Escolar Documentos
Profissional Documentos
Cultura Documentos
Florianpolis
Maro de 2009
UNIVERSIDADE FEDERAL DE SANTA CATARINA
PROGRAMA DE PS-GRADUAO EM
ENGENHARIA MECNICA
Tese submetida
Prof. Acires Dias, Dr. Eng. Orientador Prof. Nelson Back, Ph.D. Co-orientador
BANCA EXAMINADORA
Prof. Acires Dias, Dr. Eng. Presidente Prof. Bernardo Lus Rodrigues de Andrade,
Dr. Eng. Relator
Prof. Andr Ogliari, Dr. Eng. Prof. Franco Giuseppe Dedini, Dr.
Aos Professores Acires Dias e Nelson Back pela orientao no desenvolvimento deste tra-
balho.
Ao colegas Eduardo Yuji Sakurada e Heitor Azuma Kagueiama pelas proveitosas discus-
ses.
A Daniel Koudi Nakano, Glauco Vinicius Gil Peron e Gleber Estefani Diniz pela dedicao
na implementao do software OpenFMECA.
The present thesis treats of risk management in organizations, focusing not only on the possible
risks to man, to the environment and to the technical system resulting from an incident, but
on the business activities interruption due to the occurrence of an undesirable event, as well.
The issues related to harm, especially those that refer to man and to environment, have been
assessed by safety management, while those related to interruptions of the business operation
belong to the field of continuity management which is an amplified concept of contingency
planning. Despite the distinct objectives of safety and continuity management, both of them are
risk management. This thesis presents a methodology for risk management that considers both
of these aspects. The benefits of this kind of approach are more evident in organizations which
activity bears risks to both security and continuity, such as in the sectors of oil; power gene-
ration; transmission and distribution; marine operations; chemical process; among others. It is
in this perspective that a methodology was developed and partially applied in two companies
from the power sector, a electric power transmission company and a electric power distribution
one, that deal with great potential of harm as well as great potential of loss, in case of business
interruption both for the organization (financial, public image, et cetera) and the society. As
a result of this work, aside the developed methodology, the following stand out: a single voca-
bulary was established to supply the continuity and safety management needs; a framework has
been developed based on the techniques IDEF0 (integration definition for function modeling),
FHA (functional hazard assessment), FMECA (failure modes effects and criticality analysis),
CNEA (Causal network event analysis), bayesianas networks, FTA (fault tree analysis) and
bayesian update that contributes to the risk management unification; and a software has been
developed to assist in the application of the FMECA technique. Referring to the case studies
in the two companies from the power sector, the application of the methodology resulted in
recommendations and changes in the companies internal procedures and structure. In the case
of the power distribution company, should be highlighted the elaboration of a set of instructions
(internal standard) for emergency attendance in case of severe storms; the adequacy of instal-
lations, equipment and tools to allow the attendance in this circumstance; the implementation
of alternate communication systems; the implementation of priority schemes for power reesta-
blishment; the acquisition of portable generators; the availability of a annual budget to be used
in contingencies; among other results. In the case of the power transmission company, should
be highlighted the recommendations regarding the policy to upgrade technology; the policy to
upgrade procedures; and the training policy. Also, a list of recommendations was also made,
regarding some responsibilities attributed to the brazilian electricity regulatory agency ANEEL
(Agncia Nacional de Energia Eltrica) referring to the regulatory policy.
Keyword: Risk management. Safety management. Continuity management. FMECA / CNEA.
OpenFMECA.
Lista de figuras
1.1 Ciclo de vida de um produto (um sistema tcnico, por exemplo), desconside-
rando as realimentaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.4 Algumas das tcnicas e ferramentas utilizadas na gesto do projeto MITISF6 . 144
6.5 Algumas das tcnicas e ferramentas utilizadas na fase do delineamento infor-
macional do projeto MITISF6 . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.6 Diagrama raiz da IDEF0 dos processos relacionados manipulao do SF6 . . 147
6.10 CNEA do modo de falha Perda de SF6 durante o enchimento, em [A211] . . 151
6.17 Diagrama FTA da falha Anel de vedao com deformao permanente . . . . 163
5.1 Entradas, processos, tcnicas & ferramentas e sadas para a fase de delinea-
mento informacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
5.2 Entradas, processos, tcnicas & ferramentas e sadas para a fase de delinea-
mento conceitual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.4 Tabela de relaes do ndulo CA3 da rede bayesiana da Figura 5.14 . . . . . 118
5.7 Entradas, processos, tcnicas & ferramentas e sadas para a fase de delinea-
mento detalhado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.9 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de implemen-
tao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.10 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de utilizao . 131
5.11 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de reviso do
SGR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
5.12 Entradas, processos, tcnicas & ferramentas e sadas para a etapa de desativao 134
6.1 GWP de alguns gases para 100 anos de horizonte de tempo . . . . . . . . . . . 142
6.5 Estrutura dos IDEF0 feitos para o call center e o COD . . . . . . . . . . . . . 167
A.1 Contedo da barra lateral direita para diferentes elementos da FMECA selecio-
nados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Lista de siglas
ALARA As low as reasonably achievable (To baixo quanto se possa considerar razovel
aceitar)
CNEA Causal network event analysis (Anlise de eventos por rede causal)
FMEA Failure modes effects and analysis (Anlise do modo de falha e seus efeitos)
FMECA Failure modes, effects and criticality analysis (Anlise do modo de falha, efeitos
e criticidade)
Gross CAF Gross cost of averting a fatality (Custo bruto para evitar uma fatalidade)
NetCAF Net cost of averting a fatality (Custo lquido para evitar uma fatalidade)
i ndices de iterao
Infinito
R
Integral
1 Introduo 22
1.2.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.2.2 Especficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1 IDEF0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.4.1 Avaliao com base nas consideraes feitas pelas empresas onde foram
realizados os estudos de caso . . . . . . . . . . . . . . . . . . . . . . . 172
6.4.2 Avaliao com base em requisitos identificados . . . . . . . . . . . . . 176
Referncias 187
Glossrio 197
1 Introduo
Kirchsteiger (1999) define sistemas como sendo um agrupamento de elementos que operam
em conjunto, relacionando-se, a fim de atingir algum objetivo. O sistema tcnico pode, ento,
ser entendido como um conjunto de equipamentos e instalaes que tem uma (ou mais) funo
para ser desempenhada e, a todo momento, interage com o ambiente, o homem e outros sistemas
tcnicos, influenciando e sendo influenciado1 .
Unidade organizacional, por sua vez, pode ser entendida como uma parte da organizao
(normalmente departamentos, setores, etc) composta por sistemas tcnicos e colaboradores, a
fim de desempenhar uma ou mais funes interagindo com outras unidades organizacionais e
com outras organizaes, influenciando e sendo influenciada.
Observe-se que a diferena entre esses dois sistemas de gesto est no tipo da consequn-
cia do incidente. No entanto, ambos so sistemas de gerenciamento de risco, embora sejam
tratados, em grande parte da literatura e na prtica nas empresas, de forma separada.
Este trabalho objetiva elaborar uma metodologia que possibilite tratar esses dois aspectos
em apenas um sistema de gerenciamento de risco. Esta uma percepo que vem sendo dis-
1A nomenclatura adotada neste trabalho est sendo apresentada ao longo do texto e, tambm, no Glossrio.
1.1 Motivao para a seleo do tema 23
cutida a partir da anlise dos grandes sistemas, em que o problema do risco da segurana no
pode mais ser visto dissociado da continuidade operacional.
A literatura reconhece que desastres podem ser deflagrados por diferentes tipos de perigo,
tais como: perigos naturais (furaces, enchentes, por exemplo), biolgicos, civis e tecnolgicos.
Para tratar esses incidentes, Chapman (2005) conclui que, para se progredir, so necessrios
melhores modelos conceituais e estruturas que revelem a complexidade dos sistemas, tornando-
os mais transparentes, e abordagens de gerenciamento de risco mais satisfatrias.
Infelizmente, tambm ocorreram incidentes no Brasil que poderiam ter suas consequncias
mitigadas, caso tivessem sido estabelecidas barreiras para isso. Em algumas situaes, sequer
foram dimensionados os impactos do incidente, como exposto no texto extrado do Jornal da
Cmara:
1997). Mesmo uma interrupo ou um desastre menor podem causar danos irreversveis
organizao e a sua imagem pblica (BOTHA; VON SOLMS, 2004).
Sistemas tcnicos nos setores de gerao e fornecimento de energia, areo, petrleo, gs,
naval, siderurgia, qumica, etc., tm importncia destacada para a sociedade, quer pelo potencial
de gerar danos, quer pela dependncia que a sociedade tem de seus produtos.
2 Vide BSI (British Standards Institutio). BS 25999-1: Business continuity management Code of practice.
ISBN: 0 580 49601 5. BSI, 2006 e BSI (British Standards Institutio). BS 25999-2: Specification for business
continuity management. ISBN: 978 0 580 59913 2 . BSI, 2007.
3 Vide: BSI (British Standards Institutio). PAS 56: Guide to business continuity management. ISBN: 0 580
Note-se que, para um pequeno escritrio de contabilidade, por exemplo que normalmente
no portador de risco com potenciais significativos de dano ao homem ou ao ambiente , a
questo chave passa a ser a continuidade.
No entanto, organizaes como uma usina nuclear para gerao de energia eltrica primam
fundamentalmente pela segurana. Um incidente nesse ambiente pode ter consequncias ca-
tastrficas. Assim, as tomadas de decises so sempre conservativas, no sentido da segurana
mesmo que isto implique interromper o negcio, obrigando o sistema eltrico a se balan-
cear com a gerao de outras usinas. Neste caso, a continuidade levada a um segundo plano,
embora prioritria para a sobrevivncia da empresa.
Para Nicki Dennis, responsvel pela rea de desenvolvimento de mercado de risco da British
Standards, eventos recentes tm enfatizado a necessidade de as companhias integrarem conti-
nuidade de negcio e o gerenciamento de risco s estratgias da corporao, a fim de minimizar
as perdas ou danos s finanas, s pessoas ou reputao da organizao (WANE, 2005).
De fato, para empresas como uma distribuidora de energia eltrica, tanto os aspectos de se-
gurana quanto os de continuidade so fundamentais. Se, por um lado, a segurana prioritria,
por outro, uma interrupo prolongada do fornecimento de energia pode implicar consequncias
severas para a sociedade.
Em uma pesquisa junto a duas empresas do setor de energia eltrica que tm programas de
gerenciamento de risco (uma geradora, transmissora e distribuidora; e outra geradora), foi pos-
svel constatar que a preocupao em garantir a continuidade operacional, usualmente, parte da
iniciativa pessoal ou de um pequeno grupo, que consegue demonstrar a necessidade de preparar
a empresa para a ocorrncia de eventos indesejados.
Por outro lado, dependendo do tipo de negcio da organizao, uma interrupo prolongada
tambm pode implicar risco de dano para o homem e o ambiente.
A segurana colocada pelos autores (BCI, 2005; HENG, 1996; SAVAGE, 2002; SALDANHA,
2000, e outros) como um requisito primordial no gerenciamento de continuidade, que desta-
cam a necessidade de sempre considerar este requisito ao elaborar os planos. No entanto, no
1.2 Objetivos do trabalho 26
Portanto, ficou evidente a necessidade de integrar a gesto destes dois atributos, o que
contribuir para uma abordagem de gerenciamento de risco mais satisfatria que Chapman
(2005) concluiu ser necessria.
Mas como integrar estes dois conceitos de gesto? De que forma os riscos dos sistemas
devem ser abordados para considerar os aspectos relativos segurana e continuidade? Quais
riscos devem ser reduzidos e quais aceitos? Como proceder na avaliao dos riscos para decidir
quais devem ser priorizados na utilizao dos recursos da organizao? Como se planejar para
a ocorrncia dos incidentes identificados?
Diante do que j foi exposto e a fim de responder s questes anteriores, apresenta-se este
trabalho de doutorado, que tem os objetivos expostos a seguir.
1.2.1 Geral
1.2.2 Especficos
Para se alcanar o objetivo geral deste trabalho, prevem-se os seguintes objetivos especfi-
cos:
Assim, uma organizao na qual os riscos significativos sejam relacionados apenas a siste-
mas de informaes teria poucos benefcios em adotar a metodologia desenvolvida em substi-
tuio a uma de gerenciamento da continuidade. No entanto, a metodologia aborda a gesto de
risco continuidade de forma estruturada em contraposio maior parte das metodologias
de gesto da continuidade levantadas durante este trabalho, que so mais holsticas ; desta
forma, a metodologia apresentada neste trabalho pode trazer benefcios para a implementao
do sistema de gesto.
Figura 1.1: Ciclo de vida de um produto (um sistema tcnico, por exemplo), desconsiderando
as realimentaes
Note-se que, ao tratar o risco, pode-se evidenciar a necessidade de fazer alteraes no sis-
tema estudado, o que caracteriza um reprojeto dele.
importante salientar que este trabalho procura contribuir para uma abordagem de gerenci-
amento de risco mais satisfatria, mas no tem pretenso de desenvolver modelos para descrever
a complexidade dos sistemas ou que possibilitem o completo levantamento dos perigos a que a
organizao pode estar exposta.
Por fim, esclarece-se que a elaborao desta metodologia oportuna e est aderente a estu-
dos que vm sendo veiculados no campo cientfico e na elaborao de normas tcnicas. Versa,
portanto, sobre um tema que est sendo estruturado h muito pouco tempo e deve assim contri-
buir com algum conhecimento, sem ter a pretenso de esgotar o assunto.
Para fazer a fundamentao da metodologia, optou-se por seguir duas linhas: (1) pesquisa
bibliogrfica sobre gesto da seguraa, gesto da continuidade e gesto de rico de maneira
geral; e (2) pesquisa de campo, estudando sistemas de gesto de risco j implementados
e participando da implementao de outros.
Uma vez que um sistema de gesto de risco pode ser entendido como um produto que se
deseja desenvolver, optou-se por organizar a metodologia de gesto de risco com base na
estrutura do PDP (processo de desenvolvimento de produto), destacadamente o modelo
PRODIP vide (BACK et al., 2008).
Para dar suporte metodologia de gesto de risco, optou-se por utilizar tcnicas e modelos
1.5 Estrutura deste documento 29
consagrados, a exemplo do modelo da corrente causal de Mosleh & Dias4 e das tcnicas
FMECA, FTA, entre outras. Sendo que, na necessidade de se desenvolver alguma tcnica,
esta deveria ser baseada em outras j consagradas.
Para compatibilizar os conceitos e nomenclatura adotados no gerenciamento de segurana
e de continuidade, optou-se por seguir, sempre que pertinente, os termos e definies
apresentados na norma ABNT ISO/IEC Guia 735 .
Para a concepo da ferramenta computacional (software), optou-se pelo modelo de de-
senvolvimento incremental; pelo paradigma de programao orientado a objetos; e pela
estruturao em camadas, no caso: armazenamento (base de dados), aplicao e interface.
De acordo com Bernstein (1997), o termo risco uma derivao do italiano antigo ris-
care (que, por sua vez, deriva do baixo-latim risicu, riscu), que significa ousar.
Desta forma, companhias, firmas, instituies, rgos de governo, fundaes e outras enti-
dades que sero designadas, neste trabalho, por organizaes , independente da natureza
do empreendimento (com ou sem fins lucrativos), esto inevitavelmente sujeitas a algum tipo
de risco, que deve ser gerenciado.
A norma ABNT ISO/IEC Guia 73 (ABNT, 2005), por sua vez, salienta que a gesto do risco
2.1 Nomenclatura adotada neste trabalho 31
A anlise / avaliao envolve a identificao dos riscos a que se est exposto, e a avaliao
destes baseada em critrios pr-definidos. Desta forma, podem-se assumir, para cada risco, trs
estratgias de tratamento1 no excludentes:
evitar o risco;
transferir o risco; e
reduzir o risco.
A ideia de se evitar o risco, apesar de bastante atraente, implica eliminar o perigo, pois
somente assim no se correria risco uma vez que no possvel eliminar totalmente a incerteza
de o perigo vir a se tornar um incidente. Ademais, todo sistema tcnico portador de perigo
(DIAS et al., 2005), o que implica que a organizao, de alguma forma, est sujeita a algum nvel
de risco.
A opo de reduzir o risco, por sua vez, prope que ele seja trabalhado a fim de diminuir
a probabilidade de ocorrncia do incidente e / ou seus efeitos. Pode-se reduzir a probabilidade
do risco at um patamar que se considere insignificante, aceitando conviver com este nvel de
risco.
A norma ABNT ISO/IEC Guia 73 (ABNT, 2005) inclui ainda uma quarta estratgia para o
tratamento, que a reteno. O conceito de reteno est associado alternativa de se aceitar
um risco mesmo quando ele est acima dos limites estabelecidos chamados de relutantemente
aceitos por Kumamoto & Henley (1996). Esta estratgia pode no parecer prudente, mas, em
alguns casos, pode ser a melhor opo. Esta deciso passa, ento, por uma anlise de custo /
risco / benefcio. interessante salientar que o processo de reteno do risco tambm inclui os
1 No h um consenso quanto aos termos para designar as estratgias. O PMBOK (PMI, 2004), por exemplo,
adota para os riscos negativos: prevenir; transferir; mitigar; e no distingue reter de aceitar. Assim, neste
trabalho, ser adotada a nomenclatura apresentada na ABNT, por consider-la mais adequada.
2 A norma ABNT ISO/IEC Guia 73 (ABNT, 2005) no inclui a tercerizao como uma forma de transferncia.
2.1 Nomenclatura adotada neste trabalho 32
Observe-se que, ao reter um risco, no se est efetivamente fazendo o tratamento dele. As-
sim, neste trabalho, o processo de reteno est sendo considerado como um tipo de aceitao.
Tanto para o caso de se aceitar o risco ou ret-lo, ainda possvel planejar para a ocorrncia
do incidente, a fim de mitigar suas consequncias o que designado aceitao ativa. Esta pr-
tica fomentada por muitas seguradoras e tem resultado em redues nos valores das aplices
(SALDANHA, 2000).
Desta forma, a escolha no est entre risco e ausncia de risco, mas entre risco aceit-
vel e risco inaceitvel o que depender da disposio do analista de ousar, j que o futuro
incerto.
Bhlmann (1970) aborda o risco como a relao entre o que se pode ganhar com o que se
pode perder, pois a preocupao quanto possibilidade de ocorrer o sinistro.
Quadro 2.1: Comparativo entre algumas definies de risco e elementos que o compem
Quadro 2.1: Comparativo entre algumas definies de risco e elementos que o compem
(continuao)
Fontes Definio de risco proposta pelos auto- Elementos que se po-
res dem destacar
ABNT (2005) Definio geral:Combinao da probabi- Evento
ISO/IEC Guia 73 lidade de um evento e de suas consequn- consequncias;
cias. incerteza.
Kumamoto & Definio geral: a combinao de cinco Resultado;
Henley (1996) fatores: o resultado; a chance; a signifi- significncia;
cncia (ou a utilidade, que seu oposto); cenrio causal;
o cenrio causal (como aconteceu); e a populao;
populao afetada. incerteza.
PMI (2000) Para projetos: um evento ou uma con- Evento (ou condio);
PMBOK dio incerta, que, se ocorrer, tem efeito consequncias; e
positivo ou negativo nos objetivos do pro- incerteza.
jeto.
NASA (2005) Para projetos: a combinao de 1) Evento (ou condio);
NPR 7120.5 a probabilidade de um projeto (ou pro- consequncias; e
grama) ser atingido por um evento indese- incerteza.
jado, como sobrecustos, deslizes no cro-
nograma, etc; 2) as consequncias, im-
pacto, ou severidade do evento indese-
jado, quando ele ocorrer.
NASA (1997) Para segurana: a exposio probabi- Evento;
STD-8719.13A. lidade de ferimento ou perdas. uma fun- consequncias;
o da possvel frequncia do evento in- incerteza;
desejado ocorrer; da potencial severidade metaincerteza (incer-
das consequncias; e da incerteza associ- teza na avaliao da in-
ada com a frequncia e a severidade. certeza).
Brasil (2004) Para segurana humana: a capacidade Capacidade;
NR 10 de uma grandeza com potencial para cau- consequncias;
sar leses ou danos sade das pessoas incerteza.
Brasil (2004, p. 15).
Bhlmann (1970) Para questes de seguro: uma relao Duas variveis estocs-
entre a probabilidade de um determinado ticas:
prmio, num intervalo de tempo, e a soma Pt (prmio, num inter-
da quantia que pode ser reivindicada, isto valo de tempo); e
: o que se poder receber (num perodo St (soma da quantia
de tempo) relativo ao que se poder ter reivindicada).
que pagar.
DRJ / DRI (2005) Para recuperao de desastres: Potencial Consequncias;
Glossrio para exposio a perdas. O potencial exposio; e
usualmente medido pela probabilidade incerteza.
em anos.
(continua na prxima pgina)
2.1 Nomenclatura adotada neste trabalho 34
Quadro 2.1: Comparativo entre algumas definies de risco e elementos que o compem
(continuao)
Fontes Definio de risco proposta pelos auto- Elementos que se po-
res dem destacar
Castro et al. Para recuperao de desastres: a me- Evento (ameaa);
(2005) Manual dida de danos e prejuzos potenciais, ex- vulnerabilidade;
de defesa Civil pressa em termos de: consequncias;
do Ministrio probabilidade estatstica de ocorrn- incerteza.
da Integrao cia;
Nacional intensidade ou grandeza das con-
sequncias possveis.
Kumamoto & Henley (1996) incluem, ainda, a populao afetada e o cenrio causal como
componentes do risco, que indicam, respectivamente: a proporo entre as consequncias e
a populao afetada; e os caminhos possveis para que as consequncias ocorram, sendo este
ltimo especialmente interessante para a avaliao de medidas para prevenir o incidente ou para
mitigar suas consequncias.
Assim, neste trabalho, prope-se uma definio para o termo risco no Quadro 2.2, ilus-
trado na Figura 2.1.
Neste contexto, elementos como populao afetada e utilidade utilizados por Ku-
mamoto & Henley (1996) esto associados definio de estado futuro. J a incerteza epis-
2.1 Nomenclatura adotada neste trabalho 35
Estado
futuro 1
Cenrios
Estado
futuro 2
Estado
Estado futuro 3
inicial
....
Estado
futuro n
Note-se que o termo confiabilidade definido pela norma NBR 5462 (ABNT, 1994, p. 3)
como sendo a capacidade [ou habilidade] de um item desempenhar uma funo requerida sob
condies especificadas, durante um dado intervalo de tempo. No entanto, inmeros autores
incluem na definio de confiabilidade a probabilidade de ocorrncia da falha. Dias (1996)
confronta diversas definies de confiabilidade e conclui que o conceito do termo se fundamenta
em quatro pontos fundamentais: (1) probabilidade; (2) comportamento adequado; (3) perodo
de uso (ou de vida); e (4) condies de uso. O que pode ser entendido como sendo risco, pois
se trata da probabilidade (ou chance) de ocorrncia de um estado futuro, que neste caso o item
operar de maneira adequada em um determinado perodo de uso. Adicionalmente, tambm se
estipula a condio de uso, que faz parte do cenrio causal.
De forma anloga, pode-se entender a segurana como sendo a chance de ocorrer um estado
futuro caracterizado por no existir dano ao homem ou ao meio.
bilidade de o estado futuro ser positivo, como, por exemplo, em um investimento na bolsa de
valores, o que tambm aceito coloquialmente.
A norma ISO/IEC Guide 51 Safety aspects Guidelines for their inclusion in standards
define incidente como um evento que, na sua ocorrncia, resulta em dano sade de pessoas,
propriedade ou ao meio ambiente (ABNT, 2005). Para a gesto da continuidade, por sua vez,
um incidente qualquer evento que possa resultar em uma interrupo do negcio. Alguns
autores, como o DRI (Disaster Recovery Institute International), tambm consideram ainda a
possibilidade de o incidente resultar em impacto no lucro, na reputao e na habilidade de
operar (DRJ / DRI, 2005).
Tambm comum, na literatura, o uso do termo acidente, que se refere aos eventos que
resultam em dano ao homem ou ao ambiente.
INCIDENTE
Interrupo do
sistema tcnico.
Dano reputao
da organizao. Etc.
ACIDENTE
Comprometimento Comprometimento
financeiro. segurana.
e definem perigo como qualquer ato (omisso ou ao), condio ou estado do sistema ou
uma combinao desses com o potencial de resultar em um acidente, ou, de maneira mais
abrangente, em um incidente.
Laplace (1995) ilustra esta situao incitando o leitor a imaginar uma inteligncia capaz
de computar, em uma nica frmula, o movimento de todos os elementos do universo desde
maiores objetos do universo at as menores partculas. Assim Para esta inteligncia nada seria
incerto, e o futuro, assim como o passado, estaria presente diante dos seus olhos. (LAPLACE,
1995, p. 2, traduo nossa). Essa inteligncia foi posteriormente denominada de Demnio
de Laplace, j que Laplace postulava que ela jamais seria alcanada: Todos os esforos na
busca pela verdade tendem a levar a mente humana cada vez mais prxima da inteligncia que
acabamos de mencionar, entretanto sempre restar uma distncia infinita dela.(LAPLACE, 1995,
p. 2, traduo nossa). Desta forma, para o Demnio de Laplace no existiria risco, pois o futuro
no seria incerto.
No que se refere aos incidentes, existem inmeros modelos que procuram representar sua
ocorrncia. Na prxima seo, sero discutidos alguns deles.
2.2 Modelagem de um incidente 38
Kumamoto & Henley (1996) alertam que, primeira vista, as falhas de equipamentos so
as causas dominantes dos incidentes como o de Chernobyl, Challenger ou Three Mile Island.
No entanto, uma anlise mais cuidadosa poder revelar que outros fatores contriburam (ou at
determinaram) para sua ocorrncia, tais como: erro na operao, no projeto ou na manufatura;
problemas de comunicao; falta de clareza na definio de responsabilidades; entre outros.
De fato, a viso de que todo incidente tem um culpado ainda bastante comum. Esta viso
possivelmente tem sua origem no sistema legal, no qual o acusador procura punir o suposto
culpado (PARADIES; UNGER, 2000). Hammer & Price (2001), por exemplo, acreditam que a
primeira regra escrita para penalidades de um incidente seja o cdigo de Hamurbi, aproxima-
damente 1750 a.C.: Se um construtor fizer uma casa para um homem e no contru-la com
firmeza e a casa colapsar e causar a morte de seu proprietrio, o construtor deve ser levado a
morte. (HAMMER; PRICE, 2001, p. 15, traduo nossa).
Observe-se que a base de dados MARS (Major Accident Reporting System database), em
maio de 1998, indicou que 64% dos incidentes de grande proporo - ocorridos na Unio Euro-
peia - aconteceram por falha humana, sendo 53% por disfuno organizacional e 11% por erro
do operador (LGER et al., 2006). Reason (1997) destaca, ainda, que os erros dos operadores
podem ter como causa raiz um problema organizacional, por exemplo, no caso de ele no ter
sido adequadamente capacitado.
De acordo com Lima (1985), as teorias multicausais a exemplo das teorias de Heinrich
(1959) e da Trade Ecolgica (LEAVELL; CLARK, 1976) se consolidaram na dcada de 60,
quando as monocausais se mostraram custosas e insuficientes para explicar a ocorrncia de
acidentes de trabalho, de forma que se pudessem identificar aes para evitar ou reduzir a chance
de aquele incidente ocorrer novamente ou mitigar suas consequncias.
vrias causas, diretas ou indiretas, formando uma cadeia de eventos que resultam no incidente.
Essas causas foram sistematizadas em fatores relativos ao homem, ao ambiente e mquina
(ou ao sistema tcnico, em uma viso mais abrangente) alm da interao entre estes fatores,
conforme ilustrado na Figura 2.3.
Homem
Sistema
Ambiente
tcnico
Figura 2.3: Relao entre os envolvidos no sistema da teoria multicausal da ocorrncia de in-
cidentes
Fonte: Adaptado de Alono (2004)
Existe uma srie de outros modelos que procuram representar a ocorrncia de um incidente.
Leveson (1995) os classifica em 4 tipos: (1) modelos bsicos de energia, que considera o inci-
dente como resultado de uma liberao de energia indesejada ou fora de controle; (2) modelos
de evento nico ou domin, a exemplo do modelo proposto por Heinrich, em 1931, que con-
sidera o incidente causado por questes relativas ao ambiente social ou descendncia, que
levam a uma falha humana, que a razo aproximada de uma condio ou ato inseguro, que
resulta em um acidente que leva a leses; (3) modelos de cadeias de eventos, que consideram
o incidente resultado de uma srie de eventos, normalmente encadeados cronologicamente, a
exemplo dos propostos por Mosleh et al. (2004); (4) modelos baseados na teoria dos sistemas,
que considera um incidente resultado da interao entre homem, ambiente e sistema tcnico que
viole as restries do sistema, a exemplo dos propostos por Leveson et al. (2003).
inicializador (causa raiz) , mas por inadequados controles ou restries relativas segurana
impostas no projeto, no desenvolvimento e no uso do sistema, que no estavam aptos a controlar
os distrbios existentes (LEVESON et al., 2003).
Desta forma, incidentes so vistos pela teoria dos sistemas como resultado de processos
defeituosos envolvendo interao entre os componentes dos sistemas, incluindo: pessoas, estru-
tura organizacional e social, atividades de engenharia e componentes fsicos.
