Gerencia de Risco

Gerência de Risco
Brasília-DF.
Elaboração
Paulo Rogério Albuquerque de Oliveira
Produção
Equipe Técnica de Avaliação, Revisão Linguística e Editoração

Sumário
APRESENTAÇÃO.................................................................................................................................. 5
ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6
INTRODUÇÃO.................................................................................................................................... 8
UNIDADE I
ESTATÍSTICA.......................................................................................................................................... 11
CAPÍTULO 1
ESTATÍSTICA DESCRITIVA........................................................................................................... 11
CAPÍTULO 2
ESTATÍSTICA INFERENCIAL......................................................................................................... 18
UNIDADE II
RISCOS, SISTEMAS E CONFIABILIDADE................................................................................................... 32
CAPÍTULO 1
INTRODUÇÃO......................................................................................................................... 32
CAPÍTULO 2
MAS, O QUE É RISCO?............................................................................................................ 35
CAPÍTULO 3
DISPONIBILIDADE E CONFIABILIDADE....................................................................................... 43
CAPÍTULO 4
ÁLGEBRA BOOLEANA.............................................................................................................. 48
CAPÍTULO 5
EVOLUÇÃO DAS AÇÕES PREVENCIONISTAS............................................................................. 50
CAPÍTULO 6
A CONDIÇÃO INSEGURA DO ATO INSEGURO: O MITO............................................................. 54
CAPÍTULO 7
ENGENHARIA DE SEGURANÇA DE SISTEMAS............................................................................ 62
CAPÍTULO 8
ASPECTOS CONCEITUAIS DA ANÁLISE DE ACIDENTES............................................................... 65
CAPÍTULO 9
ASPECTOS FINANCEIROS E ECONÔMICOS DA GERÊNCIA DE RISCOS...................................... 69
UNIDADE III
ANÁLISE DE RISCOS: REVISÃO SISTÊMICA.............................................................................................. 71
CAPÍTULO 1
SER HUMANO TEM AVERSÃO AO RISCO?................................................................................. 76
CAPÍTULO 2
DIALÉTICA DO RISCO.............................................................................................................. 80
CAPÍTULO 3
AVALIAÇÃO E COMUNICAÇÃO DE RISCOS............................................................................. 93
CAPÍTULO 4
PROCESSOS DE AVALIAÇÃO DE PERIGO.................................................................................. 99
UNIDADE IV
TÉCNICAS ATRIBUÍDAS ESPECIFICAMENTE A ENGENHARIA DE SEGURANÇA DO TRABALHO................... 108
CAPÍTULO 1
ANÁLISE PRELIMINAR DE PERIGO (APR)................................................................................... 108
CAPÍTULO 2
FAILURE MODESAND EFFECT ANALYSIS (FMEA)...................................................................... 112
CAPÍTULO 3
ANÁLISE DE ÁRVORE DE FALHA ( AAF ) OU FAULT TREE ANALYSIS – ( FTA)................................. 127
CAPÍTULO 4
ANÁLISE DE ÁRVORE DE EVENTOS (AAE) EVENT TREE ANALYSIS (ETA)........................................ 144
CAPÍTULO 5
ESTUDO DA OPERABILIDADE E PERIGO (HAZARDAND OPERABILITY STUDIES – HAZOP).............. 150
CAPÍTULO 6
LIMITAÇÕES DA ANÁLISE DE RISCOS E RESUMO..................................................................... 161
PARA (NÃO) FINALIZAR.................................................................................................................... 165
REFERÊNCIAS................................................................................................................................. 166
Apresentação
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

entendem necessários para o desenvolvimento do estudo com segurança e qualidade.
Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas à metodologia da
Educação a Distância – EaD.
Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos
específicos da área e atuar de forma competente e conscienciosa, como convém
ao profissional que busca a formação continuada para vencer os desafios que a
evolução científico-tecnológica impõe ao mundo contemporâneo.
Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
5
Organização do Caderno
de Estudos e Pesquisa
Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos
básicos, com questões para reflexão, entre outros recursos editoriais que visam a tornar
sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta, para
aprofundar os estudos com leituras e pesquisas complementares.
A seguir, uma breve descrição dos ícones utilizados na organização dos Cadernos de
Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As
reflexões são o ponto de partida para a construção de suas conclusões.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

discussões em fóruns ou encontros presenciais quando for o caso.
Praticando
Sugestão de atividades, no decorrer das leituras, com o objetivo didático de fortalecer

o processo de aprendizagem do aluno.
6
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a

síntese/conclusão do assunto abordado.
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Exercício de fixação
Atividades que buscam reforçar a assimilação e fixação dos períodos que o autor/
conteudista achar mais relevante em relação a aprendizagem de seu módulo (não
há registro de menção).
Avaliação Final
Questionário com 10 questões objetivas, baseadas nos objetivos do curso,

que visam verificar a aprendizagem do curso (há registro de menção). É a única
atividade do curso que vale nota, ou seja, é a atividade que o aluno fará para saber
se pode ou não receber a certificação.
Para (não) finalizar
Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

ou estimula ponderações complementares sobre o módulo estudado.
7
Introdução
Bem-vindo à disciplina Gerência de Risco – GR. Este é o nosso Caderno de Estudos e
Pesquisa, material básico aos conhecimentos exigidos da Engenharia de Segurança do
Trabalho – EST. Você já fez uma análise de risco?
»» Ao olhar o céu, decidir por levar ou não o guarda-chuva.
»» Ao comprar um imóvel ou um ônibus.
»» Ao decidir por autorizar ou não os filhos a viajar com os amigos.
»» Ao escolher entre tirar nota baixa e colar em uma prova.
»» Ao atravessar a rua.
»» Ao aceitar ou não uma proposta de emprego.
»» Ao encontrar um caminhão bastante lento em aclive sinuoso: ultrapassar

ou frear forte?
»» Ao dizer sim no casamento!
»» Ao planejar uma viagem de férias
Faz-se análise de risco o tempo todo, porém de maneira aleatória. As decisões mudam e
nem sempre todos os aspectos são considerados. Essa disciplina – mediante as técnicas
de analise de risco – ajudará a decifrar, entender, avaliar o meio ambiente do trabalho
sob a perspectiva da EST.
A ênfase desse curso está na abordagem estatístico-probabilística juntamente às

técnicas de análise de risco difundidas pela Engenharia de Segurança de Sistemas,
assim entendida1a ciência que se utiliza de todos os recursos que a engenharia oferece,
preocupando-se em detectar toda a probabilidade de incidentes críticos que possam
inibir ou degradar um sistema de produção, com o objetivo de identificar esses
incidentes críticos, controlar ou minimizar sua ocorrência e seus possíveis efeitos.
1 Segundo De Cicco e Fantazzini (1977), a Engenharia de Segurança de Sistemas foi introduzida na América Latina pelo
engenheiro Hernán Henriquez Bastias, sob a denominação de Engenharia de Prevenção de Perdas. Outra forma de denominar
a Enga de Segurança do Trabalho.
8
Considerando que esse curso é especialização em nível superior, registre-se de pronto
que esse material de estatística apenas introduz esse suporte teórico às análises e
decisões que devem ser tomadas no âmbito da gerencia do risco. Por isso, o cursista
deve procurar revisar livros de estatística básica para complementar o conteúdo aqui
iniciado.
Desejamos a você um trabalho proveitoso sobre os temas abordados!
Objetivos
»» Apresentar e discutir aspectos teóricos e práticos sobre gerenciamento de
riscos, utilizando ferramentas para análise de riscos e tomada de decisão
voltada à engenharia de segurança do trabalho.
»» Conhecer e utilizar técnicas de análise de riscos como ferramentas para

uma gestão de riscos.
»» Apropriar-se dos mecanismos de controle para intervenção ambiental.
»» Entender as definições básicas da EST ao classificar e identificar perigo,

risco e fator de risco ambiental.
»» Capacitar-se para avaliação e gestão de riscos.
»» Conhecer e interpretar corretamente técnicas, métodos e testes estatísticos

e probabilísticos que instrumentalizam a engenharia de segurança do
trabalho.
9
ESTATÍSTICA UNIDADE I
CAPÍTULO 1
Estatística descritiva
Estatística descritiva é a apresentação, organização, sumarização e descrição de um

conjunto de dados. Esta relacionada com gráficos, tabelas e cálculos de medidas com
base em uma coleção de dados numéricos. Encarrega-se de descrever um conjunto de
dados desde a elaboração da pesquisa até o cálculo de determinada medida.
Figura 1.
Fonte: próprio autor
Estatística Inferencial é o método que torna possível a estimativa de características de

uma população baseado nos resultados amostrais. Seu início deu-se sobre a formulação
matemática da teoria da probabilidade em jogos de azar.
Indivíduos são os objetos descritos por um conjunto de dados. Os indivíduos podem

ser pessoas, mas podem também ser animais ou objetos.
Variável é qualquer característica de um indivíduo. Uma variável pode tomar valores

diferentes para indivíduos distintos.
População é o conjunto de indivíduos, podendo ser finita ou não.
Amostra é a parte finita e representativa da população, capaz de reproduzir as

características da população. Subconjunto da população. O processo de extração da
amostra é chamado amostragem.
11
UNIDADE I │ ESTATÍSTICA
Variável categórica indica a qual de diversos grupos ou categorias um indivíduo

pertence.
Variável quantitativa toma valores numéricos com os quais tem sentido efetuar
operações aritméticas, como somar ou tomar médias.
Uma Amostra Aleatória Simples (AAS) de tamanho n consiste em n indivíduos, ou

elementos, da população, escolhidos de maneira que qualquer conjunto de n indivíduos
tenha a mesma chance de constituir a amostra extraída.
Teorema Central do Limite: Considere uma AAS de tamanho n extraída de uma

população qualquer com média μ e desvio padrão finito σ. Quando n é grande, a
distribuição amostral da média amostral x se aproxima da distribuição normal N(μ,σ/
1 1
=∑ xi ∑ = xi
x n
) com média μ e desvio padrão σ/ . x n
Valor P do teste é a probabilidade - supondo-se H0 (hipótese nula) verdadeira -

de estatística de um teste assumir um valor no mínimo tão extremo quanto o valor
efetivamente observado. Quanto menor for o valor P, mais forte será a evidência contra
H0 fornecida pelos dados.
Nível de significância é o valor decisivo de P representado por α.
Medidas de tendência central

O objetivo de utilizar as medidas de tendência central é de caracterizar o centro de uma
distribuição de uma variável. As principais medidas utilizadas são: Moda, Mediana e
Média.
Moda
Quando a variável é qualitativa, a única medida que se pode utilizar é a moda. Essa
medida é a categoria da variável mais frequente numa distribuição, ou seja, é o valor da
variável mais comum.
Tabela 1. Distribuição de motoristas de ônibus segundo local de refeição, São Paulo. 1991.
Local No
No bar 169
No ônibus 125
Em casa 78
Não comeu 64
Outro 28
Total 464
12
ESTATÍSTICA │ UNIDADE I
Nesse exemplo, a moda do local de refeição é “No bar”, pois esta é a categoria da
variável que apresentou a maior frequência (f = 169), indicando que o mais comum é os
motoristas fazerem suas refeições no bar.
Média
A medida mais comum das medidas de centro é a média aritmética, ou simplesmente

média:
1
X = ∑ xi
n
Tabela 2. Planilha dos números de benefícios por incapacidade pelo INSS.
Deve ser utilizado em variáveis quantitativas. Essa medida sempre existe e quando
calculada admite um único valor, porém, sofre grande influência de valores discrepantes,
será atraída por este valor se houver uma baixa frequência dos dados.
Mediana
É o “valor do meio”. Divide a distribuição de frequências em duas partes, permanecendo

50% abaixo e 50% acima do valor mediano. Utilizando-se o seguinte procedimento para
encontrar a mediana:
a. verificar se os intervalos estão em ordem crescente;
b. construir a frequência acumulada;
c. encontrar a posição da mediana;

n
›› se n for par, a posição será: p=
2
13
›› se n for ímpar: p= (n+1)

2
a. quando a variável é contínua, deve-se aplicar a seguinte fórmula, baseando-
se nos valores da classe mediana:
n 
 2 −∑ f h
Md = Li +  
Fmd
Li = limite inferior da classe mediana;
n = tamanho da amostra ou número de elementos;
Σf = soma das frequências anteriores à classe mediana
H = amplitude da classe mediana;
Fmd = frequência da classe mediana.
Tabela 3. Exposição a poeiras e fumos de chumbo.
Anos (x) F F acumulada

0–2 8 8
2–4 15 23
4–6 7 30
6–8 4 34
Posição da Mediana: n=34, então p= 34/2 = 17 e o intervalo mediano é o segundo,

pois antes deste na frequência acumulada há 8 elementos da distribuição e o valor 17
está contido no intervalo que vai de 2 anos a 4 anos, assim, para utilizar a fórmula da
mediana, trabalhamos com os valores deste intervalo:
Li = 2;
Σf= 8;
H = 4 – 2 =2;
Fmd= 15.
 34 
 2 −8 2
Md =2 +   =3,2 anos
15
14
Medidas de dispersão
Quartis
Os quartis delimitam a metade central dos dados. Fazendo a contagem na lista

ordenada de observações, a partir da menor, o primeiro quartil está no primeiro quarto
do caminho. O terceiro quartil está a três quartos do caminho. Em outras palavras, o
primeiro quartil supera 25%, e o terceiro quartil supera 75% das observações, O segundo
quartil é a mediana, que supera 50% das observações.
Para calcular os quartis:
Dispomos as observações em ordem crescente e localizamos a mediana Md na lista

ordenada de observações. O primeiro quartil Q1 é a mediana das observações que estão
à esquerda da mediana global na lista ordenada de observações. O terceiro quartil Q3 é
a mediana das observações que estão à direita da mediana global na lista ordenada de
observações.
A melhor representação para os quartis é o diagrama em caixa (box-plot), como se

segue:
Figura 2.
15
Variação amostral
Como se deseja medir a dispersão dos dados em relação à média, é interessante analisar
os desvios de cada valor (xi) em relação à média x , isto é: di = (xi - x ). A variância, S2,
de uma amostra de n medidas é igual à soma dos quadrados dos desvios dividida por
(n-1), assim:
= ∑ =∑
2 d (x − X )
2
i i
2
S
n −1 n −1
Desvio padrão amostral
Para melhor entender a dispersão de uma variável, calcula-se a raiz quadrada da

variância, obtendo-se o desvio padrão que será expresso na unidade de medida original.
Assim:
S= S = 2 ∑(x − X )
i
2
n −1
Regra empírica: para qualquer distribuição amostral com média x e desvio padrão S,
tem-se:
»» O intervalo x ± S contém entre 60% e 80% de todas as observações

amostrais. A porcentagem aproxima-se de 70% para distribuições
aproximadamente simétricas, chegando a 90% para distribuições
fortemente assimétricas.
»» O intervalo x ± 2S contém aproximadamente 95% das observações

amostrais para distribuições simétricas e aproximadamente 100% para
distribuições com assimetria elevada.
»» O intervalo x ± 3S contém aproximadamente 100% das observações

amostrais, para distribuições simétricas.
Teorema de Tchebycheff: Para qualquer distribuição amostral com média x e desvio

padrão S, tem-se:
»» O intervalo x ± 2S contém, no mínimo, 75% de todas as observações

amostrais.
»» O intervalo x ± 3S contém, no mínimo, 89% de todas as observações

amostrais.
16
Coeficiente de variação de Pearson

S
Trata-se de uma medida relativa de dispersão. C .V .= ⋅ 100
X
Eis algumas regras empíricas para interpretações do coeficiente de variação:
Se: C.V. < 10% tem-se baixa dispersão.
Se: 10% ≤ C.V. < 20% tem-se média dispersão.
Se: C.V. 20% ≤ C.V. < 30 tem-se alta dispersão.
Se: C.V. > 30% tem-se muito alta dispersão.
Escore padronizado
Outra medida relativa de dispersão é o para uma medida xi. É dado por:
xi − X
Zi =
S
Para detectar observações que fogem das dimensões esperadas (outliers), pode-se
calcular o escore padronizado (Zi) considerar outliers as observações cujos escores, em
valor absoluto (em módulo), sejam maiores do que 3.
17
CAPÍTULO 2
Estatística inferencial
Antes de adentrar a inferência, é importante destacar a população e os conjuntos

populacionais relacionados à EST. Usa-se a seguir um diagrama de Venn, conforme
Figura 3, para melhor visualizar essas dimensões.
Figura 3. Diagrama de Venn com as populações externa, alvo, real e estudo.
A População Economicamente Ativa – PEA2, área (2) do diagrama, também denominada

de população alvo ou base populacional3 é constituída pela população ocupada e pela
população desocupada. A população ocupada compreende as pessoas que trabalham –
os indivíduos que têm patrão; os que exploram seu próprio negócio e os que trabalham
sem remuneração em ajuda a membros da família – nos setores públicos e privados e
nos serviços domésticos remunerados.
A população desocupada compreende as pessoas que não têm ou efetivamente estão

procurando ocupação, em um determinado período de referência e incorpora o conceito
de disponibilidade para assumir o trabalho.
A População Real (3), normalmente alvo de estudos da EST, denominada universo

amostral, censitária (N), em acinzentado no diagrama, está contida na PEA e é
constituída por vínculos empregatícios que foram declarados mensalmente no Cadastro
Nacional de Informações Sociais – CNIS4 pelas empresas por intermédio da Guia do
Recolhimento do Fundo de Garantia por Tempo de Serviço – FGTS e Informação da
Previdência Social – GFIP.
A População de Estudo (4) – amostral (n) –, subconjunto da população real, é constituída

por vínculos empregatícios das empresas pertencentes a uma determinada Classificação
Nacional de Atividades Econômicas – CNAE-Classe . O somatório das populações de
estudo resulta na População Real. Essa é a mais importante para o EST, pois é aquela
que normalmente está disponível, cujos números são compatíveis com as quantidades
de empregados listadas no Programa de Prevenção dos Riscos Ambientais (PPRA) e
Programa de Controle Médico de Saúde Ocupacional (PCMSO).
18
Finalmente, há ainda a População Externa (1) formada pelos demais cidadãos Brasileiros
cujos indivíduos não guardam conexão nem interesses afins com esse estudo, todavia é
possível lhes fazer alguma extrapolação7.
De volta à inferência, normalmente parte-se das características amostrais para inferi-las

na população, daí o nome inferência. A estatística inferencial pode ser indutiva (da amostra
para população) ou dedutiva (da população para amostra).
Distribuição normal
As distribuições normais são descritas por uma família especial de curvas de densidade
simétricas, em forma de sino, chamadas curvas normais. A média μ e o desvio padrão
σ especificam completamente uma distribuição normal N(μ,σ). A média é o centro da
curva, e o σ é a distância de μ aos pontos de mudança da curvatura da curva de cada
lado da média.
Todas as curvas normais são as mesmas, quando as medidas são tomadas em unidades
de σ em torno da média. Tais medidas chamam-se observações padronizadas. O valor
padronizado z de uma observação x é:
Z = x −µ
σ
Figura 4. Distribuição normal
19
Em particular, todas as distribuições normais satisfazem a regra 68-95-99,7,que

descreve as percentagens de observações que estão a um, dois ou três desvios padrões
a contar da média.
Se x tem a distribuição N(μ,σ) com a média 0 e desvio padrão 1. A Tabela Probabilidades

Normais Padronizadas dá as proporções de observações normais padronizadas que
são menores que z, para diversos valores de z. Padronizando, podemos utilizar a Tabela
Probabilidades Normais Padronizadas para qualquer distribuição normal.
Amostragem aleatória simples
Este método permite que cada elemento da população tenha a mesma chance de ser
incluído na amostra. Amostragem aleatória simples é a mais elementar técnica de
amostragem aleatória, nela n é usado para representar o tamanho da amostra e N
representa o tamanho da população. Todo item ou pessoa na população é numerado
de 1 a N. A chance de ser selecionado no primeiro sorteio é de 1/N. Pode-se utilizar
também a tábua de números aleatórios para o sorteio dos elementos que irão compor
a amostra.
Existem dois métodos básicos pelos quais as amostras são selecionadas: com reposição
ou sem reposição. Na amostragem sem reposição a chance de qualquer indivíduo não
previamente selecionado ser escolhido no segundo sorteio é de 1/N -1.
Intervalo de confiança tem como objetivo estimar um parâmetro desconhecido, com

uma identificação da previsão da estimativa e de quão confiantes estamos na correção
do resultado. Por exemplo, se escolhemos um grau de confiança de 95%, definimos que,
estatisticamente, 95% de todas as amostras tomadas estarão dentro deste intervalo de
confiança.
Qualquer intervalo de confiança compreende duas partes: um intervalo baseado nos

dados e um nível de certeza. O intervalo em geral tem a formula:
Estimativa ± margem de erro.
O nível de confiança (C) indica a probabilidade de o método dar uma resposta correta.
Isso é, se usarmos intervalos de 95% de confiança, em longo prazo, 95% dos nossos
intervalos conterão o verdadeiro valor do parâmetro. Não sabemos se um intervalo de
95% de confiança, calculado com base em determinado conjunto de dados, contém o
verdadeiro valor do parâmetro.
20
Figura 5. Vinte e cinco amostras da mesma população originam esses intervalos de 95% de confiança.
Fonte: Pagano, 2004.
A longo prazo, 95% de todas as amostras dão um intervalo que contém a média
populacional. Um intervalo de confiança de nível - C - para a média populacional μ de
uma população normal com desvio padrão σ conhecido, baseado em AAS de tamanho
n, é dado por:
σ
X ± z∗
n
Em que:
x - média da amostra (estimativa);
σ – desvio padrão da população;

σ
- Desvio padrão de x.
n
Não é realista supormos conhecido o desvio padrão da população. Mais a frente
veremos como proceder quando σ é desconhecido. Aqui, z*é escolhido de modo que a
curva normal padronizada tenha área C entre –z* e z*. Em virtude do teorema central
do limite, esse intervalo é aproximadamente correto para grandes amostras quando a
população não é normal.
21
Figura 6. Probabilidade central C sob uma curva normal padronizada encontrada entre -z* e z.
O número z* é chamado valor crítico p superior da distribuição normal padronizada

para p= (1-C)/2. A tabela de distribuição t contém os valores críticos para vários níveis
de confiança.
Figura 7. Curva de Probabilidade p.
Mantidas sem alteração as outras condições, a margem de erro de um intervalo de

confiança diminui quando:
o nível de confiança z* diminui;
o desvio padrão populacional σ diminui; o tamanho n da amostra aumenta.
O tamanho da amostra necessária para obter um intervalo de confiança com margem

2
 z* σ 
de erro especificada m para uma média normal é: n =  m  , em que z* é o valor crítico
 
para o nível de confiança desejado. Arredonde n sempre para cima quando aplicar esta
fórmula.
22
Uma diretriz para um determinado intervalo de confiança é correta somente sob

condições específicas. As condições mais importantes dizem respeito ao método para
gerar os dados. Entretanto, são também importantes outros fatores, tais como a forma
da distribuição da população.
A realização do teste de significância tem por objetivo avaliar a evidência proporcionada

pelos dados contra uma hipótese nula H0 em favor de uma hipótese alternativa Ha.
As hipóteses são formuladas em termos de parâmetros populacionais. Em geral, H0 é

uma afirmação de que não há efeitos presentes, e Ha afirma que um parâmetro difere do
seu valor nulo em uma direção específica (alternativa unicaudal) ou em duas direções
(alternativa bicaudal).
Essencialmente, o raciocínio de um teste de significância é o seguinte: suponha, por

questão de argumento, que a hipótese nula seja verdadeira. Se repetirmos muitas vezes
a nossa produção de dados e obtermos frequentemente dados inconsistentes com H0,
há a observação de que a hipótese nula seja pouco provável, dando evidência contra Ho.
Para auxiliar uma decisão com base na inferência, utiliza-se um nível de significância -
α. Por exemplo, se escolhermos α = 0,05, estamos impondo que os dados apresentem
contra Ho uma evidência tão forte que o fato não ocorreria mais de 5% das vezes (5 em
cada 100) quando Ho fosse verdadeiro. Se escolhermos α = 0,01, estamos impondo uma
evidência ainda mais forte contra Ho, uma evidência tão forte que o fato só ocorreria 1%
das vezes (1 em cada 100) no caso de Ho ser verdadeira.
Se o valor P é, no máximo, igual a um valor específico α, os dados são estatisticamente

significantes no nível α de significância. O fato de ser “significante” no sentido estatístico
não quer dizer “importante”, mas simplesmente “que é pouco provável ocorrer apenas
por acaso”.
Os testes de significância para a hipótese H0: μ=μ0, relativa à media desconhecida μ de

uma população, baseiam-se na estatística z:
x − µ0
z=
σ
n
O teste z pressupõe uma AAS de tamanho n, um desvio padrão populacional σ conhecido,

e uma população normal ou uma amostra grande. Os valores P são calculados a partir
da distribuição normal (tabela de probabilidade normal padronizada). Nos testes com α
fixo, utiliza-se tabela de valores críticos normais padronizados (linha inferior da tabela
de valores críticos de distribuição t).
23
Eis o esboço do raciocínio de um teste de significância:
Formular as hipóteses: H0: μ=μ0, ou H0: μ≠μ0.
Calcular a estatística de teste z.
x − µ0
z=
σ
n
Determinar o valor P (neste caso para um valor de P para um teste de H0 contra).
Ha: μ>μ0 → P(Z ≥ z);
Ha: μ<μ0 → P(Z ≤ z);
Ha: μ≠μ0→ 2P(Z ≥ |z|).
Exemplo de teste de significância
Um estudo foi realizado com 10 funcionários para avaliar se um programa de treinamento

realizado por uma empresa estava tendo efeito positivo sobre a produção. Esquema de
teste antes e depois. Para aplicar o teste deveremos formular as hipóteses:
H0: A produtividade média dos funcionários não se altera com o programa de

treinamento;
Ha: A produtividade média dos funcionários aumenta com o programa de treinamento.
Ou seja: H0 :μantes = μdepois e Ha : μdepois>μantes;
Onde:
μantes: Produtividade média dos funcionários antes do treinamento; e
μdepois: Produtividade média dos funcionários depois do treinamento. Para colocar H0 à

prova, vamos observar os n = 10 funcionários, antes e depois de receberem o programa
de treinamento. Os dados estão na tabela a seguir:
Tabela 4. Planilha de produtividade por empregado - teste de significância.
Produtividade
Empregado
Antes Depois Diferença
João 22 25 3
Maria 21 28 7
José 28 26 -2
24
Produtividade
Empregado
Antes Depois Diferença
Pedro 30 36 6
Rita 33 32 -1
Joana 33 39 6
Flávio 26 28 2
Paulo 24 33 9
Catarina 31 30 -1
Felipe 22 27 5
Média 27 30,4 -
x − µ0
Aplicando a fórmula: z = com um nível de 5% de significância e σ = 3,81 (não é
σ
n
x − 27
realista supor conhecido o desvio padrão da população), teremos: 3,81 = 1,645 à
→ x = 28,981. 10
Como a média está superior aos x = 28,981, então a hipótese H0 é falsa. Dessa
forma, o aumento da produção é resultado do programa de treinamento estabelecido
pela empresa. Uma alternativa para os testes de significância considera H0 e Ha como
duas afirmativas de igual status, entre as quais devemos decidir. Esse ponto de vista
de análise de decisão focaliza a inferência estatística, de modo geral, como fonte de
regras para a tomada de decisões em presença da incerteza.
No caso de teste, H0 contra Ha, a análise de decisão escolhe uma regra de decisão com
base nas probabilidades de dois tipos de erro. Ocorre um erro tipo I se rejeitarmos H0
quando ela é, na verdade, verdadeira. Ocorre um erro tipo II se aceitarmos H0 quando
Ha é verdadeira.
Verdade sobre a população
H0 verdadeira Ha verdadeira
Rejeitar H0 Erro tipo I Decisão correta
Decisão baseada na amostra

Aceitar H0 Decisão Correta Erro tipo II
O nível α de significância de qualquer teste de nível fixo é a probabilidade de um erro

tipo I. Ou seja, α é a probabilidade de o teste rejeitar a hipótese nula H0 quando ela é,
25
na verdade, verdadeira. O poder de um teste de significância mede a sua capacidade

de detectar uma hipótese alternativa. O poder contra uma alternativa específica é a
probabilidade de este rejeitar H0 quando a alternativa é verdadeira.
Para um teste de significância de nível α, esse nível é a probabilidade de um erro tipo

I, e o poder contra uma alternativa específica é 1 menos a probabilidade de um erro
tipo II para essa alternativa. O aumento do tamanho da amostra acarreta aumento
do poder (reduz a probabilidade de um erro tipo II) quando o nível de significância
permanece fixo.
Teste de média
Uma importante aplicação para ele é o teste de média. Os testes e os intervalos de

confiança para a média de uma população normal baseiam-se na média amostral x
de uma AAS. Como consequência do teorema central do limite, os processos resultantes
são aproximadamente corretos para outras distribuições populacionais quando a
amostra é grande. A média amostral padronizada é a estatística z de uma amostra,
x −µ
z=
σ
n
Quando conhecemos σ, utilizamos a estatística z e a distribuição normal padronizada.

Na prática, não conhecemos o desvio padrão σ. Substituímos o desvio padrão pelo erro
padrão s / n para obter a estatística t de uma amostra:
x −µ
t=
s
n
A estatística t tem a distribuição t com n -1 grau de liberdade. Há uma distribuição t

para cada número positivo k de graus de liberdade. Todas são simétricas e tem forma
semelhante à da distribuição normal padronizada. A distribuição t(k) tende para a
distribuição N(0,1) na medida em que k aumenta.
s
x ± t*
n
É um intervalo de confiança exato de nível de confiança - C - para a média μ de uma

população normal; t* é o valor crítico (1-C)/2 superior da distribuição t(n-1). Os testes
de significância para H0: μ=μ0 baseiam-se na estatística t. Utilize valores P ou níveis
fixos de significância da distribuição t(n-1).
26
Aplique esses processos de uma amostra para analisar pares de dados tomando,
primeiro, a diferença dentro de cada par para gerar uma única amostra. Os processos
t são relativamente robustos quando a população é não-normal, especialmente para
maiores tamanhos de amostra. Os processos t são úteis para dados não-normais quando
n ≥ 15, a menos que os dados apresentam outliers ou assimetria acentuada.
Exemplo de teste de significância
Um estudo foi realizado com 10 funcionários para avaliar se um programa de treinamento

realizado por uma empresa estava tendo efeito positivo sobre a produção. Esquema de
teste antes e depois. Para aplicar o teste deveremos formular as hipóteses:
Ou seja: H0 :μantes = μdepois e Ha : μdepois>μantes;
Em que:
μantes: Produtividade média dos funcionários antes do treinamento. μdepois: Produtividade

média dos funcionários depois do treinamento.
Conforme dados da Para colocar H0 à prova, vamos observar os n = 10 funcionários, antes

e depois de receberem o programa de treinamento. Os dados estão na tabela a seguir:
x − µ0
Aplicando a fórmula: t = com um nível de 5% de significância, 9 graus de
s
n
x − 27
liberdade e s = 3,81, teremos:=t = 1,833 →= x 29,208
3,81
10
Como a média está superior aos x = 29,208, então a hipótese H0 é falsa. Dessa forma,
o aumento da produção é resultado do programa de treinamento estabelecido pela
empresa.
Comparação de duas médias
Os dados em um problema de duas amostras constituem duas AAS independentes, cada

qual extraída de uma população normal separada. Os testes e intervalos de confiança
para a diferença entre as médias μ1 e μ2 das duas populações partem da diferença x1 − x2
entre as duas médias amostrais. Em razão do teorema central do limite, os processos
resultantes são aproximadamente corretos para outras distribuições populacionais,
quando os tamanhos das amostras são grandes.
27
Extrai AASs independentes, de tamanhos n1 e n2, de duas populações normais com

parâmetros μ1, σ1 e μ2, σ2. A estatística t de duas amostras é:
t=
( x1 − x 2 ) − ( µ 1 − µ 2 )
s12 s22
+
n1 n2
A estatística t não tem precisamente uma distribuição t. A estatística de inferência

conservadores para comparar μ1 e μ2, devemos utilizar a estatística t de duas amostras
com distribuições t(k). O número k de graus de liberdade é o menor dos valores n1 – 1 ou
n2 – 1. Para valores probabilísticos mais precisos, devemos utilizar a distribuição t(gl),
com os graus de liberdade gl estimados com base nos dados. Esse é o procedimento
usual nos pacotes estatísticos.
s12 s22
Intervalo de confiança para μ1 - μ2, dado por: ( x1 − x2 ) ± t +
*
n1 n2
Tem nível de confiança ao menos C, se t* é o valor crítico (1-C)/2 superior para t(k),
sendo k o menor dos valores n1 – 1 ou n2 – 1. Os testes de significância para H0: μ1 = μ2
baseados em
x1 − x 2
t=
s12 s22
+
n1 n2
têm um valor P verdadeiro não superior ao calculado a partir de t(k). As diretrizes

para o uso prático dos processos t de duas amostras são análogas as diretrizes para os
processos t para uma amostra. Recomendam-se tamanhos iguais de amostras.
Inferência para tabelas de dupla entrada
Os processos z de duas amostras permitem-nos comparar as proporções de sucessos

em dois grupos, sejam eles duas populações ou dois grupos de tratamentos em um
experimento. As tabelas de dupla entrada descrevem relações entre duas variáveis
categóricas quaisquer.
O primeiro passo para um teste global para a comparação de várias proporções

consiste em dispor os dados em uma tabela de dupla entrada que dê os número
de sucessos e falhas. Eis uma tabela de dupla entrada para os dados referentes a
usuários crônicos de cocaína que usaram antidepressivo por três anos para tentar
livrar-se do vício:
28
Tabela 5. Recaída
Não Sim
Desipramina 14 10
Lítio 6 18
Placebo 4 20
Pretende-se testar a hipótese nula de que não há diferença entre as proporções de

sucessos para os viciados que recebem os três tratamentos (não há relação entre duas
variáveis categóricas):
H0: p1 = p2 = p3.
A hipótese alternativa é que existe alguma diferença, ou seja, as três proporções não são
todas iguais: Ha: p1, p2 e p3 não são todas iguais.
Para testar H0, comparamos os valores observados em uma tabela de dupla entrada
com os valores esperados, isto é, os valores que esperaríamos se H0 fosse verdadeiro. Se
os valores observados se revelam muito diferentes dos valores esperados, há evidência
contra H0.
total da linha X total da coluna
Valor esperado =
total da tabela
Eis os valores observados e esperados, lado a lado.
Tabela 6.
Observados Esperados
Não Sim Não Sim
Desipramina 14 10 8 16
Lítio 6 18 8 16
Placebo 4 20 8 16
Como 2/3 de todos os indivíduos sofreram recaídas, esperamos que 2/3 dos 24 indivíduos
de cada grupo experimentem recaída se não há diferença entre os tratamentos. O teste
estatístico que nos diz se essas diferenças são estatisticamente significantes não utiliza
proporções amostrais, ele compara os valores observados e os valores esperados.
Qui-quadrado
( valor observado - valor esperado )

2
X =∑
2
valor esperado
29
O somatório se estende a todas as r X c celas da tabela. Portanto:
(14-8 ) (10-16 ) ( 6-8 ) (18-16 ) ( 4-8 ) ( 20-16 )

2 2 2 2 2 2
X =2
+ + + + +
8 16 8 16 8 16
X = 4,500 + 2,250 + 0,500 + 0,250 + 2,000 + 1,000 = 10,5
2
Os valores do qui-quadrado como medida de distância entre valores sempre apresentará

valores iguais ou superiores a zero, sendo que grandes valores indicam que os valores
observados são muito distantes dos valores que deveríamos esperar e evidência que H0
não é verdadeira. Os valores pequenos de X2 não constituem evidência contra H0. X2
apresenta (r-1) (c-1) graus de liberdade.
A distribuição qui-quadrado é uma aproximação da distribuição da estatística X2.

