso da JAA JAR-25 e abrange tanto hardware quanto
software (EVERDIJ; BLOM, 2008).
FHA uma tcnica top-down iterativa que procura determinar quo seguro deve ser o sis-
tema, e normalmente conduzida no incio do desenvolvimento ou da modificao do sistema
(EUROCONTROL, 2006). uma anlise metdica das funes do sistema, a fim de identificar
as possveis falhas e classific-las de acordo com uma escala de severidade dos efeitos (SILVA,
2006).
A representao do modelo feita na forma de tabelas, a exemplo do Quadro 4.2, que ilustra
parte da anlise / avaliao de um prdio de uma central de controle de trfego areo (ATCC
air traffic control center).
Quadro 4.2: Exemplo de parte de FHA de um ATCC
Funo Perigo Efeito no Efeito no ATM Seve Comentrios

ATCC ridade
Construo Perda total da sala Evacuao Inabilidade total 1 Evento to improvvel de
da sala de do controle de imediata das de prover ou ocorrer, que foi decidido no se
ATC trfego areo (ATC pessoas. manter servio de fazer nada para evitar o perigo
air traffic control) Inviabiliza a ATM (air traffic ou mitigar suas consequncias
devido coliso operao. management) (em alguns casos nada poderia
(aeronave, seguro. Perda do ser feito). Esse risco
meteorito, veculos, servio. classificado como aceitvel pela
etc.), danos severos gerncia.
ao prdio.
Fonte: EUROCONTROL (2006, FHA, Level 3, Appendix D (Core), p. 16, traduo nossa)
No Quadro 4.2, os termos adotados tm os seguintes significados:
Funo as funes que o sistema deve desempenhar;

Perigo os perigos levantados e avaliados para as falhas funcionais;
Efeitos os efeitos e consequncias caso o incidente ocorra;
Classe de severidade a classe da mxima probabilidade tolervel de o efeito ocorrer
4.7 Anlise do modo de falha, efeitos e criticidade (FMECA) 90
(classe 1 refere-se ao mais severo, cuja ocorrncia no tolervel, e classe 5 refere-se ao

efeito inexistente4 );
Comentrios incluem-se informaes relevantes sobre o perigo estudado.
possvel, ento, especificar os objetivos de segurana e apresent-los em uma tabela o

Quadro 4.3 um exemplo de parte dos objetivos da FHA ilustrada no Quadro 4.2.
Quadro 4.3: Exemplo de parte dos objetivos de segurana
Funo Perigo Seve- Objetivos de segurana

ridade
Construo Perda total da sala do 1 Nenhum objetivo de segurana. Uma vez que este
da sala de controle de trfego areo evento to improvvel de ocorrer, foi decidido no se
ATC (ATC air traffic control) fazer nada para evitar o perigo ou mitigar suas
devido coliso (aeronave, consequncias (em alguns casos nada poderia ser feito).
meteorito, veculos, etc.), Esse risco classificado como aceitvel pela gerncia.
danos severos ao prdio.
Fonte: EUROCONTROL (2006, FHA, Level 3, Appendix D (Core), p. 30, traduo nossa)
EUROCONTROL (2006) destaca que FHA pode ser aplicada em diferentes nveis, mas,
idealmente, deve ser conduzida no sistema mais abrangente (nvel macro) para que os ob-
jetivos sejam traados para este nvel, sendo que os requisitos devem ser desdobrados para os
subsistemas.
4.7 Anlise do modo de falha, efeitos e criticidade (FMECA)
FMECA (failure modes effects and criticality analysis)5 teve sua origem no departamento
de defesa dos Estados Unidos (DOD Department of Defense), em 1949, com a norma mili-
tar MIL-P-1629 (Military procedure MIL-P-1629: Procedures for performing a failure mode,
effects and criticality analysis).
A FMECA uma tcnica analtica desenvolvida com base em uma tabela, como a ilustrada
no Quadro 4.4, que tem como propsito estudar os resultados ou efeitos da falha de um item na
operao do sistema e classificar cada falha potencial de acordo com sua severidade (USA/DOD,
1980, p. 101-1, traduo nossa).
Segue uma breve descrio dos elementos da FMECA:
1. funo a funo estudada;

4 Note-se que esta classificao de severidade tem escala inversa da adotada em algumas outras tcnicas na
FMECA, por exemplo.
5 A FMECA se distingue da FMEA (failure modes effects and analysis) pelo fato de agregar um ndice de
criticidade que orienta a prioridade nas aes a serem executadas pela organizao.
4.7 Anlise do modo de falha, efeitos e criticidade (FMECA) 91
2. modo de falha a forma em que o sistema deixa de cumprir seu requisito funcional;
3. efeito potencial potenciais efeitos que a falha desta funo pode gerar;
4. causas as causas razes do modo de falha;
5. controles atuais apresentar as barreiras para monitorar e controlar a falha;
6. NPR o resultado da multiplicao de trs ndices, referentes probabilidade de ocor-
rncia (O), severidade do efeito (S) e possibilidade de se detectar o modo de falha a
partir dos controles atualmente implementados (D);
7. aes recomendadas so as aes preventivas que devem ser executadas diante das
variaes percebidas da funo, a fim de evitar ou mitigar falha;
8. responsabilidade os nomes dos responsveis pelas aes;
9. aes executadas aes efetivamente executadas; e
10. reavaliao dos ndices valor atribudo aos ndices aps as aes executadas.
Quadro 4.4: Exemplo de tabela para FMECA
Causas /
Modo de N Responsvel N
Item / Efeito po- Mecanis- Controles Aes reco- Aes exe-
falha po- S O DP e meta para S OD P
Funo tencial mos poten- atuais mendadas cutadas
tencial R finalizao R
ciais
Gume su-
Baseado nos
perior da Teste de
resultados
aplicao durabili-
do teste
da proteo dade ge- Adicionar
Deteriora- 2 Tate-Boby (Teste N
Porta de cera es- ral do um teste de 2
o da por- pecificado 6 veculo 7 9 corroso ace- Engrg 8X 1481) a es- 7 2 2
8
dianteira
ta, levando para o inte- T-118, T- 4 lerada em la- 09 30 pecificao
L.H para o gume
a: rior do pai- 109, T- boratrio
H8HX- superior su-
0000-A nel muito 301
Aparncia baixo biu 125mm
Entrar e Painel
insatisfat-
sair do inferior Os resulta-
ria devido
veculo de den- dos do teste
ferrugem 7 Adicionar
Prote- tro da (Teste N
atravs da um teste de Combinar
o dos porta 1481) mos-
pintura ao Teste de corroso ace- x/testes
ocupantes corrodo traram que a
longo do Especifica- durabili- lerada em la- para a veri-
contra o espessura
tempo o da es- dade ge- 1 boratrio ficao do
tempo, especificada 2
Funo da pessura da 4 ral do 7 9 Fazer um gume supe- 722
rudo, e adequada. 8
porta no in- cera insu- veculo 6 DOE (Desi- rior da cera
impacto DOE mos-
terior preju- ficiente como gn of Experi- Tate-Body
lateral trou que va-
dicada acima ments) da es- Ergrg 9X
riao de
pessura da 01 15
25% na es-
cera
pessura
aceitvel
Fonte: SAE (2002, p. 43, traduo nossa)
No entanto, a representao do modelo na forma de tabela um dos grandes inconveni-

entes desta tcnica (LEE, 2000). Os campos das tabelas so limitados e a definio semntica
4.8 Anlise bow-tie (BTA) 92
pobre, o que torna difcil a reutilizao do conhecimento em outras FMECAs bem como
compartilhar o conhecimento com outras equipes de projeto e de diagnstico. Adicionalmente,
o tempo dispendido em reunies normalmente alto, o que impacta fortemente no custo de
desenvolvimento da FMECA.
Com o intuito de auxiliar na elaborao da FMECA, o NeDIP em um projeto inicialmente

suportado pelo Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico (CNPq) vem
trabalhando na elaborao de uma ferramenta computacional chamada OpenFMECA, apresen-
tada na Seo 5.4, a fim de minimizar estes inconvenientes.
4.8 Anlise bow-tie (BTA)
Para Everdij & Blom (2008), o diagrama BT (bow-tie6 ) uma evoluo dos diagramas
causa-consequncia dos anos 70 e dos diagramas de barreiras dos anos 80, tendo sido mais
intensamente utilizado nas indstrias qumicas e petroqumicas.
Lewis & Hurst (2005) corroboram com estes autores e indicam a Royal Dutch / Shell Group
como sendo a primeira grande empresa a integrar a BTA (bow-tie analysis) s suas prticas,
sendo responsvel pelo desenvolvimento da tcnica e sua disseminao em todo o mundo.
Atualmente a tcnica utilizada nas mais diversas reas, a exemplo de: Trbojevic (2001)
no gerenciamento da navegao e outras operaes porturias; Ramzan (2006) na gesto de
risco em usinas nucleares; Iannacchione et al. (2007) na mitigao do risco de instabilidade
estrutural e incndios em minas; Trbojevic (2004) na anlise de descarrilhamento de trens de
passageiros; no projeto ARAMIS (accidental risk assessment methodology for industries), que
visa desenvolver uma metodologia para avaliao de risco (DELVOSALLE et al., 2006; DIANOUS;
FIVEZ, 2006; GOWLAND, 2006); entre outras.
BTA uma alternativa grfica para tradicionais mtodos de anlise de risco, como HAZOP
(hazard and operability) e what-if (PHILLEY, 2006). Nela, o evento a ser estudado posi-
cionado no centro do diagrama, suas causas esquerda, e seus efeitos direita, permitindo a
visualizao das relaes entre os elementos do sistema modelado.
A Figura 4.6 ilustra uma BTA, de acordo com a sintaxe proposta por Lewis & Hurst (2005),
que similar adotada por outros autores, como Trbojevic (2004) e Beerens et al. (2006), e
pelos softwares BowTieXP7 e BowTie-Pro8 , em que:
6O diagrama tem este nome porque sua forma se assemelha a uma gravata-borboleta
7 Vide: <http://www.bowtiexp.com/>.
8 Vide: <http://www.bowtiepro.com/>.
4.9 Anlise de eventos por rede causal (CNEA) 93
Ameaa: causa potencial para dar incio ao cenrio de risco que leva ao evento central.
Barreira: medidas de proteo para prevenir as ameaas que podem levar ao cenrio de
risco.
Evento central: evento que inicia o cenrio de risco, ou seja, o ponto no qual o controle
sobre o risco perdido.
Consequncia: possveis consequncias resultantes da ocorrncia do evento central.
Medidas de recuperao: medidas para mitigar as consequncias.
Fator de escala: possveis falhas das barreiras ou medidas de recuperao.
Controle do fator de escala: medidas para evitar a falha da barreira ou medida de
recuperao.
AMEAA CONSEQUNCIA
1 RISCO Medidas de Medidas de 1
Barreira Barreira recuperao recuperao
AMEAA CONSEQUNCIA
2 Medidas de Medidas de 2
Barreira Barreira recuperao recuperao
EVENTO
AMEAA CONSEQUNCIA
3 3
Barreira Barreira Medidas de Medidas de
recuperao recuperao
FATOR DE FATOR DE
ESCALA ESCALA
Controle do Controle do
fator de fator de
escala escala
Figura 4.6: Diagrama ilustrativo de uma BTA

Fonte: Lewis & Hurst (2005, p. 2, traduo nossa)
4.9 Anlise de eventos por rede causal (CNEA)
A CNEA (causal network event analysis), apresentada na Figura 4.7 e no Quadro 4.5, uma
tcnica que faz uso de redes causais para analisar a ocorrncia de um determinado evento (um
incidente ou um modo de falha, por exemplo). Redes causais so grafos acclicos direcionados
(DAG), que, no caso da CNEA, apresentam, no centro do diagrama, o evento a ser analisado.
Este formato anlogo ao da BTA, no entanto, na CNEA, podem-se desdobrar as causas e os
eventos, i.e.: possvel incluir eventos intermedirios.
Outro ponto a se destacar nesta tcnica a possibilidade de considerar que a barreira foi
bem sucedida, mas que o resultado disto tambm deve ser includo na anlise. Em alguns
casos, principalmente na mitigao do incidente, uma barreira pode resultar em situaes no
to graves quanto se ela no existisse, mas que no podem ser desprezadas.
Barreira
proposta 2
Barreira
proposta 1
Causa 1
Efeito 1
Causa 3
(intermediria) Barreira
efetiva
Efeito 2
Causa 2 Incidente
Barreira
atual 1
Efeito 4
Efeito 3
Causa 4 (intermedirio)
Efeito 5
Figura 4.7: Diagrama ilustrativo da tcnica CNEA
Quadro 4.5: Elementos utilizados na CNEA
FIGURA DESCRIO FIGURA DESCRIO

Evento a se analisar, no caso, um incidente.
Barreiras preventivas
Alguns autores adotam um crculo. Optou-
j implementadas
se pelo hexgono para diferenciar da
que objetivam evitar a
representao de causa raiz na FTA. ou
ocorrncia do evento
Efeitos potenciais que o evento central pode central ou mitigar
gerar, dentro do escopo de anlise. seus efeitos.
Causa raiz para a ocorrncia do evento

central, dentro do escopo de anlise. Barreiras preventivas
ou propostas, que
devero ser
Causa ou efeito intermedirio implementadas.
Note-se que possvel, em apenas um diagrama, visualizar as relaes das causas (que
podem ser modeladas em uma rvore de falhas) e dos efeitos (que podem ser modeladas em
uma rvore de eventos). No entanto, a CNEA pode ser modelada sem ter que determinar o tipo
de relao existente entre seus elementos como em uma FTA , e os efeitos so estados e no
eventos, como em uma ETA.
interessante observar que no existe uma sintaxe consolidada para a BTA, sendo que
alguns autores como GOVERNORS (2005) e Lewis & Hurst (2005) apresentam apenas uma
lista de ameaas (que so as causas), o evento central e uma lista das consequncias (efeitos).
Outros, como Beerens et al. (2006) e Lger et al. (2006), incluem eventos intermedirios, o que
torna a BTA similar a uma CNEA.
De fato, a tcnica CNEA foi desenvolvida neste trabalho de doutorado e em projetos de

pesquisa e desenvolvimento (P&D) realizados pelo NeDIP / UFSC, a fim de contornar algumas
dificuldades identificadas na utilizao da estrutura FTA / ETA. A CNEA surgiu da associao
da BTA com redes causais e, com a experincia acumulada pela equipe de pesquisadores do n-
cleo na utilizao de tcnicas para anlise de confiabilidade e segurana, foi possvel aprimorar
esta associao e propor a tcnica como apresentada neste documento.
Por fim, interessante destacar que a CNEA permite diagramar incidentes modelados pela
corrente causal proposta por Mosleh et al. (2004). De fato, em uma rede causal, podem-se
modelar vrias correntes causais referentes a um determinado incidente, conforme ilustrado na
Figura 4.8.
Correntes causais do incidente IN CNEA do incidente IN
CA CP
1 1
B1 + IN CO
EG
CA 1 CP 1
1 B2 B3
B1
EG 1
B2 IN CO
CA CP
2 2 CA 2 CP 2 B3
B4 + IN CO
EG EG 2
2 B5 B3 B4 B5
Legenda: CA Causa IN Incidente
CP Condio perigosa CO Consequncia
EG Evento gatilho B Barreira
Figura 4.8: Modelagem de correntes causais na CNEA
No entanto, para que se possa agrupar correntes causais, os efeitos decorrentes do incidente
devem ser idnticos. Caso exista uma particularidade de um incidente quando deflagrado por
uma condio especfica, esta corrente causal deve ser tratada separadamente.
Por outro lado, em alguns casos possvel simplificar a rede agrupando alguns elementos
da CNEA por exemplo, no caso de o mesmo evento gatilho deflagrar mais de uma condio
perigosa (CP1 e CP2, na Figura 4.8).
Foi apresentada, ao longo do Captulo 4, uma breve reviso sobre algumas tcnicas de
modelagem utilizadas no gerenciamento de risco. Estas tcnicas podem ser aplicadas indepen-
dentemente; no entanto, foi desenvolvida uma estrutura de trabalhado detalhada no Captulo 5
que associa as tcnicas IDEF0, FHA, FMECA, CNEA, FTA, redes bayesianas e atualizao
bayesiana, a fim de possibilitar uma melhor anlise / avaliao dos riscos .
No que se refere tcnica IDEF0, ela ser fundamental para o mapeamento funcional da
organizao. Assim, pode-se identificar quais funes (caixas) so essenciais para o negcio, e
quais as restries (controles) e os recursos (entradas e mecanismos) que so crticos.
A FHA, ento, pode ser utilizada para identificar os perigos associados a estas funes e
analisar seus efeitos e quo crticos so eles para o sistema, a fim de definir os objetivos de
risco.
Pode-se, ento, identificar a forma em que ocorre o incidente ou a falha (modo de falha) e
a criticidade dela, pela tcnica FMECA que possibilita, ainda, que se avaliem indicadores de
controle (sensores) e barreiras para mitigar ou evitar os potenciais cenrios.
No entanto, a representao em tabelas dificulta a execuo da FMECA, sendo um dos

grandes inconvenientes da tcnica. A fim de fornecer uma ferramenta grfica para a anlise,
associou-se a tcnica CNEA FMECA.
A CNEA possibilita uma modelagem do sistema sem a necessidade de conhec-lo to pro-

fundamente quanto na FTA. A modelagem dos efeitos tambm se mostrou mais intuitiva que
na ETA, pois no utiliza eventos pivotais que, na CNEA, esto modelados como barreiras.
Outro ponto a se destacar na CNEA o fato de ela ser mais aderente ao modelo de Mosleh et
al. (2004), adotado neste trabalho, para representao de incidentes.
Para fazer o tratamento estatstico dos modelos elaborados com a FMECA /CNEA, podem-
se utilizar redes bayesianas especialmente quando as relaes entre as causas e os efeitos no
forem determinsticas.
Por fim, para inferir a probabilidade dos eventos, pode-se utilizar a inferncia bayesiana
(para eventos raros) ou a estatstica clssica quando se tem histrico de falha mais represen-
tativo.
Quanto ETA e FTA, elas so muito utilizadas em conjunto para delinear possveis ce-
nrios (ETA) e identificar as possveis causas da ocorrncia de cada evento (FTA) e podem ser
empregadas como uma alternativa CNEA. A BTA tambm pode ser utilizada em substitui-
o CNEA, especialmente em situaes em que se listem as possveis causas e efeitos sem

a necessidade de compreender todas as correntes causais. Pode-se, ainda, utilizar a ESD para
facilitar a elicitao do conhecimento do especialista.
Estas tcnicas daro suporte principalmente para a etapa de anlise / avaliao de risco da
metodologia desenvolvida, mas tambm sero fundamentais no tratamento e no planejamento
dos riscos aceitos.
98
5 Metodologia de gerenciamento de
risco desenvolvida
Neste captulo, apresenta-se a metodologia de gerenciamento de risco desenvolvida neste

trabalho, objetivando contemplar as necessidades percebidas durante a pesquisa bsica no campo
da gesto de risco e consubstanciada nos captulos de reviso da literatura.
Observou-se que o gerenciamento de risco vem sendo explorado principalmente nos lti-
mos 50 anos (destacadamente nos 15 ltimos) e que, a partir do ano 2000, foram efetivamente
consolidadas regras e normas. Isto ocorreu em resposta ao aumento de complexidade e de porte
dos sistemas alm da reduo da tolerncia da sociedade quanto ocorrncia de incidentes,
tanto com impacto na segurana do homem, do ambiente e do patrimnio quanto com impacto
na continuidade da funo desempenhada pelo sistema.
Tambm foram apresentadas algumas evidncias da necessidade de se integrar estas duas

abordagens. Assim, a metodologia apresentada a seguir procura satisfazer esta necessidade e
considera a segurana e a continuidade / disponibilidade como atributos a serem tratados durante
a gesto de risco. Nesta tica, elas deixam de ser abordagens independentes e passam a integrar
o mesmo sistema de gesto (SGR) que trabalha os riscos de maneira mais abrangente.
5.1 Estrutura da metodologia de gerenciamento de risco
A Figura 5.1 ilustra as etapas da metodologia de gesto de risco, que sero apresentadas
nas prximas sees. Note-se que a metodologia pode ser aplicada aos trs nveis da estrutura
proposta para o desdobramento da organizao apresentada na Seo 2.3, vide Figura 2.7 e
Quadro 2.6.
A Figura 5.2 ilustra a aplicao da metodologia nestes trs nveis. Neste contexto, no nvel
da organizao, a gesto de risco objetiva garantir a continuidade do negcio e garantir que a
operao da organizao no incorra em riscos inaceitveis segurana de seus colaboradores e
da sociedade em geral; no nvel da unidade organizacional, o foco manter as funes crticas
5.1 Estrutura da metodologia de gerenciamento de risco 99
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Figura 5.1: Etapas da metodologia de gesto de risco
ativas (continuidade operacional) e garantir a segurana do meio em que est inserida, de seus
colaboradores (e outras pessoas afetadas pela sua operao) e dos sistemas tcnicos que a com-
pem; e, no nvel do sistema tcnico, o foco manter sua disponibilidade sem comprometer a
segurana das pessoas, do meio e outros sistemas tcnicos que interagem com ele.
Nvel da organizao:
Definio de Gerenciamento da segurana e da continuidade do negcio
requisitos Delinea- Implemen-

Organizao Utilizao Desativao
mento tao
Reviso do SGR
U.O. 1 U.O. 3 U.O. 5 Nvel das unidades organizacionais:

Gerenciamento da segurana e da continuidade operacional
U.O. 2 U.O. 4 U.O. n Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Nvel dos sistemas tcnicos:

S.T.1 S.T.3 S.T.5 S.T.7
Gerenciamento da segurana e da disponibilidade
Delinea- Implemen-
Utilizao Desativao
S.T.2 S.T.4 S.T.6 S.T. k mento tao
Reviso do SGR
Figura 5.2: Estrutura da metodologia desenvolvida
Idealmente, o sistema de gesto de risco deve ser desenvolvido do nvel superior para o
inferior. No entanto, os nveis podem ser trabalhados independentemente por exemplo: a
aplicao do sistema de gesto de risco em uma unidade organizacional no pr-requisito para
a aplicao em um sistema tcnico.
Note-se que a disponibilidade de um sistema tcnico pode ser determinante para a continui-
dade da unidade organizacional, como apresentado no Quadro 2.6. Assim, interessante que
se delineie o sistema de gesto de risco na unidade, para que se possam definir os objetivos de
risco dos sistemas tcnicos que a compem, conforme apresentado na Seo 5.3.1.1.
Contudo, importante que a deciso dos nveis em que sero feitas as aplicaes da meto-
dologia seja feita no mbito do planejamento da organizao, no primeiro nvel da Figura 5.2.
O sistema de gerenciamento de risco contribui para que a organizao alcance sua misso e,
portanto, deve estar inserido em um planejamento mais amplo.
Assim, o primeiro passo para se poder aplicar a metodologia de gerenciamento de risco de-
senvolvida a definio da estrutura da organizao em unidades organizacionais e em sistemas
tcnicos. Note-se que a resoluo adotada i.e., at quando ser feito o desdobramento uma
questo gerencial. Por exemplo, uma unidade organizacional pode ser um departamento, um
setor, uma diviso, etc., dependendo do desdobramento realizado.
Posteriormente, a organizao deve fazer o planejamento de quais os sistemas (sistemas

tcnicos, unidades organizacionais e a prpria organizao) que tero o sistema de gesto de
risco implementado. Note-se que, ao longo da aplicao da metodologia em um sistema (uma
unidade organizacional, por exemplo), pode-se evidenciar a necessidade de implementar o SGR
em outro sistema que, inicialmente, tinha sido excludo ou mesmo alterar o cronograma das
implementaes.
interessante destacar que, como todo programa, nesse tambm existe uma curva de apren-
dizado e (apesar de o grupo responsvel pela implementao em cada nvel e em cada unidade
organizacional ou sistema tcnico no ser exatamente o mesmo) as lies aprendidas por um
grupo podem e devem ser passadas para os outros. Essa situao especialmente inte-
ressante no caso de existirem similaridades entre as implementaes. Assim, recomenda-se
que seja feita uma implementao piloto para, posteriormente, replicar a aplicao nas outras
unidades organizacionais (ou sistema tcnico, se for o caso).
Neste contexto, pode-se trabalhar a aplicao da metodologia como um programa, e cada

uma de suas etapas pode, assim, ser gerenciada como um projeto independente. Para tanto,
sugere-se que seja adotada uma metodologia de gerenciamento de projetos consolidada, como
a PRINCE2 (projects in controlled environments) da OGC (Office of Government Commerce
/ United Kingdom) ou o PMBOK (project management body of knowledge) do PMI (Project
Management Institute), por exemplo.
De fato, a gesto do projeto para a aplicao da metodologia desenvolvida no difere sig-

nificativamente da gesto de outros projetos. No entanto, importante salientar que o apoio da
alta gerncia um fator determinante para o sucesso do projeto.
Tambm, destaca-se a definio do responsvel pelo projeto (coordenador) e dos partici-

pantes do grupo de trabalho. A disponibilidade dos recursos humanos decisiva para o sucesso
do programa, e a alocao das horas desses colaboradores deve ser autorizada pelos respectivos
setores.
Destaca-se, ainda, a deciso de como captar o conhecimento necessrio para a aplicao da

metodologia e suas tcnicas de suporte j que muitas delas podem no ser utilizadas cotidia-
namente pelos colaboradores , alm da aquisio e capacitao quanto ao uso de softwares a
serem utilizados.
Nas prximas sees, sero apresentadas as etapas da metodologia, indicadas na Figura 5.1.
Para tanto, parte-se do pressuposto de que a organizao tomou a deciso de implementar um
sistema de gesto de risco. Com o intuito de auxiliar a visualizao do que est apresentado
neste captulo, apresenta-se primeiramente a metodologia na forma de fluxogramas, que evi-
denciam como os processos das etapas (ou fases) se correlacionam.
Destaca-se, ainda, que a etapa de delineamento foi dividida em 4 fases, conforme ilustra a
Figura 5.3, para facilitar o entendimento e a aplicao.
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Informacional Conceitual Preliminar Detalhado
Figura 5.3: Desdobramento da etapa de delineamento do SGR
A estrutura da etapa do delineamento uma adequao, para a gesto de risco, da adotada

pelo NeDIP/UFSC para projeto de produto apresentada em diversas publicaes do ncleo,
destacadamente em Back et al. (2008).
Por fim, importante salientar que, ao longo do texto, indicam-se algumas tcnicas de
suporte associadas metodologia. No entanto, outras tcnicas podem ser utilizadas em substi-
tuio ou complementao das aqui apresentadas.
5.2 Fluxogramas de representao da metodologia desenvolvida 102
5.2 Fluxogramas de representao da metodologia desenvol-

vida
A Figura 5.4 apresenta a notao utilizada nos fluxogramas. Note-se que alguns elementos
do diagrama foram destacados, utilizando borda mais grossa, para indicar que eles esto des-
dobrados em outros diagramas. Tambm existem elementos no fluxograma que indicam que a
continuao da sequencia de processos segue em outro diagrama. Por fim, os processos refe-
rentes a uma determinada etapa, fase ou macroprocesso esto delimitados por uma caixa com
linha tracejada.
Figura X.Y. Linha tracejada delimita

um grupo de processos
Entrada
referentes a uma etapa, a
de ... uma fase ou a um processo
que est sendo detalhado.
Indicao de que a
sequncia de processos
uma continuao do
Nome da etapa, fase ou processo
diagrama apresentado
na Figura X.Y.
Sada
Linha mais grossa indica para ...
que est detalhado em
outro diagrama. Figura X.Z.
Indicao de que a
sequncia de processos
continua no diagrama na
Figura X.Z.
Figura 5.4: Notao utilizada nos fluxogramas
A Figura 5.5 apresenta a viso geral da metodologia desenvolvida. Note-se que elemen-
tos do diagrama referentes s fases informacional, conceitual e preliminar foram destacados,
utilizando borda mais grossa, para indicar que eles esto desdobrados em outros diagramas
respectivamente: Figura 5.6; Figura 5.7 e Figura 5.8; e Figura 5.11.
Fase do delineamento
informacional (Figura 5.6)
Etapa de delineamento
conceitual (Figura 5.7)
preliminar (Figura 5.9)
detalhado
Etapa de reviso do SGR
Etapa de implementao
(Figura 5.10)
Etapa de utilizao
(Figura 5.11)
Etapa de desativao
Figura 5.5: Fluxograma geral da metodologia desenvolvida

Definio da Anlise das

funo global partes envolvidas
Caracterizao do sistema em anlise.

Levantamento Levantamento dos
de restries recursos crticos
Sistema em anlise
caracterizado
Sada para fase do Elaborao da FHA

delineamento conceitual
Figura 5.7
Definio dos
Requisitos determinados objetivos de risco
anteriormente
Valores da organizao.
Planejamento estratgico
da organizao.
Requisitos referentes a
Objetivos frente outros sistemas (de
aos riscos mesmo nvel ou inferior)
Sada para fase do Sada para fase do deli-

delineamento conceitual neamento informacional
e preliminar de outro sistema
Figura 5.7
Figura 5.9
Figura 5.6: Fluxograma da fase do delineamento informacional

Figura 5.6
Sistema em anlise Entrada da fase do deli-
caracterizado neamento informacional
Anlise funcional
Detalhamento da caracte-
Figura 5.8
rizao do sistema
Continuao da fase do
(Parte II)
Identificao do modo
Anlise de risco
de falha, causas, efeitos
e controles existentes
Objetivos frente aos Modelagem das corren-

riscos tes causais usando a es-
trutura FMECA/CNEA
Figura 5.6
Entrada da fase do Avaliao e priorizao
delineamento dos riscos pela anlise
informacional da criticidade
Proposio de barreiras
de tratamento e
de aceitao ativa
Avaliao custo-risco-
beneficio das barreiras
Reavaliao da critici-
dade dos cenrios con-
siderando as barreiras
Riscos aceitos N
ou retidos?
S
Continua na fase do
(Parte II)
Figura 5.8
Figura 5.7: Fluxograma da fase do delineamento conceitual (parte 1)

Figura 5.8
Continuao da fase do
(Parte I)
Alteraes
propostas influen- N
ciam nos riscos
analisados?
Cenrios delineados,
S incluindo as barreiras
Continuao da fase do Priorizao e

delineamento conceitual categorizao das
(Parte I) barreiras
Figura 5.8
Barreiras priorizadas
e classificadas
Sada para fase do

delineamento preliminar
Figura 5.9
Figura 5.8: Fluxograma da fase do delineamento conceitual (parte 2)

Barreiras prioriza-
Figura 5.8
das e classificadas
Detalhamento da Entrada da fase do
caracterizao do delineamento conceitual
sistema.
Cenrios delinea-
dos, incluindo as
barreiras Delineamento das aes
necessrias para imple-
mentao das barreiras
Objetivos frente aos Elaborao dos planos

riscos preliminares
Figura 5.6 Estimativa do esforo

para a implementao
Entrada da fase do
dos planos
delineamento
informacional
Avaliao custo-risco-
benefcio
Elaborao do
planejamento de
implementao
Planos preliminares
de ao.
Planos preliminares
de aceitao
Planos preliminares
de comunicao.
Plano preliminar de
gesto de crises
Sada para fase do

delineamento detalhado
Figura 5.5
Figura 5.9: Fluxograma da fase do delineamento preliminar

Figura 5.5
Continuao da etapa
de delineamento
Implementao
dos planos de ao
Capacitao dos colaboradores

e divulgao para as
partes interessadas
Simulao do uso dos

planos de aceitao
Detectada
alguma incoerncia N
entre o planejado e o
implementado?
Relatrio de execuo
dos planos S
Continua na etapa Continua na

de reviso do SGR etapa de utilizao
Figura 5.5 Figura 5.11
Figura 5.10: Fluxograma da etapa de implementao

Figura 5.10
Continuao da etapa
de implementao
Testes e simulaes Utilizao dos Manuteno da

dos planos de aceitao planos de aceitao estrutura necessria
Relatrio de execuo Relatrio de execuo

dos planos dos planos
Existem
melhorias,
N deficincia, novos
riscos ou novas informa-
es sobre os riscos
analisados?
S
Detectada
N alguma parte do SGR
que no mais
necessria?
Continua na Continua na etapa

etapa de desativao de reviso do SGR
Figura 5.5 Figura 5.5
Figura 5.11: Fluxograma da etapa de utilizao

5.3 Detalhamento das etapas da metodologia 110
5.3 Detalhamento das etapas da metodologia
Nesta seo, apresenta-se o detalhamento da metodologia desenvolvida neste trabalho.
5.3.1 Etapa de delineamento
Nesta etapa, faz-se a anlise / avaliao dos riscos, o delineamento das aes para o trata-
mento, a aceitao e o delineamento da comunicao.
5.3.1.1 Fase do delineamento informacional
A fase do delineamento informacional visa definir os objetivos de aceitao de risco, i.e.,

os impactos tolerveis e suas respectivas metas relativas disponibilidade (ou continuidade),
segurana ambiental e segurana humana conforme ilustrado no Quadro 5.1 e Figura 5.6.
Quadro 5.1: Entradas, processos, tcnicas & ferramentas e sadas para a fase de delineamento
informacional
Entradas Processos Tcnicas & ferramentas Sadas

Requisitos Caracterizao do sistema em Questionrios. Sistema em anlise
determinados anlise. Anlise funcional caracterizado.
anteriormente. Definio da funo global. (IDEF0 ou anlise Objetivos de
Valores da Anlise das partes envolvidas. funcional de aceitao de riscos.
organizao. Levantamento de restries. produto). Requisitos
Planejamento Levantamento dos recursos FHA. referentes a outros
estratgico da crticos. sistemas (de mesmo
organizao. Elaborao da FHA. nvel ou inferior).
Definio dos objetivos de
aceitao de risco.
Esta etapa, no que se refere ao levantamento dos efeitos possveis, equivale BIA (business
impact analysis) feita na gesto da continuidade. No entanto, recomenda-se que aqui os ob-
jetivos sejam obtidos utilizando a tcnica FHA. Sendo assim, conveniente fazer uma anlise
funcional que possibilitar a caracterizao do sistema em anlise1 . Para tanto, necessrio
coletar informaes a fim de caracterizar a situao atual, definir as necessidades do sistema,
levantar recursos crticos e restries como normas, regulamentaes e leis , etc. Tambm
interessante, nesta fase, que se faa uma anlise das partes envolvidas (stakeholders analysis),
para que se possa captar as necessidades e limitaes delas. Esta anlise tambm auxilia na
elaborao dos planos de comunicao, descrit na Seo 5.3.1.1.
1 Para
auxiliar a leitura, foram destacados, em negrito (ou sublinhado), os processos apresentados nos quadros
com as entradas, processos, tcnicas & ferramentas e sadas de cada etapa (ou fase).
Para a definio da funo global, na anlise funcional, recomenda-se a tcnica IDEF0

pois a tcnica permite melhor comunicao e visualizao dos sistemas, alm de balizar o
conhecimento dos membros do grupo de trabalho sobre o sistema tcnico. Para sistemas fsicos
(hardware), recomenda-se a anlise funcional de produto, na qual feito o desdobramento do
sistema em subsistemas at a resoluo desejada, e, posteriormente, analisa-se a funo de cada
um deles esta tcnica tem benefcios equivalentes a IDEF0, mas mais indicada quando se
tem um desdobramento estrutural (e no funcional). Nesta fase, no entanto, no ser necessrio
o desdobramento tanto funcional quanto estrutural , pois a FHA utiliza a funo global do
sistema (organizao, unidade organizacional ou sistema tcnico). O desdobramento, por sua
vez, faz parte da fase do delineamento conceitual e subsidiar a anlise dos modos de falha.
A partir da funo global, ento, pode-se fazer a elaborao da FHA. interessante desta-
car que ela normalmente realizada durante a concepo do sistema; no entanto, o documento
RVSM 697 traz uma anlise feita em um estgio avanado do programa de reduo da distncia
vertical mnima entre aeronaves em vo (reduced vertical separation minimum) na perspectiva
de que, se algum problema fosse identificado, isto seria levado em considerao pelo programa
RVSM (EUROCONTROL, 2006).
De forma anloga, prope-se que a anlise seja feita para sistemas j existentes. Assim,
possvel estipular como o sistema deveria ser, para que se possa fazer a tomada de deciso de
aceitar ou no um determinado risco i.e., fazer a definio dos objetivos de risco. Para tanto,
pode-se utilizar de mtricas, como frequncia mxima de ocorrncia de um evento ou um outro
tipo de indicador, tais como:
Tempo mximo de interrupo tolervel (maximum tolerable outage MTO), que o

tempo mximo que se tem para fazer a recuperao da funo sem comprometer os obje-
tivos do sistema.
Objetivo para o ponto de recuperao (recovery point objective RPO), que o estado
em que o sistema deve ser restaurado para garantir que seus objetivos possam ser alcan-
ados, considerando o tempo mximo de interrupo tolervel.
Custo lquido mdio para prevenir uma fatalidade (net cost of averting a fatality NCAF),
que pode ser calculado pela expresso 5.1, onde: Custo o custo adicional ocasionado
pela implementao da barreira; Benefcios so os benefcios econmicos decorrentes
da implementao da barreira; e Risco a reduo do risco em termos de fatalidades
evitadas2 .
2 Skjong (2002) apresenta algumas consideraes e estimativas para NCAF e outros parmetros para avaliao
de custo-risco-benefcio.
Custo Bene f icios