Neste trabalho, ser adotado o modelo proposto por Mosleh et al. (2004) apresentado
na Figura 2.4 , no qual o incidente resultado de uma condio perigosa aliada a um evento
deflagrador, atravessando as barreiras.
Causa ou Condio
condio per igosa
Barreiras
+ Incidente Consequncias
Evento Barreiras
Barreiras
gatilho
PERIGO
Alguns furos
por falhas ativas Profundidade
da defesa
A fim de diminuir a probabilidade de ocorrncia do incidente ou, ainda, mitigar suas con-
sequncias, implementam-se barreiras ao longo da corrente causal. Estas podem ser barreiras
fsicas, procedimentos, manuais, educao, capacitao, motivao ou qualquer medida que
vise atuar na corrente causal evitando o incidente ou minimizando suas consequncias.
No entanto, as barreiras no so perfeitas e seus furos quer seja por uma falha ativa,
2.2 Modelagem de um incidente 41
quer por uma condio latente podem permitir que o incidente ocorra.
Outro ponto a se destacar o tipo de consequncia que o incidente provoca. Neste sentido,
o Quadro 2.4 apresenta uma proposta de classificao do incidente, ilustrada na Figura 2.5, que
uma adaptao da classificao de falhas apresentada por Smith (2001a).
Observe-se que as classificaes (A), (B) e (C) no so excludentes. Um incidente pode ter
comprometimento segurana, continuidade e situao econmica e financeira da organi-
zao. Os incidentes classificados somente como (C) devem ser gerenciados pelos processos
cotidianos da organizao, enquanto os (A) e (B) devem ser tratados e, quando aceitos, geren-
ciados de acordo com os respectivos planos de gerenciamento de incidente.
Quanto aos incidentes desconhecidos (D), e portanto involuntariamente retidos, podem ser
gerenciados de acordo com o plano de gerenciamento de crises, conforme proposto em BCI
(2005). importante destacar que uma aplice de seguro pode abranger tambm os riscos
retidos. Assim, deve-se levar em considerao, no gerenciamento de risco, a contratao de
seguro.
Observe-se que esta taxonomia, apresentada na Figura 2.5, est em consonncia com a
proposta pela NASA, que apresenta 5 tipos de riscos e suas respectivas consequncias (STAMA-
TELATOS, 2000):
2.2 Modelagem de um incidente 42
O perfil do incidente
conhecido da
organizao?
Sim No
(D)
O incidente pode
Incidente
gerar dano ao homem
desconhecido.
ou ao meio ambiente?
Sim No
(A)
Associa (D) s sadas
O incidente pode (A), (B) e (C).
Consequncias
gerar interrupo de
relativas segurana.
processos crticos?
Sim No
(B) (C)
Consequncias Consequncias
relativas econmico-
continuidade. financeiras.
Assim, neste trabalho, o termo segurana ser utilizado para se referir segurana relativa a
danos, enquanto a segurana relativa a patrimnio e privacidade ser abordada pela continuidade
que ser apresentada na prxima seo.
Para o Departamento de Defesa Civil, a anlise de segurana de um sistema tem por finali-
dade aumentar a confiabilidade e o nvel de segurana de um sistema (BRASIL, 1998b).
De fato, sistemas de segurana surgiram principalmente como resultado dos estudos de fa-
lha (SMITH, 2001b), que tambm objeto de estudo da confiabilidade. Entretanto, esta relao
nem sempre tem uma interao positiva. Por exemplo, a confiabilidade do sistema de refrige-
rao de uma usina nuclear determinante para a segurana; por outro lado, quando um rel
trmico desliga um motor por uma questo de segurana, est indo de encontro confiabilidade
do equipamento.
O gerenciamento da continuidade do negcio, por sua vez, objetiva, de acordo com a norma
ABNT ISO/IEC 177994 (ABNT, 2001, p. 45): No permitir a interrupo das atividades do
negcio e proteger os processos crticos contra efeitos de falha ou desastres significativos,
combinando aes de preveno e recuperao.
Entende-se por processos crticos aqueles que so fundamentais e mnimos para garantir
que o negcio permanea ativo. Note-se que, no contexto da continuidade, o termo negcio
4A ABNT ISO/IEC 17799 foi renomeada para ABNT ISO/IEC 27002, mas manteve o contedo idntico.
2.3 Gerenciamento de segurana e de continuidade 44
De acordo com Saldanha (2000), nos EUA, a denominao mais usada at 1997 era recu-
perao do negcio, quando o Disaster Recovery Institute International (DRI) optou pelo termo
continuidade, que atualmente o termo mais adotado no mbito de negcios, especialmente
quando se refere tecnologia de informao TI.
Glenn (2005) considera que a continuidade do negcio engloba a continuidade dos pro-
cessos da organizao e a recuperao dos sistemas de informao, de forma a garantir que
a organizao poder continuar operando como usualmente ou em um nvel aceitvel na
ocorrncia de um desastre; e que os recursos de TI sejam restabelecidos a um estado similar ao
existente antes do desastre.
Savage (2002) alerta para o fato de muitos equivalerem o BCM recuperao de desastres
restrita aos sistemas de informao possivelmente pela caracterstica da TI de permear toda a
organizao.
Com base nessa situao, alguns autores alegam que a realizao de cpias de segurana
(backup), e a sua devida guarda, representam 99% do plano de continuidade (SALDANHA, 2000).
De fato, a recuperao de desastre originalmente objetivava minimizar o perodo em que as
bases de dados ficavam fora de operao (BOTHA; VON SOLMS, 2004), procurando agilizar o
2.3 Gerenciamento de segurana e de continuidade 45
Vale salientar que se deve considerar, para efeito da continuidade do negcio, alm dos pos-
sveis incidentes que resultem em dano aos recursos crticos, os incidentes que possam causar a
interrupo do negcio tais como, invaso das instalaes por grupos de interesse (movimento
sem terra, movimento contra barragens, por exemplo); greve; ameaa de bomba; problemas com
fornecedores; etc.
Plano de resposta
emergencial
Operao
alternativa
Plano de
monitoramento Plano de Plano de
e controle operao alternativa retorno
Figura 2.6: Estados de operao do sistema e os respectivos planos, para o caso de ativao do
plano de operao alternativa
2.3 Gerenciamento de segurana e de continuidade 46
Essa definio corroborada pela norma ABNT ISO/IEC 17799 que, apesar de no ter
designado nomes para cada parte, refere-se aos procedimentos relativos ao monitoramento e
controle; emergncia; operao alternativa; e retorno conforme apresentado a seguir (ABNT,
2001, p. 46 e 47):
1. as condies para ativao dos planos, os quais descrevem os processos a serem seguidos
previamente ativao (como se avaliar a situao, quem deve ser acionado, etc.) ;
2. os procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocor-
rncia do incidente [...];
3. procedimentos de recuperao que descrevam as aes necessrias para a transferncia
das atividades essenciais do negcio ou os servios de infraestrutura para localidades
alternativas temporrias [...]; e
4. procedimentos de recuperao que descrevam as aes a serem adotadas quando do
restabelecimento das operaes.
Outros dois conceitos que so bastante utilizados no BCM esto apresentados a seguir5 :
localizao assim, a vulnerabilidade pode ser vista como uma caracterstica do domnio
geogrfico.
2. Ameaa Para Saldanha (2000, p. 52), ameaa toda e qualquer condio adversa
capaz de vir a causar alguma perda para a empresa. Uma ameaa uma condio latente
e potencial. Ela no ir causar necessariamente um dano.
Nvel da organizao:
Organizao Gerenciamento da segurana e
da continuidade do negcio
Note-se que, no patamar do sistema tcnico, o gerenciamento de risco visa manter a dis-
ponibilidade com nveis aceitveis de segurana. A disponibilidade, por sua vez, depende da
confiabilidade e da mantenabilidade do sistema tcnico.
A segurana nem sempre tem uma interao positiva com a disponibilidade. Assim, o gestor
de risco, muitas vezes, ter que partir para uma soluo de compromisso e favorecer uma em
2.4 Consideraes finais 48
detrimento da outra.
Diante da comparao de algumas abordagens do risco, foi apresentada uma definio para
este termo. Tambm, optou-se pelo modelo de representao do incidente pela corrente causal,
2.4 Consideraes finais 49
apresentado por Mosleh et al. (2004). com base no conceito da corrente causal que ser feita
a anlise dos riscos, que por sua vez fornecer os fundamentos para o gerenciamento dos
riscos.
A diferena de nomenclatura foi evidenciada como uma das dificuldades para a integrao
dos sistemas de gesto de risco, sendo um dos objetivos especficos deste trabalho compatibili-
zar conceitos e nomenclatura adotados no gerenciamento de segurana e de continuidade.
A nomenclatura adotada neste trabalho est, sempre que pertinente, baseada nas recomen-
daes da norma ABNT ISO/IEC Guia 73. A norma apresenta definies genricas, que sero
adaptadas ao contexto deste trabalho. A terminologia adotada est sendo apresentada ao longo
do texto; no entanto, o Quadro 2.7 apresenta um resumo das principais definies abordadas
at o momento estas definies tambm podem ser encontradas no Glossrio, bem como de
outros termos pertinentes gesto de risco.
Neste sentido, tambm foi apresentada a estrutura adotada para o gerenciamento da conti-
nuidade, que contempla o monitoramento e controle, a resposta emergencial, a operao alter-
nativa (ou operao interina) e o retorno operao normal.
Este captulo apresenta uma breve reviso histrica e uma descrio da aplicao da gesto
de risco nos setores: nuclear (principalmente americano); martimo; areo; aeroespacial; em-
presarial; e eltrico brasileiro destacando as metodologias, tcnicas e diretrizes adotadas em
cada setor.
safety study, an assessment of accident risks in U.S. commercial nuclear power plants. USNRC, 1975.
3.1 Gesto de risco no setor nuclear 52
junto bsico de incidentes de projeto no ocorram. Isso feito atendendo a uma srie de
premissas previamente definida. Como consequncia dessa abordagem, o projeto das plantas
nucleares se caracteriza por ser bastante conservativo apesar do grande conhecimento sobre os
sistemas envolvidos , fazendo uso de elevadas margens de segurana e de mltiplas barreiras
e/ou sistemas de segurana independentes (KELLER; MODARRES, 1998).
Embora o primeiro guia da USNRC (United States Nuclear Regulatory Commission) tenha
sido publicado em 1982 (o NUREG/CR-2300 PRA procedures guide: A guide to the perfor-
mance of probabilistic risk assessments for nuclear power plants3 ), a PRA foi efetivamente
considerada e incorporada no processo de aprovao e licenciamento de plantas nucleares nos
EUA, em meados da dcada de 1990 (KELLER; MODARRES, 1998).
O guia NUREG/CR-2300 ainda utilizado e foi o primeiro que props a diviso da PRA
em trs nveis, dependendo da profundidade da anlise, a saber (IAEA, 2002 apud DIAS et al.,
2007b):
sessment for nuclear power plant applications. New York: ASME, 2002
5 Vide: ANS (American Nuclear Society). ANSI/ANS-58.21-2007: External events in PRA methodology.
ANS, 2007.
3.1 Gesto de risco no setor nuclear 53
Esta estrutura fica clara na abordagem de Kumamoto & Henley (1996) para a corrente
causal do incidente. Para os autores, o incidente inicia-se com uma falha ou um outro distrbio,
como apresentado na Figura 3.1.
Nesta situao, pode-se agir para mitigar as consequncias dentro da planta e no permi-
tir que elas extrapolem os limites da organizao. No entanto, caso elas extrapolem, existe,
ainda, a possibilidade de mitigar as consequncias fora dos limites da organizao ou graves
consequncias podem ocorrer.
Para Kumamoto & Henley (1996), o processo de gerenciamento de risco consiste em:
1. identificar o risco;
2. gerar um perfil do risco (resultado, chance, cenrio causal, populao e significncia) para
cada alternativa possvel de controle ativo ou passivo; e
3. cada perfil de risco avaliado (relao custo-risco-benefcio) para se tomar decises ade-
quadas.
O primeiro meio de prevenir falhas se esforar para que se tenha uma qualidade de projeto,
manuteno, construo e operao da planta de tal maneira que desvios da operao normal
3.1 Gesto de risco no setor nuclear 54
Falha
Preveno Acidente
Falha
Falhas e Distrbios
Preveno da
Propagao
Acidente
Mitigao Consequncia
(interno planta)
Ambiente externo
atacado
Mitigao Consequncia
(externo planta)
Consequncias
Uma vez que ocorreu o incidente, deve-se controlar o seu curso e mitigar suas consequn-
cias por meio de medidas como: executar desligamento de segurana; manter a continuidade
das utilidades, manter a integridade das clausuras; e manter ambiente externo planta prepa-
rado. Estas medidas devem ser fundamentadas na experincia operativa, na anlise de segurana
e nos resultados de pesquisa sobre segurana.
A mitigao interna planta inclui prticas previamente planejadas e com finalidade espe-
cfica, que utilizam os recursos da planta, de forma normal ou excepcional.
Assim como no setor nuclear, a anlise / avaliao de segurana no setor martimo era
essencialmente determinstica por meio de regulamentos, regras, leis, etc. impostos por di-
ferentes estados, organizaes e instituies e passou, recentemente, a contar tambm com
abordagem probabilstica, com a publicao da anlise / avaliao formal de segurana (FSA
formal safety assessment) pela International Maritime Organization (IMO).
A FSA uma metodologia estruturada que envolve o uso de tcnicas de anlise de risco
e avaliao de custo-benefcio para dar suporte ao processo de tomada de decises. A meto-
dologia, brevemente apresentada a seguir, compreende 5 etapas ilustradas na Figura 3.2 e
est descrita no documento Guidelines for formal safety assessment (FSA) for use in the IMO
rule-making process (IMO, 2002).
De maneira geral, essas cinco etapas podem ser descritas pelas seguintes questes:
A identificao dos perigos visa listar os perigos e cenrios associados, priorizados pelo
nvel de risco especfico para o problema que se est estudando.
Etapa 3
Opes de
controle do risco
Etapa 4
Avaliao de
custo-beneficio
analticas objetivando identificar tanto as situaes que j ocorreram (abordagem reativa) quanto
as novas (abordagem proativa). Tambm se analisam a corrente causal e os possveis resultados
de cada incidente considerado.
A anlise de risco, por sua vez, objetiva detalhar a investigao das causas e consequn-
cias dos cenrios mais importantes, identificados na etapa anterior. Isso permite que a ateno
esteja voltada para as reas de alto risco e para a identificao e anlise de fatores que possam
influenciar no nvel do risco.
No que se refere anlise quantitativa, pode-se fazer uso de base de dados e, quando no
se tem dados disponveis, devem-se utilizar clculos, simulaes ou outro tipo de tcnica reco-
nhecida, baseada no conhecimento dos especialistas.
A terceira etapa objetiva propor opes de controle de risco prticas e efetivas seguindo
quatro principais passos: (1) focar nas reas que necessitam de controle de risco; (2) identificar
potenciais medidas de controle de risco; (3) avaliao da efetividade das medidas na reduo do
risco, reavaliando seu perfil; e (4) agrupar as medidas em opes de regulamentaes prticas.
Para a determinao das reas que necessitam controles, deve-se avaliar o resultado da
segunda etapa, baseando-se principalmente em:
O levantamento de medidas dos riscos que no esto suficientemente controlados pelas me-
didas existentes deve, de maneira geral, objetivar um ou mais dos seguintes fatores: (i) reduzir
a frequncia de falha por meio de melhores projetos, procedimentos, polticas organizacionais,
treinamento, etc.; (ii) mitigar os efeitos das falhas, a fim de prevenir o incidente; (iii) abrandar
as circunstncias em que a falha pode ocorrer; e (iv) mitigar as consequncias do incidente.
As medidas de controle devem, ento, ser avaliadas quanto eficcia da reduo do risco,
conforme Etapa 2, para posteriormente serem grupadas em opes de regulamentaes prticas.
Esse processo deve ser conduzido para situaes genricas e, posteriormente, para as partes
afetadas que so mais influenciadas, direta ou indiretamente, pelos efeitos do incidente ou pelas
novas medidas reguladoras propostas.
As opes de controle devem, ento, ser expressas utilizando algum ndice de eficcia,
por exemplo: custo bruto para evitar uma fatalidade (Gross CAF Gross cost of averting a
fatality) e custo lquido para evitar uma fatalidade (NetCAF Net cost of averting a fatality)
(SKJONG, 2002).
Foi nesta poca, por exemplo, que H. A. Watson, do Bells Laboratory, em parceria com
a fora area norte-americana, concebeu a FTA (fault tree analysis) para estudar o sistema de
3.3 Gesto de risco no setor areo 59
Atualmente, existem inmeras organizaes tais como: SAE (Society of Automotive En-
gineers), FAA (Federal Aviation Administration / United States of America), JAA (European
Joint Aviation Authorities) e Eurocontrol (European Organization for the Safety of Air Na-
vigation) trabalhando para desenvolver regulamentaes, recomendaes e metodologias na
perspectiva de garantir a segurana.
No caso da Eurocontrol, ela prope a EATMP SAM (European air traffic management
programme safety assessment methodology), ilustrada na Figura 3.3. A SAM similar meto-
dologia proposta pela SAE nas recomendaes prticas ARP 47619 , mas seu escopo expan-
dido para todo o sistema de navegao cobre os servios de informao aeronutica; busca
e resgate; e gerenciamento do trfego areo , enquanto a ARP 4761 restringe-se aeronave
(EVERDIJ; BLOM, 2008).
DESCOMISSIO-
NAMENTO
A Figura 3.3 ilustra como a metodologia utilizada para a avaliao da segurana abrange
todo o ciclo de vida de um sistema de navegao areo, das definies iniciais do sistema at
seu descomissionamento, passando pelo projeto, implementao, integrao, transferncia para
operaes, operaes e manuteno.
dos na PSSA. Demonstra-se que todos os riscos foram eliminados ou minimizados tanto
quanto praticvel razoavelmente (as low as reasonably practicable ALARP) e, poste-
riormente, monitora-se o desempenho de segurana do sistema durante sua operao. A
Figura 3.4 ilustra o processo da SSA.
No total, foram identificados e analisados 73 perigos. Para cada um deles, foi estabele-
cido um objetivo de segurana. Estes objetivos foram, ento, confrontados com o resultado da
anlise aps as medidas de reduo de risco, a fim de verificar se o programa RVSM atingiu o
especificado. (EUROCONTROL, 2006).
10 O programa RVSM est implementado na Europa desde janeiro de 2002 (FAA, 2007).
3.4 Gesto de risco no setor aeroespacial 62
Note-se que, para a NASA, a PRA extrapola a preocupao com a segurana e visa garantir
o sucesso da misso.
Tendo em vista que o desenvolvimento da PRA no setor areo iniciou-se na dcada de 1960,
era de se esperar que a NASA tivesse, desde ento, adotado esta prtica. De fato, no comeo do
projeto Apollo, questionou-se qual era a probabilidade de sucesso em enviar astronautas Lua
e retorn-los em segurana. De alguma forma, foi feito um clculo de risco / confiabilidade e a
probabilidade obtida foi considerada inaceitavelmente baixa. Isso teria desencorajado a NASA
a fazer outros estudos probabilsticos, adotando, em contrapartida, anlises de risco qualitativa,
como a FMEA. No entanto, aps o incidente com a Challenger, em 1986, a importncia da
PRA veio tona e seu uso comeou a crescer. (NASA, 2002a).
Apesar de a metodologia atender a todo o ciclo de vida, tem nfase nas etapas anteriores
operao, uma vez que a NASA exige que se tenha um posicionamento de todos os riscos antes
da entrega para a operao (NASA, 2004a).
Documentao
e comunicao
Tcnicas como rvore de evento (event tree analysis ETA) e rvore de falha (fault tree
analysis FTA) podem ser utilizadas nessa fase (NASA, 2002b).
Na anlise dos riscos, as seguintes questes devem ser respondidas, mas sem se restringir
a elas (NASA, 2004a): Qual a chance de esse risco ocorrer? Quo cedo devem ser tomadas as
aes relativas a esse risco? Como esse risco pode ser comparado com outros riscos?
Pode-se fazer uso de tcnicas como: FTA; anlise do modo de falha, efeitos e criticidade
(FMECA); escalas de risco; anlise estatstica dos histricos; comparao com sistemas anlo-
gos; etc.
No planejamento dos riscos, por sua vez, procura-se responder s seguintes questes, mas
sem se restringir a elas (NASA, 2004a): O que pode ser feito para prevenir, ou pelo menos
diminuir a probabilidade ou a severidade das consequncias? Quem deve ser acionado para
tomar essas providncias?
2004a). Para tanto, as seguintes questes devem ser respondidas, mas sem se limitar a elas:
Quais riscos ainda necessitam ser pesquisados? Quais medidas para mitigar o risco precisam
ser revisadas? O risco atingiu um nvel que o plano de contingncia deve ser acionado? Quais
riscos podem ser aceitos e formalmente retidos, aceitando o risco residual?
Cada risco deve ser periodicamente revisado para assegurar que as decises tomadas esto
sendo efetivas e que as aes relacionadas a ele se mantm aplicveis.
O gerenciamento de risco deve contar com uma comunicao aberta, clara e contnua dos
membros da equipe do programa. A documentao deve assegurar que a poltica do gerenci-
amento de risco estabelecida foi entendida, implementada e mantida, e que se executem audi-
torias para identificar a origem e o raciocnio para todas as decises relativas a riscos. Adicio-
nalmente, indicam-se alguns requisitos e recomendaes relativas aos riscos para: o plano do
programa; o plano de aquisies; o plano de gerenciamento de risco; a declarao de risco; e a
lista de riscos. (NASA, 2004a).
A poltica do BCM objetiva produzir um documento, elaborado pelos executivos, que apre-
sente os princpios e a estrutura da gesto que nortear o delineamento e a construo do BCM.
Cabe, nessa fase, a definio do modelo de BCM que ser seguido, o levantamento de normas,
leis e diretrizes que podem influenciar no BCM, etc.
3.5 Gesto de risco no setor empresarial, quanto ao gerenciamento de continuidade 66
Entendendo
o negcio
1
Praticando,
mantendo e
auditando Estratgia
5 2 do BCM
Gesto do
programa
4 3
Desenvolvendo a Elaborando uma
cultura do BCM resposta para o BCM
Por fim, a preparao e resposta a incidentes objetiva manter a organizao atenta para que,
no caso de ocorrer um incidente, a resposta seja feita de maneira tranquila e tenha como sada
o retorno bem sucedido condio normal.
O primeiro estgio visa entender o negcio. Para tanto, prev-se estudar a estratgia da
organizao, analisar os impactos de incidentes no negcio e a anlise de risco desses incidentes.
dos tempos mximos de interrupo tolervel (maximum tolerable outage MTO); a definio
dos objetivos para os pontos de recuperao (recovery point objective RPO); o delineamento
das dependncias internas e externas para se atingir os objetivos crticos; a identificao dos
impactos que podem resultar em perdas de reputao ou financeira; etc.
A estratgia de recuperao de recursos, por sua vez, tem como propsito coordenar e
fornecer um nvel pr-determinado de recursos para permitir a implementao das estratgias
no nvel de processo e da organizao.
Uma vez estabelecidas as estratgias, pode-se elaborar uma resposta para a gesto da conti-
nuidade do negcio terceiro estgio. Para tanto, preveem-se planos de gerenciamento de crise,
de continuidade do negcio e de reativao da unidade de negcio, quais sejam:
dentro do MTO.
3. Plano de reativao da unidade de negcio: Objetiva estruturar a resposta de cada
departamento s interrupes.
Assim, com base nas lacunas identificadas, delineia-se o programa de educao, treina-
mento e conscientizao (educations, training and awareness ET&A), a fim de desenvolver a
cultura do BCM. O pessoal sem uma especfica responsabilidade no BCM pode se ater somente
conscientizao ou a um nvel de proficincia pr-estabelecido de como proceder nas tarefas
gerais da organizao. J os participantes devem receber um treinamento estruturado que im-
plemente habilidades, competncia (colocando em prtica o BCM) e conhecimento necessrio.
O BCM no pode ser considerado confivel at que sejam feitos os exerccios que visam
avaliar a competncia do BCM; identificar reas que necessitam de aprimoramento ou informa-
es; destacar pressuposies que precisem ser questionadas; fornecer informao e confiana
aos participantes do exerccio; desenvolver uma equipe de trabalho; aumentar o nvel de cons-
cientizao da organizao com exerccios pblicos; etc.
A manuteno do BCM, por sua vez, objetiva garantir que o BCM se mantenha efetivo,
apesar das mudanas internas e externas, o que resulta em um programa de manuteno e moni-
toramento que orienta as circunstncias de se fazer as revises. Os relatrios de cada processo
de manuteno devem ser assinados pelos gestores apropriados.
Dias et al. (2000) apresentam um estudo junto s principais usinas geradoras de energia el-
trica do pas, a fim de fazer um diagnstico dos procedimentos de operao e manuteno delas.
Foi analisado um conjunto de 36 usinas hidreltricas e 5 usinas termeltricas, selecionadas pela
potncia instalada, superior a 500 MW, ou pela sua importncia na operao do sistema. Os
autores constataram que 11% do nmero total de itens das listas de verificaes apresentavam
no-conformidades, sendo que os maiores percentuais foram referentes aos planos de segu-
rana da planta (76%), aos planos de aes de emergncia (49%) e aos planos contingenciais
de cheias (38%). Estas no-conformidades referentes inexistncia ou inadequao dos planos
totalizam 69% das no-conformidades identificadas. Os itens referentes s instrues e normas
correspondem a 14% do total de no-conformidades; recursos humanos, treinamento e manuais
operativos, a 6%; e restabelecimento autnomo a 11% (1% referente ao grau de automao e
10% manobra de restabelecimento autnomo black start). Os autores destacam que estes
ltimos procedimentos [...] esto diretamente relacionados com a operao cotidiana da planta
e influenciam diretamente o ndice de disponibilidade, possuindo portanto uma importncia sig-
nificativa [...] e que os planos de segurana da planta, de aes emergenciais e contingenciais
de cheias so [...] considerados de alta importncia estratgica para o setor de energia eltrica.
Dias et al. (2000, p. 13).
Diante dos resultados desta pesquisa, ficou evidenciada a carncia do setor de gerao por
uma metodologia que tratasse estes assuntos sendo um dos motivadores para este trabalho de
doutorado.
Esta situao confirmou-se em uma pesquisa, realizada neste trabalho de doutorado, junto
a duas empresas do setor de energia que mantm programas de gerenciamento de risco (uma
geradora, transmissora e distribuidora; e outra geradora). Nos dois casos, os respectivos pro-
gramas foram implementados pelo esforo de suas equipes, ponderando o que deviam fazer
j que no dispunham de uma metodologia para isso.
A segunda empresa uma usina hidreltrica de grande porte e teve seu plano de contingn-
cia de cheias elaborado em 1984. Por muitos anos, existiu a inteno de realizar uma anlise
de outros incidentes. No entanto, somente em 1995 aps a ocorrncia de um incidente, ficou
3.6 Gesto de risco no setor eltrico brasileiro 70
evidenciada a falta de preparao adequada da equipe, e foi criada uma comisso para elaborar
os planos de ao emergencial.
De acordo com um dos entrevistados, o apoio da alta gerncia foi extremamente importante
nesse momento, para conseguir o comprometimento das reas, liberando os colaboradores para
os trabalhos, e tambm para analisar o investimento de cada ao. Em 2001, foi constituda
uma comisso permanente para gerenciamento das aes para minimizao dos riscos e efeitos
de contingncias crticas na usina. Na data da visita tcnica (31 de maio de 2007), existiam 12
planos de aes emergenciais na usina.
Na primeira empresa, no que se refere gerao, foi destacado que, desde a dcada de 80,
existe a preocupao de se aprender com a anlise dos incidentes ocorridos (com a viso de que
no poderia ocorrer mais o mesmo incidente), e que, aproximadamente em 1990, foram feitas
videoconferncias para discutir os incidentes que ocorreram (participavam da videoconferncia
responsveis de todas as usinas). Em torno do ano 2000, foram realizados planos de emergncia,
comeando pelo de rompimento de barragem. Sendo que, por volta de 2003, j tinham sido
elaborados planos de forma proativa, no apenas de incidentes que j tinham ocorrido. Na data
da visita (15 de maro de 2006), existiam de 12 a 15 planos de aes emergenciais (PAE) por
usina e 7 ou 8 por PCH.
Com esta reestruturao, foi possvel manter instalaes desativadas para funcionar como
hot-site12 . A arquitetura do sistema permite, ainda, trabalhar por transbordo13 e fazer a dis-
tribuio de servios na rea de responsabilidade de um COD, por outro o que caracteriza
redundncia ativa. Adicionalmente, existe um revezamento entre os operadores de cada mesa
(que so as reas de atuao das equipes) para que, em uma contingncia, se possa operar
com 2 equipes em uma mesma rea isso feito particionando a mesa em duas, uma subrea
para cada equipe.
atingido.
3.6 Gesto de risco no setor eltrico brasileiro 71
interessante destacar que, em uma visita tcnica a uma distribuidora na Espanha, re-
alizada em 02 outubro de 2008, foram identificadas prticas equivalentes s identificadas na
distribuidora pesquisada, no que se refere ao transbordo, redundncia da comunicao, dis-
ponibilidade de hot site e redundncia ativa de instalaes.
Destaca-se, ainda, que parte da metodologia desenvolvida no presente trabalho foi aplicada
em uma distribuidora, no caso a Celesc (Centrais Eltricas de Santa Catarina S.A.), e em uma
transmissora, a Eletrosul Centrais Eltricas S.A., conforme descrito no Captulo 6. Nos dois
casos, pode-se confirmar a carncia de uma metodologia para o gerenciamento de risco no setor
eltrico.