Podemos aplicar com segurança essa aproximação quando os valores esperados das
celas são superiores a 1, e não mais de 20% são inferiores a 5.
Se o teste qui-quadrado acusa uma relação estatisticamente significante entre variáveis

linha e coluna em uma tabela de dupla entrada, prossiga a análise para descrever a
natureza da relação. Uma análise informal compara percentagens bem escolhidas,
compara valores observados com valores esperados, e procura os maiores componentes
de qui-quadrado.
<http:<//www.somatematica.com.br/estat/basica/indice.php>
BUSSAB, Wilton O.: MORETTIN, Pedro A. Estatística Básica. 3. ed. São Paulo:
Atual, 1986.
HOFFMAN, Rodolfo. Estatística para Economistas. São Paulo: Livraria Pioneira

Editora, 1980.
NETO, Pedro Luiz de Oliveira Costa. Estatística. São Paulo: Edgard Blϋcher, 1977.
NETO, Pedro Luiz de Oliveira Costa; CYMBALISTA, Melvin. Probabilidades:

resumos teóricos, exercícios resolvidos, exercícios propostos. São Paulo: Edgard
Blϋcher, 1974.
MASON, Robert D.; DOUGLAS, Lind A. Statistical Techniques in Business And

Economics.Boston: IRWIN, 1990.
MEYER, Paul L. Probabilidade: aplicações à Estatística. Tradução do Prof. Ruy C.

B. Lourenço Filho. Rio de Janeiro: Livros Técnicos e Científicos Editora S.A., 1978
30
PAGANO, Marcelo e Gauvreau, Kimberlle. Princípios de bioestatística. Ed

Thomson,. 2004: p113-253.
STEVENSON, William J. Estatística Aplicada à Administração. São Paulo: Editora

Harbra, 1981.
WONNACOTT, Ronald J., WONNACOTT, Thomas. Fundamentos de Estatística.

Rio de Janeiro: Livros Técnicos e Científicos Editora S. A., 1985.
31
RISCOS, SISTEMAS UNIDADE II
E CONFIABILIDADE
CAPÍTULO 1
Introdução
Nessa unidade, serão discutidos os riscos, sistemas, falhas e confiabilidade que de resto
importam para notar o porquê da gerência de risco e da Engenharia de Segurança do
Trabalho. Por isso, são dados os fatores que as determinam com vistas ao controle de
perdas, a saber: tecnológicos; econômicos e sociais:
»» Tecnológicos:
›› desenvolvimento de processos mais complexos;
›› uso de novos materiais e produtos químicos;
›› condições operacionais (pressão, temperatura, etc.) mais severas.
»» Econômicos:aumento de escala das plantas industriais.
»» Sociais:maior concentração demográfica próximo a áreas industriais;
›› organização da sociedade;
›› preocupação quanto ao meio ambiente, a segurança e a saúde.
»» Consequências:
›› reformulação das práticas de gerenciamento de segurança;
›› industrial; revisão de práticas tradicionais e de códigos, padrões e

regulamentações obsoletas;
32
RISCOS, SISTEMAS E CONFIABILIDADE │ UNIDADE II
›› desenvolvimento de técnicas para a identificação e quantificação de

perigos;
›› formulação de critérios de aceitabilidade de riscos;
›› elaboração de modelos de gestão para o gerenciamento da sms;
›› elaboração e implantação de sistemas de resposta para emergências.
Essas perdas, chamadas de desfalques, possuem várias naturezas, como a seguir se

visualiza na Figura 8.
Figura 8. Natureza dos desfalques (perdas) e cenários de perigo, acidente, incidente e risco.
Fonte: Cicco, 1994.
Que por sua vez decorrem da probabilidade de consumação do perigo (risco), como se
visualiza na Figura 9.
33
UNIDADE II │ RISCOS, SISTEMAS E CONFIABILIDADE
Figura 9. Cenários de perigo, acidente, incidente e risco.
Fonte: Cicco, 1994.
34
CAPÍTULO 2
Mas, o que é risco?
Risco, para um conjunto de eventos distintos, é dado por: Risco = ∑ (Fi x

Ci), expresso em Fatalidades/ Ano; dias parados/ mês; R$/ ano; mortes/
ano, etc. Em que: A frequência (F) pode ser expressa em: eventos/ ano;
acidentes/ mês; etc. e a Consequência (C), decorrência direta do perigo,
pode ser expressa em: fatalidades/ evento; morte/ acidente; R$/ evento;
dias perdidos/ acidente; etc.
Ambientação 1: Praticando – Aplicação do

cálculo de risco
Se em uma estrada ocorrem 100 acidentes por ano, dos quais, em média, 1 morte
a cada 10 acidentes. Tem-se:
F = 100 acidentes/ ano.
Se ocorre, em média, 1 morte a cada 10 acidentes:
C = 0,1 morte/ acidente.
O Risco Coletivo [Risco = ∑ (Fi x Ci)], médio nesta estrada é:

Rcol = 100 x 0,1 = 10 morte/ano.
Transitam-se pela estrada 100.000 pessoas por ano, o Risco Individual para cada
pessoa é:
Rind.=10/100.000=0,0001
Há algumas indicações de riscos de fatalidade para alguns riscos voluntários e

involuntários, conforme apresentado na 7 e Tabela 8.
35
Tabela 7. Fatalidade para alguns riscos voluntários e involuntários.
Fonte: (CICCO, 1994)
Tabela 8. Ranking de riscos individuais de mortes.
Fonte: Souza, 1995
Como visto, é importante ter parâmetros de comparação para poder elaborar um estudo
de análise de riscos. As formas de medir o grau de importância dos riscos são as mais
variadas e dependem diretamente do objetivo das análises.
36
Há vários padrões internacionais que podem ser adotados para se definir se um risco é
aceitável ou não, passando, como sempre, pela avaliação da probabilidade de ocorrência
de um evento acidental e pela extensão das suas consequências. A tabela 9 fornece uma
ideia genérica dos limites de aceitabilidade dos riscos para diversas áreas.
Tabela 9. Limites de aceitabilidade dos riscos para diversas áreas.
Riscos Probabilidade de Extensão das consequências

ocorrência
Risco social 1x10-4 (EUA) a Perda de vida humana

1x10 (Holanda)
-6
Risco aeronáutico 1 x 10-8 Perda da aeronave e de vidas humanas
Risco mecânico – Industrial 1x10-4 Perda do sistema ou acidente envolvendo vidas humanas
Seguros Riscos de alta frequência Riscos cuja perda acumulada ou unitária exceda o prêmio pago, já
descontados os custos operacionais e comerciais
Fonte: Fao / Who, 1997.
O que determina a importância de um risco é a combinação dos fatores acima (F

x C). Para seguros, por exemplo, se um determinado tipo de acidente é bastante
frequente, mas traz perdas associadas muito pequenas, ele poderá ser melhor
suportado pela seguradora do que um risco pouco frequente que traz consequências
mais importantes.
Portanto, avaliar esses parâmetros com a máxima cautela e critério é o segredo de um

estudo de sucesso. O que é pior?
»» Alta frequência de ocorrência
›› Motores elétricos
»» Alta consequência (perigo)
›› Explosão de um botijão de gás
A percepção de risco inclina o ser humano, que se impressiona mais, às consequências

(perigos), porém isso é um erro; eventos frequentes podem ser mais arriscados. Todavia
o julgamento sempre dependerá dos critérios escolhidos de comparação. Observe o
exemplo da Tabela 10.
37
Tabela 10. Cidades mais arriscadas pelo critério de acidente fatal
Fonte: Filipe, 1993.
Em qual cidade você gostaria de morar? Se você respondeu A, estará dentro da grande
maioria, que acha “normal“ morrerem 1.000 pessoas por ano em acidentes de transito,
mas não admitem. Na cidade B, um acidente único pode gerar 10.000 mortes, ele que
sua probabilidade seja baixa.
Quando se analisa um determinado risco, a primeira ação a fazer é descobrir se há alguma

estatística relacionada à ocorrência de eventos anteriores, seja no local em que esse risco
ocorre ou em outros locais. Entender o porquê de sua ocorrência é fundamental para
analistas de risco de várias áreas de atuação como forma de dimensionar probabilidades
e Consequências. A experiência, ele que absorvida de outros, da literatura especializada,
etc., é o primeiro instrumento da análise de riscos.
Mas, e quando não se dispõe de dados ou da experiência necessária? A solução é construir

cenários acidentais e discutir com as outras pessoas envolvidas o grau de importância
das possibilidades, vislumbrando se realmente se constituem em probabilidades. Em
relação às Consequências, ocorre exatamente a mesma coisa. Pode-se aprender com
outros eventos ou construir os cenários acidentais.
Em análises singelas, a construção de um ou dois cenários acidentais é bastante

simples e geralmente não se precisa de maiores auxílios. As formas de medição da
probabilidade de ocorrência e da magnitude das Consequências é que precisam ser
melhor investigadas. A seguir, indica-se a amplitude das medições:
»» Probabilidade:
›› de falha; de ocorrer um evento indesejável; de algo dar errado; do risco

se transformar em perigo. Consequências:
38
›› perda de vidas humanas;
›› perda financeira;
›› perda patrimonial;
›› perda de imagem; perda de capacidade temporária.
O que é mais perigoso, viajar de ônibus ou de

avião a jato?
Verifica-se na Figura 6 que o perigo é maior em avião, pois as energias (potencial e

cinética) relacionadas ao deslocamento aéreo são milhares de vezes maiores que
àquelas terrestres, situação que torna milagre a possibilidade de haver sobrevivente
pós-acidente aeronáutico.
Figura 10. Teoria do Risco (perigo x probabilidade).
Com base nos dados, e utilizando o sistema internacional de unidades SI, tem-se:
Avião Ônibus
Massa (t) 80 15
Velocidade (km/h) 860 80
Altura do passageiro ao nível chão(m) 11.000 2
39
Percebe-se que a energia potencial gravitacional do avião é mais de 29.333,33 vezes

maior que a do ônibus. É óbvio: o avião possui muito mais desprendimento de energia
e, portanto, um potencial maior de destruição que o ônibus.
Quando se compara a energia cinética de ambos, percebe-se que a bordo do avião a

energia cinética é cerca de 616,42 vezes maior que a de um ônibus. Fechada essa etapa
do cálculo, o avião é 2.729,23 vezes mais perigoso quando o critério é Energia Mecânica
Total. Mas, quem é mais arriscado?
É fácil encontrar, pela internet:
»» o risco de morrer em um acidente de avião é 29 vezes menor do que

andar de ônibus, 10 vezes menor do que trabalhar, 8 vezes menor do que
andar a pé8;
»» a probabilidade de acidentes rodoviários é 266 vezes maior9 que a dos

aéreos;
»» o transporte aéreo registra 90 vezes10 menos vítimas que o de ônibus;
»» ao menos nos EUA, o avião é 11 vezes11 mais seguro que o ônibus.
Com esse painel de dados probabilísticos, em uma primeira aproximação, baseado em

números de mortes por viagens, chegou-se à conclusão que apesar de mais perigoso,
avião é menos arriscado.
40
Conclusão essa, confirmada pelos dados válidos na Europa, que dizem sobre andar
de ônibus implica risco equivalente a 0,7 fatalidades em 100 milhões de pessoas por
quilômetro percorrido12. A aviação civil teria risco 20 vezes menor, enquanto ir a pé, o
número é 9 vezes maior.
Em outras palavras, nesse caso os dados probabilísticos decorrem do critério de

acidentes fatais por quilômetros percorridos. Assim, o avião aparece facilmente como
meio mais seguro, pois em uma viagem percorrem-se trechos que, por terra, poderiam
significar horas ou dias de direção. Avaliando o risco deste jeito, nossos pés tornam-se
um dos meios de transporte mais arriscados: quanto tempo passado nas ruas, a pé, é
necessário para igualar 100 mil quilômetros percorridos de avião?
Ponto inflexão. Utilizar quilômetros percorridos para medir riscos pode não fazer muito
sentido no caso do avião, pois, a probabilidade de acidente depende mais do número de
escalas do que da distância (mais de 90% dos acidentes acontecem no final ou no início
do voo)13. Aprofundando agora essa questão, percebe-se que a resposta correta, do que
é mais arriscado, é: depende! Depende do que se quer medir e qual valor é dado às
diferentes opções, pois há estatísticas que afirmam exatamente o oposto. Especialistas
garantem que viagem aérea tem frequência de acidente fatal quatro vezes maior que em
um ônibus. (2,4 mortos a cada milhão de horas de exposição). (SOUZA,1995)
O fato de o ônibus causar mais vítimas não implica automaticamente que seja menos
seguro do que avião, pois o tempo que um cidadão comum pode passar num avião é
muito menor que o transcorrido ao se locomover por transporte terrestre. O critério
correto não é quilômetro percorrido, mas sim, as vítimas por tempo de exposição.
A pergunta, refeita, seria: há mais probabilidade de acidente fatal passando-se uma

hora de viagem em um avião ou em um ônibus?
Nesse caso, de acordo com os ele dados europeus, ônibus e trem se tornam os meios mais
seguros (duas fatalidades por 100 milhões de pessoas por hora de viagem), enquanto
que o avião seria 8 vezes mais frequente, desta feita, não tão mais seguro do que ir de
ônibus ou a pé (que empatam, com 25 fatalidades por 100 milhões de pessoas por hora
de viagem).
Finalmente, considerando as energias mecânicas totais (perigo) do avião e do ônibus,

percebem-se duas conclusões possíveis sobre o risco, a depender do critério utilizado:
quilômetros percorridos ou tempo de exposição. Para o primeiro critério, avião é menos
arriscado; para o segundo, o ônibus!
41
Esse exercício de raciocínio foi feito para que o cursista perceba, para além das
obviedades, que, às vezes, trabalhar em banco (entidade financeira) é mais arriscado
que trabalhar em construção civil, apesar desta última operar com energias mecânicas
altas. Depende sempre do critério adotado!
Se o perigo do meio ambiente do trabalho foi identificado como forte stress e medo nas
relações interpessoais, a consequência reflui para incapacidade laboral por transtornos
mentais, cujas frequências relativas são grandes (alta probabilidades), ter-se-ia nesse
cenário grandes riscos.
Julgue, explique o que é mais arriscado da perspectiva do empregado e quais

medidas de controle a serem adotadas. Dados:
1. Obra de construção civil (CNAE 4210)
a. 5 x 10-4 probabilidade para transtorno mental (F22)
2. Agência dois bancária (CNAE 6422)
a. 50 x 10-4 probabilidade para transtorno mental (F22)
Ambientação 2: Praticando. Julgue o que é mais arriscado e quais medidas de

controle o EST deve propor?
42
CAPÍTULO 3
Disponibilidade e confiabilidade
Por estarem inseridas em um ambiente dinâmico e mutável as organizações podem

sofrer perdas associadas ao seu patrimônio, uma vez que o referido ambiente é permeado
de riscos. Assim, faz-se necessário a identificação antecipada de todos os fatores que
geram ameaças ao patrimônio organizacional, considerando que essa ação permite que
sejam adotadas medidas preventivas visando evitar a ocorrência das possíveis perdas,
principalmente humanas.
Em termos de evolução, porém, observa-se que parte das ações relativas à prevenção
de perdas foi desenvolvida em virtude da grande incidência de infortúnios do trabalho,
pois a severidade e a frequência das lesões nos trabalhadores, os danos às máquinas e
aos equipamentos, às instalações e ao processo produtivo demandaram uma série de
esforços que, de início, tinham como objetivo prevenir e controlar tais eventos. Nesse
contexto, comparecem dois termos: disponibilidade e confiabilidade (SOUZA, 1995).
A disponibilidade definida como fração ou percentual do tempo em que um

componente ou sistema encontra-se disponível para atender de forma satisfatória a
uma demanda de funcionamento.
Já a confiabilidade é tida como a probabilidade de que o componente ou sistema

desempenhe com sucesso suas funções, por um período de tempo e condições
especificadas (possui natureza probabilística; apresenta dependência temporal; depende
do critério de sucesso considerado e varia em função das condições de operação).
Figura 11. Comparativo entre disponibilidade e confiabilidade.
43
Qual o tempo até o primeiro defeito? Considerando N sistemas idênticos colocados

em operação a partir do tempo t=0, mede-se o tempo de operação ti de cada um até
apresentar defeito. O Mean Time to Failure ( MTTF) e o tempo médio de operação à
Figura 12. Fluxo Mean Time Between Failure (MTBF).
44
A predição da confiabilidade é definida como um processo de estimar

quantitativamente a probabilidade de falha de um sistema ou equipamento, tendo
como objetivo verificar se o produto irá atender às metas de confiabilidade, definidas
pela empresa. (SOTO, 1981)
Num sistema em série, a confiabilidade do sistema é igual ao produtório da

confiabilidade (reability – R) de cada componente, chamada de Lei da Confiabilidade
do Produto:
Q = R1 x R2 x R3 x R4
Em que:
Q = confiabilidade do sistema
Ri = confiabilidade do componente. Caso haja um sistema composto de 6 componentes,

em que cada um possui uma confiabilidade de 90%, a confiabilidade do sistema será de
0,96 = 0,5314, ou seja, a confiabilidade será de 53,14%.
A Figura 13 (Curva de probabilidades – bacia de falhas ou curva da banheira) indica

graficamente os três tipos de falhas, em função do tempo de ocorrência, que ocorrem
em equipamentos e sistemas.
»» Falhas prematuras: ocorrem durante o período de depuração devido

a montagens pobres (fracas) ou por possuírem componentes abaixo do
padrão;
»» Falhas casuais: resultam de falhas complexas, incontroláveis e,

algumas vezes, desconhecidas. O período durante o qual as falhas são
devidas, principalmente a falhas casuais, é a vida útil do componente ou
do sistema;
»» Falha por desgaste: iniciam-se quando os componentes tenham

ultrapassado seus períodos de vida útil. A taxa de falha aumenta
rapidamente devido ao tempo e a algumas falhas casuais.
45
Figura 13. Curva de probabilidades – bacia de falhas ou curva da banheira
Fonte: Bastias, 1977.
Geralmente as falhas prematuras não são consideradas na análise de confiabilidade,

porque se admite que o equipamento foi “depurado”, e que as peças, inicialmente
defeituosas, foram substituídas.
Com um pequeno aumento da confiabilidade de seus componentes, há um aumento

considerável na confiabilidade do sistema, como, por exemplo, passarmos os
componentes para uma confiabilidade de 90% para 95%. Esse aumento resulta numa
confiabilidade do sistema de 53,14% para 73,51%, quando há 6 componentes.
Outro aspecto é quando há um sistema paralelo. Considerando a confiabilidade de um

sistema em 81%, sua probabilidade de falha é de 19%. Por consequência, a confiabilidade
do sistema composto por paralelismo será de 96,4%.
Falha = 1 – R
Falha = 1 – 0,81 = 0,19
Com paralelismo:
Q = 1 – Falha2
Q = 1 – 0,192 = 0,964
Outra solução possível de ser adotada para aumentar a confiabilidade é a utilização de

componentes standby no sistema, que só entram em funcionamento quando a unidade
46
falha. Para pleno efeito desta solução, a detecção da falha, que monitora o sistema e
ativa o componente standby no momento correto, deve ter confiabilidade bem próxima
de 100%, assim como o componente em standby.
Sistemas standby são sistemas críticos tais como um grupo gerador elétrico de hospital,
cuja confiabilidade deve ser extremamente alta.Um meio de melhorar a confiabilidade é
melhorar as condições ambientais de operação como umidade, temperatura, vibrações,
corrosão, erosão, radiação, atrito, pancadas.
47
CAPÍTULO 4
Álgebra Booleana
A álgebra Booleana foi desenvolvida pelo matemático George Boole para o

estudo da lógica. Suas regras e expressões aclararam e simplificaram problemas
complexos. Bastante útil em condições expressas por apenas dois valores: sim ou
não, 0 ou 1 etc.
A lógica Booleana e aplicada em área como a de informática e montagens eletromecânicas

que incorporam um grande número de liga e desliga. É também utilizada em análise de
probabilidade, em estudos que envolvam decisões e em segurança de sistemas. Usam-se
diagramas de Venn na matemática para simbolizar graficamente propriedades, axiomas
e problemas relativos à teoria dos conjuntos, que podem ter operações representadas
abaixo:
Figura 14. Diagramas com axiomas e problemas relativos à teoria dos conjuntos.
48
Várias outras identidades podem ser expressas pela lógica Booleana:
Identidade LEI Explicação

A·1=A A única parte dentro de 1, que é 1 e A, é
aquela dentro do próprio A.
A·0=0 Condição impossível; se esta dentro do
conjunto, não pode estar fora dele.
A+0=A Conjunto complemento ou vazio O elemento num conjunto, mais alguma
coisa fora do conjunto, terá somente as
características do subconjunto.
A+1=1 O todo expresso por 1, não pode ser
ultrapassado.
Complemento do complemento de A é o
Lei de Involução
A=A próprio A.
A·A=0 Impossibilidade. A condição não pode ser A e A
simultaneamente.
Relações complementares
A+ A=1 Soma dos elementos de um conjunto e todos
fora deste.
A·A=A Postulado
Lei de Idempotência
A+A=A Postulado
A·B = B·A Os elementos serão os eles independentes da
ordem expressa.
Lei comutativa
A+B = B+A O total de elementos será o ele, independente
da ordem.
A(B·C) = (A·B)C Os elementos que têm todas as características
A, B e C as terão em qualquer ordem expressa.
Lei Associativa
A+(B+C) = (A+B)+C O total de elementos será o ele, não
importando a ordem na qual estão expressos.
A·(B+C) = (A·B) + (A·C) A interseção de um subconjunto com a união
de dois outros também pode ser expressa
como a união de suas intersecções
A+(B·C) = (A+B) · (A+C) Lei Distributiva A união de um subconjunto com a interseção
de dois outros também pode ser expressa pela
interseção das uniões do subconjunto comum
com os outros dois.
A(A+B)=A A(A+B)=AA+AB=A+AB, desde que AA=A
A+AB=A(1+B)=A, desde que B esteja incluído
Lei de Absorção em 1.
A+(A·B)=A A+(A·B)=A+A·B= A(1+B)=A
O complemento de uma interseção é a união
A ⋅B = A + B dos complementos individuais.
Lei de Dualização (de De Morgan)
O complemento da união é a interseção dos
A + B = A ⋅B complementos.
49
CAPÍTULO 5
Evolução das ações prevencionistas
Eis o início de tudo: possibilitar às empresas um conceito de segurança à prevenção

e à eliminação dos riscos que poderiam afetar os trabalhadores. Todos os estudos e
pesquisas realizados giravam em torno das lesões que poderiam ser produzidas por
meio dos acidentes de trabalho. Uma empresa segura seria aquela na qual ocorresse o
menor número de acidentes e estes eram enfocados segundo o custo que produziam,
sem haver a ponderação das diversas perdas patrimoniais que estavam associadas à
ocorrência desses acidentes.
Carvalho (1984), ao estudar as metodologias propostas para a investigação dos

acidentes do trabalho e os riscos que os deflagraram, faz um apanhado histórico e relata
a existência de quatro diferentes modelos, sintetizados no quadro a seguir. Tais métodos
não são excludentes permitindo que, na prática, eles possam e devam ser utilizados de
modo combinado.
COMPORTAMENTAL - Utiliza o comportamento humano e suas avaliações giram em torno do comportamento individual ou coletivo,
possibilitando vários enfoques, dentre os quais se destacam: a susceptibilidade do indivíduo aos acidentes; e a concepção psicodinâmica, para
a qual os acidentes decorrem de condições inseguras ambientais que levam ao erro humano.
EPIDEMIOLÓGICO - A ênfase recai sobre a procura das causas dos acidentes e, com esse intuito, são percorridas as condições inseguras que
levam às falhas humanas etc., colhendo-se dados estatísticos gerais. Esse método sugere múltipla causalidade e age primariamente como
elemento de seleção.
SISTEMAS - Para esse modelo, o acidente seria causado pela produção anormal do sistema homem-máquina e tem as suas causas
individuais estudadas dentro do conjunto do sistema trabalho, cujos fatores se entrelaçam e se autorregulam. O sistema completo de trabalho
seria a execução da operação: indivíduo x material x tarefa x ambiente.
INCIDENTES CRÍTICOS – Esse modelo estuda os quase-acidentes, ou os incidentes considerados críticos, que poderiam conduzir a um acidente.
Assim, os acidentes são investigados por meio de uma metodologia na qual se realizam entrevistas (anônimas) com os indivíduos para a
formulação de um relatório a ser processado, analisado e discutido pela EST a fim de que sejam tomadas as medidas preventivas necessárias.
A primeira divisão das metodologias para identificação de riscos é decorrente da

escolha do objeto central de análise. Nesse sentido, pode-se afirmar que os métodos
cujo enfoque recai sobre a segurança nos locais de trabalho podem estar centrados no
trabalho ou nos empregados, embora existam métodos que tentem combinar essas duas
propostas.
Os métodos centrados nos empregados postulam que um ambiente seguro pode ser
criado e mantido ele por eles, desde que sejam motivados a desempenharem as suas
funções com segurança. O incentivo pode ser obtido por meio de maior participação
50
nas decisões relativas à segurança, à melhoria da comunicação interna e à sensação de

respeito com honestidade de abordagem.
Nesse sentido, deve-se falar abertamente ao empregado, coisas do tipo: use este
Equipamento de Proteção Individual (EPI) que não é eficaz, mas em 4 meses, conforme
PPRA, entrará em funcionamento o captador de pó ou a empresa não implantará
Equipamentos de Proteção Coletiva (EPC) e você usará EPI como paliativo. Essas
ações visam a motivar os empregadores a reconhecerem o seu meio ambiente e as suas
relações diante dos subalternos que não podem dizer não exposição. Trabalhador pode
ser ignorante, mas não é bobo: sabe quando é tratado com respeito e honestidade.
Em relação aos métodos de abordagem centrados no trabalho, a literatura sobre

segurança do trabalho diz que eles têm como ênfase a correção das deficiências nos
locais de trabalho por meio da engenharia. Nesses métodos, é comum o emprego de
técnicas como a supervisão severa, incentivos materiais, pecuniários ou a concessão
de folgas. Também são usados treinamentos visando a dotarem os trabalhadores dos
conhecimentos necessários para o reconhecimento de riscos de acidentes a que serão
subordinados e para a operação correta dos equipamentos.
Ainda, são usados avisos e outras formas de comunicação, mostrando e enfatizando

os riscos de acidentes de trabalho e as suas consequências. Essa abordagem tem como
objetivo definir a forma menos insegura para se realizar o trabalho, uma vez que a EST
já sabe do nível de insegurança. Logo após, os trabalhadores são treinados de acordo
com definições estabelecidas, e um rígido controle é exercido sobre a obediência às
normas de segurança.
Deve-se realizar o estudo dos riscos por intermédio de levantamento de dados relativos
às condições ambientais e as suas relações com os meios naturais, sociais e técnicos
que envolvem o trabalhador e o relacionam com os demais agentes – o empregador
e colegas – e com os instrumentos de trabalho. As condições de vida do funcionário
também são levantadas por meio de entrevistas que abordam vários aspectos, inclusive
a vida familiar.
Esse método permite tirar conclusões, tanto a respeito de como o trabalho e as

condições de vida podem predispor o funcionário a doenças e a acidentes no trabalho,
como possibilita o diagnóstico dos pontos críticos – ao nível de seção de trabalho –
apontando a ordem de prioridades para o encaminhamento da solução dos problemas
encontrados. Isso, levando em conta a possibilidade de implantação de soluções.
51
A filosofia de que os acidentes também poderiam gerar danos à propriedade (acidentes

sem lesões) foi introduzida por Heinrich, a partir de 1931. Nos estudos que realizou,
Heinrich conseguiu demonstrar que, para cada acidente com lesão incapacitante, havia
29 acidentes que produziam lesões não incapacitantes (leves) e 300 acidentes sem lesões.
Durante o período de 1959 a 1966, o engenheiro Frank Bird Jr. empreendeu uma
pesquisa na qual analisou mais de 90 mil acidentes ocorridos em uma empresa
siderúrgica americana, e atualizou a relação estabelecida por Heinrich, desenvolvendo
a proporção 1:100:500. Ou seja, para cada lesão incapacitante, existiam 100 lesões não
incapacitantes e 500 acidentes com danos à propriedade (CICCO, 1994).
Os dados obtidos permitiram que Bird desenvolvesse a sua teoria intitulada de Controle
de Danos. Um programa de Controle de Danos é aquele que requer a identificação,
registro e investigação de todos os acidentes com danos à propriedade, e a determinação
do seu custo para a empresa. Além disso, todas essas medidas deverão ser seguidas de
ações preventivas.
Ao se implantar um programa de Controle de Danos, um dos primeiros passos a serem

adotados é a revisão das regras convencionais de segurança, as quais estão voltadas
apenas para a questão das lesões. Desse modo, as regras devem ser ampliadas com o
objetivo de abranger os danos à propriedade, e essas alterações devem envolver desde
a alta direção da empresa até o corpo funcional, pois todos deverão saber que regra foi
mudada e qual a razão da mudança.
Ainda, é importante que qualquer pessoa envolvida no programa compreenda que,

para este ser bem-sucedido, será necessário um período, devidamente planejado, de
comunicação e educação com o intuito de mostrar a gravidade de não se informar
qualquer acidente com dano à propriedade que venha a ocorrer na empresa.
O Engº Bird ainda ampliou o seu referencial de estudo analisando acidentes ocorridos
em 297 empresas, as quais representavam 21 grupos de indústria diferentes, com um
total de 1.750.000 operários que trabalharam mais de 3 bilhões de horas durante o
período de exposição.
Esses dados podem ser melhores visualizados observando a Figura 11. Para cada acidente
com lesão incapacitante, havia 10 acidentes com lesões leves, 30 acidentes com danos
à propriedade e 600 acidentes sem lesão ou danos visíveis (quase-acidentes), cuja dá
1:10:30:600.
52
Figura 15. Comparação entre Heinrich e BIRD
Fonte: Bastias, 1977.
Com tais evidenciações, nasceu assim a teoria prevencionista, todavia com um pseudo
pressuposto – ato inseguro – que em muito atrapalha os sistemas de gestão e o
desenvolvimento da engenharia de segurança do trabalho. Esse erro histórico do ato
inseguro, ainda impregnado, aos poucos vem sendo varrido, como a seguir discorrido.
53
CAPÍTULO 6
A condição insegura do ato inseguro: o
mito
Acidentes de trabalho são eventos influenciados por aspectos relacionados à situação

imediata de trabalho como o maquinário, a tarefa, o meio técnico ou material, e também
pela organização do trabalho e pelas relações de trabalho.
A obra de Almeida (2010), citando o trabalho de Reason, Carthey e de Leval (2001),

demonstra que a visão obsoleta da EST leva a atribuição de culpa ao próprio acidentado,
devido ao fato dos processos investigativos considerarem que algumas organizações
são mais propensas a sofrer acidentes do que outras, devido ao que eles chamaram de
Síndrome do Sistema Vulnerável.
Essa Síndrome é composta por três elementos que interagem e que se autoperpetuam:
a atribuição de culpa aos indivíduos da linha de frente, a negação da existência de erros
sistêmicos provocando seu enfraquecimento e a perseguição cega (blinkeredpursuit)
de indicadores financeiros e de produção.
A visão equivocada das reais causas dos acidentes do trabalho também provém da
literatura técnica nacional que promove a cultura e a visão ultrapassada sobre o tema,
como se pode ver em Ayres & Correa (2001), que demonstram este entendimento
distorcido sobre acidente de trabalho ao mostrar as causas dos acidentes somente pelo
enfoque legal, sem realmente abordar a complexidade do assunto.
Destaque-se ao cursista sobre a armadilha ideológica da culpabilização da vítima,

pois no meio técnico-industrial vigora uma visão reducionista e tendenciosa de que os
acidentes do trabalho possuem uma ou poucas causas, decorrentes em sua maioria de
falhas dos operadores (erro humano, ato inseguro, comportamento fora do padrão etc.,
ou falhas técnicas materiais, normalmente associadas ao descumprimento de normas e
padrões de segurança).
Ele profissionais que já incorporavam uma visão crítica a respeito da atribuição de

culpa às vítimas, ainda operam com uma visão que reduz a análise do trabalho e de
seus riscos à presença ou ausência de fatores de risco (exemplo: máquina desprotegida;
trabalho em altura sem proteção, etc.) ou ainda pelo cumprimento ou descumprimento
de normas ou padrões de segurança.
54
Esta explicação “fatorial” é atrativa, mas igualmente impotente para explicar o processo
causal dos acidentes. Estas abordagens afetam negativamente a prevenção uma vez que
deixam intocados os determinantes desses eventos.
Para compreender o acidente é necessário entender no que consiste o trabalho, sua

variabilidade, como ele se organiza, quais as dificuldades para sua realização com sucesso
pelos operadores, os mecanismos e o funcionamento das proteções, entre outros. Essa
compreensão é impossível sem a cooperação e participação dos trabalhadores e equipe
envolvida, o que implica em dificuldades adicionais quando se trata de ambientes
autoritários de trabalho ou de acidentes fatais. Toda essa complexidade implica a
necessidade de desenvolver competências e metodologias específicas tanto para a
análise como para a intervenção de caráter preventivo (ALMEIDA, 2010).
A condição insegura que determina a insalubridade, a penosidade e a periculosidade

decorre do meio ambiente do trabalho que foi pensado, estruturado, ou por qualquer
outra contingência, foi dessa forma organizado. O trabalhador comparece nesse
ambiente porque é obrigado, por força do estatuto jurídico (privado ou público), a
se sujeitar a tais condições. O trabalhador, fora o autônomo, não faz o que quer, mas
aquilo que mandam fazer.
Diga-se, de passagem, que essas situações produtivas são artificiais e definidas pelo
modo de produção, bem assim entendidas fazem parte do pacto social de admissibilidade
da exceção, segundo o qual alguns sofrerão o perigo, o insalubre e o penoso em prol do
conforto, sustentação e sobrevivência da maioria que outorga, em última análise, tal
sentença: adoecer, matar ou admoestar.
Posta essa admissibilidade da exceção, tem-se que a equivocada doutrina trabalhista