NCAF = (5.1)
Risco
Quanto s mtricas de frequncia, Kumamoto & Henley (1996) propem alguns critrios
para a aceitao do risco, ilustrado na Figura 5.12:
Riscos sem benefcio devem ter a frequncia reduzida abaixo (inclusive) do limite L
(limite inferior de frequncia).
Riscos com benefcio extremo devem ser relutantemente aceitos (i.e., retidos).
Riscos com benefcio moderado e nvel acima de U so inaceitveis e devem ter suas
frequncias diminudas para abaixo de U.
Riscos com benefcio moderado e nvel abaixo de L so aceitveis.
Riscos com benefcio moderado e nvel entre U e L devem ser estudados, para verifi-
car se o benefcio justifica o risco, ou no. Caso justifique, o risco pode ser retido e, caso
no justifique, a frequncia deve ser reduzida at se justificar ou para nvel inferior a L.
A justificativa deve ser feita com base no que razoavelmente praticvel em termos de
reduo do risco (ALARP).
Meta U
Nvel do risco
Benefcio
justificado
Meta L
Benefcio
no
justificado
Sem Benefcio Benefcio
benefcio moderado extremo
Nvel do benefcio
Figura 5.12: Critrios de aceitao de risco

Fonte: Kumamoto & Henley (1996, p. 38, traduo nossa)
O conceito de benefcio est relacionado com a utilidade do risco. Em uma guerra, por
exemplo, a probabilidade de se ter vtimas extremamente alta (certamente acima de U); no
entanto, alguns consideram de benefcio extremo3 . Assim, o risco relutantemente aceito por
3 Esteexemplo foi colocado no texto porque deixa claro o conceito de utilidade do risco. No entanto, destaca-se
que o autor no corrobora esta opinio.
eles (KUMAMOTO; HENLEY, 1996, p. 37).
A definio de metas de segurana (limites L e U) simplifica o processo de anlise do

risco, j que no se devem estudar todos os riscos de uma planta. Como limites, Kumamoto &
Henley (1996) sugerem que se adote L = 106 /[ano, individuo] e U = 103 /[ano, individuo];
no entanto, estes limites variam de autor para autor e de rea de aplicao.
Caso tenha sido definido algum objetivo na anlise do nvel superior, ele deve ser conside-
rado na FHA e includo nos objetivos de aceitao de risco do sistema por exemplo, na anlise
da unidade organizacional foi definido um MTO para um determinado sistema tcnico.
importante destacar que a definio dos objetivos de aceitao deve levar em considerao
os valores da organizao, a viso e o planejamento estratgico de mdio e longo prazo, para
que o sistema possa se adaptar s condies futuras.
Por fim, destaca-se que a anlise da funo global permite identificar a dependncia de
algum outro sistema. Assim, ao definir os objetivos de risco, deve-se considerar esta dependn-
cia. Por exemplo: pode-se concluir que necessrio que alguns sistemas tcnicos tenham uma
determinada disponibilidade, para que a unidade organizacional que se est analisando atinja
a continuidade operacional desejada. Desta forma, um dos resultados desta fase pode ser a
definio de requisitos para outros sistemas (de mesmo nvel ou inferior). Portanto, ao iniciar
a anlise de um determinado sistema, deve-se - primeiramente - verificar se foi determinado
algum requisito anteriormente.
5.3.1.2 Fase do delineamento conceitual
Esta fase ilustrada no Quadro 5.2, na Figura5.7 e na Figura5.8 tem como objetivo definir
os conceitos das solues para o risco, i.e., se ele deve ser aceito ou tratado e como fazer isso.
Na anlise funcional, nesta fase que a continuao da anterior , feito o desdobra-

mento at a resoluo desejada, a fim de obter o detalhamento da caracterizao do sistema.
Como resultado da IDEF0, podem-se levantar os processos (funes) e recursos (mecanismos
e controles) crticos para que o sistema cumpra seus objetivos. No caso da anlise funcional
de produto, tem-se como resultado uma lista contendo a identificao dos componentes e as
respectivas funes que cada um deve desempenhar.
Para executar a anlise de risco, recomenda-se o uso da estrutura FMECA / CNEA4 . Subs-
tituindo o evento central da CNEA pelo modo de falha e fazendo algumas adaptaes, o di-
agrama da CNEA permite uma visualizao grfica da FMECA. Os modos de falha podem,
4 Ou FMEA, caso no se avalie a criticidade.
conceitual

Sistema em Anlise funcional. Banco de dados. Conhecimento
anlise Anlise dos riscos. Brainstorming. estruturado:
caracterizado. Identificao do modo de falha, Questionrios. Detalhamento da
Objetivos causas, efeitos e controles Anlise funcional caracterizao do
frente aos existentes. (IDEF0 ou anlise sistema.
riscos. Modelagem das correntes causais funcional de produto). Delineados dos
usando a estrutura FMECA/CNEA. Modelo da corrente cenrios dos
Avaliao e priorizao dos riscos causal proposto por riscos
pela anlise da criticidade. Mosleh et al. (2004). Barreiras
Proposio de barreiras de tratamento FMEA / FMECA. priorizadas e
e de aceitao ativa. CNEA. classificadas.
Avaliao custo-risco-beneficio das FTA.
barreiras. Redes bayesianas.
Reavaliao da criticidade dos Atualizao
cenrios considerando as barreiras. bayesiana.
Priorizao e categorizao das
barreiras.
ento, ser modelados em correntes causais e diagramados na CNEA.
Destaca-se que se podem diagramar as vrias correntes causais relacionadas a um determi-

nado incidente em uma nica CNEA, conforme apresentado na Seo 4.9.
Adicionalmente, para a adequao do diagrama CNEA tabela FMECA, foram feitas as

seguintes adaptaes: diferenciao da cor das barreiras controle atual e ao proposta e
incluso dos ndices da FMECA (S, O, D e NPR), conforme ilustrado na Figura 5.13.
Note-se que o ndice de severidade S refere-se a todos os efeitos e, portanto, est represen-
tado no ndulo de origem deles: o modo de falha. Os ndices de ocorrncia O, de dificuldade
de deteco D e o nmero de prioridade de risco NPR esto representados junto s causas,
pois onde inicia cada cenrio5 . Assim, a dificuldade de deteco, por exemplo, se refere a
todos os controles existentes, desde as causas at os efeitos.
interessante destacar que a representao grfica permite uma melhor contextualizao

que a tabela e se mostra mais interessante, tanto por proporcionar uma anlise mais eficaz
quanto por gerenciar melhor o conhecimento gerado facilitando sua institucionalizao.
Destacam-se os seguintes benefcios na utilizao do diagrama da CNEA:
melhora a comunicao entre o analista e outros colaboradores, auxiliando no envolvi-

5 Entende-se por cenrio a cadeia de eventos desde a causa at o efeito. No caso da FMECA, como os efeitos
so tratados como um nico bloco, cada cenrio engloba uma causa, o modo de falha e seus efeitos.
mento dos especialistas e na busca de consenso para tomadas de decises;

melhora a explicitao e disseminao do conhecimento, sendo indicado como ferramenta
para capacitao;
possibilita a representao de eventos intermedirios no apenas causas-raiz e efeitos-
finais;
permite identificar onde um controle atual est atuando na corrente causal ou uma ao
proposta ir atuar;
apresenta a relao entre as causas e entre os efeitos; e
melhora a formalizao do conhecimento e, consequentemente, o reaproveitamento das
informaes da anlise.
Ao
proposta 2
NPR Ao
proposta 1
Causa 1
Efeito 1
O D
Causa 3
(intermediria)
NPR Barreira
Modo efetiva
Causa 2 de falha Efeito 2
O D Controle
atual 1 S
Efeito 4
NPR
Causa 4 Efeito 3
(intermedirio)
O D
Efeito 5
Figura 5.13: Diagrama CNEA adaptado para representar FMECA
Da mesma forma que feito nas FMECAs, pode-se, tambm na CNEA, incluir uma FTA
(fault tree analysis) das causas, para refinar a anlise em relao a este fator. Adicionalmente,
pode-se, tambm, fazer FTAs de barreiras o que possibilita uma melhor compreenso dos
furos que permitem o desencadeamento do cenrio causal.
O primeiro passo na anlise de risco a identificao dos incidentes e dos eventos envolvidos
na corrente causal, que usualmente compreende a combinao de tcnicas criativas e analticas,
objetivando identificar as situaes de risco que j ocorreram no sistema, as que j ocorreram
em outros sistemas e as de que no se tem conhecimento de ter ocorrido. Para tanto, podem-se
utilizar listas pr-elaboradas, base de dados de risco e tcnicas de criatividade como tem-
pestade de ideias (brainstorm). O Quadro 5.3 traz uma lista de alguns perigos com potencial
impacto segurana e continuidade / disponibilidade que podem ser considerados na identi-

ficao. Uma outra soluo para a identificao dos possveis incidentes levantar e classificar
os perigos relacionados ao sistema em anlise, e identificar os incidentes que cada perigo pode
desencadear a exemplo da metodologia para identificao, classificao e anlise de perigos
em sistemas de aviao elaborado para a FAA (Federal Aviation Administration / United States
of America), por Mosleh & Dias (2004).
Quadro 5.3: Lista de perigos com potencial impacto segurana e continuidade / disponibi-
lidade
Humanas
acesso indevido aos sistemas/dados greve de funcionrios
acesso indevido s instalaes manuseio indevido de dados crticos
ameaa de bomba paralisao de transporte
ataque terrorista proximidade zona de alta criminalidade
balo (fogo) proximidade de presdio/delegacia
desvio fraudulento de recursos roubo de dados
distrbio civil roubo e/ou furto de patrimnio
falha humana (dano no intencional) sabotagem (instalaes e dados)
greve em prestador de servio sequestro de funcionrio vital
Tecnolgicas
acidente areo, rodovirio, ferrovirio falta de gua
acidente nuclear presso (alta, baixa ou descargas rpidas de
acidente qumico presso)
oxidao choque mecnico
corroso acelerao
exploso energia eltrica (choque, ativao inadvertida,
fogo falha da fonte de fora, radiao eletromagntica)
radiao (trmica, eletromagntica ionizada, problema estrutural da instalao
ultravioleta) proximidade de instalao militar (com paiol), de
dissociao qumica gs, de posto de gasolina, de armazenamento de
calor e temperatura (alta ou baixa) leo, de central eltrica
falha de software aplicativo falha em hardware
falha de software operacional falha em instalao eltrica
falha do sistema de refrigerao falha em rede local
falha e/ou rompimento de tubulao (gua, falha em telecomunicao
gs, vapor) falha na entrada de dados
vazamento (tubulao, o-ring, tanques, etc.) vrus
Naturais
avalanche/deslizamento de terra tornado, vendaval
chuva de granizo tremor de terra
incndio vazamento em represa
inundao, enchente calor e temperatura (alta ou baixa)
perda de acesso fsico s instalaes umidade (alta ou baixa)
raio
Fonte: adaptado de Saldanha (2000) e Kumamoto & Henley (1996)
Caso o incidente j tenha ocorrido, pode-se fazer uso de histrico e da experincia de espe-
cialistas, por meio do diagnstico do incidente para tanto, recomenda-se o uso de modelos da
literatura, como o de Maurino et al. (1995), por exemplo.
O processo seguinte, ento, a modelagem das correntes causais utilizando a estrutura

FMECA / CNEA, j que a CNEA aderente ao modelo de Mosleh et al. (2004), adotado neste
trabalho, para representao de incidentes vide Seo 4.9.
interessante destacar que a modelagem do incidente no diagrama da CNEA facilita a

tarefa da identificao dos eventos e estados envolvidos pois permite visualizar a corrente
causal. Assim, adicionalmente, o diagrama tambm facilita a elicitao do conhecimento do
especialista, pois atua como uma ferramenta de comunicao.
Note-se que a CNEA modela tanto as causas, que podem ser representadas por uma FT
(fault tree), quanto as consequncias, que podem ser representadas por uma ET (event tree) ou
ESD (event sequence diagram).
No entanto, a CNEA tem uma desvantagem em relao estrutura FTA/ETA, que o

tratamento estatstico. O uso de estatsticas na estrutura FTA/ETA bastante consolidado; no
entanto, na CNEA, no existe um formalismo para isso.
Para contornar este inconveniente, prope-se que o tratamento estatstico para a CNEA seja
feito utilizando-se a teoria de redes bayesianas.
A Figura 5.14 apresenta a rede bayesiana6 equivalente ao diagrama CNEA ilustrado na

Figura 5.13, considerando todos os eventos independentes.
interessante destacar que se pode verificar a aderncia do modelo realidade, por meio
de anlise de d-separadores7 .
Note-se que as barreiras aes propostas e controles atuais , nessa modelagem, entram
como ndulos no mesmo nvel dos eventos que se pretendem salvaguardar, exemplificado no
Quadro 5.4, que ilustra uma tabela de relaes para o ndulo CA3.
interessante observar que a estrutura FTA/ETA baseia-se em relaes determinsticas

(lgica booleana), enquanto que as redes bayesianas podem tratar incertezas nestas relaes.
Note-se que o Quadro 5.4 ilustra relaes determinsticas; por exemplo: no ocorrendo
CA1, ocorrendo CA2 e PA1 no sendo eficaz, certamente ocorrer CA3.
Nas redes bayesianas, pode-se introduzir incerteza nesta relao e modelar a ocorrncia de
CA3, dada a combinao anterior como: 80% de probabilidade de ocorrer e 20% de no ocor-
6 Rede editada a partir do software JavaBayes, atualmente mantido pelo Prof. Fbio Gagliardi Cozman (Escola
Politcnica da USP).
7 Para melhor entendimento da anlise de d-separadores, recomenda-se a leitura de Jensen (2001), Pearl (1988)
e UFSC/NeDIP (2008o).
Legenda:
CA1 EF1 MF - Modo de falha.
CA1 - Causa 1.
CA2 CA3
CA2 - Causa 2.
PA2 CA3 - Causa 3 (intermediria).
CA4 - Causa 4.
PA1 CT1 - Controle atual 1.
MF EF2 PA1 - Ao proposta 1.
PA2 - Ao proposta 2.
CA4 EF1 - Efeito 1.
EF4 EF2 - Efeito 2.
EF3 - Efeito 3 (intermedirio).
EF3 EF4 - Efeito 4.
CT1 EF5 EF5 - Efeito 5.
Figura 5.14: Rede bayesiana para o diagrama da Figura 5.13
Quadro 5.4: Tabela de relaes do ndulo CA3 da rede bayesiana da Figura 5.14
CA1 CA2 PA1 CA3

(Causa intermediria)
Ocorrer Ocorrer Eficaz No ocorrer
Ocorrer Ocorrer No eficaz Ocorrer
Ocorrer No ocorrer Eficaz No ocorrer
Ocorrer No ocorrer No eficaz Ocorrer
No ocorrer Ocorrer Eficaz No ocorrer
No ocorrer Ocorrer No eficaz Ocorrer
No ocorrer No ocorrer Eficaz No ocorrer
No ocorrer No ocorrer No eficaz No ocorrer
rer, por exemplo. Com isso, podem-se elaborar modelos com menor incerteza epistemolgica8 .
Este recurso bastante til na modelagem dos efeitos. Isto porque a ocorrncia do EF3,
por exemplo, no implica necessariamente a ocorrncia do EF4. Neste caso, pode-se modelar a
cadeia causal de forma no determinstica.
Tambm possvel modelar em rede bayesiana barreiras que tm um evento derivado

(caso ela seja bem sucedida) por meio de uma ligao na forma de ponte, como ilustrado na
Figura 5.15, contemplando, assim, os tipos de relaes possveis em uma CNEA.
8 importante destacar que o uso de redes bayesianas na modelagem de CNEAs tem uma limitao, apresentada
no final da Seo 5.3.3.

Ao
proposta 2
EF1
Efeito 1
PA2
Barreira
Modo efetiva
de falha Efeito 2
S
MF EF2
Figura 5.15: Detalhe da barreira com derivao, no diagrama CNEA, e sua modelagem em
rede bayesiana
Destaca-se, ainda, que uma das dificuldades de se implementar uma rede bayesiana e de
qualquer anlise quantitativa a obteno de estatsticas. Para tanto, pode-se fazer uso de
base de dados, simulaes ou outro tipo de tcnica reconhecida, baseada no conhecimento dos
especialistas. Uma tcnica que pode auxiliar na obteno de estimativas para as probabilidades
de ocorrncia (e para as relaes dos eventos / estados) a atualizao bayesiana, apresentada
na Seo 4.2.1, na qual se podem conciliar informaes subjetivas com os dados de campo.
Na anlise dos riscos, faz-se o modelamento de toda a corrente causal, considerando os

possveis resultados de cada incidente portanto, delineando os cenrios de risco. Isso implica
trabalhar todo o modelo de ocorrncia do risco, desde as causas da condio perigosa e do
evento gatilho at as consequncias do incidente. Estas consequncias (ou efeitos) podem ser,
ento, classificadas (quanto segurana, continuidade / disponibilidade, e/ou econmicas / fi-
nanceiras) e avaliadas no que se refere a sua severidade.
Note-se que no possvel a preveno de todos os riscos a que o sistema est sujeito.
Assim, deve-se fazer a avaliao e priorizao dos riscos pela anlise da criticidade, a fim
de identificar quais riscos podem ser aceitos, confrontando com os objetivos estipulados na fase
informacional.
Essa priorizao dos modos de falha, de acordo com a norma SAE-J1739, pode ser feita
pela anlise do NPR (nmero de prioridade de risco), que a multiplicao dos ndices de
severidade (S), ocorrncia (O) e dificuldade de deteco (D). No entanto, esta abordagem tem
alguns inconvenientes, tais como:
A escala no homognea i.e., idntica no seu todo pois no permite nmeros primos
(no existe uma combinao de ndices que resulte no NPR igual a 113, por exemplo), e
um NPR igual a 200 no necessariamente duas vezes mais crtico que um igual a 100.
Pode-se obter um mesmo valor para o NPR com diferentes combinaes de ndices, por
exemplo: S=9, O=4 e D=3 resulta em um NPR de 108 e S=3, O=4 e D=9 tambm no
entanto, a primeira combinao se mostra mais crtica.
possvel obter NPR relativamente baixo com ndices de severidade altos por exemplo,
na combinao S=10, O=3 e D=1.
A fim de minimizar estes inconvenientes, usual que se leve em considerao no apenas

o NPR, mas tambm o valor do ndice de severidade. No entanto, esta anlise normalmente
feita de forma subjetiva, sem uma regra clara, e o resultado depender da averso / propenso
ao risco do analista.
Prope-se, ento, uma abordagem para categorizao da criticidade baseada em relaes

determinsticas9 , de forma atributiva em substituio quantitativa. Para possibilitar uma me-
lhor visualizao destas regras, pode-se utilizar uma matriz equivalente tradicional matriz
de criticidade para cada ndice de dificuldade de deteco.
A Figura 5.16 e o Quadro 5.5 ilustram um exemplo dessa abordagem, onde esto respecti-
vamente apresentadas as regras para definio do tratamento a ser dado para cada combinao
de ndices e as escalas de valores para cada ndice.
Note-se que tanto as escalas de valores dos ndices quanto as regras podem ser adaptadas
para cada caso, adequando-se s necessidades de cada anlise.
Quadro 5.5: Escala dos ndices de severidade, ocorrncia e dificuldade de deteco
Severidade (S) Ocorrncia (O) Dificuldade de deteco (D)

Categoria Descrio Categoria Descrio Categoria Descrio
12 Insignificante 12 Improvvel 1 Fcil
34 Menor 34 Remota 2 Regular
56 Maior 56 Ocasional 3 Difcil
78 Perigosa 78 Provvel 4 Muito difcil
9 10 Catastrfica 9 10 Frequente
Uma vez modelados e priorizados os potenciais riscos, podem-se propor barreiras, a fim
de trat-los ou de se planejar ativamente para sua ocorrncia. Podem-se adotar trs estratgias
9 Paracategorizao da criticidade considerando variveis lingusticas, recomenda-se a leitura de Xu et al.
(2002) e Garcia (2006), que apresentam abordagens utilizando lgica difusa (fuzzy).
Deteco e fcil [D=1] Deteco e regular [D=2]

Ocorrncia [O]
Ocorrncia [O]
10 II II II II III III IV IV IV IV 10 II II III III IV IV IV IV IV IV
9 II II II II III III IV IV IV IV 9 II II II III IV IV IV IV IV IV
8 I I II II III III III III IV IV 8 II II II III III III IV IV IV IV
7 I I II II III III III III IV IV 7 II II II II III III IV IV IV IV
6 I I II II III III III III IV IV 6 I I II II III III III III IV IV
5 I I II II III III III III IV IV 5 I I II II III III III III IV IV
4 I I I I II II III III III III 4 I I II II II II III III III III
3 I I I I II II III III III III 3 I I II II II II III III III III
2 I I I I II II II II II II 2 I I I I II II II II II II
1 I I I I II II II II II II 1 I I I I II II II II II II
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
Severidade (S) Severidade (S)
Deteco e difcil [D=3] Deteco e muito difcil [D=4]

Ocorrncia [O]
Ocorrncia [O]
10 III III III III IV IV IV IV IV IV 10 III III III IV IV IV IV IV IV IV
9 III III III III IV IV IV IV IV IV 9 III III III IV IV IV IV IV IV IV
8 II II III III III III IV IV IV IV 8 III III III III III IV IV IV IV IV
7 II II II II III III IV IV IV IV 7 III III III III III IV IV IV IV IV
6 II II II II III III IV IV IV IV 6 II II II II III IV IV IV IV IV
5 II II II II III III III III IV IV 5 II II II II III IV IV IV IV IV
4 I I II II II II III III IV IV 4 II II II II III III IV IV IV IV
3 I I II II II II III III IV IV 3 II II II II III III IV IV IV IV
2 I I II II II II III III III III 2 I I II II III III III III IV IV
1 I I II II II II III III III III 1 I I II II III III III III IV IV
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
Severidade (S) Severidade (S)
Legenda:
IV Inaceitvel
III Indesejvel (requer deciso gerencial)
II Aceitvel (com reviso por parte da gerncia)
I Aceitvel
Figura 5.16: Relaes determinsticas (regras) para definio do tratamento de cada combina-
o de ndices
de tratamento no excludentes: (a) evitar o risco; (b) transferir o risco; e (c) reduzir o risco,
conforme apresentado no Captulo 2.
importante, para a aceitao do risco, considerar a contratao de seguro (transferir o

risco) para cobrir os danos causados pelo incidente e, se possvel, o lucro cessante decorrente
de uma interrupo prolongada.
As barreiras podem, ento, ser diagramadas nas CNEAs e inseridas no campo das aes
nas FMEAs. interessante que, juntamente com a proposio da barreira, seja feita uma estima-
tiva inicial do seu custo e da disponibilidade de recursos (humanos e materiais) necessrios para
execut-la. Estas informaes sero teis para a primeira avaliao custo-risco-benefcio das
barreiras propostas. Assim, com base na comparao das barreiras (na potencial reduo dos
riscos, nos custos para implementar e nos eventuais benefcios que ela possa gerar) possvel
identificar as alternativas mais atraentes.
importante destacar que, nesta fase, ainda no se tem um levantamento confivel dos
custos das barreiras, portanto esta avaliao permitir identificar apenas as barreiras mais dis-
crepantes.
Caso a modelagem tenha sido feita utilizando-se redes bayesianas, a anlise pode ser com-
plementada fazendo-se simulaes da implementao das barreiras, a fim de avaliar o impacto
da implementao de cada uma delas. Neste caso, pode-se analisar a probabilidade de ocorrn-
cia do modo de falha e seus efeitos, considerando a existncia da barreira, e comparar com as
probabilidades calculadas, atribuindo a evidncia de falha ao ndulo que representa a barreira a
ser estudada (o que corresponde a ela no existir).
Pode-se, ento, avaliar se a reduo da probabilidade de ocorrncia do modo de falha com-

pensa o esforo necessrio para implementao das barreiras. Da mesma forma, procede-se
com as barreiras com potencial para mitigar os efeitos.
O passo seguinte a reavaliao da criticidade dos cenrios considerando as barreiras,

para que se possa verificar se os riscos se tornaram aceitveis caso contrrio, deve-se retornar
proposio de novas barreiras ou simplesmente reter o risco, mesmo acima do considerado
aceitvel.
Destaca-se que, aps a definio das barreiras, importante verificar se alteraes nas ins-
talaes e no modus operandi influenciam nos riscos analisados (positiva ou negativamente) ou,
ainda, se deflagram novos riscos. Caso isto ocorra, deve-se retornar analise dos riscos; no
entanto, considerando a existncia das barreiras.
Uma vez que os cenrios dos riscos esto delineados (incluindo as barreiras), possvel
verificar as barreiras mais interessantes, tanto no que se refere segurana quanto continuidade
fazendo a priorizao delas e posterior classificao.
Usualmente, a organizao no tem disponibilidade de recursos suficientes para implemen-

tar simultaneamente todas as barreiras levantadas. Assim estas devem ser priorizadas, e o trata-
mento dos riscos deve ser feito de acordo com um planejamento.
Adicionalmente, interessante que se adote o aprimoramento contnuo do programa, o que

descrito por Paradies & Unger (2000, p. 15, traduo nossa) como: Monitorar as estatsticas
de desempenho e procurar por reas potenciais para analisar as razes para as tendncias ou
problemas de desempenho e, ento, corrigi-los.
Quanto classificao, ela deve ser feita para orientar a elaborao dos planos preliminares.
Assim, as barreiras podem ser classificadas como referentes aos planos de aes; aos planos de
monitoramento & controle; aos planos de aes emergenciais; aos planos de operaes alterna-
tivas; aos planos de retorno; aos planos de comunicao; ou a uma combinao destes.
Observe-se que sistematizado ou gerado um volume considervel de conhecimento, ao

final desta fase. Assim, importante que se tenham recursos para gerenciar este conhecimento,
para que ele esteja sempre disponvel. Para tanto, destaca-se o uso de softwares para dar suporte
s tcnicas utilizadas. Existe uma diversidade grande de ferramentas computacionais que pro-
curam atender a esta necessidade algumas delas foram listadas ao final dos textos elaborados
pelo NeDIP, listados no (vide Quadro 4.1). Destaca-se, ainda, que o software OpenFMECA,
que atualmente auxilia na elaborao da FMECA, est sendo restruturado para, no futuro, dar
suporte a toda a estrutura de trabalho apresentada nesta seo o que inclui: IDEF0, FMECA,
CNEA e FTA.
5.3.1.3 Fase do delineamento preliminar
Nesta fase, primeiramente, delineiam-se as aes necessrias para implementar as bar-

reiras. As aes, juntamente com as barreiras, que resultarem em mudanas nas instalaes e
na estrutura organizacional devem estar discriminadas nos planos de ao, enquanto as que im-
plicarem a implementao de procedimentos devem ser consideradas na elaborao dos planos
de aceitao (monitoramento & controle; resposta emergencial; operao alternativa; e retorno).
Por fim, as relativas capacitao dos colaboradores e divulgao para as partes envolvidas
devem estar apresentadas no plano de comunicao. Assim, tem-se, como sada da fase prelimi-
nar, os planos de ao, de aceitao, de comunicao e de crise, como ilustrado no Quadro 5.6
e Figura 5.11.
No delineamento preliminar, faz-se um esboo dos planos (que a elaborao dos planos
preliminares). Detalha-se o suficiente para evidenciar o que ser necessrio para coloc-los em
operao. A Figura 2.6 ilustra os quatro planos de aceitao ao longo dos estados de operao
de um sistema, para o caso de ativao do plano de operao alternativa.
No plano de monitoramento & controle, incluem-se as barreiras para manter a condio

perigosa dentro de limites aceitveis, alm de monitorar a situao a fim de prever a ocorrncia
do incidente.
O conceito de controle est relacionado com a execuo de quatro fases (LEME, 1967): con-
siderar o que foi planejado (condio esperada); considerar o que ocorreu (condio avaliada);
confrontar o planejado com o ocorrido; e tomar providncias quando necessrio (aes para
preliminar

Conhecimento Delineamento das Fluxogramas. Planos preliminares de
estruturado: aes necessrias para Mapas de processo. ao.
Detalhamento da implementao das Mapas mentais. Planos preliminares de
caracterizao barreiras. Questionrios. aceitao:
do sistema. Elaborao dos planos FMEA / FMECA. Planos de monitoramento
Delineados dos preliminares. CNEA. & controle.
cenrios dos Estimativa do esforo Redes bayesianas. Planos de aes
riscos necessrio para a emergenciais.
Barreiras implementao dos Planos de operaes
priorizadas e planos. alternativas.
classificadas. Anlise custo-risco- Planos de retorno.
Objetivos frente benefcio. Planos preliminares de
aos riscos Elaborao do comunicao.
planejamento de Plano preliminar de gesto
implementao. de crises.
prevenir que se desencadeie o incidente).
Assim, o plano de monitoramento & controle um conjunto de procedimentos se possvel

vinculados a procedimentos operacionais que visa avaliar a condio atual para, caso exista
algum desvio, tomar medidas, a fim de retornar condio de normalidade.
Infelizmente a ao corretiva nem sempre ser possvel ou, quando possvel, nem sempre
ser eficaz ; assim, cabe especificar no plano quando considerar que a situao emergencial.
Fazem parte de um plano de monitoramento & controle as aes como: acompanhamento

das condies meteorolgicas, avaliao da presso de um tanque (e sua correo, caso esteja
fora da faixa de segurana), controle de acesso (fsico ou por software), etc.
O plano de resposta emergencial procura impor barreiras para que o incidente acontea em
menor proporo. Por isso, tambm denominado plano de mitigao (SALDANHA, 2000).
O plano um conjunto de aes que tem como objetivo minimizar o impacto nas pessoas,
no meio ambiente, no patrimnio e nas funes vitais de uma organizao ocasionado por um
incidente previsto.
Exemplos tpicos de planos de resposta emergencial so: planos de evacuao do prdio;

combate a princpio de incndio (brigada de incndio); primeiros socorros; desligamento emer-
gencial; etc.
O plano de operao alternativa (ou operao interina) deve ser elaborado para cada in-
cidente estudado, visando estabelecer formas alternativas de se executar os processos crticos,
mesmo que com alguma degradao de desempenho.
Fazem parte do plano de operao alternativa tarefas como, por exemplo: condies para o
seu acionamento; definio da equipe e responsabilidades; aquisies necessrias; transporte e
logstica; estimativa de custos; procedimentos; etc.
Observe-se que, por se tratar de uma alternativa para os processos crticos, o plano deve ser
executado por uma equipe especialmente definida para operao nesta condio.
O plano de retorno traz as atividades relativas ao restabelecimento das condies normais

de operao.
Assim como o plano de operao alternativa, ele deve ser elaborado para cada incidente e,
de maneira anloga, definir: condies para o retorno operao normal; definio da equipe e
responsabilidades; transporte e logstica; etc.
No que se refere ao plano de ao, importante que se especifiquem os produtos e servios

a serem adquiridos isto inclui consultorias e aplice de seguros. Assim, podem-se levantar os
custos envolvidos em cada ao.
importante destacar que o plano de aes deve contemplar a incluso do sistema de ge-
renciamento de riscos na organizao uma vez implementado, o sistema permeia a estrutura
organizacional. Assim, devem-se atualizar as atribuies dos colaboradores, alm de revisar a
estrutura organizacional, por exemplo, no caso de se optar por implementar funes dedicadas
ao gerenciamento dos riscos.
O plano de comunicao deve contemplar o planejamento da capacitao dos colaboradores

e a divulgao para as partes envolvidas.
Quanto capacitao, destaca-se a necessidade de se construir uma cultura de gesto dos

riscos, que deve abranger toda a organizao, pois ela crucial para o sucesso do sistema de
gerenciamento de risco.
O pessoal sem uma responsabilidade especfica na gesto dos riscos pode se ater somente
conscientizao ou a um nvel de proficincia pr-estabelecido de como proceder nas tarefas
gerais da organizao. J os participantes devem receber capacitao estruturada que garanta as
habilidades, a competncia (colocando em prtica os planos) e o conhecimento necessrio.
Assim os planos de comunicao devem abranger tanto treinamento terico como prtico
objetivando alcanar a condio de se executar os planos de maneira automtica, sem ter que
pensar.
Tambm faz parte dos planos de comunicao o relacionamento com as partes envolvidas.
comum existir um relacionamento das aes dos planos de aceitao com outras instituies,
como Defesa Civil, Corpo de Bombeiros, assistncias tcnicas, etc. Assim, necessrio elabo-
rar planos de comunicao para definir como ser esta interao e manter as partes envolvidas
atentas.
A comunicao com outras instituies tambm contempla a companhia seguradora.

interessante que se faa um plano para acionamento da aplice, descrevendo como fazer, quem
contactar, as informaes e documentos necessrios, etc.
Fazem parte dos planos de comunicao informaes como, por exemplo, periodicidade de
execuo da capacitao; tipo de capacitao (teste de mesa, simulao do uso dos planos, etc.);
conjunto de instrues para execuo do plano; responsvel pelo plano de capacitao; quem
deve ser submetido capacitao; etc.
Por fim, destaca-se a elaborao do plano de gerenciamento de crise para a organizao.