Esta carncia de uma metodologia levou empresas a desenvolverem suas prprias formas de
trabalhar. Lefevre et al. (2001), por exemplo, apresentam os passos seguidos na implementao
do sistema de gerenciamento na Usina Hidroeltrica Binacional ITAIPU, conforme listado a
seguir.
ou at da diretoria da corporao.
6. Treinamento: considerada fundamental a prtica de simulaes do combate s contin-
gncias. Assim, periodicamente, so programadas simulaes. A experincia mostra que
a anlise dos resultados dessas simulaes geram importantes ajustes no plano e melho-
ram o treinamento para a aplicao deles.
7. Natureza permanente do PAE: Mesmo quando os estudos de todas as contingncias, at
ento identificadas, tenham sido concludos, fundamental que a comisso permanea.
Isto : ela deve ser de natureza permanente para tratar adequadamente novas contingn-
cias que sejam identificadas.
8. Reviso da metodologia: Muito do trabalho feito com base na experincia e no senso
comum. Um estudo sobre metodologias est sendo realizado para verificar se uma abor-
dagem mais cientfica pode ser incorporada s prticas presentes.
Quanto ao BCM, concluiu-se que ele no se restringe aos sistemas de informaes e inclui
medidas de monitoramento e controle; de resposta emergencial; de operao alternativa; e de
retorno situao normal.
que, apesar de estruturadas de forma diferente, os pontos abordados so muito prximos do que
prope a norma ABNT ISO/IEC Guia 73, que divide a gesto de risco em: anlise / avaliao
de risco; tratamento do risco; aceitao do risco; e comunicao do risco.
De fato, Kumamoto & Henley (1996) propem, como estratgia de tratamento, o aprimo-
ramento da qualidade das prticas da empresa para diminuir o risco e alcanar uma cultura
do risco poltica tambm adotada por outras metodologias, tais como TapRoot (PARADIES;
UNGER, 2000).
J a norma SAA AS/NZS 4360:2004 inclui, no tratamento dos riscos identificados, a ela-
borao de planos de contingncia para fazer a recuperao, caso o incidente ocorra (COOPER,
2004).
ciamento para que ele se mantenha atualizado e se possam fazer melhorias que tambm
evidenciada na gesto da segurana por Kranidiotis (2001), na norma SAA AS/NZS 4360 (CO-
OPER, 2004), e pela NASA (2002b), NASA (2004b), NASA (2004a).
A ABNT ISO/IEC 17799 (ABNT, 2001), que uma norma de segurana da informao,
acrescenta que os procedimentos de emergncia a serem executados aps a ocorrncia do in-
cidente devem contemplar aes para preservar as operaes do negcio e / ou vidas humanas.
Karakasidis (1997), por sua vez, complementa indicando que a continuidade de negcio
deve ser usada em conjunto com um programa de gerenciamento de risco mais abrangente.
organizao.
fato que todo sistema tcnico tem uma funo a desempenhar. Esta funo, ento, con-
tribui para a operao da organizao. Apesar de todo sistema tcnico ser portador de perigo,
a sociedade est disposta a correr o risco de um incidente para ter o benefcio adquirido pela
operao da organizao.
Desta forma, para a sociedade, a relao custo-risco-benefcio se d pelo aporte que ela faz
na organizao (seja pela aquisio de seus produtos / servios, por subsdio, por financiamento,
ou qualquer outra forma de favorecimento), pelo risco de dano sociedade em confronto com
os benefcios advindos da manuteno da operao da organizao.
A organizao, por sua vez, fornece produtos / servios em troca de remunerao. Desta
forma, cria-se um lao de dependncia entre as partes: organizao e sociedade.
Assim, a sociedade incorre em dois riscos: de um incidente gerar dano a ela ou interromper
a operao da organizao, isto , riscos relativos segurana e continuidade.
Por fim, destaca-se que ainda no existe um consenso quanto terminologia utilizada na
gesto de risco quanto segurana, nem na gesto de risco quanto continuidade, tampouco
entre elas conforme discutido no Captulo 2.
lares, mas de forma diferente e com designao distinta. O Quadro 3.2 ilustra este ponto: nele
est apresentado um comparativo entre a nomenclatura utilizada no gerenciamento de segurana
e no de continuidade para designar as atividades tpicas, a serem realizadas no perodo anterior
e posterior a um caso de incidente.
Contudo, observa-se que as metodologias para gerenciamento de riscos destes dois atri-
butos esto convergindo, apesar de ainda no se ter uma que formalmente integre os atributos
segurana e continuidade.
A seguir, ser apresentada uma breve descrio das que foram consideradas mais relevantes
para a metodologia de gerenciamento de risco desenvolvida e apresentada no Captulo 5, que
so: IDEF0; redes bayesiana; atualizao bayesiana; FTA; ETA; ESD; FHA; FMECA; BTA
e CNEA. Isto no significa que outras tcnicas no possam ser utilizadas RBD (reliability
block diagram) ou HAZOP, por exemplo, podem ser utilizadas para auxiliar na identificao de
incidentes. Por fim, na Seo 4.10, destaca-se como as tcnicas apresentadas esto associadas
metodologia desenvolvida.
Para uma leitura mais aprofundada, sugere-se a bibliografia referenciada no Quadro 4.11 .
4.1 IDEF0
IDEF0 (integration definition for function modeling) uma tcnica para dar suporte mo-
delagem de decises, aes e atividades (PRESLEY, 1997). A ideia do IDEF0 representar
graficamente o funcionamento do objeto de estudo. Esta tcnica baseada em uma linguagem
grfica consolidada a structured analysis and design technique (SADT), desenvolvida nos
anos 70 (PRESLEY, 1997) e objetiva facilitar a anlise e a comunicao das funes estudadas
(NIST, 1993).
C1 C2 C3
Disjuntor
Equipamento
I3 Equipamento to bom como novo
Sobressalentes Fazer manuteno O2
I2 de disjuntores SF6 / N2 / leo e resduos para o meio
Insumos isolados a SF6 O1
I1
disponveis A21
Fazer manuteno
da estao blindada
isolada a SF6
(GIS)
A22
Fazer manuteno
de outros
equipamentos
isolados a SF6
A23
Sistema de informao
RH
Veculos de transporte
Oficina
M1 M2 M3 M4
Figura 4.1: Exemplo de IDEF0 da funo Fazer manuteno de equipamentos isolados a SF6
Fonte: MT-PR-RT-NE-01 (UFSC/NEDIP, 2008j, Apndice A, p. 21)
principal deve ser A0, e de suas subfunes A1, A2, A3, e assim por diante. A partir do
segundo nvel, acrescenta-se um nmero a mais para identificar cada caixa.
dos quais ser exercida a funo especificada pela caixa, devem apontar para cima e devem ser
conectadas no lado de baixo da caixa.
Seu texto mais ilustre, Essay Towards Solving a Problem in the Doctrine of Chances2 ,
foi publicado em 1763 (portanto aps sua morte), no Philosophical Transactions of the Royal
Society of London, por seu amigo Richard Price. Nesse texto, apresentado um caso especial
do que hoje denominado teorema de Bayes. Este, por sua vez, foi apresentado, em 1774, por
Pierre-Simon Laplace, no texto Mmoire sur la Probabilit des Causes par les vnements
(FIENBERG, 2006).
Para dois dados eventos A e B, pode-se apresentar o teorema pela equao a seguir:
P(A|B).P(B)
P(B|A) = (4.1)
P(A)
Onde,
f (x| ). f ( )
f ( |x) = (4.2)
f (x)
Onde,
Que pode ser lida omitindo o denominador do lado direito da equao, j que ele no
depende de como: a distribuio a posteriori proporcional verossimilhana mul-
tiplicada pela funo a priori (EHLERS, 2005).
Para obter um valor representativo do parmetro, pode-se fazer uso de estatsticas e calcu-
lar o valor esperado da funo posteriori, e o estimador bayesiano pode ser alcanado por
4.2 Abordagem bayesiana 85
Z
= E( |x) = . f ( |x).d (4.3)
Redes bayesianas so grafos acclicos direcionados (DAG - directed acyclic graph). Grafos
direcionados, pois so representaes grficas em que ndulos representam as variveis, arcos
direcionados representam a existncia de uma influncia direta entre as variveis, e probabilida-
des condicionais expressam a intensidade desta influncia (PEARL, 1988). Acclicos, pois no
pode existir um caminho A1 An em que A1 = An (JENSEN, 2001); isto : no existe um
caminho que comece e termine no mesmo ndulo.
O exemplo ilustrado pela Figura 4.2 refere-se probabilidade de um sistema falhar (ou se
manter em operao), baseando-se no estado de cinco componentes: A, B, C, D e E3 .
A B A B
Operando 70.0 Operando 85.0 Operando 70.0 Operando 0
Falha 30.0 Falha 15.0 Falha 30.0 Falha 100
E Sistema E Sistema
Operando 80.0 Operando 90.6 Operando 80.0 Operando 62.2
Falha 20.0 Falha 9.38 Falha 20.0 Falha 37.8
C D C D
Operando 60.0 Operando 90.0 Operando 60.0 Operando 90.0
Falha 40.0 Falha 10.0 Falha 40.0 Falha 10.0
Note-se que a probabilidade de falha do sistema alterou de 9,38% para 37,8% aps a evi-
dncia de que o componente B falhou.
3 Figura editada a partir da rede elaborada utilizando o software Netica
,
c desenvolvido pela Norsys Software
Corp.
4.3 rvore de falha (FTA) 86
FTA (fault tree analysis) foi elaborada por H. A. Watson, dos Laboratrios Bell, em 1961,
em atividade desenvolvida para a fora area norte-americana, com o fim de estudar o mssil
Minuteman. Em 1965, na primeira conferncia de sistemas de segurana, patrocinada pela Bo-
eing e pela Universidade de Washington, foram apresentados os primeiros trabalhos utilizando
FTA, difundindo a tcnica. (ERICSON II, 1999).
FTA, ilustrada na Figura 4.3, uma tcnica dedutiva que elabora o modelo partindo de um
evento (evento topo) e, posteriormente, identificando as causas necessrias para sua ocorrncia.
A diagramao feita utilizando operadores lgicos como e, ou, etc. , o que possibilita
calcular a probabilidade de ocorrncia do evento topo por lgica booleana, atribuindo probabi-
lidades ocorrncia de cada causa.
Vibrao
OU
Tampas
Eixo Eixo Mancal Estator
laterais
deformado desalinhado deformado desgastado
desgastadas
OU 3 3 2 OU 2
Erro na
fabricao
Nvel
Erro na Erro de Erro de excessivo de Presso Uso 3
fabricao montagem projeto contaminao excessiva excessivo
do fluido
Na Figura 4.3, por exemplo, o evento eixo desalinha ocorre sempre que um dos eventos
abaixo erro na fabricao, erro na montagem ou erro no projeto ocorrer, pois uma
porta ou. Note-se que as causas que foram desdobradas esto representadas por retngulos, e
as que ainda requerem uma futura anlise so diagramadas como losangos (crculos representam
4.4 rvore de eventos (ETA) 87
as causas razes). O tringulo, por sua vez, representa o ramo que est abaixo dele assim, no
necessrio repetir o mesmo ramo vrias vezes.
interessante esclarecer que o smbolo do tringulo utilizado para evitar que se repita a
mesma informao vrias vezes. Assim, o tringulo de nmero 3 representa o conjunto abaixo
da porta.
FTA pode ser executada em quatro etapas (ALBERTON, 1996): definio do sistema, cons-
truo da rvore de falhas, avaliao qualitativa e avaliao quantitativa (quando aplicvel).
Aparentemente, ETA (event tree analysis) foi desenvolvida no incio dos anos 70, durante o
WASH-1400, para apoiar a implementao de anlises de riscos em centrais nucleares (ERICSON
II, 2005), e atualmente utilizada nas mais diversas reas.
Note-se que existem tcnicas de otimizao da rvore (desbaste dos ramos), que simplificam
o diagrama j que o nmero de ramos cresce exponencialmente com o nmero de eventos,
podendo resultar em rvores complexas.
A Figura 4.4 ilustra uma rvore de eventos. Nela, o evento A o inicializador, e a ocorrncia
(ou no) dos eventos B e C determina qual o cenrio esperado. Por exemplo, caso ocorra A, B e
no ocorrer C (A = a, B = b e C = c), o estado final resultante o 2, sendo que a probabilidade
de este cenrio ocorrer P(a).P(b|a).P(c|a, b).
A B C CENRIO PROBABILIDADE
c
1 P a . P ba . P ca , b
b
c
a
2 P a . P ba . P ca , b
c
b 3 P a . P ba . P ca , b
c
4 P a . P ba . P ca , b
A tcnica pode ser utilizada para delinear, barreiras a fim de reduzir consequncia ou para
organizar, caracterizar e quantificar potenciais incidentes de uma maneira metdica (EUROCON-
TROL, 2004). Ela pode ser executada em cinco etapas: (i) identificao dos eventos inicializado-
res; (ii) identificao dos eventos que podem influenciar (incluindo barreira, salvaguardas, etc.);
(iii) estruturao da rvore de eventos; (iv) simplificao da rvore de eventos; e (v) clculo da
probabilidade de cada cenrio (quando aplicvel).
Um ESD (event sequence diagram), a exemplo do ilustrado na Figura 4.5, um modelo que
procura representar esquematicamente sequncias de eventos que levam a diferentes estados
finais. Cada caminho, no diagrama, um cenrio, e cada evento pivotal identificado como
ocorreu ou no ocorreu (NASA, 2002b).
ESD mais uma tcnica para delinear cenrios; no entanto, ela se destaca por ser mais
aderente forma de pensar dos engenheiros, comparada com as rvores de eventos (NASA,
2002b). Assim, ESD tambm utilizado como tcnica de suporte para elicitar o conhecimento
do especialista, para, ento, modelar rvores de eventos e fazer anlises probabilsticas.
No
Estado final
4
Everdij & Blom (2008, p. 44) consideram ESD como sendo uma generalizao da ETA,
pois no se restringe representao da sequncia de eventos, podendo modelar sistemas repa-
rveis. Ademais, recentemente, Swaminathan & Smidts (1999) propuseram uma extenso da
tcnica, possibilitando a modelagem de sistemas dinmicos, bem como sua anlise probabils-
tica.
4.6 Anlise / avaliao dos perigos funcionais (FHA) 89
FHA uma tcnica top-down iterativa que procura determinar quo seguro deve ser o sis-
tema, e normalmente conduzida no incio do desenvolvimento ou da modificao do sistema
(EUROCONTROL, 2006). uma anlise metdica das funes do sistema, a fim de identificar
as possveis falhas e classific-las de acordo com uma escala de severidade dos efeitos (SILVA,
2006).
A representao do modelo feita na forma de tabelas, a exemplo do Quadro 4.2, que ilustra
parte da anlise / avaliao de um prdio de uma central de controle de trfego areo (ATCC
air traffic control center).
EUROCONTROL (2006) destaca que FHA pode ser aplicada em diferentes nveis, mas,
idealmente, deve ser conduzida no sistema mais abrangente (nvel macro) para que os ob-
jetivos sejam traados para este nvel, sendo que os requisitos devem ser desdobrados para os
subsistemas.
FMECA (failure modes effects and criticality analysis)5 teve sua origem no departamento
de defesa dos Estados Unidos (DOD Department of Defense), em 1949, com a norma mili-
tar MIL-P-1629 (Military procedure MIL-P-1629: Procedures for performing a failure mode,
effects and criticality analysis).
A FMECA uma tcnica analtica desenvolvida com base em uma tabela, como a ilustrada
no Quadro 4.4, que tem como propsito estudar os resultados ou efeitos da falha de um item na
operao do sistema e classificar cada falha potencial de acordo com sua severidade (USA/DOD,
1980, p. 101-1, traduo nossa).
criticidade que orienta a prioridade nas aes a serem executadas pela organizao.
4.7 Anlise do modo de falha, efeitos e criticidade (FMECA) 91
2. modo de falha a forma em que o sistema deixa de cumprir seu requisito funcional;
3. efeito potencial potenciais efeitos que a falha desta funo pode gerar;
4. causas as causas razes do modo de falha;
5. controles atuais apresentar as barreiras para monitorar e controlar a falha;
6. NPR o resultado da multiplicao de trs ndices, referentes probabilidade de ocor-
rncia (O), severidade do efeito (S) e possibilidade de se detectar o modo de falha a
partir dos controles atualmente implementados (D);
7. aes recomendadas so as aes preventivas que devem ser executadas diante das
variaes percebidas da funo, a fim de evitar ou mitigar falha;
8. responsabilidade os nomes dos responsveis pelas aes;
9. aes executadas aes efetivamente executadas; e
10. reavaliao dos ndices valor atribudo aos ndices aps as aes executadas.
Causas /
Modo de N Responsvel N
Item / Efeito po- Mecanis- Controles Aes reco- Aes exe-
falha po- S O DP e meta para S OD P
Funo tencial mos poten- atuais mendadas cutadas
tencial R finalizao R
ciais
Gume su-
Baseado nos
perior da Teste de
resultados
aplicao durabili-
do teste
da proteo dade ge- Adicionar
Deteriora- 2 Tate-Boby (Teste N
Porta de cera es- ral do um teste de 2
o da por- pecificado 6 veculo 7 9 corroso ace- Engrg 8X 1481) a es- 7 2 2
8
dianteira
ta, levando para o inte- T-118, T- 4 lerada em la- 09 30 pecificao
L.H para o gume
a: rior do pai- 109, T- boratrio
H8HX- superior su-
0000-A nel muito 301
Aparncia baixo biu 125mm
Entrar e Painel
insatisfat-
sair do inferior Os resulta-
ria devido
veculo de den- dos do teste
ferrugem 7 Adicionar
Prote- tro da (Teste N
atravs da um teste de Combinar
o dos porta 1481) mos-
pintura ao Teste de corroso ace- x/testes
ocupantes corrodo traram que a
longo do Especifica- durabili- lerada em la- para a veri-
contra o espessura
tempo o da es- dade ge- 1 boratrio ficao do
tempo, especificada 2
Funo da pessura da 4 ral do 7 9 Fazer um gume supe- 722
rudo, e adequada. 8
porta no in- cera insu- veculo 6 DOE (Desi- rior da cera
impacto DOE mos-
terior preju- ficiente como gn of Experi- Tate-Body
lateral trou que va-
dicada acima ments) da es- Ergrg 9X
riao de
pessura da 01 15
25% na es-
cera
pessura
aceitvel
Fonte: SAE (2002, p. 43, traduo nossa)
pobre, o que torna difcil a reutilizao do conhecimento em outras FMECAs bem como
compartilhar o conhecimento com outras equipes de projeto e de diagnstico. Adicionalmente,
o tempo dispendido em reunies normalmente alto, o que impacta fortemente no custo de
desenvolvimento da FMECA.
Para Everdij & Blom (2008), o diagrama BT (bow-tie6 ) uma evoluo dos diagramas
causa-consequncia dos anos 70 e dos diagramas de barreiras dos anos 80, tendo sido mais
intensamente utilizado nas indstrias qumicas e petroqumicas.
Lewis & Hurst (2005) corroboram com estes autores e indicam a Royal Dutch / Shell Group
como sendo a primeira grande empresa a integrar a BTA (bow-tie analysis) s suas prticas,
sendo responsvel pelo desenvolvimento da tcnica e sua disseminao em todo o mundo.
Atualmente a tcnica utilizada nas mais diversas reas, a exemplo de: Trbojevic (2001)
no gerenciamento da navegao e outras operaes porturias; Ramzan (2006) na gesto de
risco em usinas nucleares; Iannacchione et al. (2007) na mitigao do risco de instabilidade
estrutural e incndios em minas; Trbojevic (2004) na anlise de descarrilhamento de trens de
passageiros; no projeto ARAMIS (accidental risk assessment methodology for industries), que
visa desenvolver uma metodologia para avaliao de risco (DELVOSALLE et al., 2006; DIANOUS;
FIVEZ, 2006; GOWLAND, 2006); entre outras.
BTA uma alternativa grfica para tradicionais mtodos de anlise de risco, como HAZOP
(hazard and operability) e what-if (PHILLEY, 2006). Nela, o evento a ser estudado posi-
cionado no centro do diagrama, suas causas esquerda, e seus efeitos direita, permitindo a
visualizao das relaes entre os elementos do sistema modelado.
A Figura 4.6 ilustra uma BTA, de acordo com a sintaxe proposta por Lewis & Hurst (2005),
que similar adotada por outros autores, como Trbojevic (2004) e Beerens et al. (2006), e
pelos softwares BowTieXP7 e BowTie-Pro8 , em que:
6O diagrama tem este nome porque sua forma se assemelha a uma gravata-borboleta
7 Vide: <http://www.bowtiexp.com/>.
8 Vide: <http://www.bowtiepro.com/>.
4.9 Anlise de eventos por rede causal (CNEA) 93
Ameaa: causa potencial para dar incio ao cenrio de risco que leva ao evento central.
Barreira: medidas de proteo para prevenir as ameaas que podem levar ao cenrio de
risco.
Evento central: evento que inicia o cenrio de risco, ou seja, o ponto no qual o controle
sobre o risco perdido.
Consequncia: possveis consequncias resultantes da ocorrncia do evento central.
Medidas de recuperao: medidas para mitigar as consequncias.
Fator de escala: possveis falhas das barreiras ou medidas de recuperao.
Controle do fator de escala: medidas para evitar a falha da barreira ou medida de
recuperao.
AMEAA CONSEQUNCIA
1 RISCO Medidas de Medidas de 1
Barreira Barreira recuperao recuperao
AMEAA CONSEQUNCIA
2 Medidas de Medidas de 2
Barreira Barreira recuperao recuperao
EVENTO
AMEAA CONSEQUNCIA
3 3
Barreira Barreira Medidas de Medidas de
recuperao recuperao
FATOR DE FATOR DE
ESCALA ESCALA
Controle do Controle do
fator de fator de
escala escala
A CNEA (causal network event analysis), apresentada na Figura 4.7 e no Quadro 4.5, uma
tcnica que faz uso de redes causais para analisar a ocorrncia de um determinado evento (um
incidente ou um modo de falha, por exemplo). Redes causais so grafos acclicos direcionados
(DAG), que, no caso da CNEA, apresentam, no centro do diagrama, o evento a ser analisado.
Este formato anlogo ao da BTA, no entanto, na CNEA, podem-se desdobrar as causas e os
eventos, i.e.: possvel incluir eventos intermedirios.
Outro ponto a se destacar nesta tcnica a possibilidade de considerar que a barreira foi
bem sucedida, mas que o resultado disto tambm deve ser includo na anlise. Em alguns
casos, principalmente na mitigao do incidente, uma barreira pode resultar em situaes no
to graves quanto se ela no existisse, mas que no podem ser desprezadas.
4.9 Anlise de eventos por rede causal (CNEA) 94
Barreira
proposta 2
Barreira
proposta 1
Causa 1
Efeito 1
Causa 3
(intermediria) Barreira
efetiva
Efeito 2
Causa 2 Incidente
Barreira
atual 1
Efeito 4
Efeito 3
Causa 4 (intermedirio)
Efeito 5
Note-se que possvel, em apenas um diagrama, visualizar as relaes das causas (que
podem ser modeladas em uma rvore de falhas) e dos efeitos (que podem ser modeladas em
uma rvore de eventos). No entanto, a CNEA pode ser modelada sem ter que determinar o tipo
de relao existente entre seus elementos como em uma FTA , e os efeitos so estados e no
eventos, como em uma ETA.
interessante observar que no existe uma sintaxe consolidada para a BTA, sendo que
alguns autores como GOVERNORS (2005) e Lewis & Hurst (2005) apresentam apenas uma
lista de ameaas (que so as causas), o evento central e uma lista das consequncias (efeitos).
Outros, como Beerens et al. (2006) e Lger et al. (2006), incluem eventos intermedirios, o que
4.9 Anlise de eventos por rede causal (CNEA) 95
Por fim, interessante destacar que a CNEA permite diagramar incidentes modelados pela
corrente causal proposta por Mosleh et al. (2004). De fato, em uma rede causal, podem-se
modelar vrias correntes causais referentes a um determinado incidente, conforme ilustrado na
Figura 4.8.
CA CP
1 1
B1 + IN CO
EG
CA 1 CP 1
1 B2 B3
B1
EG 1
B2 IN CO
CA CP
2 2 CA 2 CP 2 B3
B4 + IN CO
EG EG 2
2 B5 B3 B4 B5
Legenda: CA Causa IN Incidente
CP Condio perigosa CO Consequncia
EG Evento gatilho B Barreira
No entanto, para que se possa agrupar correntes causais, os efeitos decorrentes do incidente
devem ser idnticos. Caso exista uma particularidade de um incidente quando deflagrado por
uma condio especfica, esta corrente causal deve ser tratada separadamente.
Por outro lado, em alguns casos possvel simplificar a rede agrupando alguns elementos
da CNEA por exemplo, no caso de o mesmo evento gatilho deflagrar mais de uma condio
perigosa (CP1 e CP2, na Figura 4.8).
4.10 Consideraes finais 96
Foi apresentada, ao longo do Captulo 4, uma breve reviso sobre algumas tcnicas de
modelagem utilizadas no gerenciamento de risco. Estas tcnicas podem ser aplicadas indepen-
dentemente; no entanto, foi desenvolvida uma estrutura de trabalhado detalhada no Captulo 5
que associa as tcnicas IDEF0, FHA, FMECA, CNEA, FTA, redes bayesianas e atualizao
bayesiana, a fim de possibilitar uma melhor anlise / avaliao dos riscos .
No que se refere tcnica IDEF0, ela ser fundamental para o mapeamento funcional da
organizao. Assim, pode-se identificar quais funes (caixas) so essenciais para o negcio, e
quais as restries (controles) e os recursos (entradas e mecanismos) que so crticos.
A FHA, ento, pode ser utilizada para identificar os perigos associados a estas funes e
analisar seus efeitos e quo crticos so eles para o sistema, a fim de definir os objetivos de
risco.
Pode-se, ento, identificar a forma em que ocorre o incidente ou a falha (modo de falha) e
a criticidade dela, pela tcnica FMECA que possibilita, ainda, que se avaliem indicadores de
controle (sensores) e barreiras para mitigar ou evitar os potenciais cenrios.
Para fazer o tratamento estatstico dos modelos elaborados com a FMECA /CNEA, podem-
se utilizar redes bayesianas especialmente quando as relaes entre as causas e os efeitos no
forem determinsticas.
Por fim, para inferir a probabilidade dos eventos, pode-se utilizar a inferncia bayesiana
(para eventos raros) ou a estatstica clssica quando se tem histrico de falha mais represen-
tativo.
Quanto ETA e FTA, elas so muito utilizadas em conjunto para delinear possveis ce-
nrios (ETA) e identificar as possveis causas da ocorrncia de cada evento (FTA) e podem ser
empregadas como uma alternativa CNEA. A BTA tambm pode ser utilizada em substitui-
4.10 Consideraes finais 97
Estas tcnicas daro suporte principalmente para a etapa de anlise / avaliao de risco da
metodologia desenvolvida, mas tambm sero fundamentais no tratamento e no planejamento
dos riscos aceitos.
98
5 Metodologia de gerenciamento de
risco desenvolvida
Observou-se que o gerenciamento de risco vem sendo explorado principalmente nos lti-
mos 50 anos (destacadamente nos 15 ltimos) e que, a partir do ano 2000, foram efetivamente
consolidadas regras e normas. Isto ocorreu em resposta ao aumento de complexidade e de porte
dos sistemas alm da reduo da tolerncia da sociedade quanto ocorrncia de incidentes,
tanto com impacto na segurana do homem, do ambiente e do patrimnio quanto com impacto
na continuidade da funo desempenhada pelo sistema.
A Figura 5.1 ilustra as etapas da metodologia de gesto de risco, que sero apresentadas
nas prximas sees. Note-se que a metodologia pode ser aplicada aos trs nveis da estrutura
proposta para o desdobramento da organizao apresentada na Seo 2.3, vide Figura 2.7 e
Quadro 2.6.
A Figura 5.2 ilustra a aplicao da metodologia nestes trs nveis. Neste contexto, no nvel
da organizao, a gesto de risco objetiva garantir a continuidade do negcio e garantir que a
operao da organizao no incorra em riscos inaceitveis segurana de seus colaboradores e
da sociedade em geral; no nvel da unidade organizacional, o foco manter as funes crticas
5.1 Estrutura da metodologia de gerenciamento de risco 99
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
ativas (continuidade operacional) e garantir a segurana do meio em que est inserida, de seus
colaboradores (e outras pessoas afetadas pela sua operao) e dos sistemas tcnicos que a com-
pem; e, no nvel do sistema tcnico, o foco manter sua disponibilidade sem comprometer a
segurana das pessoas, do meio e outros sistemas tcnicos que interagem com ele.
Nvel da organizao:
Definio de Gerenciamento da segurana e da continuidade do negcio
Reviso do SGR
Reviso do SGR
Delinea- Implemen-
Utilizao Desativao
S.T.2 S.T.4 S.T.6 S.T. k mento tao
Reviso do SGR
Idealmente, o sistema de gesto de risco deve ser desenvolvido do nvel superior para o
inferior. No entanto, os nveis podem ser trabalhados independentemente por exemplo: a
aplicao do sistema de gesto de risco em uma unidade organizacional no pr-requisito para
a aplicao em um sistema tcnico.