é uníssona em afirmar que existem dois tipos de situações que causam acidentes: a
condição insegura (origem no meio ambiente do trabalho, natureza organizacional) e o
ato inseguro (produzido pelo ser humano, natureza comportamental).
Segundo essa doutrina, os atos e condições inseguras são fatores que, combinados
ou não, desencadeiam os acidentes do trabalho. São, portanto, as causas diretas dos
acidentes. Assim, pode-se entender que prevenir acidentes de trabalho, em síntese, é
corrigir condições inseguras existentes nos locais de trabalho, não permitir que outras
sejam criadas e evitar a pratica de atos inseguros por parte das pessoas. Tanto as
condições como os atos inseguros têm origem mais remotas, em causas indiretas. Esses
fatores indiretos, porém, podem ser atenuados ou eliminados, de modo a evitar que os
últimos elos da cadeia – atos e condições inseguras – venham propiciar a ocorrência de
acidentes ou pelo menos que essas ocorrências se tornem cada vez mais raras16.
55
Esse autor refuta peremptoriamente essa classificação. Sem dúvida imprópria,

impertinente e ideologicamente enviesada. Nesse tópico, além de expor motivos para
essa refutação, apresenta-se uma classificação substituta. (OLIVEIRA, 2011). Por
definição, o ato praticado pelo empregado, em suas sãs faculdades mentais, é um ato
subordinado ao empregador mediante sistema administrativo de poder, corroborado
pela força coercitiva decorrente do contrato de trabalho, ou estatuto. Qualquer que seja
a atitude do empregado, esta se insere nos domínios do empregador que o dirige.
Assim na listagem exemplificativa, segundo essa corrente equivocada dos atos inseguros,
se colocam atitudes como descritos na Figura 16.
Figura 16. Condições Inseguras do Meio Ambiente do Trabalho e o Mito do Ato Inseguro.
Ora, admitir que o trabalhador pratique ato inseguro é, pela via direta, assumir e
configurar algum tipo de desvio por parte do patrão e seus prepostos. Todos os verbos
levados a efeito pelo empregado na Figura 16, o são por alguma razão decorrente da
vontade do empregador (e seus prepostos), inclusive por desídia, falta de vigilância,
negligência, ausência de gerenciamento, descuido com a coisa privada, descaso com o
lucro, periclitação com o patrimônio do patrão.
Admitir o ato inseguro do empregado é dizer que o patrão não manda nele. Um
absurdo jurídico trabalhista. Seria equivalente a um furto no ambiente do trabalho no
qual o trabalhador subtrai vários itens do estoque e a empresa não o adverte ou pune.
Apenas classifica essa ocorrência de furto como ato inseguro do seu empregado!
(OLIVEIRA, 2011)
56
Sim, a comparação com furto de produto da empresa não é à toa. Existe conexão
entre os argumentos. O empregado que comete ato inseguro, segundo a doutrina
de culpabilização do empregado – aquela mesma da epiização – furta a si ele sob a
autorização do empregador.
No bojo do argumento do absurdo, é inadmissível cogitar a existência do ato inseguro

exatamente pela aberração da inversão dos polos segundo o qual o empregado é quem
manda, define, estabelece, orienta o empregador. Este último é mero expectador, apesar
de ser o proprietário e responsável último por tudo que acontece em seus domínios.
Sem dúvida esse raciocínio, infelizmente dominante, só se sustenta pela perspectiva
ideológica. Eis o viés. Eis o mito.
Nessa conformação só há um único ato inseguro: aquele praticado (ação ou omissão) pelo
empregador. O meio ambiente do trabalho pertence – é definido, explorado, negociado
– ao proprietário cujas condições de operações são sempre de sua responsabilidade.
Para isso que existe a organização, para assegurar recursos, meios, metas, objetivos
aos desígnios e vontades dos proprietários do negócio. Portanto, as condições do meio
ambiente do trabalho são sempre organizacionais, podendo ser seguras ou inseguras.
As condições organizacionais seguras permitem a integridade patrimonial, eficiência

do processo produtivo, alinhamento de condutas dos gestores ou de seus empregados,
sendo verdadeiro o inverso, no tocante àquelas condições inseguras, segundo as quais o
empregador também sofre, respectivamente, desfalques, desvio, furtos e malversação
do dinheiro privado; desperdício e retrabalho no processo produtivo; condutas
estranhas à vontade do empregador por parte do executivos, gerentes e empregados.
(OLIVEIRA, 2011)
As técnicas de análise de risco são utilizadas exatamente para conferir ao empresário

a confiabilidade sobre tais condições, que – em função da vontade política da empresa
– poderão se tornar mais ou menos seguras mediante implementação de sistema de
gestão, que inclusive diz à máquina, em linguagem metafórica, que não cometa, por
exemplo, atos inseguros de soltar os parafusos, operar sem lubrificação, atritar demais
as partes móveis.
Esses desvios do sistema organizacional, se fosse fazer paralelo e seguir a doutrina

do ato inseguro, seriam divididos em atos inseguros da máquina, da contabilidade e
condições inseguras do patrão?
Parece óbvio a resposta. Tudo decorre do patrão. Não parece razoável imputar à
máquina, à contabilidade e muito menos ao empregado vontades próprias, pois todos
esses casos decorrem da vontade (ação ou omissão) manifestada pelo sistema gerencial
57
por ele engendrado. Ou seja, todos esses atos inseguros decorrem, são produzidos,
permitidos, consentidos apenas, e tão-somente, pelas condições (seguras ou inseguras)
estabelecidas pelo empregador, proprietário (e seus prepostos).
Existem várias técnicas de análise de risco, tais como: a série de risco, a análise
preliminar de risco, a análise e revisão de critérios, a análise da missão, os diagramas
e análise de fluxo, o mapeamento, a análise do ambiente, a análise de modo de falhas
e efeitos, análise de componentes críticos, a técnica de incidentes críticos, a análise de
procedimentos, a análise de contingências e a análise de árvore de falhas. Dentre essas,
existem técnicas para:
O uso adequado das técnicas de análise de risco é função de algumas particularidades

de cada técnica, podendo fazer uso de mais de uma ferramenta ao ele tempo. A partir
dessas técnicas, é possível mensurar quão insegura é condição ambiental de trabalho.
É para isso que a engenharia comparece: prenunciar o acidente. Com uso ostensivo
dos fundamentos matemáticos se fazem previsão de perdas (estatística, probabilidade,
confiabilidade, álgebra booleana).
Logo, assumir o ato inseguro é atestar a falência do sistema de gestão, porque em

estudos com análises do tipo Análise de Árvore de Eventos – AAE, Análise por
Diagrama de Blocos – ADB, Análise de Causas e Consequência – ACC, Análise de
Modos de Falha e Efeitos – AMFE e Análise de Árvore de Falha – AAF, acima indicadas,
o empregador identifica quais as vulnerabilidades e as ataca para ser furtado, para
não haver desfalque de estoque, para definir sistemas de redundâncias nos circuitos
críticos dos equipamentos, plantas, máquinas, processos; para assegurar enfim a saúde
patrimonial. Para aprofundar esse tópico, vide capítulo próprio sobre técnicas de análise
de atribuição específicas do EST.
O Ato inseguro do empregado é mito porque parte de uma premissa falsa (ausência de
poder diretivo do empregador) para chegar a uma conclusão estapafúrdia (o dano não
58
é empresarial). Fica claro que não existe ato inseguro do empregado, da máquina ou da
contabilidade, mas sempre, condições organizacionais inseguras para pane de
máquina; desvio e desfalques de dinheiro (patrimônio); lesão corporal por acidente do
trabalho. (OLIVEIRA, 2011)
Ato inseguro do empregado é uma falácia fruto de uma doutrina inconsistente e sem
fundamentos. O autor oferece uma nova classificação ao discriminar abaixo as espécies
do gênero, condições organizacionais inseguras, a saber.
Condição insegura estrito senso
Consiste em irregularidades ou deficiências existentes no ambiente de trabalho

(organizacionais) que constituem riscos para a integridade física do trabalhador e para
a sua saúde, bem como para os bens materiais da empresa.
Alguns exemplos: falta de limpeza e ordem no ambiente de trabalho, bem como

máquinas e equipamentos sem proteção ou a segurança jampeada;
»» falta de proteção em máquinas e equipamentos;
»» deficiência de maquinário e ferramental;
»» passagens perigosas;
»» instalações elétricas inadequadas ou defeituosas;
»» nível de ruído elevado;
»» proteções inadequadas ou defeituosas;
»» defeitos nas edificações;
»» iluminação inadequada;
»» piso danificado;
»» risco de fogo ou explosão;
»» alta cobrança por resultado;
»» ritmo excessivo;
»» constrangimento e assédio moral.
59
Condição insegura lato senso (mito do ato

inseguro)
Toda condição organizacional que permite, enseja, autoriza, consente, incentiva o

trabalhador tomar decisões, como se patrão fosse, capaz de provocar dano ao si ele,
aos seus companheiros ou às máquinas, materiais e equipamentos, decorrentes da
falta de vigilância (culpa in vigilando) ou por má eleição (culpa in elegendo) por parte
do empregador que levem a situações de (falha humana) relacionadas à imprudência,
imperícia ou negligência do empregador quanto à gestão do meio ambiente do trabalho.
Alguns exemplos de condições organizacionais inseguras que levam o trabalhador a

consumar o risco: excesso de trabalho; horas-extras; pausas insuficientes; exigência de
pressa; estímulo à iniciativa (armengue), à criatividade e à improvisação (gambiarra);
exigência de perseverança (teimosia).
Demais fatores organizacionais que levam, direta ou indiretamente, muitas vezes

sutis e sub-reptícios, aos problemas de saúde, às vezes familiares (falta de tempo para
família, escalas e turnos que inviabilizam vida social) agravados, desencadeados ou
causadores de dívidas, descontrole financeiro, alcoolismo, uso de substâncias tóxicas
que concorrem, predispõe, facilita ou até mesmo desdobra em acidente do trabalho.
A prova cabal dessa condição insegura (lato senso) vem com a frequência de casos
acidentários para mesma explicação: culpa da vítima! A explicação dos doutrinadores,
que sustentam o ato inseguro como real, raciocina como se todos acidentados
compartilhassem das mesmas agruras e que, portanto, o fato de trabalhar naquele
ambiente se deve ao acaso por efeito singelo da mera coincidência.
Por esse raciocínio absurdo, seria o ato inseguro a explicação da culpa do trabalhador
acidentado devido às complicações do alcoolismo mesmo em se tratando de degustador
de bebidas alcoólicas em uma fábrica de cerveja ou conhaques; devido à diabetes
ocupacional em confeiteiro chocólatra empregado no setor de controle de qualidade
de uma fábrica de chocolates; ou transtornos mentais em profissionais da saúde,
consumidores de drogas ilícitas, envolvidos com substâncias entorpecentes (lícitas)
administrados a pacientes ou por força de ofício (éteres, morfinas, psicotrópicos em
geral); ou ainda, sobrepeso, dorsopatia e hipertensão arterial (todos ocupacional) em
motorista de ônibus urbano cuja dieta, posição ao volante e ritmo e stress de trabalho o
levam à insônia, ao uso de drogas, todavia apenas por questões pessoais que independem
da forma como o trabalho é organizado. (OLIVEIRA, 2011)
Isso não quer dizer que todos os casos são condições inseguras do meio ambiente
do trabalho. Obviamente que há situações – que de tão raras não merecem um item
60
taxonômico nesta classificação – segundo as quais todos os elementos de causação,

direta e indireta, relacionados à organização do meio ambiente do trabalho foram
excluídos como fatores de risco predisponentes ou facilitadores do agravo à saúde do
trabalhador. Nesse caso, depois de exauridas todas as etapas das técnicas de análise
de risco discorridas, seria possível afirmar a existência de deslinde idiossincrático
decorrente de elementos personalíssimos deste ou daquele trabalhador.
Por último, a abordagem aqui estruturada estimula ao final a elaboração de uma síntese
explicativa do processo causal em busca dos determinantes do acidente – as causas
latentes ou causas das causas – normalmente situadas em falhas gerenciais, de práticas
de divisão de trabalho, de gestão de manutenção, de logística, de gestão de atrasos de
produção, de gestão de projetos, de falhas na gestão de pessoal, de materiais, de adequação
de demandas a recursos existentes; de perdas de oportunidade de aprendizagem com
episódios anteriores que deveriam ter sido detectados e interpretados como avisos de
que o acidente se aproximava e de outras condições organizacionais.
A abordagem sistêmica adotada opõe-se a leitura linear e reducionista predominante

em nosso meio e, em especial, ao tratamento dado aos acidentes em rotinas de
Serviço Especializado em Engenharia de Segurança e em Medicina do
Trabalho (SESMT), o que pode explicar as incompreensões e conflitos por parte de
seus profissionais e gestores de empresas, diante das conclusões das análises assim
embasadas.
61
CAPÍTULO 7
Engenharia de segurança de sistemas
Prosseguindo o trabalho iniciado pelo Engenheiro Bird, e partindo do pressuposto

de que os acidentes que resultam em danos às instalações, aos equipamentos e aos
materiais têm as mesmas causas básicas daqueles que resultam em lesões. John A.
Fletcher, em 1970, propôs o estabelecimento de programas de Controle Total de Perdas,
cujo objetivo maior é reduzir ou eliminar todos os acidentes que possam interferir ou
paralisar um sistema. (FARBER, 1991)
De acordo com a proposta de Fletcher, o Controle Total de Perdas deve ser concebido de
modo que permita a eliminação de todas as fontes que possam interromper um processo
produtivo, por lesão, dano à propriedade, incêndio, explosão, roubo, vandalismo,
sabotagem, poluição da água, do ar, do solo, doença do trabalho ou defeito do produto.
A partir de 1972, surge uma nova abordagem na questão de prevenção de perdas.

Essa abordagem, fundamentada nos trabalhos desenvolvidos por Willie Hammer, foi
denominada de Engenharia de Segurança de Sistemas e ampliou o escopo da atuação
do prevencionismo, pois as empresas passaram a ser visualizadas dentro de um enfoque
sistêmico (BASTIAS, 1977).
Um sistema17 é caracterizado por ser um conjunto integrado de partes, íntima e

dinamicamente relacionadas, que desenvolve uma atividade ou função e é destinado
a atingir um objetivo específico. Todo sistema integra um sistema maior, chamado
suprassistema, e é formado por sistemas menores ou subsistemas. (KLETZ, 1999)
Esse conceito mostra que as empresas podem ser consideradas como um sistema social
aberto, visto que interagem com o ambiente externo. Nessa interação, as empresas
recebem insumos (inputs) e os transformam em bens e/ou serviços, por meio das
relações intra-organizacionais (ambiente interno), que são ofertados ao mercado
consumidor (outputs) e dele recebem informações (feedback) que vão influenciar o
comportamento geral do sistema.
Essa visão sistêmica das organizações possibilitou que outra perspectiva fosse inserida
no prevencionismo, fazendo com que ele passasse a contemplar os eventos ou fatos
antecessores à concretização dos acidentes, possibilitando que as ações preventivas
adotadas pelas empresas não fossem mais apenas baseadas em “tentativas e erros” ou
em avaliações pós fato das causas que produziram o acidente.
62
Isso permite evitar a formalização dos acidentes e, consequentemente, a ocorrência de

inúmeros prejuízos ao patrimônio empresarial, uma vez que ele fica resguardado de
situações geradoras de efeitos indesejados.
Deve-se considerar que os eventos ou fatos antecessores são os “quase-acidentes”

abordados por Bird, e que agora são definidos como incidentes críticos. Trata-se,
portanto, de uma situação ou condição com potencial para provocar dano, mas que não o
manifesta. A importância do enfoque sobre os incidentes críticos encontra respaldo nos
resultados das pesquisas desenvolvidas sobre eles, como a realizada em uma indústria
manufatureira de New Jersey. Suas conclusões mostram que os erros e as condições
inseguras detectadas nos “acidentes sem lesão” eram os eles que desencadeavam os
acidentes com lesões. (CICCO, 1994)
Também foi apurado que os futuros acidentes com lesões e/ou danos materiais poderiam
ser prenunciados analisando-se os quase-acidentes. Deve-se observar, no entanto, que
os incidentes críticos poderão ocorrer várias vezes, antes que as variáveis envolvidas
configurem as condições que levem ao acidente em termos de danos materiais e/ou
lesões. (CARDELLA, 1989)
As empresas podem ter objetivos distintos como a produção de utilidades, satisfação

de necessidade ou o cumprimento de uma função social. Todas elas devem oferecer as
seguintes características básicas:
»» qualidade: representada principalmente pelo conjunto de variáveis que

buscam atender às necessidades ou exigências dos consumidores;
»» custo: compatível com a qualidade mínima ótima assumida;
»» oportunidade: o produto deve estar no lugar certo, na hora certa,

atendendo critérios de confiabilidade de prazos de entrega;
»» prestígio: confiabilidade de um produto ou subsistem numa tradição

social adquirida.
Todo sistema contem vários subsistemas básicos e a definição desses subsistemas traz
um auxílio quando se quer pesquisar riscos específicos dentro de cada subsistema.
A adoção de medidas corretivas também se torna mais fácil e mais clara quando
identificamos os vários subsistemas responsáveis por uma tarefa. São os seguintes
subsistemas fundamentais, não se limitando a estes dependendo do sistema em questão:
»» subsistema de potência: é responsável pela energia gasta na execução

da tarefa: energia térmica, elétrica, eólica, química, solar;
63
»» subsistema de controle: é que fixa os valores padrões de conformidade

dos produtos ou serviços do sistema;
»» subsistema sensor: são os sensores para detectar condições ou eventos

específicos, podendo ser formado por componentes ou pessoas;
»» subsistema de operação: é o cérebro do sistema, responsável por

processar diversas informações, respondendo a estímulos específicos;
»» subsistema de comunicação: permite a informação fluir no sistema;
»» sistema estrutural: é o que une e suporta todo o sistema ou partes do

sistema, restringindo-os;
»» subsistema ambiental: consiste no somatório dos ambientes a que

estão submetidos os subsistemas;
»» subsistema motriz: é aquele capaz de fornecer uma condição cinética

ao sistema.
A busca da melhoria contínua na empresa requer ir além da garantia de conformidade

dos produtos e serviços, atinge também a denominada Garantia da Qualidade em
sentido amplo, assim entendida como um conjunto de ações planejadas e sistemáticas
visando a gerar no cliente a confiança de que um determinado produto ou serviço
poderá satisfazer suas exigências de qualidade. (FILIPE, 1986)
Não basta produzir de acordo com uma rotina implantada, é preciso, além disso,
garantir que aquilo foi planejado efetivamente satisfaz as expectativas do cliente. O
caminho para a obtenção da garantia da qualidade se inicia muito antes da implantação
da rotina de produção, começa na etapa de concepção e projeto do produto ou serviço e
dos correspondentes processos de execução ou fabricação.
64
CAPÍTULO 8
Aspectos conceituais da análise de
acidentes
É comum apresentar o acidente como o encontro entre pessoa exposta e um determinado

perigo, que estava sob controle no sistema, cuja nocividade potencial se libera ou se se
descontrola por ocasião do acidente. Essa compreensão é adotada em alguns modelos
de acidentes e passa a servir de guia para a condução de análises.
Caberia ao EST, encarregado dessas análises, descrever o encontro e os demais

componentes representados no modelo de acidente, como o perigo e suas
origens; o fator que dispara o descontrole presente no acidente do trabalho
(DUMAINE, 1985).
A noção de perigo também aparece associada à noção de barreiras. O EST encarregado

da gestão de segurança deveria conduzir análises de riscos de modo a identificar a
priori os perigos do sistema e recomendar a instalação de barreiras de modo a evitar
sua participação em acidentes.
Por sua vez, na análise de acidentes, esse ele conhecimento seria usado de forma
retrospectiva. Primeiro: o acidente acontece quando o sistema não instalou barreira
específica para o perigo em questão. Segundo: o acidente acontece quando a barreira
ou defesa existente para evitá-lo, falha. Nos dois casos, ausência e falha de barreiras
devem ser analisadas de modo a esclarecer suas origens. Em outras palavras, o que
explica que as barreiras necessárias não tenham sido instaladas ou tenham falhado? E
assim sucessivamente.
Gravata-Borboleta
Mais recentemente, a representação dos acidentes como gravatas – borboletas,

conforme a Figura 17 amplia o perímetro da análise e da prevenção. As barreiras
instaladas no lado esquerdo da gravata visariam evitar ou prevenir acidentes. Aquelas
localizadas à direita teriam a finalidade de proteger pessoas e bens, de evitar ou
minimizar consequências do acidente (HALE, 2007).
65
Figura 17. Modelo Gravata-Borboleta
Fonte: Cardela, 1989.
Por sua vez, a noção de Vigilância em Saúde do Trabalhador ( VST ) compreendida

pelas atribuições do EST estimula as equipes de análise a, sempre que possível,
ampliarem suas ações para além dos limites da identificação dos perigos e riscos
representados na gravata borboleta. A abordagem da VST é compreendida como
processo que busca identificar e atuar em três fases distintas dos ciclos de perigos e
riscos (ALMEIDA, 2010):
I. a histórica, ou de criação ou origem de Sistemas Sociotécnicos Ambientais

(SSTA) abertos que introduzem novos perigos e riscos na sociedade;
II. a operacional, ou das exposições dos trabalhadores que operam os SSTA

aos perigos e riscos neles presentes;
III. a das consequências, que lida com os danos e lesões ocorridos durante a
fase operacional.
Faz-se necessário desenvolver reflexões sobre a criação ou introdução de novos perigos

e riscos e a busca de aperfeiçoamentos seja dos marcos regulatórios adotados, seja das
escolhas políticas relativas aos modelos de crescimento ou desenvolvimento econômico
assumidos no território.
Em termos práticos, isso significa que em toda análise de acidente as equipes envolvidas
devem explorar a possibilidade da existência de escolhas de política econômica ou
lacunas da legislação (econômica, importação de máquinas e equipamentos, gestão
de segurança, resposta de emergência, etc.) que tenham contribuído para a criação do
perigo / risco, persistência da situação de exposição e ou instalação de consequências
do ocorrido.
66
Queijo suíço – barreira e falhas
A ideia de “buracos” em barreiras foi usada por James Reason (1997) ao representar
o acidente por uma sucessão de fatias de um queijo suíço. O acidente é descrito como
evento que, uma vez acontecendo, consegue ultrapassar todas as barreiras adotadas
no sistema para evitá-lo. Isso aconteceria porque os “buracos” existentes nessas
barreiras estariam alinhados, permitindo o livre fluxo do acidente. Na maioria das
vezes, naqueles sistemas que executaram a contento a análise de riscos e a instalação
de barreiras adequadas esse alinhamento não existe e uma ocorrência que ultrapasse
uma determinada barreira é bloqueada pela seguinte. A sequência de figuras abaixo
ajudam a visualizar a ideia.
Figura 18. Modelo de representação de acidente por uma sucessão de fatias de um queijo suíço –
(Reason,1997)
Figura 19. Alinhamento de falhas em sucessivas barreiras: acidente do trabalho
Fonte: Reason, 2000.
67
Figura 20. Modelo de representação das deficiências do sistema de gestão – (REASON 1997)
Fonte: Reason (com adaptações)
68
CAPÍTULO 9
Aspectos financeiros e econômicos da
gerência de riscos
As medidas de mitigação recomendadas em um Gerenciamento de Riscos têm intuito

de melhorar as condições de segurança do empreendimento, conferindo maior
proteção contra eventos indesejáveis, podem trazer sérias implicações quanto à
continuidade da atividade, dificultando o cumprimento dos compromissos públicos e,
consequentemente, podendo vir a comprometer, a imagem da empresa e até ele sua
continuidade. Pergunta-se, muitas vezes, se a adoção das medidas de mitigação, dentro
de um criterioso programa de ação, é suficiente para que se tenha os riscos sob controle
e, sobretudo, se possa dispensar a contratação de coberturas de seguro.
Invariavelmente, a resposta dessas questões está intimamente ligada à qualidade

dos controles que a empresa exerce sobre os riscos, a experiência particular com
ocorrências acidentais anteriores, a constante supervisão dos processos, manutenção,
operação e segurança. Muitas vezes, o nível de investimentos em mitigação pode estar
até ele superdimensionado, fruto de não se ter realizado uma priorização de medidas,
previamente. Portanto, qual o limite dos investimentos em mitigação dos riscos?
Ao longo do tempo, compilando os investimentos em prevenção de perdas e os gastos

relativos aos prejuízos com sinistros de uma empresa, e na sequência os plotando, ter-
se-ia algo parecido com o apresentado pela figura 21.
Figura 21. Gráfico de gastos prevenção de perdas e os gastos relativos aos prejuízos com sinistros
69
Se a empresa estiver, por exemplo, no ponto 1, os valores dos prejuízos com sinistros
são bem mais significativos do que os gastos com as mitigações dos riscos que deram
origem a estes sinistros, isso implica que a empresa deve, ao longo do tempo, promover
maiores investimentos no combate às probabilidades de ocorrência de sinistros e,
também, prover recursos materiais, humanos e financeiros para minimizar as perdas
oriundas da materialização dos sinistros.
Figura 22. Fluxo de controle de perdas
70
ANÁLISE DE
RISCOS: REVISÃO UNIDADE III
SISTÊMICA
A palavra riscos deriva do italiano antigo resicare, que significa ousar. Nesse sentido,
risco é uma opção e não um destino. Correr riscos faz parte da história antiga e sua origem
no sistema de numeração indo-arábico alcançou o ocidente há cerca de setecentos a
oitocentos anos (BERNSTEIN, 1997).
Segundo Molak (1997), as aplicações de riscos são muito antigas e, provavelmente,

surgiram ao redor de 3200 a.C. no vale dos rios Tigre-Eufrates, quando um grupo
chamado Asipu serviu como consultor para traduzir os sinais dos deuses para pessoas
que trabalhavam com riscos, incertezas ou dificuldades de decisões.
Uma importante linha que originou a moderna Análise de Riscos quantitativa pode
ser direcionada às primeiras ideias religiosas referentes às probabilidades de vida
pós-morte. Isso dificilmente seria uma surpresa, considerando-se a importância e a
seriedade dos riscos envolvidos (pelo menos, para os verdadeiros crentes). A partir de
Phaedo de Platão, no século 4 a.C., numerosas obras foram escritas discutindo os riscos
das almas após vida, baseados na conduta que os seres tiveram no mundo (COVELLO
e MUMPOWER, 1985).
Uma das mais sofisticadas análises sobre o tema foi realizada por Arnobius, o Velho,
que viveu no século 4 depois de Cristo, no norte da África. Pode-se considerar Arnobius
a maior figura da igreja pagã que esteve competindo, ao ele tempo, com a inexperiente
igreja cristã. Membros da igreja de Arnobius, que mantiveram um templo completo
para Vênus com sacrifícios de virgens e templos de prostituição, levaram uma vida
decadente em comparação a das pessoas ligadas ao cristianismo austero.
Arnobius zombou dos cristãos no que diz respeito ao tipo de vida que levavam, por
abnegarem a sua própria personalidade, mas, depois de uma visão reveladora, renunciou
às suas crenças e tentou se converter ao cristianismo. O bispo da igreja católica suspeitou
dos motivos de Arnobius e da sinceridade da sua conversão, recusando a ele o rito do
batismo. Em uma tentativa de demonstrar a autenticidade da sua conversão, Arnobius
escreveu uma monografia intitulada Contra os pagãos.
71
UNIDADE III │ ANÁLISE DE RISCOS: REVISÃO SISTÊMICA
Nesse trabalho, Arnobius propôs vários argumentos pró-Cristianismo, um dos quais é

particularmente relevante para a história da Análise de Riscos probabilística. Depois de
discutir os riscos e incertezas associados às decisões que afetam um espírito, Arnobius
sugeriu uma matriz 2 x 2. Dessa forma, ele expôs duas alternativas: aceita o Cristianismo
ou permanece como um pagão.
Ele também discutiu duas possibilidades: Deus existe e Deus não existe. E chegou à
seguinte conclusão: se Deus não existe, não há diferença entre as duas alternativas.
Entretanto, se Deus existe, ser um Cristão é muito melhor à alma do que ser um pagão.
O argumento de Arnobius marca a primeira aparição registrada do princípio de

dominância, uma heurística para tomar decisões sob condições de riscos e incerteza.
Blaise Pascal introduziu a teoria da probabilidade em 1657 e uma de suas primeiras
aplicações foi estender a matriz de Arnobius.
Dada a distribuição de probabilidade para a existência de Deus, Pascal concluiu que o

valor esperado de ser cristão era maior do que o valor esperado de ser ateu. Em 1692,
John Arbuthnot argumentou que a probabilidade de causas potencialmente diferentes
de um evento podia ser calculada. Um ano depois, Edmond Halley propôs tabelas de
expectativa de vida.
Em 1728, Hutchinson examinou a troca entre probabilidade e utilidade de situações de

escolha sob incerteza. Pierre Simon de LaPlace desenvolveu, em 1972, um protótipo da
moderna análise de riscos quantitativa com o cálculo de probabilidade de morte por
varíola com e sem vacinação (MOLAK, 1997; COVELLO & MUMPOWER, 1985).
Com a ascensão do capitalismo, do uso de dinheiro e das taxas de lucro ocorreu