Este plano visa fornecer, aos gestores, um conjunto de informaes e recursos que podem ser
teis no momento da crise, alm de um planejamento de como tratar a mdia.
Ele contempla todo tipo de crises, tais como:
crises resultantes de incidentes que no foram previstos;

crises com propores alm do escopo do sistema de gerenciamento de risco;
uma exposio negativa na mdia causada por um incidente.
O passo seguinte estimar qual o esforo necessrio para implementao dos planos.
Para tanto, deve-se levar em considerao no apenas o custo, mas tambm o tempo necessrio;
a disponibilidade de recursos internos da organizao e que devam ser adquiridos; etc. Destaca-
se, ainda, que se devem avaliar os esforos referentes manuteno da estrutura e capacitao
referente aos riscos.
Nesta fase, necessrio fazer um oramento pormenorizado, pois ser com base nestes
valores que ser planejada a implementao. De fato, deve-se fazer uma avaliao de custo-
risco-benefcio, a fim de priorizar as medidas de tratamento a serem implementadas, e, eventu-
almente, descartar as no justificadas.
Essa avaliao deve ser baseada nos critrios de aceitao definidos na fase informacional.
A ideia confrontar os benefcios e a reduo do risco com os custos das medidas a fim de
verificar se elas so justificveis e prioriz-las. Por exemplo, uma possvel medida para alcanar
o MTO relativo ao fornecimento de energia eltrica a aquisio de grupos geradores diesel.
Adicionalmente, pode-se oper-los no horrio de pico, quando a energia eltrica mais cara,
e, assim, obter um benefcio que a reduo das despesas. No entanto, esta medida tambm
pode introduzir novos riscos, que tambm devem ser avaliados.
Por fim, elabora-se o planejamento de implementao. Uma vez que as aes esto prio-
rizadas, pode-se fazer o planejamento para implement-las. Infelizmente, na maioria das vezes,
a organizao no dispe de recursos para implementar todos os planos de imediato. Assim, no
plano de ao, planeja-se quando e como cada ao ser implementada.
5.3.1.4 Fase do delineamento detalhado
O Quadro 5.7 ilustra o processo do delineamento detalhado. Nesta fase, feito o detalha-
mento dos planos preliminares obtidos na fase anterior.
detalhado

Planos preliminares de ao. Detalhamento Fluxogramas. Planos de ao.
Planos preliminares de dos planos. Mapas de processo. Planos de aceitao:
aceitao: Testes dos Mapas mentais. Planos de
Planos de monitoramento planos. Questionrios. monitoramento &
& controle. Painis de controle.
Planos de aes apresentao. Planos de aes
emergenciais. Fichas de atribuies. emergenciais.
Planos de operaes DMS (document Planos de operaes
alternativas. management system). alternativas.
Planos de retorno. Planos de retorno.
Planos preliminares de Planos de comunicao.
comunicao. Plano de gesto de crises.
Plano preliminar de gesto
de crises.
No detalhamento dos planos, importante contemplar o responsvel pela ao, o pla-

nejamento dos recursos (incluindo recursos humanos), o custo, o cronograma de execuo, o
cronograma de desembolso e os riscos relacionados implementao deles.
No que se refere ao plano de ao, destaca-se, ainda, a elaborao das especificaes tc-
nicas de compra (de produto ou servio). No caso de envolver recursos internos, tambm
interessante elaborar uma especificao tcnica, para evitar retrabalho.
Quanto aos planos de aceitao, seu contedo e estrutura variam muito de caso para caso,
podendo ser desde uma lista de telefones dos contatos que devem ser feitos em determina-
das situaes at procedimentos detalhados uma norma interna, por exemplo. Neste ltimo
caso, recomenda-se que este documento seja dividido em duas partes: uma estruturada cro-
nologicamente (especificando o que deve ser feito e quem deve fazer), e outra estruturada por
responsabilidade para que cada um saiba de suas respectivas incumbncias. Neste sentido,
tambm interessante a gerao de fichas de atribuies listando os procedimentos que cada
um deve realizar.
Para facilitar a gesto da documentao digital, recomenda-se o uso de softwares especfi-

cos, chamados de DMS (document management system)10 . Saldanha (2000) recomenda, ainda,
que a documentao seja reunida e apresenta uma sugesto de estrutura para isto, indicada para
organizaes de mdio porte vide Quadro 5.811 . A publicao em questo se refere a planos
de continuidade, mas pode ser uma orientao para a elaborao de planos considerando tam-
bm a segurana. Adicionalmente, no Anexo A, apresenta-se o plano de aceitao desenvolvido
na aplicao da metodologia na empresa Celesc melhor descrito na Seo 6.3 , que tambm
pode ser utilizado como referncia para a elaborao de novos planos.
O detalhamento do plano de comunicao de importncia destacada para o sucesso do

programa. Sem a devida capacitao, o corpo tcnico no ir proceder como deveria, compro-
metendo a eficcia do programa.
Tambm importante que se faa teste dos planos por meio de lista de verificaes (check-
list) e de simulaes virtuais do plano (teste em mesa). Esses dois tipos de teste so muito
importantes para identificar possveis problemas e melhorias nos planos, antes mesmo de eles
serem executados.
5.3.2 Etapa de implementao
Nesta etapa, ilustrada no Quadro 5.9, implementam-se os planos elaborados e socializam-

se as informaes com todas as partes envolvidas, seguindo o planejamento de implementao
especificado no plano de aes.
A implementao dos planos de ao instala a estrutura necessria para os planos acei-

tao, tais como: instrumentos para fazer o controle; alteraes no organograma; estruturas
alternativas que sero utilizadas em uma contingncia; etc.
Para uma efetiva implementao do programa, deve-se fazer a devida capacitao dos
colaboradores e a divulgao para as partes interessadas, conforme determinado no plano
de comunicao.
interessante salientar que se deve evitar o efeito serrote, no qual os colaboradores so

10 OpenKM <http://www.openkm.com/> ou KnowledgeTree <http://www.knowledgetree.com/>, por exem-
plo.
11 Saldanha (2000) no inclui o plano de retorno nos planos de aceitao.
Quadro 5.8: Sugesto de estrutura para planos de continuidade de uma organizao de mdio
porte
1. Introduo
1.1. Objetivo
1.2. Premissas utilizadas no plano
1.3. Resumo do plano e estrutura do documento
1.4. Instalaes alternativas
2. Anteprojeto
2.1. Avaliao do impacto de um desastre
2.2. Avaliao do grau de exposio
2.3. Estratgia de continuidade
3. Estruturao dos planos
3.1. Plano de monitoramento e controle
3.2. Plano de resposta emergencial
3.3. Plano de contingncia
3.3.1. Definio dos requisitos do ambiente alternativo
3.3.2. Definio de alteraes nas instalaes usuais
3.3.3. Definio dos recursos de telecomunicaes adicionais
3.3.4. Definio dos procedimentos operacionais adicionais no dia a dia
3.3.5. Procedimentos da equipe da contingncia
Procedimentos da equipe de suporte tcnico
Procedimentos da equipe de apoio
Equipe de operaes
3.3.6. Procedimentos de operao em regime de contingncia
Procedimentos da equipe de suporte tcnico
Procedimentos da equipe de apoio
Equipe de operaes
4. Planos de implantao
4.1. Contratos com prestadores de servio
4.2. Obteno e implementao de recursos
4.3. Montagem e treinamento das equipes
5. Anexos
5.1. Relao de pessoal de contingncia
5.2. Relao de fornecedores
5.3. Relao de equipamentos padro
5.4. Relao de mobilirio padro
5.5. Relao de telefones teis
Fonte: Saldanha (2000, p. 219)
motivados, mas no se implementa o programa adequadamente resultando em desmotivao.

Ento, faz-se uma nova investida na capacitao e assim por diante.
Tambm deve ser construdo um contexto para se desenvolver a cultura do gerenciamento

de risco a ser integrada ao modus operandi da organizao.
Uma vez que se tenha instalada a estrutura necessria para execuo dos planos, neces-
srio fazer simulaes do uso dos planos de aceitao. A execuo do plano possibilitar
que as pessoas envolvidas estejam melhor preparadas e aumentar a conscientizao de todos
os colaboradores, alm de evidenciar deficincias e possveis melhorias. Podem-se fazer es-
Quadro 5.9: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de implementa-
o

Planos de ao. Implementao Painis de Reestruturao conforme
Planos de aceitao: dos planos de apresentao. previsto no plano de ao.
Planos de ao. Fichas de atribuies. Rotinas de monitoramento
monitoramento & Capacitao dos DMS (document & controle implementadas.
controle. colaboradores e management system). Colaboradores
Planos de aes divulgao para as capacitados.
emergenciais. partes interessadas. Partes envolvidas
Planos de operaes Simulaes do uso conscientizadas.
alternativas. dos planos de Relatrio dos testes dos
Planos de retorno. aceitao. planos de aceitao.
Planos de comunicao.
Plano de gesto de
crises.
ses testes em mdulos ou na totalidade do plano, como se realmente estivesse passando pelas
contingncias. Aps a realizao dos testes, elaboram-se relatrios apresentando os procedi-
mentos executados e as lies aprendidas. Destaca-se que a implementao dos planos no
garante que eles sero cumpridos; devem-se exercitar os participantes, idealmente, a ponto de
os procedimentos serem executados de maneira automtica e intuitiva.
importante observar que possvel chegar concluso, aps a execuo das simulaes,
de que a condio que se esperava alcanar com a implementao das barreiras no condiz com a
realidade. Isto significa que o processo de avaliao de risco executado na fase do delineamento
conceitual no est coerente com a realidade. Neste caso, deve-se deflagar uma reviso do SGR
(Seo 5.3.4), para verificar se a situao real, aps a implementao das barreiras, aceitvel
ou se sero necessrias novas barreiras.
5.3.3 Etapa de utilizao
Nesta etapa, alm da utilizao dos planos de aceitao (monitoramento & controle, res-
posta emergencial, operao interina e retorno operao normal), tambm deve-se fazer: a
manuteno da estrutura necessria para execut-los e os testes e simulaes do uso dos planos
de aceitao conforme apresentado no Quadro 5.10.
No que se refere utilizao dos planos de aceitao, prev-se a execuo do plano de

monitoramento & controle durante a operao normal idealmente, estas aes devem estar
nas atribuies cotidianas dos colaboradores, conforme ilustrado na Figura 5.17.
Quadro 5.10: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de utilizao
Entradas Processos Tcnicas e ferramentas Sadas

Reestruturao da Utilizao dos Fluxogramas. Colaboradores
organizao, conforme planos de aceitao. Mapas de processo. capacitados.
previsto no plano de Testes e simulaes Mapas mentais. Partes envolvidas
ao. do uso dos planos Questionrios. conscientizadas.
Planos de aceitao e de aceitao. Painis de Identificao de
de crise testados. Manuteno da apresentao. deficincias ou melhorias
Rotinas de estrutura necessria Fichas de atribuies. nos planos.
monitoramento para a execuo dos DMS (document Identificao de novos
&controle planos. management system). riscos ou novas
implementadas. Redes bayesianas. informaes sobre os
Colaboradores riscos j analisados.
capacitados. Relatrios de execuo
Partes envolvidas dos planos.
conscientizadas.
Utilizao e manuteno do SGR
Operao normal Resposta

emergencial
Monitoramento
e controle
Retorno
Testes e Incidente operao normal
simulaes
Manuteno
da estrutura Operao
interina
Preveno do incidente Gesto do incidente
Figura 5.17: Utilizao e manuteno do sistema de gerenciamento de riscos
No caso de o incidente ser desencadeado, podem-se executar os planos de resposta emer-

gencial ou operao interina (alternativa) e, ao final, pode-se retornar condio normal de
operao.
Note-se que no foi representada a execuo do plano de gerenciamento de crises, pois este
contempla situaes fora das previstas nos planos de aceitao elaborados.
Os testes e simulaes e a manuteno da estrutura visam manter a capacidade de res-

posta da organizao, mantendo o nvel de conscientizao adequado e as equipes devidamente

capacitadas, alm de verificar a integridade das instalaes, equipamentos e insumos destinados
resposta de um incidente.
Adicionalmente, importante que o programa seja regularmente auditado pelo sistema de

qualidade, a fim de assegurar que os procedimentos esto sendo rigorosamente cumpridos e
que a organizao est apta a tomar as medidas estipuladas nos planos tanto as relativas aos
procedimentos quanto s instalaes.
Os planos resposta emergencial, de operao interina e de retorno devem ser exercitados

conforme previsto nos planos de comunicao. Estes exerccios possibilitam: avaliar a ca-
pacitao dos colaboradores e manter a execuo das aes de forma automtica; identificar
problemas de transferncia de informaes ou outra deficincia de comunicao; destacar pres-
suposies que precisem ser questionadas; manter o nvel de conscientizao da organizao e
das partes envolvidas; etc.
importante monitorar as mudanas culturais, a fim de avaliar a qualidade e a eficcia da

capacitao e da conscientizao das partes afetadas. Caso se constate alguma deficincia, os
planos de capacitao tambm devem ser revistos.
Note-se que, alm de evidenciar deficincias, a utilizao dos planos tambm permite iden-
tificar possveis melhorias. Estas tambm devem desencadear a reviso do SGR.
Independentemente por simulao ou por utilizao durante um incidente ao final da

execuo dos planos, deve-se elaborar um relatrio descrevendo as aes e listando as eventuais
deficincias e as possveis melhorias, como lies aprendidas.
Destaca-se, ainda, que possvel utilizar as redes bayesianas elaboradas para fazer diag-
nstico encadeamento reverso, contrrio ao sentido das setas. A rede ilustrada na Figura 5.14
bastante simples, mas permite verificar quais as causas mais provveis para a ocorrncia do
modo de falha, por exemplo. Para isso, entra-se com a evidncia de que ocorreu o modo de
falha e avalia-se a probabilidade de ocorrncia das causas.
Estas simulaes utilizando as redes bayesianas podem ser feitas nesta etapa para aumentar
o conhecimento dos colaboradores sobre os riscos modelados ou como ferramenta para diag-
nstico.
importante destacar que a modelagem de CNEAs em redes bayesianas traz uma limitao:
no se pode utilizar a rede para fazer diagnstico dos efeitos. Esta limitao existe, pois, no
modelo apresentado na Figura 5.14, o nico ndulo que pode desencadear a ocorrncia do EF1
Efeito 1, por exemplo, o modo de falha. Assim, caso se entre com a evidncia de que
ocorreu EF1, obrigatoriamente deve ocorrer o modo de falha o que no necessariamente

verdade, pois outros modos de falha tambm podem acarretar o mesmo efeito.
Para que o modelo representasse a realidade neste aspecto, devem-se incluir todos os modos
de falha que podem levar quele efeito, o que oneraria muito a elaborao do modelo. Desta
forma, neste trabalho, optou-se por limitar o uso do modelo, no analisando encadeamento
reverso para os efeitos.
Salienta-se que esta restrio cabe apenas aos efeitos, sendo possvel fazer encadeamento
reverso para causas e modo de falha.
5.3.4 Etapa de reviso do SGR
Consiste no redelineamento do sistema de gerenciamento de risco e na implementao das

alteraes que devem ser feitas para seu aprimoramento e atualizao o Quadro 5.11 ilustra
este processo.
Quadro 5.11: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de reviso do
SGR

Identificao de Os mesmos executados Equivalentes s Sistema de gesto de
deficincias ou durante a etapa de utilizadas durante a risco revisado.
melhorias nos planos. delineamento e etapa de delineamento Identificao de parte
Identificao de novos implementao (no e implementao. do SGR a ser
riscos ou novas necessariamente desativada.
informaes sobre os todos).
riscos j analisados.
Documentao do
sistema de
gerenciamento de risco.
As atualizaes devem ser feitas sempre que houver alterao significativa na organizao
ou que novas informaes relevantes surgirem, tais como: alterao das condies econmicas,
surgimento de novas tecnologias, exigncias legais, alteraes no planejamento estratgico da
organizao, uma nova possvel barreira identificada, novos riscos identificados, etc.
O aprimoramento deve ser feito para corrigir deficincias identificadas e para alcanar a
melhoria contnua (sempre que for identificada alguma possvel melhoria ou periodicamente),
visando aperfeioar os planos, ampliar o escopo (identificando novos riscos), revisar as tomadas
de decises anteriores, etc.
O objetivo da reviso do SGR garantir que os riscos sejam tratados de forma adequada e
que se planeje, da melhor maneira possvel, para os riscos aceitos alm de manter o sistema de
gerenciamento de risco coerente com a situao real da organizao, o que inclui a desativao
da parte do SGR, que no mais necessria.
Note-se que, na reviso do SGR, os processos da metodologia, as tcnicas e as ferramentas

j so conhecidos pelos colaboradores, e a reviso tende a ser facilitada. Tambm no neces-
srio que sejam repetidos todos os processos do delineamento e implementao, pois se pode
concentrar nos pontos que podem ser influenciados pelo fato que deflagrou a reviso (no caso
de uma reviso geral, todos os processos devem ser contemplados).
interessante destacar que tambm podem ser feitas alteraes nos processos em relao ao
delineamento e a implementao. Por exemplo, em uma reviso, opta-se pelo uso da estrutura
FTA / ETA em substituio CNEA.
Destaca-se, ainda, que a busca por novas informaes deve ser constante, e a reviso do
SGR no deve restringir-se s informaes disponveis, geradas no delineamento e na imple-
mentao ou em revises anteriores. Neste sentido, deve haver um comprometimento dos cola-
boradores na busca do aprimoramento contnuo.
5.3.5 Etapa de desativao
Faz pouco sentido pensar na desativao de todo o sistema de gerenciamento de risco, mas
razovel pensar em desativar a parte referente a um risco que, ao longo do tempo, foi eliminado
ou considerado desprezvel. O Quadro 5.12 ilustra o processo de desativao.
Quadro 5.12: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de desativao

Risco eliminado ou Arquivamento das DMS (document Documentao
risco considerado informaes e management system). disponvel para consulta.
desprezvel. lies aprendidas.
Sistema de gesto de
risco revisado.
Note-se que a desativao de uma parte do sistema de gesto de risco somente razo-
vel como um resultado da reviso do SGR, pois neste processo pode-se concluir que certos
procedimentos ou estruturas no so mais necessrios.
Assim, o processo de desativao em si compreende o arquivamento das informaes e

lies aprendidas, para que elas possam ser reaproveitadas no futuro, uma vez que a recapaci-
5.4 Ferramenta computacional OpenFMECA 135
tao dos colaboradores, divulgao para as partes envolvidas e outras aes para readequao
do SGR fazem parte da etapa de reviso.
5.4 Ferramenta computacional OpenFMECA
Est sendo elaborado, no NeDIP / UFSC, desde outubro de 2006, um software chamado
OpenFMECA, a fim de auxiliar no uso da tcnica FMECA. Esta ferramenta melhor descrita
no Apndice A tem cdigo fonte aberto (open source), o que possibilita que outras instituies
e usurios possam livremente utiliz-la e / ou aprimor-la.
O software foi concebido para ser instalado em um servidor e utilizado via navegador de
internet de qualquer local (desde que tenha conexo com a internet) ou em qualquer sistema
computacional (PCs, palmtops, etc.). Com isto, pode-se elaborar a FMECA de forma distri-
buda, na qual mais de uma pessoa pode trabalhar na mesma FMECA, em postos de trabalho
diferentes. Nesta condio, o OpenFMECA passa a ser utilizada como uma ferramenta colabo-
rativa, permitindo que se faa a anlise de maneira no presencial, eliminando ou, pelo menos,
minimizando a necessidade das reunies.
As duas primeiras verses do software foram feitas com o objetivo de dar suporte, exclu-
sivamente, utilizao da tcnica FMECA12 . Nestas verses, pode-se estruturar melhor a an-
lise pois usa uma hierarquia na forma de rvore e, adicionalmente, possvel incluir uma
descrio mais detalhada de cada elemento da FMECA13 , atenuando um dos inconvenientes
relacionados com a representao em tabelas.
Atualmente, est sendo desenvolvida a terceira verso do software (verso .3), que obje-
tiva dar suporte estrutura de trabalho (framework) proposta neste doutorado, apresentada na
Seo 5.3.1, que associa a FMECA a outras tcnicas a saber: CNEA, IDEF0, redes bayesianas
e FTA.
Esta integrao das tcnicas permitir que o software rena as informaes referentes ao
gerenciamento de risco em um nico sistema, atuando como uma ferramenta de gesto do
conhecimento. Ademais, pelo fato de o OpenFMECA atuar tambm como ferramenta cola-
borativa, podem-se incluir na anlise pessoas que tenham dificuldade de participar das reunies
como um especialista de fora da organizao, por exemplo. Usualmente a tcnica FMECA
requer um trabalho de equipe contendo vrios especialistas, de diferentes formaes e setores
de trabalho, de modo que cada membro contribua com diferentes experincias e conhecimentos.
12 A
segunda verso do software foi uma reimplementao, objetivando melhorar a rapidez e o projeto grfico.
13 Pretende-se,em uma prxima verso, implementar a possibilidade de anexar arquivos a cada elemento, por
exemplo, fotografias, rvores de falha, etc.
As reunies, que normalmente so longas (em muitos casos enfadonhas), exigem a presena de
todos os envolvidos em horrios pr-determinados, concorrentes com as atividades dirias o
que pode tornar-se um entrave para o desenvolvimento da tcnica, pois exige que se concilie
a agenda de todos os participantes. Esse tempo despendido nas reunies potencializa um ou-
tro inconveniente: gerar ansiedade na equipe, o que pode resultar em uma anlise superficial
e comprometer os resultados. Assim, o uso do OpenFMECA pode ser uma alternativa para
atenuar este inconveniente da tcnica a Seo A.2.2 traz alguns outros aspectos relevantes do
software.
interessante destacar que o desenvolvimento do OpenFMECA foi deflagrado por este

trabalho de doutorado; no entanto, o software passou a ser utilizado em outras pesquisas e, hoje,
tornou-se um projeto parte dentro do NeDIP / UFSC, integrando outros colaboradores14 .
No Captulo 5, apresentou-se a metodologia para gerenciamento de risco considerando os

atributos segurana e continuidade / disponibilidade. Uma vez que o sistema de gerenciamento
de risco (SGR) pode ser entendido como um produto a se desenvolver, a metodologia apre-
sentada foi elaborada seguindo a estrutura do PDP (processo de desenvolvimento de produto),
destacadamente a etapa de delineamento, que foi baseada no modelo PRODIP15 .
A metodologia, ento, est estruturada em 5 etapas: etapa de delineamento, etapa de imple-

mentao, etapa de utilizao, etapa de reviso do SGR e etapa de desativao, sendo a etapa
de delineamento subdividida em 4 fases: fase do delineamento informacional, fase do delinea-
mento conceitual, fase do delineamento preliminar e fase do delineamento detalhado. Na etapa
de delineamento, elaboram-se os planos: plano de ao, que define as alteraes necessrias
para a adequao da organizao (incluindo o planejamento para a implementao delas); os
planos de aceitao (planos de monitoramento & controle, de resposta emergencial, de opera-
es alternativas e de retorno); os planos de comunicao; e o plano de gesto de crises. Na
etapa seguinte, implementam-se os planos elaborados e socializam-se as informaes com to-
das as partes envolvidas, seguindo o planejamento de implementao especificado no plano de
aes. Na utilizao, os planos so colocados em prtica quer pela ocorrncia do incidente,
quer pela execuo de simulaes , e feita a manuteno da estrutura do SGR. Na etapa de
14 A equipe do projeto OpenFMECA atualmente coordenada pelo Professor Acires Dias e composta por: Lus
Fernando Peres Calil; Eduardo Yuji Sakurada; Heitor Azuma Kagueiama; Leonardo Mecab; Gleber Estefani
Diniz; Daniel Koudi Nakano; e Glauco Vinicius Gil Peron. Tambm fizeram parte do desenvolvimento do software:
Andr Ogliari (como coordenador); Emerson Rigoni; e Thiago Nass de Holanda.
15 Para detalhes sobre o modelo PRODIP, recomenda-se a leitura de Back et al. (2008).
reviso, por sua vez, faz-se a atualizao e o aprimoramento do sistema de gerenciamento de

risco, o que pode levar concluso de que parte dele no mais necessria. Assim, na etapa
de desativao, feito o arquivamento das informaes e das lies aprendidas, para que elas
possam ser reaproveitadas no futuro.
Note-se que a norma ABNT/ISO/IEC Guia 73 (ABNT, 2005) indica que o gerenciamento de
risco contempla a anlise / avaliao, o tratamento, a aceitao e a comunicao do risco. Estes
quatro pontos so contemplados na metodologia desenvolvida; no entanto, no esto claramente
definidos na estrutura. A aceitao, por exemplo, feita na fase do delineamento conceitual,
mas revista no preliminar, quando se tem condio de estimar melhor os custos das medidas de
reduo e planejamento dos riscos permitindo fazer uma avaliao de custo-risco-benefcio,
e, eventualmente, descartar uma ao (que extrapole o NetCAF, por exemplo). J os parmetros
para a aceitao so delineados na fase informacional.
De forma anloga, possvel observar que os processos das metodologias apresentadas

no Captulo 3 tanto no que se refere gesto da segurana quanto gesto da continuidade
esto, de certa forma, contemplados ao longo da metodologia desenvolvida, j que esta foi
baseada nas metodologias estudadas.
importante observar que a integrao das questes relacionadas segurana e continui-

dade / disponibilidade, em um nico sistema de gerenciamento de riscos, possibilita gerenciar
melhor os recursos da organizao, pois, no planejamento da implementao, podem-se priori-
zar as medidas de maneira geral, tornando a alocao de recursos mais clara e menos subjetiva,
tanto nos casos em que a continuidade / disponibilidade de um item favorece a segurana quanto
quando estes atributos so antagnicos.
Uma das reclamaes na implementao de sistemas de gerenciamento de continuidade est

exatamente na questo de quanto se deve direcionar para ele. Cifras considerveis so injetadas
para garantir a continuidade. No entanto, fora de um gerenciamento mais amplo, no possvel
analisar com clareza se este investimento teria sido melhor alocado na reduo da probabilidade
de ocorrer um incidente com repercusso na segurana, por exemplo. importante salientar que
as questes relativas segurana devem ter prioridade continuidade / disponibilidade.
Por fim, destaca-se o desenvolvimento da estrutura de trabalho apresentada na Seo 5.3.1,

que rene as seguintes tcnicas e ferramentas:
Anlise funcional IDEF0 (integration definition for function modeling) ou anlise funci-
onal de produto para a caracterizao do sistema.
FHA (functional hazard assessment) para o levantamento dos objetivos de risco.
Modelo da corrente causal (MOSLEH et al., 2004) e CNEA (causal network event analysis)
para a anlise do incidente.
FTA (fault tree analysis) como uma alternativa para a anlise de causas que se necessitem
detalhar e de falhas em barreiras.
Categorias de risco por relaes determinsticas para anlise da criticidade.
Redes bayesianas para fazer o tratamento estatstico das CNEAs.
Atualizao bayesiana para estimar o valor da probabilidade de ocorrncia dos eventos
nas CNEAs e nas FTAs.
FMECA (failure modes effects and criticality analysis) como integrao dos incidentes
(ou modos de falha) identificados; da listagem de causas e efeitos; da indicao das bar-
reiras existentes (controles atuais); da anlise de criticidade; e da proposio de barreiras
(aes propostas) para reduzir o risco ou mitigar as consequncias bem como a reavali-
ao da criticidade aps a implementao das barreiras propostas.
Esta estrutura de trabalho, ento, poder ser suportada pelo software OpenFMECA que, no
futuro, prev a integrao de todos estes pontos.
139
6 Aplicao da metodologia de
gerenciamento de risco desenvolvida
As aplicaes da metodologia foram realizadas ao longo de sua elaborao, em dois estudos

de caso: o primeiro realizado em um projeto com a Celesc (Centrais Eltricas de Santa Catarina
S.A.), em 2005, e o segundo em um projeto com a Eletrosul Centrais Eltricas S.A., em 2007 e
2008.
Note-se que, no projeto com a Eletrosul, a metodologia j estava bem desenvolvida e pode-
se fazer uma aplicao fiel estrutura e s recomendaes apresentadas no Captulo 5.
Na Celesc, entretanto, o projeto foi realizado na forma de uma pesquisa qualitativa tipo
pesquisa-ao, e um dos resultados foi uma primeira estruturao para a metodologia. Assim,
a estrutura apresentada no Captulo 5 no foi integralmente aplicada, principalmente no que
se refere ao delineamento informacional e conceitual. No entanto, importante destacar que
os processos referentes elaborao dos planos j estavam definidos, pois foram baseados na
pesquisa bibliogrfica realizada. Desta forma, o projeto com a Celesc ilustra o delineamento
dos planos preliminares e detalhados, conforme apresentado no captulo anterior, e evidencia
consideraes importantes.
O objetivo do projeto com a Celesc era montar uma estrutura que permitisse empresa
restabelecer o fornecimento de energia mais eficientemente, na ocorrncia de uma tempestade
severa. Esta estrutura foi implementada e est sendo utilizada com bons resultados pela em-
presa.
O projeto com a Eletrosul, por sua vez, objetivou levantar barreiras na perspectiva de mitigar
a emisso de SF6 (hexafluoreto de enxofre) para a atmosfera. Observe-se que este levantamento
est inserido na fase do delineamento conceitual do sistema de gerenciamento de risco. De
fato, neste projeto, a metodologia foi aplicada at o incio da fase do delineamento preliminar.
Portanto, no se chegou a elaborar os planos, mas foram indicadas as aes e recomendaes
que deveriam constar nos planos preliminares exceo dos procedimentos de operao de
um equipamento de tratamento de SF6 , em que foram elaborados procedimentos de operao
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 140
com o devido detalhamento.
importante observar que, na Celesc, a aplicao ocorreu no nvel da unidade organiza-

cional, no caso nos CODs (centros de operao da distribuio), e, na Eletrosul, ocorreu nos
nveis da unidade organizacional e do sistema tcnico, no DMS (Departamento de Manuteno
do Sistema) e em um modelo de disjuntor, respectivamente conforme ilustrado na Figura 6.1.
Eletrosul Celesc
U.O. 1 U.O. 3 U.O. 5 U.O. 1 U.O. 3 U.O. 5

Nvel da unidade
organizacional
U.O. 2 U.O. n U.O. 2 U.O. n
DMS COD
S.T.1 S.T.3 S.T.5 S.T.7

Nvel do sistema
tcnico
Disjuntor
S.T.2 S.T.4 S.T.6 S.T. k
FA4
Figura 6.1: Contextualizao das aplicaes nas empresas Eletrosul e Celesc
Desta forma, no foi feita uma aplicao no nvel da organizao. No entanto, a metodolo-
gia desenvolvida pode ser adaptada a esta realidade, o que possibilitaria uma gesto do negcio
mais estruturada.
Por fim, destaca-se que, na medida do possvel, os textos das aplicaes foram elaborados
seguindo a sequncia indicada nos fluxogramas apresentados no Apndice 5.2.
6.1 Aplicao na Eletrosul, no mbito da unidade organiza-

cional
A aplicao na Eletrosul ocorreu em 2007 e 2008, com o projeto ANEEL intitulado Mi-
tiSF6. Este projeto teve como objeto de estudo identificar os pontos de perda de SF6 e propor
solues para mitig-la; portanto as anlises se concentram nas questes relativas ao gs.
Neste sentido, o projeto foi dividido em duas frentes: uma para estudar as perdas durante
a operao dos equipamentos eltricos isolados a SF6 , e outra para estudar as perdas durante a
manipulao do gs e manuteno dos equipamentos. A primeira est apresentada na Seo 6.2,

pois se refere ao sistema tcnico, e a segunda, que se refere a questes organizacionais, ser
apresentada a seguir.
interessante enfatizar que a aplicao da metodologia foi feita at a fase do delineamento

preliminar conforme Figura 6.2 ; desta forma, a fase do delineamento detalhado e as outras
etapas sero omitidas nesta seo.
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Figura 6.2: Fases da metodologia abordadas na aplicao no DMS da Eletrosul
6.1.1 Contextualizao do problema
O SF6 utilizado como dieltrico em equipamentos de transmisso e distribuio de energia

eltrica. Desta forma, a continuidade da transmisso e distribuio depende deste gs.
Para a Agncia de Proteo Ambiental norte-americana (EPA Environmental Protection

Agency), propriedades como: estrutura molecular extremamente estvel, alta resistncia diel-
trica, grande habilidade extintora, excelente capacidade isolante, etc. fazem do SF6 o dieltrico
preferido nos equipamentos de alta-voltagem ; com isso, perto de 80% da produo de SF6
destinada ao setor eltrico (EPA, 2003). No entanto, nesta mesma publicao, ela alerta para
o fato de o gs ser 23900 vezes mais efetivo que o CO2 para o efeito-estufa (considerando um
perodo de 100 anos), conforme ilustrado no Quadro 6.11 , sendo que sua vida na atmosfera
de aproximadamente 3200 anos.
Apesar de a contribuio atual para o efeito estufa ser baixa em 2002, estima-se que a
emisso de SF6 pelo setor eltrico foi responsvel por 11% do total da emisso de gases de
alto potencial efeito-estufa2 proveniente de processos industriais (EPA, 2003) , o SF6 o gs
1 Foipublicada uma errata em 31 julho de 2008 com a incluso de alguns valores e tipos de gases, mas o
contedo apresentado no Quadro 6.1 que foi extrado da Table 2.14 no sofreu alteraes.
2 Global warming potential (GWP).
Quadro 6.1: GWP de alguns gases para 100 anos de horizonte de tempo
Designao industrial Frmula qumica GWP (100

ou nome comum anos)
Dixido de carbono CO2 1
Metano CH4 21
xido nitroso N 2O 310
CFC-11 CCl3F 3.800
CFC-12 CCl2F2 8.100
CFC-113 CCl2FCClF2 4.800
HFC-23 CHF3 11.700
HFC-32 CH2F2 650
HFC-125 CHF2CF3 2.800
HFC-134a CH2FCF3 1.300
HFC-143a CH3CF3 3.800
HFC-152a CH3CHF2 140
HFC-227ea CF3CHFCF3 2.900
HFC-236fa CF3CH2CF3 6.300
Hexafluoreto de enxofre SF6 23.900
PFC-14 CF4 6.500
PFC-116 C2F6 9.200
PFC-218 C3F8 7.000
PFC-318 c-C4F8 8.700
PFC-3-1-10 C4F10 7.000
PFC-5-1-14 C6F14 7.400
Fonte: UNO/IPCC (2007, p. 212 e 213, traduo nossa)
com maior potencial de dano no que se refere ao efeito-estufa, o que levou a sua incluso no
Protocolo de Kyoto (UNO/UNFCCC, 1998). O Brasil signatrio deste protocolo e, no Decreto
n 5.445, de 12/05/2005, estipula que ele [...] ser executado e cumprido to inteiramente
como nele se contm. (BRASIL, 1998a).
Destaca-se que alguns pases j possuem regulamentao prpria para o SF6 . A Unio
Europeia, por exemplo, publicou os regulamentos (commission regulation) CE n 842/2006,
em 17 de maio de 2006, que regulamenta o uso de gases fluorados com efeito-estufa (UNIO
EUROPEIA, 2006); e CE n 305/2008, em 2 de abril de 2008, que estabelece, nos termos do
CE n 842/2006, [...] os requisitos mnimos e as condies para o reconhecimento mtuo da
certificao do pessoal que procede recuperao de determinados gases fluorados com efeito
de estufa em comutadores de alta tenso (UNIO EUROPEIA, 2008, p. 17), i.e., o gs SF6 .
No Brasil, ainda no existe nenhuma publicao neste sentido, mas um dos resultados finais
deste projeto foi a recomendao, para a ANEEL, de se regulamentar o controle do uso e a
qualificao do pessoal que manipula o gs.
Outra questo a ser considerada o custo da perda de SF6 . O gs importado, e o preo

sofreu aumentos significativos prximo de 600% em 2 anos, at 2004 (ENERVAC, 2004) ,
constituindo-se a uma motivao a mais para mitigar sua emisso.
Por fim, destaca-se que a reduo da emisso de SF6 pode viabilizar crdito de carbono.
Diante deste cenrio, foi proposto um projeto com o objetivo de mitigar a perda de SF6
na Eletrosul. Como o projeto foi realizado dentro do programa de pesquisa e desenvolvimento
(P&D) da ANEEL, os resultados podem ser utilizados por todo o setor eltrico brasileiro.
No que se refere manipulao do gs, observou-se, em outros estudos, que este o ponto
com maior potencial de reduo de perdas. O programa norte-americano de reduo de perdas
de SF6 , por exemplo, obteve uma reduo na taxa de emisso prxima de 50% em 8 anos vide
Figura 6.3 , majoritariamente pela reduo de perdas na manipulao (EPA, 2006).
Especificamente na Eletrosul, a manipulao feita pelo Departamento de Manuteno

do Sistema (DMS). Assim, optou-se por aplicar a metodologia nesta unidade organizacional.
Note-se que, paralelamente, tambm foi feita a aplicao no mbito do sistema tcnico, em um
disjuntor (apresentada na Seo 6.2).
7.000.000 16%
14%
6.000.000
12%
Taxa de emisso de SF6

5.000.000
10%
4.000.000
SF6 (lbs)
8%
3.000.000
6%
2.000.000 4%
1.000.000 2%
0 0%
1999 2000 2001 2002 2003 2004 2005 2006
Taxa de emisso de SF6
Emisso total de SF6 (lbs)
Capacidade total pelos dados de placa (lbs)
Figura 6.3: Emisso de SF6 pelos parceiros do programa de reduo de emisso de SF6 no
setor eltrico da agncia de proteo ambiental norte-americana
Fonte: EPA (2006, p. 2, traduo nossa)
6.1.2 Gerenciamento do projeto MitiSF6
Apesar de no ser uma etapa formal da metodologia, optou-se por destacar algumas con-
sideraes sobre a gesto do projeto MitiSF6, a fim de enfatizar alguns pontos destacados na
Seo 5.1. O gerenciamento deste projeto, por estar inserido no programa P&D da ANEEL,
seguiu as exigncias da agncia. Adicionalmente, fez-se o detalhamento seguindo as prticas
usuais de gesto de projeto, tais como: desdobramento da estrutura de trabalho (WBS work
breakdown structure3 ) detalhada com o respectivo cronograma; matriz de responsabilidade;
alocao de recursos humanos; planejamento de aquisies; etc. A Figura 6.4 ilustra algumas
das tcnicas e ferramentas utilizadas nesta etapa.
Matriz funo x responsabilidade

WBS
Tcnicas & ferramentas
CD com a
Lista de atividades Time Sheet documentao
Gesto do projeto MitiSF6
Padro de Plano do projeto

documentao Acompanhamento de
1200
homem / hora
Sadas
1000
800
Planejado
Realizado
600
400
200
0
0 2 4 6 8 10 12 14 16 18 20 22 24
Figura 6.4: Algumas das tcnicas e ferramentas utilizadas na gesto do projeto MITISF6
Fonte: UFSC/NeDIP (2008e)
Tambm foi definido um padro de numerao dos documentos vinculados ao projeto, fa-
3 Para detalhes sobre WBS, recomenda-se a leitura no MIL-HDBK-881 (USA/DOD, 1998).
cilitando a gesto e referncia deles4 , e, para evidenciar os produtos das tarefas da WBS, foi
associado o nmero do documento resultante daquela ao (quando aplicvel).
No intuito de avaliar o tempo que os recursos humanos dedicaram ao projeto, foi imple-
mentada uma folha de acompanhamento de homem/hora (time sheet). Estes dados possibilitam
um melhor controle do uso dos recursos no projeto atual e melhor estimativa para os projetos
futuros.
A fim de viabilizar o acompanhamento do projeto pelos colaboradores da Eletrosul, optou-

se por elaborar relatrios bimestrais das atividades realizadas. A disseminao do conhecimento
gerado ao longo do projeto ocorreu pela documentao gerada e na forma de workshops, visitas
tcnicas e seminrios alm dos trabalhos acadmicos associados ao projeto, como esta tese
de doutorado. Adicionalmente, foram disponibilizados, aos participantes da Eletrosul no pro-
jeto, os respectivos cadastros no sistema de gerenciamento de documentos utilizado, no caso
o KTDMS (Knowledge Tree Document Management System5 ). Para tanto, foi instalado um
servido no NeDIP/UFSC com o software, possibilitando acessar a documentao remotamente,
via internet. interessante destacar que, na parte final do projeto, a documentao passou a ser
entregue Eletrosul em CD (compact disc), juntamente com o relatrio bimestral.
Note-se que, na fase final do projeto, verificou-se a importncia de se elaborar um livro

que compile o conhecimento gerado, nos dois anos de projeto, de tal sorte que o leitor possa
ter acesso aos textos necessrios e suficientes para o entendimento da teoria envolvida na mi-
tigao das perdas de SF6 , bem como para sua aplicao tanto pela emisso do gs para a
atmosfera quanto pela contaminao do gs, num patamar que acarrete seu descarte. Este fator
superveniente levou extenso do projeto, que contar, ainda, com a adequao do software
OpenFMECA para as situaes do projeto.
Por fim, destaca-se que o projeto, por fazer parte do programa ANEEL, contou com a
aprovao da alta gerncia da empresa cujo apoio foi determinante para o seu sucesso.
A seguir, apresenta-se a aplicao da metodologia no Departamento de Manuteno do Sis-

tema da Eletrosul (DMS), no que se refere s fases do delineamento informacional, conceitual
e preliminar.
4A documentao do projeto foi gerenciada utilizando o software KTDMS.
5 Disponvelem: <http://www.knowledgetree.com/>.
O projeto focou exclusivamente nas questes relacionadas ao gs SF6 ; assim a anlise e a

elaborao dos objetivos de risco se restringiram a elas. A Figura 6.5 ilustra algumas tcnicas e
ferramentas utilizadas nesta fase.
Brainstorming
Questionrios
Base de dados Questionrios sobre manuteno Visitas tcnicas:
de disjuntores
Nacionais
Banco de dados de
materiais e processos
1. A gfdgg joijkgs?
Registros
2. Fdsffgk fdkbn kaaj?
3. Sasdfsdk lgfdk? Internacional
Manuais do
fabricante
Procedimentos
internos da
manuteno 4. Adfgfdsg fdg?
Catlogos Normas de
manuteno
de manuteno
da Eletrosul
5. Odgfjfdgsl dflkg dfd?
6. O dfsg fdg fdgg?
Fase do delineamento informacional
Funo global Objetivos de risco