Note-se que a disponibilidade de um sistema tcnico pode ser determinante para a continui-
dade da unidade organizacional, como apresentado no Quadro 2.6. Assim, interessante que
se delineie o sistema de gesto de risco na unidade, para que se possam definir os objetivos de
5.1 Estrutura da metodologia de gerenciamento de risco 100
risco dos sistemas tcnicos que a compem, conforme apresentado na Seo 5.3.1.1.
Contudo, importante que a deciso dos nveis em que sero feitas as aplicaes da meto-
dologia seja feita no mbito do planejamento da organizao, no primeiro nvel da Figura 5.2.
O sistema de gerenciamento de risco contribui para que a organizao alcance sua misso e,
portanto, deve estar inserido em um planejamento mais amplo.
Assim, o primeiro passo para se poder aplicar a metodologia de gerenciamento de risco de-
senvolvida a definio da estrutura da organizao em unidades organizacionais e em sistemas
tcnicos. Note-se que a resoluo adotada i.e., at quando ser feito o desdobramento uma
questo gerencial. Por exemplo, uma unidade organizacional pode ser um departamento, um
setor, uma diviso, etc., dependendo do desdobramento realizado.
interessante destacar que, como todo programa, nesse tambm existe uma curva de apren-
dizado e (apesar de o grupo responsvel pela implementao em cada nvel e em cada unidade
organizacional ou sistema tcnico no ser exatamente o mesmo) as lies aprendidas por um
grupo podem e devem ser passadas para os outros. Essa situao especialmente inte-
ressante no caso de existirem similaridades entre as implementaes. Assim, recomenda-se
que seja feita uma implementao piloto para, posteriormente, replicar a aplicao nas outras
unidades organizacionais (ou sistema tcnico, se for o caso).
pantes do grupo de trabalho. A disponibilidade dos recursos humanos decisiva para o sucesso
do programa, e a alocao das horas desses colaboradores deve ser autorizada pelos respectivos
setores.
Nas prximas sees, sero apresentadas as etapas da metodologia, indicadas na Figura 5.1.
Para tanto, parte-se do pressuposto de que a organizao tomou a deciso de implementar um
sistema de gesto de risco. Com o intuito de auxiliar a visualizao do que est apresentado
neste captulo, apresenta-se primeiramente a metodologia na forma de fluxogramas, que evi-
denciam como os processos das etapas (ou fases) se correlacionam.
Destaca-se, ainda, que a etapa de delineamento foi dividida em 4 fases, conforme ilustra a
Figura 5.3, para facilitar o entendimento e a aplicao.
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Por fim, importante salientar que, ao longo do texto, indicam-se algumas tcnicas de
suporte associadas metodologia. No entanto, outras tcnicas podem ser utilizadas em substi-
tuio ou complementao das aqui apresentadas.
5.2 Fluxogramas de representao da metodologia desenvolvida 102
A Figura 5.4 apresenta a notao utilizada nos fluxogramas. Note-se que alguns elementos
do diagrama foram destacados, utilizando borda mais grossa, para indicar que eles esto des-
dobrados em outros diagramas. Tambm existem elementos no fluxograma que indicam que a
continuao da sequencia de processos segue em outro diagrama. Por fim, os processos refe-
rentes a uma determinada etapa, fase ou macroprocesso esto delimitados por uma caixa com
linha tracejada.
Indicao de que a
sequncia de processos
uma continuao do
Nome da etapa, fase ou processo
diagrama apresentado
na Figura X.Y.
Sada
Linha mais grossa indica para ...
que est detalhado em
outro diagrama. Figura X.Z.
Indicao de que a
sequncia de processos
continua no diagrama na
Figura X.Z.
A Figura 5.5 apresenta a viso geral da metodologia desenvolvida. Note-se que elemen-
tos do diagrama referentes s fases informacional, conceitual e preliminar foram destacados,
utilizando borda mais grossa, para indicar que eles esto desdobrados em outros diagramas
respectivamente: Figura 5.6; Figura 5.7 e Figura 5.8; e Figura 5.11.
5.2 Fluxogramas de representao da metodologia desenvolvida 103
Fase do delineamento
informacional (Figura 5.6)
Etapa de delineamento
Fase do delineamento
conceitual (Figura 5.7)
Fase do delineamento
preliminar (Figura 5.9)
Fase do delineamento
detalhado
Etapa de implementao
(Figura 5.10)
Etapa de utilizao
(Figura 5.11)
Etapa de desativao
Sistema em anlise
caracterizado
Figura 5.7
Definio dos
Requisitos determinados objetivos de risco
anteriormente
Valores da organizao.
Planejamento estratgico
da organizao.
Requisitos referentes a
Objetivos frente outros sistemas (de
aos riscos mesmo nvel ou inferior)
Figura 5.7
Figura 5.9
Figura 5.6
Sistema em anlise Entrada da fase do deli-
caracterizado neamento informacional
Anlise funcional
Detalhamento da caracte-
Figura 5.8
rizao do sistema
Continuao da fase do
delineamento conceitual
(Parte II)
Identificao do modo
Anlise de risco
de falha, causas, efeitos
e controles existentes
Figura 5.6
Entrada da fase do Avaliao e priorizao
delineamento dos riscos pela anlise
informacional da criticidade
Proposio de barreiras
de tratamento e
de aceitao ativa
Avaliao custo-risco-
beneficio das barreiras
Reavaliao da critici-
dade dos cenrios con-
siderando as barreiras
Riscos aceitos N
ou retidos?
S
Continua na fase do
delineamento conceitual
(Parte II)
Figura 5.8
Figura 5.8
Continuao da fase do
delineamento conceitual
(Parte I)
Alteraes
propostas influen- N
ciam nos riscos
analisados?
Cenrios delineados,
S incluindo as barreiras
Figura 5.9
Barreiras prioriza-
Figura 5.8
das e classificadas
Detalhamento da Entrada da fase do
caracterizao do delineamento conceitual
sistema.
Cenrios delinea-
dos, incluindo as
barreiras Delineamento das aes
necessrias para imple-
mentao das barreiras
Elaborao do
planejamento de
implementao
Planos preliminares
de ao.
Planos preliminares
de aceitao
Planos preliminares
de comunicao.
Plano preliminar de
gesto de crises
Figura 5.5
Figura 5.5
Continuao da etapa
de delineamento
Implementao
dos planos de ao
Detectada
alguma incoerncia N
entre o planejado e o
implementado?
Relatrio de execuo
dos planos S
Figura 5.10
Continuao da etapa
de implementao
Existem
melhorias,
N deficincia, novos
riscos ou novas informa-
es sobre os riscos
analisados?
S
Detectada
N alguma parte do SGR
que no mais
necessria?
Nesta etapa, faz-se a anlise / avaliao dos riscos, o delineamento das aes para o trata-
mento, a aceitao e o delineamento da comunicao.
Quadro 5.1: Entradas, processos, tcnicas & ferramentas e sadas para a fase de delineamento
informacional
Esta etapa, no que se refere ao levantamento dos efeitos possveis, equivale BIA (business
impact analysis) feita na gesto da continuidade. No entanto, recomenda-se que aqui os ob-
jetivos sejam obtidos utilizando a tcnica FHA. Sendo assim, conveniente fazer uma anlise
funcional que possibilitar a caracterizao do sistema em anlise1 . Para tanto, necessrio
coletar informaes a fim de caracterizar a situao atual, definir as necessidades do sistema,
levantar recursos crticos e restries como normas, regulamentaes e leis , etc. Tambm
interessante, nesta fase, que se faa uma anlise das partes envolvidas (stakeholders analysis),
para que se possa captar as necessidades e limitaes delas. Esta anlise tambm auxilia na
elaborao dos planos de comunicao, descrit na Seo 5.3.1.1.
1 Para
auxiliar a leitura, foram destacados, em negrito (ou sublinhado), os processos apresentados nos quadros
com as entradas, processos, tcnicas & ferramentas e sadas de cada etapa (ou fase).
5.3 Detalhamento das etapas da metodologia 111
A partir da funo global, ento, pode-se fazer a elaborao da FHA. interessante desta-
car que ela normalmente realizada durante a concepo do sistema; no entanto, o documento
RVSM 697 traz uma anlise feita em um estgio avanado do programa de reduo da distncia
vertical mnima entre aeronaves em vo (reduced vertical separation minimum) na perspectiva
de que, se algum problema fosse identificado, isto seria levado em considerao pelo programa
RVSM (EUROCONTROL, 2006).
De forma anloga, prope-se que a anlise seja feita para sistemas j existentes. Assim,
possvel estipular como o sistema deveria ser, para que se possa fazer a tomada de deciso de
aceitar ou no um determinado risco i.e., fazer a definio dos objetivos de risco. Para tanto,
pode-se utilizar de mtricas, como frequncia mxima de ocorrncia de um evento ou um outro
tipo de indicador, tais como:
Quanto s mtricas de frequncia, Kumamoto & Henley (1996) propem alguns critrios
para a aceitao do risco, ilustrado na Figura 5.12:
Riscos sem benefcio devem ter a frequncia reduzida abaixo (inclusive) do limite L
(limite inferior de frequncia).
Riscos com benefcio extremo devem ser relutantemente aceitos (i.e., retidos).
Riscos com benefcio moderado e nvel acima de U so inaceitveis e devem ter suas
frequncias diminudas para abaixo de U.
Riscos com benefcio moderado e nvel abaixo de L so aceitveis.
Riscos com benefcio moderado e nvel entre U e L devem ser estudados, para verifi-
car se o benefcio justifica o risco, ou no. Caso justifique, o risco pode ser retido e, caso
no justifique, a frequncia deve ser reduzida at se justificar ou para nvel inferior a L.
A justificativa deve ser feita com base no que razoavelmente praticvel em termos de
reduo do risco (ALARP).
Meta U
Nvel do risco
Benefcio
justificado
Meta L
Benefcio
no
justificado
Sem Benefcio Benefcio
benefcio moderado extremo
Nvel do benefcio
O conceito de benefcio est relacionado com a utilidade do risco. Em uma guerra, por
exemplo, a probabilidade de se ter vtimas extremamente alta (certamente acima de U); no
entanto, alguns consideram de benefcio extremo3 . Assim, o risco relutantemente aceito por
3 Esteexemplo foi colocado no texto porque deixa claro o conceito de utilidade do risco. No entanto, destaca-se
que o autor no corrobora esta opinio.
5.3 Detalhamento das etapas da metodologia 113
Caso tenha sido definido algum objetivo na anlise do nvel superior, ele deve ser conside-
rado na FHA e includo nos objetivos de aceitao de risco do sistema por exemplo, na anlise
da unidade organizacional foi definido um MTO para um determinado sistema tcnico.
importante destacar que a definio dos objetivos de aceitao deve levar em considerao
os valores da organizao, a viso e o planejamento estratgico de mdio e longo prazo, para
que o sistema possa se adaptar s condies futuras.
Por fim, destaca-se que a anlise da funo global permite identificar a dependncia de
algum outro sistema. Assim, ao definir os objetivos de risco, deve-se considerar esta dependn-
cia. Por exemplo: pode-se concluir que necessrio que alguns sistemas tcnicos tenham uma
determinada disponibilidade, para que a unidade organizacional que se est analisando atinja
a continuidade operacional desejada. Desta forma, um dos resultados desta fase pode ser a
definio de requisitos para outros sistemas (de mesmo nvel ou inferior). Portanto, ao iniciar
a anlise de um determinado sistema, deve-se - primeiramente - verificar se foi determinado
algum requisito anteriormente.
Esta fase ilustrada no Quadro 5.2, na Figura5.7 e na Figura5.8 tem como objetivo definir
os conceitos das solues para o risco, i.e., se ele deve ser aceito ou tratado e como fazer isso.
Para executar a anlise de risco, recomenda-se o uso da estrutura FMECA / CNEA4 . Subs-
tituindo o evento central da CNEA pelo modo de falha e fazendo algumas adaptaes, o di-
agrama da CNEA permite uma visualizao grfica da FMECA. Os modos de falha podem,
4 Ou FMEA, caso no se avalie a criticidade.
5.3 Detalhamento das etapas da metodologia 114
Quadro 5.2: Entradas, processos, tcnicas & ferramentas e sadas para a fase de delineamento
conceitual
Note-se que o ndice de severidade S refere-se a todos os efeitos e, portanto, est represen-
tado no ndulo de origem deles: o modo de falha. Os ndices de ocorrncia O, de dificuldade
de deteco D e o nmero de prioridade de risco NPR esto representados junto s causas,
pois onde inicia cada cenrio5 . Assim, a dificuldade de deteco, por exemplo, se refere a
todos os controles existentes, desde as causas at os efeitos.
Ao
proposta 2
NPR Ao
proposta 1
Causa 1
Efeito 1
O D
Causa 3
(intermediria)
NPR Barreira
Modo efetiva
Causa 2 de falha Efeito 2
O D Controle
atual 1 S
Efeito 4
NPR
Causa 4 Efeito 3
(intermedirio)
O D
Efeito 5
Da mesma forma que feito nas FMECAs, pode-se, tambm na CNEA, incluir uma FTA
(fault tree analysis) das causas, para refinar a anlise em relao a este fator. Adicionalmente,
pode-se, tambm, fazer FTAs de barreiras o que possibilita uma melhor compreenso dos
furos que permitem o desencadeamento do cenrio causal.
O primeiro passo na anlise de risco a identificao dos incidentes e dos eventos envolvidos
na corrente causal, que usualmente compreende a combinao de tcnicas criativas e analticas,
objetivando identificar as situaes de risco que j ocorreram no sistema, as que j ocorreram
em outros sistemas e as de que no se tem conhecimento de ter ocorrido. Para tanto, podem-se
utilizar listas pr-elaboradas, base de dados de risco e tcnicas de criatividade como tem-
pestade de ideias (brainstorm). O Quadro 5.3 traz uma lista de alguns perigos com potencial
5.3 Detalhamento das etapas da metodologia 116
Quadro 5.3: Lista de perigos com potencial impacto segurana e continuidade / disponibi-
lidade
Humanas
acesso indevido aos sistemas/dados greve de funcionrios
acesso indevido s instalaes manuseio indevido de dados crticos
ameaa de bomba paralisao de transporte
ataque terrorista proximidade zona de alta criminalidade
balo (fogo) proximidade de presdio/delegacia
desvio fraudulento de recursos roubo de dados
distrbio civil roubo e/ou furto de patrimnio
falha humana (dano no intencional) sabotagem (instalaes e dados)
greve em prestador de servio sequestro de funcionrio vital
Tecnolgicas
acidente areo, rodovirio, ferrovirio falta de gua
acidente nuclear presso (alta, baixa ou descargas rpidas de
acidente qumico presso)
oxidao choque mecnico
corroso acelerao
exploso energia eltrica (choque, ativao inadvertida,
fogo falha da fonte de fora, radiao eletromagntica)
radiao (trmica, eletromagntica ionizada, problema estrutural da instalao
ultravioleta) proximidade de instalao militar (com paiol), de
dissociao qumica gs, de posto de gasolina, de armazenamento de
calor e temperatura (alta ou baixa) leo, de central eltrica
falha de software aplicativo falha em hardware
falha de software operacional falha em instalao eltrica
falha do sistema de refrigerao falha em rede local
falha e/ou rompimento de tubulao (gua, falha em telecomunicao
gs, vapor) falha na entrada de dados
vazamento (tubulao, o-ring, tanques, etc.) vrus
Naturais
avalanche/deslizamento de terra tornado, vendaval
chuva de granizo tremor de terra
incndio vazamento em represa
inundao, enchente calor e temperatura (alta ou baixa)
perda de acesso fsico s instalaes umidade (alta ou baixa)
raio
Caso o incidente j tenha ocorrido, pode-se fazer uso de histrico e da experincia de espe-
cialistas, por meio do diagnstico do incidente para tanto, recomenda-se o uso de modelos da
5.3 Detalhamento das etapas da metodologia 117
Note-se que a CNEA modela tanto as causas, que podem ser representadas por uma FT
(fault tree), quanto as consequncias, que podem ser representadas por uma ET (event tree) ou
ESD (event sequence diagram).
Para contornar este inconveniente, prope-se que o tratamento estatstico para a CNEA seja
feito utilizando-se a teoria de redes bayesianas.
interessante destacar que se pode verificar a aderncia do modelo realidade, por meio
de anlise de d-separadores7 .
Note-se que as barreiras aes propostas e controles atuais , nessa modelagem, entram
como ndulos no mesmo nvel dos eventos que se pretendem salvaguardar, exemplificado no
Quadro 5.4, que ilustra uma tabela de relaes para o ndulo CA3.
Note-se que o Quadro 5.4 ilustra relaes determinsticas; por exemplo: no ocorrendo
CA1, ocorrendo CA2 e PA1 no sendo eficaz, certamente ocorrer CA3.
Nas redes bayesianas, pode-se introduzir incerteza nesta relao e modelar a ocorrncia de
CA3, dada a combinao anterior como: 80% de probabilidade de ocorrer e 20% de no ocor-
6 Rede editada a partir do software JavaBayes, atualmente mantido pelo Prof. Fbio Gagliardi Cozman (Escola
Politcnica da USP).
7 Para melhor entendimento da anlise de d-separadores, recomenda-se a leitura de Jensen (2001), Pearl (1988)
e UFSC/NeDIP (2008o).
5.3 Detalhamento das etapas da metodologia 118
Legenda:
CA1 EF1 MF - Modo de falha.
CA1 - Causa 1.
CA2 CA3
CA2 - Causa 2.
PA2 CA3 - Causa 3 (intermediria).
CA4 - Causa 4.
PA1 CT1 - Controle atual 1.
MF EF2 PA1 - Ao proposta 1.
PA2 - Ao proposta 2.
CA4 EF1 - Efeito 1.
EF4 EF2 - Efeito 2.
EF3 - Efeito 3 (intermedirio).
EF3 EF4 - Efeito 4.
CT1 EF5 EF5 - Efeito 5.
Quadro 5.4: Tabela de relaes do ndulo CA3 da rede bayesiana da Figura 5.14
rer, por exemplo. Com isso, podem-se elaborar modelos com menor incerteza epistemolgica8 .
Este recurso bastante til na modelagem dos efeitos. Isto porque a ocorrncia do EF3,
por exemplo, no implica necessariamente a ocorrncia do EF4. Neste caso, pode-se modelar a
cadeia causal de forma no determinstica.
Ao
proposta 2
EF1
Efeito 1
PA2
Barreira
Modo efetiva
de falha Efeito 2
S
MF EF2
Figura 5.15: Detalhe da barreira com derivao, no diagrama CNEA, e sua modelagem em
rede bayesiana
Destaca-se, ainda, que uma das dificuldades de se implementar uma rede bayesiana e de
qualquer anlise quantitativa a obteno de estatsticas. Para tanto, pode-se fazer uso de
base de dados, simulaes ou outro tipo de tcnica reconhecida, baseada no conhecimento dos
especialistas. Uma tcnica que pode auxiliar na obteno de estimativas para as probabilidades
de ocorrncia (e para as relaes dos eventos / estados) a atualizao bayesiana, apresentada
na Seo 4.2.1, na qual se podem conciliar informaes subjetivas com os dados de campo.
Note-se que no possvel a preveno de todos os riscos a que o sistema est sujeito.
Assim, deve-se fazer a avaliao e priorizao dos riscos pela anlise da criticidade, a fim
de identificar quais riscos podem ser aceitos, confrontando com os objetivos estipulados na fase
informacional.
Essa priorizao dos modos de falha, de acordo com a norma SAE-J1739, pode ser feita
pela anlise do NPR (nmero de prioridade de risco), que a multiplicao dos ndices de
severidade (S), ocorrncia (O) e dificuldade de deteco (D). No entanto, esta abordagem tem
alguns inconvenientes, tais como:
A escala no homognea i.e., idntica no seu todo pois no permite nmeros primos
(no existe uma combinao de ndices que resulte no NPR igual a 113, por exemplo), e
5.3 Detalhamento das etapas da metodologia 120
um NPR igual a 200 no necessariamente duas vezes mais crtico que um igual a 100.
Pode-se obter um mesmo valor para o NPR com diferentes combinaes de ndices, por
exemplo: S=9, O=4 e D=3 resulta em um NPR de 108 e S=3, O=4 e D=9 tambm no
entanto, a primeira combinao se mostra mais crtica.
possvel obter NPR relativamente baixo com ndices de severidade altos por exemplo,
na combinao S=10, O=3 e D=1.
A Figura 5.16 e o Quadro 5.5 ilustram um exemplo dessa abordagem, onde esto respecti-
vamente apresentadas as regras para definio do tratamento a ser dado para cada combinao
de ndices e as escalas de valores para cada ndice.
Note-se que tanto as escalas de valores dos ndices quanto as regras podem ser adaptadas
para cada caso, adequando-se s necessidades de cada anlise.
Uma vez modelados e priorizados os potenciais riscos, podem-se propor barreiras, a fim
de trat-los ou de se planejar ativamente para sua ocorrncia. Podem-se adotar trs estratgias
9 Paracategorizao da criticidade considerando variveis lingusticas, recomenda-se a leitura de Xu et al.
(2002) e Garcia (2006), que apresentam abordagens utilizando lgica difusa (fuzzy).
5.3 Detalhamento das etapas da metodologia 121
Ocorrncia [O]
10 II II II II III III IV IV IV IV 10 II II III III IV IV IV IV IV IV
9 II II II II III III IV IV IV IV 9 II II II III IV IV IV IV IV IV
8 I I II II III III III III IV IV 8 II II II III III III IV IV IV IV
7 I I II II III III III III IV IV 7 II II II II III III IV IV IV IV
6 I I II II III III III III IV IV 6 I I II II III III III III IV IV
5 I I II II III III III III IV IV 5 I I II II III III III III IV IV
4 I I I I II II III III III III 4 I I II II II II III III III III
3 I I I I II II III III III III 3 I I II II II II III III III III
2 I I I I II II II II II II 2 I I I I II II II II II II
1 I I I I II II II II II II 1 I I I I II II II II II II
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
Severidade (S) Severidade (S)
Ocorrncia [O]
10 III III III III IV IV IV IV IV IV 10 III III III IV IV IV IV IV IV IV
9 III III III III IV IV IV IV IV IV 9 III III III IV IV IV IV IV IV IV
8 II II III III III III IV IV IV IV 8 III III III III III IV IV IV IV IV
7 II II II II III III IV IV IV IV 7 III III III III III IV IV IV IV IV
6 II II II II III III IV IV IV IV 6 II II II II III IV IV IV IV IV
5 II II II II III III III III IV IV 5 II II II II III IV IV IV IV IV
4 I I II II II II III III IV IV 4 II II II II III III IV IV IV IV
3 I I II II II II III III IV IV 3 II II II II III III IV IV IV IV
2 I I II II II II III III III III 2 I I II II III III III III IV IV
1 I I II II II II III III III III 1 I I II II III III III III IV IV
1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
Severidade (S) Severidade (S)
Legenda:
IV Inaceitvel
III Indesejvel (requer deciso gerencial)
II Aceitvel (com reviso por parte da gerncia)
I Aceitvel
Figura 5.16: Relaes determinsticas (regras) para definio do tratamento de cada combina-
o de ndices
de tratamento no excludentes: (a) evitar o risco; (b) transferir o risco; e (c) reduzir o risco,
conforme apresentado no Captulo 2.
As barreiras podem, ento, ser diagramadas nas CNEAs e inseridas no campo das aes
nas FMEAs. interessante que, juntamente com a proposio da barreira, seja feita uma estima-
tiva inicial do seu custo e da disponibilidade de recursos (humanos e materiais) necessrios para
execut-la. Estas informaes sero teis para a primeira avaliao custo-risco-benefcio das
5.3 Detalhamento das etapas da metodologia 122
barreiras propostas. Assim, com base na comparao das barreiras (na potencial reduo dos
riscos, nos custos para implementar e nos eventuais benefcios que ela possa gerar) possvel
identificar as alternativas mais atraentes.
importante destacar que, nesta fase, ainda no se tem um levantamento confivel dos
custos das barreiras, portanto esta avaliao permitir identificar apenas as barreiras mais dis-
crepantes.
Caso a modelagem tenha sido feita utilizando-se redes bayesianas, a anlise pode ser com-
plementada fazendo-se simulaes da implementao das barreiras, a fim de avaliar o impacto
da implementao de cada uma delas. Neste caso, pode-se analisar a probabilidade de ocorrn-
cia do modo de falha e seus efeitos, considerando a existncia da barreira, e comparar com as
probabilidades calculadas, atribuindo a evidncia de falha ao ndulo que representa a barreira a
ser estudada (o que corresponde a ela no existir).
Destaca-se que, aps a definio das barreiras, importante verificar se alteraes nas ins-
talaes e no modus operandi influenciam nos riscos analisados (positiva ou negativamente) ou,
ainda, se deflagram novos riscos. Caso isto ocorra, deve-se retornar analise dos riscos; no
entanto, considerando a existncia das barreiras.
Uma vez que os cenrios dos riscos esto delineados (incluindo as barreiras), possvel
verificar as barreiras mais interessantes, tanto no que se refere segurana quanto continuidade
fazendo a priorizao delas e posterior classificao.
Quanto classificao, ela deve ser feita para orientar a elaborao dos planos preliminares.
Assim, as barreiras podem ser classificadas como referentes aos planos de aes; aos planos de
monitoramento & controle; aos planos de aes emergenciais; aos planos de operaes alterna-
tivas; aos planos de retorno; aos planos de comunicao; ou a uma combinao destes.
No delineamento preliminar, faz-se um esboo dos planos (que a elaborao dos planos
preliminares). Detalha-se o suficiente para evidenciar o que ser necessrio para coloc-los em
operao. A Figura 2.6 ilustra os quatro planos de aceitao ao longo dos estados de operao
de um sistema, para o caso de ativao do plano de operao alternativa.
O conceito de controle est relacionado com a execuo de quatro fases (LEME, 1967): con-
siderar o que foi planejado (condio esperada); considerar o que ocorreu (condio avaliada);
confrontar o planejado com o ocorrido; e tomar providncias quando necessrio (aes para
5.3 Detalhamento das etapas da metodologia 124
Quadro 5.6: Entradas, processos, tcnicas & ferramentas e sadas para a fase de delineamento
preliminar
Infelizmente a ao corretiva nem sempre ser possvel ou, quando possvel, nem sempre
ser eficaz ; assim, cabe especificar no plano quando considerar que a situao emergencial.
O plano de resposta emergencial procura impor barreiras para que o incidente acontea em
menor proporo. Por isso, tambm denominado plano de mitigao (SALDANHA, 2000).
O plano um conjunto de aes que tem como objetivo minimizar o impacto nas pessoas,
no meio ambiente, no patrimnio e nas funes vitais de uma organizao ocasionado por um
incidente previsto.
O plano de operao alternativa (ou operao interina) deve ser elaborado para cada in-
cidente estudado, visando estabelecer formas alternativas de se executar os processos crticos,
5.3 Detalhamento das etapas da metodologia 125
Fazem parte do plano de operao alternativa tarefas como, por exemplo: condies para o
seu acionamento; definio da equipe e responsabilidades; aquisies necessrias; transporte e
logstica; estimativa de custos; procedimentos; etc.
Observe-se que, por se tratar de uma alternativa para os processos crticos, o plano deve ser
executado por uma equipe especialmente definida para operao nesta condio.
Assim como o plano de operao alternativa, ele deve ser elaborado para cada incidente e,
de maneira anloga, definir: condies para o retorno operao normal; definio da equipe e
responsabilidades; transporte e logstica; etc.
importante destacar que o plano de aes deve contemplar a incluso do sistema de ge-
renciamento de riscos na organizao uma vez implementado, o sistema permeia a estrutura
organizacional. Assim, devem-se atualizar as atribuies dos colaboradores, alm de revisar a
estrutura organizacional, por exemplo, no caso de se optar por implementar funes dedicadas
ao gerenciamento dos riscos.
O pessoal sem uma responsabilidade especfica na gesto dos riscos pode se ater somente
conscientizao ou a um nvel de proficincia pr-estabelecido de como proceder nas tarefas
gerais da organizao. J os participantes devem receber capacitao estruturada que garanta as
habilidades, a competncia (colocando em prtica os planos) e o conhecimento necessrio.
Assim os planos de comunicao devem abranger tanto treinamento terico como prtico
objetivando alcanar a condio de se executar os planos de maneira automtica, sem ter que
pensar.
Tambm faz parte dos planos de comunicao o relacionamento com as partes envolvidas.
5.3 Detalhamento das etapas da metodologia 126
comum existir um relacionamento das aes dos planos de aceitao com outras instituies,
como Defesa Civil, Corpo de Bombeiros, assistncias tcnicas, etc. Assim, necessrio elabo-
rar planos de comunicao para definir como ser esta interao e manter as partes envolvidas
atentas.
Fazem parte dos planos de comunicao informaes como, por exemplo, periodicidade de
execuo da capacitao; tipo de capacitao (teste de mesa, simulao do uso dos planos, etc.);
conjunto de instrues para execuo do plano; responsvel pelo plano de capacitao; quem
deve ser submetido capacitao; etc.
O passo seguinte estimar qual o esforo necessrio para implementao dos planos.
Para tanto, deve-se levar em considerao no apenas o custo, mas tambm o tempo necessrio;
a disponibilidade de recursos internos da organizao e que devam ser adquiridos; etc. Destaca-
se, ainda, que se devem avaliar os esforos referentes manuteno da estrutura e capacitao
referente aos riscos.