um aumento do uso dos métodos matemáticos com probabilidades. O que se usava
apenas para estimar tempo de vida passou a ser empregado de forma mais ampla,
como ferramenta financeira e controle de perigo nas mais diversas áreas, tais como:
doenças naturais, doenças epidêmicas, poluição, construção e código de fogo, acidentes
em transporte, injúrias ocupacionais, contaminação de meio ambiente do trabalho e
adulteração, entre outras.
Covello e Mumpower (1985) enfatizam a necessidade de se estudar e aprimorar a análise

e o gerenciamento de riscos nos tempos atuais e argumentam sobre as mudanças entre
o passado e o presente. Pode-se citar:
»» mudança da natureza de riscos;
»» aumento da média de expectativa de vida;
72
ANÁLISE DE RISCOS: REVISÃO SISTÊMICA │ UNIDADE III
»» surgimento em novos riscos;
»» aumento da habilidade de cientistas em identificar e medir riscos;
»» aumento do número de cientistas, e análises cujo trabalhos são focados

na saúde, segurança e riscos ambientais;
»» aumento do número de análises de riscos quantitativas formais, que são

produzidas e utilizadas;
»» aumento do papel de governantes federais em avaliar e medir riscos;
»» aumento da participação de grupos de interesses sociais em gerenciamento

de riscos;
»» aumento de interesse público, conceitos e demandas de proteção.
A palavra riscos vem sendo amplamente utilizada na literatura com objetivos distintos,
tais como: risco de negócios, social, econômico, segurança, investimentos, limitar,
político, etc. (KAPLAN e GARRICK, 1981). A sua aplicação está voltada para a questão
da segurança, estando intimamente ligada ao termo perigo.
A segurança não é um fator isolado, mas o grau de segurança de uma organização

depende do resultado das atividades inter-relacionadas de pessoas, projeto da
organização, gerenciamento, processo.
Não existe uma definição universalmente reconhecida para a palavra risco. Assim, os
significados associados a essa palavra diferem, tanto semântica quanto sintaticamente,
em função de suas origens.
Segundo WHARTON, a palavra risq, em árabe, significa algo que lhe foi dado (por Deus)
e do qual você tirará proveito, possuindo um significado de algo inesperado e favorável
ao indivíduo. Em latin, riscum conota algo também inesperado, mas desfavorável ao
indivíduo. Em grego, uma derivação do árabe risq, esta palavra relata a probabilidade
de um resultado sem imposições positivas ou negativas.
O francês risque tem significado negativo, mas ocasionalmente possui conotações

positivas, enquanto em inglês, risk possui associações negativas bem definidas.
Portanto, a palavra risco pode significar desde um resultado inesperado de uma ação
ou decisão, seja este positivo ou negativo, até – sob um ponto de vista mais científico –
um resultado não desejado e a sua probabilidade de ocorrência.
73
No entanto, aborda-se o risco como a incerteza de ocorrência de um evento indesejado

dentro de um sistema industrial. Nesse sentido, diversas são as definições encontradas
que buscam um significado mais completo para a palavra risco.
Conforme Bastias, “risco é uma ou mais condições de uma variável que possuem o
potencial suficiente para degradar um sistema, seja interrompendo e/ou ocasionando o
desvio das metas, em termos de produto, de maneira total ou parcial, e/ou aumentando
os esforços programados em termos de pessoal, equipamentos, instalações, materiais,
recursos financeiros, etc.” (BASTIAS, 1977).
Dessa forma, os riscos assinalam a probabilidade de perdas dentro de um determinado

período específico de atividade de um sistema, e podem ser expressos como a
probabilidade de ocorrência de acidentes e/ou danos a pessoas, ao patrimônio ou
prejuízos financeiros. Bastias também salienta que todos os elementos de um sistema
apresentam um potencial de riscos que podem resultar na destruição do próprio
sistema.
DeCicco e Fantazzini atribuem dois significados à palavra risco. O primeiro, influenciado

pelo trabalho de Bastias, associa o risco a “uma ou mais condições de uma variável
com o potencial necessário para causar danos, que podem ser entendidos como lesões
a pessoas, danos a equipamentos e instalações, danos ao meio ambiente, perda de
material em processo ou redução da capacidade de produção”.
Dessa forma, a um risco sempre estará associada uma possibilidade de ocorrência

de efeitos adversos. No segundo significado atribuído à palavra, risco “expressa uma
probabilidade de possíveis danos dentro de um período específico de tempo ou número
de ciclos operacionais”, e pode ser relacionado à probabilidade de ocorrência de um
acidente multiplicado pelo dano decorrente deste acidente, em unidades operacionais,
monetárias ou humanas.
Jackson e Carter concordam com o fato de que o conceito de risco está associado com a
falha de um sistema, sendo a possibilidade de um sistema falhar usualmente entendida
em termos de probabilidades. No entanto, preferem trabalhar com a possibilidade de
falha de um sistema ao invés da probabilidade, alegando que a visão probabilística
somente se preocupa com a ocorrência de um evento dentro de uma população,
enquanto que, ao analisarmos a possibilidade de falha, estamos nos preocupando com
um evento particular.
74
Ambientação 3: Sintetizando-Diagrama
Conceitual de Risco (alinhado à ISO 31000)
Fonte: Engenheiro Reinaldo Simões. Curso de Capacitação em Gestão de Riscos e Auditoria Baseada em Riscos - Nova ISO
31000: 2009 do QSP.
Ambientação 4: Sintetizando – Definições

alinhadas à ISO 3100018
Glossário: Risco, Oportunidade, Ameaça e Perigo.

A definição de Risco pela ISO 31.000: efeito da incerteza nos objetivos.
Nível de Risco é a magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades.
Um sinônimo de Consequência é Impacto.
Consequências podem ser positivas (ganhos, por ex.) e negativas (perdas, por ex.).
A rigor, não existem “Riscos Positivos” e “Riscos Negativos”. Normalmente utilizamos esses termos entre aspas, apenas para simplificar frases
do tipo riscos com consequências positivas e riscos com consequências negativas
Oportunidades, Ameaças e Perigos são Fontes de Risco, ou ainda → Oportunidade = Fonte de Ganhos; Ameaça = Fonte de Perdas; Perigo =
Fonte de Danos.
Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco (Uma fonte de risco
pode ser tangível ou intangível).
Relação: Causa (Fonte de Risco) à Fato (Evento) à Efeito (Consequência).
Oportunidades, Ameaças e Perigos estão relacionados às Causas.
Risco está relacionado à ocorrência (incerteza) do Evento.
75
CAPÍTULO 1
Ser humano tem aversão ao risco?
Há aversão ao risco? Imagine que você é forçado a escolher: aceitar determinada

sentença ou apostar. A título de exercício são colocados dois cenários idênticos, porém
com duas sentenças opostas. Pede-se ao leitor que responda honestamente aos cenários
1 e 2 colocados e se posicione para se usar como exemplo. Na sequência, é apresentado
o resultado da pesquisa19.
Figura 23. Sentenças de escolha em 02 Cenários. Existe aversão ao risco?
No cenário1, a sentença é: paga R$ 3.000,00 ou aceita uma aposta com risco de 80% de pagar R$ 4.000,00 com uma probabilidade de 20%
de não pagar nada.
No cenário 2 , a sentença é: recebe R$ 3.000,00 ou aceita uma aposta com risco de 80% de ganhar R$ 4.000,00 com uma probabilidade de
20% de não receber nada.
Figura 24. Resultados da Pesquisa para os dois cenários de escolha
Cenário 1: 92% dos entrevistados se arriscariam a pagar R$ 4.000,00 se tivessem a possibilidade de não pagar nada. Conclusão: Contraria o senso
comum de não se correr riscos.
Cenário 2: 80% dos entrevistados preferem não apostar. Conclusão: Meu pirão primeiro. Primeiro eu, depois o resto.
Pela pesquisa conduzida pelos ganhadores do Nobel de economia – Amos Tversky

e Daniel Kahneman, 2002 – fica clara que não há aversão à incerteza, mas à perda.
Prefere-se a incerteza quando a sensação de ganho supera a de perda.
Constata-se nessa pesquisa o fato dos parâmetros probabilísticos, financeiros e

matemáticos serem rigorosamente os mesmos nos dois cenários, porém resultarem
em comportamentos diametralmente opostos em função do verbo (pagar – receber).
Isso leva a suscitar que a decisão sobre correr ou não riscos é irracional, não depende
isoladamente da razão, mas predominantemente do psíquico e emocional. A decisão
sobre assumir ou não riscos é emocional e decorre da avaliação de perda e não do grau
de incerteza.
O que isso tem a ver com meio ambiente do trabalho e saúde do trabalhador do ponto
de vista do patrão? Vale a pena correr o risco de adoecer o trabalhador, contaminar o
lençol freático, poluir o ar, depreciar aceleradamente seu maior patrimônio? A resposta
é: depende de quanto se vai perder, pois o risco é enorme e isso pode até ser um estímulo,
pois para quem tem perfil de investidor agressivo; maior o risco, maior o ganho!
76
E a mensuração dessa perda se dá pelos mesmos caminhos que levam à escolha entre
pagar-apostar e receber-apostar observada pelos pesquisadores Tversky e Kahneman.
Pela decisão de terceirizar ou contratar diretamente, alugar ou comprar equipamento,
alienar ou fundir sociedades mercantis, comprar ou vender ações na bolsa, abrir ou não
o patrimônio empresarial ao mercado de ações.
No campo ambiental a mensuração dessa perda passa pela igualmente pela decisão
de comprar EPI ou implementar EPC; fazer gestão do meio ambiente do trabalho
ou simplesmente cumprir norma trabalhista sem se importar com os resultados;
diminuir ritmo de trabalho e aumentar número de empregados. Ou ainda, diminuir
o número de mortes e acidentados ou manter os padrões de lucro; esconder,
escamotear ou camuflar os dados sobre meio ambiente do trabalho e agravos à saúde
do trabalhador.
A experiência desse autor dá cabo à opção empresarial pelo ganho decorrente

de assumir o risco de desequilibrar o meio ambiente do trabalho – manietado
por forte doutrina conservadora e meramente trabalhista direcionada por
consultorias enviesadas de ganho fácil e sem compromisso com os resultados
da gestão – que nesses tempos começam a esmaecer. Não se trata aqui de
fazer média com empresário ou ofertar qualquer tipo de contemporização,
pois são eles que assumem por último os riscos do empreendimento e sabe da
sua responsabilidade, dentre tantas, mas é fato que o empresário submetido a
toda sorte de contingência e até mesmo às agruras da sobrevivência, termina
por referendar, via medicina empresarial contratada (medicina do trabalho),
o modelo trabalhista obsoleto baseado em SESMT, Comissão Interna de
Prevenção de Acidentes (CIPA), Atestado de Saúde Ocupacional (ASO ) e
Normas Regulamentadoras (NR).
Com essa atitude, imagina-se livre de consciência e escudado juridicamente no tocante

às consequências, inclusive pessoais, decorrentes da ausência ou da precária gestão;
criminalização por delitos ambientais, por lesão corporal ou homicídio. A Figura 25
retrata bem esse dogma da fatalidade consentida pelas empresas, elaborada pela
medicina do trabalho e asseverada pela EST.
77
Figura 25. Declarações recorrentes dos empregadores quando admoestados por alguma responsabilização
acidentária como consequência e alinhamento ao obsoleto modelo trabalhista.
Há, porém, novos ventos! O empresário infletiu à melhora ambiental de forma sistêmica
a partir da percepção que também, em alguma medida, é vítima e refém de um sistema
obsoleto, anacrônico, monopolista de poder representado pela medicina do trabalho
de receita de bolo de rolo, apenas para cumprir NR e fazer ASO; e da engenharia de
segurança do trabalho para prescrever e comprar EPI. Essas disciplinas obsoletas
carecem de um choque de ciência para se atualizar, ao passo que o sistema jurídico
padece de mal genético instalado no DNA do trabalhismo.
A empresa simplesmente não pode esperar essa evolução ou arrebatamento dessas

mazelas. Precisa assumir seu papel social e transformador da sociedade: isso é iniciativa
privada na essência. Produzir bem, bonito, barato precisa agora de mais dois elementos
para completar a quintessência: sem contaminar o meio ambiente e sem adoecer o
trabalhador que nele labora.
Essa inflexão corporativa em prol do meio ambiente equilibrado (controlado), à qual o

sistema de gestão sobre meio ambiente do trabalho comparece como vetor propulsor
de vanguarda, decorre mais do pragmatismo que da ideologia. Perde menos quem
faz gestão. O discurso ideológico oriundo da tomada de decisão (equilibrar o meio
78
ambiente) vem a reboque do pragmatismo econômico, que desta feita passar a ser
efetivo no tocante aos resultados ambientais, até então meramente retóricos.
Aproveita-se, portanto, as conclusões da pesquisas dos cenários de escolha para

apontar a decisão de equilibrar o meio ambiente como mais inteligente, mais lucrativa,
transmissora direta e honestamente à sociedade e ao trabalhadores de efetiva
responsabilidade social. Segue-se o corolário da pesquisa: cenário bom é aquele em que
há menos probabilidades, combinado com baixas perdas (mercadológicas, corporativas,
hominais, econômicas, ambientais, patrimoniais).
79
CAPÍTULO 2
Dialética do risco
Nesse ponto, pode-se observar duas tendências claras na definição de risco, uma
abordando o risco objetivamente e outra subjetivamente. De um ponto de vista
objetivo, o risco representa a probabilidade de ocorrência de um evento indesejável
e pode ser facilmente quantificado por meio de medidas estatísticas. Sob uma visão
subjetiva, o risco está relacionado à possibilidade de ocorrência de um evento não
desejado e depende de uma avaliação individual sobre a situação, sendo, portanto,
pouco quantificável.
Nesse sentido, o pesquisador Greene afirma que, objetivamente, risco é a medida de

algum parâmetro que oscila em torno de uma média. Logo, em termos objetivos, o risco
pode ser medido por uma faixa, como, por exemplo, a probabilidade de prejuízo de uma
planta é 10 em 100 (10%) com uma faixa de 6 em torno da média, ou seja, de 4 a 16, ou
por outras medidas estatísticas. No entanto, conforme Greene, subjetivamente o risco
pode ser entendido a partir do princípio de cepticismo mental ou incerteza quanto ao
resultado esperado de um evento particular (Greene,1997).
Nesse trabalho, o risco está caracterizado como um fator condicionante e constituinte

de um sistema industrial que, apesar de intrínseco às atividades desenvolvidas pela
empresa, não deve ser negligenciado, mas tratado com a devida importância. No
entanto, uma maior ênfase será dada ao aspecto subjetivo do risco, buscando evidenciar
os fatores que contribuem para a concretização dos eventos indesejáveis ou imprevistos.
Cabe ainda salientar que o conceito de risco só é válido na presença da possibilidade de

falha de um sistema. Contudo, como não existem sistemas industriais infalíveis, esse
aspecto assume extrema relevância.
Segundo Jackson e Carter, todo sistema tende a ser homeostático20 por natureza e tolera
certos níveis de desordem. No entanto, somente consegue funcionar satisfatoriamente
dentro de certos limites específicos e característicos. Uma vez que esses limites de
estabilidade sejam violados, o sistema tenderá a falhar.
Certas falhas do sistema não são significativas, sendo usualmente aceitas como
acontecimentos normais do processo e que podem ser corrigidas sem maiores danos.
Além do mais, muitas vezes o próprio processo tende a compensar o desvio em busca da
estabilidade. No entanto, algumas falhas podem conduzir a resultados indesejáveis, às
vezes catastróficos, que prejudicam ou impedem o funcionamento do sistema.
80
Nesse curso é adotada a definição de Riscos, conforme a WHO (1999a), como a função
de probabilidade de um efeito adverso e a magnitude do efeito consequente de um
perigo ao trabalhador. Um exemplo de riscos pode ser a probabilidade de o trabalhador
ser afetado por microrganismo patogênicos do meio ambiente do trabalho.
Desmascaramento da fraude do EPI
Nesse ponto, vale fazer o desmascaramento da fraude do EPI. Para isso, será usado o
comparativo entre dois sistemas muito usados no dia a dia: ABS e Protetor Auricular.
O ABS (Antilock Braking System) é um sistema suplementar ao sistema de freio normal

que impede o travamento da roda em qualquer situação de frenagem, principalmente
em frenagens de emergência, e com isso garante estabilidade e dirigibilidade ao veículo
e reduz, na grande maioria de situações, a distância de parada em relação ao sistema de
freio normal.
A eficácia do ABS é indiscutível21, logo o consideraremos, para fins de comparação,

como absolutamente eficaz, uma vez que independe da vontade humana ou qualquer
variável humana ao pisar do freio (tanto faz se o motorista tem o pé grande ou pequeno;
gordo ou magro, alto ou baixo), pisou no freio o sistema é ativado contra o travamento.
O sistema ABS constitui um EPI para o carro, pois não é possível instalá-lo para mais
de um automóvel simultaneamente, cuja função é combater o travamento da roda.
Analogamente diz-se que o protetor auricular é um EPI porque é impossível instalá-lo
em mais de uma pessoa simultaneamente, cuja função é combater a energia sonora. A
Figura 26 ajuda a compreender a dialética posta nesse capítulo.
Bem aqui começa a fraude do EPI auricular. Se o leitor tamponar os ouvidos com os
próprios dedos (com força) ainda assim escutará sons em derredor, com abafamento
é verdade, mas escutará22.
Imagine agora esse exercício em um ambiente de trabalho com ruído industrial. O ruído,
de modo mais intenso, continua a chegar ao cérebro mesmo com tamponamento. Logo
se no limite o EPI refratasse 100% a energia sonora proveniente do meio ambiente do
trabalho, ainda assim o sistema auditivo perceberia os ruídos.
Simples assim, o EPI não presta porque simplesmente “não se tapa sol com peneira”,
nem som com EPI auricular, porque nem todo som é percebido pelo pavilhão auditivo
(orelha externa). A explicação passa pelo mecanismo de transmissão sonora.
81
A transmissão sonora ambiental ao ser humano se dá por duas vias:
a. pela via aérea (transmissão elástico-gasosa), devida à variação da pressão

atmosférica nas imediações do tímpano. A captação do som se dá pelo
pavilhão auditivo (orelha externa). Por esse mecanismo o EPI, constitui
um fator de redução de ruído (resistência), daí o abafamento que sentimos
ao inserir os dedos nos ouvidos;
b. pela via óssea (transmissão elástico-sólida), devido à vibração mecânica

de ossos, cartilagens e músculos envoltos ao aparelho auditivo (externo,
interno e médio) provenientes da energia sonora ambiental. A captação do
som se dá pelos tecidos internos que transferem movimento à endolinfa
sensibilizando a cóclea (orelhas médias e internas).
Por isso, ao inserir os dedos nos ouvidos escutamos a nós mesmos de modo estranho,
igualmente quando escutamos a reprodução de nossa voz gravada. Só a escutamos
nesse caso devido à transmissão não-aérea, por certo (óssea).
Desde 1863, os estudos de Helmholtz23, sobre a análise dos sons e a teoria da audição,
explicam os mecanismos fisiológicos cocleares, bem como discriminam como se dá
a análise sonora das frequências dos sons no sistema auditivo humano. Na restrição
hipotética de que houvesse apenas o mecanismo aéreo de audição, bem como
considerando que o EPI é melhor que os próprios dedos enfiados nas orelhas, ainda
assim o EPI não presta, pois não é suficiente para isolar plenamente o conduto central
auditivo.
Explico:
a. sempre haverá fuga devido aos imperfeitos ajustes antropométricos

entre orifício auricular (singular e personalíssimo) e geometria do EPI
(standart baseado em médias e desvios-padrão, generalíssimo);
b. sempre haverá cera ou cerume, sujeira, pelos, oleosidade que impedirão

o ajuste perfeito entre o orifício e o EPI;
c. sempre o EPI permitirá a passagem de som, pois há ineficiência acústica

intrínseca aos materiais que o compõe (nenhum material é 100%
resistivo);
d. principalmente pelo fato do EPI ser um só para várias situações acústicas

de campo, dada à miríade de combinações entre as variáveis Nível
Pressão Sonora (NPS) - em Pascal, Pa; e frequências (f) - em Hertz, Hz. O
82
fabricante define um Nível de Redução de Ruído (NRR) – do inglês, Noise

Reduction Rating –, para cada par de NPS x f, consideradas constantes ao
longo da jornada. Obviamente a dinâmica acústica de campo está anos-
luz da estaticidade rotulada nas embalagens desses produtos.
Se tudo isso fosse, em tese, considerado como atendido, ainda assim remanesceria a
bizarra condição: enfiar vários EPI simultaneamente na orelha do receptor. A cada
instante chegam vários sinais (Pressão e Frequência) na orelha do trabalhador e por se
tratarem de sinais acústicos complexos é impossível combater com elemento simples
(EPI) especificado pelo fabricante apenas para restrito conjunto de combinações
(Pressão e Frequência). Em outras palavras, não se combate o maior espectro de NPS
x f com o menor. É isso que o EPI faz. É uma fraude! Isso considerando apenas a
hipótese da transmissão aérea.
De volta ao mundo real. Se apenas para via aérea o EPI é uma fraude, imagine considerá-
lo para via óssea. Como reforço à refutação da tese de que EPI possa ser eficaz, pois se
pela via aérea está provado que ele é total e absolutamente ineficaz, aditamos que chega
a ser algo criminoso prescrever EPI quando para determinadas pressões sonoras, acima
de 85 dB (A), equivalente a 10-4 W/m2 ou 0,1 N/m2- simplesmente a transmissão se
dá pela via óssea.
E nesse caso, falar em EPI é considerar a possibilidade de EPI bloquear tais transmissões
de energias à cóclea, é o mesmo que fazer ficção científica, algo frankensteineano, qual
seja: interpor material isolante acústico em toda caixa craniana mediante cirurgia
óssea circunferencial (bloqueio ósseo), aliado ao tamponamento forçado dos orifícios
timpânicos (bloqueio aéreo). Um absurdo! Bem, como acima sustentado, oblitera-se
acintosamente qualquer razoabilidade do uso de EPI como elemento de prevenção.
Conclusão
EPI do carro (ABS) é eficaz, atende àquilo para o qual foi projetado e independe do
ser humano que o opera – risco objetivo. API das orelhas (Protetor Auricular) 24 é uma
fraude porque além de não atender o bloqueio da via aérea, não combate a transmissão
via óssea, e principalmente, depende da vontade e características do ser humano que o
utiliza – risco subjetivo.
Por isso, diz-se que a discussão sobre EPI é artificial e desonesta. Uma vez que o natural
seria combater as causas originárias do ambiente ao invés de introduzir, literalmente,
uma fraude nas orelhas dos subordinados.
83
Há neste mister a legalização e judicialização de um absurdo físico (acústica de

transmissão óssea e aérea) que muda o foco do debate do meio ambiente do trabalho
doentio, deliberadamente sem Equipamentos de Proteção Coletiva (EPC) e/ou medidas
administrativas, para a vítima, subordinada, chamada hipocritamente de colaborador,
sem margem de manobra ou grau de liberdade para dizer não a isso tudo.
A despeito de alguns profissionais ainda polemizarem, esse assunto foi pacificado pelo
Supremo Tribunal Federal (STF), que concluiu no dia 04/12/2014 o julgamento do
Recurso Extraordinário com Agravo (ARE) 664335, com repercussão geral reconhecida,
e fixou duas teses que deverão ser aplicadas em todo país sobre a nulidade dos efeitos
da utilização de Equipamento de Proteção Individual (EPI) para fins de insalubridade
e aposentadoria especial. Duas teses foram firmadas: INEFICÁCIA ABSOLUTA do EPI
para RUÍDO. INEFICÁCIA RELATIVA do demais EPI. In verbis:
10. Consectariamente, a primeira tese objetiva que se firma é:

o direito à aposentadoria especial pressupõe a efetiva exposição do
trabalhador a agente nocivo à sua saúde, de modo que, se o EPI for
realmente capaz de neutralizar a nocividade não haverá
respaldo constitucional à aposentadoria especial.
12. In casu, tratando-se especificamente do agente nocivo ruído, desde

que em limites acima do limite legal, constata-se que, apesar do uso
de Equipamento de Proteção Individual (protetor auricular) reduzir a
agressividade do ruído a um nível tolerável, até no mesmo patamar da
normalidade, a potência do som em tais ambientes causa danos
ao organismo que vão muito além daqueles relacionados à
perda das funções auditivas. O benefício previsto neste artigo será
financiado com os recursos provenientes da contribuição de que trata o
inciso II do art. 22 da Lei no 8.212, de 24 de julho de 1991, cujas alíquotas
serão acrescidas de doze, nove ou seis pontos percentuais, conforme
a atividade exercida pelo segurado a serviço da empresa permita a
concessão de aposentadoria especial após quinze, vinte ou vinte e cinco
anos de contribuição, respectivamente. 13. Ainda que se pudesse aceitar
que o problema causado pela exposição ao ruído relacionasse apenas
à perda das funções auditivas, o que indubitavelmente não é o caso,
é certo que não se pode garantir uma eficácia real na eliminação dos
efeitos do agente nocivo ruído com a simples utilização de EPI, pois
são inúmeros os fatores que influenciam na sua efetividade, dentro
dos quais muitos são impassíveis de um controle efetivo, tanto pelas
empresas, quanto pelos trabalhadores.
84
14. Desse modo, a segunda tese fixada nesse Recurso Extraordinário

é a seguinte: na hipótese de exposição do trabalhador a ruído acima dos
limites legais de tolerância, a declaração do empregador, no âmbito do
Perfil Profissiográfico Previdenciário (PPP), no sentido da eficácia do
Equipamento de Proteção Individual – EPI, não descaracteriza o tempo
de serviço especial para aposentadoria.
15. Agravo conhecido para negar provimento ao Recurso Extraordinário.
ABS aumenta o risco de acidente de trânsito -

Sensação de proteção
Com tudo aqui exposto sobre a teoria do risco, o nobre leitor chegará à espantosa
conclusão: Uso do ABS aumenta o risco de acidente de trânsito. Pasmem!
Acompanhem o raciocínio. Sabendo que o ABS é eficaz, o motorista se acostuma

a dirigir com tal dispositivo ao ponto de esquecer que ele existe. Simplesmente o
motorista assume novos patamares de dirigibilidade e de frenagem, quer aumentando
a velocidade relativa até então praticada sem ABS, quer freando em cima do fim de
linha (mais tardiamente) pelo simples fato de absorver a nova condição de operação.
Essa sensação de proteção faz com que o ser humano eleve naturalmente a disposição
de enfrentamento ao se sentir seguro e com isso assuma novos patamares de risco –
risco subjetivo.
O ponto é que efetivamente o ABS diminui a frequência de acidentes (risco objetivo)

porque garante a frenagem a contento (a roda não trava), porém intuitivamente
se percebe que as consequências desses acidentes tenham uma maior e catastrófica
gravidade, ainda que com menores frequências.
Como o risco decorre do binômio probabilidade (frequência) e perigo (consequência)

e esse cresce mais que proporcionalmente à queda de frequência, tem-se, portanto, o
aumento do risco. Detalhe é que nesse contexto do ABS se percebem três dimensões:
verdadeira proteção (eficácia), assunção deliberada de correr riscos e autonomia
jurídica do motorista. A Figura 26 sugere essas três dimensões e delineia os paralelos
entre os EPI.
85
Figura 26. Hipocrisia do EPI e Falsa sensação de proteção
86
Bem a parte desumana, cruel mesmo, vem agora. Pior é que grande parte dos
profissionais de SESMT a cometem sem se aperceberem, uns por ignorância, outros por
desonestidade. Se o EPI do carro (ABS), de eficácia inquestionável do ponto de vista do
risco objetivo, suscita aumento do risco subjetivo, como visto, imagine o que acontece
com o EPI da orelha (protetor auricular).
Você já percebeu a armadilha não é? EPI da orelha (protetor auricular) além de

aumentar o risco subjetivo, aumenta o objetivo. As três dimensões do EPI (ABS) são
elevadas a -1, ou seja: o EPI de orelha constitui: mentirosa proteção (eficácia nula);
assunção de correr riscos porque um profissional competente (EST) assim especificou
e subordinação jurídica do empregado que deve usar o EPI, sob pena de dispensa por
justa causa (desobediência).
Em outras palavras, o EST especifica um EPI de orelhas que sabidamente causará lesão
(crime de expor ao risco) e o usuário ao cumprir ordens do preposto da empresa (EST)
acredita que ao usá-lo estará protegido (ilusão) e com isso se expõe de peito e ouvidos
abertos.
A falha de um sistema por um conjunto de

condições (riscos)
Voltando à teoria do risco, a falha de um sistema comumente é precedida por um

conjunto de condições (riscos) que anunciam a sua predisposição à desordem. Essas
situações, ao serem analisadas, demonstram que, em sua maioria, originaram-se da
inobservância dos aspectos que antecipavam a falha do sistema.
A percepção, pelo elemento humano, dos indicadores que precedem a falha do sistema,
bem como o processo decisório que deve ser desencadeado a partir dessa observação,
depende tanto do seu conhecimento sobre o sistema como das características cognitivas
do indivíduo.
Segundo Huczynski e Buchanan, apud Jackson e Carter, a percepção é um processo

psicológico ativo pelo qual os estímulos são selecionados e organizados dentro de um
modelo conceptual da situação. Portanto, um indivíduo não registra simplesmente os
aspectos observados com relação ao sistema do qual faz parte, mas atribui significados
e valores a eles.
Dessa forma, o processo de percepção do risco pelo homem nem sempre é objetivo,
ou quem sabe racional, mas fortemente influenciado por fatores diversos que variam
de indivíduo para indivíduo, em função de sua estrutura mental e do seu background,
adquirido principalmente pela sua experiência dentro do sistema.
87
Assim, nota-se que é de suma importância o conhecimento profundo sobre os riscos

presentes dentro de um sistema industrial para que seja possível, por parte do
indivíduo, a identificação e a correção dos desvios do sistema antes que ocorra a sua
falha, reduzindo-se, desta forma, a probabilidade de erro humano.
No entanto, mesmo que todos os riscos sejam conhecidos, ainda persistirá a possibilidade
de falha humana, pois cada indivíduo organiza e interpreta as situações de maneira
diferente.
A seguir se apresentam situações segundo os quais os riscos foram subestimados,

apesar de terem sido previamente identificados.
Características do risco determinantes da forma como

este é percebido
»» Exposição involuntária ao risco, em contraste com a exposição de livre

escolha, como por exemplo, dirigir uma motocicleta.
»» Ausência de controle próprio sobre os resultados da exposição ao risco,

ou seja, uma vez em exposição ao risco, nenhuma ação própria poderá
influenciar nas consequências advindas.
»» Incerteza sobre as probabilidades ou consequências da exposição.
»» Ausência de experiência pessoal com o risco (medo do desconhecido).
»» Dificuldade de visualizar ou imaginar a exposição ao risco.
»» Falta de clareza na identificação dos benefícios associados ao risco.
»» Distribuição desigual de riscos e benefícios (os benefícios vão para os

outros, mas os riscos ficam para nós).
»» Acidentes causados por falha humana, em oposição aos acidentes

naturais.
»» Efeitos retardados da exposição ao risco (exposição a produtos químicos).
»» Efeitos genéticos da exposição ao risco (ameaça às próximas gerações).
88
Influência de Fatores Econômicos, Sociais, Políticos e

Demográficos na Percepção de Risco
»» O fator do risco está associado a um benefício tal que compense a sua

aceitação.
»» A elevação da qualidade de vida propiciada pela atividade ou tecnologia.
»» A geração de renda e novos postos de trabalho, reduzindo o desemprego

e os custos sociais a ele associados.
»» O estímulo ao crescimento social e econômico.
»» O aumento da soberania regional ou nacional e da independência e

autonomia com relação ao exterior.
»» A possibilidade do emprego da tecnologia significar dependência e

submissão a grupos econômicos e elites tecnológicas.
»» O fato da atividade ou tecnologia requerer o emprego de medidas e

estruturas mais sofisticadas de controle e fiscalização.
O desenvolvimento da Análise de Riscos nos países industrialmente desenvolvidos

iniciou-se por dois motivos principais (MOLAK, 1997):
1. pelo desenvolvimento de plantas de energia nuclear, civil e aviação e

interesse acerca de seu perigo (este problema conduziu ao desenvolvimento
da análise de riscos probabilística clássica);
2. pelo estabelecimento da Agência de Proteção Ambiental dos Estados