Procedimentos / normas / leis
Sadas
Funo Perigo S Objetivos de risco
Equipamento Equipamento to bom como novo
Fazer manuteno
Sobressalentes dos equipamentos
SF6 / N2 / leo e resduos para o meio
e linhas da
ELETROSUL
SF6 / N2 / leo e outros insumos (DMS)
A0
Sistema de informao
RH
Oficina
Figura 6.5: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento informaci-
onal do projeto MITISF6
Para a caracterizao do Departamento de Manuteno do Sistema da Eletrosul, optou-se

por fazer a definio da funo global utilizando a tcnica IDEF0, ilustrada na Figura 6.66 .
A fim de detalhar o controle procedimentos / normas / leis, foi feito um estudo de or-
ganizaes de referncia em normatizao, no manuseio e no tratamento de SF6 alm das
normas e regulamentaes que se referem ao gs (UFSC/NEDIP, 2008f). Destaca-se que, na tc-
nica IDEF0, controles so as restries da funo e mecanismos so os recursos necessrios
para se executar a funo.
Tambm foram feitas visitas tcnicas e reunies para captar a percepo da empresa quanto
ao que ela considera tolervel nos riscos referentes perda de SF6 no DMS.
6 A Figura 6.6 e a Figura 6.8 foram obtidas a partir do software AI0Win ,
c desenvolvido pela Knowledge Based
Systems, Inc.
Procedimentos / normas / leis

Equipamento Equipamento to bom como novo

Fazer manuteno
Sobressalentes dos equipamentos SF6 / N2 / leo e resduos para o meio
e linhas da
SF6 / N2 / leo e outros insumos Eletrosul (DMS)
A0
Sistema de informao
RH
Oficina
Figura 6.6: Diagrama raiz da IDEF0 dos processos relacionados manipulao do SF6
Destaca-se, ainda, que o nmero ONU do SF6 o 1080, que traz a indicao dos seguin-
tes riscos: exploso do reservatrio em caso de aquecimento; queimaduras pelo frio no con-
tacto com o lquido ao vaporizar-se; e asfixia por falta de oxignio em caso de fuga importante
(IGEO/RISE, 2000).
Com base nestas anlises, podem-se estipular os objetivos7 de perda de SF6 que, posterior-
mente, balizaram a deciso de aceitar o risco ou no.
A Figura 6.7 ilustra algumas tcnicas e ferramentas utilizadas nesta fase.
Uma vez definida a funo global no diagrama IDEF0, na anlise funcional, fez-se o desdo-
bramento das funes pertinentes ao projeto at a resoluo desejada. Observe-se, na Figura 6.8,
que as caixas A1 e A2 esto sombreadas, o que indica que estas funes foram desdobradas
pois esto relacionadas ao SF6 .
Para detalhar melhor o modelo, foram includas as descries de cada elemento do dia-
grama. O Quadro 6.2 ilustra a descrio da funo gerenciar insumos, ndulo A1 do diagrama
IDEF0. De forma anloga, foram descritas as outras funes, os controles, os mecanismos, as
entradas e as sadas.
7 No foi utilizada a tcnica FHA; no entanto, entende-se que ela ir contribuir para uma anlise mais estrutu-
rada, quando esta no for to especfica como a apresentada.
Base de dados Causa 1

Barreira
proposta 1
CNEA Barreira
proposta 2
Brainstorming
Efeito 1
Causa 3
Banco de dados de (intermediria) Barreira
materiais e processos
efetiva
Incidente Efeito 2
Causa 2
Barreira
atual 1
Efeito 4
Efeito 3
Registros
Manuais do Causa 4 (intermedirio)
internos da
fabricante Efeito 5
manuteno
Procedimentos
Catlogos Normas de de manuteno
manuteno da Eletrosul
Modelo da corrente causal

FMEA
Causa ou Condio
condio perigosa
Barreiras
+ Acidente Conseqncias
Evento
gatilho Barreiras Barreiras
Visitas tcnicas:
Nacionais OpenFMECA
Internacional
Fase do delineamento conceitual
Conhecimento estruturado Lista de

CNEA barreiras
OpenFMECA Alojamento com
NPR1
dimenses inadequadas
O1 D1
Reviso de
projeto
Detector de
vazamento
Alarme de
baixa Trip
presso (abertura)
Aumento dos
danos nos
componentes
NPR2 da cmara
Processos mapeados
Aumento no
Ajuste com aperto Reduo da
O-ring com tempo para
excessivo O-ring / presso
dimenses inadequadas extinguir o
alojamento interna
O2 D2 arco
Incapacidade
de extinguir o Exploso
Sadas
NPR3 Barreira arco

Jogo diametral abaixo do eficaz
especificado
O3 D3 Ensaios
laboratoriais Abertura do
disjuntor
NPR4
Material com capacidade

elstica insuficiente O-ring com
Confiabilidade
O4 D4 deformao Perda de gs Impossibilidade
do sistema
permanente de fechamento
Material reduzida
NPR5 inadequado
Incompatibilidade do mate- S
rial do O-ring com o
fluido ou outros materiais
Dano ao
O5 D5 homem
NPR6
O-ring com temperatura Dano ao
excessiva meio
O6 D6
Figura 6.7: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento conceitual
do projeto MITISF6
Quadro 6.2: Descrio da funo gerenciar insumos [A1]
A1: Gerenciar insumos

O processo para gerenciar insumos o que garante o fornecimento de recursos
necessrios para manter o bom funcionamento dos equipamentos e depende da
boa interao entres diversos setores da empresa, como manuteno e compras.
No presente projeto, apenas o gerenciamento SF6 ser tratado.
O modelo diagramado pela tcnica IDEF0, ento, serviu de base para a FMEA dos proces-
sos, pois ele evidencia o que necessrio para que as funes sejam adequadamente realizadas.
Primeiramente, foram levantados os possveis modos de falha para cada funo, no ltimo
nvel de desdobramento do IDEF0, conforme ilustrado na Figura 6.9. Para tanto, foram utili-
zadas tcnicas de criatividade (como brainstorm e brainwriting) e listas de modos de falhas de
Used At: Author: Date: 9/30/2007 x Working READER DATE Context:
ELETROSUL Project: MITISF6 Rev: Draft
Recommended TOP
Notes: 1 2 3 4 5 6 7 8 9 10 Time: 17:08:09 Publication
C1 C3 C2
Procedimentos / normas / leis Tempo de uso do equipamento
SF6 / N2 / leo e outros insumos SF6 / N2 / leo e resduos para o meio

I3 Gerenciar O2
insumos Insumos disponveis
A1
Fazer manuteno
Sobressalentes de equipamentos Equipamento to bom como novo
I2 O1
isolados a SF6
Equipamento
I1 A2
Fazer manuteno
de equipamentos
isolados a leo
A3
Fazer manuteno
de equipamentos
isolados a ar
A4
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional
Fazer manuteno
de equipamentos
isolados a vcuo
A5

RH
Sistema de informao Oficina
M4 M2 M3 M1
Node: Title: A0: Fazer manuteno dos equipamentos e linhas da ELETROSUL (DMS) Number: Pg 2
Figura 6.8: Diagrama A0 da IDEF0 dos processos relacionados manipulao do SF6

149
outras FMEAs, utilizadas como referncia.
A anlise dos modos de falha foi feita, ento, utilizando a estrutura CNEA/FMEA, con-
forme descrito na Seo 5.3.1.2 e ilustrado na Figura 6.10 e Quadro 6.3.
Para dar suporte elaborao da FMEA dos processos, foi utilizada a ferramenta compu-
tacional OpenFMECA. A Figura 6.9 mostra uma imagem da tela do software OpenFMECA,
verso Alpha 1, que foi a utilizada no projeto. O Apndice A traz uma descrio mais detalhada
do software. interessante destacar que o software est sendo restruturado e estar brevemente
disponibilizado no stio SorceForge 8 , como verso Alpha.
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
[-][ST]DMS Home
[-][SS]A1: Gerenciar insumos Opes
[-][SS]A11: Gerenciar consumo de SF6 Novo Modo de Falha
[+][SS]A111: Dimensionar e verificar estoque de SF6 Editar
[+][SS]A112: Avaliar necessidade de compra Deletar
[+][SS]A113: Comprar SF6 Relatrios
[+][SS]A114: Recebimento de SF6 Relatrio STD
[+][SS]A115: Tratar, avaliar, consolidar e estocar SF6 tratado Relatrio Descrio
[-][SS]A2: Fazer manuteno de equipamentos isolados a SF6 Cadastros
[-][SS]A21: Fazer manuteno de disjuntores isolados a SF6 Efeitos
[-][SS]A211: Comissionar disjuntor Controles Atuais
[+][MF]Disjuntor aceito com SF6 inadequado Plano de Aes
[-][MF]Perda de gs durante o enchimento
[-] Efeitos:
[-][EF]Perda de SF6 para a atmosfera
[-][EF]Inalao de subprodutos txicos
[-][EF]Comprometimento sade de colaboradores
[-] Causas:
[+][CA]Purga na linha de SF6
[+][CA]Linha de gs em mau estado de conservao
[+][CA]Impacto na vlvula
[+][CA]Falta de procedimentos padronizados
[+][CA]Corpo tcnico sem capacitao para executar a operao
[+][MF]Disjuntor aceito com problemas de estanqueidade
A211: Comissionar disjuntor Siglas:
[ST] Sistema
O processo de comissionamento consiste em uma srie de testes para avaliar a condio do equipamento [SS] Subsistema
na primeira instalao do disjuntor. Normalmente o comissionamento feito pelo fabricante do disjuntor com [MF] Modo de falha
superviso da ELETROSUL, no entanto, pode-se contratar uma terceira empresa para faz-lo. O fornecedor [EF] Efeito
[CA] Causa
do disjuntor faz a carga inicial de SF6 e eventualmente existe um excedente de gs. Estes cilindros, quando [CT] Controle atual
cheios, so adicionados ao estoque (tem entrada no sistema de informao) e, quando j utilizado parte do [PA] Plano de ao
SF6, permanecem na subestao em que foi instalado o disjuntor.
Figura 6.9: Imagem da tela do software OpenFMECA, verso Alpha 0.1
Esta ferramenta permite representar, na forma de rvore, a estrutura hierrquica das funes
do diagrama IDEF0 e, ento, desenvolver uma FMECA para as funes relacionadas ao gs SF6 .
O OpenFMECA tambm permite que se inclua uma descrio mais detalhada de cada elemento
da FMECA / CNEA, melhorando a representao do modelo e a gesto do conhecimento.
De fato, a anlise foi feita utilizando os diagramas CNEA e, posteriormente, os elementos

do diagrama foram passados para o OpenFMECA que, por sua vez, permite exportar relatrios
na forma das tradicionais tabelas FMEA.
O diagrama na Figura 6.10 ilustra uma CNEA, no caso a do segundo modo de falha poten-
8 <http://sourceforge.net/>
cial identificado para a funo perda de SF6 durante o enchimento, ndulo A212 do diagrama
IDEF0, e o Quadro 6.3 apresenta a tabela FMEA para este diagrama.
Procedimentos
documentados
para a operao
de enchimento
Cuidados quanto fonte de
Falta de calor prximo ao recebimento
procedimento (ex. cigarro)
padronizado
Processo para
enchimento de
SF6 inadequado
Corpo tcnico Inalao de Comprometimento
sem capacitao subprodutos sade dos
para executar txicos colaboradores
a operao
Capacitao do
corpo tcnico [A211]-MF2
Impacto na
vlvula Perda de SF6
Vazamento na durante o
vlvula ou nas
enchimento
conexes
Linha de gs
em mau estado Perda de SF6
de conservao Fazer vcuo na para atmosfera
Verificao da linha de SF6
condio da vlvula e
conexes
Purga na linha
de SF6
Figura 6.10: CNEA do modo de falha Perda de SF6 durante o enchimento, em [A211]
Fonte: adaptado de MT-PR-RT-NE-03 FMEA dos processos de manipulao de SF6 na Eletrosul
(UFSC/NEDIP, 2008l, p. 57)
Uma vez modelados os potenciais riscos, podem-se levantar possveis barreiras, a fim de
reduzir o risco ou mitigar suas consequncias. Essas barreiras foram diagramadas nas CNEAs e
detalhadas no campo das aes nas FMEAs vide Figura 6.10 e Quadro 6.3. Essas barreiras
foram, ento, analisadas, para verificar se elas no introduziriam novos riscos ou potencializa-
riam existentes, e posteriormente classificadas.
Destaca-se que todas estas anlises foram submetidas a especialistas da empresa em reu-
nies e visitas tcnicas para serem validadas.
Note-se que se optou por no fazer a anlise de criticidade dos cenrios. Assim, foram
levantadas possveis barreiras para todas as correntes causais. A seleo de quais barreiras
sero implementadas e a priorizao delas fica a critrio da empresa, que far esta anlise pos-
teriormente. Desta forma, no foi realizada a avaliao custo-risco-benefcio para justificar as
barreiras.
Tambm no foi avaliada a possibilidade de contratao de seguro, estratgia j considerada

pela empresa.
Quadro 6.3: FMEA do modo de falha potencial Perda de SF6 durante o enchimento, em
[A211]
Modo de
Efeitos Causas Controles atuais Aes propostas
falha
- Capacitao do corpo tcnico
Falta de Procedimentos
- Cuidados quanto a fonte de
procedimento documentados para a
calor prximo ao recebimento
padronizado operao de enchimento
(ex. cigarro)
Corpo tcnico sem - Capacitao do corpo tcnico
Procedimentos
capacitao para - Cuidados quanto a fonte de
documentados para a
executar a calor prximo ao recebimento
operao de enchimento
- Perda de SF6 operao (ex. cigarro)
para atmosfera - Verificao da condio da
Perda de gs - Inalao de vlvula e conexes
durante o subprodutos txicos Impacto na vlvula - Cuidados quanto a fonte de
enchimento - Comprometimento calor prximo ao recebimento
sade dos (ex. cigarro)
colaboradores - Verificao da condio da
Linha de gs em vlvula e conexes
mau estado de - Cuidados quanto fonte de
conservao calor prximo ao recebimento
(ex. cigarro)
- Cuidados quanto fonte de
Purga na linha de Fazer vcuo na linha de
calor prximo ao recebimento
SF6 SF6
(ex. cigarro)
Fonte: adaptado de MT-PR-RT-NE-03 FMEA dos processos de manipulao de SF6 na Eletrosul
(UFSC/NEDIP, 2008l, p. 49 e 50)
No projeto MitiSF6, optou-se por transpor as barreiras identificadas em recomendaes.

Estas recomendaes, por sua vez, subsidiaro o delineamento das aes necessrias para im-
plementao das barreiras e a elaborao dos planos preliminares, conforme ilustrado na Fi-
gura 6.11. Em alguns casos, essas recomendaes foram detalhadas, como na sugesto de
procedimento para controle do uso e solicitao de SF6 ilustrada na Figura 6.12 que pode
fazer parte dos planos preliminares, caso a empresa a acate.
De forma geral, as recomendaes para a empresa podem ser divididas em trs linhas:
referentes poltica de atualizao da estrutura de manipulao do gs;

referentes poltica de atualizao dos procedimentos; e
referentes poltica de capacitao.
Tambm foram elencadas algumas recomendaes de responsabilidade da ANEEL (Agn-

cia Nacional de Energia Eltrica):
referentes poltica regulatria.

Tcnicas & ferramentas Mapa de processos

Fluxogramas
Visitas tcnicas:
Nacionais
Internacional
Fase do delineamento preliminar
Lista de
recomendaes Sugestes para os processos e estrutura mnima
Sadas
Figura 6.11: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento preliminar
do projeto MITISF6
No que diz respeito ao plano de aes preliminar, este poder ser elaborado com base nas
recomendaes referentes estrutura mnima sugerida, i.e., equipamentos, instalaes, etc.,
que se considerou necessrio para dar suporte aos processos relativos manipulao do SF6
conforme apresentado no documento MT-PR-RT-NE-04 (UFSC/NEDIP, 2008m).
Assim, foi delineada uma estrutura desejvel para a regional de manuteno, os setores de
manuteno e a central da diviso de manuteno, no sentido de se dispor dos recursos mnimos
e suficientes para a adequada gesto do gs, a fim de garantir o tratamento e consolidao de
cilindros 9 , a deteco de vazamento e de pureza do gs, a disponibilidade de SF6 , a disponibi-
lidade dos dispositivos necessrios para executar as operaes, etc. Tambm foram elaboradas
recomendaes para as especificaes tcnicas de compra de equipamentos e insumos. Como
resultado da implementao destas recomendaes, espera-se que a empresa obtenha, alm da
9 Consolidao o processo em que se completa um cilindro com o gs existente em outros.
reduo da perda de SF6 , uma melhor gesto dos recursos existentes como a reduo do n-
mero de cilindros de armazenagem do gs, reduo de gastos com transporte de equipamentos
e insumos, etc.
As recomendaes referentes aos planos de aceitao e comunicao esto apresentadas

principalmente no documento MT-PR-RT-NE-05 (UFSC/NEDIP, 2008n). Este documento apre-
senta as recomendaes quanto forma de executar os processos relativos manipulao do
SF6 . Assim, nele foram consideradas desde as alteraes referentes operao normal (perti-
nentes ao plano de monitoramento & controle) at as recomendaes para o caso de um inci-
dente (no caso: os modos de falha trabalhados na estrutura FMECA / CNEA).
importante ressaltar que a perda de SF6 , muitas vezes, intrnseca do processo. Por
exemplo: para se fazer a desmontagem do disjuntor, feita, primeiramente, a retirada do gs;
no entanto, existe uma presso residual que inevitavelmente ser emitida.
O documento, ento, traz recomendaes para segurana; para tratar, avaliar, consolidar e
estocar SF6 tratado; para retirada e transporte dos disjuntores; para manuteno dos disjuntores;
para instalao dos disjuntores; para enchimento e complementao de presso dos disjuntores;
para avaliao da condio em campo dos disjuntores; e para controle do uso e solicitao de
SF6 , tais como:
controle do uso dos cilindros de SF6 ;

manuteno dos equipamentos de manipulao de SF6 ;
solicitao de SF6 pelo setor de manuteno;
solicitao de SF6 pela regional de manuteno;
avaliao da necessidade de compra de SF6 ;
aquisio de SF6 de fornecedor;
solicitao e envio de SF6 tratado;
recebimento de SF6 no almoxarifado da regional ou nos setores de manuteno;
estocagem dos cilindros de SF6 ; e
utilizao dos cilindros da reserva de contingncia.
Note-se que as anlises contemplaram no apenas as falhas referentes perda de SF6 para
a atmosfera, mas tambm as questes relacionadas operao da empresa e sade dos cola-
boradores. Por exemplo, a Figura 6.9 apresenta modos de falha, como estoque mnimo mal
dimensionado o que influenciar na disponibilidade de SF6 e, por consequncia, poder atra-
sar a manuteno de disjuntores.
interessante destacar que os planos preliminares no foram elaborados, mas as recomen-

daes muitas vezes traziam uma sugesto de como se deveria operar, que escopo dos planos
de aceitao preliminar a Figura 6.12 ilustra um fluxograma do processo de solicitao de
SF6 .
Setor de manuteno utiliza

cilindro de trabalho
Cilindro de no
trabalho
vazio?
sim
Setor de manuteno solicita um

cilindro novo para o almoxarifado da
regional
Cilindro no
disponvel no Figura 2
almoxarifado?
sim
Regional envia o cilindro Regional solicita

(reserva contingencial) e cilindro para DEEL
recolhe o cilindro vazio no
setor de manuteno
SF6 tratado no
disponvel na
Setor de manuteno DEEL?
recebe o cilindro novo e o DEEL solicita compra de gs
armazena na condio de sim ao setor de suprimentos
cilindro reserva
Envio de cilindro de SF6
tratado para o almoxarifado Setor de suprimentos compra
da regional cilindro para almoxarifado da
regional
Regional recebe o cilindro

novo e o armazena na
condio de reserva de
contingncia
Figura 6.12: Fluxograma para controle do uso e solicitao de SF6 parte 1

Fonte: MT-PR-RT-NE-05 Recomendaes para os processos relativos manipulao do SF6
(UFSC/NEDIP, 2008n, p. 4)
De fato, houve um procedimento que chegou a ser detalhado: o procedimento de operao

de uma mquina de tratamento de SF6 documento MT-PR-RT-NE-02 (UFSC/NEDIP, 2008k) ,

o que seria feito apenas na fase do delineamento detalhado.
Quanto ao monitoramento & controle, tambm foi feito um estudo para propor ndices que
possibilitassem avaliar a quantidade de SF6 consumida pela empresa e identificar as reas com
maior potencial para reduo vide documento MT-GE-RT-NE-04 (UFSC/NEDIP, 2008g).
Adicionalmente, foram feitas recomendaes para alterar a base de dados de manuteno

dos disjuntores, apresentadas no documento MT-GE-RT-NE-05 (UFSC/NEDIP, 2008h). Estas
alteraes possibilitaro cruzar as informaes obtidas na base de dados com as obtidas no
acompanhamento do uso do gs alm de fornecer, para o setor de manuteno, informaes
mais direcionadas s questes do gs.
Por exemplo, pode-se obter da base de dados a massa de gs introduzida em um disjuntor

(em funo do modelo, da presso antes e depois do enchimento e da temperatura ambiente).
Das fichas de acompanhamento do uso do gs, ilustrada na Figura 6.13, pode-se obter a massa
de gs utilizada nesta operao e, com isso, avaliar a eficincia do processo quanto ao consumo
de SF6 .
SF6 novo ou tratado

Data do prximo teste hidrosttico: Out/2012
Nmero de srie do cilindro: 053678 Tara: 66,1kg
Qualidade do SF6 SF
SF66
Novo Tratado
Massa Equipamentos
Data Responsvel Operao que consumiu SF6
restante relacionados
Complementao em operao
05/03/08 50,0kg Fornecedor - Complementao aps manuteno
Outro: Aquisio do cilindro
Colaborador
Colaborador
10/05/08 46,8kg X
DJ0000000
DJ8600003 Complementao aps manuteno
XYZ Outro:
Complementao aps manuteno
Outro:
Outro:
Outro:
Outro:
Figura 6.13: Sugesto de etiqueta de identificao dos cilindros de SF6
Fonte: adaptado de UFSC/NeDIP (2008n, p. 7)
No que se refere capacitao do corpo tcnico, foi evidenciado que ela uma das respon-
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico 157
sveis pelo sucesso de um programa de mitigao de perda de SF6 . Assim, a todo procedimento
novo ou alterao nos j existentes destacou-se a recapacitao dos colaboradores envolvi-
dos.
Por fim, foram feitas algumas recomendaes referentes poltica regulatria, para que o
Brasil a exemplo da Europa controle o uso do gs SF6 .
A curto prazo, foram destacadas as seguintes recomendaes:
solicitar aos fornecedores de SF6 , que reportem anualmente a quantidade de SF6 a ser
adquirida e a quantidade vendida para cada empresa;
solicitar que todas as empresas do setor eltrico reportem, anualmente, a quantidade de
SF6 comprada (para confrontar com a informao do item anterior), vendida e perdida; e
solicitar que as empresas do setor eltrico avaliem a quantidade de SF6 contida em seus
equipamentos.
solicitar que a ANEEL estabelea uma medida de emisso de gs para o Brasil, para servir
como padro para as empresas do setor eltrico;
solicitar que a ANEEL sugira Secretaria de Meio ambiente que seja feito um acompa-
nhamento do consumo de SF6 , semelhante ao que feito no setor eltrico, para se dispor
de uma medida de consumo de SF6 para o pas.
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico
A aplicao no nvel do sistema tcnico, na Eletrosul, aconteceu em paralelo da unidade

organizacional e seguiu a gesto do projeto MitiSF6 apresentada na Seo 6.1.2.
Da mesa forma que na aplicao no DMS, a aplicao no sistema tcnico tambm contem-
plou as fases do delineamento informacional, conceitual e o incio do preliminar ilustrado na
Figura 6.14.
Existem inmeros equipamentos de transmisso e distribuio de energia eltrica que utili-

zam SF6 como dieltricos. No caso da Eletrosul, seu parque inclui disjuntores de tanque vivo e
uma subestao blindada (GIS gas insulated substation). No entanto, estes equipamentos no
so totalmente estanques e, ao longo de sua operao, perdem gs para a atmosfera.
Normalmente esta perda muito pequena e no afeta o desempenho do equipamento, mas,

Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Figura 6.14: Fases da metodologia abordadas na aplicao no nvel do sistema tcnico, na

Eletrosul
em alguns casos, esta reduo de presso pode alcanar valores significativos as causas para
isto foram exploradas no projeto MitiSF6. A fabricante de disjuntor ABB, por exemplo, consi-
dera que a perda de SF6 , em seus novos disjuntores de tanque vivo, no supera a marca de 0,5%
da massa de gs por ano (ABB, 2008).
Para evitar que o disjuntor fique disponvel para operao com baixa presso de SF6 , exis-
tem dois nveis de alarme: um de advertncia e outro que abre o disjuntor em trip.
O disjuntor Merlin Gerin, modelo FA4, por exemplo, trabalha com 6,0bar de presso no-
minal (na temperatura de referncia de 20 C) e tem alarme de advertncia com 5,2bar e de trip
com 5,0bar, sendo que a expectativa que se perca anualmente menos de 1% da massa de SF6
(ELETROSUL, 2006).
Alm da perda de SF6 , tambm existe o problema da entrada de contaminantes. A conta-

minao do SF6 por baixos percentuais de ar no chega a afetar o desempenho do equipamento,
no entanto, quando associado umidade mesmo em baixos percentuais , na presena de
arco voltaico, so gerados subprodutos que comprometem a capacidade dieltrica (RODRIGUES
FILHO; BARZ, 2005). Outra questo a produo de cido que ataca as vedaes, o que gera um
ciclo vicioso.
interessante observar que a entrada de contaminantes pode ocorrer no apenas na opera-

o do equipamento, mas tambm quando este sofrer manuteno. Isto pode ocorrer no apenas
pela introduo de ar e umidade durante o enchimento de SF6 , mas tambm pela exposio dos
componentes do equipamento atmosfera por adsoro, por exemplo.
Por fim, destaca-se que o SF6 um gs atxico, no entanto, durante a operao do disjuntor,
podem ser gerados subprodutos txicos na forma de p. Assim, a reduo da contaminao
do gs ir reduzir a produo destes subprodutos e, por consequncia, reduzir a chance de dano

sade dos colaboradores em contato com o equipamento (e ao meio ambiente).
A seguir, apresenta-se a aplicao das fases do delineamento informacional, conceitual e

preliminar no mbito do sistema tcnico, no caso um disjuntor.
Os sistemas tcnicos de interesse neste projeto so os que utilizam SF6 como dieltrico. As-
sim, foi feita a caracterizao das instalaes da empresa, buscando identificar estes equipamen-
tos o relatrio deste estudo est apresentado no documento MT-DJ-RT-NE-01 (UFSC/NEDIP,
2008b).
Destes sistemas, optou-se por estudar, primeiramente, os disjuntores e como caso piloto
optou-se pelo disjuntor Merlin Gerin FA4. Os seguintes critrios foram utilizados para a seleo
do modelo de disjuntor para estudo piloto (UFSC/NEDIP, 2008b):
1. Modelo e/ou fabricante com a maior massa de SF6 e cujo disjuntor est
em operao.
2. Modelo e/ou fabricante no nvel de tenso de maior concentrao de dis-
juntores.
3. Modelo e/ou fabricante mais antigo no sistema da Eletrosul.
4. Modelo e/ou fabricante com menor ndice de Eficincia de Extino com
relao tenso de isolao e massa de SF6 necessria (IEEMassa)10 .
5. Modelo e/ou fabricante com menor ndice de Eficincia de Extino cal-
culado a partir da potncia manobrada pelo disjuntor e densidade de SF6
(IEEDensidade).
6. Modelo e/ou fabricante com estudo consolidado na literatura nacional
e/ou internacional.
7. Modelo e/ou fabricante utilizado em outras concessionrias.
8. Modelo e/ou fabricante com maior potncia manobrada pelo disjuntor.
9. Modelo e/ou fabricante com posio operacional estratgica dentro do
sistema Eletrosul.
10. Modelo e/ou fabricante com maior dificuldade de manuteno em funo
de sua localizao em campo.
11. Modelo e/ou fabricante que tenha manuteno programada dentro do
tempo do projeto.
10 IEEMassa e IEEDensidade so ndices elaborados ao longo do projeto MitiSF6 com a inteno de avaliar a
tecnologia dos disjuntores. Equipamentos com maior ndice precisam de menor massa de SF6 para operar uma
mesma potncia nominal de manobra.
interessante destacar que o projeto MitiSF6 no tinha como objetivo fazer alteraes de
projeto nos equipamentos, mas estudar os possveis cenrios associados perda de SF6 para a
atmosfera.
Assim, foi definida como funo do disjuntor conter SF6 . Neste caso, as restries so as
normas e regulamentos no que se refere perda de gs nos equipamentos. Os recursos crticos,
por sua vez, esto relacionados a integridade dos invlucros e das vedaes. Com base nestes
pontos, fez-se a anlise funcional de produto e puderam-se estipular os objetivos de perda de
SF6 na operao do equipamento.
Foi feita, ento, a anlise funcional do disjuntor Merlin Gerin FA4, ilustrado na Figura 6.15,
que est apresentada no documento MT-DJ-RT-NE-03 (UFSC/NEDIP, 2008c).
Figura 6.15: Fotografia de disjuntores Merlin Gerin FA4 (550kV)

Fonte: UFSC/NeDIP (2008c, p. 3)
A Figura 6.16 um desenho esquemtico de um mdulo do disjuntor. Cada uma das 3

fases composta por 2 mdulos, portanto, totalizando 6 mdulos por disjuntor, como pode ser
observado na Figura 6.15.
Observe-se que a cmara de extino, o crter, o resistor de pr-insero e coluna de iso-

ladores de porcelana itens 1, 3, 4 e 7, respectivamente so preenchidos com SF6 . No caso
Legenda:
1 Cmara de extino
2 Capacitor equalizador de potencial
3 Crter
4 Resistor de pr-insero
6 Conexo eltrica (Cmara-
resistor)
7 Coluna suporte (isoladores de
porcelana)
8 Haste isolante
11 Cilindro hidrulico principal
12 Acumulador de energia
13 Rel hidrulico
15 Tanque de expanso (baixa
presso)
16 Manostato de gs
18 Chassis galvanizado (estrutura)
19 Conexo eltrica entre cmaras
20 Plugue do dreno do crter
24 Caixa de molas
25 Parafusos e porcas do acoplador
do manostato
26 Tampo do manostato
Figura 6.16: Mdulo de um disjuntor FA4

do disjuntor Merlin Gerin FA4, estes subsistemas esto interligados exceto o crter, que fica
isolado.
Aps o desdobramento do disjuntor em subsistemas, foi feita uma anlise em cada um dos
componentes constituintes de cada subsistema, ilustrada no Quadro 6.4 (UFSC/NEDIP, 2008c).
Tambm foram identificadas todas as vedaes do equipamento, apresentando a localizao

no desenho, o detalhamento da funo, o nmero de peas por disjuntor, as caractersticas
construtivas, o material, as dimenses e o fluido que esta vedao isola.
A anlise funcional, ento, serviu de base para a FMEA do disjuntor, que teve como modo
de falha estudado no conter SF6 .
Quadro 6.4: Anlise funcional da placa de fechamento
ITEM 5 Placas de fechamento
Funo:
Vedar o SF6.
Impedir a entrada de umidade.
Alojar os anis de vedao (O-rings)
Assim como na FMEA dos processos, a anlise dos modos de falha foi feita utilizando a
estrutura CNEA/FMEA, apresentada no documento MT-DJ-RT-NE-04 (UFSC/NEDIP, 2008a), e
tambm foi utilizado a ferramenta computacional OpenFMECA.
Tambm foram feitas anlises por rvore de falha (FTA) de algumas causas, que se mos-
traram mais relevantes. A Figura 6.17 ilustra uma das FTAs elaboradas, no caso, para a causa
Anel de vedao com deformao permanente.
Uma vez modelados os potenciais cenrios, puderam-se levantar possveis barreiras, a fim
de reduzir o risco ou mitigar suas consequncias. Essas barreiras foram diagramadas nas
CNEAs e detalhadas no campo das aes nas FMEAs.
Note-se que, da mesma forma que se procedeu nas FMEAs dos processos, todas as anlises
eram submetidas a especialistas da empresa para serem validadas.
Na anlise dos disjuntores, tambm se optou por no fazer a anlise de criticidade dos ce-
nrios, e foram identificadas as possveis barreiras para todas as correntes causais para, pos-
teriormente, a empresa decidir sobre quais devem ser implementadas (fazendo uma avaliao
custo-risco-benefcio) e qual a prioridade de cada uma delas.
Assim como na unidade organizacional, optou-se por transpor as possveis barreiras identi-
ficadas na FMEA/CNEA/FTA do disjuntor em recomendaes e deixar a deciso de sua imple-
mentao e priorizao para uma anlise posterior, a ser realizada pela Eletrosul.
As recomendaes referentes ao disjuntor esto apresentadas no documento MT-DJ-RT-

NE-05 (UFSC/NEDIP, 2008d). Elas abordam basicamente as questes relacionadas manuteno
e compra de novos disjuntores. Questes construtivas, que seriam tratadas em um reprojeto
do equipamento, ficaram fora do escopo do projeto MitiSF6. No entanto, nas recomendaes
para aquisio de novos equipamentos, foram consideradas caractersticas construtivas, como

o tipo de conexo da linha de SF6 . Tambm foi enfatizada a importncia de se ter um ponto
de enchimento do gs ao alcance do operador (sem a necessidade de subir at o painel). Em
alguns modelos de disjuntor, o ponto de enchimento fica elevado, diminuindo a distncia do
operador para a linha viva, quando do enchimento portanto, aumentando a periculosidade da
operao. A Eletrosul j vinha fazendo esta modificao de projeto, e a anlise de risco destacou
a relevncia desta ao.
Quanto manuteno, destacaram-se, principalmente, as questes relacionadas s vedaes

e a poltica de manuteno dos equipamentos.
Anel de vedao
com deformao
permanente
Presso Temperatura Material

Presso
Material
excessiva no anel
Temperatura inadequado
de vedao
do O-ring
excessiva
Alojamento O-ring Jogo diametral Elasticidade Compatibilidade

Alojamento com Anel de vedao
dimenses com dimenses Material
Jogo diametral Material com
inadequadas inadequadas incompatvel
(folga entre as capacidade
com o fluido ou
peas) abaixo do elstica
outros materiais
especificado insuficiente
em contato
Aloj_estreito Aloj_raso Aloj_ext O-ring_W O-ring_Di
O-ring com
Alojamento
seo O-ring com
Alojamento Alojamento muito extenso -
transversal dimetro interno
muito estreito muito raso alongamento
muito muito pequeno
excessivo
grande
Figura 6.17: Diagrama FTA da falha Anel de vedao com deformao permanente
Fonte: UFSC/NeDIP (2008a)
Os disjuntores so equipamentos estticos, o que contribui para se ter vedao por um

longo perodo. Desta forma, a utilizao de O-rings adequados pode estender o perodo entre
manuteno.
A reduo das atividades de manuteno peridica, por sua vez, diminuir a possibilidade
de contaminao do gs e, por consequncia, reduzir sua emisso para a atmosfera. No entanto,
necessrio monitorar a condio do equipamento para garantir que ele se mantm em condio
6.3 Aplicao na Celesc, no mbito da unidade organizacional 164
de operao, i.e., disponvel.
interessante destacar que muitas das recomendaes identificadas na anlise do sistema

tcnico interferem nos processos de manipulao do SF6 . De forma anloga, as recomendaes
para a unidade organizacional tambm podem interferir na operao do disjuntor.
6.3 Aplicao na Celesc, no mbito da unidade organizacio-

nal
A aplicao na Celesc ocorreu em 2005, quando a metodologia ainda estava sendo elabo-
rada. Assim, ela se deu no formato de uma pesquisa-ao11 , na qual se delineiam hipteses
previamente selecionadas como possveis solues do problema de pesquisa e, com a aplica-
o, pode-se analisar as informaes no sentido de aceitar ou rejeitar a hiptese (RICHARDSON;
PERES, 1989).
A estrutura da pesquisa seguiu a norma ABNT ISO/IEC Guia 73, que inclui, na gesto de
risco, a anlise / avaliao, tratamento, aceitao e comunicao conforme apresentado em
Dias et al. (2006) , e um resultado desta pesquisa foi a orientao da estrutura da metodologia
apresentada nesta tese.
Nesta seo, apresenta-se esta aplicao estruturada, conforme o disposto no Captulo 5,

que traz a metodologia desenvolvida.
interessante destacar que a aplicao da metodologia foi feita at a etapa de implementa-

o. No entanto, a equipe da UFSC participou at o detalhamento dos planos, sendo a imple-
mentao realizada pela equipe da empresa. Desta forma, a implementao ser omitida desta
seo, e em contrapartida sero exploradas as fases do delineamento preliminar e detalhado,
conforme Figura 6.18, que no foram abordadas na aplicao no DMS da Eletrosul.
A Celesc (Centrais Eltricas de Santa Catarina S.A.) a empresa distribuidora de energia

eltrica no estado de Santa Catarina. Ela est estruturada em 16 agncias regionais dispostas
no estado, sendo que cada uma dessas regionais conta com um COD (centros de operao de
distribuio de servios), equipes de emergncia e equipes de manuteno pesada alm de
equipes comerciais, de apoio, dentre outras.
11 Para um melhor entendimento da teoria de pesquisa-ao, recomenda-se a leitura de (THIOLLENT, 1996).
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Figura 6.18: Fases da metodologia abordadas na aplicao na Celesc
Os CODs so responsveis pela coordenao das equipes de manuteno de emergncia,

fazendo o direcionamento das aes das equipes e orientando as aes de manuteno para
restabelecer o fornecimento de energia eltrica com base, principalmente, nas informaes
provenientes do sistema de superviso e controle (SDSC) e do call center.
O call center centralizado e est instalado em Florianpolis. Ele responsvel por aten-
der s chamadas comerciais e emergenciais de todo o estado, sendo que as emergenciais tm
prioridade de atendimento.
Durante a operao normal, o COD tem um nmero de interrupes baixo e, por con-
sequncia, de aes de manuteno na rede. No entanto, na ocorrncia de uma tempestade
severa (como tempestades de vero, ciclones extratropicais, furaces, etc.) a demanda aumenta
muito, o que dificulta a operao dos centros. Isto se deve no apenas por ter ocorrido um
nmero maior de interrupes, mas tambm pelo fato de muitas dessas reclamaes serem re-
sultado de um mesmo incidente (a perda de um alimentador, por exemplo), o que dificulta o
gerenciamento das ocorrncias. Nestas condies de trabalho, a segurana pode ser comprome-
tida pela demanda excessiva de trabalho e, eventualmente, pela falha de algum sistema tcnico
como o de comunicao entre o despachante e as equipes de manuteno, por exemplo.
Na ocorrncia do furaco Catarina quando 20 municpios decretaram estado de emergn-

cia ou calamidade, sendo 9 na rea de concesso da Celesc ficou evidenciada a necessidade
de se montar uma estrutura diferenciada para operar nessas condies (DIAS et al., 2006).
interessante destacar que a resoluo ANEEL N 024, art. 22, I, considera que as [...]
interrupes associadas situao de emergncia ou de calamidade pblica decretada por rgo
competente sero desconsideradas para efeito de compensao [...] (ANEEL, 1994, p. 18),
portanto isentas de penalidades no que se refere violao das metas estabelecidas pela agncia.
No entanto, eventos desta proporo podem acarretar interrupes muito prolongadas, o que
pode ser danoso para a sociedade. Assim, a fim de minimizar o perodo de restabelecimento
do sistema, optou-se por priorizar os estudos referentes s interrupes resultantes das aes de
tempestades severas nos CODs apresentados nesta seo , para, no futuro, implementar um
sistema de gesto de risco mais amplo, considerando outros incidentes.
Assim, este projeto focou na elaborao dos planos de aceitao para atuar na ocorrncia
de uma tempestade severa, no mbito do COD apesar de muitas medidas adotadas terem
extrapolado para outras unidades organizacionais.
Para tanto, foi institudo um grupo de trabalho formado por colaboradores da Celesc e
pesquisadores do NeDIP/EMC/UFSC. interessante destacar que este grupo foi definido em
uma resoluo interna e, portanto, tinha o apoio da alta gerncia.
Este grupo foi responsvel pelo planejamento e delineamento do programa, sendo que a
implementao foi realizada sem a colaborao da equipe do NeDIP.
No que se refere ao delineamento, destaca-se neste projeto o delineamento detalhado

dos planos. As fases do delineamento informacional, conceitual e preliminar foram executadas
na perspectiva de identificar medidas que permitissem ao COD operar com mais eficincia e
robustez.
Na tica da Celesc (organizao), o incidente analisado a interrupo no fornecimento

de energia eltrica ocasionado pela ocorrncia de uma tempestade severa (evento gatilho), no
qual a ao do COD uma barreira para mitigar as consequncias neste caso, o perodo sem
energia. Note-se que a possibilidade de ocorrer uma interrupo potencializada pela incidncia
da tempestade severa, mas uma caracterstica da operao de distribuio de energia. Assim,
apesar de ser possvel tratar este risco, ele inerente ao negcio.
Para o COD (unidade organizacional), por sua vez, a continuidade operacional se refere
manuteno de suas funes crticas como a comunicao com as equipes de manuteno, a
identificao de problemas na rede, etc.
Assim, a continuidade operacional do COD, considerando os requisitos de segurana, con-

tribui para a continuidade do negcio da Celesc, neste caso atuando na mitigao dos efeitos
decorrentes de uma interrupo, restabelecendo o fornecimento de energia no menor tempo
possvel.
Neste projeto, o foco foi na segurana e na continuidade operacional dos CODs; no en-
tanto, ao longo das anlises, evidenciaram-se algumas aes para reduzir o risco de interrupo
no fornecimento de energia. Por exemplo, destacou-se a necessidade de uma restruturao no
programa de execuo de podas existente na empresa que j tinha identificado que a pre-
sena de vegetao junto rede de distribuio era uma causa de interrupo passvel de ser
controlada.
6.3.2.1 Fases do delineamento informacional e conceitual
Conforme j mencionado, a apresentao deste estudo de caso concentra-se nas fases do

delineamento preliminar e detalhado. No entanto, alguns pontos das fases informacional e
conceitual sero destacados.
No que se refere anlise funcional, esta foi feita, primeiramente, utilizando mapas de
processo, que so mais intuitivos e possibilitam uma interao com os especialistas e, posteri-
ormente, estes processos foram detalhados utilizando a tcnica IDEF0, conforme ilustrado no
Quadro 6.5.
Quadro 6.5: Estrutura dos IDEF0 feitos para o call center e o COD
Call Center
A0: Call Center Atender usurio
A1: Gerenciar Chamada
A11: Receber chamada
A12: Identificar chamadas via URA (unidade de resposta audvel)
A13: Verificar se o telefone cadastrado
A14: Passar informaes eletronicamente
A15: Encaminhar chamada
A2: Identificar cunho da chamada
A3: Atender chamada comercial
A4: Atender chamada de emergncia
A41: Passar informaes para usurio
A42: Preencher ou complementar NR
A43: Passar nmero do protocolo
A44: Encaminhar solicitao para o COD
COD
A0: Despachar servio para atender NR
A1: Priorizar NR
A2: Despachar atendimento
A3: Localizar ocorrncia
A4: Avaliar ocorrncia
A5: Executar ocorrncia
A6: Executar servio
Destaca-se, ainda, que devido grande interao do COD com o call center, tambm foi
feito o mapeamento funcional desta unidade organizacional (vide Quadro 6.5).
Quanto anlise dos riscos, foi utilizada, principalmente, a tcnica de diagramao causa e
efeito no caso diagrama Ishikawa. Assim, foram levantados os possveis riscos que poderiam
afetar um despacho eficiente.
Com base nesta anlise, foi possvel levantar as possveis barreiras para garantir a continui-
dade operacional do COD e a segurana do meio em que est inserida, de seus colaboradores (e
outras pessoas afetadas pela sua operao) e dos sistemas tcnicos que possam ser afetados.
Em relao avaliao das barreiras, optou-se por adotar todas as identificadas e, ento,
planejar as implementaes delas de acordo com a possibilidade do oramento da diretoria.
interessante destacar que o projeto se concentrou nas questes relacionadas com a continuidade
operacional do COD diante de uma tempestade severa j que, no futuro, prev-se a aplicao
do sistema de gerenciamento de risco mais amplo.
6.3.2.2 Fases do delineamento preliminar
Na fase preliminar que se viabiliza a implementao das barreiras o que requer um

razovel esforo dos participantes. Por exemplo, a comunicao com o despachante funda-
mental para garantir a segurana das equipes de manuteno, alm de possibilitar uma ao mais
rpida e efetiva. Uma barreira para o risco de perda de comunicao, no caso de o sistema via
rdio falhar, pode ser o uso de telefone celular. No entanto, como viabilizar esta comunicao
por celular? A empresa deve ter celulares para serem utilizados nesta condio ou sero usados
os celulares dos colaboradores? Neste ltimo caso, como isto poderia ser feito considerando as
questes legais?
Um outro exemplo est na mobilizao de equipes de outras regionais. A fim de aumentar

o nmero de equipes de manuteno da regional afetada pela tempestade severa, podem ser
solicitadas equipes de outras regionais. Mas quais as regionais que fornecero as equipes?
Como ser feita a acomodao destas equipes? Tambm, deve-se prever a alimentao. Como
ser feita a comunicao com estas equipes em campo j que o sistema via rdio opera em
faixas de frequncia diferentes em cada regional? Etc.
interessante destacar que muitas dessas medidas, para viabilizar os planos, alteram a
forma de a empresa operar, por exemplo na introduo de uma nova tecnologia ou na introduo
do terceiro tuno de uma funo, para que trabalhe em regime ininterrupto.
Uma vez que as barreiras foram viabilizadas, j se tem como caracterizar as instalaes
da empresa e a forma de se executar as barreiras. Com isso, podem-se elaborar os planos
preliminares. No caso da Celesc, utilizaram-se, intensamente, mapas mentais para organizar e
estruturar as informaes para a elaborao dos planos.
O passo seguinte, ento, foi a estimativa de esforo para implementar os planos. Funda-
mentalmente, este processo consiste no levantamento dos custos para implementar os planos e
do uso dos recursos internos (tanto humano quanto material), para, posteriormente, avaliar se o
esforo necessrio justificado, na avaliao custo-risco-benefcio.
Por fim, foi feito um planejamento para a implementao dessas aes destacando o
responsvel, o custo e o prazo para implementao , que foi includo no plano de aes.
6.3.2.3 Fases do delineamento detalhado
Os mapas mentais tambm auxiliaram no detalhamento dos planos. De fato, os planos

de aceitao foram condensados em um nico procedimento interno, chamado de Instruo
para atendimento em estado de contingncia (CELESC, 2005a), ilustrado na Figura 6.1912 e
apresentada no Anexo A.
No que se refere ao monitoramento & controle, optou-se por atuar na preparao para a
ocorrncia do incidente, j que no se pode controlar um evento meteorolgico.
O planejamento da gesto do incidente foi trabalhado a fim de diminuir o perodo em que os

consumidores passariam sem fornecimento de energia na ocorrncia de uma tempestade severa,
elaborando um plano de resposta emergencial (designado de estado de contingncia) e de
retorno condio normal de operao (fim do estado de contingncia). Por fim, o Anexo I
ilustra a cronologia por meio de um fluxograma.
O Quadro 6.6 traz a descrio dos principais itens da estrutura. Note-se que os trs primeiros
itens se referem ao monitoramento & controle, enquanto o quarto resposta emergencial e,
finalmente, o quinto item, ao retorno.
Observe-se que a comunicao com as partes envolvidas (stakeholders) est definida dentro
da instruo no item das informaes mdia, por exemplo.
Quanto capacitao, ela contemplou a apresentao do procedimento, a reviso das atri-

buies de cada envolvido e um teste de mesa. No teste de mesa, analisam-se, passo a passo,
as aes previstas na instruo, para verificar se houve um correto entendimento das aes, da
cronologia, das interaes delas e das atribuies de cada colaborador.
Tambm foi salientada a importncia de se fazer exerccios peridicos, simulando uma

12 Ao longo do projeto com a Celesc, foi utilizado o software View Your Mind
<http://www.insilmaril.de/vym/>para a elaborao dos mapas mentais; no entanto, esta figura foi obtida a
partir do software XMind <http://www.xmind.net/>
situao de contingncia.
Adicionalmente, foi prevista a capacitao dos colaboradores envolvidos no processo de

monitoramento, quanto s informaes meteorolgicas.
Figura 6.19: Estrutura da instruo para contingncia (apresentada no Anexo A)
Por fim, foi elaborado um plano de ao para adequar as instalaes e estrutura organizaci-
onal, para que a instruo fosse efetiva, chamado de Insumos implantao da instruo para
atendimento em estado de contingncia (CELESC, 2005b).
Destacam-se medidas como (DIAS et al., 2006, p. 4):
adequao das instalaes, equipamentos e ferramental para possibilitar

o atendimento em estado de contingncia;
implementao de sistemas alternativos de comunicao entre COD e
equipes de campo;
implementao do esquema de prioridade para restabelecimento de carga
(religamento);
6.4 Avaliao da metodologia 171
geradores portteis para alimentar estaes repetidoras de telecomunica-

o da Celesc;
disponibilizao de uma verba anual para contingncia; entre outras.
Quadro 6.6: Estrutura cronolgica da instruo
1. Monitoramento da condio meteorolgica: Definiram-se as fontes de in-

formaes e os indicadores a serem considerados, alm dos responsveis e
da frequncia.
2. Estado de alerta:Dada a possibilidade de ocorrncia de uma tempestade se-
vera, procura-se avaliar a disponibilidade de recursos para uma ao mais
efetiva, corrigindo eventuais carncias.
3. Avaliao e caracterizao do evento: Diante da tempestade severa, estru-
turam-se aes para caracterizar o impacto real do evento e toma-se a deci-
so de decretar ou no estado de contingncia.
4. Estado de contingncia: Mobilizam-se equipes de campo adicionais (dis-
ponveis na prpria regional ou em outras, previamente definidas) para atuar
no restabelecimento do fornecimento de energia. Modifica-se a estrutura or-
ganizacional da agncia para ter controles mais rgidos de acesso agncia,
disponibilizar alimentao e acomodao s equipes adicionais, definir
como ser feita a comunicao com as equipes adicionais, aumentar a capa-
cidade de gerenciamento das equipes de campo por parte do COD, definir
como ser aferido o atendimento das reclamaes dos consumidores e como
dever ser feita a comunicao com a mdia.
5. Fim do estado de contingncia: Definiu-se como fazer o retorno condi-
o normal de operao e a desmobilizao das equipes adicionais. Neste
momento, deve-se fazer uma avaliao dos trabalhos em estado de contin-
gncia, destacando: o desempenho (erros e acertos cometidos); possveis
melhorias nos procedimentos; o cumprimento do procedimento de operao
frente tempestade severa; os custos associados ao processo de operao
em estado de contingncia; a anlise do cumprimento dos procedimentos de
segurana e levantamento do nmero de acidentes.
6.4 Avaliao da metodologia
A avaliao da metodologia desenvolvida foi feita de duas formas distintas, mas comple-
mentares entre si. A primeira objetivou avaliar o resultado dos estudos de caso realizados, e
a segunda teve como objetivo confrontar a metodologia desenvolvida com alguns requisitos
levantados, conforme apresentado nas duas prximas sees.
6.4.1 Avaliao com base nas consideraes feitas pelas empresas onde
foram realizados os estudos de caso
A avaliao da metodologia nas empresas onde foram realizados os estudos de caso foi
feita por meio de entrevistas semiestruturadas, que se caracterizam pelo fato de o entrevistador
decidir pela forma de abordar o assunto da entrevista e pela sequncia dos pontos abordados
que so previamente especificados em uma guia de entrevista (lista de tpicos).
Esta forma de entrevista foi selecionada por permitir que os entrevistados discorram sobre
os assuntos abordados, mantendo o rumo natural da conversa, sem perder o foco da pesquisa13 .
Foram entrevistados dois colaboradores14 da Eletrosul Centrais Eltricas S.A. e um15 da

Celesc (Centrais Eltricas de Santa Catarina S.A.). As entrevistas foram realizadas em reu-
nies individuais, e os comentrios foram sistematizados de acordo com os tpicos abordados
e transcritos na forma de ata. Estas informaes foram, ento, tratadas e apresentadas a seguir:
Tcnicas e ferramentas utilizadas: Os entrevistados consideraram adequadas as tc-

nicas e ferramentas utilizadas. No caso da Eletrosul, foi destacado que existia um sen-
timento dos especialistas sobre o que estava acontecendo e que as tcnicas utilizadas
permitiram comprovar a impresso que se tinha, formalizando o conhecimento (tanto no
que se refere aos processos quanto ao disjuntor). Elas tambm possibilitaram ver o fluxo
das informaes, deixando claro a situao da empresa. Foi destacado, ainda, que as tc-
nicas permitiram mapear e evidenciar o problema, traduzindo para uma forma mais clara;
e que as tcnicas podem ser teis para a capacitao de colaboradores da empresa, pois
o conhecimento est sistematizado. Por fim, destacou-se que a estrutura FMEA / CNEA
se mostrou mais adequada ao projeto e que, inicialmente, tinha sido cogitado utilizar a
estrutura ETA / FTA. No que se refere Celesc, destacou-se que as tcnicas e ferramentas
utilizadas possibilitaram evidenciar as carncias da empresa e as tomadas de deciso que
foram bem sucedidas e as que atrasaram ou prejudicaram o processo de restabelecimento,
em outras ocorrncias de tempestades severas. Por fim, foi destacado que existem inme-
ras tcnicas e ferramentas para dar suporte aos processos, e a seleo de uma (ou mais)
dada pela convenincia. Eventualmente, uma tcnica mais simples suficiente, e a ado-
o de outras mais sofisticadas poderiam melhorar as respostas, mas com um custo que
13 Santos & Candeloro (2006, p. 75) salientam que, na literatura pertinente metodologia de pesquisa, no
se encontra um conceito claro e preciso do que uma entrevista semiestruturada. Entretanto, considerando que
ela seja uma intermediria entre a estruturada e a no-estruturada, supe-se que [...] haja uma confluncia de
perguntas previamente elaboradas com outras pautadas a partir das respostas e elucubraes dos entrevistados.
14 Gerente do Departamento de Manuteno do Sistema e Gerente de Projeto do Departamento de Planejamento
Pesquisa e Desenvolvimento.
15 Chefe da Diviso de Operao da Distribuio.
pode no ser justificado. No caso da Celesc, a nica tcnica utilizada que no se conhecia
foi a IDEF0; no entanto, a tcnica foi bem compreendida e no existiu dificuldade em
utiliz-la.
Caracterizao do sistema em anlise: Foi destacado, no projeto com a Eletrosul, que
a caracterizao foi adequada e realizada de maneira abrangente. O trabalho no se res-
tringiu ao estudo de vazamento no disjuntor, mas se ateve a todo o gerenciamento do SF6
na empresa. Com isto, foi possvel evidenciar os maiores problemas relativos ao uso do
SF6 . No caso da Celesc, a opinio foi de que a situao existente ficou bem caracterizada,
o que possibilitou tomar aes direcionadas para os pontos-chave. Destacou-se que foi
feito o delineamento da operao dos CODs em condio normal (utilizando IDEF0) e,
posteriormente, foram feitas entrevistas com especialistas e com pessoas que vivenciaram
a condio de operao na ocorrncia de tempestades severas o que permitiu identifi-
car perturbaes possveis de ocorrer durante a operao nesta condio. Muitas destas
perturbaes j tinham sido levantadas e as entrevistas serviram para esclarecer como
ocorreram; no entanto, foram identificadas situaes que a equipe de anlise no tinha
considerado.
Integrao dos atributos segurana e continuidade / disponibilidade: Na Eletrosul,
foi destacado que tratar a segurana e a continuidade (ou disponibilidade, no caso do dis-
juntor) de forma integrada possibilitou tomar aes de forma mais efetiva, pois tratou a
situao como um todo. O resultado ficou mais claro, dinmico e mais fcil de implemen-
tar. Se a segurana fosse tratada separadamente da continuidade (ou da disponibilidade),
seriam delineadas muitas solues e no se saberia o que implementar. Integrando estes
dois atributos, puderam-se otimizar as solues. Destacou-se, ainda, que pode at ser
razovel, em uma anlise, pensar nestes dois atributos separadamente; no entanto, em
condio real, no possvel separ-los. Eles devem ser tratados de maneira integrada.
No caso da Celesc, foi destacado que as aes so sempre delineadas pensando nestes
dois atributos possivelmente pelo fato de se estar trabalhando com redes eltricas, que
tm um grande potencial para gerar dano. O estudo sobre o ferramental um exemplo
disso: possibilita uma ao mais efetiva e mais segura.
Solues apontadas: No projeto com a Celesc, foi destacado que, inicialmente, acreditava-
se que o problema era apenas organizacional, o que seria solucionado apenas com a ins-
truo. No entanto, com o projeto, identificaram-se outras necessidades na estrutura da
empresa, resultando em dois planos de ao um para a operao e outro para as teleco-
municaes. Na Eletrosul, destacou-se que as recomendaes certamente iro contribuir
para se alcanar o nvel de perda de SF6 que a empresa espera, mas a avaliao do impacto
dessas medidas somente ser percebida depois de algum tempo. No entanto, acredita-se
que simplesmente o fato de mostrar a preocupao com o gs j tenha despertado o inte-
resse dos colaboradores pelo assunto, o que ir contribuir para a reduo das perdas.
Implementao dos planos: Na Celesc, o que no foi implementado est contemplado
no planejamento. A aes foram passadas para a diretoria, que, por sua vez, decide pela
implementao. A maioria das medidas foram de baixo custo e puderam ser rapidamente
implementadas. Acredita-se que estas medidas tero maior impacto nos riscos, e as aes
de maior custo contribuiro para aprimorar o que j foi implementado. Quanto instru-
o, ela foi implementada e est em uso. As equipes de todos os COD receberam a devida
capacitao quanto instruo, alm da capacitao prevista no plano de aes quanto
formao meteorolgica, por exemplo. No caso da Eletrosul, foi destacado que esto
sendo implementadas, primeiramente, as recomendaes que esto na esfera de deciso
do DMS (portanto, no precisam de aprovao do oramento da empresa), sendo que
algumas delas j foram implementadas. Destacou, ainda, que algumas recomendaes
implicam alterao de procedimentos, o que requer uma tramitao interna, que demanda
tempo. No entanto, estas alteraes esto planejadas e sero implementadas dentro das
prioridades da Eletrosul.
Utilizao e reviso dos planos16 : A instruo est ativa e foi executada nas ltimas si-
tuaes em que ocorreram tempestades severas. A estrutura implementada com os planos
de ao como o kit contingncia est sendo mantida e utilizada, quando necessrio.
No entanto, por restries da empresa, no tem sido executada a avaliao dos trabalhos
ao final de cada execuo da instruo (i.e., ao final do estado de contingncia). Estas ava-
liaes objetivavam formalizar as lies aprendidas e revisar os planos a fim de identificar
possveis deficincias e melhorias para que se tenha um aprimoramento contnuo.
Processo de aplicao da metodologia: Para a Celesc, a metodologia possibilitou con-
tornar alguns problemas fornecendo um mtodo que, por exemplo, facilitou o entendi-
mento dos processos (pelo IDEF0 e pelas entrevistas). Tambm foi destacado que a de-
dicao e o comprometimento da equipe foram fundamentais para o sucesso do projeto.
A equipe do projeto estava disposta a trabalhar com pesquisa, possibilitando mesclar o
conhecimento tcnico dos especialistas com a estrutura metodolgica trazida pelo NeDIP
/ UFSC. Na aplicao na Eletrosul, destacou-se a alocao de recursos humanos como
sendo a grande dificuldade, pois os colaboradores tiveram dificuldade de dedicar tempo
ao projeto, sem deixar de cumprir as atribuies normais de sua funo dentro da em-
presa. Desta forma, o comprometimento da equipe com o trabalho foi fundamental para
16 Os planos ainda no foram implementados na Eletrosul, portanto este item se restringir Celesc.
o sucesso do projeto. Outro ponto identificado foi o fato de o projeto envolver pessoas
de diversas reas e localidades diferentes (Curitiba, Xanxer, Campos Novos, Palhoa,
Florianpolis, entre outras), o que dificultou a comunicao e a reunio destes especia-
listas. Destacou-se, ainda, que a quantidade de informao gerada foi suficiente para o
entendimento dos problemas e que, pela falta de tempo, existiu uma dificuldade de se
absorver e depurar toda essa informao. Desta forma, o assunto no se esgotou den-
tro da empresa, e o conhecimento gerado no projeto ainda ser mais explorado. Como
pontos positivos, destacam-se: (1) o uso das tcnicas, que foram de fcil entendimento,
auxiliaram nos processos da metodologia e contriburam para contornar o problema da
falta de tempo disponvel; (2) o fato de se ter integrado, formalizado e sistematizado o
conhecimento tcito dos especialistas; e (3) a integrao da empresa com a universidade
na parceria realizada.
Resultados do projeto: No que se refere ao projeto MitiSF6, com a Eletrosul, os resulta-
dos foram considerados bons e destacou-se que foi possvel: racionalizar o uso do gs na
Eletrosul; tratar os processos relativos manipulao do SF6 da melhor maneira possvel;
sistematizar as informaes, j que a informao que permite fazer o controle do uso do
gs; etc. Tambm foi destacada a expectativa do livro que est sendo elaborado, objeti-
vando condensar o conhecimento gerado no projeto. Quanto ao projeto com a Celesc, os
produtos do projeto foram considerados bons: foi gerada uma instruo e dois planos de
ao (para a operao e para as telecomunicaes). No entanto, foi levantada a falta de
mtricas para avaliar o impacto da implementao da instruo na empresa. O chefes dos
CODs comentam que executaram a instruo, elogiam, mas no se tem como avaliar, de
forma objetiva, o benefcio para a Celesc. Apesar disto, alguns pontos foram destacados:
verificou-se que no existem mais restries de uma agncia regional fornecer equipes
para outras; o boletim meteorolgico e o alerta meteorolgico tm auxiliado no moni-
toramento das tempestades severas; o ferramental disponvel para as equipes de campo
tambm melhorou e foi desencadeado um processo dentro da empresa que ir resultar em
uma instruo para padronizar as ferramentas e garantir que os eletricistas tenham todas
as ferramentas necessrias a sua disposio; etc. Desta forma, destacou-se que houve um
aprimoramento geral: melhorou o atendimento diante de tempestades severas; melho-
rou a capacitao dos colaboradores; e melhorou a condio da empresa. Destacou-se,
ainda, que isto possivelmente aconteceu por ter sido selecionado, como objeto de estudo
do projeto, o que era o maior problema da empresa: operar diante de uma tempestade
severa. interessante destacar que a empresa ainda pretende implementar um sistema de
gerenciamento de risco mais amplo.
6.4.2 Avaliao com base em requisitos identificados
Durante o projeto MitiSF6, com a Eletrosul, foi feito um desdobramento da funo quali-
dade (QFD quality function deployment), de como deveria ser a metodologia para mitigao
de perdas de SF6 que estava sendo desenvolvida, apresentado no documento MT-MP-RT-NE-01
(UFSC/NEDIP, 2008i). Pode-se, ento, extrapolar os requisitos identificados que so especfi-
cos para o contexto do SF6 para o contexto de uma metodologia de gerenciamento de risco.
A seguir, apresentam-se os requisitos para a metodologia de gerenciamento de risco obtidos a
partir do estudo realizado no projeto MitiSF6 (UFSC/NEDIP, 2008i), juntamente com outros que
foram considerados relevantes:
a. A metodologia deve utilizar tcnicas de suporte (em confiabilidade / manuteno / risco)

consagradas.
Comentrio: As tcnicas utilizadas destacadamente FMECA; FTA; IDEF0; redes
bayesianas; e atualizao bayesiana so largamente utilizadas em estudos em diver-
sas reas. importante destacar que a tcnica CNEA recente, j que foi desenvolvida
neste doutorado; no entanto, ela baseaba em duas tcnicas consolidadas a saber: BTA
e redes causais . Assim, acredita-se que no existiro dificuldades em futuras aplicaes.
Note-se que as tcnicas IDEF0, FMECA, CNEA e FTA foram utilizadas com fluncia pe-
las equipes, no projeto com a Eletrosul aps uma pequena capacitao, apresentando
cada uma delas.
b. Deve existir material didtico disponvel sobre as tcnicas utilizadas.
Comentrio: O material disponvel sobre as tcnicas vasto, tais como livros, normas
tcnicas, trabalhos acadmicos (teses, dissertaes, etc.), artigos, entre outros. Adicional-
mente, foram gerados pelo NeDIP / UFSC textos didticos, que tipicamente trazem
um resumo sobre a tcnica, exemplos de aplicao e uma lista de softwares para dar su-
porte tcnica (vide Quadro 4.1).
c. A metodologia deve levar em considerao as questes referentes segurana e dispo-
nibilidade (ou continuidade) do sistema.
Comentrio: A metodologia desenvolvida trata a segurana e a disponibilidade (ou con-
tinuidade) dos sistemas como atributos; portanto,puderam ser integrados em um nico
sistema de gesto de risco. No projeto MitiSF6 com a Eletrosul, por exemplo, foram
considerados incidentes com comprometimento segurana, tais como: dano sade dos
colaboradores pela inalao de subprodutos txicos do SF6 e dano ao meio ambiente pela
contribuio ao efeito estufa decorrente do SF6 perdido para a atmosfera. Tambm foram
considerados incidentes com comprometimento continuidade da operao do DMS e
a disponibilidade do disjuntor (no caso o Merlin Gerin, modelo FA4), tais como: atraso
na manuteno por indisponibilidade de SF6 e ocorrncia de alarme seguido de trip do
disjuntor, impossibilitando a execuo de manobras do equipamento.
d. A metodologia deve indicar tcnicas e ferramentas que possibilitem estudar os processos
do sistema que se deseja analisar.
Comentrio: Ao longo do Captulo 5, apresentam-se algumas tcnicas que podem ser
utilizadas. Nos estudos de caso, foram utilizadas as tcnicas IDEF0, para anlise funcio-
nal, e FMEA, CNEA e FTA para anlise e tratamento dos riscos.
e. A metodologia deve auxiliar na identificao de mtricas para avaliao dos riscos.
Comentrio: Na Seo 5.3.1.1, foram apresentados alguns exemplos de indicadores para
avaliao de risco, no caso NetCAF, MTO e RPO. Tambm foi apresentado um mtodo
para avaliao com base em limites de ocorrncia do incidente e nveis de benefcios
decorrentes da exposio ao risco.
f. A aplicao da metodologia deve fomentar o comprometimento dos colaboradores da or-
ganizao.
Comentrio: A implementao de um sistema de gerenciamento de risco j demonstra
uma preocupao com os colaboradores e a sociedade de maneira geral, favorecendo o
relacionamento entre a organizao e todos afetados por sua operao (o que inclui seus
colaboradores). A implementao da cultura do risco outro fator importante nesta ques-
to, pois os colaboradores passam a identificar a importncia de suas aes na segurana
e na disponibilidade dos sistemas tcnicos, na operao da unidade organizacional e no
negcio da organizao. Adicionalmente, as novas atribuies decorrentes da implemen-
tao do SGR tambm so um fator motivacional de acordo com a Teoria dos Dois
Fatores de Frederick Herzberg , o que tambm potencializa o comprometimento dos
colaboradores da organizao.
g. A aplicao da metodologia deve evidenciar a necessidade de se identificar leis, regula-
mentaes e normas referentes ao escopo.
Comentrio: As leis, regulamentaes e normas, na elaborao devem ser consideradas
ao longo da aplicao da metodologia. Por exemplo: durante a caracterizao do sistema
em anlise, na fase do delineamento informacional, feito o levantamento das restries,
que incluem leis, regulamentaes e normas. Estas restries, por sua vez, sero consi-
deradas para estipular os objetivos de risco. Na aplicao da metodologia na Celesc, por
exemplo, a resoluo ANEEL No 024 Estabelece as disposies relativas Continuidade
da Distribuio de energia eltrica s unidades consumidoras (ANEEL, 1994, p. 1).
h. A aplicao da metodologia deve possibilitar a caracterizao de uma estrutura mnima,
que deve ser implementada para se executar os procedimentos definidos.

Comentrio: A estrutura mnima deve ficar evidenciada na fase do delineamento preli-
minar, quando se viabiliza a implementao das barreiras identificadas na fase do deline-
amento conceitual. As aes para adequar a estrutura existente devem estar inseridas no
plano de aes. Por exemplo, no projeto com a Eletrosul, foi delineada uma sugesto de
estrutura mnima que continha, entre outros itens: equipamentos de tratamento do gs,
instrumentos de medio, quantidade de cilindros de SF6 disponvel em cada local, etc.
i. A aplicao da metodologia deve possibilitar a identificao de formas de monitorar ris-
cos e prevenir incidentes.
Comentrio: Durante a anlise dos riscos, utilizando a estrutura FMECA / CNEA,
puderam-se identificar possveis barreiras na corrente causal que possibilitem fazer o mo-
nitoramento dos riscos e controlar eventuais desvios. Estas barreiras, posteriormente,
sero includas no plano de monitoramento & controle. Na Eletrosul, por exemplo, foi
indicada a necessidade de se ter balanas para avaliar a massa de SF6 nos cilindros, a fim
de evitar atrasos na manuteno pela falta do gs. Esta medida possibilita o monitora-
mento da quantidade de gs disponvel em cada local e, caso esteja abaixo do estoque
mnimo, deflagra-se o processo de controle, que solicitao de SF6 .
j. A aplicao da metodologia deve possibilitar que se identifiquem formas de gerenciar o
incidente, caso ele ocorra.
Comentrio: Da mesma forma que as barreiras para o monitoramento do risco, as bar-
reiras para gerenciamento de incidente sero obtidas das anlises e, posteriormente, in-
cludas nos planos de resposta emergencial e de operao alternativa. O estudo de caso
na Celesc ilustra esta situao nos procedimentos de incluso de equipes de manuteno
de outras agncias regionais, para o caso de sobrecarga na manuteno de emergncia.
k. A aplicao da metodologia deve possibilitar a identificao de requisitos para a especi-
ficao tcnica de compra de equipamentos.
Comentrio: Durante a anlise de uma unidade organizacional, podem-se evidenciar re-
quisitos para os sistemas tcnicos (que devem ser considerados na fase do delineamento
informacional da aplicao neste sistema). Na anlise do sistema tcnico, tambm podem
ser identificadas barreiras que evidenciem requisitos deste sistema (ou de sistemas com
que ele interage). Assim, recomendado que estes requisitos faam parte das especifi-
caes tcnicas de futuras aquisies de equipamentos. Isto pode ser ilustrado na anlise
do disjuntor, que evidenciou a necessidade de se incluir o padro de conexo da linha
de SF6 , na especificao tcnica de compra. Tambm foram levantados requisitos para
a especificao tcnica dos equipamentos de tratamento do gs, na anlise do DMS, tais
como: compressor e bomba de vcuo livres de leo, possibilidade de operar com cilindro
externo, reservatrio incorporado, conexes por engate rpido padro Eletrosul, etc.
No Captulo 6, foram apresentadas as aplicaes da metodologia no mbito da unidade

organizacional e do sistema tcnico.
Neste primeiro caso, a aplicao na Eletrosul abordou as etapas de planejamento e deline-

amento, at a fase preliminar acontecendo o mesmo para o mbito do sistema tcnico. Na
Celesc, por sua vez, destacou-se a elaborao dos planos, nas fases do delineamento preliminar
e detalhado.
Na aplicao na Eletrosul, destaca-se, no planejamento, o comprometimento da empresa

com o projeto MitiSF6. J na etapa de delineamento, evidenciou-se a utilidade da estrutura
CNEA/FMECA. Ela possibilitou identificar incoerncias nas anlises, pois os diagramas apre-
sentam as ligaes entre os elementos do modelo, alm de apresentar elementos intermedirios
na cadeia causal.
No relatrio MT-DJ-RT-NE-04 (UFSC/NEDIP, 2008a), destacou-se, ainda:
O uso de CNEA mostrou-se fundamental para auxiliar no entendimento das

relaes entre as falhas, na comunicao entre os membros da equipe e, conse-
quentemente, no desenvolvimento da FMEA. Uma das grandes vantagens do
mtodo permitir visualizar os pontos onde sero implementadas as barreiras,
sendo uma importante tcnica para complementar as deficincias da FMEA.
De fato, o que se observou, nas implementaes da estrutura FMECA / CNEA, foi que
era comum fazer alteraes significativas na FMECA quando se fazia a anlise primeiramente
na tabela e depois se modelavam os diagramas CNEA. No entanto, o contedo permaneceu
o mesmo ou sofreu alteraes menores quando se elaborou o diagrama e, posteriormente,
representou-se na tabela.
Isto demonstra que a representao grfica possibilitou uma melhor contextualizao do

modelo e, por consequncia, uma anlise mais eficaz alm de gerenciar melhor o conheci-
mento gerado, facilitando sua institucionalizao.
Na aplicao na Celesc, mais uma vez, observou-se que o apoio da gerncia foi fundamental
para o sucesso do gerenciamento de risco, pois foi determinante para garantir a disponibilidade
de recursos, o comprometimento dos colaboradores envolvidos e o apoio para a implementao
das decises.
Tambm foi evidenciada a necessidade de se adaptar os planos aos costumes da empresa.

Neste sentido, a elicitao do conhecimento foi feita por entrevistas com colaboradores que
vivenciaram o problema de se operar na ocorrncia de uma tempestade severa, a fim de deli-
near a melhor forma de implementar as barreiras. O delineamento dos planos tambm contou
com a constante participao de colaboradores que iro atuar durante a operao diante de uma
tempestade severa. Posteriormente, a instruo foi submetida aos colaboradores para que eles
comentassem, a fim de valid-la antes de submeter aprovao da alta gerncia. Desta forma,
entende-se que, tanto a instruo gerada quanto o plano de ao tornam-se mais aderentes aos
costumes e ritos j existentes, facilitando a implementao da cultura do risco no modus ope-
randi da empresa.
Por fim, neste captulo, foi feita a avaliao da metodologia desenvolvida. Esta avaliao
foi feita em duas partes: uma procurou captar, das empresas em que foi aplicada a metodolo-
gia, a opinio sobre alguns pontos, apresentados na Seo 6.4.1; outra objetivou confrontar a
metodologia com alguns critrios que se consideraram importantes.
181
7 Concluses e recomendaes para

trabalhos futuros
Nos captulos iniciais deste documento, procurou-se evidenciar a necessidade de integrar,

em um nico sistema de gesto, as questes abordadas no gerenciamento de segurana e no ge-
renciamento da continuidade de negcio destacadamente no Captulo 3, em que se apresentou
uma reviso sobre gesto de segurana e continuidade em alguns setores; e na introduo (Ca-
ptulo 1), em que foi dado nfase ao contexto das necessidades neste campo de conhecimento,
com destaque para os objetivos e resultados esperados para este trabalho de doutorado.
No Captulo 2, por sua vez, foram exploradas algumas consideraes sobre a nomenclatura
dessas duas abordagens e foram propostas, quando pertinente, definies de termos que permi-
tam suprir as necessidades de um gerenciamento de risco que integre segurana e continuidade.
O Captulo 4 conclui a reviso bibliogrfica e apresenta, resumidamente, algumas tcnicas

que podem ser usadas para dar suporte metodologia desenvolvida.
A metodologia desenvolvida est apresentada no Captulo 5, e sua aplicao est no Cap-

tulo 6. Na prxima seo, ser feita uma anlise dos resultados deste doutorado, destacando
as contribuies do trabalho, e por fim na Seo 7.2, apresentam-se as recomendaes para
futuros trabalhos.
7.1 Anlise dos resultados e identificao das contribuies
Como resultados do trabalhado, alm da metodologia, destaca-se que foram compatibili-

zados conceitos e nomenclatura adotados no gerenciamento de segurana e de continuidade
apresentados ao longo do texto, destacadamente no Captulo 2, e no Glossrio. De fato, isto foi
necessrio, pois cada uma destas abordagens designava um mesmo conceito de maneira dife-
rente, como destacado na Seo 3.7, dificultando a integrao. Entende-se que a comunicao
um dos fatores de grande importncia para as aes no contexto da segurana e continuidade,
sendo, assim, oportuna a compatibilizao da nomenclatura.
7.1 Anlise dos resultados e identificao das contribuies 182
Tambm foram sistematizadas tcnicas de suporte que podem contribuir com a unificao
do gerenciamento de risco, apresentadas no Captulo 4. Destaca-se o desenvolvimento da tc-
nica CNEA, para a qual foi proposta uma sintaxe, identificando elementos que a compem.
A metodologia desenvolvida faz, ainda, uso de uma estrutura de trabalho (framework) ba-
seada nas tcnicas FMECA e CNEA. Durante a aplicao desta estrutura, no estudo de caso
com a Eletrosul, observou-se que ela permite uma anlise mais eficiente dos modos de falha (ou
de incidente). Tambm foram feitas anlises de falha, utilizando FTA, de algumas causas da
FMECA / CNEA do disjuntor, evidenciando a integrao desta estrutura com outras tcnicas.
De fato, o detalhamento da causa poderia ter sido feito na prpria CNEA; no entanto, optou-se
por detalh-la em uma FTA para no sobrecarregar o diagrama CNEA, alm da possibilidade
de visualizar os tipos de relaes existentes na FTA por meio dos operadores lgicos. Note-
se que a FTA exige um conhecimento maior sobre o sistema a ser modelado, mas, por outro
lado, resulta em um diagrama mais detalhado. Num instante seguinte, por exemplo, poderia ser
calculada a probabilidade de ocorrncia do evento topo, em face da existncia dos operadores
lgicos. Esta ao no poderia ser feita na CNEA, sendo esta uma das limitaes da tcnica.
Assim, foi proposta a integrao das tcnicas redes bayesianas e atualizao bayesiana
estrutura de trabalho. As redes podem contornar a carncia de tratamento estatstico da
FMECA / CNEA, e a atualizao bayesiana pode ser utilizada para gerar estimadores para
os parmetros a serem utilizados nas redes e nas FTAs. No entanto, esta integrao no foi
aplicada no referido estudo de caso, sendo uma das limitaes deste trabalho. Destaca-se que
Lger et al. (2006) utilizam redes bayesianas em conjunto com BTA e que os autores incluem
eventos intermedirios na BTA, resultando em um diagrama similar a uma CNEA. Entretanto,
os autores utilizaram a BTA para modelar incidentes no nvel tcnico e, posteriormente, inclu-
ram estas informaes em uma rede bayesiana mais abrangente. Note-se que, apesar de no
utilizarem a teoria de redes bayesianas para fazer o tratamento estatstico de uma CNEA, eles
apresentam aplicaes que evidenciam esta possibilidade.
Outra limitao deste trabalho est no fato de a metodologia no ter sido aplicada no nvel
da organizao. De fato, o objetivo geral deste trabalho est focado no mbito do sistema tcnico
e da unidade organizacional, que foram contemplados nos estudos de caso. No entanto, acredita-
se que a adaptao da metodologia para a realidade do nvel da organizao possibilitar uma
gesto do negcio mais estruturada, por exemplo, gerenciando melhor os recursos para se obter
uma ao mais efetiva no sentido dos valores da organizao.
No que se refere aos estudos de caso nas duas empresas do setor eltrico, a aplicao da
metodologia implicou recomendaes e alteraes nos procedimentos internos e na estrutura
das empresas, conforme apresentado no Captulo 6. No entanto, estes estudos de caso no

contemplaram todas as etapas da metodologia, sendo ainda necessria a sua aplicao como um
todo.
No caso da distribuidora de energia, a aplicao contemplou as etapas de delineamento e

de implementao sendo que a implementao foi feita sem a participao da equipe do Ne-
DIP / UFSC. Destaca-se, como resultado: a elaborao de uma instruo (norma interna) para
atendimento emergencial diante de tempestades severas (apresentada no Anexo A); a adequao
das instalaes, equipamentos e ferramental para possibilitar o atendimento nesta condio; a
implementao de sistemas alternativos de comunicao; a implementao do esquema de pri-
oridade para restabelecimento de carga (religamento); a aquisio de geradores portteis; a
disponibilizao de uma verba anual para contingncia; entre outras. Note-se que estas medi-
das implicam melhorias tanto para a continuidade quanto para a segurana. A implementao
de sistemas alternativos de comunicao, por exemplo, foi feita para garantir a comunicao
do despachante com as equipes de manuteno de campo. Esta comunicao muito impor-
tante para a segurana dos mantenedores que interagem com o despachante durante as aes de
campo, solicitando o desligamento de um alimentador, por exemplo. Esta comunicao, ainda,
possibilita o despacho de novos servios para a equipe de campo, portanto atuando na continui-
dade da operao do COD. importante observar que, na falha dos sistemas de comunicao,
ainda existe um processo alternativo para a execuo do despacho. Este processo alternativo
feito pela entrega das ordens de servio em mos, exigindo que a equipe de manuteno retorne
ao COD. Isto implica considervel degradao no desempenho do despacho, consumindo um
tempo importante que poderia estar sendo utilizado em outra ao de manuteno a fim de
restabelecer o fornecimento de energia eltrica.
Quanto empresa transmissora de energia eltrica, a aplicao contemplou as fases do deli-

neamento informacional, conceitual e a parte inicial do preliminar. Como resultado, destacam-
se as recomendaes referentes poltica de atualizao tecnolgica; poltica de atualizao
dos procedimentos; e poltica de capacitao. Tambm foram elencadas algumas recomen-
daes de responsabilidade da ANEEL (Agncia Nacional de Energia Eltrica) referentes
poltica regulatria. Note-se que, aqui, a segurana e a continuidade tambm foram abordadas
como atributos tratados durante o delineamento. Assim, as barreiras levantadas e transcritas
nas recomendaes foram delineadas a fim de atuar para a melhoria destes dois atributos.
Destaca-se, ainda, o desenvolvimento da ferramenta computacional OpenFMECA que, atu-

almente, auxilia a aplicao da tcnica FMECA, mas est sendo desenvolvida para dar suporte
a toda estrutura de trabalho proposta, o que inclui IDEF0, FMECA, CNEA, FTA e redes baye-
sianas, conforme apresentado na Seo 5.4 e no Apndice A.
Assim, conclui-se que o trabalho alcanou seus objetivos especficos apresentados na Se-
o 1.2.2, a saber: propor vocabulrio nico para suprir as necessidades do gerenciamento da
continuidade e de segurana; propor e sistematizar tcnicas de suporte consolidadas que possam
contribuir com a unificao do gerenciamento de risco; desenvolver uma estrutura de trabalho
que integre essas tcnicas; e desenvolver ferramenta computacional (software) para auxiliar a
aplicao de tcnicas.
Quanto ao objetivo geral deste trabalho que era desenvolver uma metodologia para geren-
ciamento de risco com foco em unidades organizacionais e em sistemas tcnicos durante o uso,
integrando o gerenciamento da continuidade e o gerenciamento de segurana em um nico sis-
tema de gesto , entende-se que ele foi cumprido. A metodologia, apresentada no Captulo 5,
aborda a segurana e a continuidade como dois atributos a serem tratados na gesto do risco,
permitindo a integrao o que contribui para uma abordagem de gerenciamento de risco mais
satisfatria, que Chapman (2005) concluiu ser necessria. Para tanto, estratificou-se a organi-
zao em trs nveis, a saber: nvel da organizao, nvel da unidade organizacional e nvel do
sistema tcnico.
Observe-se que os sistemas de gesto da continuidade do negcio usualmente se restringem

a analisar incidentes com grandes propores (desastres) a ponto de impossibilitar a operao
da organizao, por isso se concentram na gesto da informao, pois esta pode viabilizar o res-
tabelecimento da organizao. Os sistemas de gesto da segurana, por sua vez, usualmente se
concentram em garantir que a probabilidade de que ocorram danos, principalmente ao homem
e ao meio ambiente, esteja abaixo do patamar que se considera aceitvel. Desta forma, atuam
fundamentalmente na anlise dos sistemas tcnicos e na sua relao com o homem e o meio.
Por outro lado, ao fazer a integrao, podem-se gerenciar os riscos com impacto na se-
gurana, na continuidade do negcio da organizao, na continuidade operacional da unidade
organizacional e na disponibilidade do sistema tcnico. Desta forma, as decises no ficam
estanques a cada nvel ou a um determinado tipo de consequncia, e evidenciam-se as relaes
existentes entre os riscos dos diversos sistemas. interessante observar que a relao entre
segurana e continuidade (ou disponibilidade dependendo do caso) nem sempre positiva, con-
forme apresentado na Seo 2.3. Por exemplo, em alguns casos, a confiabilidade (e consequen-
temente a disponibilidade) de um sistema tcnico pode ser determinante para a segurana e para
a continuidade do negcio; em outros, pode ir de encontro segurana.
No Captulo 6, ento, apresentam-se as aplicaes da metodologia no mbito da unidade

organizacional e do sistema tcnico, em duas organizaes do setor eltrico. Nestas aplicaes,
foi possvel ilustrar a gesto do risco considerando os dois atributos.
7.2 Recomendaes para trabalhos futuros 185
Por fim, na Seo 6.4, feita uma avaliao da metodologia, na qual se apresenta a opinio
das empresas onde ela foi aplicada e, tambm, se evidencia a aderncia da metodologia a alguns
critrios considerados relevantes.
7.2 Recomendaes para trabalhos futuros
Ao longo deste trabalho, foram identificadas algumas carncias que no puderam ser trata-
das e que podem ser alvo de futuras pesquisas, a saber:
Considerar as questes dinmicas dos sistemas na estrutura de trabalho proposta:

Na estrutura de trabalho proposta, no foi tratado o dinamismo do sistema, tanto os exis-
tentes pela variao da taxa de falha quanto pela alterao da condio do sistema ao
longo do tempo. Assim, pesquisas neste sentido faro a modelagem, a partir desta es-
trutura, se aproximar melhor da realidade e, por consequncia, permitindo uma melhor
anlise, avaliao e tratamento dos riscos.
Elaborar indicadores de eficcia do SGR: Fazer estudo a fim de elaborar indicadores
que expressem o impacto de se ter implementado o sistema de gesto de risco (SGR) na
organizao. Isto possibilitar avaliar o desempenho do SGR e indicar a convenincia de
se investir mais no gerenciamento de risco, ou no.
Fazer aplicaes da metodologia como um todo: Prope-se que sejam feitos estudos
que incluam aplicaes da metodologia contemplando todas as etapas, nos trs nveis
do desdobramento da organizao , a fim de identificar melhorias e evidenciar as ade-
quaes necessrias para a aplicao em diferentes tipos de organizaes.
Fazer aplicaes da estrutura de trabalho proposta: As aplicaes da estrutura de
trabalho proposta, no estudo de caso com a Eletrosul, no incluram a integrao com
as redes bayesianas e atualizao bayesiana. Assim, estudos que apliquem a estrutura
de trabalho completa so oportunos pois podem evidenciar carncias e melhorias ainda
no identificadas.
Desenvolvimento de ferramentas computacionais: O software OpenFMECA est sendo
desenvolvido para auxiliar na aplicao da estrutura de trabalho proposta (vide Apn-
dice A); no entanto, outros processos podem ser suportados por softwares, por exemplo,
o uso da tcnica FHA. Neste sentido, prope-se que sejam desenvolvidos estudos que
abordem o desenvolvimento e a aplicao destas ferramentas computacionais.
Elaborao de textos sobre as tcnicas: Esto sendo elaborados, no NeDIP / UFSC,
textos didticos para algumas das tcnicas utilizadas, no entanto os textos sobre FHA e
7.2 Recomendaes para trabalhos futuros 186
ESD ainda esto pendentes. Destaca-se ainda a necessidade de publicao de documentos

que padronizem a sintaxe de algumas tcnicas, destacadamente CNEA e ESD.
187
Referncias
ABB. Live Tank Circuit Breakers Buyers Guide: Doc. N 1HSM 9543 22-00. 4. ed.
[S.l.], 2008. Disponvel em: <http://library.abb.com/>. Acesso em: 15 jan. 2009.
AGNCIA NACIONAL DE ENERGIA ELTRICA. Resoluo ANEEL No 024, de 27 de

janeiro de 2000. [S.l.], 1994. Disponvel em: <http://www.aneel.gov.br/cedoc/res2000024-
.pdf>. Acesso em: 05 jan. 2009.
ALBERTON, A. Uma metodologia para auxiliar no gerenciamento de riscos e na seleo

de alternativas de investimentos em segurana. Dissertao (Mestrado em Engenharia de
Produo) Universidade Federal de Santa Catarina (UFSC), Florianpolis, 1996.
ALONO, A. S. Metodologia de projeto para a concepo de mquinas agrcolas seguras.

221 p. Tese (Doutorado em Engenharia Mecnica) Universidade Federal de Santa Catarina
(UFSC), Florianpolis, 2004.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 5462: Confiabilidade e

matenabilidade terminologia. Rio de Janeiro, 1994. 37 p.
. ABNT NBR ISO/IEC 17799: Tecnologia da informao cdigo de prtica para a

gesto da segurana da informao. Rio de Janeiro, 2001.
. ABNT ISO/IEC Guia 73: Gesto de risco vocabulrio recomendaes para uso de
normas. 1. ed. Rio de Janeiro, 2005.
AYYUB, B. M. Risk analysis and management. In: . The Handbook of engineering. 2.

ed. Boca Raton, Florida: CRC Press LLC, 2005. cap. 207. ISBN 0-8493-1586-7.
BACK, N. et al. Projeto integrado de produtos: planejamento, concepo e modelagem. 1.

ed. So Paulo: Editora Manole Ltda., 2008. 601 p.
BBC BRASIL. China pede desculpas rssia por desastre ecolgico. Agncia Estado, 27 nov.
2005. Disponvel em: <http://www.estadao.com.br/rss/agestado/2005/nov/27/3.htm>. Acesso
em: 16 dez. 2005.
BEERENS, H. I.; POST, J. G.; UIJT DE HAAG, P. A. M. The use of generic failure frequencies
in QRA: The quality and use of failure frequencies and how to bring them up-to-date. Journal
of Hazardous Materials, Elsevier, v. 130, n. 3, p. 265270, 2006.
BERNSTEIN, P. L. Desafio dos deuses: a fascinante historia do risco. Rio de Janeiro: Elsevier,
1997. 389 p. ISBN 85-352-0210-2.
BOERLAGE, B. Link Strength in Bayesian Networks. 104 p. Dissertao (Master of

science) University of British Columbia Vancouver, Vancouver, Canada, 1994.
Referncias 188
BOTHA, J.; VON SOLMS, R. A cyclic approach to business continuity planning. Information
management and computer security, Emerald Group Publishing Limited, v. 12, n. 4, p.
328337, 2004.
BRASIL. Cmara dos Deputados. Ouvidor pede cpi para vazamentos txicos. Jornal da
Cmara, Cmara dos Deputados, Braslia, n. 982 (Ano 5), maio 2003.
BRASIL. Ministrio das Relaes Exteriores. Decreto Lei No 5.445 2005: Promulga o
protocolo de quioto conveno-quadro das naes unidas sobre mudana do clima, aberto a
assinaturas na cidade de quioto, japo, em 11 de dezembro de 1997, por ocasio da terceira
conferncia das partes da conveno-quadro das naes unidas sobre mudana do clima.
Braslia, DF, 1998.
BRASIL. Ministrio do Planejamento e Oramento. Glossrio de defesa civil, estudos de
riscos e medicina de desastres. Braslia, DF, 1998.
BRASIL. Ministrio do Trabalho e Emprego. NR 10 Normas regulamentadoras de
segurana e sade no trabalho no 10: segurana em instalaes e servios em eletricidade.
Braslia, DF, 2004.
BHLMANN, H. Mathematical methods in risk theory. Berlin: Springer-Verlag, 1970.
BUSINESS CONTINUITY INSTITUTE. Business Continuity Management: Good practice
guidelines. Caversham, UK, 2005.
CALIL, L. F. P.; HIRANO, E. W.; DIAS, A. A risks quantification procedure based on bayesian
inference. In: INTERNATIONAL CONGRESS OF MECHANICAL ENGINEERING
(COBEM 2005), Ouro Preto. In: . [S.l.: s.n.], 2005. Proceedings ...
CAPRA, F. O tao da fisica: um paralelo entre a fsica moderna e o misticismo oriental. 20a .
ed. So Paulo: Cultrix, 1988. 260 p. ISBN 8531603668.
CARPES JNIOR, W. P. Anlise da segurana humana para desenvolvimento de produtos
mais seguros. 251 p. Tese (Doutorado em Engenharia de Produo) Universidade Federal
de Santa Catarina (UFSC), Florianpolis, 2004.
CASTRO, A. L. C. et al. Manual de planejamento em Defesa Civil. 1a . ed. Florianpolis,
2005. volume I.
CELESC. DVOD (Diviso de Operao de Distribuio). Instruo para atendimento em
estado de contingncia. Florianpolis, 2005.
. Insumos implantao da instruo para atendimento em estado de contingncia.
Florianpolis, 2005.
CHAPMAN, J. Predicting technological disasters: mission impossible? Disaster prevention
and management, Emerald Group Publishing Limited, v. 14, n. 3, 2005.
COOPER, D. F. The australian and new zealand standard on risk management, AS/NZS
4360: Tutorial standard. New Shouth Wales, Australia, 2004.
DELVOSALLE, C. et al. ARAMIS project: A comprehensive methodology for the
identification of reference accident scenarios in process industries. Journal of hazardous
materials, Elsevier, v. 130, p. 200 219, 2006.
Referncias 189
DIANOUS, V.; FIVEZ, C. ARAMIS project: A more explicit demonstration of risk control
through the use of bowtie diagrams and the evaluation of safety barrier performance. Journal
of hazardous materials, Elsevier, v. 130, p. 220 233, 2006.
DIAS, A. Metodologia para anlise da confiabilidade em freios pneumticos automotivos.
Tese (Doutorado em Engenharia Mecnica) Universidade Estadual de Campinas
(UNICAMP), Campinas, 1996.
DIAS, A.; OGLIARI, A.; ALONO, A. S. Fatores de influncia no projeto de produto para
segurana. In: CONGRESSO BRASILEIRO DE GESTO DE DESENVOLVIMENTO DE
PRODUTO (CBGDP), V., Curitiba. In: . [S.l.: s.n.], 2005. Anais ...
DIAS, A. et al. Diagnstico dos procedimentos de operao e de manuteno das empresas
de gerao de energia eltrica no Brasil. [S.l.], 2000. Relatrio final para a Superintendncia
de Fiscalizao dos Servios de Gerao da Agncia Nacional de Energia Eltrica (ANEEL).
. Metodologia para gerenciamento de risco. In: SIMPSIO INTERNACIONAL DE
CONFIABILIDADE (SIC), 4., Salvador. In: . [S.l.: s.n.], 2006. Anais ...
. A framework for application of probabilistic risk analysis techniques. In: INTERNATI-
ONAL CONGRESS OF MECHANICAL ENGINEERING (COBEM 2007), 19., Braslia. In: .
[S.l.: s.n.], 2007. Proceedings ...
. Anlise de risco: uma sntese dos setores martimo, areo e nuclear. In: CONGRESSO
PAN-AMERICANO DE ENGENHARIA NAVAL TRANSPORTE MARTIMO E
ENGENHARIA PORTURIA (COPINAVAL), XX., So Paulo. In: . [S.l.: s.n.], 2007. Anais
...
DRJ (Disaster Recovery Journal); DRI (Disaster Recovery Institute International). Business
continuity glossary. St. Louis, MO, 2005.
DROGUETT, E. L.; MOSLEH, A. Methodology for the treatment of model uncertainty. In:
INTERNATIONAL CONFERENCE ON PROBABILISTIC SAFETY ASSESSMENT AND
MANAGEMENT (PSAM), 5., Osaka. In: . [S.l.: s.n.], 2000. Proceedings ...
ECO, U. Como se faz uma tese. 12a . ed. So Paulo: Editora Perspectiva, 1977.
ECSS (European Cooperation for Space Standardization). ECSS-Q-30-02A: Space product
assurance failure modes, effects and criticality analysis (fmeca). Noordwijk, The Netherlands,
2001.
EHLERS, R. S. Introduo a inferncia bayesiana. Curitiba, 2005. Disponvel em:
<http://www.est.ufpr.br/paulojus/CE227/ce227.pdf>. Acesso em: 11 ago. 2004.
ELETROSUL. MC/04/DJ/017: Manual de manuteno preventiva em disjuntores SF6 ,
550kv, fabricao Merlin-Gerin, tipo FA4. Florianpolis, 2006.
ENERVAC CORPORATION. Informaes sobre o produto: equipamento de tratamento
de gs SF6 . [S.l.], 2004. Disponvel em: <http://www.enervac.com/Portuguese/01.shtml>.
Acesso em: 14 jul.2006.
EPA (Environmental Protection Agency). Emission Reduction Partnership for Electric
Power Systems: 2003 annual report. [S.l.], 2003. Disponvel em: <http://www.epa.gov-
/electricpower-sf6/resources/index.html>. Acesso em: 2 jun. 2008.
Referncias 190
. Emission Reduction Partnership for Electric Power Systems: 2006 annual report.
[S.l.], 2006. Disponvel em: <http://www.epa.gov/electricpower-sf6/resources/index.html>.
Acesso em: 2 jun. 2008.
ERICSON II, C. A. Fault tree analysis: A history. in: International system safety conference,
17. In: . [S.l.: s.n.], 1999. Proceedings ...
ERICSON II, C. A. Hazard analysis techniques for system safety. New Jersey: John Wiley
& Sons, Inc., 2005.
EUROCONTROL (European Organisation for the Safety of Air Navigation). Review of

techniques to support the EATMP safety assessment methodology. [S.l.], 2004.
. SAM Electronic. v.2.1. [S.l.], 2006. Disponvel em: <Disponvel

em: <http://www.eurocontrol.int/safety/gallery/content/public% -/library/SAM-
/SAM Electronic Self Assessment.zip>. Acesso em: 03 abr. 2007.
EVERDIJ, M. H.; BLOM, H. A. Safety methods database. Version 0.7. [S.l.], 2008.
FAA (Federal Aviation Administration). RVSM status world wide. Washington, 2007.
Disponvel em: <http://www.faa.gov/about/office org/headquarters offices/ato/ service units-
/enroute/rvsm/status ww/>. Acesso em: 19 nov. 2008.
FERREIRA, A. B. d. H. Dicionrio Aurlio bsico da lngua portuguesa. Rio de Janeiro:

Nova Fonteira, 1988. ISBN 8520908268.
FIENBERG, S. E. When did bayesian inference become bayesian? Bayesian analysis - The
journal, v. 1 (Issue 1), p. 140, 2006.
GARCIA, P. A. d. A. Uma abordagem fuzzy com envelopamento dos dados da anlise dos
modos e efeitos de falha. 78 p. Tese (Doutorado em Cincias em Engenharia Nuclear)
Universidade Federal do Rio de Janeiro (UFRJ), Rio de Janeiro, 2006.
GILL, J. Bayesian Methods: A social and behavioral sciences approach. London: Chapman
& Hall/CRC, 2002.
GLENN, J. What is business continuity planning? How does it differ from disaster recovery
planning? Disaster Recovery Journal, DRJ, St. Louis, MO, v. 15 (Issue 1), 2005.
GOVERNORS. BowTieXp training guide. v.2.0.1. [S.l.], 2005. Disponvel em: <www-
.bowtiexp.com>. Acesso em: 08 set. 2007.
GOWLAND, R. The accidental risk assessment methodology for industries (ARAMIS)/layer

of protection analysis (LOPA) methodology: A step forward towards convergent practices in
risk assessment. Journal of hazardous materials, Elsevier, v. 130, p. 307 310, 2006.
HAMMER, W.; PRICE, D. Occupational safety management and engineering. 5a . ed.

Upper Saddle River, New Jersey: Prentice Hall, 2001. 603 p.
HEINRICH, H. W. Industrial accident prevention. 4a . ed. New York: McGraw-Hill, 1959.
HENG, G. M. Developing a suitable business continuity planning methodology. Infor mation

management & computer security, MCB University Press Limit, v. 4, n. 2, 1996. ISSN
0968-5227.
Referncias 191
HOLTON, G. A. Perspectives:: defining risk. Financial analysts journal, CFA Institute,

Charlottesville, VA, v. 97, n. 6, p. 0001 0011, 2004.
IAEA (International Atomic Energy Agency). 75-INSAG-3: Basic safety principles for nuclear
power plants. Rev. 1. Vienna, Austria, 1999.
. Safety Reports Series No. 25: Review of probabilistic safety assessments by regulatory
bodies. Vienna, Austria, 2002.
IANNACCHIONE, A. T.; ESTERHUIZEN, G. S.; TADOLINIM, S. C. Using major hazard
risk assessment to appraise and manage escapeway instability issues: A case study. In:
INTERNATIONAL CONFERENCE ON GROUND CONTROL IN MINING, 26. In: . [S.l.:
s.n.], 2007. p. 354360. Proceedings ...
IGEO (Instituto Geogrfico Portugus). RISE (Rede de Informao de Situaes de
Emergncia). Matriais Perigosas: hexafluoreto de enxofre. [S.l.], 2000. Disponvel em:
<http://scrif.igeo.pt/ASP/>. Acesso em: 08 jan. 2009.
IMO (International Maritime Organization). MSC/Circ.1023, MEPC/Circ.392: Guidelines
for formal safety assessment (fsa) for use in the imo rule-making process. London, 2002.
JENSEN, F. V. Reliability in engineering design. New York: Springer-Verlag, 2001.
KAPUR, K. C.; LAMBERSON, L. R. Reliability in engineering design. New York: John
Wiley & Sons, Inc., 1977.
KARAKASIDIS, K. A project planning process for business continuity. Industrial
management & data systems, MCB University Press Limit, v. 97, n. 8, 1997. ISSN
0263-5577.
KELLER, W.; MODARRES, M. A historical overview of probabilistic risk assessment
development and its use in the nuclear power industry: a tribute to the late Professor Norman
Carl Rasmussen. Reliability engineering and system safety, Elsevier, Northern Ireland, v. 89,
p. 271 285, 1998.
KIRCHSTEIGER, C. On the use of probabilistic and deterministic methods in risk analysis.
Journal of loss prevention in the process industries, v. 12, n. 5, p. 339 419, 1999. ISSN
0950-4230.
KRANIDIOTIS, T. Risk assessment methodology. In: INTERNATIONAL SYSTEM SAFETY
CONFERENCE (ISSC), 19., Huntsville, Alabama. In: . [S.l.]: System Safety Societys, 2001.
Proceedings ...
KUMAMOTO, H.; HENLEY, E. J. Probabilistic risk assessment and management for
engineers and scientist. 2a . ed. New York: IEEE Press Marketing, 1996. ISBN 0780310047.
LAPLACE, P. S. A Philosophical essay on probabilities. New York: Springer-Verlag, 1995.
Traduo por Andrew I. Dale da 5a edio francesa de 1825.
LEAVELL, H.; CLARK, E. G. Medicina preventiva. So Paulo: McGraw-Hill, 1976.
LEDERMAN F. NIEHAUS, B. T. L. Probabilistic safety assessment past, present and future:
An iaea perspective. Nuclear Engineering and Design, Elsevier, Northern Ireland, v. 160, p.
273 285, 1996.
Referncias 192
LEE, B. Using Bayes belief networks in industrial FMEA modeling and analysis. In: ANNUAL
RELIABILITY AND MAINTAINABILITY SYMPOSIUM, Philadelphia, PA. In: . [S.l.: s.n.],
2000. Proceedings ...
LEFEVRE, M. A. P.; JIMENEZ, R. D.; BIANCHI, P. R. Managing risks: The ITAIPU

Binacional experience. In: WATERPOWER, XII., Salt Lake City, Utah. In: . [S.l.]: HCI
Publications, 2001. Proceedings ...
LGER, A. et al. Bayesian network modelling the risk analysis of complex socio technical
systems. In: WORKSHOP ON ADVANCED CONTROL AND DIAGNOSIS, 4., Nancy,
France. In: . [S.l.: s.n.], 2006. Proceedings ...
LEME, R. A. S. Controle na produo. So Paulo: Empresa grfica da Revista dos tribunais,

1967.
LEVESON, N. Safeware: system safety and computers. New York: Addison-Wesley, 1995.
704 p. ISBN 0201119722.
LEVESON, N. et al. A systems theoretic approach to safety engineering. Cambridge, MA,

2003.
LEWIS, S.; HURST, S. Bow-tie anelegant solution. Strategic risk, p. 8, November 2005.
LIMA, F. d. P. A. Contribuio anlise da insegurana no trabalho e ao projeto de

mquinas mais seguras. Dissertao (Doutorado em Engenharia Mecnica) Universidade
Federal de Santa Catarina (UFSC), Florianpolis, 1985.
MAURINO, D. E. et al. Beyond aviation huma factors: safety in high technology systems.
Aldershot, England: Ashgate Publishing Limited, 1995.
MORAND DEVILLER, J. O sistema pericial: Percia cientfica e gesto do meio ambiente. In:
. Governo dos riscos. Braslia: Grfica Editora Pallotti, 2005.
MOSLEH, A.; DIAS, A. Towards an integrated methodology for identification,

classification, and assessment of aviation systems hazards. [S.l.], 2004. Final Report. Center
for Technology Risk Studies.
MOSLEH, A. et al. An integrated framework for identification, classification, and assessment

of aviation systems hazards. In: INTERNATIONAL CONFERENCE ON PROBABILISTIC
SAFETY ASSESSMENT AND MANAGEMENT (PSAM), 7., Berlin. In: . [S.l.: s.n.], 2004.
Proceedings ...
NASA (National Aeronautics and Space Administration). NASA-STD-8719.13A: Software

safety. Washington, 1997.
. Fault tree handbook with aerospace application. Version 1.1. Washington, 2002.
. Probabilistic risk assessment procedures guide for NASA managers and

practitioners. Washington, 2002.
. NASA-NPR 8000.4: Risk management procedural requirements. Change 1. Washington,

2004.
. NASA-NPR 8715.3: NASA Safety manual. Washington, 2004.

Referncias 193
. NASA-NPR 7120.5: Program and project management processes and requirements.

Washington, 2005.
NIST (National Institute of Standards and Technology). FIPS PUBS 183: Integration
definition for function modeling (IDEF0). Gaithersburg, MD, 1993. Draft Federal Information
Processing Standards Publication.
NIST (National Institute of Standards and Technology). SEMATECH (Semiconductor
Manufacturing Technology). e-Handbook of statistical methods: assessing product
reliability. [S.l.], 2003. Disponvel em: <http://www.itl.nist.gov/div898/handbook%
-/toolaids/pff/index.htm>. Acesso em: 10 ago. 2004.
GEEST, P. et al. (Ed.). NLR-CR-2003-316: Aviation safety management in Switzerland
Recovering from the myth of perfection. [S.l.], 2003.
OCONNOR, J. J.; ROBERTSON, E. F. Thomas bayes. MacTutor History of Mathematics,
June 2004. Disponvel em: <http://www-groups.dcs.st-and.ac.uk/history/Printonly/Bayes-
.html>. Acesso em: 18 de set. 2005.
PAPAZOGLOU, I. A. Mathematical foundations of event tree. Reliability engineering and
system safety, Elsevier, Northern Ireland, v. 61 (Issue 3), p. 169 183, 1998.
PARADIES, M.; UNGER, L. TapRoot: the system for root cause analysis, problem
investigation, and proactive improvement. Knoxville,Tennessee: System Improvements, Inc.,
2000.
PEARL, J. Probabilistic reasoning in intelligent systems: networks of plausible inference.
revised second printing. San Mateo, USA: MorganKaufmann Publishers Inc., 1988.
PHILLEY, J. Collar hazard with bow-tie. Chemical Processing, PutmanMedia, Itasca, IL,
January 2006. Disponvel em: <http://www.chemicalprocessing.com/articles/2005/612.html>.
Acesso em: 1 out. 2008.
PMI (Project Management Institute). PMBOK guide: A guide to the project management
body of knowledge. Newtown Square, PA, 2000.
. PMBOK guide: A guide to the project management body of knowledge. Newtown
Square, PA, 2004.
PRESLEY, A. R. A representation method to support enterprise engineering. Tese (Doctor
of Philosophy) Faculty of the Graduate School of University of Texas at Arlington,
Arlington, 1997.
RAC (Reliability Analysis Center). Use of bayesian techniques for reliability. Start Selected
Topics in Assurance Relates Technologies, RAC, v. 10, n. 8, 2003.
RAMZAN, A. The application of thesis bow-ties in nuclear risk management. The journal of
the safety & reliability society, UK Safety and Reliability Society, v. 26, n. 1, 2006.
REASON, J. Managing the risk of organizational accidents. England: Ashgate Publishing
Limited, 1997.
RICHARDSON, R. J.; PERES, J. A. d. S. Pesquisa social: mtodos e tcnicas. 2a . ed. So
Paulo: Atlas, 1989. (Broch.). ISBN 852240450X.
Referncias 194
RODRIGUES FILHO, J. G.; BARZ, E. Solubilidade do ar em SF6 fase lquida versus

temperatura, e sua aplicao para purificao do SF6 . In SEMINRIO NACIONAL DE
PRODUO E TRANSMISSO DE ENERGIA ELTRICA (SNPTEE), XVIII., Curitiba. In:
. [S.l.: s.n.], 2005. Anais ...
SAE (Society of Automotive Engineers). ARP 4761: Guidelines and methods for conducting
the safety assessment process on civil airborne systems and equipment. [S.l.], 1996.
. J1739: Potential failure mode and effects analysis in design (Design FMEA), potential
failure mode and effects analysis in manufacturing and assembly processes (Process FMEA),
and potential failure mode and effects analysis for machinery (Machinery FMEA). [S.l.], 2002.
SAKURADA, E. Y. As tcnicas de anlise dos modos de falhas e seus efeitos e anlise de

rvore de falhas no desenvolvimento e na avaliao do produto. Dissertao (Mestrado
em Engenharia Mecnica) Universidade Federal de Santa Catarina (UFSC), Florianpolis,
2001.
SALDANHA, F. Introduo a planos de continuidade e contingncia operacional. Edio

revisada. Rio de Janeiro: Papel Virtual Editora, 2000.
SANTOS, V.; CANDELORO, R. J. Trabalhos Acadmicos. Porto Alegre: Age, 2006.
SAVAGE, M. Business continuity planning. Work study, MCB University Press Limit, v. 51,
n. 5, 2002. ISSN 0043-8022.
SILVA, P. A confiabilidade e a avaliao de segurana no projeto de aeronaves. In: SIMPSIO

INTERNACIONAL DE CONFIABILIDADE SALVADOR (SIC), Salvador. In: . [S.l.: s.n.],
2006. Anais ...
SKJONG, R. Setting target reliabilities by marginal safety returns. In: JCSS WORKSHOP ON
RELIABILITY BASED CODE CALIBRATION, Zurich. In: . [S.l.: s.n.], 2002. Proceedings
...
SMITH, A. M. Reliability-centered maintenance. Boston, MA: Mc Graw Hill, 2001.
SMITH, D. Reliability, maintainability and risk: pratical methods for engineers. Amsterdam:
Butterworth Heinemann, 2001. ISBN 0 7506 5168.
SOUZA, G. C.; TENORIO, M. B.; NASSAR, S. M. Fatores motivadores para funcionrios

pblicos e privados. In: IT CONFERENCE SUCESU-MT, Cuiab. In: . [s.n.], 2002. Anais ...
Disponvel em: <www.inf.ufsc.br/silvia/disciplinas/sep/artigo01.pdf>. Acesso em: 10 ago.
2004.
STAMATELATOS, M. G. Probabilistic risk assessment: NASA strategy for capability

enhancement. In: NASA PRA PRACTICES AND NEEDS INTO THE NEW MILLENNIUM,
Washington. In: . [S.l.: s.n.], 2000. Proceedings ...
STAMATIS, D. H. Failure mode and effects analysis: FMEA from theory to execution. 7. ed.
Milwaukee: ASQC Quality Press, 1995.
SWAMINATHAN, S.; SMIDTS, C. The mathematical formulation for the event sequence
diagram framework. Reliability engineering and system safety, Elsevier, v. 65, p. 103 118,
1999.
Referncias 195
THE american heritage dictionary. 4. ed. Boston: Houghton Mifflin, 2000. ISBN 0395339596.
THIOLLENT, M. Metodologia da pesquisa-ao. 7. ed. So Paulo: Cortez, 1996. 108 p.

(Broch.). ISBN 8524900296.
TRBOJEVIC, V. Linking risk assessment of marine operations to safety management

in ports. In: BIENNIAL MARINE TRANSPORTATION SYSTEM RESEARCH AND
TECHNOLOGY COORDINATION CONFERENCE, 6., Washington. In: . [S.l.: s.n.], 2001.
Proceedings ...
. Linking risk analysis to safety management. In: INTERNATIONAL CONFERENCE

ON PROBABILISTIC SAFETY ASSESSMENT AND MANAGEMENT (PSAM), 7., Berlin.
In: . [S.l.: s.n.], 2004. Proceedings ...
UFSC (Universidade Federal de Santa Catarina). NEDIP (Ncleo de Desenvolvimento

Integrado de Produtos). MT-DJ-RT-NE-0: FMEA dos disjuntores famlia FA. Reviso 3.
Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-DJ-RT-NE-01: Relao e seleo dos disjuntores da Eletrosul para estudo no

projeto MitiSF6. Reviso 2. Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-DJ-RT-NE-03: Anlise funcional do disjuntor. Reviso 4. Florianpolis, 2008.

Relatrio do projeto MitiSF6.
. MT-DJ-RT-NE-05: Recomendaes. Reviso 1. Florianpolis, 2008. Relatrio do

projeto MitiSF6.
. MT-DS-AP-NE-2008-12-17: Apresentao do relatrio final. Florianpolis, 2008.

Apresentao final do projeto MitiSF6.
. MT-GE-RT-NE-01: Instituies e empresas de referncia no manuseio, tratamento

e normatizao relativo ao gs SF6 . Reviso 2. Florianpolis, 2008. Relatrio do projeto
MitiSF6.
. MT-GE-RT-NE-04: Indicadores de consumo de SF6 na Eletrosul. Reviso 2.

Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-GE-RT-NE-05: Anlise da base de dados de aes de manuteno da Eletrosul.

Reviso 1. Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-MP-RT-NE-01: QFD da metodologia. Reviso 1. Florianpolis, 2008. Relatrio do

projeto MitiSF6.
. MT-PR-RT-NE-01: IDEF0 dos processos relacionados manipulao do SF6 . Reviso

4. Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-PR-RT-NE-02: Procedimentos para manipulao do SF6 utilizando a mquina da

Cryoquip. Reviso 1. Florianpolis, 2008. Relatrio do projeto MitiSF6.
. MT-PR-RT-NE-03: FMEA dos processos de manipulao de SF6 na Eletrosul. Reviso

5. Florianpolis, 2008. Relatrio do projeto MitiSF6.
Referncias 196
. MT-PR-RT-NE-04: Sugesto de estrutura mnima necessria para dar suporte aos

processos relativos manipulao do SF6 . Reviso 2. Florianpolis, 2008. Relatrio do projeto
MitiSF6.
. MT-PR-RT-NE-05: Recomendaes para os processos relativos manipulao do SF6 .

Reviso 2. Florianpolis, 2008. Relatrio do projeto MitiSF6.
. NE-RE-06: Abordagem bayesiana. Reviso 1. Florianpolis, jun. 2008. Resumo de

tcnicas.
UNIO EUROPEIA. Regulamento (CE) N 842/2006 do Parlamento Europeu e do Conselho

de 17 de Maio de 2006: relativo a determinados gases fluorados com efeito de estufa. Jornal
Oficial da Unio Europeia, n. L161, p. 0001 0011, 2006. Disponvel em: <http://eur-lex-
.europa.eu/LexUriServ/LexUriServ.do?uri =OJ:L:2006:161:0001:0011:PT:PDF>. Acesso em:
8 jan. 2009.
. Regulamento (CE) N 305/2008 da Comisso de 2 de Abril de 2008: que estabelece,

nos termos do Regulamento (CE) no 842/2006 do Parlamento Europeu e do Conselho,
os requisitos mnimos e as condies para o reconhecimento mtuo da certificao do
pessoal que procede recuperao de determinados gases fluorados com efeito de estufa
em comutadores de alta tenso. Jornal Oficial da Unio Europeia, n. L092, p. 0017
0020, 2008. Disponvel em: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri
=OJ:L:2008:092:0017:0020:PT:PDF>. Acesso em: 8 jan. 2009.
UNO (United Nations Organization). IPCC (Intergovernmental Panel on Climate Change).

Climate Change 2007: The physical science basis. Cambridge, 2007. Disponvel em:
<http://www.ipcc.ch/ipccreports/ar4-wg1.htm>. Acesso em: 2 jun. 2008.
UNO (United Nations Organization). UNFCCC (United Nations Framework Convention on

Climate Change). The Kyoto Protocol. Kyoto, Japan, 1998. Disponvel em: <http://unfccc-
.int/kyoto protocol/items/2830.php>. Acesso em: 2 jun. 2008.
USA (United States of America). DOD (Department of Defense). MIL-STD-1629A:

Procedures for performing a failure mode, effects and criticality analysis. Washington, 1980.
. MIL-HDBK-881: Work breakdown structure. Washington, 1998.
USA (United States of America). NRC (Nuclear Regulatory Commission). NUREG 0492:
Fault tree handbook. Washington, 1981.
WANE, S. Risky business. Public Sector Forums, August 2005. Disponvel em:
<http://www.bsi-global.com/en/Standards-and-Publications/Industry-Sectors/Risk/Business-
continuity/Risky-business/>. Acesso em: 23 out. 2008.
WANG, J. The current status and future aspects in formal ship safety assessment. Safety
science, Elsevier, Northern Ireland, v. 38, p. 19 30, 2001.
WEICHSELGARTNER, J. Disaster mitigation: the concept of vulnerability revisited. Disaster

prevention and management, MCB University Press, v. 10, n. 2, 2001. ISSN 0965-3562.
XU, K. et al. Fuzzy assessment of FMEA for engine systems. Reliability engineering and
system safety, Elsevier, v. 75, p. 17 29, 2002.
197
Glossrio
Aceitao do risco (Risk acceptance): Opo por conviver com o risco planejando-se, ou
no, para sua ocorrncia.
Acidente (Accident): Eventos que resultem em dano ao homem ou ao ambiente. Neste

trabalho, o termo incidente ser preferencialmente utilizado pois engloba o conceito de
acidente.
Ameaa (Threat): Evento ou condio com potencial de causar um incidente.
Analise / avaliao de riscos (Risk assessment): Processo completo de anlise e avaliao

de riscos (ABNT, 2005, p. 4).
Analise de risco (Risk analysis): Uso sistemtico de informaes para identificar fontes e
estimar o risco (ABNT, 2005, p. 4).
Anlise do impacto no negcio (Business impact analysis): Processo que analisa as

consequncias de um incidente no negcio da organizao.
Avaliao do risco (Risk evaluation): Confronto entre o risco analisado com os objetivos de
risco definidos.
Averso ao Risco (Risk aversion): a atitude de preferir uma perda fixa em relao
loteria com a mesma perda esperada. Por exemplo: fazer seguro de um carro (evento certo,
mesmo que incorra em custo) para evitar o risco de perd-lo (evento incerto, pode-se incorres
em prejuzo ou no). Averso ao risco evidenciada em eventos catastrficos. Enfatiza-se
muito mais um acidente de avio, com vrias fatalidade (catstrofe), que acidentes de carro,
responsveis por inmeras fatalidade anualmente.
Barreiras (Barriers): Podem ser barreiras fsicas, procedimentos, manuais, educao,

Glossrio 198
capacitao, motivao ou qualquer medida que vise atuar na corrente causal evitando o
incidente ou mitigando suas consequncias.
Cenrio (Scenario): Um modelo ou esboo de uma esperada ou suposta sequncia de eventos

(THE. . . , 2000), que sevem para criar uma realidade visual (FERREIRA, 1988).
Cenrio causal (Causal scenario): O cenrio causal identifica (1) as causas do incidente, (2)
a sequncia de eventos propagados pela sua ocorrncia e (3) o efeito esperado para a
combinao dos eventos.
Chance (Chance): Grau de confiana que um evento ir ocorrer por exemplo, improvvel /
remota / ocasional / provvel.
Comunicao do risco (Risk communication): Troca ou compartilhamento de informaes

sobre o risco entre o tomador de decises e outras partes envolvidas (ABNT, 2005, p. 3).
Confiabilidade (Reliability): capacidade [ou habilidade] de um item desempenhar uma

funo requerida sob condies especificadas, durante um dado intervalo de tempo (ABNT,
1994, p. 3).
Contingncia (Contingency): O termo contingncia muito utilizado para designar todas

as aes aps o incidente tanto a resposta emergencial quanto a operao alternativa.
Alguns altores, entretanto, utilizam o termo contingncia em substituio operao
alternativa. Assim, nesse trabalho, este termo ser evitado, sempre que possvel, para evitar
problemas de interpretao. No entanto, quando utilizado, contemplar todas as aes aps o
incidente (i.e., gesto do incidente).
Controle ativo de risco (Active controllability of risk): So barreiras para prevenir o risco.
Controle do risco (Risk control): Comparao entre o risco analisado e os critrios de risco.
Caso o risco no possa ser aceito, deve ser tratado inclui tambm o planejamento dos riscos
aceitos. Assim, o controle do risco contempla a avaliao do risco e o tratamento.
Controle passivo de risco (Passive controllability of risk): So barreiras para mitigar as

consequncias.
Glossrio 199
Cpias de segurana (Backup): Cpia de um item (arquivo, documento, etc.) guardada sob
condies especficas, objetivando garantir a disponibilidade do item, caso a integridade do
original venha a ser comprometida.
Crise (Crisis): Situao decorrente da ocorrncia de um incidente que, se no for gerenciada

apropriadamente, pode resultar em perdas significativas para a organizao.
Evento gatilho (Trigger event): Evento que, quando associado a uma condio perigosa, pode
caso as barreiras sejam atravessadas deflagrar um incidente.
Evitar o risco (Risk avoidance): No se expor a um determinado risco implica em eliminar

o perigo.
Gerenciamento de continuidade do negcio (Business continuity management):

Gerenciamento sistemtico de atividades e recursos objetivando manter o risco de incidentes
que resultem em interrupo do negcio em um patamar aceitvel e, caso o incidente ocorra,
objetivando mitigar suas consequncias.
Gerenciamento de continuidade operacional: Gerenciamento sistemtico de atividades e

recursos objetivando manter o risco de incidentes que resultem em interrupo das funes
crticas da unidade organizacional em um patamar aceitvel e, caso o incidente ocorra,
Gerenciamento de segurana (Safety management ): Gerenciamento sistemtico de

atividades e recursos objetivando manter o risco de incidentes que resultem em dano
material, ao homem ou ao ambiente em um patamar aceitvel e, caso o incidente ocorra,
Gerenciamento do incidente (Incident management): Gerenciamento sistemtico de

atividades e recursos objetivando mitigar as consequncias de um incidente mitigando os
dano e / ou a condio de interrupo do negcio.
Homeostase do risco (Risk homeostasis): a tendncia das pessoas de manterem o nvel do

risco constante, mesmo que exista a viabilidade de uma alternativa mais segura. Por exemplo:
quando se suaviza uma curva, para prevenir acidentes, os motoristas tendem a correr mais,
Glossrio 200
mantendo o mesmo nvel de risco.
Identificao do risco (Risk identification): Processo para localizar, listar e caracterizar

elementos do risco (ABNT, 2005, p. 4).
Incidente (Incident): Incidente todo evento que tem consequncias negativas. Assim, o
termo incidente engloba o conceito de acidente que restrito a eventos que acarretem dano.
Mantenabilidade (Maintainability): Capacidade de um item ser mantido ou recolocado em

condies de executar suas funes requeridas, sob condies de uso especificadas, quando a
manuteno executada sob condies determinadas e mediante procedimentos e meios
prescritos (ABNT, 1994, p. 3).
Mximos de interrupo tolervel (Maximum tolerable outage): Tempo mximo que a

organizao admite ficar sem o processo.
Meta-incerteza (Meta-uncertainty): Meta-incerteza a incerteza associada a incerteza.

Existem dois erros associados a avaliao da incerteza do risco: (1) erro quanto a determinao
do efeito; e (2) erro na determinao da probabilidade de ocorrncia. Por exemplo: na
avaliao de um acidente, no se tem como garantir o valor da probabilidade de ocorrer o
acidente, nem de determinar precisamente a gravidade do acidente. Assim, a meta-incerteza
uma forma de erro epstemolgico.
Mitigao do risco (Risk mitigation): Limitao de quaisquer consequncias negativas de um

determinado incidente, atuando aps sua ocorrncia.
Modo de falha (Failure Mode): a maneira pela qual um sistema pode deixar de cumprir as
funes pretendida (SAE, 2002) .
Negcio (Business): Atividade fim da organizao.
Objetivos para os pontos de recuperao (Recovery point objective): Ponto em que se aceita
retornar o estado do processo por exemplo, cpias de segurana dirias garantem que os
dados no estaro mais que um dia desatualizados.
Glossrio 201
Organizao (Organization): Companhias, firmas, instituies, rgos de governo,

fundaes, e outras entidades independente da natureza do empreendimento (como ou sem
fins lucrativos).
Partes envolvidas (Stakeholder): Um indivduo, grupo ou organizao que pode afetar, ser
afetado, ou perceber-se afetado por um risco (ABNT, 2005, p. 3).
Percepo do risco (Risk perception): Maneira que as pessoas percebem um risco, com base
em um conjunto de valores ou interesses (ABNT, 2005).
Perfil do risco (Risk profile): o vetor (Li , Oi , Ui , CSi , POi ), onde Oi o resultado; Li a
chance do resultado ocorrer; Ui utilidade; CSi o cenrio causal; e POi a populao afetada
(KUMAMOTO; HENLEY, 1996).
Perigo (Hazard): Qualquer ato (omisso ou ao), condio ou estado do sistema ou uma
combinao desses com o potencial de resultar em um acidente, ou, de maneira mais
abrangente, em um incidente (MOSLEH et al., 2004).
Planejamento da continuidade do negcio (Business continuity planning): Parte do

gerenciamento da continuidade do negcio que se refere ao planejamento dos riscos aceitos.
Preveno do incidente (Incident prevention): Equivalente ao monitoramento e controle.

Nesse trabalho ser evitada a designao preveno do incidente para facilitar a distino do
contexto da reduo do risco.
Probabilidade (Probability): Nmero, entre 0 e 1, que representa a frequncia relativa de

ocorrncia de um evento em inmeras observaes.
Recuperao do negcio (Disaster recovery): Processo de recuperao da organizao para

uma condio aceitvel de operao, aps o incidente ter ocorrido.
Reduo do risco (Risk reduction): Trabalhar o risco a fim de diminuir a probabilidade de

ocorrncia do incidente e sua gravidade.
Reteno do risco (Risk retention): Aceitao do nus da perda associada a um determinado

Glossrio 202
risco tanto dos riscos voluntariamente retidos (conviver com um risco acima do aceitvel)
quanto os involuntariamente (riscos no identificados). A reteno do risco exclui o tratamento
envolvendo seguro ou qualquer outra forma de transferncia do risco (ABNT, 2005).
Risco (Risk): Risco a chance de ocorrncia de um estado futuro x, dada a ocorrncia de

um estado inicial que pode ser expressa pela probabilidade condicional
P(Estado f uturo x | Estado inicial) , sendo necessrio para sua completa caracterizao o
delineamento dos dois estados, alm dos cenrios que possibilitem esta transio (que
compem o perfil do risco).
Severidade (Severity): Associao do impacto e da abrangncia do incidente.
Significncia do resultado risco (Significance of outcome): o quanto se perdeu ou

ganhou com a escolha de uma alternativa. diretamente proporcional a perda e
inversamente proporcional ao ganho.
Sistema de gesto de risco (Risk management system): Conjunto de elementos de um

sistema de gesto da organizao relativo gesto do risco (ABNT, 2005).
Sistema tcnico (Technical system): O sistema tcnico pode, ento, ser entendido como um
conjunto de equipamentos e instalaes que tm uma (ou mais) funo para ser desempenhada
e, a todo o momento, est interagindo como o ambiente, o homem e outros sistemas tcnicos,
influenciando e sendo influenciado.
Transferncia do risco (Risk transfer): Est associada contratao de seguro ou

terceirizao do sistema tcnico que est exposto ao risco, ou seja, transferir para outros a
responsabilidade pelo incidente o que, por si s, no exclui o risco do ciclo de vida. Note-se
que a norma ABNT (2005) exclui da transferncia estratgias de reposicionamento de uma
fonte de risco (como na terceirizao).
Tratamento do risco (Risk treatment): [...] seleo e implementao de medidas para

modificar um risco (ABNT, 2005, p. 4). Estas medidas so no sentido de evitar, reduzir e/ou
transferir o risco.
Unidade organizacional (Organizational unit): Parte da organizao (normalmente

Glossrio 203
departamentos, setores, etc) composta por sistemas tcnicos e colaboradores a fim de

desempenhar uma, ou mais, funes interagindo com outras unidades organizacionais da
organizao em que est inserida e de outras, influenciando e sendo influenciado.
Utilidade do resultado risco (Utility of outcome): Inverso de significncias.
Verossimilhana (Likelihood): a probabilidade de se obter o dado observado. Para ilustrar

essa idia Souza, Tenorio e Nassar (2002) apresentam a seguinte relao: mais verossmil
que um pssaro voe do que um peixe (SOUZA et al., 2002).
204
APNDICE A -- Ferramenta computacional

OpenFMECA
Est sendo elaborado, no Ncleo de Desenvolvimento Integrado de Produtos da Univer-

sidade Federal de Santa Catarina (NeDIP / EMC / UFSC), desde outubro de 2006, um soft-
ware com cdigo fonte aberto (open source) para auxiliar no uso da tcnica FMECA, chamado
OpenFMECA1 .
A FMECA uma tcnica analtica que tem como propsito identificar, priorizar e eliminar
falhas potenciais de um sistema, projeto e/ou processo antes que estas atinjam o usurio final.
Ela teve sua origem no departamento de defesa dos Estados Unidos (DOD Department of De-
fense), em 1949, com a norma militar MIL-P-1629A (Military procedure MIL-P-1629A: pro-
cedures for performing a failure mode, effects and criticality analysis). A FMECA distingue-se
da FMEA (failure modes effects and analysis) pelo fato de agregar um ndice de criticidade que
orienta a prioridade nas aes a serem executadas pela organizao. Aps ter identificado os
modos de falha potenciais, com suas causas e efeitos, associa-se a estes modos de falha um
ndice de risco ou nvel de criticidade. A partir da priorizao destes ndices, aes corretivas
so definidas e implementadas.
A elaborao de software com cdigo fonte aberto (software livre) uma das diretrizes
do governo federal, corroborada pela maioria dos estados brasileiros2 . Este projeto est em
consonncia com essa tendncia e pretende deflagrar um programa, dentro do NeDIP, de de-
senvolvimento de software livre relacionado s tcnicas mais importantes na rea de projeto
mecnico neste caso a FMECA.
As duas primeiras verses do software foram feitas com o objetivo de dar suporte uti-
lizao desta tcnica3 . No entanto, apesar de bastante consolidada, a FMECA possui alguns
1 O texto apresentado neste apndice foi elaborado pela equipe do projeto OpenFMECA, que coordenado pelo
Professor Acires Dias. Fazem parte da equipe (ou fizeram): Lus Fernando Peres Calil; Eduardo Yuji Sakurada;
Heitor Azuma Kagueiama; Leonardo Mecab; Daniel Koudi Nakano; Glauco Vinicius Gil Peron; Andr Ogliari;
Emerson Rigoni; Gleber Estefani Diniz; e Thiago Nass de Holanda.
2 Vide <http://www.softwarelivre.gov.br/>.
3 A segunda verso do software foi uma reimplementao, objetivando melhorar a rapidez e o projeto grfico.
A.1 Objetivos 205
inconvenientes, destacadamente: a dificuldade de conciliar a tcnica com o tratamento estats-

tico das informaes, a limitao da representao na forma de tabela e o tempo consumido em
reunies. A fim de mitigar estes inconvenientes destacadamente os dois primeiros pontos ,
foi proposta a estrutura de trabalho que associa a FMECA a outras tcnicas.
Neste sentido, na verso em desenvolvimento do software OpenFMECA (verso .3),

pretende-se aprimorar a ferramenta computacional para que ela atenda a esta estrutura. Para
tanto, o software est sendo totalmente reestruturado. Atualmente, esto sendo geradas as es-
pecificaes tcnicas do software, que consistem no levantamento das necessidades dos clien-
tes (usurios e desenvolvedores); na definio de escopo; na definio do comportamento do
software e na estrutura da base de dados, usando UML; etc. Tambm est sendo elaborado
o planejamento da implementao, no qual se prev a disponibilizao do software no stio
SourceForge4 .
Tambm est sendo revisada a poltica de restries dos usurios, a fim de minimizar o
tempo em reunies (o terceiro inconveniente citado). O software pode ser instalado em um
servidor e ser acessado remotamente por um navegador de internet (browser). Isto possibilita
que a FMECA seja preenchida sem a necessidade da presena de todos os membros da equipe
reunidos no mesmo local. No entanto, se no existir uma poltica de restries bem definida,
pode-se perder o controle do desenvolvimento da FMECA.
Na prxima seo, sero apresentados os objetivos para o desenvolvimento do OpenF-

MECA, e, posteriormente, ser feita uma breve apresentao da verso .1 do software que
foi utilizada no projeto MitiSF6 com a Eletrosul.
A.1 Objetivos
O objetivo deste software ser uma ferramenta para auxiliar no uso da estrutura de trabalho
(framework) para gerenciamento de falha / incidente desenvolvida no NeDIP / EMC / UFSC,
que baseada nas tcnicas FMECA / CNEA. Este software deve permitir que a FMECA seja
(parcialmente ou totalmente) desenvolvida remotamente, a fim de reduzir o tempo dispendido
em reunies. Adicionalmente, prev-se a incluso de outras tcnicas para suprir algumas carn-
cias da FMECA / CNEA, a saber: IDEF0, redes bayesianas e FTA conforme apresentado a
seguir.
4 <http://sourceforge.net/>.
A.1 Objetivos 206
A.1.1 Ferramenta colaborativa
O OpenFMECA est sendo desenvolvido para ser instalado em um servidor e utilizado via
navegador de internet de qualquer local (desde que tenha conexo com a internet) ou qualquer
sistema computacional (PCs, palmtops, etc). Com isto, pode-se elaborar a FMECA de forma
distribuda, na qual mais de uma pessoa pode trabalhar na mesma FMECA, em postos de tra-
balho diferentes. Nesta condio, o OpenFMECA passa a ser utilizado como uma ferramenta
colaborativa, permitindo que se faa a anlise de maneira no presencial, eliminando ou, pelo
menos, minimizando a necessidade das reunies.
A.1.2 FMECA estruturado
O mdulo do software para FMECA estruturado foi desenvolvido nas verses anteriores do
software e consiste na elaborao da anlise em uma estrutura de rvore, na qual se desdobra o
sistema at a resoluo desejada e, posteriormente, analisam-se os potenciais modos de falha.
A.1.3 FMECA / CNEA
Verificou-se, nas aplicaes da estrutura FMECA / CNEA, que a representao grfica,

mostrando o encadeamento de cada cenrio, fundamental na anlise dos modos de falha.
O mdulo de CNEA possibilitar que a anlise dos modos de falha seja feita graficamente,
sendo possvel a exportao de relatrios na forma da tradicional tabela FMECA.
A.1.4 CNEA / Bayesiano
A tcnica CNEA no possibilita fazer tratamento estatstico. Assim, ser feita a associa-
o de redes bayesianas com a CNEA por meio de tabelas de correlaes para suprir esta
necessidade.
A.1.5 IDEF0
Em muitos casos, a FMECA baseada no desdobramento funcional realizado utilizando

a tcnica IDEF0. Assim, neste mdulo, ser possvel elaborar diagramas IDEF0 bsicos, que
tambm sero apresentados no mdulo FMECA estruturado, na forma de desdobramento do
sistema em anlise.
A.2 Apresentao da verso .1 207
A.1.6 FTA
A FTA uma forma grfica de representar a relao entre as falhas fazendo uso de portas
lgicas (E, OU, etc). Com este mdulo, ser possvel elaborar anlise por rvore de falhas de
barreiras ou de causas que se pretendem detalhar melhor.
A.2 Apresentao da verso .1
A estrutura de tabelas e informaes relativas FMECA, utilizada neste software, foi base-
ada nas recomendaes apresentadas na SAE J17395 .
A tela de abertura (Home) do software ilustrada na Figura A.1 est dividida em 3 sees:
OpenFMECA sistemas; e configuraes.
apresentao; Page 1 of 1
Apresentao
OpenFMECA uma ferramenta computacional para auxiliar no uso da tcnica FMECA. Ela um software conceito, isto , ela est sendo
desenvolvida para viabilizar a implementao de propostas no uso de FMECA. Estas propostas podem ser disponibilizadas na forma de
mdulos ou at mesmo incorporadas ferramenta em uma nova verso.
O mtodo adotado para a elaborao da FMECA est dividido em 8 passos principais: (1) desdobrar o sistema em subsistemas; (2) levantar
os possveis modos de falhas para o ltimo nvel dos subsistemas; (3) levantar possveis efeitos na ocorrncia de cada modo de falha; (4)
levantar as causas de cada modo de falha; (5) levantar os controles atuais para cada cenrio; (6) avaliar os ndices de ocorrncia,
severidade e deteco; (7) criar planos de ao para os cenrios mais crticos; e (8) reavaliar os ndices aps a implementao dos planos.
muito importante que se definam, em consenso com a equipe, os ndices que sero adotados. Por isso, recomenda-se ateno seo
Configuraes.
Durante o desenvolvimento do FMECA, para cada elemento selecionado ([ST] sistema, [SS] subsistema, [MF] modo de falha, [EF] efeito,
[CA] causa, [CT] controle atual, [PA] plano de ao), haver um menu especfico no campo direita da tela.
Sistemas - Elaborao da FMECA

Selecione um dos sistemas criados ou crie um novo:
DMS 6 Nesta pgina Nova aba
Configurao
Nesta seo, podem-se selecionar os membros de cada equipe e os valores dos ndices de severidade (S), ocorrncia (O) e deteco (D).
Configurao
Figura A.1: Tela de apresentao do OpenFMECA
Na seo Configurao, podem-se gerenciar os sistemas cadastrados no OpenFMECA,

conforme ilustrado na Figura A.2.
Observe-se que possvel excluir um sistema pela opo deletar (opo restrita ao mode-
5 Destaca-se que a SAE J1739 distingue 3 tipos de FMECA (de projeto, de processo e de maquinrios), que
no software foram simplificadas para que se elaborasse apenas uma estrutura. Assim, o software no cumpre,
integralmente, a recomendaes, mas se baseia nelas.
Home
Sistemas Cadastro dos Sistemas Opes
Sistemas: Restaurar
Equipe [ST]Disjuntor_artigo
[ST]DMS
Seleo de [ST]Mquina do leme
Participantes [ST]Projetor
Cadastro de
Participantes Lixeira:
[ST]Teste
ndices
Teste Siglas:
[ST] Sistema
Descricao do Teste
Figura A.2: Tela de cadastro de sistemas, nas configuraes
rador do sistema), no entanto, este sistema simplesmente transferido para uma lixeira, onde
se pode recuper-lo sem perda de informao somente o administrador do OpenFMECA tem
poder para excluir definitivamente um sistema.
Na seo de configuraes, pode-se, ainda, fazer a seleo das pessoas que faro parte da
equipe de cada FMECA, ilustrado na Figura A.2.
Caso se deseje cadastrar um novo participante das FMECAs, pode-se faz-lo acionando o
boto Cadastrar Pessoa, ilustrado na Figura A.4.
Adicionalmente, podem-se alterar os limites dos ndice de severidade(S), ocorrncia(O) e

dificuldade de deteco (D), a fim de dar mais peso a um determinado atributo, por exemplo:
severidade variando at 20, ocorrncia at 10 e deteco at 5 o que resulta em um peso
relativo de 4 para 2 para 1, respectivamente.
Na seo Sistemas Elaborao da FMECA, feita a seleo do sistema que se deseja

analisar, ou criao de um novo sistema. Uma vez selecionado, pode-se abrir a FMECA do
sistema na mesma ou em uma nova aba do navegador a Figura A.5 ilustra a tela da FMECA
do Departamento de Manuteno do Sistema da Eletrosul (DMS).
O primeiro passo da anlise dos modos de falha no OpenFMECA o desdobramento

do sistema em subsistemas at a resoluo desejada. Para tanto, utiliza-se a opo novo sub-
Home
Sistemas Seleo dos participantes de cada equipe
Sistema Pessoas Disponveis Equipe Selecionada
Equipe
Seleo de
Participantes
Cadastro de
Participantes
ndices
Figura A.3: Tela de seleo de participante, nas configuraes
Home
Sistemas Cadastro dos Participantes Opes
Participantes da FMECA: Novo Participante
Equipe Editar
[-] [PF]Acires Dias(3)
[ST]DMS Deletar
Seleo de Cadastros
Participantes [ST]Mquina do leme
[ST]Projetor Organizao
Cadastro de [+] [PF]Daniel Koudi Nakano(1)
Participantes [+] [PF]Eduardo Yuji Sakurada(2)
ndices [+] [PF]Emerson Rigoni(1)
[+] [PF]Glauco Vinicius Gil Peron(1)
[-] [PF]Gleber Estefani Diniz(1)
[ST]Projetor
[+] [PF]Heitor Azuma Kagueiama(2)
[+] [PF]Lus Fernando Peres Calil(2)
[+] [PF]Thiago Nass de Holanda(1)
Siglas:
Nome: Acires Dias Especialidade: Coordenador do OpenFMECA [PF] Participante
[ST] Sistema
Email: contato@nedip.ufsc.br Organizacao: UFSC 6
Telefone: 048 3721-9719 Unidade: NeDIP 6
Cadastrar Cancelar
Figura A.4: Tela de cadastro de participante, nas configuraes
sistema na barra lateral direita. Podem-se, ento, incluir os possveis modos de falha (MF) dos
subsistemas que esto no ltimo nvel do desdobramento. Desta forma, a FMECA elaborada
[-][ST]DMS Home
[+][SS]A1: Gerenciar insumos Opes
[-][SS]A2: Fazer manuteno de equipamentos isolados a SF6 Novo Modo de Falha
[-][SS]A21: Fazer manuteno de disjuntores isolados a SF6 Editar
[-][SS]A211: Comissionar disjuntor Deletar
[+][MF]Disjuntor aceito com SF6 inadequado Relatrios
[-][MF]Perda de gs durante o enchimento Relatrio STD
[-] Efeitos: Relatrio Descrio
[-][EF]Perda de SF6 para a atmosfera Cadastros
[-][EF]Inalao de subprodutos txicos Efeitos
[-][EF]Comprometimento sade de colaboradores Controles Atuais
Plano de Aes
[-] Causas:
[+][CA]Purga na linha de SF6
[+][CA]Linha de gs em mau estado de conservao
[+][CA]Impacto na vlvula
[+][CA]Falta de procedimentos padronizados
[+][CA]Corpo tcnico sem capacitao para executar a operao
[+][MF]Disjuntor aceito com problemas de estanqueidade
[+][MF]Disjuntor aceito com problemas no sistema de controle de presso de SF6
[+][MF]Falta de registro do gs utilizado no enchimento (fornecedor ou Eletrosul) ou
registro incorreto
[+][MF]Disjuntor comissionado sem conferncia ou verificao do projeto que o
acompanha
[+][SS]A212: Complementar presso de SF6 no disjuntor
A211: Comissionar disjuntor Siglas:
[ST] Sistema
O processo de comissionamento consiste em uma srie de testes para avaliar a condio do equipamento [SS] Subsistema
na primeira instalao do disjuntor. Normalmente o comissionamento feito pelo fabricante do disjuntor com [MF] Modo de falha
superviso da ELETROSUL, no entanto, pode-se contratar uma terceira empresa para faz-lo. O fornecedor [EF] Efeito
[CA] Causa
do disjuntor faz a carga inicial de SF6 e eventualmente existe um excedente de gs. Estes cilindros, quando [CT] Controle atual
cheios, so adicionados ao estoque (tem entrada no sistema de informao) e, quando j utilizado parte do [PA] Plano de ao
SF6, permanecem na subestao em que foi instalado o disjuntor.
Figura A.5: Tela de elaborao da FMECA do DMS
no formato de rvore, o que melhora a visualizao e o entendimento.
O passo seguinte a incluso dos possveis efeitos e causas de cada modo de falha para
cada subsistema e, posteriormente, dos controles atuais e aes propostas (plano de aes).
Observe-se que as opes apresentadas na barra lateral so adaptadas ao contexto. Quando

selecionado um sistema (ou subsistema) que j tenha um modo de falha cadastrado, por exem-
plo, exibem-se opes novo modo de falha, editar e deletar; tambm, podem-se gerar
relatrios STD (standard) e relatrios de descrio; e podem-se editar os cadastros de
efeitos, de controles atuais e de plano de aes conforme ilustrado na Figura A.5.
O Quadro A.1 indica os itens na barra lateral disponveis para diferentes elementos da FMECA
selecionados.
O passo seguinte a determinao dos ndices que iro compor a criticidade. Para tanto,
seleciona-se a opo avaliar ndices na barra lateral vide Quadro A.1, item selecionado:
Modo de falha e uma nova aba abrir com campos para serem preenchidos com as estimativas
dos ndices, conforme ilustrado na Figura A.6.
Assim que os ndices de severidade, ocorrncia e de deteco forem inseridos, o software

apresentar o valor do NPR (nmero de prioridade de risco, que o produto dos ndices S, O e
D).
Quadro A.1: Contedo da barra lateral direita para diferentes elementos da FMECA selecio-
nados
Item selecionado Contedo da barra lateral direita

Nenhum item selecionado Cadastros: Efeitos, Controles Atuais, Plano de Aes.
Opes: Novo subsistema, Novo modo de falha, Editar.
Sistema raiz sem subsistema ou
Relatrio: Relatrio descrio, Relatrio STD.
modo de falha
Cadastros: Efeitos, Controles Atuais, Plano de Aes.
Opes: Novo subsistema, Editar.
Sistema raiz com subsistema Relatrio: Relatrio descrio, Relatrio STD.
Opes: Novo modo de falha, Editar.
Sistema raiz com modo de falha Relatrio: Relatrio descrio, Relatrio STD.
Opes: Novo subsistema, Novo modo de falha, Editar, Deletar.
Sistema sem subsistema ou
Relatrio: Relatrio descrio, Relatrio STD.
modo de falha
Opes: Novo subsistema, Editar, Deletar.
Sistema com subsistema Relatrio: Relatrio descrio, Relatrio STD.
Opes: Novo modo de falha, Editar, Deletar.
Sistema com modo de falha Relatrio: Relatrio descrio, Relatrio STD.
Opes: Novo efeito, Nova causa, Editar, Deletar.
Modo de falha ndices: Avaliar, Reavaliar.
Opes: Editar, Deletar.
Efeito
Opes: Novo controle atual, Nova ao, Editar, Deletar.
Causa
Controles Atuais
Aes propostas
Podem-se, ento, incluir as aes que devero ser tomadas para a reduo do NPR. Na
opo nova aes, disponvel quando se seleciona uma causa, podem-se inserir, alm da
descrio da ao, o responsvel, a data limite para a execuo e a estimativa de custo.
Por fim, pode-se rever a estimativa dos valores dos ndices aps a implementao das aes
na opo reavaliar ndices vide Figura A.7.
Adicionalmente, pode-se gerenciar o cadastro de efeitos, controles atuais e aes. Esses

elementos da FMECA devem ser cadastrados no software para serem atribudos a um determi-
A.2 Apresentao
Indices da verso .1 Page 1 of 1 212
DMS > A2: Fazer manuteno de equipamentos isolados a SF6 > A21: Fazer
manuteno de disjuntores isolados a SF6 > A211: Comissionar disjuntor
Perda de gs durante o enchimento:
Perda de SF6 decorrente do processo de enchimento, tais como: vazamento na vlvula
do cilindro, purga da mangueira, falta de vedao no engate rpido, etc.
Efeitos S Causas O Controles Atuais D NPR
Purga na linha de -- -- 6 0
6
SF6
Linha de gs em
mau estado de -- 6 -- 6 0
conservao
Impacto na vlvula -- 6 -- 6 0
-Perda de SF6 para
a atmosfera -Elaborao e
-Inalao de verificao de
Falta de
subprodutos txicos -- 6 procedimentos para o
procedimentos -- 6 -- 6 0
-Comprometimento enchimento de gs e
padronizados
sade de capacitao do corpo
colaboradores tcnico
-Elaborao e
Corpo tcnico sem verificao de
capacitao para -- procedimentos para o
6 -- 6 0
executar a enchimento de gs e
operao capacitao do corpo
tcnico
Figura A.6: Tela de uma avaliao de ndices
nado modo de falha. Assim, nestas sees, podem-se criar novos efeitos e excluir, substituir ou
modificar efeitos existentes.
Quanto aos relatrios, a verso .1 disponibiliza a tabela STD6 que a usual da FMECA,
baseada na estrutura apresentada na SAE J1739 e o relatrio descritivo de cada elemento que
compe a FMECA.
A.2.1 Concepo do software
O paradigma adotado foi o orientado a objeto, o que simplificou o cdigo comparando-

o com um paradigma estrutural, e, como modelo do ciclo de vida do software, adotou-se o
incremental.
Em virtude da deciso de utilizar um browser como interface, optou-se pelo uso de PHP7 ,
JavaScript e MySQL para program-lo, o que permite que ele seja multiplataforma possvel
de ser implementado em Windows, Linux e outros sistemas operacionais. Outra deciso impor-
http://150.162.119.40/openFMECA/indices/indices.php?sistema=50&oid=77&pos=0 8/7/2009
6 STD, do ingls standard.
7 Acrnimo para hypertext preprocessor. uma linguagem de programao dinmica interpretada, muito utili-
zada para programao na internet.

Indices
A.2 Apresentao da verso .1 Page 1 of213
2
DMS > A2: Fazer manuteno de equipamentos isolados a SF6 > A21: Fazer manuteno de
disjuntores isolados a SF6 > A211: Comissionar disjuntor
Perda de gs durante o enchimento:
Perda de SF6 decorrente do processo de enchimento, tais como: vazamento na vlvula do cilindro,
purga da mangueira, falta de vedao no engate rpido, etc.
Controles Plano de ndices aps aes
Efeitos S Causas O D NPR
Atuais Aes S O D NPR
Aquisio de
bombas de
vcuo
Fazer vcuo
em
substitio a
purga
Purga na linha Cuidados
0 0 0 -- 6 -- 6 0
de SF6 quanto a
fonte de calor
em
operaes
passveis de
ocorrer
vazamento
(ex. cigarro)
Elaborao
de
procedimento
para
verificao
-Perda de SF6
da condio
para a atmosfera
de vlvulas e
-Inalao de Linha de gs conexes
subprodutos em mau
txicos 0 estado de 0 0 0 Cuidados -- 6 -- 6 -- 6 0
- conservao quanto a
Figura A.7: Parte da tela de uma reavaliaofonte
Comprometimento de caloraps aes
de ndices,
sade de em
colaboradores operaes
passveis de
ocorrer
tante foi a escolha do navegador no qual o software est sendo desenvolvido, j que JavaScript
vazamento
tem problemas de compatibilidade entre navegadores de internet.(ex. cigarro)
Desta forma, optou-se pelo
Elaborao
Mozilla Firefox, que tambm open source. de
procedimento
Durante os primeiros meses, foram levantados os requisitospara do sistema e proposta uma
verificao
implementao. O processo de desenvolvimento do software da condio
foi executado utilizando-se uma
de vlvulas e
verso simplificada do processo unificado (unified process conexes
UP).
Impacto na
0 0 0 Cuidados -- 6 -- 6 0
vlvula 8 quanto a
A documentao baseada em diagramas UML , bem como em comentrios ao longo do
fonte de calor
cdigo. Os diagramas UML selecionados foram: (1) diagrama em de classes; (2) diagrama de
operaes
banco de dados; e (3) diagrama de interao, conforme ilustrado na de
passveis Figura A.8.
ocorrer
O modelo de implementao escolhido foi o em camadas. vazamento
A mais prxima com o usurio
(ex. cigarro)
foi denominada Interface e faz a conexo entre as requisies do usurio e o sistema. Tambm
8 Foi utilizado o software Enterprise Architect para gerar a documentao UML.
http://150.162.119.40/openFMECA/indices/indices.php?sistema=50&oid=77&pos=1 8/7/2009
OpenFMECA
5
OpenFMECA
Diagrama de classes
Modelo banco de dados
Diagramas de sequncia
Inicio
[ST]Sistema
[SS]Subsistema
[MF]Modo de falha
[EF]Efeito
[CA]Causa
[CT]Controle atual
[PA]Ao
6
3 4
Figura A.8: Tela de um diagrama de sequncia
faz a apresentao do sistema de maneira conveniente e intuitiva, gerando relatrios e pginas

de visualizao dos dados. A camada que contm o sistema foi denominada Domnio. A
ltima camada o banco de dados .
Na camada Domnio, esto inseridas as regras e as estruturas de dados necessrias para

representar a FMECA optou-se por utilizar a linguagem PHP nesta camada.
Quanto interface, foi escolhido o modelo de requisies de pginas http9 utilizando-se

solicitaes assncronas com JavaScript destacadamente AJAX10 . Esse modelo permite ao
programador obter um maior controle sobre as aes do usurio no sistema do que no modelo
tradicional. Isto tambm possibilita diminuir o trfego de dados com o servidor, uma vez que
apenas as informaes novas so enviadas ao cliente. A linguagem JavaScript tambm foi
escolhida para aprimorar a interface com o usurio do sistema, possibilitando respostas mais
rpidas aos estmulos do usurio. Como biblioteca, optou-se pelo uso da XAJAX, que uma
biblioteca PHP, com cdigo fonte aberto, para fazer aplicaes web baseadas em AJAX.
As tabelas no banco de dados foram desenvolvidas para dar suporte ao modelo adotado.
9 Acrnimo para hypertext transfer protocol, que significa protocolo de transferncia de hipertexto.
10 Acrnimo para synchronous Javascript and XML.
Esse modelo prev a criao de uma tabela para cada classe de objeto. Para cada atributo de
uma classe, uma coluna foi criada; para representar uma instncia de uma classe, uma linha do
banco.
A.2.2 Aspectos relevantes do software
Podem-se enumerar vrios aspectos relevantes do OpenFMECA. Destaca-se, primeira-

mente, o fato de ele ser instalado em um servidor e ser utilizado via navegador de internet.
Esta uma tendncia das ferramentas computacionais e traz uma srie de benefcios, dentre
eles:
A possibilidade de se utilizar o software de qualquer sistema computacional (PCs, palm-

tops, etc.) ou sistema operacional (Windows, Linux, Mac OS, etc.) que tenha acesso
internet por meio de um browser preferencialmente Mozilla Firefox .
A possibilidade de elaborar a FMECA de forma distribuda, i.e, mais de uma pessoa tra-
balhando na mesma FMECA, em postos de trabalho diferentes, como uma ferramenta
colaborativa. Neste sentido, pode-se pensar em fazer a FMECA de maneira no presen-
cial, eliminando ou, pelo menos, minimizando a necessidade das reunies.
A utilizao do browser como interface, o que diminui a curva de aprendizado do usurio,
j que, usualmente, ele est familiarizado a este ambiente.
A possibilidade de ser utilizado de qualquer local, sem a necessidade de instalao de
software especfico no vinculando o trabalho a uma determinada mquina.
Adicionalmente, destaca-se o fato de o OpenFMECA ter seu cdigo fonte aberto, o que
permite que os usurios adaptem a ferramenta para as necessidades da organizao em que ela
est sendo implementada.
O software tambm traz uma abordagem diferente para a elaborao da FMECA. Ele pro-
pe que a anlise seja feita na forma de rvore. Isso permite melhor visualizao da FMECA
em relao representao em forma de tabela, que, de acordo com Lee (2001), fracamente
estruturada e semanticamente pobre.
Por fim, destaca-se que o software possibilita melhor gesto do conhecimento, uma vez
que, alm do nome de cada elemento da FMECA (causa, efeito, modo de falha, etc.), tambm
permite que se inclua um texto descritivo e, nas prximas verses, figuras ilustrativas.
REFERENCIAS DO APNDICE A
LEE, B. Using Bayes belief networks in industrial FMEA modeling and analysis. In: INTER-
NATIONAL SYMPOSIUM ON PRODUCT QUALITY AND INTEGRITY, Philadelphia, PA;
2001. Proceedings...
217
ANEXO A -- Instruo para atendimento em estado

de contingncia
M ANU AL DE PROCEDIMENTOS
SISTEMA DE OPERAO E MANUTENO DA DISTRIBUIO
SUBSISTEMA PROCEDIMENTO E CONTROLE DA OPERAO DA DISTRIBUIO
CDIGO TTULO FOLHA
I-332.0027 ATENDIMENTO EM ESTADO DE CONTINGNCIA 1/13
1. FINALIDADE
Planejar, organizar e racionalizar os procedimentos de operao frente a uma condio de estado

de contingncia.
2. MBITO DE APLICAO
Aplica-se Diretoria Tcnica - DTE e Agncias Regionais.
3. ASPECTOS LEGAIS
a) Instrues Normativas da Celesc;
b) Norma Regulamentadora - NR 10.
4. CONCEITOS BSICOS
4.1. Tempestade Severa
Caracteriza-se pela agitao violenta da atmosfera, de abrangncia e intensidade excepcionais,

cuja conseqncia no mnimo dezenas de quilmetros de sistema de distribuio avariado. As
tempestades severas diferenciam-se das demais tempestades devido a sua abrangncia e
intensidade, pois geralmente vrios bairros e municpios so fortemente atingidos. As
tempestades severas ocasionam centenas de reclamaes de falta de energia e dezenas de
alimentadores desligados. So exemplos de tempestades severas: Furaco Catarina ocorrido em
31 de maro de 2004, em Cricima e demais municpios vizinhos e o Ciclone Extra Tropical
ocorrido em 08 de agosto de 2005, em Florianpolis, Palhoa, So Jos e demais municpios
litorneos.
PADRONIZAO APROVAO ELABORAO VISTO

DVDS RES. DTE N 0008/2007 - 08/01/20007 DVOD DPOP
CDIGO: I-332.0027 FL. 2/13
4.2. Adversidade Meteorolgica
Caracteriza-se pela agitao discreta da atmosfera, sempre acompanhada de chuva, raio e vento,
de abrangncia e intensidade reduzida, cuja conseqncia a avaria de partes isoladas do
sistema de distribuio. As adversidades meteorolgicas diferenciam-se das tempestades
severas, devido sua abrangncia e intensidade, pois apenas alguns bairros so fortemente
atingidos. As adversidades meteorolgicas ocasionam dezenas de reclamaes de falta de
energia, assim como eventualmente alguns alimentadores desligados. So exemplos de
adversidade meteorolgica: tempestades de vero, vendavais isolados associados a frentes frias
e ciclones extra tropicais moderados.
4.3. Estado de Contingncia
Perodo correspondente ao intervalo desde a decretao do estado de contingncia, at a

decretao do retorno condio normal de operao, tornando-se necessria, neste perodo, a
aplicao desta Instruo Normativa. O estado de contingncia aplica-se em dois nveis:
a) Nvel I - quando h a necessidade de mobilizao de todo o efetivo de atendimento da

Agncia Regional decretante do estado de contingncia;
b) Nvel II - quando, alm da mobilizao de todo o efetivo da Agncia Regional, h

necessidade de mobilizar equipes de atendimento de outras Agncias Regionais.
4.4. Equipes Adicionais
So as equipes extras que estaro trabalhando em regime especial no estado de contingncia,

compostas por turmas de manuteno de emergncia (Celesc), turmas de manuteno pesada
(Celesc e empreiteiras) e equipes de atendimento comercial (Celesc), tanto da Agncia
Regional decretante, quanto de outras Agncias Regionais. Aps o fim do estado de
contingncia, estas equipes retornam s condies de origem.
4.5. Estao Adicional de Despacho
Estao adicional de despacho, composta por uma estao VHF (mesmo canal), uma mquina
SIMO e um telefone, para trabalho com um despachante adicional, a fim de facilitar o trabalho
dos despachantes atravs da diviso de tarefas, definidas previamente pelo Chefe da Superviso
de Operao e Distribuio - SPOD.

CDIGO: I-332.0027 FL. 3/13
5. PROCEDIMENTOS GERAIS
5.1. Do Monitoramento e Controle
5.1.1. Das Informaes Meteorolgicas
5.1.1.1. Do Boletim Meteorolgico
O Boletim Meteorolgico, de responsabilidade de emisso do CIRAM/EPAGRI, dever ser

enviado, diariamente, para os chefes de Departamentos da Diretoria Tcnica - DTE e a
todos os chefes da Diviso de Distribuio - DVDI, chefes da Diviso de Operao e
Manuteno - DVOM e Chefes da SPOD das Agncias Regionais.
O Boletim Meteorolgico dever conter informaes sobre as tendncias dos modelos

meteorolgicos de forma clara e objetiva, possibilitando aos que o receberem, o
acompanhamento das condies climticas.
5.1.1.2. Da Comunicao Entre as Agncias Regionais
Recomenda-se a comunicao entre os chefes da SPOD das Agncias Regionais, de modo a

indicar tendncia de tempestade severa e/ou adversidades meteorolgicas em locomoo de
uma regio para outra, de forma a complementar a previso com o alerta meteorolgico.
5.1.1.3. Do Alerta Meteorolgico
O Alerta Meteorolgico, de responsabilidade de emisso do CIRAM/EPAGRI, dever ser

encaminhado para os chefes de Departamentos da DTE e aos chefes da DVDI, chefes da
DVOM e chefes da SPOD das Agncias Regionais.
Cabe ao chefe da SPOD o repasse deste alerta meteorolgico ao corpo operacional da

Agncia Regional, entre eles, os despachantes, o Supervisor de Despacho, quando existir, e
o rgo de apoio.
O Alerta Meteorolgico dever conter informaes sobre possvel incidncia de tempestade

severa e/ou adversidade meteorolgica em determinada regio da concessionria, de forma
clara e objetiva, possibilitando aos que o receberem, o entendimento da abrangncia e a
intensidade do evento previsto.

CDIGO: I-332.0027 FL. 4/13
5.1.2. Do Estado de Alerta
5.1.2.1. Do Estado de Alerta das Equipes
Quando a tempestade severa e/ou adversidade meteorolgica for iminente, poder o chefe
da SPOD, atravs das demais chefias da Agncia Regional, efetuar a mobilizao das
equipes de manuteno de emergncia, manuteno pesada e comercial, conforme inciso
5.2.1., constante nesta Instruo Normativa.
5.1.2.2. Da Aferio das Ferramentas e Material
Constatada a possibilidade de uma tempestade severa e/ou adversidade meteorolgica, cabe

ao Chefe da SPOD a aferio e a adequao das ferramentas disponveis nos veculos, do
KIT de Contingncia, e do material disponvel necessrio para interveno na rede eltrica,
inclusive tomando providncias quando constatada a falta de algum material, conforme
subinciso 5.2.3.5., constante nesta Instruo Normativa.
Constatada a possibilidade de uma tempestade severa e/ou adversidade meteorolgica, cabe

aos chefes da SPMD, Superviso de Projeto Cadastro e Construo - SPPC e
DVCL/Superviso de Utilizao de Energia - SPUE a aferio e adequao das ferramentas
e materiais disponveis nos veculos necessrios para interveno na rede eltrica, inclusive
tomando providncias quando constatada a falta de algum material, conforme subinciso
5.2.3.5., constante nesta Instruo Normativa.
5.1.3. Da Avaliao e Caracterizao do Evento
Dada a ocorrncia de um evento de tempestade severa e/ou adversidade meteorolgica, cabe

ao chefe da DVDI, com o apoio dos chefes da SPOD, SPMD e SPPC, caracterizar a
abrangncia e intensidade do impacto causado pelo evento adverso para dimensionamento
logstico, estimativas de prazo de restabelecimento geral e dimensionamento da necessidade
de equipes, levando em conta, os seguintes itens:
a) nmero de Notas de Reclamao - NR em espera;
b) nmero de alimentadores fora;
c) inspeo in loco.

CDIGO: I-332.0027 FL. 5/13
5.1.4. Da Decretao do Estado de Contingncia
Cabe ao chefe da DVDI coordenar uma reunio, com a participao dos chefes da SPOD,
SPMD e SPPC, para analisar a avaliao e a caracterizao do evento, de forma a definir a
necessidade ou no da decretao de estado de contingncia.
Cabe ao chefe da Agncia Regional, mediante solicitao do chefe da DVDI, decretar o

estado de contingncia e comunicar, atravs de contato telefnico e e-mail formal, conforme
anexo 7.2. desta instruo Normativa, ao Diretor Tcnico para fins de cientificao do estado
de contingncia.
O estado de contingncia decreta-se em dois nveis:
a) Nvel I - quando h a necessidade de mobilizao de todo o efetivo de atendimento da

Agncia Regional decretante do estado de contingncia;
b) Nvel II - quando, alm da mobilizao de todo o efetivo da Agncia Regional

decretante, h necessidade de mobilizar equipes de atendimento de outras Agncias
Regionais.
A qualquer momento, poder o chefe da Agncia Regional, mediante solicitao do chefe da

DVDI, alterar o nvel de decretao do estado de contingncia, cientificando ao Diretor
Tcnico, atravs de contato telefnico e e-mail formal, conforme anexo 7.2. desta Instruo
Normativa.
5.2. Do Estado de Contingncia
5.2.1. Da Mobilizao de Equipes Adicionais
Quando da decretao do estado de contingncia, para o aumento do efetivo de atendimento,

deve-se mobilizar as equipes adicionais de atendimento, conforme o nvel de contingncia
abaixo:
5.2.1.1. Nvel I - Mobilizao das Equipes Internas Agncia Regional
Cabe ao chefe da SPOD mobilizar o total efetivo das equipes de manuteno de emergncia.
Cabe ao Chefe da DVDI mobilizar o total efetivo das equipes de manuteno pesada.

CDIGO: I-332.0027 FL. 6/13
Cabe ao chefe da Agncia Regional, mobilizar o total efetivo das equipes de atendimento
comercial.
5.2.1.2. Nvel II - Mobilizao das Equipes Internas e Externas Agncia Regional
Alm das mobilizaes constantes no Nvel I, tambm devero ser mobilizadas equipes de
outras Agncias Regionais, conforme descrito a seguir:
Cabe ao chefe da Agncia Regional o contato com o chefe de outras Agncias Regionais,
para fins de mobilizao das equipes adicionais, cabendo ao chefe contatado a confirmao
da viabilidade da solicitao, e quando da negativa, a justificativa do indeferimento.
Cabe ao chefe da SPOD, que enviar equipes adicionais para a Agncia Regional solicitante,
o envio de e-mail para o Chefe da SPOD da Agncia Regional solicitante, informando o
nome e matrcula dos eletricistas e o nmero do veculo da Celesc.
As equipes adicionais provenientes de outras Agncias Regionais devero estar com

veculos em boas condies, com ferramentas adequadas para o atendimento e a equipe de
eletricista capacitada para a interveno na rede, e devero dirigir-se ao Centro de Operao
da Distribuio - COD solicitante, onde devero ser recepcionadas pelo chefe da SPOD ou
outro empregado delegado por ele.
5.2.2. Da Reunio de Planejamento e Operao
Cabe ao chefe da DVDI coordenar uma reunio geral, com a participao dos chefes da
SPOD, SPMD e SPPC, despachantes, supervisores e eletricistas, de modo a efetuar o
planejamento do atendimento em estado de contingncia, visando abordar tambm os
seguintes itens:
a) alerta ao corpo operacional quanto ao estado de contingncia;
b) orientao aos eletricistas e despachantes do registro rigoroso das interrupes quanto

abertura e preenchimento das NR, principalmente quanto s informaes de
restabelecimento, de modo a subsidiar o filtro de reclamaes no Call Center, bem
como para as questes de segurana das equipes em atendimento emergencial;
c) orientao correta aplicao dos procedimentos operacionais e de segurana

(instrues normativas e normas regulamentadoras), salientando a sua importncia
frente ao desgaste excessivo e ao cansao decorrente do trabalho exaustivo, o que
propicia uma condio suscetvel para acidentes;

CDIGO: I-332.0027 FL. 7/13
d) apresentao da estrutura organizacional em estado de contingncia, conforme inciso

5.3.2. desta Instruo Normativa.
5.2.3. Da Estrutura Organizacional em Estado de Contingncia
5.2.3.1. Do Controle de Acesso ao COD
Em estado de contingncia, somente ser permitido o acesso ao COD pelos despachantes,

chefe da SPOD, chefe da DVDI e demais pessoas envolvidas no processo, desde que
devidamente autorizadas pelo Chefe da SPOD.
Cabe ao chefe da SPOD fazer cumprir o disposto acima.
5.2.3.2. Da Estao Adicional de Despacho
A utilizao da estao adicional de despacho, composta por uma estao adicional de VHF,
com o mesmo canal, uma mquina SIMO e um telefone, opcional quando da decretao de
estado de contingncia Nvel I, ficando a critrio do chefe da SPOD, sendo, todavia,
obrigatria para o Nvel II.
5.2.3.3. Da Comunicao COD - Eletricista
No atendimento em estado de contingncia, o despachante no dever atender ligaes

telefnicas com exceo s referentes exclusivamente funo de despacho, sendo,
portanto, necessrio o repasse das ligaes de terceiros (clientes consumidores e demais
solicitantes de informaes) para o rgo de apoio.
5.2.3.4. Da Acomodao e da Alimentao
Cabe ao chefe da Agncia Regional fornecer as condies de alimentao e acomodao

adequadas a todo o corpo operacional envolvido no atendimento em estado de contingncia.
5.2.3.5. Da Aquisio de Material
Constatada a falta de material, cabe ao chefe da SPOD solicitar a aquisio do material

faltante nas seguintes condies:
a) solicitar ao chefe da DVDI, que dever contatar o chefe da Agncia Regional, para
verificar o material junto ao almoxarifado da Agncia;

CDIGO: I-332.0027 FL. 8/13
b) se o almoxarifado da Agncia Regional no atender a necessidade, cabe ao chefe da

DVDI contatar o chefe da Agncia para tentar a aquisio de material do almoxarifado
da Agncia Regional mais prxima;
c) se o almoxarifado das Agncias Regionais prximas no atenderem a necessidade,

cabe ao chefe da Agncia o contato com o Diretor Tcnico para tentar a aquisio de
material do Almoxarifado Central da Palhoa; e
d) se necessrio, cabe ainda ao chefe da Agncia Regional o contato com os fornecedores

para providenciar a compra dos materiais.
5.2.3.6. Das Informaes Mdia
Cabe ao chefe da Agncia Regional, atravs da interface de informaes mdia, disponvel

no SIMO e demais fontes, prestar informaes mdia em geral, assim como publicar sua
convenincia, indicadores percentuais do processo e restabelecimento do fornecimento.
5.3. Do Fim do Estado de Contingncia
5.3.1. Do Retorno Condio Normal de Operao
Cabe ao chefe da DVDI, com o auxlio dos chefes da SPOD, SPMD e SPPC, e, baseado nas
informaes de NR em espera e Alimentadores fora, solicitar ao chefe da Agncia Regional o
fim do estado de contingncia, e o retorno s condies normais de operao.
Cabe ao chefe da Agncia Regional, mediante solicitao do chefe da DVDI, decretar o fim
do estado de contingncia e comunicar, atravs de contato telefnico e e-mail formal,
conforme anexo 7.2., ao Diretor Tcnico para fins de cientificao do estado de contingncia.
5.3.2. Da Desmobilizao das Equipes Adicionais
Cabe ao chefe da SPOD efetuar a desmobilizao das equipes adicionais, cientificando todo o
efetivo que a Agncia Regional retornou condio normal de operao.
Cabe ao chefe da DVDI desmobilizar a estrutura organizacional instalada para operar em

regime de contingncia.

CDIGO: I-332.0027 FL. 9/13
5.3.3. Do Controle do Cadastro Geo-Referenciado
Cabe ao chefe da DVDI definir um grupo de trabalho para avaliar o impacto da tempestade
severa na depreciao do cadastro geo-referenciado da rede eltrica, efetuando as devidas
correes quando da no conformidade comprovada.
O grupo dever considerar:
a) levantamento das interrupes com incidncia de mudana na topologia da rede eltrica,

tais como alterao de condutores, alterao na fase de ligao do ramal do consumidor,
etc;
b) inspeo in loco para constatao de alteraes no cadastro da rede eltrica;
c) constatada as alteraes, estas devero ser atualizadas no cadastro geo-referenciado

(GeneSis).
5.3.4. Da Avaliao dos Trabalhos em Estado de Contingncia
Cabe ao chefe da DVDI preencher relatrios avaliando os indicadores de desempenho de cada

um dos processos correlatos a esta Instruo Normativa, citados abaixo:
a) Relatrio de Avaliao dos Trabalhos - contendo avaliao dos trabalhos, do

desempenho e do cumprimento desta Instruo Normativa frente decretao do estado
de contingncia;
b) Relatrio Econmico-financeiro - contendo a avaliao dos custos associados ao

processo de atendimento emergencial frente decretao do estado de contingncia;
c) Relatrio de Segurana no Trabalho - contendo avaliao e anlise do cumprimento dos

procedimentos de segurana e levantamento do nmero de incidentes e eventuais
acidentes.
Cabe ao DPOP a disponibilizao e o controle do preenchimento dos relatrios citados no

disposto acima.
6. DISPOSIES FINAIS
No h.

CDIGO: I-332.0027 FL. 10/13
7. ANEXOS
7.1. Fluxograma do Processo
7.2. E-mail para Decretao do Estado de Contingncia, Alterao do Nvel de Decretao do

Estado de Contingncia e de Decretao do Fim do Estado de Contingncia

CDIGO: I-332.0027 FL. 11/13
7.1. Fluxograma do Processo
INCIO
Alerta de
Boletim Comunicao
Tempestade
Meteorolgico entre CODs
Severa
H posssiblidade D
NO
de Tempestade O
Severa?
M
O
N
SIM I
Iniciar oEstado de Alerta das Equipese a T
Aferio das Ferramentas e Material O
R
A
M
E
N
Houve Incidncia NO T
da Tempestade
O
Severa?
E
SIM C
O
Realizar a Avaliao e Caracterizao do N
Evento Meteorolgico Adverso
T
R
O
L
E
H necessidade NO
de decretar estado
de Contingncia?
SIM
Decretao do Estado de Contingncia
SIM H necessidade NO
de auxlio de
outras Agncias?
Decretao do Estado de Contingncia Decretao do Estado de Contingncia

NIVEL II NIVEL I
II I

CDIGO: I-332.0027 FL. 12/13
II I
Mobilizao de Equipes Adicionais Mobilizao de Equipes Adicionais

de outras Agncias Regionais da Agncia Regional D
O
E
S
T
A
Reunio de Planejamento e Operao D
O
D
E
Aplicar a Estrutura Organizacional
C
em Estado de Contingncia
O
- Controle de Acesso ao COD
N
- Estao Adicional de Despacho
T
- Comunicao COD - Eletricista
I
- Acomodao e alimentao
N
- Aquisio de Material
G
- Informaes Mdia

N
C
I
A
O Atendimento
Emergencial NO
voltou s
condies nomais
de operao?
SIM
D
O
F
I
Fim do Estado de Contingncia M
- Retorno condio normal de Operao
- Desmobilizao das Equipes Adicionais D D
O E
- Controle do Cadastro Geo-referenciado
- Avaliao dos trabalhos em Estado de C
E
Contingncia S O
T N
A T
D I
O N
G

N
C
FIM I
A

CDIGO: I-332.0027 FL. 13/13
7.2. E-mail para Decretao do Estado de Contingncia, Alterao do Nvel de Decretao do

Estado de Contingncia e de Decretao do Fim do Estado de Contingncia
Assunto: Decretao do Estado de Contingncia
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional decretou estado de contingncia em nvel
(especificar se nvel I ou II), conforme previsto na Instruo Normativa sobre Atendimento em Estado de
Contingncia.
Atenciosamente,
Nome do Chefe da Agncia Regional

Nome da Agncia Regional
**********************************************************************
Assunto: Alterao do Nvel de Decretao do Estado de Contingncia
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional alterou o nvel de decretao do estado de
contingncia de nvel I para nvel II, conforme previsto na Instruo Normativa sobre Atendimento em
Estado de Contingncia.
Atenciosamente,

**********************************************************************
Assunto: Decretao do Fim do Estado de Contingncia
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional decretou o fim do estado de contingncia,
conforme previsto na Instruo Normativa sobre Atendimento em Estado de Contingncia.
Atenciosamente,



CALIL, Luís Fernando Peres Et Al. Metodologia para Gerenciamento de Risco Foco Na Segurança e Na Continuidade. 2009.

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CALIL, Luís Fernando Peres Et Al. Metodologia para Gerenciamento de Risco Foco Na Segurança e Na Continuidade. 2009.

Enviado por

Direitos autorais:

Formatos disponíveis

Lus Fernando Peres Calil

METODOLOGIA PARA GERENCIAMENTO DE

METODOLOGIA PARA GERENCIAMENTO DE RISCO: FOCO NA SEGURANA E

UNIVERSIDADE FEDERAL DE SANTA CATARINA

para a obteno do grau de

DOUTOR EM ENGENHARIA MECNICA

LUS FERNANDO PERES CALIL

Florianpolis, maro de 2009.

METODOLOGIA PARA GERENCIAMENTO DE RISCO: FOCO NA SEGURANA E

LUS FERNANDO PERES CALIL

Esta tese foi julgada adequada para a obteno do ttulo de

ESPECIALIDADE ENGENHARIA MECNICA

Prof. Eduardo Alberto Fancello, D.Sc.

Prof. Ubirajara Franco Moreno, Dr. Eng.

A minha famlia e amigos pela compreenso e carinho.

s empresas que permitiram a realizao das visitas tcnicas.

Eletrosul e Celesc pela oportunidade de realizar os estudos de caso apresentados nesta

Ao Conselho Nacional de Pesquisa e Desenvolvimento Cientfico (CNPq) pelo auxlio fi-

Umberto Eco (1977)

O presente trabalho versa sobre gerenciamento de risco em organizaes, focando no somente

2.1 Representao da definio de risco . . . . . . . . . . . . . . . . . . . . . . . 35

2.2 Representao da definio de incidente . . . . . . . . . . . . . . . . . . . . . 36

2.3 Relao entre os envolvidos no sistema da teoria multicausal da ocorrncia de

2.4 Desencadeamento de um incidente e sua trajetria atravs de barreiras . . . . . 40

2.5 Classificao de incidentes em uma unidade organizacional . . . . . . . . . . . 42

2.6 Estados de operao do sistema e os respectivos planos, para o caso de ativao

2.7 Nveis para o gerenciamento de risco em uma organizao . . . . . . . . . . . 47

3.1 Modelo de ocorrncia de um incidente . . . . . . . . . . . . . . . . . . . . . . 54

3.2 Metodologia FSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

3.3 Processo de anlise / avaliao da segurana e o ciclo de vida do sistema . . . . 59

3.4 Processo de anlise / avaliao de segurana do sistema (SSA) . . . . . . . . . 61

3.5 O processo de gerenciamento contnuo de risco . . . . . . . . . . . . . . . . . 63

3.6 Ciclo de vida do gerenciamento da continuidade do negcio . . . . . . . . . . 66

4.1 Exemplo de IDEF0 da funo Fazer manuteno de equipamentos isolados a

4.2 Exemplo de rede bayesiana antes e aps evidncia . . . . . . . . . . . . . . . . 85

4.3 Exemplo de rvore de falha para o efeito topo vibraes . . . . . . . . . . . . . 86

4.4 ETA de eventos sequenciais, na qual o evento A o evento inicializador . . . . 87

4.5 ESD ilustrativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.7 Diagrama ilustrativo da tcnica CNEA . . . . . . . . . . . . . . . . . . . . . . 94

4.8 Modelagem de correntes causais na CNEA . . . . . . . . . . . . . . . . . . . . 95

5.1 Etapas da metodologia de gesto de risco . . . . . . . . . . . . . . . . . . . . 99

5.2 Estrutura da metodologia desenvolvida . . . . . . . . . . . . . . . . . . . . . . 99

5.3 Desdobramento da etapa de delineamento do SGR . . . . . . . . . . . . . . . . 101

5.4 Notao utilizada nos fluxogramas . . . . . . . . . . . . . . . . . . . . . . . . 102

5.5 Fluxograma geral da metodologia desenvolvida . . . . . . . . . . . . . . . . . 103

5.6 Fluxograma da fase do delineamento informacional . . . . . . . . . . . . . . . 104

5.7 Fluxograma da fase do delineamento conceitual (parte 1) . . . . . . . . . . . . 105

5.8 Fluxograma da fase do delineamento conceitual (parte 2) . . . . . . . . . . . . 106

5.9 Fluxograma da fase do delineamento preliminar . . . . . . . . . . . . . . . . . 107

5.10 Fluxograma da etapa de implementao . . . . . . . . . . . . . . . . . . . . . 108

5.11 Fluxograma da etapa de utilizao . . . . . . . . . . . . . . . . . . . . . . . . 109

5.12 Critrios de aceitao de risco . . . . . . . . . . . . . . . . . . . . . . . . . . 112

5.13 Diagrama CNEA adaptado para representar FMECA . . . . . . . . . . . . . . 115

5.14 Rede bayesiana para o diagrama da Figura 5.13 . . . . . . . . . . . . . . . . . 118

5.15 Detalhe da barreira com derivao, no diagrama CNEA, e sua modelagem em

5.16 Relaes determinsticas (regras) para definio do tratamento de cada combi-

5.17 Utilizao e manuteno do sistema de gerenciamento de riscos . . . . . . . . 131

6.1 Contextualizao das aplicaes nas empresas Eletrosul e Celesc . . . . . . . . 140

6.2 Fases da metodologia abordadas na aplicao no DMS da Eletrosul . . . . . . . 141

6.3 Emisso de SF6 pelos parceiros do programa de reduo de emisso de SF6 no

6.7 Algumas das tcnicas e ferramentas utilizadas na fase do delineamento concei-

6.8 Diagrama A0 da IDEF0 dos processos relacionados manipulao do SF6 . . . 149

6.9 Imagem da tela do software OpenFMECA, verso Alpha 0.1 . . . . . . . . . . 150