Nesta fase, necessrio fazer um oramento pormenorizado, pois ser com base nestes
valores que ser planejada a implementao. De fato, deve-se fazer uma avaliao de custo-
risco-benefcio, a fim de priorizar as medidas de tratamento a serem implementadas, e, eventu-
almente, descartar as no justificadas.
Essa avaliao deve ser baseada nos critrios de aceitao definidos na fase informacional.
A ideia confrontar os benefcios e a reduo do risco com os custos das medidas a fim de
verificar se elas so justificveis e prioriz-las. Por exemplo, uma possvel medida para alcanar
o MTO relativo ao fornecimento de energia eltrica a aquisio de grupos geradores diesel.
Adicionalmente, pode-se oper-los no horrio de pico, quando a energia eltrica mais cara,
e, assim, obter um benefcio que a reduo das despesas. No entanto, esta medida tambm
5.3 Detalhamento das etapas da metodologia 127
Por fim, elabora-se o planejamento de implementao. Uma vez que as aes esto prio-
rizadas, pode-se fazer o planejamento para implement-las. Infelizmente, na maioria das vezes,
a organizao no dispe de recursos para implementar todos os planos de imediato. Assim, no
plano de ao, planeja-se quando e como cada ao ser implementada.
O Quadro 5.7 ilustra o processo do delineamento detalhado. Nesta fase, feito o detalha-
mento dos planos preliminares obtidos na fase anterior.
Quadro 5.7: Entradas, processos, tcnicas & ferramentas e sadas para a fase de delineamento
detalhado
No que se refere ao plano de ao, destaca-se, ainda, a elaborao das especificaes tc-
nicas de compra (de produto ou servio). No caso de envolver recursos internos, tambm
interessante elaborar uma especificao tcnica, para evitar retrabalho.
Quanto aos planos de aceitao, seu contedo e estrutura variam muito de caso para caso,
podendo ser desde uma lista de telefones dos contatos que devem ser feitos em determina-
das situaes at procedimentos detalhados uma norma interna, por exemplo. Neste ltimo
caso, recomenda-se que este documento seja dividido em duas partes: uma estruturada cro-
nologicamente (especificando o que deve ser feito e quem deve fazer), e outra estruturada por
5.3 Detalhamento das etapas da metodologia 128
responsabilidade para que cada um saiba de suas respectivas incumbncias. Neste sentido,
tambm interessante a gerao de fichas de atribuies listando os procedimentos que cada
um deve realizar.
Tambm importante que se faa teste dos planos por meio de lista de verificaes (check-
list) e de simulaes virtuais do plano (teste em mesa). Esses dois tipos de teste so muito
importantes para identificar possveis problemas e melhorias nos planos, antes mesmo de eles
serem executados.
Para uma efetiva implementao do programa, deve-se fazer a devida capacitao dos
colaboradores e a divulgao para as partes interessadas, conforme determinado no plano
de comunicao.
Quadro 5.8: Sugesto de estrutura para planos de continuidade de uma organizao de mdio
porte
1. Introduo
1.1. Objetivo
1.2. Premissas utilizadas no plano
1.3. Resumo do plano e estrutura do documento
1.4. Instalaes alternativas
2. Anteprojeto
2.1. Avaliao do impacto de um desastre
2.2. Avaliao do grau de exposio
2.3. Estratgia de continuidade
3. Estruturao dos planos
3.1. Plano de monitoramento e controle
3.2. Plano de resposta emergencial
3.3. Plano de contingncia
3.3.1. Definio dos requisitos do ambiente alternativo
3.3.2. Definio de alteraes nas instalaes usuais
3.3.3. Definio dos recursos de telecomunicaes adicionais
3.3.4. Definio dos procedimentos operacionais adicionais no dia a dia
3.3.5. Procedimentos da equipe da contingncia
Procedimentos da equipe de suporte tcnico
Procedimentos da equipe de apoio
Equipe de operaes
3.3.6. Procedimentos de operao em regime de contingncia
Procedimentos da equipe de suporte tcnico
Procedimentos da equipe de apoio
Equipe de operaes
4. Planos de implantao
4.1. Contratos com prestadores de servio
4.2. Obteno e implementao de recursos
4.3. Montagem e treinamento das equipes
5. Anexos
5.1. Relao de pessoal de contingncia
5.2. Relao de fornecedores
5.3. Relao de equipamentos padro
5.4. Relao de mobilirio padro
5.5. Relao de telefones teis
Fonte: Saldanha (2000, p. 219)
Uma vez que se tenha instalada a estrutura necessria para execuo dos planos, neces-
srio fazer simulaes do uso dos planos de aceitao. A execuo do plano possibilitar
que as pessoas envolvidas estejam melhor preparadas e aumentar a conscientizao de todos
os colaboradores, alm de evidenciar deficincias e possveis melhorias. Podem-se fazer es-
5.3 Detalhamento das etapas da metodologia 130
Quadro 5.9: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de implementa-
o
ses testes em mdulos ou na totalidade do plano, como se realmente estivesse passando pelas
contingncias. Aps a realizao dos testes, elaboram-se relatrios apresentando os procedi-
mentos executados e as lies aprendidas. Destaca-se que a implementao dos planos no
garante que eles sero cumpridos; devem-se exercitar os participantes, idealmente, a ponto de
os procedimentos serem executados de maneira automtica e intuitiva.
importante observar que possvel chegar concluso, aps a execuo das simulaes,
de que a condio que se esperava alcanar com a implementao das barreiras no condiz com a
realidade. Isto significa que o processo de avaliao de risco executado na fase do delineamento
conceitual no est coerente com a realidade. Neste caso, deve-se deflagar uma reviso do SGR
(Seo 5.3.4), para verificar se a situao real, aps a implementao das barreiras, aceitvel
ou se sero necessrias novas barreiras.
Nesta etapa, alm da utilizao dos planos de aceitao (monitoramento & controle, res-
posta emergencial, operao interina e retorno operao normal), tambm deve-se fazer: a
manuteno da estrutura necessria para execut-los e os testes e simulaes do uso dos planos
de aceitao conforme apresentado no Quadro 5.10.
Quadro 5.10: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de utilizao
Monitoramento
e controle
Retorno
Testes e Incidente operao normal
simulaes
Manuteno
da estrutura Operao
interina
Note-se que no foi representada a execuo do plano de gerenciamento de crises, pois este
contempla situaes fora das previstas nos planos de aceitao elaborados.
Note-se que, alm de evidenciar deficincias, a utilizao dos planos tambm permite iden-
tificar possveis melhorias. Estas tambm devem desencadear a reviso do SGR.
Destaca-se, ainda, que possvel utilizar as redes bayesianas elaboradas para fazer diag-
nstico encadeamento reverso, contrrio ao sentido das setas. A rede ilustrada na Figura 5.14
bastante simples, mas permite verificar quais as causas mais provveis para a ocorrncia do
modo de falha, por exemplo. Para isso, entra-se com a evidncia de que ocorreu o modo de
falha e avalia-se a probabilidade de ocorrncia das causas.
Estas simulaes utilizando as redes bayesianas podem ser feitas nesta etapa para aumentar
o conhecimento dos colaboradores sobre os riscos modelados ou como ferramenta para diag-
nstico.
importante destacar que a modelagem de CNEAs em redes bayesianas traz uma limitao:
no se pode utilizar a rede para fazer diagnstico dos efeitos. Esta limitao existe, pois, no
modelo apresentado na Figura 5.14, o nico ndulo que pode desencadear a ocorrncia do EF1
Efeito 1, por exemplo, o modo de falha. Assim, caso se entre com a evidncia de que
5.3 Detalhamento das etapas da metodologia 133
Para que o modelo representasse a realidade neste aspecto, devem-se incluir todos os modos
de falha que podem levar quele efeito, o que oneraria muito a elaborao do modelo. Desta
forma, neste trabalho, optou-se por limitar o uso do modelo, no analisando encadeamento
reverso para os efeitos.
Salienta-se que esta restrio cabe apenas aos efeitos, sendo possvel fazer encadeamento
reverso para causas e modo de falha.
Quadro 5.11: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de reviso do
SGR
As atualizaes devem ser feitas sempre que houver alterao significativa na organizao
ou que novas informaes relevantes surgirem, tais como: alterao das condies econmicas,
surgimento de novas tecnologias, exigncias legais, alteraes no planejamento estratgico da
organizao, uma nova possvel barreira identificada, novos riscos identificados, etc.
O aprimoramento deve ser feito para corrigir deficincias identificadas e para alcanar a
melhoria contnua (sempre que for identificada alguma possvel melhoria ou periodicamente),
visando aperfeioar os planos, ampliar o escopo (identificando novos riscos), revisar as tomadas
de decises anteriores, etc.
O objetivo da reviso do SGR garantir que os riscos sejam tratados de forma adequada e
5.3 Detalhamento das etapas da metodologia 134
que se planeje, da melhor maneira possvel, para os riscos aceitos alm de manter o sistema de
gerenciamento de risco coerente com a situao real da organizao, o que inclui a desativao
da parte do SGR, que no mais necessria.
interessante destacar que tambm podem ser feitas alteraes nos processos em relao ao
delineamento e a implementao. Por exemplo, em uma reviso, opta-se pelo uso da estrutura
FTA / ETA em substituio CNEA.
Destaca-se, ainda, que a busca por novas informaes deve ser constante, e a reviso do
SGR no deve restringir-se s informaes disponveis, geradas no delineamento e na imple-
mentao ou em revises anteriores. Neste sentido, deve haver um comprometimento dos cola-
boradores na busca do aprimoramento contnuo.
Faz pouco sentido pensar na desativao de todo o sistema de gerenciamento de risco, mas
razovel pensar em desativar a parte referente a um risco que, ao longo do tempo, foi eliminado
ou considerado desprezvel. O Quadro 5.12 ilustra o processo de desativao.
Quadro 5.12: Entradas, processos, tcnicas & ferramentas e sadas para a etapa de desativao
Note-se que a desativao de uma parte do sistema de gesto de risco somente razo-
vel como um resultado da reviso do SGR, pois neste processo pode-se concluir que certos
procedimentos ou estruturas no so mais necessrios.
tao dos colaboradores, divulgao para as partes envolvidas e outras aes para readequao
do SGR fazem parte da etapa de reviso.
Est sendo elaborado, no NeDIP / UFSC, desde outubro de 2006, um software chamado
OpenFMECA, a fim de auxiliar no uso da tcnica FMECA. Esta ferramenta melhor descrita
no Apndice A tem cdigo fonte aberto (open source), o que possibilita que outras instituies
e usurios possam livremente utiliz-la e / ou aprimor-la.
O software foi concebido para ser instalado em um servidor e utilizado via navegador de
internet de qualquer local (desde que tenha conexo com a internet) ou em qualquer sistema
computacional (PCs, palmtops, etc.). Com isto, pode-se elaborar a FMECA de forma distri-
buda, na qual mais de uma pessoa pode trabalhar na mesma FMECA, em postos de trabalho
diferentes. Nesta condio, o OpenFMECA passa a ser utilizada como uma ferramenta colabo-
rativa, permitindo que se faa a anlise de maneira no presencial, eliminando ou, pelo menos,
minimizando a necessidade das reunies.
As duas primeiras verses do software foram feitas com o objetivo de dar suporte, exclu-
sivamente, utilizao da tcnica FMECA12 . Nestas verses, pode-se estruturar melhor a an-
lise pois usa uma hierarquia na forma de rvore e, adicionalmente, possvel incluir uma
descrio mais detalhada de cada elemento da FMECA13 , atenuando um dos inconvenientes
relacionados com a representao em tabelas.
Atualmente, est sendo desenvolvida a terceira verso do software (verso .3), que obje-
tiva dar suporte estrutura de trabalho (framework) proposta neste doutorado, apresentada na
Seo 5.3.1, que associa a FMECA a outras tcnicas a saber: CNEA, IDEF0, redes bayesianas
e FTA.
Esta integrao das tcnicas permitir que o software rena as informaes referentes ao
gerenciamento de risco em um nico sistema, atuando como uma ferramenta de gesto do
conhecimento. Ademais, pelo fato de o OpenFMECA atuar tambm como ferramenta cola-
borativa, podem-se incluir na anlise pessoas que tenham dificuldade de participar das reunies
como um especialista de fora da organizao, por exemplo. Usualmente a tcnica FMECA
requer um trabalho de equipe contendo vrios especialistas, de diferentes formaes e setores
de trabalho, de modo que cada membro contribua com diferentes experincias e conhecimentos.
12 A
segunda verso do software foi uma reimplementao, objetivando melhorar a rapidez e o projeto grfico.
13 Pretende-se,em uma prxima verso, implementar a possibilidade de anexar arquivos a cada elemento, por
exemplo, fotografias, rvores de falha, etc.
5.5 Consideraes finais 136
As reunies, que normalmente so longas (em muitos casos enfadonhas), exigem a presena de
todos os envolvidos em horrios pr-determinados, concorrentes com as atividades dirias o
que pode tornar-se um entrave para o desenvolvimento da tcnica, pois exige que se concilie
a agenda de todos os participantes. Esse tempo despendido nas reunies potencializa um ou-
tro inconveniente: gerar ansiedade na equipe, o que pode resultar em uma anlise superficial
e comprometer os resultados. Assim, o uso do OpenFMECA pode ser uma alternativa para
atenuar este inconveniente da tcnica a Seo A.2.2 traz alguns outros aspectos relevantes do
software.
Note-se que a norma ABNT/ISO/IEC Guia 73 (ABNT, 2005) indica que o gerenciamento de
risco contempla a anlise / avaliao, o tratamento, a aceitao e a comunicao do risco. Estes
quatro pontos so contemplados na metodologia desenvolvida; no entanto, no esto claramente
definidos na estrutura. A aceitao, por exemplo, feita na fase do delineamento conceitual,
mas revista no preliminar, quando se tem condio de estimar melhor os custos das medidas de
reduo e planejamento dos riscos permitindo fazer uma avaliao de custo-risco-benefcio,
e, eventualmente, descartar uma ao (que extrapole o NetCAF, por exemplo). J os parmetros
para a aceitao so delineados na fase informacional.
Anlise funcional IDEF0 (integration definition for function modeling) ou anlise funci-
onal de produto para a caracterizao do sistema.
FHA (functional hazard assessment) para o levantamento dos objetivos de risco.
5.5 Consideraes finais 138
Modelo da corrente causal (MOSLEH et al., 2004) e CNEA (causal network event analysis)
para a anlise do incidente.
FTA (fault tree analysis) como uma alternativa para a anlise de causas que se necessitem
detalhar e de falhas em barreiras.
Categorias de risco por relaes determinsticas para anlise da criticidade.
Redes bayesianas para fazer o tratamento estatstico das CNEAs.
Atualizao bayesiana para estimar o valor da probabilidade de ocorrncia dos eventos
nas CNEAs e nas FTAs.
FMECA (failure modes effects and criticality analysis) como integrao dos incidentes
(ou modos de falha) identificados; da listagem de causas e efeitos; da indicao das bar-
reiras existentes (controles atuais); da anlise de criticidade; e da proposio de barreiras
(aes propostas) para reduzir o risco ou mitigar as consequncias bem como a reavali-
ao da criticidade aps a implementao das barreiras propostas.
Esta estrutura de trabalho, ento, poder ser suportada pelo software OpenFMECA que, no
futuro, prev a integrao de todos estes pontos.
139
6 Aplicao da metodologia de
gerenciamento de risco desenvolvida
Note-se que, no projeto com a Eletrosul, a metodologia j estava bem desenvolvida e pode-
se fazer uma aplicao fiel estrutura e s recomendaes apresentadas no Captulo 5.
Na Celesc, entretanto, o projeto foi realizado na forma de uma pesquisa qualitativa tipo
pesquisa-ao, e um dos resultados foi uma primeira estruturao para a metodologia. Assim,
a estrutura apresentada no Captulo 5 no foi integralmente aplicada, principalmente no que
se refere ao delineamento informacional e conceitual. No entanto, importante destacar que
os processos referentes elaborao dos planos j estavam definidos, pois foram baseados na
pesquisa bibliogrfica realizada. Desta forma, o projeto com a Celesc ilustra o delineamento
dos planos preliminares e detalhados, conforme apresentado no captulo anterior, e evidencia
consideraes importantes.
O objetivo do projeto com a Celesc era montar uma estrutura que permitisse empresa
restabelecer o fornecimento de energia mais eficientemente, na ocorrncia de uma tempestade
severa. Esta estrutura foi implementada e est sendo utilizada com bons resultados pela em-
presa.
O projeto com a Eletrosul, por sua vez, objetivou levantar barreiras na perspectiva de mitigar
a emisso de SF6 (hexafluoreto de enxofre) para a atmosfera. Observe-se que este levantamento
est inserido na fase do delineamento conceitual do sistema de gerenciamento de risco. De
fato, neste projeto, a metodologia foi aplicada at o incio da fase do delineamento preliminar.
Portanto, no se chegou a elaborar os planos, mas foram indicadas as aes e recomendaes
que deveriam constar nos planos preliminares exceo dos procedimentos de operao de
um equipamento de tratamento de SF6 , em que foram elaborados procedimentos de operao
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 140
Eletrosul Celesc
Desta forma, no foi feita uma aplicao no nvel da organizao. No entanto, a metodolo-
gia desenvolvida pode ser adaptada a esta realidade, o que possibilitaria uma gesto do negcio
mais estruturada.
Por fim, destaca-se que, na medida do possvel, os textos das aplicaes foram elaborados
seguindo a sequncia indicada nos fluxogramas apresentados no Apndice 5.2.
A aplicao na Eletrosul ocorreu em 2007 e 2008, com o projeto ANEEL intitulado Mi-
tiSF6. Este projeto teve como objeto de estudo identificar os pontos de perda de SF6 e propor
solues para mitig-la; portanto as anlises se concentram nas questes relativas ao gs.
Neste sentido, o projeto foi dividido em duas frentes: uma para estudar as perdas durante
a operao dos equipamentos eltricos isolados a SF6 , e outra para estudar as perdas durante a
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 141
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
Apesar de a contribuio atual para o efeito estufa ser baixa em 2002, estima-se que a
emisso de SF6 pelo setor eltrico foi responsvel por 11% do total da emisso de gases de
alto potencial efeito-estufa2 proveniente de processos industriais (EPA, 2003) , o SF6 o gs
1 Foipublicada uma errata em 31 julho de 2008 com a incluso de alguns valores e tipos de gases, mas o
contedo apresentado no Quadro 6.1 que foi extrado da Table 2.14 no sofreu alteraes.
2 Global warming potential (GWP).
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 142
Quadro 6.1: GWP de alguns gases para 100 anos de horizonte de tempo
com maior potencial de dano no que se refere ao efeito-estufa, o que levou a sua incluso no
Protocolo de Kyoto (UNO/UNFCCC, 1998). O Brasil signatrio deste protocolo e, no Decreto
n 5.445, de 12/05/2005, estipula que ele [...] ser executado e cumprido to inteiramente
como nele se contm. (BRASIL, 1998a).
Destaca-se que alguns pases j possuem regulamentao prpria para o SF6 . A Unio
Europeia, por exemplo, publicou os regulamentos (commission regulation) CE n 842/2006,
em 17 de maio de 2006, que regulamenta o uso de gases fluorados com efeito-estufa (UNIO
EUROPEIA, 2006); e CE n 305/2008, em 2 de abril de 2008, que estabelece, nos termos do
CE n 842/2006, [...] os requisitos mnimos e as condies para o reconhecimento mtuo da
certificao do pessoal que procede recuperao de determinados gases fluorados com efeito
de estufa em comutadores de alta tenso (UNIO EUROPEIA, 2008, p. 17), i.e., o gs SF6 .
No Brasil, ainda no existe nenhuma publicao neste sentido, mas um dos resultados finais
deste projeto foi a recomendao, para a ANEEL, de se regulamentar o controle do uso e a
qualificao do pessoal que manipula o gs.
Por fim, destaca-se que a reduo da emisso de SF6 pode viabilizar crdito de carbono.
Diante deste cenrio, foi proposto um projeto com o objetivo de mitigar a perda de SF6
na Eletrosul. Como o projeto foi realizado dentro do programa de pesquisa e desenvolvimento
(P&D) da ANEEL, os resultados podem ser utilizados por todo o setor eltrico brasileiro.
No que se refere manipulao do gs, observou-se, em outros estudos, que este o ponto
com maior potencial de reduo de perdas. O programa norte-americano de reduo de perdas
de SF6 , por exemplo, obteve uma reduo na taxa de emisso prxima de 50% em 8 anos vide
Figura 6.3 , majoritariamente pela reduo de perdas na manipulao (EPA, 2006).
7.000.000 16%
14%
6.000.000
12%
8%
3.000.000
6%
2.000.000 4%
1.000.000 2%
0 0%
1999 2000 2001 2002 2003 2004 2005 2006
Taxa de emisso de SF6
Emisso total de SF6 (lbs)
Capacidade total pelos dados de placa (lbs)
Figura 6.3: Emisso de SF6 pelos parceiros do programa de reduo de emisso de SF6 no
setor eltrico da agncia de proteo ambiental norte-americana
Fonte: EPA (2006, p. 2, traduo nossa)
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 144
Apesar de no ser uma etapa formal da metodologia, optou-se por destacar algumas con-
sideraes sobre a gesto do projeto MitiSF6, a fim de enfatizar alguns pontos destacados na
Seo 5.1. O gerenciamento deste projeto, por estar inserido no programa P&D da ANEEL,
seguiu as exigncias da agncia. Adicionalmente, fez-se o detalhamento seguindo as prticas
usuais de gesto de projeto, tais como: desdobramento da estrutura de trabalho (WBS work
breakdown structure3 ) detalhada com o respectivo cronograma; matriz de responsabilidade;
alocao de recursos humanos; planejamento de aquisies; etc. A Figura 6.4 ilustra algumas
das tcnicas e ferramentas utilizadas nesta etapa.
CD com a
Lista de atividades Time Sheet documentao
1000
800
Planejado
Realizado
600
400
200
0
0 2 4 6 8 10 12 14 16 18 20 22 24
Figura 6.4: Algumas das tcnicas e ferramentas utilizadas na gesto do projeto MITISF6
Fonte: UFSC/NeDIP (2008e)
Tambm foi definido um padro de numerao dos documentos vinculados ao projeto, fa-
3 Para detalhes sobre WBS, recomenda-se a leitura no MIL-HDBK-881 (USA/DOD, 1998).
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 145
cilitando a gesto e referncia deles4 , e, para evidenciar os produtos das tarefas da WBS, foi
associado o nmero do documento resultante daquela ao (quando aplicvel).
No intuito de avaliar o tempo que os recursos humanos dedicaram ao projeto, foi imple-
mentada uma folha de acompanhamento de homem/hora (time sheet). Estes dados possibilitam
um melhor controle do uso dos recursos no projeto atual e melhor estimativa para os projetos
futuros.
Por fim, destaca-se que o projeto, por fazer parte do programa ANEEL, contou com a
aprovao da alta gerncia da empresa cujo apoio foi determinante para o seu sucesso.
Brainstorming
Tcnicas & ferramentas
Questionrios
Base de dados Questionrios sobre manuteno Visitas tcnicas:
de disjuntores
Nacionais
Banco de dados de
materiais e processos
1. A gfdgg joijkgs?
Registros
2. Fdsffgk fdkbn kaaj?
3. Sasdfsdk lgfdk? Internacional
Manuais do
fabricante
Procedimentos
internos da
manuteno 4. Adfgfdsg fdg?
Catlogos Normas de
manuteno
de manuteno
da Eletrosul
5. Odgfjfdgsl dflkg dfd?
6. O dfsg fdg fdgg?
Estado do equipamento
Tempo de uso do equipamento
Funo Perigo S Objetivos de risco
Equipamento Equipamento to bom como novo
Fazer manuteno
Sobressalentes dos equipamentos
SF6 / N2 / leo e resduos para o meio
e linhas da
ELETROSUL
SF6 / N2 / leo e outros insumos (DMS)
A0
Sistema de informao
Veculos de transporte
RH
Oficina
Figura 6.5: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento informaci-
onal do projeto MITISF6
A fim de detalhar o controle procedimentos / normas / leis, foi feito um estudo de or-
ganizaes de referncia em normatizao, no manuseio e no tratamento de SF6 alm das
normas e regulamentaes que se referem ao gs (UFSC/NEDIP, 2008f). Destaca-se que, na tc-
nica IDEF0, controles so as restries da funo e mecanismos so os recursos necessrios
para se executar a funo.
Tambm foram feitas visitas tcnicas e reunies para captar a percepo da empresa quanto
ao que ela considera tolervel nos riscos referentes perda de SF6 no DMS.
6 A Figura 6.6 e a Figura 6.8 foram obtidas a partir do software AI0Win
,
c desenvolvido pela Knowledge Based
Systems, Inc.
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 147
A0
Sistema de informao
Veculos de transporte
RH
Oficina
Figura 6.6: Diagrama raiz da IDEF0 dos processos relacionados manipulao do SF6
Fonte: MT-PR-RT-NE-01 (UFSC/NEDIP, 2008j, Apndice A, p. 12)
Destaca-se, ainda, que o nmero ONU do SF6 o 1080, que traz a indicao dos seguin-
tes riscos: exploso do reservatrio em caso de aquecimento; queimaduras pelo frio no con-
tacto com o lquido ao vaporizar-se; e asfixia por falta de oxignio em caso de fuga importante
(IGEO/RISE, 2000).
Com base nestas anlises, podem-se estipular os objetivos7 de perda de SF6 que, posterior-
mente, balizaram a deciso de aceitar o risco ou no.
Uma vez definida a funo global no diagrama IDEF0, na anlise funcional, fez-se o desdo-
bramento das funes pertinentes ao projeto at a resoluo desejada. Observe-se, na Figura 6.8,
que as caixas A1 e A2 esto sombreadas, o que indica que estas funes foram desdobradas
pois esto relacionadas ao SF6 .
Para detalhar melhor o modelo, foram includas as descries de cada elemento do dia-
grama. O Quadro 6.2 ilustra a descrio da funo gerenciar insumos, ndulo A1 do diagrama
IDEF0. De forma anloga, foram descritas as outras funes, os controles, os mecanismos, as
entradas e as sadas.
7 No foi utilizada a tcnica FHA; no entanto, entende-se que ela ir contribuir para uma anlise mais estrutu-
rada, quando esta no for to especfica como a apresentada.
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 148
Brainstorming
Efeito 1
Causa 3
Banco de dados de (intermediria) Barreira
materiais e processos
Tcnicas & ferramentas
efetiva
Incidente Efeito 2
Causa 2
Barreira
atual 1
Efeito 4
Efeito 3
Registros
Manuais do Causa 4 (intermedirio)
internos da
fabricante Efeito 5
manuteno
Procedimentos
Catlogos Normas de de manuteno
manuteno da Eletrosul
Barreiras
+ Acidente Conseqncias
Evento
gatilho Barreiras Barreiras
Visitas tcnicas:
Nacionais OpenFMECA
Internacional
dimenses inadequadas
O1 D1
Reviso de
projeto
Detector de
vazamento
Alarme de
baixa Trip
presso (abertura)
Aumento dos
danos nos
componentes
NPR2 da cmara
Processos mapeados
Aumento no
Ajuste com aperto Reduo da
O-ring com tempo para
excessivo O-ring / presso
dimenses inadequadas extinguir o
alojamento interna
O2 D2 arco
Incapacidade
de extinguir o Exploso
Sadas
Incompatibilidade do mate- S
rial do O-ring com o
fluido ou outros materiais
Dano ao
O5 D5 homem
NPR6
O-ring com temperatura Dano ao
excessiva meio
O6 D6
Figura 6.7: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento conceitual
do projeto MITISF6
O modelo diagramado pela tcnica IDEF0, ento, serviu de base para a FMEA dos proces-
sos, pois ele evidencia o que necessrio para que as funes sejam adequadamente realizadas.
Primeiramente, foram levantados os possveis modos de falha para cada funo, no ltimo
nvel de desdobramento do IDEF0, conforme ilustrado na Figura 6.9. Para tanto, foram utili-
zadas tcnicas de criatividade (como brainstorm e brainwriting) e listas de modos de falhas de
Used At: Author: Date: 9/30/2007 x Working READER DATE Context:
ELETROSUL Project: MITISF6 Rev: Draft
Recommended TOP
Notes: 1 2 3 4 5 6 7 8 9 10 Time: 17:08:09 Publication
C1 C3 C2
Procedimentos / normas / leis Tempo de uso do equipamento
Estado do equipamento
Fazer manuteno
Sobressalentes de equipamentos Equipamento to bom como novo
I2 O1
isolados a SF6
Equipamento
I1 A2
Fazer manuteno
de equipamentos
isolados a leo
A3
Fazer manuteno
de equipamentos
isolados a ar
A4
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional
Fazer manuteno
de equipamentos
isolados a vcuo
A5
Node: Title: A0: Fazer manuteno dos equipamentos e linhas da ELETROSUL (DMS) Number: Pg 2
A anlise dos modos de falha foi feita, ento, utilizando a estrutura CNEA/FMEA, con-
forme descrito na Seo 5.3.1.2 e ilustrado na Figura 6.10 e Quadro 6.3.
Para dar suporte elaborao da FMEA dos processos, foi utilizada a ferramenta compu-
tacional OpenFMECA. A Figura 6.9 mostra uma imagem da tela do software OpenFMECA,
verso Alpha 1, que foi a utilizada no projeto. O Apndice A traz uma descrio mais detalhada
do software. interessante destacar que o software est sendo restruturado e estar brevemente
disponibilizado no stio SorceForge 8 , como verso Alpha.
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
[-][ST]DMS Home
[-][SS]A1: Gerenciar insumos Opes
[-][SS]A11: Gerenciar consumo de SF6 Novo Modo de Falha
[+][SS]A111: Dimensionar e verificar estoque de SF6 Editar
[+][SS]A112: Avaliar necessidade de compra Deletar
[+][SS]A113: Comprar SF6 Relatrios
[+][SS]A114: Recebimento de SF6 Relatrio STD
[+][SS]A115: Tratar, avaliar, consolidar e estocar SF6 tratado Relatrio Descrio
[-][SS]A2: Fazer manuteno de equipamentos isolados a SF6 Cadastros
[-][SS]A21: Fazer manuteno de disjuntores isolados a SF6 Efeitos
[-][SS]A211: Comissionar disjuntor Controles Atuais
[+][MF]Disjuntor aceito com SF6 inadequado Plano de Aes
[-][MF]Perda de gs durante o enchimento
[-] Efeitos:
[-][EF]Perda de SF6 para a atmosfera
[-][EF]Inalao de subprodutos txicos
[-][EF]Comprometimento sade de colaboradores
[-] Causas:
[+][CA]Purga na linha de SF6
[+][CA]Linha de gs em mau estado de conservao
[+][CA]Impacto na vlvula
[+][CA]Falta de procedimentos padronizados
[+][CA]Corpo tcnico sem capacitao para executar a operao
[+][MF]Disjuntor aceito com problemas de estanqueidade
A211: Comissionar disjuntor Siglas:
[ST] Sistema
O processo de comissionamento consiste em uma srie de testes para avaliar a condio do equipamento [SS] Subsistema
na primeira instalao do disjuntor. Normalmente o comissionamento feito pelo fabricante do disjuntor com [MF] Modo de falha
superviso da ELETROSUL, no entanto, pode-se contratar uma terceira empresa para faz-lo. O fornecedor [EF] Efeito
[CA] Causa
do disjuntor faz a carga inicial de SF6 e eventualmente existe um excedente de gs. Estes cilindros, quando [CT] Controle atual
cheios, so adicionados ao estoque (tem entrada no sistema de informao) e, quando j utilizado parte do [PA] Plano de ao
SF6, permanecem na subestao em que foi instalado o disjuntor.
Esta ferramenta permite representar, na forma de rvore, a estrutura hierrquica das funes
do diagrama IDEF0 e, ento, desenvolver uma FMECA para as funes relacionadas ao gs SF6 .
O OpenFMECA tambm permite que se inclua uma descrio mais detalhada de cada elemento
da FMECA / CNEA, melhorando a representao do modelo e a gesto do conhecimento.
O diagrama na Figura 6.10 ilustra uma CNEA, no caso a do segundo modo de falha poten-
8 <http://sourceforge.net/>
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 151
cial identificado para a funo perda de SF6 durante o enchimento, ndulo A212 do diagrama
IDEF0, e o Quadro 6.3 apresenta a tabela FMEA para este diagrama.
Procedimentos
documentados
para a operao
de enchimento
Cuidados quanto fonte de
Falta de calor prximo ao recebimento
procedimento (ex. cigarro)
padronizado
Processo para
enchimento de
SF6 inadequado
Corpo tcnico Inalao de Comprometimento
sem capacitao subprodutos sade dos
para executar txicos colaboradores
a operao
Capacitao do
corpo tcnico [A211]-MF2
Impacto na
vlvula Perda de SF6
Vazamento na durante o
vlvula ou nas
enchimento
conexes
Linha de gs
em mau estado Perda de SF6
de conservao Fazer vcuo na para atmosfera
Verificao da linha de SF6
condio da vlvula e
conexes
Purga na linha
de SF6
Figura 6.10: CNEA do modo de falha Perda de SF6 durante o enchimento, em [A211]
Fonte: adaptado de MT-PR-RT-NE-03 FMEA dos processos de manipulao de SF6 na Eletrosul
(UFSC/NEDIP, 2008l, p. 57)
Uma vez modelados os potenciais riscos, podem-se levantar possveis barreiras, a fim de
reduzir o risco ou mitigar suas consequncias. Essas barreiras foram diagramadas nas CNEAs e
detalhadas no campo das aes nas FMEAs vide Figura 6.10 e Quadro 6.3. Essas barreiras
foram, ento, analisadas, para verificar se elas no introduziriam novos riscos ou potencializa-
riam existentes, e posteriormente classificadas.
Destaca-se que todas estas anlises foram submetidas a especialistas da empresa em reu-
nies e visitas tcnicas para serem validadas.
Note-se que se optou por no fazer a anlise de criticidade dos cenrios. Assim, foram
levantadas possveis barreiras para todas as correntes causais. A seleo de quais barreiras
sero implementadas e a priorizao delas fica a critrio da empresa, que far esta anlise pos-
teriormente. Desta forma, no foi realizada a avaliao custo-risco-benefcio para justificar as
barreiras.
Quadro 6.3: FMEA do modo de falha potencial Perda de SF6 durante o enchimento, em
[A211]
Modo de
Efeitos Causas Controles atuais Aes propostas
falha
- Capacitao do corpo tcnico
Falta de Procedimentos
- Cuidados quanto a fonte de
procedimento documentados para a
calor prximo ao recebimento
padronizado operao de enchimento
(ex. cigarro)
Corpo tcnico sem - Capacitao do corpo tcnico
Procedimentos
capacitao para - Cuidados quanto a fonte de
documentados para a
executar a calor prximo ao recebimento
operao de enchimento
- Perda de SF6 operao (ex. cigarro)
para atmosfera - Verificao da condio da
Perda de gs - Inalao de vlvula e conexes
durante o subprodutos txicos Impacto na vlvula - Cuidados quanto a fonte de
enchimento - Comprometimento calor prximo ao recebimento
sade dos (ex. cigarro)
colaboradores - Verificao da condio da
Linha de gs em vlvula e conexes
mau estado de - Cuidados quanto fonte de
conservao calor prximo ao recebimento
(ex. cigarro)
- Cuidados quanto fonte de
Purga na linha de Fazer vcuo na linha de
calor prximo ao recebimento
SF6 SF6
(ex. cigarro)
Fonte: adaptado de MT-PR-RT-NE-03 FMEA dos processos de manipulao de SF6 na Eletrosul
(UFSC/NEDIP, 2008l, p. 49 e 50)
De forma geral, as recomendaes para a empresa podem ser divididas em trs linhas:
Visitas tcnicas:
Nacionais
Internacional
Lista de
recomendaes Sugestes para os processos e estrutura mnima
Sadas
Figura 6.11: Algumas das tcnicas e ferramentas utilizadas na fase do delineamento preliminar
do projeto MITISF6
No que diz respeito ao plano de aes preliminar, este poder ser elaborado com base nas
recomendaes referentes estrutura mnima sugerida, i.e., equipamentos, instalaes, etc.,
que se considerou necessrio para dar suporte aos processos relativos manipulao do SF6
conforme apresentado no documento MT-PR-RT-NE-04 (UFSC/NEDIP, 2008m).
Assim, foi delineada uma estrutura desejvel para a regional de manuteno, os setores de
manuteno e a central da diviso de manuteno, no sentido de se dispor dos recursos mnimos
e suficientes para a adequada gesto do gs, a fim de garantir o tratamento e consolidao de
cilindros 9 , a deteco de vazamento e de pureza do gs, a disponibilidade de SF6 , a disponibi-
lidade dos dispositivos necessrios para executar as operaes, etc. Tambm foram elaboradas
recomendaes para as especificaes tcnicas de compra de equipamentos e insumos. Como
resultado da implementao destas recomendaes, espera-se que a empresa obtenha, alm da
9 Consolidao o processo em que se completa um cilindro com o gs existente em outros.
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 154
reduo da perda de SF6 , uma melhor gesto dos recursos existentes como a reduo do n-
mero de cilindros de armazenagem do gs, reduo de gastos com transporte de equipamentos
e insumos, etc.
importante ressaltar que a perda de SF6 , muitas vezes, intrnseca do processo. Por
exemplo: para se fazer a desmontagem do disjuntor, feita, primeiramente, a retirada do gs;
no entanto, existe uma presso residual que inevitavelmente ser emitida.
O documento, ento, traz recomendaes para segurana; para tratar, avaliar, consolidar e
estocar SF6 tratado; para retirada e transporte dos disjuntores; para manuteno dos disjuntores;
para instalao dos disjuntores; para enchimento e complementao de presso dos disjuntores;
para avaliao da condio em campo dos disjuntores; e para controle do uso e solicitao de
SF6 , tais como:
Note-se que as anlises contemplaram no apenas as falhas referentes perda de SF6 para
a atmosfera, mas tambm as questes relacionadas operao da empresa e sade dos cola-
boradores. Por exemplo, a Figura 6.9 apresenta modos de falha, como estoque mnimo mal
dimensionado o que influenciar na disponibilidade de SF6 e, por consequncia, poder atra-
sar a manuteno de disjuntores.
6.1 Aplicao na Eletrosul, no mbito da unidade organizacional 155
Cilindro de no
trabalho
vazio?
sim
Cilindro no
disponvel no Figura 2
almoxarifado?
sim
Quanto ao monitoramento & controle, tambm foi feito um estudo para propor ndices que
possibilitassem avaliar a quantidade de SF6 consumida pela empresa e identificar as reas com
maior potencial para reduo vide documento MT-GE-RT-NE-04 (UFSC/NEDIP, 2008g).
No que se refere capacitao do corpo tcnico, foi evidenciado que ela uma das respon-
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico 157
sveis pelo sucesso de um programa de mitigao de perda de SF6 . Assim, a todo procedimento
novo ou alterao nos j existentes destacou-se a recapacitao dos colaboradores envolvi-
dos.
Por fim, foram feitas algumas recomendaes referentes poltica regulatria, para que o
Brasil a exemplo da Europa controle o uso do gs SF6 .
solicitar aos fornecedores de SF6 , que reportem anualmente a quantidade de SF6 a ser
adquirida e a quantidade vendida para cada empresa;
solicitar que todas as empresas do setor eltrico reportem, anualmente, a quantidade de
SF6 comprada (para confrontar com a informao do item anterior), vendida e perdida; e
solicitar que as empresas do setor eltrico avaliem a quantidade de SF6 contida em seus
equipamentos.
solicitar que a ANEEL estabelea uma medida de emisso de gs para o Brasil, para servir
como padro para as empresas do setor eltrico;
solicitar que a ANEEL sugira Secretaria de Meio ambiente que seja feito um acompa-
nhamento do consumo de SF6 , semelhante ao que feito no setor eltrico, para se dispor
de uma medida de consumo de SF6 para o pas.
Da mesa forma que na aplicao no DMS, a aplicao no sistema tcnico tambm contem-
plou as fases do delineamento informacional, conceitual e o incio do preliminar ilustrado na
Figura 6.14.
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
em alguns casos, esta reduo de presso pode alcanar valores significativos as causas para
isto foram exploradas no projeto MitiSF6. A fabricante de disjuntor ABB, por exemplo, consi-
dera que a perda de SF6 , em seus novos disjuntores de tanque vivo, no supera a marca de 0,5%
da massa de gs por ano (ABB, 2008).
Para evitar que o disjuntor fique disponvel para operao com baixa presso de SF6 , exis-
tem dois nveis de alarme: um de advertncia e outro que abre o disjuntor em trip.
O disjuntor Merlin Gerin, modelo FA4, por exemplo, trabalha com 6,0bar de presso no-
minal (na temperatura de referncia de 20 C) e tem alarme de advertncia com 5,2bar e de trip
com 5,0bar, sendo que a expectativa que se perca anualmente menos de 1% da massa de SF6
(ELETROSUL, 2006).
Por fim, destaca-se que o SF6 um gs atxico, no entanto, durante a operao do disjuntor,
podem ser gerados subprodutos txicos na forma de p. Assim, a reduo da contaminao
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico 159
Os sistemas tcnicos de interesse neste projeto so os que utilizam SF6 como dieltrico. As-
sim, foi feita a caracterizao das instalaes da empresa, buscando identificar estes equipamen-
tos o relatrio deste estudo est apresentado no documento MT-DJ-RT-NE-01 (UFSC/NEDIP,
2008b).
Destes sistemas, optou-se por estudar, primeiramente, os disjuntores e como caso piloto
optou-se pelo disjuntor Merlin Gerin FA4. Os seguintes critrios foram utilizados para a seleo
do modelo de disjuntor para estudo piloto (UFSC/NEDIP, 2008b):
1. Modelo e/ou fabricante com a maior massa de SF6 e cujo disjuntor est
em operao.
2. Modelo e/ou fabricante no nvel de tenso de maior concentrao de dis-
juntores.
3. Modelo e/ou fabricante mais antigo no sistema da Eletrosul.
4. Modelo e/ou fabricante com menor ndice de Eficincia de Extino com
relao tenso de isolao e massa de SF6 necessria (IEEMassa)10 .
5. Modelo e/ou fabricante com menor ndice de Eficincia de Extino cal-
culado a partir da potncia manobrada pelo disjuntor e densidade de SF6
(IEEDensidade).
6. Modelo e/ou fabricante com estudo consolidado na literatura nacional
e/ou internacional.
7. Modelo e/ou fabricante utilizado em outras concessionrias.
8. Modelo e/ou fabricante com maior potncia manobrada pelo disjuntor.
9. Modelo e/ou fabricante com posio operacional estratgica dentro do
sistema Eletrosul.
10. Modelo e/ou fabricante com maior dificuldade de manuteno em funo
de sua localizao em campo.
11. Modelo e/ou fabricante que tenha manuteno programada dentro do
tempo do projeto.
10 IEEMassa e IEEDensidade so ndices elaborados ao longo do projeto MitiSF6 com a inteno de avaliar a
tecnologia dos disjuntores. Equipamentos com maior ndice precisam de menor massa de SF6 para operar uma
mesma potncia nominal de manobra.
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico 160
interessante destacar que o projeto MitiSF6 no tinha como objetivo fazer alteraes de
projeto nos equipamentos, mas estudar os possveis cenrios associados perda de SF6 para a
atmosfera.
Assim, foi definida como funo do disjuntor conter SF6 . Neste caso, as restries so as
normas e regulamentos no que se refere perda de gs nos equipamentos. Os recursos crticos,
por sua vez, esto relacionados a integridade dos invlucros e das vedaes. Com base nestes
pontos, fez-se a anlise funcional de produto e puderam-se estipular os objetivos de perda de
SF6 na operao do equipamento.
Foi feita, ento, a anlise funcional do disjuntor Merlin Gerin FA4, ilustrado na Figura 6.15,
que est apresentada no documento MT-DJ-RT-NE-03 (UFSC/NEDIP, 2008c).
Legenda:
1 Cmara de extino
2 Capacitor equalizador de potencial
3 Crter
4 Resistor de pr-insero
6 Conexo eltrica (Cmara-
resistor)
7 Coluna suporte (isoladores de
porcelana)
8 Haste isolante
11 Cilindro hidrulico principal
12 Acumulador de energia
13 Rel hidrulico
15 Tanque de expanso (baixa
presso)
16 Manostato de gs
18 Chassis galvanizado (estrutura)
19 Conexo eltrica entre cmaras
20 Plugue do dreno do crter
24 Caixa de molas
25 Parafusos e porcas do acoplador
do manostato
26 Tampo do manostato
do disjuntor Merlin Gerin FA4, estes subsistemas esto interligados exceto o crter, que fica
isolado.
Aps o desdobramento do disjuntor em subsistemas, foi feita uma anlise em cada um dos
componentes constituintes de cada subsistema, ilustrada no Quadro 6.4 (UFSC/NEDIP, 2008c).
A anlise funcional, ento, serviu de base para a FMEA do disjuntor, que teve como modo
de falha estudado no conter SF6 .
6.2 Aplicao na Eletrosul, no mbito do sistema tcnico 162
Funo:
Vedar o SF6.
Impedir a entrada de umidade.
Alojar os anis de vedao (O-rings)
Assim como na FMEA dos processos, a anlise dos modos de falha foi feita utilizando a
estrutura CNEA/FMEA, apresentada no documento MT-DJ-RT-NE-04 (UFSC/NEDIP, 2008a), e
tambm foi utilizado a ferramenta computacional OpenFMECA.
Tambm foram feitas anlises por rvore de falha (FTA) de algumas causas, que se mos-
traram mais relevantes. A Figura 6.17 ilustra uma das FTAs elaboradas, no caso, para a causa
Anel de vedao com deformao permanente.
Uma vez modelados os potenciais cenrios, puderam-se levantar possveis barreiras, a fim
de reduzir o risco ou mitigar suas consequncias. Essas barreiras foram diagramadas nas
CNEAs e detalhadas no campo das aes nas FMEAs.
Note-se que, da mesma forma que se procedeu nas FMEAs dos processos, todas as anlises
eram submetidas a especialistas da empresa para serem validadas.
Na anlise dos disjuntores, tambm se optou por no fazer a anlise de criticidade dos ce-
nrios, e foram identificadas as possveis barreiras para todas as correntes causais para, pos-
teriormente, a empresa decidir sobre quais devem ser implementadas (fazendo uma avaliao
custo-risco-benefcio) e qual a prioridade de cada uma delas.
Assim como na unidade organizacional, optou-se por transpor as possveis barreiras identi-
ficadas na FMEA/CNEA/FTA do disjuntor em recomendaes e deixar a deciso de sua imple-
mentao e priorizao para uma anlise posterior, a ser realizada pela Eletrosul.
Anel de vedao
com deformao
permanente
O-ring com
Alojamento
seo O-ring com
Alojamento Alojamento muito extenso -
transversal dimetro interno
muito estreito muito raso alongamento
muito muito pequeno
excessivo
grande
Figura 6.17: Diagrama FTA da falha Anel de vedao com deformao permanente
Fonte: UFSC/NeDIP (2008a)
A reduo das atividades de manuteno peridica, por sua vez, diminuir a possibilidade
de contaminao do gs e, por consequncia, reduzir sua emisso para a atmosfera. No entanto,
necessrio monitorar a condio do equipamento para garantir que ele se mantm em condio
6.3 Aplicao na Celesc, no mbito da unidade organizacional 164
A aplicao na Celesc ocorreu em 2005, quando a metodologia ainda estava sendo elabo-
rada. Assim, ela se deu no formato de uma pesquisa-ao11 , na qual se delineiam hipteses
previamente selecionadas como possveis solues do problema de pesquisa e, com a aplica-
o, pode-se analisar as informaes no sentido de aceitar ou rejeitar a hiptese (RICHARDSON;
PERES, 1989).
A estrutura da pesquisa seguiu a norma ABNT ISO/IEC Guia 73, que inclui, na gesto de
risco, a anlise / avaliao, tratamento, aceitao e comunicao conforme apresentado em
Dias et al. (2006) , e um resultado desta pesquisa foi a orientao da estrutura da metodologia
apresentada nesta tese.
Delinea- Implemen-
Utilizao Desativao
mento tao
Reviso do SGR
O call center centralizado e est instalado em Florianpolis. Ele responsvel por aten-
der s chamadas comerciais e emergenciais de todo o estado, sendo que as emergenciais tm
prioridade de atendimento.
Durante a operao normal, o COD tem um nmero de interrupes baixo e, por con-
sequncia, de aes de manuteno na rede. No entanto, na ocorrncia de uma tempestade
severa (como tempestades de vero, ciclones extratropicais, furaces, etc.) a demanda aumenta
muito, o que dificulta a operao dos centros. Isto se deve no apenas por ter ocorrido um
nmero maior de interrupes, mas tambm pelo fato de muitas dessas reclamaes serem re-
sultado de um mesmo incidente (a perda de um alimentador, por exemplo), o que dificulta o
gerenciamento das ocorrncias. Nestas condies de trabalho, a segurana pode ser comprome-
tida pela demanda excessiva de trabalho e, eventualmente, pela falha de algum sistema tcnico
como o de comunicao entre o despachante e as equipes de manuteno, por exemplo.
interessante destacar que a resoluo ANEEL N 024, art. 22, I, considera que as [...]
interrupes associadas situao de emergncia ou de calamidade pblica decretada por rgo
competente sero desconsideradas para efeito de compensao [...] (ANEEL, 1994, p. 18),
portanto isentas de penalidades no que se refere violao das metas estabelecidas pela agncia.
6.3 Aplicao na Celesc, no mbito da unidade organizacional 166
No entanto, eventos desta proporo podem acarretar interrupes muito prolongadas, o que
pode ser danoso para a sociedade. Assim, a fim de minimizar o perodo de restabelecimento
do sistema, optou-se por priorizar os estudos referentes s interrupes resultantes das aes de
tempestades severas nos CODs apresentados nesta seo , para, no futuro, implementar um
sistema de gesto de risco mais amplo, considerando outros incidentes.
Assim, este projeto focou na elaborao dos planos de aceitao para atuar na ocorrncia
de uma tempestade severa, no mbito do COD apesar de muitas medidas adotadas terem
extrapolado para outras unidades organizacionais.
Para tanto, foi institudo um grupo de trabalho formado por colaboradores da Celesc e
pesquisadores do NeDIP/EMC/UFSC. interessante destacar que este grupo foi definido em
uma resoluo interna e, portanto, tinha o apoio da alta gerncia.
Este grupo foi responsvel pelo planejamento e delineamento do programa, sendo que a
implementao foi realizada sem a colaborao da equipe do NeDIP.
Para o COD (unidade organizacional), por sua vez, a continuidade operacional se refere
manuteno de suas funes crticas como a comunicao com as equipes de manuteno, a
identificao de problemas na rede, etc.
Neste projeto, o foco foi na segurana e na continuidade operacional dos CODs; no en-
tanto, ao longo das anlises, evidenciaram-se algumas aes para reduzir o risco de interrupo
no fornecimento de energia. Por exemplo, destacou-se a necessidade de uma restruturao no
programa de execuo de podas existente na empresa que j tinha identificado que a pre-
sena de vegetao junto rede de distribuio era uma causa de interrupo passvel de ser
controlada.
No que se refere anlise funcional, esta foi feita, primeiramente, utilizando mapas de
processo, que so mais intuitivos e possibilitam uma interao com os especialistas e, posteri-
ormente, estes processos foram detalhados utilizando a tcnica IDEF0, conforme ilustrado no
Quadro 6.5.
Quadro 6.5: Estrutura dos IDEF0 feitos para o call center e o COD
Call Center
A0: Call Center Atender usurio
A1: Gerenciar Chamada
A11: Receber chamada
A12: Identificar chamadas via URA (unidade de resposta audvel)
A13: Verificar se o telefone cadastrado
A14: Passar informaes eletronicamente
A15: Encaminhar chamada
A2: Identificar cunho da chamada
A3: Atender chamada comercial
A4: Atender chamada de emergncia
A41: Passar informaes para usurio
A42: Preencher ou complementar NR
A43: Passar nmero do protocolo
A44: Encaminhar solicitao para o COD
COD
A0: Despachar servio para atender NR
A1: Priorizar NR
A2: Despachar atendimento
A3: Localizar ocorrncia
A4: Avaliar ocorrncia
A5: Executar ocorrncia
A6: Executar servio
Destaca-se, ainda, que devido grande interao do COD com o call center, tambm foi
feito o mapeamento funcional desta unidade organizacional (vide Quadro 6.5).
6.3 Aplicao na Celesc, no mbito da unidade organizacional 168
Quanto anlise dos riscos, foi utilizada, principalmente, a tcnica de diagramao causa e
efeito no caso diagrama Ishikawa. Assim, foram levantados os possveis riscos que poderiam
afetar um despacho eficiente.
Com base nesta anlise, foi possvel levantar as possveis barreiras para garantir a continui-
dade operacional do COD e a segurana do meio em que est inserida, de seus colaboradores (e
outras pessoas afetadas pela sua operao) e dos sistemas tcnicos que possam ser afetados.
Em relao avaliao das barreiras, optou-se por adotar todas as identificadas e, ento,
planejar as implementaes delas de acordo com a possibilidade do oramento da diretoria.
interessante destacar que o projeto se concentrou nas questes relacionadas com a continuidade
operacional do COD diante de uma tempestade severa j que, no futuro, prev-se a aplicao
do sistema de gerenciamento de risco mais amplo.
interessante destacar que muitas dessas medidas, para viabilizar os planos, alteram a
forma de a empresa operar, por exemplo na introduo de uma nova tecnologia ou na introduo
do terceiro tuno de uma funo, para que trabalhe em regime ininterrupto.
Uma vez que as barreiras foram viabilizadas, j se tem como caracterizar as instalaes
da empresa e a forma de se executar as barreiras. Com isso, podem-se elaborar os planos
preliminares. No caso da Celesc, utilizaram-se, intensamente, mapas mentais para organizar e
6.3 Aplicao na Celesc, no mbito da unidade organizacional 169
O passo seguinte, ento, foi a estimativa de esforo para implementar os planos. Funda-
mentalmente, este processo consiste no levantamento dos custos para implementar os planos e
do uso dos recursos internos (tanto humano quanto material), para, posteriormente, avaliar se o
esforo necessrio justificado, na avaliao custo-risco-benefcio.
Por fim, foi feito um planejamento para a implementao dessas aes destacando o
responsvel, o custo e o prazo para implementao , que foi includo no plano de aes.
No que se refere ao monitoramento & controle, optou-se por atuar na preparao para a
ocorrncia do incidente, j que no se pode controlar um evento meteorolgico.
O Quadro 6.6 traz a descrio dos principais itens da estrutura. Note-se que os trs primeiros
itens se referem ao monitoramento & controle, enquanto o quarto resposta emergencial e,
finalmente, o quinto item, ao retorno.
Observe-se que a comunicao com as partes envolvidas (stakeholders) est definida dentro
da instruo no item das informaes mdia, por exemplo.
situao de contingncia.
Por fim, foi elaborado um plano de ao para adequar as instalaes e estrutura organizaci-
onal, para que a instruo fosse efetiva, chamado de Insumos implantao da instruo para
atendimento em estado de contingncia (CELESC, 2005b).
A avaliao da metodologia desenvolvida foi feita de duas formas distintas, mas comple-
mentares entre si. A primeira objetivou avaliar o resultado dos estudos de caso realizados, e
a segunda teve como objetivo confrontar a metodologia desenvolvida com alguns requisitos
levantados, conforme apresentado nas duas prximas sees.
6.4 Avaliao da metodologia 172
6.4.1 Avaliao com base nas consideraes feitas pelas empresas onde
foram realizados os estudos de caso
A avaliao da metodologia nas empresas onde foram realizados os estudos de caso foi
feita por meio de entrevistas semiestruturadas, que se caracterizam pelo fato de o entrevistador
decidir pela forma de abordar o assunto da entrevista e pela sequncia dos pontos abordados
que so previamente especificados em uma guia de entrevista (lista de tpicos).
Esta forma de entrevista foi selecionada por permitir que os entrevistados discorram sobre
os assuntos abordados, mantendo o rumo natural da conversa, sem perder o foco da pesquisa13 .
se encontra um conceito claro e preciso do que uma entrevista semiestruturada. Entretanto, considerando que
ela seja uma intermediria entre a estruturada e a no-estruturada, supe-se que [...] haja uma confluncia de
perguntas previamente elaboradas com outras pautadas a partir das respostas e elucubraes dos entrevistados.
14 Gerente do Departamento de Manuteno do Sistema e Gerente de Projeto do Departamento de Planejamento
Pesquisa e Desenvolvimento.
15 Chefe da Diviso de Operao da Distribuio.
6.4 Avaliao da metodologia 173
pode no ser justificado. No caso da Celesc, a nica tcnica utilizada que no se conhecia
foi a IDEF0; no entanto, a tcnica foi bem compreendida e no existiu dificuldade em
utiliz-la.
Caracterizao do sistema em anlise: Foi destacado, no projeto com a Eletrosul, que
a caracterizao foi adequada e realizada de maneira abrangente. O trabalho no se res-
tringiu ao estudo de vazamento no disjuntor, mas se ateve a todo o gerenciamento do SF6
na empresa. Com isto, foi possvel evidenciar os maiores problemas relativos ao uso do
SF6 . No caso da Celesc, a opinio foi de que a situao existente ficou bem caracterizada,
o que possibilitou tomar aes direcionadas para os pontos-chave. Destacou-se que foi
feito o delineamento da operao dos CODs em condio normal (utilizando IDEF0) e,
posteriormente, foram feitas entrevistas com especialistas e com pessoas que vivenciaram
a condio de operao na ocorrncia de tempestades severas o que permitiu identifi-
car perturbaes possveis de ocorrer durante a operao nesta condio. Muitas destas
perturbaes j tinham sido levantadas e as entrevistas serviram para esclarecer como
ocorreram; no entanto, foram identificadas situaes que a equipe de anlise no tinha
considerado.
Integrao dos atributos segurana e continuidade / disponibilidade: Na Eletrosul,
foi destacado que tratar a segurana e a continuidade (ou disponibilidade, no caso do dis-
juntor) de forma integrada possibilitou tomar aes de forma mais efetiva, pois tratou a
situao como um todo. O resultado ficou mais claro, dinmico e mais fcil de implemen-
tar. Se a segurana fosse tratada separadamente da continuidade (ou da disponibilidade),
seriam delineadas muitas solues e no se saberia o que implementar. Integrando estes
dois atributos, puderam-se otimizar as solues. Destacou-se, ainda, que pode at ser
razovel, em uma anlise, pensar nestes dois atributos separadamente; no entanto, em
condio real, no possvel separ-los. Eles devem ser tratados de maneira integrada.
No caso da Celesc, foi destacado que as aes so sempre delineadas pensando nestes
dois atributos possivelmente pelo fato de se estar trabalhando com redes eltricas, que
tm um grande potencial para gerar dano. O estudo sobre o ferramental um exemplo
disso: possibilita uma ao mais efetiva e mais segura.
Solues apontadas: No projeto com a Celesc, foi destacado que, inicialmente, acreditava-
se que o problema era apenas organizacional, o que seria solucionado apenas com a ins-
truo. No entanto, com o projeto, identificaram-se outras necessidades na estrutura da
empresa, resultando em dois planos de ao um para a operao e outro para as teleco-
municaes. Na Eletrosul, destacou-se que as recomendaes certamente iro contribuir
para se alcanar o nvel de perda de SF6 que a empresa espera, mas a avaliao do impacto
6.4 Avaliao da metodologia 174
dessas medidas somente ser percebida depois de algum tempo. No entanto, acredita-se
que simplesmente o fato de mostrar a preocupao com o gs j tenha despertado o inte-
resse dos colaboradores pelo assunto, o que ir contribuir para a reduo das perdas.
Implementao dos planos: Na Celesc, o que no foi implementado est contemplado
no planejamento. A aes foram passadas para a diretoria, que, por sua vez, decide pela
implementao. A maioria das medidas foram de baixo custo e puderam ser rapidamente
implementadas. Acredita-se que estas medidas tero maior impacto nos riscos, e as aes
de maior custo contribuiro para aprimorar o que j foi implementado. Quanto instru-
o, ela foi implementada e est em uso. As equipes de todos os COD receberam a devida
capacitao quanto instruo, alm da capacitao prevista no plano de aes quanto
formao meteorolgica, por exemplo. No caso da Eletrosul, foi destacado que esto
sendo implementadas, primeiramente, as recomendaes que esto na esfera de deciso
do DMS (portanto, no precisam de aprovao do oramento da empresa), sendo que
algumas delas j foram implementadas. Destacou, ainda, que algumas recomendaes
implicam alterao de procedimentos, o que requer uma tramitao interna, que demanda
tempo. No entanto, estas alteraes esto planejadas e sero implementadas dentro das
prioridades da Eletrosul.
Utilizao e reviso dos planos16 : A instruo est ativa e foi executada nas ltimas si-
tuaes em que ocorreram tempestades severas. A estrutura implementada com os planos
de ao como o kit contingncia est sendo mantida e utilizada, quando necessrio.
No entanto, por restries da empresa, no tem sido executada a avaliao dos trabalhos
ao final de cada execuo da instruo (i.e., ao final do estado de contingncia). Estas ava-
liaes objetivavam formalizar as lies aprendidas e revisar os planos a fim de identificar
possveis deficincias e melhorias para que se tenha um aprimoramento contnuo.
Processo de aplicao da metodologia: Para a Celesc, a metodologia possibilitou con-
tornar alguns problemas fornecendo um mtodo que, por exemplo, facilitou o entendi-
mento dos processos (pelo IDEF0 e pelas entrevistas). Tambm foi destacado que a de-
dicao e o comprometimento da equipe foram fundamentais para o sucesso do projeto.
A equipe do projeto estava disposta a trabalhar com pesquisa, possibilitando mesclar o
conhecimento tcnico dos especialistas com a estrutura metodolgica trazida pelo NeDIP
/ UFSC. Na aplicao na Eletrosul, destacou-se a alocao de recursos humanos como
sendo a grande dificuldade, pois os colaboradores tiveram dificuldade de dedicar tempo
ao projeto, sem deixar de cumprir as atribuies normais de sua funo dentro da em-
presa. Desta forma, o comprometimento da equipe com o trabalho foi fundamental para
16 Os planos ainda no foram implementados na Eletrosul, portanto este item se restringir Celesc.
6.4 Avaliao da metodologia 175
o sucesso do projeto. Outro ponto identificado foi o fato de o projeto envolver pessoas
de diversas reas e localidades diferentes (Curitiba, Xanxer, Campos Novos, Palhoa,
Florianpolis, entre outras), o que dificultou a comunicao e a reunio destes especia-
listas. Destacou-se, ainda, que a quantidade de informao gerada foi suficiente para o
entendimento dos problemas e que, pela falta de tempo, existiu uma dificuldade de se
absorver e depurar toda essa informao. Desta forma, o assunto no se esgotou den-
tro da empresa, e o conhecimento gerado no projeto ainda ser mais explorado. Como
pontos positivos, destacam-se: (1) o uso das tcnicas, que foram de fcil entendimento,
auxiliaram nos processos da metodologia e contriburam para contornar o problema da
falta de tempo disponvel; (2) o fato de se ter integrado, formalizado e sistematizado o
conhecimento tcito dos especialistas; e (3) a integrao da empresa com a universidade
na parceria realizada.
Resultados do projeto: No que se refere ao projeto MitiSF6, com a Eletrosul, os resulta-
dos foram considerados bons e destacou-se que foi possvel: racionalizar o uso do gs na
Eletrosul; tratar os processos relativos manipulao do SF6 da melhor maneira possvel;
sistematizar as informaes, j que a informao que permite fazer o controle do uso do
gs; etc. Tambm foi destacada a expectativa do livro que est sendo elaborado, objeti-
vando condensar o conhecimento gerado no projeto. Quanto ao projeto com a Celesc, os
produtos do projeto foram considerados bons: foi gerada uma instruo e dois planos de
ao (para a operao e para as telecomunicaes). No entanto, foi levantada a falta de
mtricas para avaliar o impacto da implementao da instruo na empresa. O chefes dos
CODs comentam que executaram a instruo, elogiam, mas no se tem como avaliar, de
forma objetiva, o benefcio para a Celesc. Apesar disto, alguns pontos foram destacados:
verificou-se que no existem mais restries de uma agncia regional fornecer equipes
para outras; o boletim meteorolgico e o alerta meteorolgico tm auxiliado no moni-
toramento das tempestades severas; o ferramental disponvel para as equipes de campo
tambm melhorou e foi desencadeado um processo dentro da empresa que ir resultar em
uma instruo para padronizar as ferramentas e garantir que os eletricistas tenham todas
as ferramentas necessrias a sua disposio; etc. Desta forma, destacou-se que houve um
aprimoramento geral: melhorou o atendimento diante de tempestades severas; melho-
rou a capacitao dos colaboradores; e melhorou a condio da empresa. Destacou-se,
ainda, que isto possivelmente aconteceu por ter sido selecionado, como objeto de estudo
do projeto, o que era o maior problema da empresa: operar diante de uma tempestade
severa. interessante destacar que a empresa ainda pretende implementar um sistema de
gerenciamento de risco mais amplo.
6.4 Avaliao da metodologia 176
Durante o projeto MitiSF6, com a Eletrosul, foi feito um desdobramento da funo quali-
dade (QFD quality function deployment), de como deveria ser a metodologia para mitigao
de perdas de SF6 que estava sendo desenvolvida, apresentado no documento MT-MP-RT-NE-01
(UFSC/NEDIP, 2008i). Pode-se, ento, extrapolar os requisitos identificados que so especfi-
cos para o contexto do SF6 para o contexto de uma metodologia de gerenciamento de risco.
A seguir, apresentam-se os requisitos para a metodologia de gerenciamento de risco obtidos a
partir do estudo realizado no projeto MitiSF6 (UFSC/NEDIP, 2008i), juntamente com outros que
foram considerados relevantes:
a disponibilidade do disjuntor (no caso o Merlin Gerin, modelo FA4), tais como: atraso
na manuteno por indisponibilidade de SF6 e ocorrncia de alarme seguido de trip do
disjuntor, impossibilitando a execuo de manobras do equipamento.
d. A metodologia deve indicar tcnicas e ferramentas que possibilitem estudar os processos
do sistema que se deseja analisar.
Comentrio: Ao longo do Captulo 5, apresentam-se algumas tcnicas que podem ser
utilizadas. Nos estudos de caso, foram utilizadas as tcnicas IDEF0, para anlise funcio-
nal, e FMEA, CNEA e FTA para anlise e tratamento dos riscos.
e. A metodologia deve auxiliar na identificao de mtricas para avaliao dos riscos.
Comentrio: Na Seo 5.3.1.1, foram apresentados alguns exemplos de indicadores para
avaliao de risco, no caso NetCAF, MTO e RPO. Tambm foi apresentado um mtodo
para avaliao com base em limites de ocorrncia do incidente e nveis de benefcios
decorrentes da exposio ao risco.
f. A aplicao da metodologia deve fomentar o comprometimento dos colaboradores da or-
ganizao.
Comentrio: A implementao de um sistema de gerenciamento de risco j demonstra
uma preocupao com os colaboradores e a sociedade de maneira geral, favorecendo o
relacionamento entre a organizao e todos afetados por sua operao (o que inclui seus
colaboradores). A implementao da cultura do risco outro fator importante nesta ques-
to, pois os colaboradores passam a identificar a importncia de suas aes na segurana
e na disponibilidade dos sistemas tcnicos, na operao da unidade organizacional e no
negcio da organizao. Adicionalmente, as novas atribuies decorrentes da implemen-
tao do SGR tambm so um fator motivacional de acordo com a Teoria dos Dois
Fatores de Frederick Herzberg , o que tambm potencializa o comprometimento dos
colaboradores da organizao.
g. A aplicao da metodologia deve evidenciar a necessidade de se identificar leis, regula-
mentaes e normas referentes ao escopo.
Comentrio: As leis, regulamentaes e normas, na elaborao devem ser consideradas
ao longo da aplicao da metodologia. Por exemplo: durante a caracterizao do sistema
em anlise, na fase do delineamento informacional, feito o levantamento das restries,
que incluem leis, regulamentaes e normas. Estas restries, por sua vez, sero consi-
deradas para estipular os objetivos de risco. Na aplicao da metodologia na Celesc, por
exemplo, a resoluo ANEEL No 024 Estabelece as disposies relativas Continuidade
da Distribuio de energia eltrica s unidades consumidoras (ANEEL, 1994, p. 1).
h. A aplicao da metodologia deve possibilitar a caracterizao de uma estrutura mnima,
6.4 Avaliao da metodologia 178
como: compressor e bomba de vcuo livres de leo, possibilidade de operar com cilindro
externo, reservatrio incorporado, conexes por engate rpido padro Eletrosul, etc.
De fato, o que se observou, nas implementaes da estrutura FMECA / CNEA, foi que
era comum fazer alteraes significativas na FMECA quando se fazia a anlise primeiramente
na tabela e depois se modelavam os diagramas CNEA. No entanto, o contedo permaneceu
o mesmo ou sofreu alteraes menores quando se elaborou o diagrama e, posteriormente,
representou-se na tabela.
Na aplicao na Celesc, mais uma vez, observou-se que o apoio da gerncia foi fundamental
para o sucesso do gerenciamento de risco, pois foi determinante para garantir a disponibilidade
de recursos, o comprometimento dos colaboradores envolvidos e o apoio para a implementao
das decises.
6.5 Consideraes finais 180
Por fim, neste captulo, foi feita a avaliao da metodologia desenvolvida. Esta avaliao
foi feita em duas partes: uma procurou captar, das empresas em que foi aplicada a metodolo-
gia, a opinio sobre alguns pontos, apresentados na Seo 6.4.1; outra objetivou confrontar a
metodologia com alguns critrios que se consideraram importantes.
181
No Captulo 2, por sua vez, foram exploradas algumas consideraes sobre a nomenclatura
dessas duas abordagens e foram propostas, quando pertinente, definies de termos que permi-
tam suprir as necessidades de um gerenciamento de risco que integre segurana e continuidade.
Tambm foram sistematizadas tcnicas de suporte que podem contribuir com a unificao
do gerenciamento de risco, apresentadas no Captulo 4. Destaca-se o desenvolvimento da tc-
nica CNEA, para a qual foi proposta uma sintaxe, identificando elementos que a compem.
A metodologia desenvolvida faz, ainda, uso de uma estrutura de trabalho (framework) ba-
seada nas tcnicas FMECA e CNEA. Durante a aplicao desta estrutura, no estudo de caso
com a Eletrosul, observou-se que ela permite uma anlise mais eficiente dos modos de falha (ou
de incidente). Tambm foram feitas anlises de falha, utilizando FTA, de algumas causas da
FMECA / CNEA do disjuntor, evidenciando a integrao desta estrutura com outras tcnicas.
De fato, o detalhamento da causa poderia ter sido feito na prpria CNEA; no entanto, optou-se
por detalh-la em uma FTA para no sobrecarregar o diagrama CNEA, alm da possibilidade
de visualizar os tipos de relaes existentes na FTA por meio dos operadores lgicos. Note-
se que a FTA exige um conhecimento maior sobre o sistema a ser modelado, mas, por outro
lado, resulta em um diagrama mais detalhado. Num instante seguinte, por exemplo, poderia ser
calculada a probabilidade de ocorrncia do evento topo, em face da existncia dos operadores
lgicos. Esta ao no poderia ser feita na CNEA, sendo esta uma das limitaes da tcnica.
Assim, foi proposta a integrao das tcnicas redes bayesianas e atualizao bayesiana
estrutura de trabalho. As redes podem contornar a carncia de tratamento estatstico da
FMECA / CNEA, e a atualizao bayesiana pode ser utilizada para gerar estimadores para
os parmetros a serem utilizados nas redes e nas FTAs. No entanto, esta integrao no foi
aplicada no referido estudo de caso, sendo uma das limitaes deste trabalho. Destaca-se que
Lger et al. (2006) utilizam redes bayesianas em conjunto com BTA e que os autores incluem
eventos intermedirios na BTA, resultando em um diagrama similar a uma CNEA. Entretanto,
os autores utilizaram a BTA para modelar incidentes no nvel tcnico e, posteriormente, inclu-
ram estas informaes em uma rede bayesiana mais abrangente. Note-se que, apesar de no
utilizarem a teoria de redes bayesianas para fazer o tratamento estatstico de uma CNEA, eles
apresentam aplicaes que evidenciam esta possibilidade.
Outra limitao deste trabalho est no fato de a metodologia no ter sido aplicada no nvel
da organizao. De fato, o objetivo geral deste trabalho est focado no mbito do sistema tcnico
e da unidade organizacional, que foram contemplados nos estudos de caso. No entanto, acredita-
se que a adaptao da metodologia para a realidade do nvel da organizao possibilitar uma
gesto do negcio mais estruturada, por exemplo, gerenciando melhor os recursos para se obter
uma ao mais efetiva no sentido dos valores da organizao.
No que se refere aos estudos de caso nas duas empresas do setor eltrico, a aplicao da
metodologia implicou recomendaes e alteraes nos procedimentos internos e na estrutura
7.1 Anlise dos resultados e identificao das contribuies 183
Assim, conclui-se que o trabalho alcanou seus objetivos especficos apresentados na Se-
o 1.2.2, a saber: propor vocabulrio nico para suprir as necessidades do gerenciamento da
continuidade e de segurana; propor e sistematizar tcnicas de suporte consolidadas que possam
contribuir com a unificao do gerenciamento de risco; desenvolver uma estrutura de trabalho
que integre essas tcnicas; e desenvolver ferramenta computacional (software) para auxiliar a
aplicao de tcnicas.
Quanto ao objetivo geral deste trabalho que era desenvolver uma metodologia para geren-
ciamento de risco com foco em unidades organizacionais e em sistemas tcnicos durante o uso,
integrando o gerenciamento da continuidade e o gerenciamento de segurana em um nico sis-
tema de gesto , entende-se que ele foi cumprido. A metodologia, apresentada no Captulo 5,
aborda a segurana e a continuidade como dois atributos a serem tratados na gesto do risco,
permitindo a integrao o que contribui para uma abordagem de gerenciamento de risco mais
satisfatria, que Chapman (2005) concluiu ser necessria. Para tanto, estratificou-se a organi-
zao em trs nveis, a saber: nvel da organizao, nvel da unidade organizacional e nvel do
sistema tcnico.
Por outro lado, ao fazer a integrao, podem-se gerenciar os riscos com impacto na se-
gurana, na continuidade do negcio da organizao, na continuidade operacional da unidade
organizacional e na disponibilidade do sistema tcnico. Desta forma, as decises no ficam
estanques a cada nvel ou a um determinado tipo de consequncia, e evidenciam-se as relaes
existentes entre os riscos dos diversos sistemas. interessante observar que a relao entre
segurana e continuidade (ou disponibilidade dependendo do caso) nem sempre positiva, con-
forme apresentado na Seo 2.3. Por exemplo, em alguns casos, a confiabilidade (e consequen-
temente a disponibilidade) de um sistema tcnico pode ser determinante para a segurana e para
a continuidade do negcio; em outros, pode ir de encontro segurana.
Por fim, na Seo 6.4, feita uma avaliao da metodologia, na qual se apresenta a opinio
das empresas onde ela foi aplicada e, tambm, se evidencia a aderncia da metodologia a alguns
critrios considerados relevantes.
Ao longo deste trabalho, foram identificadas algumas carncias que no puderam ser trata-
das e que podem ser alvo de futuras pesquisas, a saber:
Referncias
ABB. Live Tank Circuit Breakers Buyers Guide: Doc. N 1HSM 9543 22-00. 4. ed.
[S.l.], 2008. Disponvel em: <http://library.abb.com/>. Acesso em: 15 jan. 2009.
. ABNT ISO/IEC Guia 73: Gesto de risco vocabulrio recomendaes para uso de
normas. 1. ed. Rio de Janeiro, 2005.
BBC BRASIL. China pede desculpas rssia por desastre ecolgico. Agncia Estado, 27 nov.
2005. Disponvel em: <http://www.estadao.com.br/rss/agestado/2005/nov/27/3.htm>. Acesso
em: 16 dez. 2005.
BEERENS, H. I.; POST, J. G.; UIJT DE HAAG, P. A. M. The use of generic failure frequencies
in QRA: The quality and use of failure frequencies and how to bring them up-to-date. Journal
of Hazardous Materials, Elsevier, v. 130, n. 3, p. 265270, 2006.
BERNSTEIN, P. L. Desafio dos deuses: a fascinante historia do risco. Rio de Janeiro: Elsevier,
1997. 389 p. ISBN 85-352-0210-2.
BOTHA, J.; VON SOLMS, R. A cyclic approach to business continuity planning. Information
management and computer security, Emerald Group Publishing Limited, v. 12, n. 4, p.
328337, 2004.
BRASIL. Cmara dos Deputados. Ouvidor pede cpi para vazamentos txicos. Jornal da
Cmara, Cmara dos Deputados, Braslia, n. 982 (Ano 5), maio 2003.
BRASIL. Ministrio das Relaes Exteriores. Decreto Lei No 5.445 2005: Promulga o
protocolo de quioto conveno-quadro das naes unidas sobre mudana do clima, aberto a
assinaturas na cidade de quioto, japo, em 11 de dezembro de 1997, por ocasio da terceira
conferncia das partes da conveno-quadro das naes unidas sobre mudana do clima.
Braslia, DF, 1998.
BRASIL. Ministrio do Planejamento e Oramento. Glossrio de defesa civil, estudos de
riscos e medicina de desastres. Braslia, DF, 1998.
BRASIL. Ministrio do Trabalho e Emprego. NR 10 Normas regulamentadoras de
segurana e sade no trabalho no 10: segurana em instalaes e servios em eletricidade.
Braslia, DF, 2004.
BHLMANN, H. Mathematical methods in risk theory. Berlin: Springer-Verlag, 1970.
BUSINESS CONTINUITY INSTITUTE. Business Continuity Management: Good practice
guidelines. Caversham, UK, 2005.
CALIL, L. F. P.; HIRANO, E. W.; DIAS, A. A risks quantification procedure based on bayesian
inference. In: INTERNATIONAL CONGRESS OF MECHANICAL ENGINEERING
(COBEM 2005), Ouro Preto. In: . [S.l.: s.n.], 2005. Proceedings ...
CAPRA, F. O tao da fisica: um paralelo entre a fsica moderna e o misticismo oriental. 20a .
ed. So Paulo: Cultrix, 1988. 260 p. ISBN 8531603668.
CARPES JNIOR, W. P. Anlise da segurana humana para desenvolvimento de produtos
mais seguros. 251 p. Tese (Doutorado em Engenharia de Produo) Universidade Federal
de Santa Catarina (UFSC), Florianpolis, 2004.
CASTRO, A. L. C. et al. Manual de planejamento em Defesa Civil. 1a . ed. Florianpolis,
2005. volume I.
CELESC. DVOD (Diviso de Operao de Distribuio). Instruo para atendimento em
estado de contingncia. Florianpolis, 2005.
. Insumos implantao da instruo para atendimento em estado de contingncia.
Florianpolis, 2005.
CHAPMAN, J. Predicting technological disasters: mission impossible? Disaster prevention
and management, Emerald Group Publishing Limited, v. 14, n. 3, 2005.
COOPER, D. F. The australian and new zealand standard on risk management, AS/NZS
4360: Tutorial standard. New Shouth Wales, Australia, 2004.
DELVOSALLE, C. et al. ARAMIS project: A comprehensive methodology for the
identification of reference accident scenarios in process industries. Journal of hazardous
materials, Elsevier, v. 130, p. 200 219, 2006.
Referncias 189
DIANOUS, V.; FIVEZ, C. ARAMIS project: A more explicit demonstration of risk control
through the use of bowtie diagrams and the evaluation of safety barrier performance. Journal
of hazardous materials, Elsevier, v. 130, p. 220 233, 2006.
DIAS, A. Metodologia para anlise da confiabilidade em freios pneumticos automotivos.
Tese (Doutorado em Engenharia Mecnica) Universidade Estadual de Campinas
(UNICAMP), Campinas, 1996.
DIAS, A.; OGLIARI, A.; ALONO, A. S. Fatores de influncia no projeto de produto para
segurana. In: CONGRESSO BRASILEIRO DE GESTO DE DESENVOLVIMENTO DE
PRODUTO (CBGDP), V., Curitiba. In: . [S.l.: s.n.], 2005. Anais ...
DIAS, A. et al. Diagnstico dos procedimentos de operao e de manuteno das empresas
de gerao de energia eltrica no Brasil. [S.l.], 2000. Relatrio final para a Superintendncia
de Fiscalizao dos Servios de Gerao da Agncia Nacional de Energia Eltrica (ANEEL).
. Metodologia para gerenciamento de risco. In: SIMPSIO INTERNACIONAL DE
CONFIABILIDADE (SIC), 4., Salvador. In: . [S.l.: s.n.], 2006. Anais ...
. A framework for application of probabilistic risk analysis techniques. In: INTERNATI-
ONAL CONGRESS OF MECHANICAL ENGINEERING (COBEM 2007), 19., Braslia. In: .
[S.l.: s.n.], 2007. Proceedings ...
. Anlise de risco: uma sntese dos setores martimo, areo e nuclear. In: CONGRESSO
PAN-AMERICANO DE ENGENHARIA NAVAL TRANSPORTE MARTIMO E
ENGENHARIA PORTURIA (COPINAVAL), XX., So Paulo. In: . [S.l.: s.n.], 2007. Anais
...
DRJ (Disaster Recovery Journal); DRI (Disaster Recovery Institute International). Business
continuity glossary. St. Louis, MO, 2005.
DROGUETT, E. L.; MOSLEH, A. Methodology for the treatment of model uncertainty. In:
INTERNATIONAL CONFERENCE ON PROBABILISTIC SAFETY ASSESSMENT AND
MANAGEMENT (PSAM), 5., Osaka. In: . [S.l.: s.n.], 2000. Proceedings ...
ECO, U. Como se faz uma tese. 12a . ed. So Paulo: Editora Perspectiva, 1977.
ECSS (European Cooperation for Space Standardization). ECSS-Q-30-02A: Space product
assurance failure modes, effects and criticality analysis (fmeca). Noordwijk, The Netherlands,
2001.
EHLERS, R. S. Introduo a inferncia bayesiana. Curitiba, 2005. Disponvel em:
<http://www.est.ufpr.br/paulojus/CE227/ce227.pdf>. Acesso em: 11 ago. 2004.
ELETROSUL. MC/04/DJ/017: Manual de manuteno preventiva em disjuntores SF6 ,
550kv, fabricao Merlin-Gerin, tipo FA4. Florianpolis, 2006.
ENERVAC CORPORATION. Informaes sobre o produto: equipamento de tratamento
de gs SF6 . [S.l.], 2004. Disponvel em: <http://www.enervac.com/Portuguese/01.shtml>.
Acesso em: 14 jul.2006.
EPA (Environmental Protection Agency). Emission Reduction Partnership for Electric
Power Systems: 2003 annual report. [S.l.], 2003. Disponvel em: <http://www.epa.gov-
/electricpower-sf6/resources/index.html>. Acesso em: 2 jun. 2008.
Referncias 190
. Emission Reduction Partnership for Electric Power Systems: 2006 annual report.
[S.l.], 2006. Disponvel em: <http://www.epa.gov/electricpower-sf6/resources/index.html>.
Acesso em: 2 jun. 2008.
ERICSON II, C. A. Fault tree analysis: A history. in: International system safety conference,
17. In: . [S.l.: s.n.], 1999. Proceedings ...
ERICSON II, C. A. Hazard analysis techniques for system safety. New Jersey: John Wiley
& Sons, Inc., 2005.
EVERDIJ, M. H.; BLOM, H. A. Safety methods database. Version 0.7. [S.l.], 2008.
FAA (Federal Aviation Administration). RVSM status world wide. Washington, 2007.
Disponvel em: <http://www.faa.gov/about/office org/headquarters offices/ato/ service units-
/enroute/rvsm/status ww/>. Acesso em: 19 nov. 2008.
FIENBERG, S. E. When did bayesian inference become bayesian? Bayesian analysis - The
journal, v. 1 (Issue 1), p. 140, 2006.
GARCIA, P. A. d. A. Uma abordagem fuzzy com envelopamento dos dados da anlise dos
modos e efeitos de falha. 78 p. Tese (Doutorado em Cincias em Engenharia Nuclear)
Universidade Federal do Rio de Janeiro (UFRJ), Rio de Janeiro, 2006.
GILL, J. Bayesian Methods: A social and behavioral sciences approach. London: Chapman
& Hall/CRC, 2002.
GLENN, J. What is business continuity planning? How does it differ from disaster recovery
planning? Disaster Recovery Journal, DRJ, St. Louis, MO, v. 15 (Issue 1), 2005.
GOVERNORS. BowTieXp training guide. v.2.0.1. [S.l.], 2005. Disponvel em: <www-
.bowtiexp.com>. Acesso em: 08 set. 2007.
LEE, B. Using Bayes belief networks in industrial FMEA modeling and analysis. In: ANNUAL
RELIABILITY AND MAINTAINABILITY SYMPOSIUM, Philadelphia, PA. In: . [S.l.: s.n.],
2000. Proceedings ...
LGER, A. et al. Bayesian network modelling the risk analysis of complex socio technical
systems. In: WORKSHOP ON ADVANCED CONTROL AND DIAGNOSIS, 4., Nancy,
France. In: . [S.l.: s.n.], 2006. Proceedings ...
LEVESON, N. Safeware: system safety and computers. New York: Addison-Wesley, 1995.
704 p. ISBN 0201119722.
LEWIS, S.; HURST, S. Bow-tie anelegant solution. Strategic risk, p. 8, November 2005.
MAURINO, D. E. et al. Beyond aviation huma factors: safety in high technology systems.
Aldershot, England: Ashgate Publishing Limited, 1995.
MORAND DEVILLER, J. O sistema pericial: Percia cientfica e gesto do meio ambiente. In:
. Governo dos riscos. Braslia: Grfica Editora Pallotti, 2005.
. Fault tree handbook with aerospace application. Version 1.1. Washington, 2002.
SAE (Society of Automotive Engineers). ARP 4761: Guidelines and methods for conducting
the safety assessment process on civil airborne systems and equipment. [S.l.], 1996.
. J1739: Potential failure mode and effects analysis in design (Design FMEA), potential
failure mode and effects analysis in manufacturing and assembly processes (Process FMEA),
and potential failure mode and effects analysis for machinery (Machinery FMEA). [S.l.], 2002.
SAVAGE, M. Business continuity planning. Work study, MCB University Press Limit, v. 51,
n. 5, 2002. ISSN 0043-8022.
SKJONG, R. Setting target reliabilities by marginal safety returns. In: JCSS WORKSHOP ON
RELIABILITY BASED CODE CALIBRATION, Zurich. In: . [S.l.: s.n.], 2002. Proceedings
...
SMITH, D. Reliability, maintainability and risk: pratical methods for engineers. Amsterdam:
Butterworth Heinemann, 2001. ISBN 0 7506 5168.
STAMATIS, D. H. Failure mode and effects analysis: FMEA from theory to execution. 7. ed.
Milwaukee: ASQC Quality Press, 1995.
SWAMINATHAN, S.; SMIDTS, C. The mathematical formulation for the event sequence
diagram framework. Reliability engineering and system safety, Elsevier, v. 65, p. 103 118,
1999.
Referncias 195
THE american heritage dictionary. 4. ed. Boston: Houghton Mifflin, 2000. ISBN 0395339596.
USA (United States of America). NRC (Nuclear Regulatory Commission). NUREG 0492:
Fault tree handbook. Washington, 1981.
WANE, S. Risky business. Public Sector Forums, August 2005. Disponvel em:
<http://www.bsi-global.com/en/Standards-and-Publications/Industry-Sectors/Risk/Business-
continuity/Risky-business/>. Acesso em: 23 out. 2008.
WANG, J. The current status and future aspects in formal ship safety assessment. Safety
science, Elsevier, Northern Ireland, v. 38, p. 19 30, 2001.
XU, K. et al. Fuzzy assessment of FMEA for engine systems. Reliability engineering and
system safety, Elsevier, v. 75, p. 17 29, 2002.
197
Glossrio
Aceitao do risco (Risk acceptance): Opo por conviver com o risco planejando-se, ou
no, para sua ocorrncia.
Analise de risco (Risk analysis): Uso sistemtico de informaes para identificar fontes e
estimar o risco (ABNT, 2005, p. 4).
Avaliao do risco (Risk evaluation): Confronto entre o risco analisado com os objetivos de
risco definidos.
Averso ao Risco (Risk aversion): a atitude de preferir uma perda fixa em relao
loteria com a mesma perda esperada. Por exemplo: fazer seguro de um carro (evento certo,
mesmo que incorra em custo) para evitar o risco de perd-lo (evento incerto, pode-se incorres
em prejuzo ou no). Averso ao risco evidenciada em eventos catastrficos. Enfatiza-se
muito mais um acidente de avio, com vrias fatalidade (catstrofe), que acidentes de carro,
responsveis por inmeras fatalidade anualmente.
capacitao, motivao ou qualquer medida que vise atuar na corrente causal evitando o
incidente ou mitigando suas consequncias.
Cenrio causal (Causal scenario): O cenrio causal identifica (1) as causas do incidente, (2)
a sequncia de eventos propagados pela sua ocorrncia e (3) o efeito esperado para a
combinao dos eventos.
Chance (Chance): Grau de confiana que um evento ir ocorrer por exemplo, improvvel /
remota / ocasional / provvel.
Controle ativo de risco (Active controllability of risk): So barreiras para prevenir o risco.
Controle do risco (Risk control): Comparao entre o risco analisado e os critrios de risco.
Caso o risco no possa ser aceito, deve ser tratado inclui tambm o planejamento dos riscos
aceitos. Assim, o controle do risco contempla a avaliao do risco e o tratamento.
Cpias de segurana (Backup): Cpia de um item (arquivo, documento, etc.) guardada sob
condies especficas, objetivando garantir a disponibilidade do item, caso a integridade do
original venha a ser comprometida.
Evento gatilho (Trigger event): Evento que, quando associado a uma condio perigosa, pode
caso as barreiras sejam atravessadas deflagrar um incidente.
Incidente (Incident): Incidente todo evento que tem consequncias negativas. Assim, o
termo incidente engloba o conceito de acidente que restrito a eventos que acarretem dano.
Modo de falha (Failure Mode): a maneira pela qual um sistema pode deixar de cumprir as
funes pretendida (SAE, 2002) .
Objetivos para os pontos de recuperao (Recovery point objective): Ponto em que se aceita
retornar o estado do processo por exemplo, cpias de segurana dirias garantem que os
dados no estaro mais que um dia desatualizados.
Glossrio 201
Partes envolvidas (Stakeholder): Um indivduo, grupo ou organizao que pode afetar, ser
afetado, ou perceber-se afetado por um risco (ABNT, 2005, p. 3).
Percepo do risco (Risk perception): Maneira que as pessoas percebem um risco, com base
em um conjunto de valores ou interesses (ABNT, 2005).
Perfil do risco (Risk profile): o vetor (Li , Oi , Ui , CSi , POi ), onde Oi o resultado; Li a
chance do resultado ocorrer; Ui utilidade; CSi o cenrio causal; e POi a populao afetada
(KUMAMOTO; HENLEY, 1996).
Perigo (Hazard): Qualquer ato (omisso ou ao), condio ou estado do sistema ou uma
combinao desses com o potencial de resultar em um acidente, ou, de maneira mais
abrangente, em um incidente (MOSLEH et al., 2004).
risco tanto dos riscos voluntariamente retidos (conviver com um risco acima do aceitvel)
quanto os involuntariamente (riscos no identificados). A reteno do risco exclui o tratamento
envolvendo seguro ou qualquer outra forma de transferncia do risco (ABNT, 2005).
Sistema tcnico (Technical system): O sistema tcnico pode, ento, ser entendido como um
conjunto de equipamentos e instalaes que tm uma (ou mais) funo para ser desempenhada
e, a todo o momento, est interagindo como o ambiente, o homem e outros sistemas tcnicos,
influenciando e sendo influenciado.
A FMECA uma tcnica analtica que tem como propsito identificar, priorizar e eliminar
falhas potenciais de um sistema, projeto e/ou processo antes que estas atinjam o usurio final.
Ela teve sua origem no departamento de defesa dos Estados Unidos (DOD Department of De-
fense), em 1949, com a norma militar MIL-P-1629A (Military procedure MIL-P-1629A: pro-
cedures for performing a failure mode, effects and criticality analysis). A FMECA distingue-se
da FMEA (failure modes effects and analysis) pelo fato de agregar um ndice de criticidade que
orienta a prioridade nas aes a serem executadas pela organizao. Aps ter identificado os
modos de falha potenciais, com suas causas e efeitos, associa-se a estes modos de falha um
ndice de risco ou nvel de criticidade. A partir da priorizao destes ndices, aes corretivas
so definidas e implementadas.
A elaborao de software com cdigo fonte aberto (software livre) uma das diretrizes
do governo federal, corroborada pela maioria dos estados brasileiros2 . Este projeto est em
consonncia com essa tendncia e pretende deflagrar um programa, dentro do NeDIP, de de-
senvolvimento de software livre relacionado s tcnicas mais importantes na rea de projeto
mecnico neste caso a FMECA.
As duas primeiras verses do software foram feitas com o objetivo de dar suporte uti-
lizao desta tcnica3 . No entanto, apesar de bastante consolidada, a FMECA possui alguns
1 O texto apresentado neste apndice foi elaborado pela equipe do projeto OpenFMECA, que coordenado pelo
Professor Acires Dias. Fazem parte da equipe (ou fizeram): Lus Fernando Peres Calil; Eduardo Yuji Sakurada;
Heitor Azuma Kagueiama; Leonardo Mecab; Daniel Koudi Nakano; Glauco Vinicius Gil Peron; Andr Ogliari;
Emerson Rigoni; Gleber Estefani Diniz; e Thiago Nass de Holanda.
2 Vide <http://www.softwarelivre.gov.br/>.
3 A segunda verso do software foi uma reimplementao, objetivando melhorar a rapidez e o projeto grfico.
A.1 Objetivos 205
Tambm est sendo revisada a poltica de restries dos usurios, a fim de minimizar o
tempo em reunies (o terceiro inconveniente citado). O software pode ser instalado em um
servidor e ser acessado remotamente por um navegador de internet (browser). Isto possibilita
que a FMECA seja preenchida sem a necessidade da presena de todos os membros da equipe
reunidos no mesmo local. No entanto, se no existir uma poltica de restries bem definida,
pode-se perder o controle do desenvolvimento da FMECA.
A.1 Objetivos
O objetivo deste software ser uma ferramenta para auxiliar no uso da estrutura de trabalho
(framework) para gerenciamento de falha / incidente desenvolvida no NeDIP / EMC / UFSC,
que baseada nas tcnicas FMECA / CNEA. Este software deve permitir que a FMECA seja
(parcialmente ou totalmente) desenvolvida remotamente, a fim de reduzir o tempo dispendido
em reunies. Adicionalmente, prev-se a incluso de outras tcnicas para suprir algumas carn-
cias da FMECA / CNEA, a saber: IDEF0, redes bayesianas e FTA conforme apresentado a
seguir.
4 <http://sourceforge.net/>.
A.1 Objetivos 206
O OpenFMECA est sendo desenvolvido para ser instalado em um servidor e utilizado via
navegador de internet de qualquer local (desde que tenha conexo com a internet) ou qualquer
sistema computacional (PCs, palmtops, etc). Com isto, pode-se elaborar a FMECA de forma
distribuda, na qual mais de uma pessoa pode trabalhar na mesma FMECA, em postos de tra-
balho diferentes. Nesta condio, o OpenFMECA passa a ser utilizado como uma ferramenta
colaborativa, permitindo que se faa a anlise de maneira no presencial, eliminando ou, pelo
menos, minimizando a necessidade das reunies.
O mdulo do software para FMECA estruturado foi desenvolvido nas verses anteriores do
software e consiste na elaborao da anlise em uma estrutura de rvore, na qual se desdobra o
sistema at a resoluo desejada e, posteriormente, analisam-se os potenciais modos de falha.
O mdulo de CNEA possibilitar que a anlise dos modos de falha seja feita graficamente,
sendo possvel a exportao de relatrios na forma da tradicional tabela FMECA.
A tcnica CNEA no possibilita fazer tratamento estatstico. Assim, ser feita a associa-
o de redes bayesianas com a CNEA por meio de tabelas de correlaes para suprir esta
necessidade.
A.1.5 IDEF0
A.1.6 FTA
A FTA uma forma grfica de representar a relao entre as falhas fazendo uso de portas
lgicas (E, OU, etc). Com este mdulo, ser possvel elaborar anlise por rvore de falhas de
barreiras ou de causas que se pretendem detalhar melhor.
A estrutura de tabelas e informaes relativas FMECA, utilizada neste software, foi base-
ada nas recomendaes apresentadas na SAE J17395 .
A tela de abertura (Home) do software ilustrada na Figura A.1 est dividida em 3 sees:
OpenFMECA sistemas; e configuraes.
apresentao; Page 1 of 1
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
Apresentao
OpenFMECA uma ferramenta computacional para auxiliar no uso da tcnica FMECA. Ela um software conceito, isto , ela est sendo
desenvolvida para viabilizar a implementao de propostas no uso de FMECA. Estas propostas podem ser disponibilizadas na forma de
mdulos ou at mesmo incorporadas ferramenta em uma nova verso.
O mtodo adotado para a elaborao da FMECA est dividido em 8 passos principais: (1) desdobrar o sistema em subsistemas; (2) levantar
os possveis modos de falhas para o ltimo nvel dos subsistemas; (3) levantar possveis efeitos na ocorrncia de cada modo de falha; (4)
levantar as causas de cada modo de falha; (5) levantar os controles atuais para cada cenrio; (6) avaliar os ndices de ocorrncia,
severidade e deteco; (7) criar planos de ao para os cenrios mais crticos; e (8) reavaliar os ndices aps a implementao dos planos.
muito importante que se definam, em consenso com a equipe, os ndices que sero adotados. Por isso, recomenda-se ateno seo
Configuraes.
Durante o desenvolvimento do FMECA, para cada elemento selecionado ([ST] sistema, [SS] subsistema, [MF] modo de falha, [EF] efeito,
[CA] causa, [CT] controle atual, [PA] plano de ao), haver um menu especfico no campo direita da tela.
Configurao
Nesta seo, podem-se selecionar os membros de cada equipe e os valores dos ndices de severidade (S), ocorrncia (O) e deteco (D).
Configurao
Observe-se que possvel excluir um sistema pela opo deletar (opo restrita ao mode-
5 Destaca-se que a SAE J1739 distingue 3 tipos de FMECA (de projeto, de processo e de maquinrios), que
no software foram simplificadas para que se elaborasse apenas uma estrutura. Assim, o software no cumpre,
integralmente, a recomendaes, mas se baseia nelas.
A.2 Apresentao da verso .1 208
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
Home
Sistemas Cadastro dos Sistemas Opes
Sistemas: Restaurar
Equipe [ST]Disjuntor_artigo
[ST]DMS
Seleo de [ST]Mquina do leme
Participantes [ST]Projetor
Cadastro de
Participantes Lixeira:
[ST]Teste
ndices
Teste Siglas:
[ST] Sistema
Descricao do Teste
rador do sistema), no entanto, este sistema simplesmente transferido para uma lixeira, onde
se pode recuper-lo sem perda de informao somente o administrador do OpenFMECA tem
poder para excluir definitivamente um sistema.
Na seo de configuraes, pode-se, ainda, fazer a seleo das pessoas que faro parte da
equipe de cada FMECA, ilustrado na Figura A.2.
Caso se deseje cadastrar um novo participante das FMECAs, pode-se faz-lo acionando o
boto Cadastrar Pessoa, ilustrado na Figura A.4.
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
Home
Sistemas Seleo dos participantes de cada equipe
Sistema Pessoas Disponveis Equipe Selecionada
Equipe
Seleo de
Participantes
Cadastro de
Participantes
ndices
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
Home
Sistemas Cadastro dos Participantes Opes
Participantes da FMECA: Novo Participante
Equipe Editar
[-] [PF]Acires Dias(3)
[ST]DMS Deletar
Seleo de Cadastros
Participantes [ST]Mquina do leme
[ST]Projetor Organizao
Cadastro de [+] [PF]Daniel Koudi Nakano(1)
Participantes [+] [PF]Eduardo Yuji Sakurada(2)
ndices [+] [PF]Emerson Rigoni(1)
[+] [PF]Glauco Vinicius Gil Peron(1)
[-] [PF]Gleber Estefani Diniz(1)
[ST]Projetor
[+] [PF]Heitor Azuma Kagueiama(2)
[+] [PF]Lus Fernando Peres Calil(2)
[+] [PF]Thiago Nass de Holanda(1)
Siglas:
Nome: Acires Dias Especialidade: Coordenador do OpenFMECA [PF] Participante
[ST] Sistema
Email: contato@nedip.ufsc.br Organizacao: UFSC 6
Cadastrar Cancelar
sistema na barra lateral direita. Podem-se, ento, incluir os possveis modos de falha (MF) dos
subsistemas que esto no ltimo nvel do desdobramento. Desta forma, a FMECA elaborada
A.2 Apresentao da verso .1 210
OpenFMECA Bugtracker | Ajuda | Contato | 2007 NeDIP | Lus Fernando Peres Calil | Fechar
[-][ST]DMS Home
[+][SS]A1: Gerenciar insumos Opes
[-][SS]A2: Fazer manuteno de equipamentos isolados a SF6 Novo Modo de Falha
[-][SS]A21: Fazer manuteno de disjuntores isolados a SF6 Editar
[-][SS]A211: Comissionar disjuntor Deletar
[+][MF]Disjuntor aceito com SF6 inadequado Relatrios
[-][MF]Perda de gs durante o enchimento Relatrio STD
[-] Efeitos: Relatrio Descrio
[-][EF]Perda de SF6 para a atmosfera Cadastros
[-][EF]Inalao de subprodutos txicos Efeitos
[-][EF]Comprometimento sade de colaboradores Controles Atuais
Plano de Aes
[-] Causas:
[+][CA]Purga na linha de SF6
[+][CA]Linha de gs em mau estado de conservao
[+][CA]Impacto na vlvula
[+][CA]Falta de procedimentos padronizados
[+][CA]Corpo tcnico sem capacitao para executar a operao
[+][MF]Disjuntor aceito com problemas de estanqueidade
[+][MF]Disjuntor aceito com problemas no sistema de controle de presso de SF6
[+][MF]Falta de registro do gs utilizado no enchimento (fornecedor ou Eletrosul) ou
registro incorreto
[+][MF]Disjuntor comissionado sem conferncia ou verificao do projeto que o
acompanha
[+][SS]A212: Complementar presso de SF6 no disjuntor
A211: Comissionar disjuntor Siglas:
[ST] Sistema
O processo de comissionamento consiste em uma srie de testes para avaliar a condio do equipamento [SS] Subsistema
na primeira instalao do disjuntor. Normalmente o comissionamento feito pelo fabricante do disjuntor com [MF] Modo de falha
superviso da ELETROSUL, no entanto, pode-se contratar uma terceira empresa para faz-lo. O fornecedor [EF] Efeito
[CA] Causa
do disjuntor faz a carga inicial de SF6 e eventualmente existe um excedente de gs. Estes cilindros, quando [CT] Controle atual
cheios, so adicionados ao estoque (tem entrada no sistema de informao) e, quando j utilizado parte do [PA] Plano de ao
SF6, permanecem na subestao em que foi instalado o disjuntor.
O passo seguinte a incluso dos possveis efeitos e causas de cada modo de falha para
cada subsistema e, posteriormente, dos controles atuais e aes propostas (plano de aes).
O passo seguinte a determinao dos ndices que iro compor a criticidade. Para tanto,
seleciona-se a opo avaliar ndices na barra lateral vide Quadro A.1, item selecionado:
Modo de falha e uma nova aba abrir com campos para serem preenchidos com as estimativas
dos ndices, conforme ilustrado na Figura A.6.
Quadro A.1: Contedo da barra lateral direita para diferentes elementos da FMECA selecio-
nados
Podem-se, ento, incluir as aes que devero ser tomadas para a reduo do NPR. Na
opo nova aes, disponvel quando se seleciona uma causa, podem-se inserir, alm da
descrio da ao, o responsvel, a data limite para a execuo e a estimativa de custo.
Por fim, pode-se rever a estimativa dos valores dos ndices aps a implementao das aes
na opo reavaliar ndices vide Figura A.7.
DMS > A2: Fazer manuteno de equipamentos isolados a SF6 > A21: Fazer
manuteno de disjuntores isolados a SF6 > A211: Comissionar disjuntor
Perda de gs durante o enchimento:
Perda de SF6 decorrente do processo de enchimento, tais como: vazamento na vlvula
do cilindro, purga da mangueira, falta de vedao no engate rpido, etc.
Efeitos S Causas O Controles Atuais D NPR
Purga na linha de -- -- 6 0
6
SF6
Linha de gs em
mau estado de -- 6 -- 6 0
conservao
Impacto na vlvula -- 6 -- 6 0
-Perda de SF6 para
a atmosfera -Elaborao e
-Inalao de verificao de
Falta de
subprodutos txicos -- 6 procedimentos para o
procedimentos -- 6 -- 6 0
-Comprometimento enchimento de gs e
padronizados
sade de capacitao do corpo
colaboradores tcnico
-Elaborao e
Corpo tcnico sem verificao de
capacitao para -- procedimentos para o
6 -- 6 0
executar a enchimento de gs e
operao capacitao do corpo
tcnico
nado modo de falha. Assim, nestas sees, podem-se criar novos efeitos e excluir, substituir ou
modificar efeitos existentes.
Quanto aos relatrios, a verso .1 disponibiliza a tabela STD6 que a usual da FMECA,
baseada na estrutura apresentada na SAE J1739 e o relatrio descritivo de cada elemento que
compe a FMECA.
Em virtude da deciso de utilizar um browser como interface, optou-se pelo uso de PHP7 ,
JavaScript e MySQL para program-lo, o que permite que ele seja multiplataforma possvel
de ser implementado em Windows, Linux e outros sistemas operacionais. Outra deciso impor-
http://150.162.119.40/openFMECA/indices/indices.php?sistema=50&oid=77&pos=0 8/7/2009
6 STD, do ingls standard.
7 Acrnimo para hypertext preprocessor. uma linguagem de programao dinmica interpretada, muito utili-
DMS > A2: Fazer manuteno de equipamentos isolados a SF6 > A21: Fazer manuteno de
disjuntores isolados a SF6 > A211: Comissionar disjuntor
Perda de gs durante o enchimento:
Perda de SF6 decorrente do processo de enchimento, tais como: vazamento na vlvula do cilindro,
purga da mangueira, falta de vedao no engate rpido, etc.
Controles Plano de ndices aps aes
Efeitos S Causas O D NPR
Atuais Aes S O D NPR
Aquisio de
bombas de
vcuo
Fazer vcuo
em
substitio a
purga
Purga na linha Cuidados
0 0 0 -- 6 -- 6 0
de SF6 quanto a
fonte de calor
em
operaes
passveis de
ocorrer
vazamento
(ex. cigarro)
Elaborao
de
procedimento
para
verificao
-Perda de SF6
da condio
para a atmosfera
de vlvulas e
-Inalao de Linha de gs conexes
subprodutos em mau
txicos 0 estado de 0 0 0 Cuidados -- 6 -- 6 -- 6 0
- conservao quanto a
Figura A.7: Parte da tela de uma reavaliaofonte
Comprometimento de caloraps aes
de ndices,
sade de em
colaboradores operaes
passveis de
ocorrer
tante foi a escolha do navegador no qual o software est sendo desenvolvido, j que JavaScript
vazamento
tem problemas de compatibilidade entre navegadores de internet.(ex. cigarro)
Desta forma, optou-se pelo
Elaborao
Mozilla Firefox, que tambm open source. de
procedimento
Durante os primeiros meses, foram levantados os requisitospara do sistema e proposta uma
verificao
implementao. O processo de desenvolvimento do software da condio
foi executado utilizando-se uma
de vlvulas e
verso simplificada do processo unificado (unified process conexes
UP).
Impacto na
0 0 0 Cuidados -- 6 -- 6 0
vlvula 8 quanto a
A documentao baseada em diagramas UML , bem como em comentrios ao longo do
fonte de calor
cdigo. Os diagramas UML selecionados foram: (1) diagrama em de classes; (2) diagrama de
operaes
banco de dados; e (3) diagrama de interao, conforme ilustrado na de
passveis Figura A.8.
ocorrer
O modelo de implementao escolhido foi o em camadas. vazamento
A mais prxima com o usurio
(ex. cigarro)
foi denominada Interface e faz a conexo entre as requisies do usurio e o sistema. Tambm
8 Foi utilizado o software Enterprise Architect para gerar a documentao UML.
http://150.162.119.40/openFMECA/indices/indices.php?sistema=50&oid=77&pos=1 8/7/2009
A.2 Apresentao da verso .1 214
OpenFMECA
5
OpenFMECA
Diagrama de classes
Modelo banco de dados
Diagramas de sequncia
Inicio
[ST]Sistema
[SS]Subsistema
[MF]Modo de falha
[EF]Efeito
[CA]Causa
[CT]Controle atual
[PA]Ao
6
3 4
As tabelas no banco de dados foram desenvolvidas para dar suporte ao modelo adotado.
9 Acrnimo para hypertext transfer protocol, que significa protocolo de transferncia de hipertexto.
10 Acrnimo para synchronous Javascript and XML.
A.2 Apresentao da verso .1 215
Esse modelo prev a criao de uma tabela para cada classe de objeto. Para cada atributo de
uma classe, uma coluna foi criada; para representar uma instncia de uma classe, uma linha do
banco.
Adicionalmente, destaca-se o fato de o OpenFMECA ter seu cdigo fonte aberto, o que
permite que os usurios adaptem a ferramenta para as necessidades da organizao em que ela
est sendo implementada.
O software tambm traz uma abordagem diferente para a elaborao da FMECA. Ele pro-
pe que a anlise seja feita na forma de rvore. Isso permite melhor visualizao da FMECA
em relao representao em forma de tabela, que, de acordo com Lee (2001), fracamente
estruturada e semanticamente pobre.
Por fim, destaca-se que o software possibilita melhor gesto do conhecimento, uma vez
que, alm do nome de cada elemento da FMECA (causa, efeito, modo de falha, etc.), tambm
permite que se inclua um texto descritivo e, nas prximas verses, figuras ilustrativas.
A.2 Apresentao da verso .1 216
REFERENCIAS DO APNDICE A
LEE, B. Using Bayes belief networks in industrial FMEA modeling and analysis. In: INTER-
NATIONAL SYMPOSIUM ON PRODUCT QUALITY AND INTEGRITY, Philadelphia, PA;
2001. Proceedings...
217
1. FINALIDADE
2. MBITO DE APLICAO
3. ASPECTOS LEGAIS
4. CONCEITOS BSICOS
Caracteriza-se pela agitao discreta da atmosfera, sempre acompanhada de chuva, raio e vento,
de abrangncia e intensidade reduzida, cuja conseqncia a avaria de partes isoladas do
sistema de distribuio. As adversidades meteorolgicas diferenciam-se das tempestades
severas, devido sua abrangncia e intensidade, pois apenas alguns bairros so fortemente
atingidos. As adversidades meteorolgicas ocasionam dezenas de reclamaes de falta de
energia, assim como eventualmente alguns alimentadores desligados. So exemplos de
adversidade meteorolgica: tempestades de vero, vendavais isolados associados a frentes frias
e ciclones extra tropicais moderados.
Estao adicional de despacho, composta por uma estao VHF (mesmo canal), uma mquina
SIMO e um telefone, para trabalho com um despachante adicional, a fim de facilitar o trabalho
dos despachantes atravs da diviso de tarefas, definidas previamente pelo Chefe da Superviso
de Operao e Distribuio - SPOD.
5. PROCEDIMENTOS GERAIS
Quando a tempestade severa e/ou adversidade meteorolgica for iminente, poder o chefe
da SPOD, atravs das demais chefias da Agncia Regional, efetuar a mobilizao das
equipes de manuteno de emergncia, manuteno pesada e comercial, conforme inciso
5.2.1., constante nesta Instruo Normativa.
c) inspeo in loco.
Cabe ao chefe da DVDI coordenar uma reunio, com a participao dos chefes da SPOD,
SPMD e SPPC, para analisar a avaliao e a caracterizao do evento, de forma a definir a
necessidade ou no da decretao de estado de contingncia.
Cabe ao chefe da SPOD mobilizar o total efetivo das equipes de manuteno de emergncia.
Cabe ao Chefe da DVDI mobilizar o total efetivo das equipes de manuteno pesada.
Cabe ao chefe da Agncia Regional, mobilizar o total efetivo das equipes de atendimento
comercial.
Alm das mobilizaes constantes no Nvel I, tambm devero ser mobilizadas equipes de
outras Agncias Regionais, conforme descrito a seguir:
Cabe ao chefe da Agncia Regional o contato com o chefe de outras Agncias Regionais,
para fins de mobilizao das equipes adicionais, cabendo ao chefe contatado a confirmao
da viabilidade da solicitao, e quando da negativa, a justificativa do indeferimento.
Cabe ao chefe da SPOD, que enviar equipes adicionais para a Agncia Regional solicitante,
o envio de e-mail para o Chefe da SPOD da Agncia Regional solicitante, informando o
nome e matrcula dos eletricistas e o nmero do veculo da Celesc.
Cabe ao chefe da DVDI coordenar uma reunio geral, com a participao dos chefes da
SPOD, SPMD e SPPC, despachantes, supervisores e eletricistas, de modo a efetuar o
planejamento do atendimento em estado de contingncia, visando abordar tambm os
seguintes itens:
A utilizao da estao adicional de despacho, composta por uma estao adicional de VHF,
com o mesmo canal, uma mquina SIMO e um telefone, opcional quando da decretao de
estado de contingncia Nvel I, ficando a critrio do chefe da SPOD, sendo, todavia,
obrigatria para o Nvel II.
a) solicitar ao chefe da DVDI, que dever contatar o chefe da Agncia Regional, para
verificar o material junto ao almoxarifado da Agncia;
Cabe ao chefe da DVDI, com o auxlio dos chefes da SPOD, SPMD e SPPC, e, baseado nas
informaes de NR em espera e Alimentadores fora, solicitar ao chefe da Agncia Regional o
fim do estado de contingncia, e o retorno s condies normais de operao.
Cabe ao chefe da Agncia Regional, mediante solicitao do chefe da DVDI, decretar o fim
do estado de contingncia e comunicar, atravs de contato telefnico e e-mail formal,
conforme anexo 7.2., ao Diretor Tcnico para fins de cientificao do estado de contingncia.
Cabe ao chefe da SPOD efetuar a desmobilizao das equipes adicionais, cientificando todo o
efetivo que a Agncia Regional retornou condio normal de operao.
Cabe ao chefe da DVDI definir um grupo de trabalho para avaliar o impacto da tempestade
severa na depreciao do cadastro geo-referenciado da rede eltrica, efetuando as devidas
correes quando da no conformidade comprovada.
O grupo dever considerar:
6. DISPOSIES FINAIS
No h.
7. ANEXOS
INCIO
Alerta de
Boletim Comunicao
Tempestade
Meteorolgico entre CODs
Severa
H posssiblidade D
NO
de Tempestade O
Severa?
M
O
N
SIM I
Iniciar oEstado de Alerta das Equipese a T
Aferio das Ferramentas e Material O
R
A
M
E
N
Houve Incidncia NO T
da Tempestade
O
Severa?
E
SIM C
O
Realizar a Avaliao e Caracterizao do N
Evento Meteorolgico Adverso
T
R
O
L
E
H necessidade NO
de decretar estado
de Contingncia?
SIM
SIM H necessidade NO
de auxlio de
outras Agncias?
II I
II I
E
S
T
A
Reunio de Planejamento e Operao D
O
D
E
Aplicar a Estrutura Organizacional
C
em Estado de Contingncia
O
- Controle de Acesso ao COD
N
- Estao Adicional de Despacho
T
- Comunicao COD - Eletricista
I
- Acomodao e alimentao
N
- Aquisio de Material
G
- Informaes Mdia
N
C
I
A
O Atendimento
Emergencial NO
voltou s
condies nomais
de operao?
SIM
D
O
F
I
Fim do Estado de Contingncia M
- Retorno condio normal de Operao
- Desmobilizao das Equipes Adicionais D D
O E
- Controle do Cadastro Geo-referenciado
- Avaliao dos trabalhos em Estado de C
E
Contingncia S O
T N
A T
D I
O N
G
N
C
FIM I
A
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional decretou estado de contingncia em nvel
(especificar se nvel I ou II), conforme previsto na Instruo Normativa sobre Atendimento em Estado de
Contingncia.
Atenciosamente,
**********************************************************************
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional alterou o nvel de decretao do estado de
contingncia de nvel I para nvel II, conforme previsto na Instruo Normativa sobre Atendimento em
Estado de Contingncia.
Atenciosamente,
**********************************************************************
Senhor Diretor,
Cientificamos a vossa excelncia que esta Agncia Regional decretou o fim do estado de contingncia,
conforme previsto na Instruo Normativa sobre Atendimento em Estado de Contingncia.
Atenciosamente,