Unidos (U.S.A. Environmental Protection Agency – EPA), da
Administração da Segurança Ocupacional e da Saúde (Occupational
Safetyand Health Administration – OSHA), do Instituto Nacional de
Segurança Ocupacional e da Saúde (National Institute for Occupational
Safetyand Health – NIOSH) e de agências equivalentes governamentais
em países desenvolvidos. Essas organizações se desenvolveram
em resposta a uma rápida degradação ambiental causada pelo uso
indiscriminado de pesticidas e da poluição industrial.
89
Segundo Lammerding (1997), define-se a Análise de Riscos como um processo dividido

em três etapas, conforme ilustrado na Figura 27.
Figura 27. Representação da Análise de Riscos.
Fonte: Griffith, Worsfold e Mitchell (1998).
Na EST, o Gerenciamento de Riscos é um estudo emergente e a sua base metodológica

serve para avaliar e gerenciar riscos associados aos perigos do meio ambiente do
trabalho. Várias áreas da ciência têm contribuído para a avaliação da estrutura do
modo de pensar e dos métodos sistemáticos de análise de riscos. A figura abaixo ajuda
compreender essa visão.
90
O modelo básico de análise de perigo deve contar com os princípios e os procedimentos

de diagnóstico e de controle de sistemas, desenvolvidos no sistema geral teórico. As
teorias de acidentes e modelos auxiliam a detectar fatores que afetam a ocorrência de
acidentes, além de contribuir nas investigações e coleções de dados sobre os pontos
considerados relevantes.
Figura 28. Visão sistêmica e fluxo de identificação, avaliação e monitoramento dos riscos.
Fonte: Manuais da QS 9000,1997.
Devido à importância ao EST e particularidades de cada etapa da Análise de Riscos,

essas serão discutidas individualmente nos capítulos a seguir.
91
Ambientação 5: Praticando – Com base no

texto, analise criticamente a posição do EST
Vale a pena correr o risco de adoecer o trabalhador, contaminar o lençol freático,
poluir o ar, depreciar aceleradamente seu maior patrimônio? A resposta é:
depende de quanto se vai perder, pois o risco é enorme e isso pode até ser um
estímulo, pois para quem tem perfil de investidor agressivo, maior o risco maior
o ganho! E a mensuração dessa perda se dá pelos mesmos caminhos que levam
à escolha entre pagar-apostar e receber-apostar observada pelos pesquisadores
Tversky e Kahneman. Passa pela decisão de terceirizar ou contratar diretamente;
alugar ou comprar equipamento; alienar ou fundir sociedades mercantis;
comprar ou vender ações na bolsa; abrir ou não o patrimônio empresarial ao
mercado de ações. Passa, ainda, pela decisão de comprar EPI ou implementar
EPC; fazer gestão do meio ambiente do trabalho ou simplesmente cumprir
norma trabalhista sem se importar com os resultados; diminuir ritmo de trabalho
e aumentar número de empregados. Ou ainda, diminuir o número de mortes e
acidentados ou manter os padrões de lucro; esconder, escamotear ou camuflar
os dados sobre meio ambiente do trabalho e agravos à saúde do trabalhador.
92
CAPÍTULO 3
Avaliação e comunicação de riscos
A Avaliação de Riscos é a análise científica dos fatos ou potencial dos efeitos adversos para
a saúde, dependendo do grau de exposição de perigos. Inclui expressões quantitativas
e/ou qualitativas de riscos. As avaliações quantitativas usam parâmetros numéricos
de medida e resultam em uma expressão numérica de riscos; enquanto as qualitativas
usam categorias/representações descritivas de probabilidades e riscos. Em ambos os
casos, a ênfase é colocada na descrição da incerteza e variabilidade na informação usada
para derivar a estimativa de riscos (LAMMERDING, 1997).
A identificação de perigos no meio ambiente do trabalho internacional e nacional

representa o reconhecimento de agentes físicos, químicos e microbiológicos
patogênicos capazes de causar efeitos adversos à saúde. Esta etapa focaliza o agente e
as consequências da sua presença nos processos de trabalho.
Assim, restrições na aquisição de dados ou indisponibilidade são fatores que impedem

o aprimoramento de uma avaliação compreensiva e eficaz. A caracterização de perigo
é a avaliação quantitativa e/ou qualitativa da natureza dos efeitos adversos associados
com os agentes físicos, químicos e microbiológicos.
A avaliação de dose-respostas pode ser realizada a partir de dados obtidos

experimentalmente. A avaliação da dose-resposta refere-se especificamente à
determinação da relação entre a exposição (por exemplo, aos microrganismos) e a
frequência e a severidade dos efeitos adversos à saúde resultantes dessa exposição
(MAYES, 1998).
Essa definição é complementada por McKone (1996), ao afirmar que o objetivo do

processo de Gerenciamento de Riscos é estabelecer:
I. a significância do risco estimado;
II. comparar o custo da redução deste risco com o benefício a ser atingido;
III. comparar o risco estimado com o benefício social próprio da redução e

levar a efeito processos políticos e institucionais para redução dos riscos.
Assim, é feita uma análise de custo e efetividade para comparar a redução de risco com
custo por unidade entre várias opções para tratar, de diferentes formas, o mesmo risco.
Firme-se que a gerência de riscos é a ciência, a arte e a função que visa à proteção dos
93
recursos humanos, materiais e financeiros de uma empresa, quer por meio da eliminação
ou redução de seus riscos, quer por meio do financiamento dos riscos remanescentes,
conforme seja economicamente mais viável (DE CICCO,1994).
Portanto, o gerenciamento de riscos busca a diminuição de erros e falhas e o estabelecimento

de planos de ação de emergência para a mitigação de acidentes, não se restringindo apenas
à administração dos gastos com seguros, como muitas vezes é entendido. De maneira
geral, pode-se estabelecer um procedimento básico para o desenvolvimento de processos
de gerenciamento de riscos como demonstrado na Figura 29.
Figura 29. Diagrama esquemático do processo de Gerência de Riscos.
Fonte: Soto, 1978.
Percebam que essa ideia foi integralmente incorporada pela NR09 do Ministério do
Trabalho e Emprego (MTE) ao estabelecer correspondentes etapas no Programa de
Prevenção de Riscos Ambientais. Os princípios gerais (oito) de Gerenciamento de
Riscos sobre o meio ambiente do trabalho para assegurar a saúde do trabalhador estão
listados a seguir (Fao/Who,1997).
1. Deve-se seguir um modelo estruturado formado por avaliação de riscos;

avaliação das opções de gerenciamento de riscos; implementação de
tomada de decisão, monitoramento e revisão.
94
2. A proteção da saúde humana deve ser consideração primária: decisões

em níveis aceitáveis de riscos devem ser determinadas por considerações
de saúde humana e diferenças arbitrárias ou diferenças injustiçadas nos
níveis de riscos devem ser evitadas. Considerações de outros fatores, por
exemplo, custo, benefício, confiabilidade técnica e preferências sociais,
podem ser apropriadas em alguns contextos de gerenciamento de riscos,
principalmente na determinação de medidas a serem alcançadas. Essas
considerações não devem ser arbitrárias, e sim formuladas de maneira
explícita.
3. As decisões e as práticas devem ser transparentes: o gerenciamento de

riscos inclui a identificação e documentação sistemática de todos os
elementos do processo, incluindo-se a tomada de decisões, de forma que
o racional seja transparente a todas as partes interessadas.
4. A determinação da política de avaliação de riscos deve ser incluída

como um componente específico: a política de gerenciamento de riscos
estabelece diretrizes para julgar valores e escolher políticas que podem
precisar ser aplicadas em decisões específicas no processo de avaliação de
riscos e devem ser determinadas antes da avaliação, em colaboração com
os assessores de riscos.
5. Deve-se assegurar a integridade científica do processo de avaliação de

riscos pela manutenção da separação funcional de gerenciamento de
riscos e avaliação de riscos: a separação funcional dessas etapas serve para
inserir a integridade científica do processo de avaliação de riscos e reduzir
qualquer conflito de interesse entre avaliação de riscos e gerenciamento
de riscos. Entretanto, é reconhecido que a análise de riscos é um processo
interativo, e as interações entre gerenciadores de riscos e assessores de
riscos são essenciais para a aplicação prática.
6. As decisões de gerenciamento de riscos devem levar em conta a incerteza

na produção de avaliação de riscos: a estimativa de risco deve, sempre
que possível, incluir expressões numéricas de incertezas e isto precisa
ser conduzido para gerentes de riscos de forma compreensível, a fim de
que todas as consequências do alcance da incerteza sejam incluídas na
tomada de decisão. Por exemplo, se a estimativa de risco é altamente
incerta, a decisão de gerenciamento de riscos deve ser conservadora.
7. Deve-se incluir clareza, comunicação interativa com consumidores

e outras partes interessadas em amplos aspectos do processo: a
95
comunicação recíproca permanente entre todas as partes interessadas é

uma parte integral do processo de gerenciamento de riscos. A sua função
principal de comunicação de riscos é disseminar e processar informações
e opiniões essenciais que sejam efetivas para o gerenciamento de riscos,
incorporando-as na decisão.
8. Deve ser um processo contínuo que leva em consideração todos os dados

gerados recentemente na avaliação e revisão de decisões de gerenciamento
de riscos: subsequentes à aplicação das decisões, as avaliações periódicas
devem ser feitas para determinar sua efetividade, conhecendo os objetivos
do meio ambiente do trabalho. O monitoramento e outras atividades
serão necessários para levar a cabo a revisão.
A Comunicação de Riscos é um processo interativo de trocas de informações e opiniões

sobre riscos entre assessores, gerentes e partes interessadas. O processo de Comunicação
de Riscos é muito mais complexo, devendo envolver dimensões físicas, psicológicas,
sociais e políticas, além de cientistas comportamentais.
Enfatiza-se que os comunicadores (EST) devem ser pessoas preparadas para discutir a
mensagem de risco, incluindo a não obtenção do risco zero. Esses profissionais precisam
estar preparados para dialogar com os patrões, principalmente, alertando para a
necessidade de boas práticas e controles de engenharia de processo e administrativos,
bem como do engodo, solução fácil, pobre e irresponsável do uso isolado do EPI. Tudo
isso com vistas a evitar as consequências dos perigos.
Essa comunicação deve ser preventiva e realizada por personalidades do staff para
manter a imagem das empresas e atingir o maior número possível de pessoas. A saúde
do trabalhador é responsabilidade de todos, mas principalmente dos gestores que
devem ser educados sobre o risco e a severidade do modo de produção engendrado.
O SESMT, como preposto do patrão, juntamente com a CIPA, deve fazer campanhas
honestas de comunicação dos riscos, principalmente quanto à absoluta ineficácia do
EPI, notadamente quando usado isoladamente como medida de gestão ambiental; aos
efeitos dos riscos; aos endereçados, que são os patrões que administram tais riscos e
principalmente seus efeitos aos trabalhadores. Por exemplo, o ruído aumenta cortisona
e é vaso constritor cujas consequências são engordar e produzir disfunção erétil. Essas
são campanhas honestas!
96
Figura 30. Comunicação dos riscos – campanhas honestas
As etapas de Análise de Riscos não ocorrem de maneira isolada, com aplicações

sequenciais, mas sim, se inter-relacionando. Assim, o modelo de Análise de Riscos deve
ser descrito como interativo porque requer a comunicação entre os assessores, gerentes
e outros indivíduos envolvidos na situação.
A Figura 31 representa esquematicamente estas ligações, cuja palavra interativo,

nesse caso, representa o envolvimento de decisões científicas, regulatórias e legais. O
Gerenciamento de Riscos decorre de um processo complexo, envolvendo não somente
a avaliação científica de riscos, mas também considerações sociais, culturais e/ou
econômicas (LAMMERDING, 1997).
Figura 31. Diagrama esquemático das ligações entre as etapas de Análise de Riscos
Fonte: Lammerding, 1997.
97
Por meio das explanações anteriores, verifica-se que a Análise de Riscos é uma
metodologia técnico-científica que pode ser utilizada para quantificar o perigo existente
no meio ambiente do trabalho. Entretanto, a eficiência do resultado no âmbito
gerencial dependerá da correta detecção dos perigos. Nesse sentido, o conhecimento e a
utilização de ferramentas gerenciais para a detecção de perigos se fazem de fundamental
importância para amenizar os riscos25. O capítulo a seguir apresenta algumas das
ferramentas mais conhecidas e utilizadas.
Ambientação 6: Sintetizando – Gerência de

Risco
Fonte: SOTO, 1978.
98
CAPÍTULO 4
Processos de avaliação de perigo
Há vários tipos de análise de perigo diferenciados por níveis de complexidade. Gressel

e Gideon (1991) relatam as que consideram como as principais. Segundo os autores,
avaliação de perigos significa o emprego de métodos sistemáticos de avaliação de
processos para inserir operações e evitar falhas.
Consideram também que essa etapa é extremamente útil para o meio ambiente do
trabalho seguro. Entre as principais técnicas, os autores destacam algumas, vejamos a
seguir.
Lista de perigos (checklist)

A técnica de checklist é, entre todas, a forma mais simples para avaliar os perigos. O
checklist pode identificar e reconhecer perigos e proteger da submissão em relação
aos padrões aceitos no projeto. A técnica pode ser aplicada para equipamentos,
procedimentos ou materiais, e consiste de uma série de questões, específicas para cada
tipo de processo, aplicadas para uma situação de interesse.
Um checklist também pode ser usado se o projeto proposto tem uma história operacional
substancial, de maneira que as áreas de problema potencial sejam relativamente
conhecidas. O desenvolvimento do dele necessita de uma pessoa que conheça o
processo, a sua história e seus perigos, ainda que, para a aplicação, não se exija pessoal
qualificado.
Os checklist são adaptados para casos em que a maioria dos perigos dos processos
foram identificados, eliminados ou reduzidos, baseados na experiência operacional.
Se a tecnologia é desenvolvida ou parcialmente testada, sugere-se o emprego de outra
técnica de avaliação de perigos.
Análise e Revisão de Critérios (ARC)

É uma análise geral e qualitativa, ideal como primeira abordagem na análise de perigos,
principalmente em processos. É utilizada como ferramenta de apoio metodológico na
identificação de tratamentos de perigos e consiste na revisão de todos os documentos
(especificações, normas, códigos, regulamentos, etc.) referente ao objeto em estudo, a
partir do qual devem ser elaborados checklist.
99
O checklist é procedimento de revisão de perigos de processos capaz de relacionar

uma grande quantidade de risco, estabelecer um consenso entre as áreas de atuação
envolvidas (produção, planejamento, segurança) e emitir relatórios objetivos. Os
ckecklist são elaborados por meio de reuniões e brainstorning26 entre os stakeholders27
com o objetivo de identificar perigos e gerar soluções. A integração entre os diferentes
setores permite uma maximização dos resultados.
Análise Whatif
Whatif pode identificar os perigos e suas consequências e ajudar a desenvolver

alternativas para a redução do potencial de perigo. Uma análise Whatif usualmente
começa pelo início do processo e levanta uma série de questões relativas aos processos
descontrolados ou em funcionamento inadequado.
O procedimento Whatif é uma técnica de análise geral, qualitativa, cuja aplicação é

bastante simples e útil para uma abordagem em primeira instância na detecção
exaustiva de perigos, tanto na fase de processo, projeto ou pré-operacional, não sendo
sua utilização unicamente limitada às empresas de processo.
A técnica se desenvolve por meio de reuniões entre duas equipes, promovendo

questionamentos por meio de suposições, como: “E se” ? Os questionamentos
englobam procedimentos, instalações, processo da situação analisada e podem ser
livres ou sistemáticos. No questionamento livre, as perguntas podem ser totalmente
desassociadas. Já no sistemático, o objetivo das perguntas é focado em pontos específicos
como um martelo. A equipe questionadora é a conhecedora e familiarizada com o
sistema a ser analisado, devendo formular uma série de quesitos com antecedência,
com a finalidade de guia para a discussão.
A utilização periódica do procedimento é o que garante o bom resultado no que se refere

à revisão de perigos do processo. A aplicação do Whatif envolve o estudo de possíveis
desvios e resulta num largo espectro de perigos, bem como a geração de possíveis
soluções para os problemas levantados, além disso, estabelece um consenso entre as
áreas de atuação como produção, processo e segurança quanto à forma mais segura de
operacionalizar a planta.
Dois exemplos de questionamento são: o que aconteceria se o operador falhasse em

iniciar o sistema de ventilação? O que aconteceria se o compressor de ar falhasse?
Geralmente, as questões iniciais são desenvolvidas como resultado de uma análise
prévia do Preliminary Hazard Analysis (PHA) .
100
Questões adicionais baseadas nos resultados da análise inicial Whatif podem ser
adicionadas. A estrutura da análise Whatif é livre, permitindo a sua adaptação para
cada área de interesse. Cabe acrescentar que a avaliação pode ser aplicada não somente
para processos de equipamentos, mas também para procedimentos e interações de
trabalhadores. Muitas vezes, as consequências de uma resposta para uma questão
particular são determinantes, e discussões sobre o perigo podem sugerir modificações
de processos para reduzir ou eliminar os perigos potenciais.
A efetividade deste tipo de análise depende apenas das respostas às questões, sendo
influenciadas pela experiência de quem responde. O relatório do procedimento fornece
também um material de fácil entendimento que serve como fonte de treinamento e base
para revisões futuras. De Cicco e Fantazzini (1994b) sugerem alguns passos básicos
quando da sua aplicação:
a) formação do comitê de revisão: montagens das equipes e seus integrantes;
b) planejamento prévio: planejamento das atividades e pontos a serem abordados na aplicação da técnica;
c) reunião organizacional: com a finalidade de discutir procedimentos, programação de novas reuniões, definição de metas para as tarefas e
informação aos integrantes sobre o funcionamento do sistema sob análise;
d) reunião de revisão de processo: para os integrantes ainda não familiarizados com o sistema em estudo;
e) reunião de formulação de questões: formulação de questões “o que se?”, começando do início do processo e continuando ao longo dele, passo a
passo, até o produto acabado colocado na planta do cliente;
f) reunião de respostas às questões (formulação consensual): em sequência à reunião de formulação das questões, cabe a responsabilidade
individual para o desenvolvimento de respostas escritas às questões. As respostas serão analisadas durante a reunião de resposta às questões, sendo
cada resposta categorizada como: resposta aceita pelo grupo tal como submetida; resposta aceita após discussão e/ou modificação; aceitação
postergada, em dependência de investigação adicional. O consenso grupal é o ponto chave desta etapa, na qual a análise de riscos tende a se
fortalecer.
g) relatório de revisão dos riscos do processo: o objetivo é documentar os riscos identificados na revisão, bem como registrar as ações
recomendadas para sua eliminação ou controle.
Tabela 11: Exemplo: Identificação de perigos em uma Confraternização da empresa.
Fonte: Manuais da QS 9000,1997
101
Revisão de segurança
As revisões de segurança são formalizadas em investigações locais que, tipicamente,

são conduzidas na planta durante as operações de produção. Elas podem completar
outras técnicas de avaliações de perigo, efetuadas fora do local da planta, ou antes,
da planta entrar em produção. As pesquisas de perigo são conduzidas para identificar
as condições da planta e os procedimentos, que podem ter desviado dos padrões do
projeto.
O comitê de pesquisa de perigo inclui operadores, gerentes, pessoal de manutenção,

EST, SESMT e demais envolvidos em operação-segurança, que vivenciam a situação
diária da fábrica. A pesquisa gera recomendações para o melhoramento do processo de
segurança na forma de relatório escrito, também útil em avaliações subsequentes para
documentar as mudanças nas condições de operação.
Uma pesquisa típica de segurança geralmente é conduzida por dois a cinco profissionais
durante uma semana. A pesquisa pode incluir checklist ou análise simplificada de
Whatif para cada operação particular, como parte de uma pesquisa global, e pode se
concentrar na adequação de procedimentos e na introdução de alguns equipamentos
novos ou de substâncias que representem perigo potencial.
Embora a manutenção preventiva de equipamentos, muitas vezes, identifique facilmente

os problemas, a pesquisa de perigo possibilita tornar mais detalhada a identificação de
básicos problemas.
Técnica de Incidentes Críticos ( TIC )
É um método para identificar erros e condições inseguras que contribuem para

a ocorrência de acidentes com lesões reais e potenciais, com grande potencial,
principalmente naquelas situações em que se deseja identificar perigos sem a utilização
de técnicas mais sofisticadas e ainda, quando o tempo é restrito. A técnica tem
como objetivo a detecção de incidentes críticos e o tratamento dos riscos que os eles
representam. Para isso, utiliza-se de uma equipe de entrevistados representativa dentre
os principais departamentos da empresa, procurando representar as diversas operações
dela dentro das diferentes categorias de risco.
Um entrevistador os interroga e os incita a recordar e descrever os incidentes críticos,

ou seja, as condições inseguras que tenham vivido ou observado. Os entrevistados
devem ser estimulados a descrever tantos incidentes críticos quantos possam recordar,
sendo necessário para tal colocar a pessoa à vontade. A existência de um setor de apoio
psicológico seria de grande utilidade durante a aplicação da técnica.
102
Os incidentes pertinentes, descritos pelos entrevistados, devem ser transcritos e

classificados em categorias de risco, definindo a partir daí as áreas-problema, bem como
a priorização das ações para a posterior distribuição dos recursos disponíveis, tanto
para a correção das situações existentes como para prevenção de problemas futuros. A
técnica deve ser aplicada periodicamente, reciclando os entrevistados a fim de detectar
novas áreas-problema, e ainda para aferir a eficiência das medidas já implementadas.
Estudos realizados por William E. Tarrants apud De Cicco e Fantazzini (1994c) revelam
que a TIC detecta fatores causais, em termos de erros e condições inseguras, que
conduzem tanto a acidentes com lesão como a acidentes sem lesão e ainda, identifica as
origens de acidentes potencialmente com lesão.
Assim sendo, a técnica descrita, por analisar os incidentes críticos, permite a identificação
e exame dos possíveis problemas de acidentes antes do fato, ao invés de depois dele, tanto
em termos das consequências com danos à propriedade como na produção de lesões.
Análise de Árvore de Evento (Event Tree Analysis – ETA)

A ETA é similar à Fault Tree Analysis (FTA) em alguns passos. Como na FTA,
desenvolve-se um esboço da estrutura da análise de eventos com cenários de perigo.
Contudo, a FTA apresenta uma árvore lógica orientada verticalmente, enquanto que as
árvores ETA são construídas horizontalmente.
A ETA inicia com um evento novo e move-se à frente, preferencialmente, do início para
o final do evento. Esse método permite a análise de cada etapa por meio de um cenário
cronológico, enquanto considera a resposta do sistema de segurança e do pessoal de
operação. Com isso, pode-se fazer uma boa antecipação de todas as contingências. Se a
probabilidade de um evento começar, e a resposta do sistema for conhecida, é possível
calcular a probabilidade da resposta final. Entretanto, a probabilidade de resposta do
sistema e do evento inicializador é, geralmente, desconhecida.
Uma árvore de evento completa descreve o processo em vários estados alternativos de

falhas. Se todas as consequências e suas falhas forem discriminadas em um documento,
para cada consequência pode ser dada uma codificação específica, indicando a falha que
a originou. Como essa técnica é muito importante ao EST, será dada atenção especial
em capitulo próprio.
Árvore de decisão
É uma ferramenta de grande praticidade de uso e aplicabilidade por pessoas do nível

operacional, que se baseia em questionamentos e respostas para cada etapa do processo.
Entretanto, trata-se de uma ferramenta estática que não permite, por si só, a reavaliação
103
dos resultados provenientes das decisões tomadas. Sua aplicação ganhou abrangência
devido ao seu uso no auxílio de identificação de pontos críticos de controle
Identificação do Ponto Crítico de Controle (PCC)

O ponto crítico de controle pode ser definido como um ponto, etapa ou procedimento
em que se possam aplicar medidas de controle para prevenir, eliminar ou reduzir os
perigos a níveis aceitáveis. Sua identificação, como parte do sistema de análise de
riscos, necessita de capacitação técnica interdisciplinar, devido aos diferentes tipos de
perigo e à avaliação quantitativa. Alguns exemplos de PCC são: disparo do nível de
ação para ruído ou substâncias químicas; desligamento do quadro geral de energia para
manutenção em equipamentos; procedimentos específicos de higiene industrial.
A identificação do PCC pode ser facilitada pelo uso de uma árvore decisória apresentada
pela Figura 32 e 33, que consiste em uma série de perguntas estrategicamente elaboradas
de modo a resultar na definição de um PCC.
F, É necessário, porém, estabelecer os Limites Críticos do PCC, pois constituem

a fronteira de segurança em que cada PCC pode variar, sem que se perca o controle
sobre a inocuidade do ambiente. Devem ser parâmetros mensuráveis para as possíveis
quantificações e padronizações.
Figura 32. Árvore de decisão para determinação de Pontos Críticos de Controle
Fonte: Boccas, et al. ( 2001).
104
Figura 33. Árvore de decisão simplificada para matérias-primas
Fonte: Mortimore e Wallece (1996).
Chama-se a atenção para o fato de que sua determinação pode ser feita a partir de
informações em publicações científicas, legislação ou por determinação experimental.
Nesse contexto, há estabelecimento dos procedimentos de monitoração, assim definido
como uma sequência planejada de observações e de medidas para avaliar se um PCC
está sob controle. Sua função é produzir um registro para o futuro uso na etapa de
verificação.
O monitoramento possui três funções básicas:
I. é essencial para a salubridade dos ambientes, já que por meio dele é

possível seguir todos os passos das operações;
II. é utilizado para determinar quando há perda de controle e ocorrência de

desvios em um PCC;
III. proporciona uma documentação escrita que vai ser utilizada no

desenvolvimento do PPRA, por exemplo.
105
Uma consideração importante sobre o monitoramento é que ele deve ser de

execução fácil e rápida. Análises laboratoriais demoradas, como por exemplo, análise
espectrofotometria, não são interessantes para o sistema de gestão. A monitoração
contínua é preferível, mas quando não for possível, será necessário estabelecer uma
frequência de controle por PCC.
Controles estatísticos do processo com planos de amostragem podem e devem ser

utilizados. Para auxiliar a organização das planilhas de monitoramento de um PCC, as
seguintes perguntas devem ser feitas: Quê? Como? Quando? Quem?
Finalmente, para fixação dos conceitos e definições, segue um sintetizando, logo

abaixo, para ajudar na visualização da gestão de risco, que inclui a avaliação e, por
conseguinte a análise de riscos. Essa última, a mais elementar etapa: identificação
do perigo, os trabalhadores a eles expostos, bem como a estimativa de risco a partir
das probabilidades de ocorrerem tais perigos. Com a elaboração e estabelecimento de
medidas de controle, faz-se o controle de risco. A gestão de risco, portanto, engloba
tudo isso, aliada ao tratamento das não-conformidades, monitoramento, registro e
divulgação!
Ambientação 7: Sintetizando – Gerência de

Risco
Fonte: Soto, 1978.
106
Ambientação 8: Sintetizando – Análise de Risco
Fonte: Soto, 1978.
107
TÉCNICAS ATRIBUÍDAS
ESPECIFICAMENTE
A ENGENHARIA DE UNIDADE IV
SEGURANÇA DO
TRABALHO
Esse curso é voltado à engenharia de segurança do trabalho, por isso é fundamental que
se registre a sintonia dele com a Resolução/CONFEA nº 1.010, de 2005, em seus Anexos
I e II, que dispõem sobre as atribuições do EST, em especial aos itens:
4.1 - Campos de atuação da engenharia de segurança do trabalho
4.1.27 - Elaborar e executar analise de riscos, como Análise Preliminar de Riscos - APR, Árvore de Falhas - AF e outras;
4.1.29 - Estudar e analisar as condições de vulnerabilidade das instalações e equipamentos (HAZOP)
Com objetivo de contemplar tal capacitação, essa unidade dará ênfase aos saberes
iniciadores ao correto empreendimento dessas técnicas por parte do EST, ora cursista,
conforme a seguir destacado.
CAPÍTULO 1
Análise Preliminar de Perigo (APR)
A Preliminary Hazard Analysis ( PHA),também chamada de Análise Preliminar de

Riscos (APR) ou Análise Preliminar de Perigos (APP) é uma técnica de avaliação de
perigo satisfatória que pode ser realizada por um ou dois indivíduos com experiência
em perigos. Indica-se o método para casos em que a experiência é insuficiente para
conhecer a identificação dos maiores perigos, sendo que, geralmente, a técnica é
efetuada nas etapas preliminares do projeto.
A PHA lista os materiais perigosos, componentes de equipamentos e condições de

operações de processo. Para cada perigo, identifica-se a causa possível, as consequências
e as medidas corretivas, sendo os dados obtidos listados em uma tabela. A análise dessa
108
TÉCNICAS ATRIBUÍDAS ESPECIFICAMENTE A ENGENHARIA DE SEGURANÇA DO TRABALHO │ UNIDADE IV
tabela apresenta os resultados na forma de uma lista de recomendações para redução ou

eliminação dos perigos, porém a lista dos processos requer uma análise mais completa.
Essa técnica consiste na primeira abordagem sobre o objeto de estudo, dai chamar-se
preliminar. Seu foco de atuação consiste no estudo, durante a fase de concepção ou
desenvolvimento prematuro de um novo sistema, com o fim de se determinar os perigos
que poderão estar presentes na sua fase operacional, não sendo uma boa ferramenta
para controle dos perigos.
É uma análise do tipo qualitativa, desenvolvida na fase de projeto e desenvolvimento de

qualquer processo, produto ou sistema, possuindo especial importância na investigação
de sistemas novos de alta inovação e/ou pouco conhecidos, ou seja, quando a experiência
em perigos na sua operação é carente ou deficiente. Podendo ainda ser aplicada em
unidades já em operação, permitindo, nesse caso, a realização de uma revisão dos
aspectos de segurança existentes.
A melhor forma de controle das medidas recomendadas pela PHA é por meio de uma
Lista de Verificação. Atua sobre os possíveis eventos perigosos ou indesejáveis capazes
de gerar perdas na fase de execução do projeto. Com base em uma PHA obtém-se
uma listagem de perigos com medidas de controle a serem adotadas. Permite ainda
estabelecer responsabilidades no controle de risco, o que é uma medida de grande
importância na Gestão de Riscos.
Como a APR é realizada em estágios iniciais do projeto, a falta de informações detalhadas

sobre o projeto pode omitir perigos que somente serão detectados em fases avançadas
do projeto, o que pode acarretar custos e prejuízos não previstos inicialmente. Devido
à superficialidade a APR possui custos baixos de realização. A PHA não é uma técnica
aprofundada de análise de perigos e geralmente precede outras técnicas mais detalhadas
de análise, já que seu objetivo é determinar os perigos e as medidas preventivas antes
da fase operacional.
A APR tem grande utilidade no seu campo de atuação, porém, como já foi enfatizado,
necessita ser complementada por técnicas mais detalhadas e apuradas. Em sistemas
que sejam já bastante conhecidos, cuja experiência acumulada conduz a um grande
número de informações sobre perigos, essa técnica pode ser dispensada, nesse caso,
parte-se diretamente para aplicação de outras técnicas mais específicas. Não obstante,
essas limitações seguem a metodologia para montar uma APR.
109
UNIDADE IV │ TÉCNICAS ATRIBUÍDAS ESPECIFICAMENTE A ENGENHARIA DE SEGURANÇA DO TRABALHO
A metodologia consiste na realização das seguintes atividades:
a) descrição do objeto de forma a definir todas as etapas, estabelecendo se

necessário diagrama com o fluxo operacional. Exemplo: translado (casa –
aeroporto) – check-in – viagem aérea – translado (aeroporto – hotel) – check-in
- Hotel;
b) seleção da etapa ou sub etapa de estudo. Exemplo: translado (casa –
aeroporto);
c) seleção do evento perigoso ou indesejável. Exemplo: atrasar-se no
deslocamento ao aeroporto;
d) identificação das possíveis causas do evento. Exemplo: quebra do ônibus, sair
atrasado, trânsito congestionado, não conseguir táxi;
e) identificação das consequências do evento: correria, pouco tempo para
despedida, perder o voo;
-------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
f) a priorização das ações é determinada pela categorização dos riscos, ou
seja, quanto mais prejudicial ou maior for o risco, mais rapidamente deve ser
solucionado;
g) estabelecimento das medidas de controle de riscos e de emergências.
Exemplo: sair com antecedência, marcar previamente o táxi, verificar as horas de
rush, fazer check-list de viagem;
h) estabelecimento dos responsáveis pelas ações preventivas e corretivas;
i) Repetição das letras de “c” à “g” para outros eventos;
j) Repetição das letras de “b” à “g” para outras etapas ou sub etapas.
Sugere-se a classificação dada pela norma militar norte-americana MIL-STD-882A

apresentada na Tabela 12, que pode ser mais detalhada de acordo com o gerente de
risco.
Tabela 12. Avaliação das consequências segunda a norma militar norte-americana MIL-STD-882A.
No intuito de facilitar a fase de avaliação das consequências, coloca-se um exemplo

prático, conforme Tabela 13, que conforme necessidade, o EST, pode inserir outras
colunas, tais como: natureza do risco, responsável pelas medidas preventivas e/ou
corretivas, atividade, probabilidade.
110
Tabela 13. Exemplo com sistema de corte de vergalhões de aço.
111
CAPÍTULO 2
Failure Modesand Effect Analysis (FMEA)
A FMEA, também chamada de Análise de Modos de Falha e Efeitos ( AMFE ),é um

método de análise de perigo relativamente rigoroso e direto, conhecido também como
de falha, de efeito e de análise crítica, considera integralmente cada componente
do processo individualmente e descreve as funções de cada componente e todos os
potenciais de modos de falha. O método determina a causa destas falhas e também os
efeitos. Falhas que têm efeito significante podem ser identificadas por outras análises.
É possível que as causas das falhas sejam provenientes de inúmeros fatores, incluindo
falhas de sistemas, falhas humanas ou a combinação de ambas. Segundo Palady (1997) e
McNatally, Page & Sunderland (1997), o FMEA é uma ferramenta proativa, implicando
a eliminação de problemas potenciais antes que eles sejam realmente criados em um
protótipo, durante o processo ou em campo. A metodologia AMFE é uma ferramenta
que busca, em princípio, evitar, por meio da análise das falhas potenciais e propostas
de ações de melhoria, que ocorram falhas no projeto do produto ou do processo. Esse é
o objetivo básico desta técnica, ou seja, detectar falhas antes que se produza uma peça
e/ou produto.
A AMFE compreende uma análise detalhada do sistema, podendo ser qualitativa

ou quantitativa, com foco em seus componentes e que permite analisar as maneiras
pelas quais um equipamento ou sistema pode falhar e os efeitos que poderão advir
para o sistema, para o meio ambiente, e para o próprio componente. Com FMEA é
possível ainda estimar as taxas de falha, propiciar o estabelecimento de mudanças e
alternativas que possibilitem uma diminuição das probabilidades de falha, aumentando
a confiabilidade do sistema.
Cada vez mais são lançados produtos em que determinados tipos de falhas podem
ter consequências drásticas para o consumidor, tais como aviões e equipamentos
hospitalares nos quais o mau funcionamento pode significar até mesmo um risco de
vida ao usuário.
Para isso, é necessário o estabelecimento de como e quão frequentemente os

componentes do produto podem falhar, sendo então a análise estendida para avaliar
os efeitos de tais falhas. A AMFE é realizada primeiramente de forma qualitativa, quer
na revisão sistemática dos modos de falha do componente, na determinação de seus
efeitos em outros componentes e ainda na determinação dos componentes cujas falhas
112
têm efeito crítico na operação do sistema, sempre procurando garantir danos mínimos
ao sistema como um todo.
Posteriormente, pode-se proceder à análise quantitativa para estabelecer a

confiabilidade ou probabilidade de falha do sistema ou subsistema, por meio do
cálculo de probabilidades de falhas de montagens, subsistemas e sistemas, a partir das
probabilidades individuais de falha de seus componentes, bem como na determinação de
como poderiam ser reduzidas estas probabilidades, inclusive pelo uso de componentes
com confiabilidade alta ou pela verificação de redundâncias de projeto.
Para proceder ao desenvolvimento da AMFE ou de qualquer outra técnica, diferentemente

da APR e da TIC, é primordial que se conheça e compreenda o sistema em que se está
atuando e qual a função e objetivos dele; as restrições sob as quais irá operar; além dos
limites que podem representar sucesso ou falha. O bom conhecimento do sistema em
que se atua é o primeiro passo para o sucesso na aplicação de qualquer técnica, seja ela
de identificação de perigos, análise ou avaliação de riscos.
Conhecido o sistema e suas especificidades, pode-se dar seguimento a análise, cabendo

à empresa idealizar o modelo que melhor se adapte a ela. Em um produto podem existir
certos componentes ou conjunto deles que sejam especificamente críticos para a missão
a que se destina o produto ou para a segurança do operador.
De acordo com Hammer (1993), a esses componentes críticos deve-se dar especial
atenção, de forma a analisá-los de modo mais aprofundado que os demais, em regra
via Análise de Criticalidade e Modos de Falha (Failure Modesan Criticality Analysis –
FMECA), que parecido à FMEA se preocupa com a análise detalhada destes componentes
críticos.
Tanto a FMEA como a FMECA são bastante eficientes quando aplicadas a sistemas mais
simples e de falhas mais singelas, porém, quando a complexidade é maior, recomenda-
se o uso de outras técnicas como, por exemplo, a Análise de Árvore de Falhas, mais à
frente discutida.
Controlam-se os resultados dessas medidas pelo formulário FMEA por meio de colunas
nas quais ficam registradas as medidas recomendadas pelo grupo, nome do responsável
e prazo, medidas que foram realmente tomadas e a nova avaliação dos riscos. O
formulário FMEA é um documento dinâmico, ou seja, uma vez realizada uma análise
para um produto/processo qualquer, ela deve ser revisada sempre que ocorrerem
alterações.
113
Além disso, mesmo que não haja alterações deve-se regularmente revisar a análise
confrontando as falhas potenciais imaginadas pelo grupo com as que realmente vêm
ocorrendo no dia a dia do processo e uso do produto, de forma a permitir a incorporação
de falhas não previstas, bem como a reavaliação, com base em dados objetivos, das
falhas já previstas pelo grupo.
Apesar de ter sido desenvolvida com um enfoque no projeto de novos produtos e

processos, a metodologia FMEA, pela sua grande utilidade, passou a ser aplicada de
diversas maneiras, tais como:
revisão sistemática dos modos de falhas de um componente para garantir danos mínimos ao sistema;
determinação dos efeitos que tais falhas terão em outros componentes do sistema;
determinação dos componentes cujas falhas teriam efeito crítico na operação do sistema (falhas de efeito crítico);
cálculo da probabilidade de falhas de montagem, subsistemas e sistemas, a partir da probabilidade de falha de seus componentes;
determinação de como podem ser reduzidas as probabilidades de falhas de componentes, montagens e subsistemas, por meio do uso de
componentes com confiabilidade alta.
Pode-se aplicar a análise AMFE nas seguintes situações:
para diminuir a probabilidade da ocorrência de falhas em projetos de novos produtos ou processos;

para diminuir a probabilidade de falhas potenciais (ou seja, que ainda não tenham ocorrido) em produtos/processos já em operação;
para aumentar a confiabilidade de produtos ou processos já em operação por meio da análise das falhas que já ocorreram;
para diminuir os riscos de erros e aumentar a qualidade em procedimentos administrativos.
A metodologia FMEA é importante porque pode proporcionar para a empresa:
uma forma sistemática de se catalogar informações sobre as falhas dos produtos/processos;

melhor conhecimento dos problemas nos produtos/processos;
ações de melhoria no projeto do produto/processo, baseado em dados e devidamente monitoradas (melhoria contínua);
diminuição de custos por meio da prevenção de ocorrência de falhas;
o benefício de incorporar dentro da organização a atitude de prevenção de falhas, a atitude de cooperação e trabalho em equipe e a
preocupação com a satisfação dos clientes.
Essa metodologia pode ser aplicada tanto no desenvolvimento do projeto do produto

como do processo. As etapas e a maneira de realização da análise são as mesmas, ambas
diferenciando-se somente quanto ao objetivo. Assim as análises FMEA são classificadas
em três tipos:
FMEA DE PRODUTO- na qual são consideradas as falhas que poderão ocorrer com o produto dentro das especificações do projeto. O
objetivo desta análise é evitar falhas no produto ou em processos decorrentes do projeto. É comumente denominada de FMEA de projeto.
FMEA DE PROCESSO- são consideradas as falhas no planejamento e execução do processo, ou seja, o objetivo dessa análise é evitar falhas
do processo, tendo como base as não conformidades do produto com as especificações do projeto.
FMEA DE PROCEDIMENTOS ADMINISTRATIVOS- nele se analisam as falhas potenciais de cada etapa do processo com o mesmo objetivo
que as análises anteriores, ou seja, diminuir os riscos de falha.
114
Como a base da técnica e a análise dos modos falhas, torna-se imprescindível conhecer
os modos de falha que podem afetar um componente qualquer. São cinco os modos de
falhas consagrados na literatura:
FALHA DE OMISSÃO: quando não executa ou executa parcialmente uma atividade, tarefa, função ou procedimento;
FALHA NA MISSÃO: quando executa incorretamente uma atividade, tarefa, função ou procedimento;
FALHA POR ATO ESTRANHO OU AÇÃO ESTRANHA: quando executa uma atividade, tarefa, função ou procedimento que não deveria ser
executada;
FALHA SEQUÊNCIAL: quando executa uma atividade, tarefa, função ou procedimento fora da sequência correta;
FALHA TEMPORAL: quando executa uma atividade, tarefa, função ou procedimento fora do momento correto.
Considerando os focos de falha, verifica-se que no sistema produtivo/comercial há

catalogação das seguintes falhas: na produção; na matéria-prima e no cliente (uso
inadequado). Alguns exemplos pra ilustrar:
Falhas na Produção
Falhas de Projeto – Ex.: A característica de demanda não foi bem calculada, o arranjo físico não é atendido nas horas de pique etc.
Falhas de Pessoal – podem ser erros como enganos de julgamento e violações quando se percebe a posteriori que alguém deveria ter feito
algo diferente.
Falhas de Instalações – Ex.: Avarias nas máquinas ou equipamentos.
Falhas na Matéria-prima
Falhas de Fornecedores – Ex.: Prazos de entrega, qualidade dos materiais fornecidos.
Falhas do Cliente
Falhas de Clientes – Ex.: Uso indevido do produto.
As unidades métricas (taxa de falhas, confiabilidade e disponibilidade) para análise

quantitativa das falhas são discutidas em capítulo próprio neste material. O princípio
da metodologia é o mesmo independente do tipo de FMEA e a aplicação, ou seja, se é
FMEA de produto, processo ou procedimento, ou ainda, se é aplicado para produtos/
processos novos ou já em operação.
A análise consiste basicamente na formação de um grupo de pessoas que identificam

para o produto/processo em questão suas funções, os tipos de falhas que podem ocorrer,
os efeitos e as possíveis causas dessa falha.
Em seguida, são avaliados os riscos de cada causa de falha por meio de índices e, com
base nessa avaliação, são tomadas as ações necessárias para diminuir esses riscos,
aumentando a confiabilidade do produto/processo. A fase de Planejamento, que é
realizada normalmente pelo EST, no tocante às falhas relacionadas ao meio ambiente
do trabalho compreende:
115
descrição dos objetivos e abrangência da análise: em que se identifica qual (ais) produto(s)/processo(s) será(ão) analisado(s);
formação dos grupos de trabalho: em que se definem os integrantes do grupo, que deve ser preferencialmente pequeno (entre 4 a 6 pessoas)
e multidisciplinar (contando com pessoas de diversas áreas como qualidade, desenvolvimento e produção);
planejamento das reuniões: as reuniões devem ser agendadas com antecedência e com o consentimento de todos os participantes para evitar
paralisações.
A fase de execução do AMFE é realizada pelo grupo de trabalho que discute e preenche
o formulário FMEA de acordo com os passos que seguem abaixo:
1. dividir o sistema em subsistemas que podem ser efetivamente controlados;
2. traçar diagramas de blocos funcionais do sistema e subsistemas, para

determinar os inter-relacionamentos existentes;
3. preparar um cheklist dos componentes de cada subsistema e sua função

específica;
4. determinar por meio da análise de projetos e diagramas, os modos

possíveis de falha para cada componente indicando o tipo de modo de
falha (omissão; missão; por ato estranho; sequencial ou temporal);
5. indicar as causas das falhas para cada modo de falha;
6. indicar os efeitos de cada falha sobre outros componentes e como ela

afeta a operação;
7. definir a categoria do risco;
8. indicar os métodos usados para detecção de cada falha específica.
Nas fases seguintes, o grupo de trabalho define os índices de severidade (S), ocorrência
(O) e detecção (D) para cada causa de falha, de acordo com critérios previamente
definidos - por exemplo, o critério indicado na tabela abaixo. O ideal é que a empresa
tenha os seus próprios critérios adaptados a sua realidade específica. Na sequência, são
calculados os coeficientes de prioridade de risco (R), por meio da multiplicação dos
outros três índices (R = S x O x D).
i) Índice de Ocorrência (O):
116
Tabela 14. Exemplo de Critérios para Índice de Ocorrência
j) Índice de Severidade (S):
Tabela 15. Exemplo de Critérios para Índice de Severidade
l) Índice de Detecção (D):
Tabela 16. Exemplo de Critérios para Índice de Detecção
m) Coeficiente de prioridade de risco: R = O x S x D
117
Tabela 17. Exemplo de Critérios para Coeficiente de prioridade de risco
n) Formular possíveis medidas preventivas e corretivas de compensação e reparos que

podem ser adotadas para eliminar ou controlar cada falha específica e seus efeitos.
Essas medidas podem ser:
medidas de prevenção total ao tipo de falha;

medidas de prevenção total de uma causa de falha;
medidas que dificultam a ocorrência de falhas;
medidas que limitem o efeito do tipo de falha;
medidas que aumentam a probabilidade de detecção do tipo ou da causa de falha.
Deve-se analisar a viabilidade de cada medida e então definir as que serão implantadas.
Resumindo, segue um exemplo englobador das alíneas acima.Tabela 18. FMEA aplicado
ao sistema de corte de madeira em bancada de serra circular
* (O) Ocorrência, (S) Severidade, (D) Detecção, (R) Risco
118
Manual de Aplicação Prática de AMFE
A fim de consolidar esta técnica, coloca-se aqui a titulo de sugestão a utilização

formulário de AMFE, com base na obra de Helman,H.; Andery, P. R. P. 1995. Não
é um mero preenchimento de um formulário, mas uma descrição detalhada do que
acontece nas falhas possíveis e quais os procedimentos a serem seguidos para evitar a
ocorrência delas.
Tabela 19. Modelo de planilha de AMFE com respectivas instruções de preenchimento dos campos indicados.
CAMPO 1 – Identificação da AMFE: produto ou processo.
Deixe registrado se tratar de uma AMFE de produto ou processo. Essa é uma distinção
muito importante para nortear a análise que será conduzida.
Se for considerada uma AMFE de projeto de um produto, as causas de falha serão

aquelas pertinentes a problemas no projeto, como mau dimensionamento de uma peça,
desconhecimento do estado de tensões, especificação errônea do material. Se, por outro
lado, for uma falha de processo de fabricação, as causas das falhas serão distintas das
de produto, devendo haver perfeita definição no registro.
CAMPO 2 – Dados de Registro.
»» Coloque as informações básicas que facilitam uma posterior identificação

da AMFE. Inclua, por exemplo:
119
»» nome do produto e número de série;
»» identificação da etapa do processo, se for o caso;
»» data a liberação do projeto;
»» data da revisão;
»» data da confecção da AMFE;
»» número da versão;
»» data a versão anterior, se existir;
»» setores responsáveis pela execução;
coordenador e responsáveis.
CAMPO 3 – Item.
Adicione o item a ser considerado. Dependendo da extensão, coloque um item por

formulário.
CAMPO 4 – Nome ou componente da etapa do processo.
Identifique o elemento ou etapa do processo de forma clara e concisa. Utilize a

nomenclatura usada internamente na empresa, mesmo que não seja tecnicamente a
mais correta.
CAMPO 5 – Função do componente e do processo.
Descreva de maneira sucinta a função que o item (componente, subsistema ou etapa

do processo) deve satisfazer. Pergunte-se: Qual é o propósito desta peça (ou operação)?
Tenha clara a função do item examinado. Tenha em mente que as falhas serão sempre
uma inadequação a essa função, ou seja, uma redução de nível de desempenho.
CAMPO 6 – Modos de falhas.
Entende-se por modos de falhas os eventos que levam associados a eles uma diminuição
parcial ou total da função do produto e de suas metas de desempenho. Pergunte-se:
De que maneiras esse produto (processo) pode falhar na sua função estabelecida? Que
poderia impedir que essa peça atenda as especificações?
120
Abaixo é apresentado um roteiro de metas de desempenho, as falhas serão uma

inadequação a essas metas. Vejamos:
1. verificar as especificações registradas em contrato;
2. verificar especificações registradas em normas técnicas;
3. verificar condições ambientais;
4. parâmetros operacionais;
5. verificar as condições operacionais;
6. ciclo de vida útil do produto;
7. parâmetros operacionais;
parâmetro de confiabilidade.
Descreva a maneira pela qual o componente falha, em termos físicos e objetivos,

evitando descrições genéricas que não possibilita a identificação da falha. Por exemplo,
utilize: “amplificador com fonte de alimentação queimada” em vez de “amplificador
não funciona”
CAMPO 7 – Efeito da falha.
Entende-se por “efeitos das falhas” as formas como os modos de falhas afetam o
desempenho de sistema, do ponto de vista do cliente. É o que o cliente observa.
Pergunte-se: O que acontecerá se ocorrer o tipo de falha descrito? Quais consequências

poderá sofrer o cliente?
Deve-se descrever o efeito da falha, percebida ou não pelo cliente, podendo haver mais
de um efeito para cada falha.
CAMPO 8 – Causa da falha.
“Causas de falhas” são os eventos que geram (provocam, induzem) o aparecimento do

tipo de falha. Pergunte-se: Quais variáveis do processo podem provocar este modo de
falha?
As causas das falhas devem ser descritas de tal maneira que possam ser propostas ações
preventivas. Conforme check-list de perguntas a serem feitas na montagem de um
relatório de falhas, este pode ser utilizado nas situações em que se estuda um produto já
121
em fabricação ou um processo em operação. Mesmo que não sejam precisas, fornecem

preciosos vestígios para a identificação dos modos e causas das falhas.
1. Caso tenha sido observada uma falha, pergunte:
2. Quais foram as condições de uso?
3. Qual componente falhou?
4. Qual foi o tempo de uso?
5. Qual foi o tipo de falha?
6. Quais foram as consequências para o equipamento?
7. Como o equipamento estava funcionando antes de falhar?
8. Quais as causas prováveis de falha?
9. Quais foram as ações corretivas tomadas?
Modo de Falha Causa Efeito
Fratura da resistência de um chuveiro. Oxidação. Água não aquece.
Perda de ajuste na posição central de um mancal de rolamento. Acúmulo de tolerância. Travamento do eixo.
Erro no cadastro por falta de

Atraso na emissão de nota fiscal. Pagamento atrasado.
treinamento.
CAMPO 9 – Controles atuais.
Registre as medidas de controle implementadas durante a elaboração do projeto ou no

acompanhamento do processo que objetivem:
»» prevenir a ocorrência de falhas;
»» detectar falhas ocorridas e impedir que cheguem ao cliente.
Podem ser citados como exemplos:
»» sistemas padronizados de verificação de projeto;
»» procedimentos de revisão de projetos e desenhos;
»» confrontação com normas técnicas;
122
»» técnicas de inspeção e ensaios;
»» procedimento de controle estatístico do processo.
CAMPO 10 – Índice de ocorrência.
É uma estimativa das probabilidades combinadas de ocorrência de uma causa de falha,

e dela resultar o tipo de falha no produto/processo.
Probabilidade de
Índice Ocorrência Ocorrência (frequência relativa)
ocorrência
1 Muito remota Excepcional < que 1 em 500.000
De 1 em 50.000 a
2 Muito pequena Muito poucas vezes 1 em 500.000
De 1 em 5.000 a
3 Pequena Poucas vezes 1 em 50.000
De 1 em 1.000 a
4 1 em 5.000
De 1 em 200 a
5 Moderada Ocasional, algumas vezes 1 em 1.000
De 1 em 50 a
6 1 em 200
De 1 em 15 a
7 1 em 50
Alta Frequente
8 De 1 em 5 a 1 em 15
De 1 em 2 a 1 em 5
9
Inevitável, certamente ocorrerá a
Muito alta
falha ≥ que 1 em 2
10
CAMPO 11 – Índice de Severidade.
É o índice que deve refletir a Severidade do efeito da falha sobre o cliente, assumindo
que o tipo de falha ocorra.
Índice Conceito
1 Falha de menor importância.
Quase não percebidos os efeitos sobre o produto ou processo.
2a3 Provoca redução de performance do produto e surgimento gradual de ineficiência
Cliente perceberá a falha, mas não ficará insatisfeito com ela
123
Índice Conceito
4a6 Produto sofrerá uma degradação progressiva:
»» ineficiência moderada;
»» produtividade reduzida;
»» Início de frustração por parte do operador do processo ou cliente do produto;
Cliente perceberá a falha e ficará insatisfeito.
7a8 Mais de 50% a 70% das vezes não se consegue manter a produção, isso requer grande esforço do operador, há baixa
eficiência e produtividade,e alta taxa de refugo.
Em campo, o produto não consegue desempenhar a sua função.
O cliente perceberá a falha e ficará muito insatisfeito com ela.
9 a 10 Não se consegue produzir, colapso do processo. Problemas são catastróficos e podem ocasionar danos a bens ou pessoas.
Cliente ficará muito insatisfeito.
CAMPO 12 – Índice de detecção.
É o índice que avalia a probabilidade de a falha ser detectada antes que o produto
chegue ao cliente.
Índice Conceito
1 Muito alta probabilidade de detecção.
Alta probabilidade de detecção. Em processos, ações corretivas são tomadas em pelo menos 90% das vezes em que os seus
2a3
parâmetros saem fora de controle.
Moderada probabilidade de detecção. Somente em 50% das vezes em que o processo sai de controle são tomadas ações
4a6
corretivas.
Pequena probabilidade de detecção. Nível de controle muito baixo. Até 90% das peças produzida podem estar fora de
7a8
especificação.
9 Muito pequena probabilidade de detecção. Não há nenhum tipo de controle ou inspeção.
Muito remota probabilidade de detecção.
10
A falha não pode ser detectada.
CAMPO 13 – Índice de risco.
Registra o produto dos três índices anteriores. Esse índice é uma maneira de hierarquizar
as falhas e, consequentemente, hierarquizar as prioridades a serem tomadas para sanar
os problemas que a AMFE detectou até o momento.
CAMPO 14 – Ações preventivas recomendadas.
Registre, de forma objetiva, as ações que devem ser conduzidas para bloqueio da causa
da falha ou diminuição da sua severidade ou ocorrência.
CAMPO 15 – Ações preventivas adotadas.
Anote nesse campo as medidas efetivamente adotadas e aplicadas. Nem sempre as

ações recomendadas são adotadas, pois, às vezes, critérios factibilidade e/ou as ações
de custo decidem a não implantação de alguma recomendação.
Os campos seguintes (16 a 20) deverão ser preenchidos após ter sido concluída a análise
via AMFE e implementadas as ações preventivas recomendadas.
124
Sequência de procedimentos para elaboração da

AMFE
A fim de consolidar essa técnica, coloca-se aqui a titulo de sugestão a utilização

formulário de AMFE, com base na obra de Helman,H.; Andery, P. R. P. 1995.. Não
é um mero preenchimento de um formulário, mas uma descrição detalhada do que
acontece nas falhas possíveis e quais os procedimentos a serem seguidos para evitar a
ocorrência destas.
1. Definir a equipe responsável pela execução.

Nomeie um responsável e mote uma equipe multidisciplinar e multi-hierárquica, envolvendo profissionais de áreas distintas.
Elabore um cronograma prevendo os prazos de condução.
2. Definir os itens do sistema que serão considerados.
Procure responder as seguintes questões:
»» quais sãos os componentes ou processos que a equipe tem menor conhecimento?
»» quais componentes ou etapas que tem apresentado mais falhas?
»» quais são os componentes e etapas considerados mais críticos?
Examine relatórios de produção e verifique os itens considerados que são dependentes, ou seja, se a análise de um implica na análise de outros
itens.
Preparação prévia: coleta de dados.
Reúna todas as informações possíveis, como esquemas de projeto, desenhos, especificações, fluxogramas, padrões técnicos, normas pertinentes,
AMFE e AAF anteriores, registros de falhas entre outros.
Defina os procedimentos para documentação dos trabalhos e divida tarefas.
3. Análise preliminar dos itens considerados.
Faça uma compilação das falhas já conhecidas. Examine ou elabore os diagramas de blocos de confiabilidade.
Determine os elementos ou condições de uso e operações que não serão considerados. Elimine fatores como falta de energia, uso inadequado do
cliente, funcionamento em condições inadequadas ou desrespeito às instruções de uso fornecidas pelo fabricante.
4. Identificação dos tipos de falhas e seus efeitos.
Elabore um diagrama de Ishikawa (espinha de peixe ou diagrama de causa e efeito) e identifique os efeitos correspondentes a cada falha, buscando
os tipos de falhas que ocorrem ou que podem ocorrem.
Para fazer um Diagrama de Causa e Efeito devemos seguir os seguintes passos:
a) assinale os fatores mais importantes para obtenção do objetivo visado (fatores chave, fatores de desempenho, fatores críticos);
b) para organizar o Diagrama de Causa e Efeito, você pode usar as seguintes classificações de causas: os Ms (Mão de obra, Método, Material,
Máquina, Meio ambiente, Medição, “Management” (gestão); ou 4Ps (Políticas, Procedimentos, Pessoal, Planta). No entanto, essas são apenas
sugestões;
c) identificar o efeito (caso) em relação ao qual se decidiu pesquisar as causas em termos claros e precisos. O efeito pode ser, por exemplo, o
item de custo mais elevado;
d) estabelecer os objetivos e o tempo limite para as atividades de “brainstorming” (discussão conjunta dos intervenientes na análise de caso);
e) desenhar o esqueleto do diagrama, referindo as fontes principais das causas a pesquisar;
f) escrever as subcausas no topo das setas em branco e em tantas quantas forem às causas sugeridas;
g) entre todas as causas sugeridas, selecionar uma para ser estudada em profundidade. Efetuar sucessivamente o ele tratamento a cada causa,
eliminando todas que não forem relevantes;
h) para a causa, ou causas, detectadas como responsáveis, serão depois estudados os procedimentos que conduzam à correção do “efeito”;
5. Identificação das causas das falhas.
Relacione cada falha com as suas possíveis causas tendo como suporte os Diagramas de “Ishikawa” e todos os dados levantados na preparação
prévia.
6. Identificação dos controles atuais (modos de detecção).
Classifique os procedimentos para a detecção de uma falha quanto à viabilidade de implementação, identificando as falhas cujas causas não poderão
ser detectadas. Determine um índice de detecção.
7. Análise das falhas para determinação de índices de criticidade.
125
Devem-se determinar os índices de ocorrência e de severidade consultando os dados históricos de manutenção, dados estatísticos, dados de
fornecedores e dados da literatura técnica.
8. Análise das recomendações.
Elabore listas com recomendações, ou seja, para cada falha quais são as providências que devem ser tomadas para evitá-la, começando das mais
criticas. Verifique se as recomendações visam a atuar sobre as causas das falhas e não sobre os seus efeitos.
Geralmente o aumento dos controles para melhorar a detecção é custoso e pouco eficiente para melhorar a qualidade. O incremento dos controles
não é uma ação corretiva e deve ser usada como um recurso extremo e temporário. Todos os esforços deverão ser orientados preferencialmente no
sentido de diminuir a ocorrência das falhas (prevenir defeitos), mais do que a detectá-los.
9. Preenchimento dos formulários da AMFE.
10. Reflexão sobre o processo.
Verificar se o cronograma foi cumprido, o método de trabalho foi adequado e se buscou o consenso.
Se for o caso, propor alterações na forma de condução de próximas análises. Arquivar toda a documentação e resultados obtidos, formando
uma biblioteca. Essa técnica nos permite analisar como pode falhar os componentes de um equipamento ou sistema, estimar as taxas de falha,
determinar os efeitos que poderão advir, e, consequentemente, estabelecer as mudanças que deverão ser feitas para aumentar a probabilidade de
que o sistema ou equipamento realmente funcione de maneira satisfatória.
Fonte: Sell, 1995.
126
CAPÍTULO 3
Análise de Árvore de Falha ( AAF ) ou
Fault Tree Analysis – ( FTA)
A FTA é um método sistemático para determinar e exibir a causa de um grande evento

indesejável. O método inicia com o topo (ou final) do evento e desenvolve uma árvore
lógica, mostrando as causas de evento por meio do uso de operadores lógicos ‘e’ e ‘ou’. A
análise da árvore de falha identifica pequenos grupos de eventos iniciadores, resultando
no evento principal disposto no topo da árvore. Esses grupos de eventos são chamados
de conjuntos de pontos mínimos (minimalcut sets).
Permite uma abordagem lógica e sistemática de um evento muito indesejado. Essa

técnica pode fornecer a probabilidade de ocorrência em estudo e gera os chamados
conjuntos mínimos catastróficos, que são falhas simultâneas, desencadeadoras de
catástrofes. A AAF encontra sua melhor aplicação diante de situações complexas devido
à maneira sistemática na qual os vários fatores podem ser apresentados.
Se cada evento, em um conjunto de pontos mínimos, ocorre, o topo do evento irá ocorrer.
A partir desses conjuntos de pontos mínimos, desenvolvem-se as recomendações para
minimizar a probabilidade do evento iniciador, reduzindo a probabilidade de ocorrência
do evento principal.
Uma extensão adicional da FTA é a Avaliação Probabilística de Riscos (PRA). Com a

árvore de falha totalmente desenvolvida, são atribuídas probabilidades para a ocorrência
de cada evento nos conjuntos de pontos mínimos para determinar a probabilidade do
evento topo. Entretanto, a incerteza na PRA leva a uma dificuldade na determinação da
probabilidade dos eventos.
A probabilidade resulta dos dados da taxa de falhas dos equipamentos, mas, infelizmente,
esses dados não são muito confiáveis em alguns casos, e, em outros, inexistentes. Se os
equipamentos são usados em uma configuração não testada, ou foram recentemente
desenvolvidos, poucos dados sobre suas falhas podem estar disponíveis. Por essa razão,
as PRA são, geralmente, feitas com alto grau de incerteza.
Se, entretanto, dados confiáveis podem ser obtidos, a PRA pode provar ser um dos mais
eficientes métodos para a determinação do risco total de uma planta ou processo. A
PRA é utilizada especialmente para o estabelecimento de prioridades, visando reduzir
todas as probabilidades de falhas, devido ao fato de um evento de uma série poder ser o
mais provável e, portanto, ser um ponto lógico para a intervenção imediata.
127
A AAF é uma técnica dedutiva para a determinação de causas potenciais de acidentes e

de falhas no sistema, além do cálculo de probabilidade de falhas. Método excelente para
descobrir o mecanismo de encadeamento das várias causas que poderão dar origem a
um evento indesejável (falha).
Figura 34. Esquema estrutural da Análise de Árvore de Falhas - AAF.
Fonte: Henley e Kumamoto, (1981)
Determinam-se as frequências de eventos indesejáveis (topo) a partir da combinação

lógica das falhas dos diversos componentes do sistema. Segundo Lee et alli (1985), a
AAF permite a transformação de um sistema físico em um diagrama lógico estruturado
(a árvore de falhas), no qual são especificados as causas que levam a ocorrência de um
específico evento indesejado de interesse, chamado evento topo.
O evento indesejado recebe o nome de evento topo por uma razão bem lógica, já que na
montagem da árvore de falhas o ele é colocado no nível mais alto. A partir deste nível,
o sistema é dissecado de cima para baixo, enumerando todas as causas ou combinações
delas que levam ao evento indesejado.
Os eventos do nível inferior recebem o nome de eventos básicos ou primários, pois

são eles que dão origem a todos os eventos de nível mais alto. De acordo com Oliveira
e Makaron (1987), a AAF é uma técnica dedutiva que se focaliza em um acidente
particular e fornece um método para determinar as causas desse acidente, é um modelo
gráfico que dispõe várias combinações de falhas de equipamentos e erros humanos que
possam resultar em um acidente.
128
Consideram o método como “uma técnica de pensamento-reverso, ou seja, o analista

começa com um acidente ou evento indesejável que deve ser evitado e identifica as causas
imediatas do evento, cada uma examinada até que o analista tenha identificado as causas
básicas de cada evento”. Portanto, é certo supor que a árvore de falhas é um diagrama que
mostra a inter-relação lógica entre essas causas básicas e o acidente. Assim, a avaliação
qualitativa pode ser usada para analisar e determinar que combinações de falhas de
componentes, erros operacionais ou outros defeitos podem causar o evento topo.
Já a avaliação quantitativa é utilizada para determinar a probabilidade de falha

no sistema pelo conhecimento das probabilidades de ocorrência de cada evento em
particular. A diagramação lógica da árvore de falhas é feita utilizando-se símbolos e
comportas lógicas, indicando o relacionamento entre os eventos considerados.
As duas unidades básicas ou comportas lógicas envolvidas são os operadores “E” e

“OU”, que indicam o relacionamento entre eventos dos níveis inferiores que levam ao
evento topo. As combinações sequenciais desses eventos formam os diversos ramos da
árvore. A tabela 20
apresenta as simbologias utilizadas na AAF.
Tabela 20. Simbologias utilizadas na AAF
Fonte: Sell, 1995.
129
O uso da árvore de falhas pode trazer, ainda, outras vantagens e facilidades, quais sejam:
a determinação da sequência mais crítica ou provável de eventos, dentre os ramos da
árvore, que levam ao evento topo; a identificação de falhas singulares ou localizadas
importantes no processo; o descobrimento de elementos sensores (alternativas de
solução) cujo desenvolvimento possa reduzir a probabilidade do contratempo em
estudo.
Existem certas sequências de eventos centenas de vezes mais prováveis na ocorrência

do evento topo do que outras e, portanto, é relativamente fácil encontrar a principal
combinação ou combinações de eventos que precisam ser prevenidas, para que a
probabilidade de ocorrência do evento topo diminua. Além dos aspectos citados, a
AAF encontra aplicação para inúmeros outros usos, como: solução de problemas
diversos de manutenção, cálculo de confiabilidade, investigação de acidentes, decisões
administrativas, estimativas de riscos, etc.
A AAF pode ser executada em quatro etapas básicas: definição do sistema, construção
da árvore de falhas, avaliação qualitativa e avaliação quantitativa.
a. Definição do Sistema: seleção do evento indesejável ou falha, cuja

probabilidade de ocorrência deve ser determinada. Ainda na fase de
definição do sistema é feita a revisão dos fatores intervenientes,como
ambiente, dados do projeto, exigências do sistema, etc., determinando
as condições, eventos particulares ou falhas que possam vir a contribuir
para ocorrência do evento topo selecionado.
b. Construção da Árvore: montagem, por meio da diagramação

sistemática, dos eventos contribuintes e falhas levantadas na etapa
anterior, mostrando o inter-relacionamento entre esses eventos e
falhas, em relação ao evento topo. O processo inicia com os eventos que
poderiam, diretamente, causar tal fato, formando o primeiro nível, o
básico. À medida que se retrocede, passo a passo, até o evento topo, são
adicionadas as combinações de eventos e falhas contribuintes. Desenhada
a árvore de falhas, o relacionamento entre os eventos é feito por meio das
comportas lógicas.
c. Análise Qualitativa: por meio de Álgebra Booleana são desenvolvidas

as expressões matemáticas adequadas, que representam as entradas
da árvore de falhas. Cada comporta lógica tem implícita uma operação
matemática, podendo ser traduzidas, em última análise, por ações de
adição ou multiplicação;
130
d. Análise Quantitativa: determinação da probabilidade de falha de

cada componente, ou seja, a probabilidade de ocorrência do evento topo
será investigada pela combinação das probabilidades de ocorrência dos
eventos que lhe deram origem.
A simbologia apresentada na Tabela 18 permite uma análise qualitativa da árvore de

falha.
No entanto, para a análise quantitativa, além dos conceitos de simbologia, faz-se

necessário recordar algumas regras de conjunto (distribuição de probabilidade)
apresentadas na tabela 21, em que o sinal de “+” representa união e o de “-” interseção.
Tabela 21. Relacionamento e leis representativas da Álgebra de Booleana.
Embora tenha sido desenvolvida com o principal intuito de determinar probabilidades,

como técnica quantitativa, é muito comumente usada também por seu aspecto qualitativo
porque, dessa forma e de maneira sistemática, os vários fatores, em qualquer situação
a ser investigada, podem ser visualizados.
Segundo Hammer (1993), os resultados da análise quantitativa são desejáveis,

contudo, para proceder à análise quantitativa, deve ser realizada primeiramente a
análise qualitativa, sendo que muitos analistas creem que desse modo, obter resultados
quantitativos não requer esforços adicionais. (SOUZA, 1995)
A AAF não necessariamente precisa ser levada até a análise quantitativa, entretanto,
mesmo ao se aplicar o procedimento de simples diagramação da árvore, é possível a
obtenção de um grande número de informações e conhecimento muito mais completo
do sistema ou situação em estudo, propiciando uma visão bastante clara da questão e das
possibilidades imediatas de ação no que se refere à correção e prevenção de condições
indesejadas. Tal procedimento é ilustrado em árvore de falhas representada na Figura
34. As probabilidades dos eventos são calculadas, obedecendo-se às determinações das
comportas lógicas.
131
Figura 35. Estrutura gráfica de probabilidade em FTA
Fonte: Sell,1995.
Figura 36. Esquema básico de Análise de Árvore de Falhas - AAF
Fonte: Cicco, 1994
Memória de cálculo
Como: P(A ∩ B) = P(A) + P(B) - P(A ∩ B) à
P(A ∩ B) = P(A | B) x P(B) à P(B | A) x P(A) à
P(A ∩ B) = P(A) .P(B), se independentes, logo:
P(D) = P(B U C) = P(B + C) = P(B) + P(C) – P(B.C), Como: P(B.C) = P(B) . P(C), vem:
132
P(D) = P(B) + P(C) – P(B).P(C)
P(E) = P(A ∩ D) = P(A. D) = P(A) . P(D), substituindo P(D), tem:
P(E) = P(A).[ P(B) + P(C) – P(B).P(C)], aplicando propriedades:
P(E) = P(A).P(B) + P(A).P(C) – P(A).P(B).P(C)
A Árvore de Falhas apresentada na figura a seguir se refere a um secador de

cabelo para o evento-topo (ar frio não sair). Calcule as probabilidades dos
elementos intermediários e do evento topo.
Ambientação 9: Praticando – AAF
Analisando o evento indesejável “Queda de Elevador provisório de Passageiros”

por rompimento do cabo, monte a Árvore de Falhas para esse evento.
133
Ambientação 10: Praticando – AAF
Ambientação 11: Sintetizando – Manual de

Aplicação Prática - Procedimentos para
Construção da Árvore De Falha
A falha todo de uma cadeia de eventos tem basicamente três causas. Falha
primária, falha secundária e falha de comando. A falha primária está baseada
no próprio projeto e nos resultados advindos dessa falha. A falha secundária
é devida a causas externas ao projeto como trabalho em condições anormais;
condições fora do especificado para operação, como vibração, temperatura
e umidade; manutenção imprópria com uso de materiais ou mão de obra
inadequados. A falha de comando é causada por ordens ou ruídos provocados
por componentes que gerenciam a operação.
134
Figura 37. AAF para Falha em Motor de Partida.
Fonte: Greene, 1977.
Constata-se, na 36, a associação de eventos representados por retângulos, um interligado

ao outro, sem a utilização de portas lógicas. Essa associação entre esses eventos,
sem a utilização de portas para efeito de cálculo de confiabilidade, nada acrescenta,
apenas explica melhor o evento da falha. Os eventos representados por retângulos são
decorrentes de causas secundárias, razão pela qual devem ser desdobradas conforme a
135
dependência funcional. Na condição que estão representadas na figura 37, não permitem
o cálculo de confiabilidade de evento topo.
Figura 38. Simplificação de eventos que possuem alta e baixa probabilidade.
Alguns cuidados devem ser tomados durante a montagem da AAF.
Substitua eventos abstratos por eventos mais concretos em termos de informação.

Estabeleça causas distintas para cada um dos eventos. Represente essa ligação por meio do uso da porta lógica “OU”.
Desdobre um evento em eventos complementares, que necessita de ocorrência simultânea para que o evento topo aconteça.
Associe um evento gatilho a um evento não previsto no projeto. Essa relação entre esses eventos é indicada por meio do uso da porta lógica “E”.
Algumas vezes, o funcionamento normal de um componente auxilia na propagação de uma sequência de falhas. Nesse caso, admite-se que o
componente está no seu estado normal de funcionamento.
Evite desdobramento de porta lógica para porta lógica.
Pense na árvore por partes.
136
Análise qualitativa
A análise qualitativa consiste em determinar os seguintes elementos:
»» cortes mínimos;
»» um ranking qualitativo dos eventos terminais.
A combinação de eventos terminais que sejam suficientes para ocasionar a ocorrência

do evento é chamada de Corte Mínimo - CM.
Figura 39. Exemplo de um AAF.
Analisando a figura acima, pode-se chegar aos seguintes cortes mínimos necessários
para que o evento ocorra (observe da esquerda para direita):
CM1 = (E1, E1) = E1
CM2 = (E1, E3)
CM3 = (E1, E4)
CM4 = (E2, E1)
CM5 = (E2, E3)
CM6 = (E2, E4)
Para se fazer uma análise qualitativa desta AAF é necessário obter os Cortes Mínimos
Reduzidos ( CRM), ou seja, são os cortes mínimos que tem o menor número de elementos
suficientes para ocasionar a falha topo.
137
Nesse caso, o CM1 possui apenas o elemento E1 e os CM2, CM3 e CM4 possuem, além
do E1, outros elementos, ou seja, para os quatro primeiros cortes mínimos encontrados,
o único que é um corte mínimo reduzido é o CM1, pois esses quatro cortes mínimos
possuem o elemento E1, que por si só é suficiente para ocasionar o evento topo.
O corte CM5 contém partes pertencentes a outros cortes mínimos que mantêm a coerência
de levar a falha topo por si só. Portanto, é um corte mínimo reduzido. Analogamente é o
CM6. Finalmente, os cortes mínimos reduzidos da AAF desse exemplo são:
CMR1 = (E1)
CMR2 = (E2, E3)
CMR3 = (E2, E4)
Esses três cortes mínimos reduzidos indicam os possíveis caminhos para a falha topo
ocorrer. Pode-se observar que CMR1 tem apenas um evento terminal enquanto que
CMR2 e CMR3 têm, ambos, dois eventos terminais. Portanto, o corte mínimo CMR1 é
um corte mínimo reduzido de primeira ordem. CMR2 é um corte mínimo de 2ª ordem,
assim como o corte CMR3.
Pode-se também utilizar, nessa análise, a verificação no ranking de cortes mínimos, a

existência de cortes classificados na mesma ordem pelo fato de possuírem o mesmo
número de eventos terminais, com eventos comuns. Sendo esses eventos terminais
estatisticamente independentes, têm a mesma probabilidade de ocorrência.
O evento E1 deve ser considerado o mais crítico por pertencer a um corte mínimo de
1ª ordem; os demais eventos (E2, E3 e E4) pertencem a cortes mínimos de segunda
ordem.
Verifica-se que o evento E2 esta presente em dois cortes mínimos de segunda ordem
enquanto que os eventos E3 e E4 estão presentes somente uma vez em eventos de
segunda ordem. Portanto, o evento E2 deve ter uma priorização maior que os eventos
E3 e E4. Dessa forma, o ranking dos eventos, pelo seu grau de importância, é efetuado
na seguinte ordem: E1, E2, E3 e E4. Os eventos E3 e E4 possuem o mesmo grau de
importância.
Análise quantitativa
A análise quantitativa pode ser efetuada independentemente da análise qualitativa

utilizando. Nessa fase deve ser considerado que tipos de dados serão quantificados, o
que sem dúvida deverá depender do objetivo do FTA elaborado.
138
Para efetuarmos o cálculo do evento topo de um AAF, temos que utilizar os recursos da
Álgebra Booleana, como visto anteriormente, conforme Tabela 21 e Tabela 22.
Fonte: FARBER, 1991.
Tabela 22. Simbologia dos eventos
Fonte: Farber, 1991.
Tabela 23. Significados de simbologia
Retângulo: resultado da combinação de mais de uma falha. Resultado do desdobramento da

associação de portas lógicas.
Círculo: representa os eventos dos quais é possível obter informações de confiabilidade.
Diamante: são eventos não desenvolvidos em decorrência da falta de informação. Geralmente
removidos da AAF.
Casa de eventos: podem estar ligados ou desligados de acordo com a necessidade da análise
crítica do especialista. Ligado = 1, desligado = 0.
Oval: Indica ou estipula restrições.
Triangulo de transferência: evita a repetição de um determinado desdobramento de uma falha
que ocorre em diversas portas.
Hexágono: é uma porta lógica de inibição, representa uma relação casual probabilística. O
evento situado na parte de baixo é o evento de entrada, o evento lateral é um evento condicional,
condicionado ao evento de entrada. O evento de saída só ocorre quando o evento de entrada e
condicional ocorrem.
Fonte: Griffith, 1998.
139
Em adição ao que foi exposto anteriormente, ressaltem-se algumas restrições:
1. uma entrada pode ter somente um de dois módulos possíveis: ligado

– desligado; acontece – não acontece; fechado – não fechado. Dessa
forma, não pode existir condição intermediária, como condição parcial
de funcionamento;
2. os eventos são independentes uns dos outros a não ser que exista uma
relação de causa e efeito;
3. os eventos dependentes devem receber um tratamento específico, tanto

na elaboração da AAF como no cálculo do evento topo, em função de sua
dependência estatística.
A documentação requerida para se efetuar uma análise quantitativa deve conter as

seguintes informações:
corte mínimo/sistema crítico;

taxa de falha, MTBF de cada evento terminal;
identificação do método de análise, incluindo referências a manuais, etc;
considerações tomadas com relação aos dados, usados no AAF e na análise;
identificação do programa de computador utilizado, se for o caso;
listagem dos inputs e dos outputs do programa de computador, se for o caso.
Para se calcular o evento Topo da árvore de Falha, mostrada na figura abaixo, tem-se
que utilizar as equações de álgebra Booleana, vistas anteriormente. Pode-se iniciar
o cálculo, partindo do evento tipo, top down, ou partindo dos eventos terminais
bottom-up.
Figura 40. Exemplo de quantificação de uma árvore de falha.
140
T = E1 · E2 à
E1 = A + E3
E2 = C + E4
E3 = B + C
E4 = A · B
Primeiramente, faz-se a substituição de evento topo. Inicia com a equação do evento

topo e efetua as substituições e a expande até obter uma expressão que representa o
evento topo. Substituindo E1 e E2, tem-se: T = (A + E3) · (C + E4) = (A · C) + (E3 · C) +
(E4 · A) + (E3 · E4). Efetua-se a substituição de E3, tem-se:
T = A · C + (B + C) · C + E4 · A + (B + C) · E4 =
= A · C + B · C + C · C + E4 · A + E4 · B + E4 · C
Como C · C = C, vem:
T = A · C + B · C + C + E4 · A + E4 · B + E4 · C
Utilizando-se a Lei de Absorção, tem:
A · C + B · C + C + E4 · C = C
Portanto,
T = C + E4 · A + E4 · B
Finalmente, efetuando a substituição de E4 e aplicando novamente a Lei de Absorção,

vem:
T = C + (A · B) · + (A · B) · B
T=C+A·B
Portanto os cortes mínimos obtidos são: C e A · B, conforme 40.
141
Figura 41. Árvore de falhas equivalente a da Figura 40.
Fonte: Sell,1995.
O uso do cálculo na forma bottom-up pode ser mais trabalhoso, mas obtêm-se os cortes
mínimos de cada falha intermediária. Considerando a figura anterior, tem-se:
T = E1 · E2
E1 = A + E3
E2 = C + E4
E3 = B + C
E4 = A · B
Sabendo que E4 somente possui falhas primárias, substitui em E2 e, desta forma, temos:
E2 = C + A · B. Logicamente, o corte mínimo de E2 é composto por C e A · B.

Analisando-se agora E1, obtem-seE1 = A + N + C, por conseguinte, o corte mínimo
é composto por A, B e C. Finalmente, efetuando as substituições das expressões
anteriormente obtidas na equação da falha topo T, e utilizando a Lei de Absorção, vem:
T = (A + B + C) · (C + A · B) =
= A · C + A · A · B + B · C + B· A · B + C · C + C · A · B =
=A·C+A·B+B·C+A·B+C+A·B·C
T=C+A·B
Resumo de Aplicação de AMFE e AAF
AMFE e AAF são aplicáveis nas seguintes situações:
142
»» na melhoria de um produto já existente ou processo já em operação, a

parir de identificação das causas das falhas ocorridas e seu posterior
bloqueio;
»» na detecção e bloqueio de causas de falhas de falhas potenciais (antes que

aconteçam) em produtos ou processos já em operação;
»» na detecção e bloqueio das causas de falhas potenciais (antes que

aconteçam) em produtos ou processos, ainda na fase de projeto.
AMFE e AAF não são empregadas somente em processos industriais: frequentemente são
utilizadas na previsão ou constatação e bloqueio de erros em processos administrativos,
como por exemplo, a abertura de uma conta-corrente bancária ou a emissão de uma
nota fiscal.
Na AAF, raciocina-se de cima para baixo - topdown. A falha do sistema é denominada

de evento topo e é decomposta a partir do nível superior para os inferiores, como galhos
de uma árvore.
Por outro lado, pode-se examinar a possibilidade de falhas nas peças e componentes de
nível mais elementar, e quais as suas consequências nos níveis hierárquicos superiores
do sistema. Isso é o que faz a AMFE.
Figura 42. Comparação entre AMFE e AAF.
AAF AMFE
»» Identificação as causas primárias. »» Identificação das falhas críticas em cada componente, suas
Objetivo
causas e consequências.
»» Elaboração de uma relação lógica entre falhas primárias e
falha final do produto. »» Hierarquizar as falhas.
»» Análise da confiabilidade do sistema. »» Análise da confiabilidade do sistema.
»» Identificação da falha (evento) que é detectada pelo usuário »» Análise das falhas em potencial de todos os elementos do
Procedimento
do produto. sistema, e previsão das consequências.

»» Relacionar essa falha com falhas intermediárias e eventos »» Relação de ações corretivas ou preventivas a serem tomadas.
mais básicos por meio de símbolos lógicos.
»» Melhor método para análise individual de uma falha »» Pode ser utilizado na análise de falhas simultâneas ou co-
Característica
específica. relacionadas.
Básica
»» O enfoque é dado à falha final do sistema. »» Todos os componentes do sistema são passíveis de análise
Fonte: Sell,1995.
143
CAPÍTULO 4
Análise de Árvore de Eventos (AAE) Event
Tree Analysis (ETA)
A Análise da Árvore de Eventos (AAE) é um método lógico-indutivo de identificação

de perigos e análise de riscos das várias e possíveis consequências resultantes de um
evento inicial, chamado iniciador. Consiste em relacionar todos os riscos capazes
de contribuir ou ocasionar danos. AAE é um método indutivo que, partindo de um
determinado evento inicializador, delineia-se as combinações de eventos até chegar aos
possíveis resultados (cenários).
Não confundir Série de Risco (SR) com AAE. Apesar de também ser chamada de Análise
de Árvore de Eventos (AAE) a SR é diferente de AAE e por isso é preciso agora ser
diferenciada para que se possa compreender melhor a forma de apresentação da AAE.
A SR representa uma cadeia uma sequência de eventos que levam a um acidente (Evento
Catastrófico) que mapeia os riscos que conduzem ao evento perigoso ou indesejável.
Esses riscos são divididos em três categorias: risco inicial, risco principal e risco
contribuintes.
Parte-se do Risco Inicial que é aquele que desencadeia todo o processo; passa-se pelos
Riscos Contribuintes que são os que, em função do primeiro, dão continuidade ao processo
de ocorrência do acidente; passa-se pelo Risco Principal que direta ou indiretamente
pode causar morte ou lesão, danos a equipamentos, a instalações, degradação da
capacidade funcional e perdas de materiais, chegando até as consequências advindas
do processo.
No gráfico da Série de Riscos, estão presentes ainda os Inibidores, que são todas as
medidas capazes de evitar a ocorrência ou a propagação dos efeitos dos riscos. Ao
modelar a Série de Risco, ela pode apresentar o inter-relacionamento dos riscos de forma
simples ou por meio de ligações “e” ou “ou” que permitem calcular a probabilidade de
Ocorrência do Evento Catastrófico.
144
Figura 43. Sequência de eventos que podem levar a ruptura do vaso de pressão e os inibidores.
Fonte: Sell,1995.
Foi desenvolvida no início dos anos 70 para apoiar a implementação de análises de

riscos em centrais nucleares e atualmente é utilizada nas mais diversas áreas técnico-
científicas. Conforme Esteves (1982), a técnica busca determinar as frequências das
consequências decorrentes dos eventos indesejáveis, utilizando encadeamentos lógicos
a cada etapa de atuação do sistema.
Na Árvore de Falhas, parte-se de um Evento Topo, como, por exemplo, o rompimento

de uma tubulação e segue-se para trás, verificando os eventos que podem ter gerado
o Evento Topo. O Evento Topo da Árvore de Falhas é o evento iniciador da AAE que
ao contrário da Árvore de Falhas, segue-se para frente identificando-se eventos que
possam decorrer do evento iniciador.
Nas aplicações de análise de risco, o evento inicial da árvore de eventos é, em geral, a

falha de um componente ou subsistema, sendo os eventos subsequentes determinados
pelas características do sistema.
Para o traçado da árvore de eventos as seguintes etapas devem ser seguidas:
a. definir o evento inicial que pode conduzir ao acidente;
b. identificação dos eventos que podem influenciar, incluindo os sistemas

de segurança (ações) que podem amortecer o efeito do evento inicial;
c. combinar em uma árvore lógica de decisões as várias sequências de

acontecimentos que podem surgir a partir do evento inicial;
145
d. uma vez construída a árvore de eventos, deve-se calcular as probabilidades

associadas por ramo do sistema que conduz a alguma falha (acidente).
A árvore de eventos deve ser lida da esquerda para a direita. Na esquerda, começa-se
com o evento inicial e segue-se com os demais eventos sequenciais. A linha superior
é não, e significa que o evento não ocorre, a linha inferior é sim, e significa que o
evento realmente ocorre. A figura 44 e figura 45 representam esquematicamente o
funcionamento da técnica de AAE.
Figura 44. Representação esquemática de ETA para eventos dependentes.
Fonte: Sell,1995.
Figura 45. Representação esquemática de ETA para eventos independentes.
Relembrando algumas propriedades já vistas, tem-se:
- para qualquer evento A, P(A) = 1 – P(A ) → P( A ) compreende todos os eventos diferentes de A;

- se A e B, forem mutuamente exclusivos, então P(A ∩ B) = 0;
- para quaisquer dois eventos A e B com P(B) > 0, a probabilidade condicional de A dado que B ocorreu é definida por:
P(A | B) = P(A ∩ B)/P(B), P(B) ≠ 0 e
P(A ∩ B) = P(A | B) x P(B) = P(B | A) x P(A)
- quaisquer dois eventos A e B são independentes se P (A ∩ B) = P(A) e dependentes caso contrário. Além disso, Se A e B são independentes P(A
∩ B) = P(A).P(B)
Fonte: Cicco, 1993.
146
Abaixo se apresenta um exemplo de Árvore de Eventos para o caso de

descarrilamento de vagões ou locomotivas, dado que existe um defeito nos
trilhos. Como se pode observar, o descarrilamento pode ser causado por qualquer
uma das três falhas assinaladas e, portanto, a probabilidade de que um defeito
nos trilhos produza descarrilamento é a soma simples das três possibilidades
circuladas, ou seja, 0,6%.
Ambientação 12: Praticando – Aplicação de

Análise de Árvore de Eventos AAE (ETA)
Fonte: Cicco, 1993.
Ambientação 13: Praticando – Elabore uma Árvore

de Eventos para o Evento Iniciador, Vazamento
de Gás, e calcule a probabilidade de cada
resultado- AAE (ETA)
Suponha que um sistema de combustível complexo é suscetível aos vazamentos,

de três tipos: Vazamento Automatizado; Vazamento Menor e Vazamento Maior.
Considere uma probabilidade uniforme para cada tipo de vazamento, 10%, 50%
e 40% respectivamente. Para cada tipo de vazamento suponha o seguinte:
»» Vazamento Automatizado – Um vazamento automatizado não é

detectado. Há risco de inflamar, se houver ignição. Suponha 10% de
probabilidade de ignição.
»» Vazamento Menor – Um vazamento menor é detectado. Há uma

chance de 80% de detectá-lo. Há risco de inflamar, se houver ignição.
Suponha 10% de probabilidade de ignição.
147
»» Vazamento Maior - Um vazamento menor é detectado. Há uma de

probabilidade de 80% de detectá-lo.
»» Há risco de inflamar, se houver ignição. Suponha 10% de chance de

ignição.
Elabore uma Árvore de Eventos para o Evento Iniciador, Vazamento de Gás, e calcule a
probabilidade de cada resultado.
Finalmente, ao EST compete, entendendo o funcionamento das técnicas, saber aplicá-

las corretamente. Para isso, a Figura 28 apresenta uma consolidação para Análise de
Árvore de Falha (FTA), a Análise de Modos de Falhas e Efeitos (FMEA) e a Análise de
Árvore de Eventos (ETA), pois são as três das principais ferramentas de confiabilidade.
Um modo inteligente entre de comparar AAE, AAF e a AMFE é tomar um mesmo

evento de falha como foco de aplicação das três ferramentas. De acordo com a matriz
tempo-espaço mostrada abaixo, na qual o evento de falha corresponde à posição de
cruzamento da linha de espaço aqui com a coluna de tempo agora.
A AAF e a AMFE são ferramentas estruturais, enquanto que a AAE é uma ferramenta
sequencial. As setas no retângulo central da matriz, com os deslocamentos elementares
148
– horizontais no tempo, verticais no espaço e transversais, englobando tempo e

espaço –, indicam, para efeitos de foco em ocorrências específicas, as possíveis
movimentações do evento de falha para o posicionamento do evento de falha
(aqui-agora) em qualquer posição da matriz.
Figura 46. Consolidação para FTA, FMEA e ETA.
Fonte: Cicco, 1993.
149
CAPÍTULO 5
Estudo da Operabilidade e Perigo
(Hazardand Operability Studies –
HAZOP)
A palavra Hazop é derivada de Hazard (Perigo) e Operability (Operabilidade). Constitui

uma técnica de identificação e análise de risco que consiste em detectar desvio de
variáveis dentro de processos. O objeto da Hazop são os sistemas e seu foco os desvios
de variáveis de processos.
Hazop foi desenvolvida para identificar os perigos e problemas operacionais

em instalações de processos industriais, os quais, apesar de aparentemente não
apresentarem riscos imediatos, podem comprometer a produtividade e a segurança da
instalação.
Foi desenvolvido originalmente para análise qualitativa de perigos e problemas

operacionais, principalmente na utilização de novas tecnologias, em que o conhecimento
sobre a operacionalidade delas é escasso ou inexistente, sendo também utilizado nos
vários estágios da vida útil de instalações industriais.
É uma técnica estruturada e desenvolvida para identificar perigos em uma instalação

industrial, mas que procura, principalmente, identificar problemas referentes aos
procedimentos operacionais que possam levar a danos materiais ou humanos. Dessa
forma, o Hazop não é uma determinação de falhas por excelência, mas uma avaliação
não quantificada dos perigos e dos problemas operacionais presentes em um processo
industrial (AGUIAR,2001).
Em situações normais, as diferentes variáveis que controlam o sistema (vazão, pressão,

temperatura, viscosidade, composição, componentes) possuem valores esperados
para o funcionamento adequado do sistema. No entanto, em situações indesejáveis e/
ou perigosas os valores dessas variáveis, em diferentes pontos (denominados nós) do
sistema, alteram-se, durante a operação dele. A diferença observada entre os valores
alterados e os valores normais é chamada de desvio.
A técnica Hazop é um procedimento indutivo qualitativo, no qual uma equipe de

profissionais realiza um brainstorming sobre o projeto da planta em busca de perigos,
seguindo uma estrutura preestabelecida com base em uma lista de palavras-guia.
Essa técnica de identificação de perigos consiste, fundamentalmente, em uma busca
estruturada das causas de possíveis desvios em variáveis de processo.
150
É possível, então, identificar sistematicamente os caminhos pelos quais os equipamentos

envolvidos no processo industrial podem falhar ou serem operados de forma inadequada,
levando a situações indesejáveis de operação.
Uma das grandes vantagens do brainstorming é que ele estimula a criatividade e gera
idéias, por meio da interação de integrantes de grupos de diferentes áreas e diferentes
níveis de conhecimento, sobre todos os modos pelos qual um evento indesejável possa
ocorrer ou um problema operacional possa surgir. No entanto, para minimizar a
possibilidade de que algo seja omitido, a reflexão é executada de maneira sistemática:
cada circuito é analisado, linha por linha, para cada tipo de desvio passível de ocorrer
nos parâmetros de funcionamento do processo.
Em termos gerais, pode-se dizer que o Hazop é bastante semelhante à AMFE, contudo,
a análise realizada pelo primeiro método é feita por meio de palavras-chaves que guiam
o raciocínio dos grupos de estudo multidisciplinares, fixando a atenção nos perigos
mais significativos para o sistema.
As palavras-chaves ou palavras-guias são aplicadas às variáveis identificadas no processo

(pressão, temperatura, fluxo, composição, nível, etc.) gerando os desvios, que nada mais
são do que os perigos a serem examinados. A lista de palavras-guia deve ser tal que
promova um amplo e irrestrito raciocínio lógico visando detectar virtualmente todas as
anormalidades concebíveis do processo. Uma lista de “palavras-guia”, juntamente com
os tipos de desvios considerados, é mostrada na 24.
Tabela 24. Tipos de Desvios Associados com as “Palavras – Guias”
NÃO, NENHUM à Negação do propósito do projeto (Ex.: nenhum fluxo)
MENOS à Decréscimo quantitativo. (Ex.: menos temperatura)
MAIS, MAIOR àAcréscimo quantitativo. (Ex.: mais pressão)
MUDANÇAS NA COMPOSIÇÃO àAlguns componentes em maior ou menor proporção, ou ainda, um componente faltando.
TAMBÉM, BEM COMO à Acréscimo qualitativo. (Ex.: também)
EM PARTE à Decréscimo qualitativo. (Ex.: parte de concentração)
COMPONENTES A MAIS àComponentes a mais em relação aos que deveriam existir. (Ex.: fase extra presente, impurezas etc.)
OUTRA CONDIÇÃO OPERACIONAL → Partida, parada, funcionamento em carga reduzida, modo alternativo de operação, manutenção, mudança de
catalisador,etc.
REVERSO → Oposição lógica do propósito do projeto. (Ex.: fluxo)
OUTRO QUE, SENÃO → Substituição completa. (Ex.: outro que ar)
Fonte: Helman, 1995.
151
É comum que a união da palavra-guia com a variável produza significados diferentes, daí
a necessidade de possuir, na equipe, profissionais com experiência no funcionamento
do sistema. Identificadas as palavras-guias e os desvios respectivos, pode-se partir para
a elaboração das alternativas cabíveis para que o problema não ocorra, ou seja, mínimo.
Convém, no entanto, analisar as alternativas quanto a seu custo e operacionalidade.
No Hazop, a operabilidade é tão importante quanto à identificação de perigos.

Geralmente, neste tipo de estudo são detectados mais problemas operacionais do que
identificados perigos. Esse não é um ponto negativo, muito pelo contrário, aumenta sua
importância, pois a diminuição dos riscos está muito ligada à eliminação de problemas
operacionais. A eliminação dos problemas operacionais recai numa consequente
diminuição do erro humano, decrescendo assim o nível de risco, porém, é impossível
eliminar qualquer perigo que seja, sem antes ter conhecimento dele, o que pode ser
detectado pelo Hazop.
O método Hazop é principalmente indicado quando da implantação de novos processos

na fase de projeto ou na modificação de processos já existentes. O ideal na realização
do Hazop é que o estudo seja desenvolvido antes mesmo da fase de detalhamento e
construção do projeto, evitando com isso que modificações tenham que ser feitas, quer
no detalhamento ou ainda nas instalações, quando o resultado do Hazop for conhecido
(AGUIAR, 2001).
Vale ressaltar que o Hazop é conveniente para projetos e modificações tanto grandes
quanto pequenas. Às vezes, muitos acidentes ocorrem porque se subestima os efeitos
secundários de pequenos detalhes ou modificações, que à primeira vista parecem
insignificantes e é impossível, antes de se fazer uma análise completa, saber se existem
efeitos secundários graves e difíceis de prever.
Além disso, o caráter de trabalho em equipe que o Hazop apresenta, em que pessoas
de funções diferentes dentro da organização trabalham em conjunto, faz com que a
criatividade individual seja estimulada, os esquecimentos evitados e a compreensão
dos problemas das diferentes áreas e interfaces do sistema seja atingida. Uma pessoa,
mesmo competente, trabalhando sozinha, frequentemente está sujeita a erros por
desconhecer os aspectos alheios à sua área de trabalho. Assim, o desenvolvimento
do Hazop alia a experiência e competência individuais às vantagens indiscutíveis do
trabalho em equipe.
A Hazop pode ser aplicada a processos contínuos ou descontínuos. Nos contínuos,

a elaboração do fluxograma é requisito essencial; para os descontínuos, o principal
152
requisito é o procedimento escrito. O Hazop é ideal para ser empregada na fase final de
elaboração do projeto de processo, embora também seja aplicada na etapa de operação.
As principais vantagens da análise por Hazop estão relacionadas com a sistematicidade,

flexibilidade e abrangência para identificação de perigos e problemas operacionais. As
reuniões de Hazop promovem a troca de ideias entre os membros da equipe uniformizando
o grau de conhecimento e gerando informações úteis para análises subsequentes,
principalmente, para Avaliações Quantitativas de Riscos - AQR (AGUIAR, 2001).
O Hazop serve para os membros da equipe adquirirem um maior entendimento do

funcionamento da unidade em condições normais e, principalmente, quando da
ocorrência de desvios, funcionando a análise de forma análoga a um “simulador” de
processo.
Como desvantagem, avaliam-se apenas as falhas de processo (T, P, Q, pH,...)

para determinar as potenciais anormalidades de engenharia. Requer uma equipe
multidisciplinar com larga experiência para implementação da técnica. Especialistas
em projeto, processo, operação do processo, instrumentação, química, segurança e
manutenção.
O procedimento para execução do Hazop em processo descontínuo pode ser sintetizado

nos seguintes passos:
a. selecionar um passo da operação descontínua. A operação descontínua

geralmente é escrita na forma de procedimento, o que é essencial para
a eficácia do Hazop. As sentenças devem ser iniciadas com verbos no
infinito ou imperativo, curtas, objetivas, restrita à ação pretendida;
b. aplicar ao passo selecionado as palavras-guias. Para a variável, selecionar,

testam-se as palavras-guias para detectar desvios, verificar se os desvios
são perigosos ou indesejáveis;
c. verificar se há meios do operador identificar durante a operação a

ocorrência do desvio;
d. estabelecer medidas de controle de risco e de emergência;
e. seleciona-se um segundo passo e se repetem os passos “b”, “c” e “d”.
153
Imagine que na manhã de 10 setembro de 1976, ocorreu uma explosão numa indústria
de triclorofenol, em Sevesco, Itália. Uma decomposição exotérmica provocou a ruptura
do reator e a emissão de gás tóxico para a atmosfera. A elevada temperatura do reator
favorecera o aumento de TCDD (Tetracloro-dibenzenopara-dioxina). O TCDD é uma das
mais venenosas substâncias conhecidas e o acidente foi um dos mais graves ocorridos
em todo o mundo.
Analisando dois passos do procedimento utilizado no sistema de reação, a tabela a

seguir apresenta as falhas que levaram ao acidente com a indicação de como a aplicação
do Hazop poderia ter identificado os perigos (CHAVES, 2002).
Observe que a aplicação da Hazop identifica os desvios possíveis, mas as consequências

só podem ser previstas por profissionais que conhecem o processo, as reações químicas
e tenha experiência, daí a necessidade de uma equipe multidisciplinar.
A realização de um Hazop exige necessariamente, uma equipe multidisciplinar de

especialistas, com conhecimentos e experiências na sua área de atuação, para avaliar as
causas e os efeitos de possíveis desvios operacionais, de forma que o grupo chegue a um
consenso e proponha soluções para o problema.
A interação de pessoas, com diferentes experiências estimula a criatividade e gera

novas ideias, devendo todos os participantes defender livremente os seus pontos de
vistas, evitando críticas que inibam a participação ativa e a criatividade dos integrantes
da equipe. A composição básica da equipe é dada a seguir, sendo acrescida de outros
profissionais a depender do tipo e fase de operação do sistema.
No caso de plantas industriais em fase de projeto, são acrescidos: engenheiro de

automação, mecânico, civil e eletricista. Já no caso de instalações já existentes, devem
ser acrescidos de profissionais com larga experiência no sistema, tais como: chefe
da unidade ou engenheiro de produção; engenheiro responsável pela operação da
planta; supervisor-chefe da unidade; engenheiro de manutenção; responsável pela
instrumentação e o engenheiro de pesquisa e desenvolvimento.
154
Tabela 25. Função e perfil e atividades em Hazop.
As reuniões da equipe de Hazop devem ser suficientemente frequentes para se manter

o ímpeto desejado. Em geral, as reuniões devem durar cerca de três horas no máximo
e deve-se ter um intervalo de dois ou três dias entre reuniões subsequentes a fim de
permitir aos participantes coletar as informações necessárias, ou seja, frequência de 2
a 3 reuniões por semana (CHAVES, 2002).
O tempo necessário e o custo são proporcionais ao tamanho e complexidade da unidade

que estiver sendo analisada. Estima-se que sejam necessários, em média, cerca de 3
horas para cada grande equipamento da instalação, tais como, vasos, torres, tanques,
compressores, permutadores etc.
155
Tipicamente os principais resultados fornecidos pelo Hazop são os seguintes:
»» identificação de todos os desvios acreditáveis que possam conduzir a

eventos perigosos ou a problemas operacionais;
»» uma avaliação das consequências (efeitos) destes desvios sobre o processo.
O exame dos meios disponíveis para se detectar e corrigir ou mitigar os efeitos de tais
desvios. Podem ser recomendadas mudanças no projeto, estabelecimentos ou mudança
nos procedimentos de operação, teste e manutenção. Portanto, os resultados obtidos
são puramente qualitativos, não fornecendo estimativas numéricas nem qualquer tipo
de classificação em categorias.
O procedimento para execução do Hazop em processo contínuo pode ser sintetizado

nos seguintes passos:
a. divisão da unidade/sistema em subsistemas: esquematização do sistema

a fim de facilitar a realização do Hazop;
b. selecionar uma linha de processos: uma linha é qualquer ligação entre

dois equipamentos principais (capaz de modificações profundas no
processo), podendo existir elementos intermediários (bombas, válvulas,
etc.). A divisão em muitas linhas torna o trabalho cansativo, em poucas,
prejudica a identificação de riscos;
c. imaginar a linha operando em condições normais de projeto: serve como

ponto de partida, pois os desvios das variáveis são considerados em
relação às operações em condições normais;
d. selecionar uma variável de processo e aplicar as palavras-guias: para a

variável selecionar testam-se as palavras-guias e observa-se se os efeitos
são perigosos ou indesejáveis;
e. determinar as causas dos desvios perigosos ou indesejáveis;
f. avaliar qualitativamente as consequências dos desvios perigosos;
g. verificar se há meios do operador identificar durante a operação a

ocorrência do desvio;
h. estabelecer medidas de controle de risco e de emergência: as medidas

de controle de risco têm por finalidade evitar o evento perigoso. Já as de
156
emergência visam reduzir as consequências do evento, caso ele venha a

acontecer;
i. selecionar outra variável do processo selecionado e processo e repetir os

passos de “d” a “h”;
j. analisadas todas as variáveis para a linha de processo selecionada,

escolher outra linha de processo e repetir os passos de “b” a “i”;
k. após a análise das linhas, seleciona-se cada equipamento e aplica-se as

palavras-guia, repetindo-se os passos de “d” a “i”.
A correta utilização das palavras de orientação e a determinação de todos os pontos

críticos são a garantia que o sistema foi totalmente avaliado resultando na identificação
dos perigos do processo no sistema em função dos parâmetros de processo: temperatura,
vazão, concentração, etc. (CHAVES, 2002).
O processo de execução de um estudo de Hazop é estruturado e sistemático. Portanto,

se faz necessário o entendimento de alguns termos específicos que são utilizados no
desenvolvimento de uma Análise de Riscos dessa natureza.
Nós de estudo (Study Nodes): são os pontos do processo, localizados por meio dos fluxogramas da planta, que serão analisados nos casos em
que ocorram desvios.
Intenção de operação: a intenção de operação define os parâmetros de funcionamento normal da planta, na ausência de desvios, nos nós-de-
estudo.
Desvios: os desvios são afastamentos das intenções de operação, que são evidenciados pela aplicação sistemática das palavras-guia aos nós-de-
estudo (ex.: mais pressão), ou seja, são distúrbios provocados no equilíbrio do sistema.
Causas: são os motivos pelos quais os desvios ocorrem. A partir do momento em que um desvio tenha demonstrado possuir uma causa aceitável,
ele pode ser tratado como uma ocorrência significativa e analisado adequadamente. As causas dos desvios podem advir de falhas do sistema, um
estado de operação do processo não previsto (ex.: mudança de composição de um gás), distúrbios externos (ex.: perda de potência devido à queda
de energia elétrica), etc.
Consequências: as consequências são os resultados decorrentes de um desvio da intenção de operação em um determinado nó-de-estudo (ex.:
liberação de material tóxico para o ambiente de trabalho).
Parâmetros de processo: são os fatores ou componentes da intenção de operação, ou seja, são as variáveis físicas do processo (ex.: vazão,
pressão, temperatura) e os procedimentos operacionais (ex.: operação, transferência).
Palavras-guia ou Palavras-chave (Guide Words): são palavras simples utilizadas para qualificar os desvios da intenção de operação e para
guiar e estimular o grupo de estudo ao brainstorming. As palavras-guia são aplicadas aos parâmetros de processo que permanecem dentro dos
padrões estabelecidos pela intenção de operação. Aplicando as palavras-guia aos parâmetros de processo, em cada nó-de\ estudo da planta em
análise, procura-se descobrir os desvios passíveis de ocorrência na intenção de operação do sistema.
Assim, as palavras-guia são utilizadas para levantar questões como, por exemplo: o que
ocorreria se houvesse mais? Ou, o que aconteceria se ocorresse fluxo reverso? Dicas:
Sempre se marca um nó de estudo na entrada e na saída de um grande equipamento
acumule produtos (ex.: vasos, tanques) e antes e depois de linhas que cruzam. Fazer
sempre perguntas no nó de estudo, começar sempre a buscar as falhas no início do
sistema (AGUIAR, 2001).
157
Tabela 26. Modelo de Ficha de Avaliação Hazop.
Ambientação 14: Sintetizando – Aplicação

Hazop (exemplo).
Com base na Figura abaixo, que representa o processo de produção de
Ammonium Phosphate Dibasic - DAP, veja como fica uma Planilha Hazop para o
Nodo de Estudo 1, como a variável vazão.
Tabela 27. Fluxograma de processo com painel resultante da aplicação Hazop.
158
Técnicas de Avaliação de Riscos

O Hazop é uma avaliação técnica de perigos com vistas a identificar cenários de falhas
que envolvem múltiplos eventos independentes. Fazem parte desse estudo os grupos
de indivíduos, cada qual com qualificações específicas, incluindo operadores, pessoal
de manutenção, engenheiros de projeto, engenheiros de processo, técnicos industriais,
EST e outros envolvidos com o meio ambiente do trabalho.
A experiência Hazop, essencial para o líder, não é tão importante para o restante da
equipe. A maior desvantagem do Hazop refere-se ao período consumido e o número
de participantes, maiores do que nos outros métodos. O Hazop utiliza segmentos ou
nodos de pequenas divisões do processo, usando desenhos de equipamentos, plantas
de fábrica e instrumentos. Desvios de processos das operações normais são avaliados
pela aplicação de uma série de palavras guias, cujas consequências são determinadas ao
longo da análise com a probabilidade relativa de cada ocorrência.
O resultado do Hazop auxilia nas recomendações para melhoramentos ou para mais

estudos, baseando-se nas probabilidades e consequências dos desvios. Projetos de
equipamentos, manutenção e procedimentos operacionais e sistemas de gerenciamento
também podem ser avaliados. Devem-se inserir os resultados destas avaliações em uma
tabela para documentação.
As investigações Hazop permitem identificar várias formas de desvios do projeto,

algumas das quais podem ser julgadas como notáveis e apresentar consequências
159
potencialmente perigosas. Algumas medidas ausentes podem ser implementadas

pelos propósitos da planta do projeto e pelas medidas organizacionais para serem
incluídas no início dos procedimentos operacionais padrões (Standard Operating
Procedures -SOP).
Atribui-se à existência de procedimentos de Boas Práticas de Fabricação, particular

importância para a validação do processo. (PETTAUER, KÃPPELI e VESILIND, 1998).
A Hazop apresenta um desempenho de análise técnica de perigo e promove uma
estrutura e exames detalhados de todas as partes da planta. Em comparação com o
modelo cheklist, esta aplicação é mais abrangente, mas também demanda mais tempo.
Entretanto, adequadamente colocada em prática, oferece um alto potencial para

reavaliar pontos fracos escondidos. Em adição, a Hazop traz grandes vantagens de
ganhos de experiência de perigos relatados durante o planejamento e operação das
plantas já existentes (McNATALLY, PAGE e SUNDERLAND, 1997).
Além das principais técnicas utilizadas na análise de perigo citadas por Gressel e
Gideon (1991), Bryan (1996) destaca a Árvore de Decisão (DecisionTree), enfatizando
o uso para auxiliar a detectar quais as etapas do processamento ambiental apresentam
um risco maior de contaminação do ambiente. Essas etapas são denominadas pontos
críticos de controle e sua identificação é importante para gerar medidas preventivas.
160
CAPÍTULO 6
Limitações da Análise de Riscos e
Resumo
A Análise de Riscos tem demonstrado ser um sistema eficaz para quantificar os riscos
que os perigos podem trazer aos ambientes. Entretanto, uma das limitações do seu
emprego é a confusão que muitos autores fazem em relação à sua terminologia com
a Avaliação de Riscos. Chama-se a atenção para o fato: grande parte dos estudos que
se propõe desenvolver a Análise de Riscos, na verdade, trabalha com a Avaliação de
Riscos, o que geralmente é verificado na discussão. Confirma-se que avaliação de Riscos
é etapa da Análise de Riscos.
A Análise de Riscos é adequada para problemas complexos, cujas variáveis apresentam

um comportamento estável. Para aplicações em processos com variáveis não muito
estáveis, necessitam-se muito mais dados para aumentar a confiabilidade. A respeito
desta necessidade, contribui a falta de disponibilidade de dados, pois para confiabilidade,
os dados devem advir de delineamentos experimentais apropriados.
Há ainda a necessidade de esclarecer que a Identificação de Perigo, quando faz parte da

HACCP 28 é um processo qualitativo; ao contrário disso, quando faz parte da Avaliação
de Riscos, constitui-se como um processo quantitativo, que pode medir numericamente
o grau de risco.
Destacam-se as vantagens de se utilizar a Análise de Riscos nos processos relacionados

ao meio ambiente do trabalho, apesar de ainda não existirem disponíveis todos os
dados necessários para a obtenção da precisão desejada. Recomenda-se a utilização
da Análise de Riscos, mesmo que seja feita de forma incompleta; isso promoverá um
aumento na busca de dados e, consequentemente, uma pesquisa mais ampla sobre eles.
Essa ação, no futuro, determinará uma utilização mais completa da Análise de Riscos à
saúde do trabalhador que depende dos seguintes fatores:
I. o primeiro é que o avaliador deve ter conhecimento e treinamento

necessários para a tarefa. A avaliação é usualmente conduzida por uma
equipe, entretanto, nem todos os membros necessitam de treinamento
formal no uso dos diferentes métodos. Alguns membros da equipe devem
ter especial habilidade ou conhecimento de certos itens do processo
de operação ou manutenção de equipamentos. Os membros da equipe
161
devem incluir tanto pessoas que são familiarizadas com todos os aspectos
da planta de operação quanto aquelas que irão supervisionar;
II. o segundo é que a avaliação formal deve iniciar tão breve quanto
possível, preferencialmente, na etapa do projeto. Se o perigo potencial
for identificado cedo, as mudanças para tornar o processo seguro podem
ser tomadas mais facilmente;
III. o terceiro se refere às atualizações de análise, que devem ser feitas

regularmente. Essas avaliações podem mostrar mudanças de perigo no
processo e são particularmente importantes quando os processo são
modificados.
Resumo
A Análise de Riscos teve sua origem na história antiga, acerca de mais ou menos
setecentos anos, e seu uso baseava-se principalmente em traduzir os sinais dos deuses.
Com o decorrer do tempo, passou a ser usada de modo probabilístico para prever e
estimar valores de tempo de vida, e, mais tarde, na área financeira. Seu uso em saúde
do trabalhador é relativamente recente (PPRA,1994) e baseia-se, principalmente, no
modelo de Análise de Riscos, para prever perigos físicos, químicos e microbiológicos
que possam afetar a saúde humana.
Tabela 28. Resumo das Técnicas, análises e resultados.
A análise de Riscos, juntamente ao sistema gestão, é indicada pela para produzir

ambientes seguros. Entretanto, a sua maior desvantagem, qual seja, ser um modelo
altamente quantitativo, que dificulta a aplicação, consiste na maior oportunidade aos
EST pela atribuição legal e facilidade em manuseio de algoritmos e álgebra.
162
Ambientação 15: Sintetizando – Técnicas de

Análise de Risco.
163
O uso adequado das técnicas de análise de risco é função de algumas particularidades

de cada técnica e da experiência do Gerente de Risco, podendo fazer uso de mais de
uma ferramenta ao mesmo tempo. De forma mais esquemática, a tabela 29 apresenta
as técnicas de Análise de Risco e em que fase devem ser aplicadas dentro da Gestão de
Risco.
Tabela 29. Resumo das aplicações das técnicas de análise de risco.
164
Para (não) Finalizar
Apropriar-se das técnicas de análises de riscos para fins de controle de falhas e

intervenção ambiental constitui um grande diferencial competitivo ao EST para
fazer diferença positiva à saúde do trabalhador. Obviamente aqui não houve
aprofundamento nem forte aplicação prática, mas, sem dúvida, estamos alicerçados.
Como de resto, na engenharia, nunca nos sentimos prontos ao concluir um curso,
porém, instrumentalizados o suficiente para resolver os problemas que se apresentam
em nossa sociedade. Para isso, as referências bibliográficas são ótimas parceiras para
quem quiser e precisa se aprofundar. Encerramos aqui sem adentrar a vários assuntos
relativos à gerência de risco e, mesmo nos itens abordados, por limitações por parte
do professor; da metodologia à distância e da própria ciência, exige-se do EST que
a aprofunde naquilo que necessitar quanto às atribuições definidas pelo Anexo IV
da Resolução nº 1.010 do CONFEA. Esperamos, sinceramente, de alguma forma ter
contribuído para essa aprendizagem, que, de resto, alcança a todos nós. Como dito em
HT1 e HT2, a solução para os novos e velhos problemas do meio ambiente do trabalho
passa, necessariamente, por uma das mãos da Engenharia de Segurança do Trabalho.
Ah! E a outra mão? Quase esquecemos: é para continuar folheando.
165
Referências
ANUÁRIO BRASILEIRO DE PROTEÇÃO. Edição Especial da Revista Proteção.

2007. Ministério da Previdência Social. Anuário Estatístico da Previdência Social. 2006
ALMEIDA, Ildeberto Muniz. Modelo de Análise e Prevenção De Acidente De

Trabalho– MAPA / Ildeberto Muniz Almeida e Rodolfo A. G. Vilela; Alessandro J.
Nunes da Silva. [et al.], (colab.). – Piracicaba: CEREST, 2010.
AGUIAR, L.A.A. et al. A Termelétrica de Santa Cruz: Laboratório Químico

e Operações com Produtos Químicos na Área Industrial. Monografia do curso de
Especialização em Engenharia de Segurança do Trabalho UFRJ. Rio de Janeiro, 2001.
ARENDT, J. Steven et al - Managing safety: do`s and dont`s to OSHA - proof` your
process hazard analyses. p. 90-100, mar. 1993.
ARENDT, J. Steven et al. Managing safety: do’s and dont’s to ‘OSHA- proof’ your
process hazard analyses. Chemical Engineering. p. 90-100, mar. 1993.
ANSELL, Jake, WHARTON, Frank. Risk: analysis, assessment and management.

England: John Wiley & Sons, Ltd., 1992. 220 p. ISBN 0-471-93464-X.
BASTIAS, Hernán Henríquez. Introducción a la ingeniería de prevención

de pérdidas. São Paulo: Conselho Regional do Estado de São Paulo da Associação
Brasileira para a Prevenção de Acidentes, 1977. 290 p.
BERNSTEIN, P. L. Desafio aos Deuses: a fascinante história do risco. 2. ed. Rio de

Janeiro: Campus, 1997. 389 p.
BOCCAS, F. et al. HACCP..Train-in-action. program in the Lithuanian dairy

industry. Food Control, Guildford, v. 12, pp. 149-156, 2001.
BENTES, F. M. Programa de Gestão de Riscos para Tubulações Industriais.

Dissertação de Mestrado. Universidade de Brasília, 2007.
CARDELLA, Benedito. Segurança de processo em novas unidades industriais.

Gerência de Riscos.São Paulo, n. 13, pp. 8-12, jul/ago 1989.
CARDOSO, Olga R. Introdução à Engenharia de Segurança do Trabalho.

Apostila de aula do curso de Engenharia de Segurança do Trabalho. Florianópolis:
FEESC, 1994.
166
REFERÊNCIAS
CHAVES, L.A. Análise de Risco Tecnológico para Indústria de Processos

Químicos e Petroquímicos. Curso de Extensão, CEFET. Rio de Janeiro, 2002.
CHOWDHURY, Jayadev, PARKINSON, Gerald. OSHA tightens its hold. Chemical

Engineering, pp. 37-42, mai. 1992.
COAD, Peter, YOURDON, Edward. Análise baseada em objetos. Tradução da 2. ed.

americana por CT Informática. Rio de Janeiro: Campus, 1992. 225 p. (Série Yourdon
Press). ISBN 85-7001-700-6.
COVELLO, V.; MUMPOWER, J. Risk analysis and risk management: an historical

perspective. Risk Analysis. New York, v. 5, n. 2, pp. 103-120, 1985.
CORREA, Cármen Regina Pereira; CARDOSO JUNIOR, Moacyr Machado. Análise e

classificação dos fatores humanos nos acidentes industriais. Prod.,São Paulo,
v. 17, n. 1, Apr. 2007. Access on: 15, July de 2012. http:<//dx.doi.org/10.1590/S0103-
65132007000100013>.
CICCO, Francesco M.G.A.F. Gerência de riscos: ampliando conceitos. Proteção.

São Paulo, n. 27, fevereiro-março, 1994.
______. Introdução à Engenharia de Segurança de Sistemas. 3a ed. São Paulo,

Fundacentro, 1993. 113p.
______.Os riscos empresariais e a gerência de riscos. Proteção - suplemento

especial n. 1, São Paulo, n. 27, fevereiro- março, 1994.
______.Financiamento de riscos. Proteção - suplemento especial n. 6. São Paulo, n.

32, agosto, 1994.
FAO/WHO. Risk Management Paper. Rome, n. 65, 1997. [Report of a Joint FAO/
WHO Consultation: Rome, 27 to 31 January, 26p.
FARBER, José Henrique. Análise de riscos - dicas de como organizar um trabalho

preventivo na empresa. Proteção. São Paulo, v. 4, n. 16, pp. 36-37, abril-maio, 1992.
FARBER, José Henrique. Técnicas de análise de riscos e os acidentes maiores.

Gerência de Riscos. São Paulo, pp. 30-37, 1. trim. 1991.
FILIPE, J. Análise de riscos na Engenharia de Segurança. Saúde Ocupacional e

Segurança. São Paulo, v. XXI, pp. 64-73, 1986.
167
REFERÊNCIAS
GREENE, Mark R. Decision analysis for risk management - a primer on

quantitative methods. A series of articles reprinted from Risk Management magazine.
New York: The Risk and Insurance Management Society, 1977. 32 p.
Guidelines for hazard evaluation procedures. Battelle Columbus Division for

The Center for Chemical Process Safety of the American Institute of Chemical Engineers.
1. ed. New York: AIChE, 1985. 162 p.
GRESSEL, M. G.; GIDEON, J. A. An overview of process hazard evaluation

techniques. American Industrial Hygiene Association Journal, Chicago, v. 52, n. 4,
pp. 158-163, 1991.
GRIFFITH, C.J., WORSFOLD, D.; MITCHELL, R. Food preparation, risk

communication and the consumer. Food Control, Guildford, v. 9, n. 4, pp. 225-
232, 1998.
HANNUM, Wallace H., HANSEN, Carol. Instructional systems development in

large organizations. New Jersey: Educational Technology Publications, 1989. 326 p.
ISBN 0-87778-204-0.
HARMON, Paul, KING, David. Expert systems: artificial intelligence in business.

New York: John Wiley & Sons, Inc., 1985. 283 p. ISBN 0-471-81554-3.
HALE AR, Ale BJM, Goossens LHJ, Heijer T, Bellamy LJ, Mud ML, Roelen A, Baksteen
H, Post J, Papazoglou IA, Bloemhoff A, Oh JIH. Modeling accidents for prioritizing
prevention. Safety Science, 92:1701–1715; 2007.
HELMAN, H.; ANDERY, P. R. P. Análise de falhas: aplicação dos métodos de FMEA

e FTA. Belo Horizonte: Fundação Christiano Ottoni. Escola de Engenharia da UFMG,
1 ed., 1995.
HOLLNAGEL E. Modelo de acidentes e análise de acidente. In: Almeida IM (Org)

Caminhos das análises de acidentes. Brasília: Ministério do Trabalho e Emprego,
2003 .(pp 99 a 105).
______.Barriersand AccidentPrevention. Aldershot: Ashgate, 2004. p. 226.
______.Risk + barriers = safety? Safety Science 46 (2008) 221–229
JOHNSON WG. Mort: Management Oversight and Risk Tree. J. Saf. Res., v.7, n.1, pp.
4-15, 1975.
168
REFERÊNCIAS
LEVESON NG. A New Accident Model for Engineering Safer Systems. Safety
Science, v. 42, pp. 237-270, 2004. Disponível em <http://sunnyday.mit.edu/>
HAMMER, Willie. Handbook of system and product safety. Englewood Cliffs,

Prentice-Hall. New Jersey. USA. 1993.
HAMMER, Willie. Occupational safety management and engineering.

Prentice-Hall.New Jersey. USA. 1993.
KLETZ, T. A. O que houve de errado: casos de desastres em indústrias químicas,

petroquímicas e refinarias. São Paulo: Makron Books, 1993.
IIDA, Itiro. Novas abordagens em segurança do trabalho. Produção. Rio de

Janeiro, v. 1, n. 2, pp. 26-31, março, 1991.
JACKSON, Norman, CARTER, Pippa. The perception of risk. In: ANSELL, Jake,
WHARTON, Frank. Risk: analysis assessment and management. England: John Wiley
& Sons, Ltd., 1992. 220 p. ISBN 0-471-93464-X.
KLETZ, Trevor A. Eliminação dos riscos oriundos dos processos. Tradução e

adaptação de André Leite Alckmin. São Paulo: APCI, RODHIA S.A. 35 p. 1999.
LAMMERDING, A. M. An overview of microbial food safety risk assessment. Journal

of Food Protection. Ames, v. 60, n. 11, pp. 1420-1425, 1997.
LLORY, M. Acidentes Industriais: O custo do Silêncio. MultiMais ed., 1999.
MAYES, T. Risk analysis in HACCP: burden or benefit? Food Control, Guildford, v.

9, n. 3, pp. 171-176, 1998.
Manuais da QS 9000 - Análise de Modo e Efeitos de Falha Potencial (FMEA):

Manual de Referência. 1997.
McKONE, T. Overview of the risk analysis approach and terminology: the

merging of science, judgement and values. Food Control, Guildford, v. 7, n. 2,
pp. 69-76, 1996.
McNATALLY, K.; PAGE, M.A.; SUNDERLAND, V.B. Failure-mode and effects

analysis in improving a drug distribution system. American Journal Health
Syst. Pharm., v. 54, n. 2, pp. 171-177, 1997.
MELIN, José Maria. Uma metodologia para análise de viabilidade econômica

de um programa de treinamento operacional. Florianópolis: UFSC, 1983. 170 p.
169
REFERÊNCIAS
MOLAK, V. Fundamentals os risk analysis and risk management. Lewis

Publishers: Boston, 1997. 472 p.
MORTIMORE, S.; WALLACE, C. HACCP: enfoquepráctico. Zaragoza: Acribia, 1996.

291 p.
OLIVEIRA, Paulo Rogério Albuquerque de. Do exótico ao esotérico: uma

sistematização da saúde do trabalhador. 1. ed. São Paulo: LTr, 2011.
______.Nexo técnico epidemiológico previdenciário – NTEP e fator acidentário

de prevenção – FAP: novo olhar sobre a saúde do trabalhador. 2. ed. São Paulo: LTr,
2010.
PALADY, P. FMEA: análise dos modos de falha e efeito. São Pulo: IMAM, 1997. 270 p.
PAGANO, Marcelo e Gauvreau, Kimberlle. Ed Thomson. Princípios de bioestatística.

2004: p113-253.
PESSIS-PASTERNAK, Guitta. Do caos à inteligência artificial - quando os cientistas

se interrogam. Tradução de Luiz Paulo Rouanet. São Paulo: Editora da Universidade
Estadual Paulista, 1993. 259 p. ISBN 85-7139-040-1.
REASON, J. Human error: models and management. BMJ, 320, pp. 768-770, 2000.
REUTER, Luiz Roberto. Uma visão moderna da segurança industrial. Proteção.

São Paulo, v. 01, n. 4, pp. 71-73, abril, 1989.
SCAPIN, C. A. Análise sistêmica de falhas. Belo Horizonte: Editora de

Desenvolvimento Gerencial, 1 ed.,1999.
SELL, Ingeborg. Gerenciamento de riscos. Apostila do curso de Engenharia e

Segurança do Trabalho. Florianópolis: FEESC, 1995.
SETTI, José Luis. Paralelismo entre a teoria de Deming e a prevenção de

acidentes. Notícias de Seguridad, março, 1992.
SOUZA E.A. O Treinamento Industrial e a Gerência de Riscos - Uma Proposta

de Instrução Programada. Dissertação Mestrado. UFSC. 1995. <http://www.eps.ufsc.
br/disserta/evandro/indice/index.htm#index>
SOTO, José Manoel Gama. O problema dos acidentes do trabalho e a política

prevencionista no Brasil. Revista Brasileira de Saúde Ocupacional, São Paulo, v.
6, n.21, pp. 23-28, janeiro-março, 1978.
170
REFERÊNCIAS
SANTOS, J.A.R: Avião, o Transporte Seguro. Revista Previdência & Seguros. n.

520, nov1995.
STERNBERG, Fritz. A revolução militar e industrial do nosso tempo. Tradução

de Waltensir Dutra. Rio de Janeiro: Zahar Editores, 1962.
VERGARA, Walter Hernández. Simulação cognitiva da tomada de decisão

em situações complexas: modelagem do raciocínio humano por meio de casos.
Florianópolis: UFSC, 1995.
WHARTON, Frank. Risk management: basic concepts and general principles. In:
ANSELL, Jake,
WHARTON, Frank. Risk: analysis assessment and management. England: John Wiley
& Sons, Ltd., 1992. 220 p. ISBN 0-471-93464-X.
WHO - World Health Organization. Definitions of risk analysis terms related to

foodsafety. <http://www.who.int/fsf/mbriskassess/definanalysis.htm>, 1999a.
TAVARES, J. C., Noções de prevenção e controle de perdas em Segurança do

Trabalho. São Paulo: Senac, 2007.
171

Gerencia de Risco

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerencia de Risco

Enviado por

Direitos autorais:

Formatos disponíveis

Gerência de Risco

Paulo Rogério Albuquerque de Oliveira

Equipe Técnica de Avaliação, Revisão Linguística e Editoração

ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6

PARA (NÃO) FINALIZAR.................................................................................................................... 165

A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

Sugestão de estudo complementar

Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

Sugestão de atividades, no decorrer das leituras, com o objetivo didático de fortalecer

Chamadas para alertar detalhes/tópicos importantes que contribuam para a

Informações complementares para elucidar a construção das sínteses/conclusões

Trecho que busca resumir informações relevantes do conteúdo, facilitando o

Questionário com 10 questões objetivas, baseadas nos objetivos do curso,

Para (não) finalizar

Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

»» Ao olhar o céu, decidir por levar ou não o guarda-chuva.

»» Ao comprar um imóvel ou um ônibus.

»» Ao decidir por autorizar ou não os filhos a viajar com os amigos.

»» Ao escolher entre tirar nota baixa e colar em uma prova.

»» Ao aceitar ou não uma proposta de emprego.

»» Ao encontrar um caminhão bastante lento em aclive sinuoso: ultrapassar

»» Ao dizer sim no casamento!

»» Ao planejar uma viagem de férias

A ênfase desse curso está na abordagem estatístico-probabilística juntamente às

Desejamos a você um trabalho proveitoso sobre os temas abordados!

»» Conhecer e utilizar técnicas de análise de riscos como ferramentas para

»» Apropriar-se dos mecanismos de controle para intervenção ambiental.

»» Entender as definições básicas da EST ao classificar e identificar perigo,

»» Capacitar-se para avaliação e gestão de riscos.

»» Conhecer e interpretar corretamente técnicas, métodos e testes estatísticos

Estatística descritiva é a apresentação, organização, sumarização e descrição de um

Fonte: próprio autor

Estatística Inferencial é o método que torna possível a estimativa de características de

Indivíduos são os objetos descritos por um conjunto de dados. Os indivíduos podem

Variável é qualquer característica de um indivíduo. Uma variável pode tomar valores

População é o conjunto de indivíduos, podendo ser finita ou não.

Amostra é a parte finita e representativa da população, capaz de reproduzir as

Variável categórica indica a qual de diversos grupos ou categorias um indivíduo

Uma Amostra Aleatória Simples (AAS) de tamanho n consiste em n indivíduos, ou

Teorema Central do Limite: Considere uma AAS de tamanho n extraída de uma

Valor P do teste é a probabilidade - supondo-se H0 (hipótese nula) verdadeira -

Nível de significância é o valor decisivo de P representado por α.

Medidas de tendência central

A medida mais comum das medidas de centro é a média aritmética, ou simplesmente

Tabela 2. Planilha dos números de benefícios por incapacidade pelo INSS.

Fonte: próprio autor

É o “valor do meio”. Divide a distribuição de frequências em duas partes, permanecendo

a. verificar se os intervalos estão em ordem crescente;

b. construir a frequência acumulada;

c. encontrar a posição da mediana;

›› se n for ímpar: p= (n+1)

Li = limite inferior da classe mediana;

n = tamanho da amostra ou número de elementos;

Σf = soma das frequências anteriores à classe mediana

H = amplitude da classe mediana;

Fmd = frequência da classe mediana.

Tabela 3. Exposição a poeiras e fumos de chumbo.

Anos (x) F F acumulada

Posição da Mediana: n=34, então p= 34/2 = 17 e o intervalo mediano é o segundo,

Os quartis delimitam a metade central dos dados. Fazendo a contagem na lista

Para calcular os quartis: