Você está na página 1de 246

UNIVERSIDADE DE SÃO PAULO

ESCOLA POLITÉCNICA DA USP

PECE – PROGRAMA DE EDUCAÇÃO CONTINUADA

EAD – ENSINO E APRENDIZADO À DISTÂNCIA

eST – 701 / STR – 701


GERÊNCIA DE RISCOS

ALUNO

SÃO PAULO, 2017


EPUSP/PECE
DIRETOR DA EPUSP
JOSÉ ROBERTO CASTILHO PIQUEIRA
COORDENADOR GERAL DO PECE
LUCAS ANTÔNIO MOSCATO

EQUIPE DE TRABALHO
CCD – COORDENADOR DO CURSO À DISTÂNCIA
SÉRGIO MÉDICI DE ESTON
VICE - COORDENADOR DO CURSO À DISTÂNCIA
WILSON SHIGUEMASA IRAMINA
PP – PROFESSOR PRESENCIAL
ALESSANDRA ISABELLA SAMPAIO MARTINS
DIEGO DIEGUES FRANCISCA
REINALDO AUGUSTO GOMES SIMÕES
CPD – CONVERSORES PRESENCIAL PARA DISTÂNCIA
ANDRÉ FILLIPE BEZERRA
EMMANUEL BARREIRA FERRARO
FELIPE THADEU BONUCCI
FLÁVIA VILHENA SUTTER AFFONSO
GIOVANNA CABRAL CAZALI
MATHEUS BASSANI
FILMAGEM E EDIÇÃO
FELIPE THADEU BONUCCI
KARLA CARVALHO
THALITA SANTIAGO DO NASCIMENTO
IMAD – INSTRUTORES MULTIMÍDIA Á DISTÂNCIA
DIEGO DIEGUES FRANCISCA
FELIPE BAFFI DE CARVALHO
FELIPE THADEU BONUCCI
LUAN LINHARES
MATHEUS BASSANI
PEDRO MARGUTTI DE ALMEIDA
SEIJI RENAN MICHISHITA

CIMEAD – CONSULTORIA EM INFORMÁTICA, MULTIMÍDIA E EAD


CARLOS CÉSAR TANAKA
JORGE MÉDICI DE ESTON
SHINTARO FURUMOTO
GESTÃO TÉCNICA
MARIA RENATA MACHADO STELLIN
APOIO ADMINISTRATIVO
NEUSA GRASSI DE FRANCESCO
VICENTE TUCCI FILHO

“Todos os direitos reservados. Proibida a reprodução total ou parcial, por qualquer meio ou processo,
sem a prévia autorização de todos aqueles que possuem os direitos autorais sobre este documento”.
Sumário

i
SUMÁRIO

CAPÍTULO 1. RISCOS TECNOLÓGICOS E EVOLUÇÃO DA SEGURANÇA. ....... 5


1.1. Introdução ..................................................................................................... 6
1.2. Conceito de Segurança ................................................................................. 7
1.3. Gerenciamento de Riscos e o Processo de Gestão de Segurança de Sistemas
...................................................................................................................................... 8
1.4. Testes...........................................................................................................12
CAPÍTULO 2. TEORIA DE INCIDENTES. ..............................................................13
2.1. Introdução ....................................................................................................14
2.2. Teoria de Heinrich ........................................................................................14
2.3. Teoria de Bird ...............................................................................................14
2.4. Teoria de Fletcher.........................................................................................15
2.5. Teoria dos Dominós......................................................................................15
2.6. Teoria de Haddon .........................................................................................16
2.7. Outras Teorias ..............................................................................................17
2.8. Testes...........................................................................................................20
CAPÍTULO 3. INTRODUÇÃO À GESTÃO DE RISCOS.........................................22
3.1. Introdução ....................................................................................................23
3.2. ARQUITETURA DA GESTÃO DE RISCOS SEGUNDO A NORMA ISO 31000
– PRINCÍPIOS, ESTRUTURA E PROCESSOS ............................................................24
3.4. Conceitos Iniciais de Análise de Riscos Tecnológicos ..................................30
3.5. Conceito de Risco e de Sistemas de Gerenciamento ...................................30
3.6. O PROCESSO DE GESTÃO (OU DE GERENCIAMENTO) DOS RISCOS ..44
3.7. Testes...........................................................................................................51
CAPÍTULO 4. IDENTIFICAÇÃO DE PERIGOS E ANÁLISE DE RISCOS – ANÁLISE
PRELIMINAR DE RISCOS (APR). ..................................................................................53
4.1. Introdução ....................................................................................................54
4.2. Problemática do Risco ..................................................................................55
4.3. Metodologia de Identificação de Perigos e de Análise De Riscos .................56
4.3.1. Introdução ..............................................................................................56
4.3.2. Criação de uma Metodologia ..................................................................56
4.4. Técnicas Preliminares De Identificação De Perigos ......................................59
4.4.1. MSDS (FISPQs) .....................................................................................59
4.4.1.1. Classificação de gases e líquidos tóxicos (CETESB - Critério para a
Classificação de Instalações Industriais, quanto à Periculosidade.) .......................60
4.4.1.2. Classificação de gases e líquidos inflamáveis ..................................62
4.4.2. Regulamentações e Normas Legais .......................................................62

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Sumário

ii
4.4.3. Análise Preliminar de Perigos (APP) ......................................................63
4.4.4 Análise Preliminar de Perigos Modificada................................................69
4.5. EXERCÍCIO ..................................................................................................78
4.6. Testes...........................................................................................................81
CAPÍTULO 5. OBJETIVOS E PROGRAMAS DE GESTÃO DE SEGURANÇA. ....83
5.1. Introdução ....................................................................................................84
5.2. EXERCÍCIO ..................................................................................................91
5.3. Testes...........................................................................................................94
CAPÍTULO 6. ERRO HUMANO E O FATOR HUMANO NOS INCIDENTES. ........95
6.1. Introdução ....................................................................................................96
6.2. Conceituação de Erros e Falhas Humanas ...................................................96
6.3. Algumas Estatísticas sobre Erros e Falhas Humanas ...................................99
6.4. Fatores que causam o erro humano ...........................................................101
6.5. Fatores humanos nos incidentes ................................................................102
6.6. Tipos de Erros Humanos ............................................................................103
6.6.1 Deslizes Simples ou Atos Falhos ou Parapraxias ..................................103
6.6.2 Enganos (Mistakes) ...............................................................................103
6.7. Fatores de recuperação ..............................................................................104
6.8. A Forma Atual de se Trabalhar as Falhas Humanas na Operação .............106
6.9. Falhas humanas no processo .....................................................................107
6.10. Stress .......................................................................................................108
6.11. Automação: benefícios e desvantagens ...................................................110
6.12. Prevenção de incidentes Durante o Projeto do Sistema ...........................111
6.13. Testes.......................................................................................................113
CAPÍTULO 7. TÉCNICAS DE IDENTIFICAÇÃO DE PERIGOS E OPERABILIDADE
– WHAT IF. ....................................................................................................................115
7.1. Introdução ..................................................................................................116
7.2. Técnica “What / If” ......................................................................................116
7.3. Exemplos de questões “What / If” típicas ....................................................118
7.4. EXERCÍCIO ................................................................................................119
7.5. Testes.........................................................................................................123
CAPÍTULO 8. TÉCNICAS DE IDENTIFICAÇÃO DE PERIGOS E OPERABILIDADE
– HAZOP. ......................................................................................................................124
8.1. Introdução ..................................................................................................125
8.2. A técnica do Hazop.....................................................................................125
8.3. Terminologia do Hazop ...............................................................................126
8.4. Exemplo de aplicação do Hazop.................................................................127
8.5. Hazop em processos contínuos e em processos descontínuos ..................132

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Sumário

iii
8.6. EXERCÍCIO ................................................................................................134
8.7. Testes.........................................................................................................138
CAPÍTULO 9. FUNDAMENTOS MATEMÁTICOS PARA A ANÁLISE
QUANTITATIVA DE RISCOS E CONFIABILIDADE. ....................................................139
9.1. Álgebra Booleana .......................................................................................140
9.2. Diagramas de Venn ....................................................................................140
9.3. A Lógica das Comportas.............................................................................142
9.4. Noções de Confiabilidade ...........................................................................143
9.5. Testes.........................................................................................................146
CAPÍTULO 10. ANÁLISE DA ÁRVORE DE FALHAS - AAF (FAULT TREE
ANALYSIS - FTA). ........................................................................................................147
10.1. Introdução ................................................................................................148
10.2. Testes.......................................................................................................153
CAPÍTULO 11. ANÁLISE DE MODOS DE FALHA E EFEITOS (FAILURE MODE
AND EFFECT ANALYSIS - FMEA) ...............................................................................154
11.1. Introdução ................................................................................................155
11.2. Etapas da Realização de uma FMEA .......................................................156
11.3. Exemplo de aplicação da técnica de FMEA da Segurança .......................157
11.4. EXERCÍCIO ..............................................................................................164
11.5. Testes.......................................................................................................168
CAPÍTULO 12. GERENCIAMENTO DE RISCOS QUANTITATIVO. ....................169
12.1. Aperfeiçoamento da Análise de Riscos.....................................................170
12.2. Metodologia de uma Análise de Riscos ....................................................170
12.3. Risco Individual e Risco Social .................................................................175
12.4. Análise de Conseqüências .......................................................................181
12.5. EXERCÍCIO ..............................................................................................188
12.6. Testes.......................................................................................................190
CAPÍTULO 13. GERENCIAMENTO DE RISCOS. ................................................191
13.1. Introdução ................................................................................................192
13.2. Administração do Risco Empresarial ........................................................196
13.3. Responsabilidade Pelo Produto / Segurança e Qualidade ........................197
13.4. EXERCÍCIO ..............................................................................................200
13.5. Testes.......................................................................................................202
CAPÍTULO 14. ferramentas de análise de risco E MÉTODOS DE VALORAÇÃO
DE RISCOS ...................................................................................................................203
14.1 FERRAMENTAS DE ANÁLISE DE RISCO ................................................204
14.1.1 WRAC .................................................................................................204
14.1.2 FMECA ................................................................................................205

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Sumário

iv
14.1.3 HAZOP ................................................................................................205
14.1.4 FTA .....................................................................................................206
14.1.5 ETA .....................................................................................................207
14.1.6 BTA .....................................................................................................208
14.1.7 SLAM (ou equivalente) ........................................................................209
14.2 MÉTODOS DE VALORAÇÃO DE RISCOS ...............................................209
14.3. Testes.......................................................................................................213
CAPÍTULO 15. GERENCIAMENTO EM QUATRO CAMADAS E GERENCIAMENTO
INTEGRADO DE RISCOS .............................................................................................215
15.1 GERENCIAMENTO EM QUATRO CAMADAS ..........................................216
15.2 GERENCIAMENTO INTEGRADO DE RISCOS .........................................218
15.3. Testes.......................................................................................................222
CAPÍTULO 16. BOWTIE ANALYSIS (BTA) .........................................................224
16.1 BTA PASSO A PASSO ..............................................................................225
16.2 Recursos adicionais do software BowTieXP ..............................................230
16.3. Testes.......................................................................................................232
BIBLIOGRAFIA ....................................................................................................234
ANEXO A .............................................................................................................244

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

CAPÍTULO 1. RISCOS TECNOLÓGICOS E EVOLUÇÃO DA SEGURANÇA.

OBJETIVOS DO ESTUDO

Introduzir os alunos na problemática dos riscos para as organizações modernas,


abordando a preocupação da sociedade com os riscos de segurança e saúde do
trabalho, o risco tecnológico e a reação da indústria; apresentar a evolução dos
conceitos relacionados a riscos de segurança, sua avaliação e gestão; introduzir os
elementos de um sistema de gestão de riscos e de saúde e segurança voltado para a
pró-atividade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

1.1. INTRODUÇÃO
Porque se torna necessário impor controles, relacionados com a segurança e
saúde e o meio ambiente, em produtos construídos ou fabricados pelo ser humano? É
óbvio que a humanidade se beneficiou, e muito, pelo desenvolvimento da agricultura,
das áreas urbanas, das redes de transporte e de outros sistemas. Contudo, há tempos
já se percebeu que esse desenvolvimento pode resultar em perdas para as pessoas e
suas organizações e alterar excessivamente o meio ambiente natural. Essa visão
tornou-se mais pronunciada a partir dos anos sessenta, e desde então tem provocado
uma revolução no comportamento humano e na gestão organizacional.
Nos anos 1960, a Indústria, de maneira geral, e a Indústria Química,
especificamente, sofreram uma expansão muito rápida, que resultou em grandes
mudanças nos processos envolvidos. Condições de operação – como pressão e
temperatura – tornaram-se mais severas (isso possibilitou um aumento na
produtividade), e a quantidade de energia armazenada nos processos aumentou,
passando a caracterizar riscos maiores. Mesmo nas áreas de materiais de construção
e de controle de processos surgiram problemas de difícil resolução, dada a
complexidade das operações, que tornam difícil perceber riscos intrínsecos às
operações.
Paralelamente, as plantas químicas e unidades industriais em geral cresceram em
grande tamanho. Como resultado, passaram a conter um maior número de
equipamentos, existindo, também, um alto grau de interligação interna e com outras
plantas através, por exemplo, da troca de subprodutos. A operação de tais plantas é
relativamente difícil; a sua partida e parada são muitas vezes complexas e onerosas.
Estes fatores tiveram como resultado um aumento do potencial de perdas – tanto
humanas quanto econômicas – e, como consequência, um maior número de incidentes,
inclusive ambientais. Estas perdas podem ocorrer de várias maneiras, sendo a mais
frequente a perda de confinamento de produtos inflamáveis ou tóxicos que pode,
conforme sua intensidade, tomar a forma de um: incêndio, explosão ou liberação tóxica,
sendo tais perdas relacionadas com o chamado “acidente maior” (aquele que atinge a
comunidade externa). A principal consequência destas perdas foi o público passar a se
preocupar com os aspectos de Segurança e Meio Ambiente nas instalações industriais,
particularmente em relação a incidentes que poderiam afetar a vizinhança.
Em função disso desenvolveram-se políticas e metodologias para estudos e
revisões de segurança que levam em consideração o seguinte contexto:
a) ocorrência de acidentes extremamente graves (Flixborough, México, Bhopal,
Cubatão, Basiléia, Exxon Valdez, Chernobyl, entre tantos outros);
b) preocupação do público quanto aos processos de fabricação e quanto aos
próprios produtos químicos em si;
c) aumento da consciência ambiental;
d) mudança na atitude das empresas – da ideia de que a proteção de seus
interesses deveria ser resguardada atrás de seus muros para o conceito de diálogo
transparente e ético com seus parceiros e público;
e) compromissos voluntários com a melhoria contínua de seus produtos e
operações, de forma a torná-los mais seguros e menos impactantes ao meio ambiente;

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

f) maior preocupação com a imagem da empresa e o valor de mercado e acionário


da empresa;
g) imposições legais, dificuldades em atender os requisitos para licenciamento das
unidades.

A necessidade, portanto, de melhoria dos controles e procedimentos de


segurança foi desencadeada em função de falhas ocorridas, ou previstas por alguém
que conseguiu antecipar uma falha potencial e implantou controles para impedir que
elas ocorressem. Apesar do primeiro caso ser mais comum, o segundo também é
responsável pelo desenvolvimento de incontáveis projetos de segurança, praticados
hoje em dia na indústria. Ambos constituem a base de informação em que os
engenheiros de segurança operam.

1.2. CONCEITO DE SEGURANÇA


A ideia ou conceito de sistemas de segurança teve início no final dos anos 1940,
na indústria de produção bélica e como evolução da indústria aeronáutica. Entretanto,
passa a se constituir como uma disciplina (ainda não no enfoque de sistema, mas de
ferramentas metodológicas) apenas no final dos anos 50 e começo dos anos 60, quando
da sua aplicação pelas indústrias: bélica, de aviação e espacial.
Antes de 1940 os projetistas e engenheiros utilizavam essencialmente a técnica
da “tentativa e erro” para conseguirem um projeto seguro. Esta técnica era relativamente
eficaz numa época em que a complexidade dos sistemas era, de certa maneira, simples,
comparada com o desenvolvimento atual. Por exemplo, na indústria aeronáutica esse
processo de sistema de segurança era conhecido como a técnica fly-fix-fly (“voa-
conserta-voa”) em relação aos problemas de um projeto: uma aeronave era projetada
baseada nas práticas existentes ou com tecnologia conhecida, depois voava até que os
problemas começassem a aparecer ou (no pior dos casos) até que caísse; se a queda
fosse causada por problemas do projeto e não por falhas humanas, estes eram
arrumados e a aeronave voaria de novo. Obviamente este método de segurança
funcionava bem quando as aeronaves voavam a baixa altitude, em baixa velocidade e
eram construídas de madeira, arame e tecido. Porém, com o aumento das aeronaves e
a maior complexidade do sistema de voo e das capacidades das aeronaves (velocidade
e maneabilidade), também cresceu a probabilidade de resultados desastrosos advindos
de uma falha no sistema.
Fatos como estes aceleraram o desenvolvimento da denominada Engenharia de
Segurança de Sistemas, a partir da qual evoluiu o conceito de Sistema de Segurança.
O início do programa espacial, em meados dos anos 50, e o Projeto Apolo dos anos 60
também contribuíram muito para a crescente necessidade de projetos mais seguros. Os
foguetes e o desenvolvimento de programas espaciais se tornaram uma força
impulsionadora no desenvolvimento da Engenharia de Segurança de Sistemas. Como
o contexto era novo (incluindo o envio de seres humanos pela primeira vez ao espaço
sideral) os sistemas em desenvolvimento nesta época precisavam de novas
metodologias e técnicas de controle de acidentes, assim como aqueles ligados a armas
e foguetes (por exemplo, componentes explosivos e pirotecnia, sistemas de propulsão

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

instáveis e máquinas extremamente sensíveis). O “Foguete Balístico Intercontinental”


foi um dos primeiros sistemas a ter um programa de segurança de sistema formal,
disciplinado e definido.
Em julho de l969, o Departamento de Defesa Americano formalizou a necessidade
de um sistema de segurança, publicando uma normativa intitulada “Necessidades de
um Programa de Sistema de Segurança”. A agência espacial estadunidense NASA
rapidamente reconheceu a necessidade de um sistema de segurança e, desde então,
vem mantendo esta ideia como uma parte integral das atividades dos programas
espaciais, pois os primeiros anos dos programas de lançamentos espaciais foram
repletos de falhas catastróficas e dramáticas. Durante aqueles anos, era dito “os
foguetes simplesmente não funcionam, eles explodem”.

1.3. GERENCIAMENTO DE RISCOS E O PROCESSO DE GESTÃO DE


SEGURANÇA DE SISTEMAS
Para melhor entender essa evolução, torna-se, inicialmente, necessário definir
alguns conceitos, princípios e termos:
Segurança (safety) - uma medida do grau de liberdade do risco ou de condições
que podem causar a morte, dano físico, ou dano a equipamento ou propriedade
(Levenson, 1986);
Perigo (hazard) – fonte, situação ou ato com potencial para provocar danos
humanos em termos de lesão ou doença, ou uma combinação destas (OHSAS 18001);
Risco (risk) - combinação da probabilidade de ocorrência de um evento perigoso
ou exposição com a gravidade da lesão ou doença que pode ser causada pelo evento
ou exposição (definição da OHSAS 18001 e BS 8800); efeito da incerteza sobre os
objetivos (ISO 31000), medido através da combinação das consequências de um evento
e suas probabilidades (AS/NZS 4360).
Incidente - evento relacionado ao trabalho no qual uma lesão ou doença ou
fatalidade ocorreu ou poderia ter ocorrido (inclui acidentes, quase acidentes e
emergências – OHSAS 18001);
Acidente - evento não planejado que resulta em morte, doença, lesão, dano ou
outra perda (OHSAS 18001).

A antecipação de uma possível falha e a tentativa de evitá-la ou a correção e


prevenção de uma já ocorrida, através de procedimentos e do uso de requisitos legais,
é o que normalmente o engenheiro de segurança faz quando analisa um projeto ou uma
condição de operação. Entretanto, sempre que possível e prático, dever-se-ia usar o
conceito de Gerenciamento de Riscos, que vai além desse modo de gerenciar e tentar
administrar os riscos de um processo de uma maneira mais abrangente (conforme será
visto nos próximos capítulos). Nesse sentido, o método “voa-conserta-voa” deve ser
transformado no método “Identificar, Analisar e Eliminar”, atuando de modo a assegurar
que trabalhos ou tarefas sejam realizados da maneira mais segura possível, reduzindo
riscos de danos ou perdas inaceitáveis.
O Gerenciamento de Riscos deve levar em consideração que, dentro de um
ambiente de trabalho, seres humanos (humanware), informações e procedimentos de

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

trabalho (software), equipamento e recursos materiais (hardware) são fatores integrais


que podem ou não afetar a realização de um trabalho ou tarefa (fig. 1.1).
Separadamente cada um destes elementos pode por si mesmo apresentar algum risco
aos operadores ou aos equipamentos, durante a realização de uma tarefa.
• Os operadores, por exemplo, podem ser perigosos para si mesmos ou para
outros em um ambiente de trabalho industrial ou tecnológico: a falta de
atenção, de treinamento adequado, cansaço, estresse, utilização abusiva
de alguma substância ou problemas pessoais (relativos a casamento,
família, financeiros, entre outros) são fatores humanos que interferem no
desempenho de um trabalho ótimo ou desejável.
• Determinados equipamentos ou ferramentas, também, podem apresentar
riscos, mesmo se operados conforme planejado (exemplos: sistemas de
pressão, reatores nucleares, ferramentas).
• Da mesma forma, falta de informações, instruções de operação
inadequadas ou com erros e procedimentos inadequados podem causar
riscos ao longo do fluxo operacional.
A Engenharia de Segurança, portanto, deve levar em consideração cada um
destes fatores para identificar perigos e avaliar riscos que podem estar associados com
a realização de uma tarefa ou trabalho específico.

Figura 1.1. Os elementos de um sistema de gestão de segurança.

Por exemplo, considere uma operação de transporte por empilhadeira envolvida


em se recolocar vários tambores de um solvente extremamente volátil e inflamável de
um local a outro da planta. Qual o potencial ou grau de risco para uma falha ou incidente
numa operação tão simples como esta? Para responder a esta questão, dever-se-ia
pensar sobre o operador e seu treinamento e nível de experiência. A empilhadeira e
outros equipamentos associados devem também ser avaliados como fontes potenciais
de falhas operacionais. A instalação em que os tambores estão situados foi projetada

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

10

para armazená-los de maneira adequada. O sistema de proteção e combate a incêndio


também deve ter sua adequação avaliada. Em que situações ambientais o produto
oferece riscos? Existem procedimentos normais de operações e requisitos de controle
de situação crítica e de vazamentos?
Essas perguntas são abordadas na etapa que se chama de identificação de
perigos e na consequente análise de riscos potenciais, que podem se tornar bastante
detalhadas. No caso deste exemplo, aparentemente, o gerenciamento dos riscos da
atividade deveria ser bastante simples. Entretanto, existe uma grande dose de riscos
potenciais associados à tarefa descrita. Uma das funções da Engenharia de Segurança
é a busca desta avaliação na maior extensão possível, considerando-se a complexidade
da tarefa, o sistema, as operações, as pessoas e os procedimentos.
O Gerenciamento de Riscos requer a identificação em tempo dos perigos
associados à operação e a consequente avaliação dos riscos, antes que ocorram
perdas. Os perigos devem ser então eliminados ou os riscos controlados em
determinado nível para atingir o objetivo de se ter uma segurança aceitável para o
sistema em estudo.
Em síntese, o processo de segurança do sistema vai permitir identificar quaisquer
ações preventivas e corretivas que devem ser implementadas antes que a tarefa tenha
permissão de prosseguir.
A abordagem “voa-conserta-voa”, discutida anteriormente, também tem sido
apresentada, por alguns especialistas como uma tentativa pós-fato de melhorar o
desempenho da segurança. Ela deve fazer parte do gerenciamento, mas não basta e
deve ficar em segundo plano: os conceitos de gestão de segurança de sistemas e de
gerenciamento de riscos requerem prioritariamente um controle pré-fato dos riscos do
sistema.
Não importa o quão preciso o projeto ou operação de um programa de segurança
seja considerado, a sua gestão correta é um dos fatores mais importantes de sucesso
do empreendimento. Esse modelo de gestão de segurança de sistemas, iniciado pelos
militares americanos e pela NASA, vem sendo adotado, adaptado e complementado por
outros setores industriais, tais como nuclear, refinação, petroquímica, transporte,
química e, mais recentemente, na programação de computadores. Muitas das regras,
normas e estatutos de segurança das indústrias de hoje em dia são resultados diretos
dessa verdadeira necessidade de uma gestão tão controlada e monitorada.
No entanto, ainda se observam algumas dificuldades do ponto de vista
operacional, no sentido de tomada de decisão quanto à necessidade ou não da
realização dos estudos de análise de riscos, quanto ao momento em que os mesmos
devem ser solicitados e em que níveis de detalhamento devem ser realizados.

Quadro 1.1.
Pesquise a definição do conceito de sistema e relacione-a aos elementos de um

sistema de gestão de segurança.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

11

Sugestão de solução:

Conjunto de elementos inter-relacionados voltados para um objetivo. Os

equipamentos, instalações, procedimentos, recursos humanos e outros são os

elementos que, inter-relacionados, devem levar aos objetivos de segurança ou

redução dos riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 1. Riscos Tecnológicos e Evolução da Segurança.

12

1.4. TESTES

1. Fonte ou situação com potencial para provocar dano.


a) Perigo
b) Risco
c) Acidente
d) Incidente
e) Perda

2. Evento não planejado que resulta em dano.


a) Perigo
b) Risco
c) Acidente
d) Incidente.
e) Perda

3. Combinação de probabilidade de ocorrência e consequência de um evento.


a) Perigo
b) Risco
c) Acidente
d) Incidente
e) Perda

4. Evento com potencial para levar a dano.


a) Perigo
b) Risco
c) Acidente
d) Incidente
e) Perda

5. Ferimentos; mal-estar; doenças; danos ao meio ambiente; custos diretos e


indiretos; danos à imagem da organização.
a) Perigo
b) Risco
c) Acidente
d) Incidente
e) Perda

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

13

CAPÍTULO 2. TEORIA DE INCIDENTES.

OBJETIVOS DO ESTUDO

Apresentar as principais teorias elaboradas para analisar e gerenciar a ocorrência


dos incidentes industriais, como as teorias de Heinrich, Bird, Fletcher, Dominó, Haddon
e outras, e sua importância na abordagem sistêmica para o gerenciamento dos riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

14

2.1. INTRODUÇÃO
Embora a qualidade de vida tenha melhorado para o ser humano no decorrer da
História, a sociedade atual paga um preço alto por esta evolução. A cada ano, somente
nos Estados Unidos, ocorrem mais de 55.000 mortes em decorrência do trabalho (5.000
por acidentes e 50.000 por doenças). No Brasil são cerca de 3.000 mortes por acidentes
no trabalho e de 15.000 trabalhadores com incapacitação permanente. O custo deste
total de acidentes já foi avaliado como cerca de US$ 100 bilhões anualmente, excluindo-
se alguns custos indiretos e o valor resultante relativo à dor e sofrimento.
Acidentes são a principal causa de morte para as pessoas entre 1 e 44 anos. Para
os indivíduos com 45 anos ou mais velhos, a taxa de morte por acidentes aumenta com
a idade; somente mortes por doenças coronárias e câncer excedem esta taxa.
Para o total da população, as duas causas principais de morte acidental são
acidentes de trânsito e quedas. Embora a taxa de mortes por acidentes tenha baixado
nos Estados Unidos, de 85 à 90 por 100.000 habitantes para menos de 50
recentemente, o número total de mortes por acidente aumentou no mesmo período.

2.2. TEORIA DE HEINRICH


Até o ano de 1926 não se pensava em nenhuma ação, atitude ou medida de
prevenção contra acidentes, entendidos como uma fatalidade. Heinrich, que trabalhava
numa companhia americana de seguros, observou os altos custos que representava
para a seguradora a reparação dos danos decorrentes de acidentes e doenças do
trabalho. Ele analisou 75.000 acidentes e encontrou que 88% desses acidentes eram
causados por atos inseguros, 10% por condições inseguras e 2% por causas não
previsíveis. É a conhecida relação de Heinrich, 88:10:2.
Desenvolveu, então, uma forma de gerenciar estes problemas dentro das
empresas, privilegiando a prevenção acima de tudo. As ações de prevenção deveriam
estar focalizadas, inicialmente, nos acidentes e suas causas, e deveria se dar menos
atenção aos seus efeitos, tais como danos, ferimentos e suas causas imediatas.
Para demonstrar sua teoria, desenvolveu uma relação de 300:29:1. Para cada
grupo de 330 acidentes do mesmo tipo, 300 resultariam em nenhum ferimento, 29
produziriam ferimentos leves e 1 resultaria num acidente maior com afastamento.

2.3. TEORIA DE BIRD


Em 1966, Frank Bird Jr., Diretor de Serviços de Engenharia da Companhia de
Seguros Americana, através da análise de 1.753.498 acidentes reportados por 297
empresas associadas, que representavam 21 tipos diferentes de organizações com
cerca de 1.750.000 empregados, propôs um novo enfoque. As empresas deveriam não
somente se preocupar com os danos aos trabalhadores, mas também com os danos às
instalações, aos equipamentos e aos seus bens em geral.
Esse enfoque foi chamado de Loss Control, ou Controle de Perdas, com o objetivo
de dar uma abrangência maior a essas questões, tendo em vista que as causas básicas
dos acidentes eram, e ainda são, de origem humana ou de falhas de material. O estudo
de Bird mostrou que para cada acidente grave ou com lesão permanente - chamados
de “acidentes com afastamento” – havia, aproximadamente, 10 lesões menores -

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

15

“acidentes sem afastamento” - e 30 danos à propriedade reportados. Através de


entrevistas com empregados experientes em suas funções, verificou que teriam ocorrido
cerca de 600 incidentes sem perdas para cada ocorrência de acidente grave, em
condições ligeiramente diferentes. Esta relação é conhecida como pirâmide ou triângulo
de Bird (figura 2.1).

Figura 2.1. Pirâmide de Bird.

A relação exata entre acidentes e os diferentes tipos de danos não são o resultado
mais importante desse estudo, mas sim a lição de que acidentes com danos graves
ocorrem menos frequentemente que os de menores danos, e estes menos
frequentemente daqueles sem danos pessoais. Estes últimos, entretanto, constituem-
se numa ferramenta importante na formulação de ações de prevenção e de sistemas de
gestão, pois:
• são comuns e de fácil observação, registro e análise – desde que se preste
atenção aos mesmos;
• têm as mesmas causas dos demais acidentes e portanto podem ajudar a
entende-los e preveni-los antes de sua ocorrência.

2.4. TEORIA DE FLETCHER


Em 1970, o canadense J. Fletcher ampliou a extensão deste conceito, no sentido
de englobar também as questões de proteção ambiental, de segurança patrimonial e de
segurança de produto e, posteriormente, de segurança de processos, criando o
chamado Total Loss Control ou Controle Total de Perdas.

2.5. TEORIA DOS DOMINÓS


Herbert Willian Heirinch, em 1992, desenvolveu a teoria do dominó, na qual afirma
que os acidentes resultam de uma cadeia de eventos sequenciais, metaforicamente,
como uma fila de dominós caindo, conforme a figura mostrada a seguir, em que é
possível verificar que um acidente ocorre por falta de gestão e de gerenciamento,

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

16

principalmente se não houver o comprometimento da alta administração com a


prevenção de incidentes.

Figura 2.2. Teoria dos Dominós.

a) O último dominó à direita representa as perdas - relativas a pessoas


(acidentes), propriedade, processos produtivos e meio ambiente – e é
função de uma série de fatores decorrentes dos dominós anteriores.
b) O dominó acidente/incidente representa o contato com energia ou
substância.
c) O dominó de causas imediatas representa as condições que podem estar
abaixo de padrões ou procedimentos (por exemplo: utilização de
equipamento sem autorização ou por incompetência; equipamento ou
ferramenta defeituosa; uso incorreto de um EPI etc.)
d) O de causas básicas ou causas fundamentais relaciona-se aos fatores
pessoais ou às condições de trabalho (por exemplo: insuficiência de
capacidade física ou psicológica; falta de treinamento; equipamento ou
ferramenta inadequados; normas e procedimentos inadequados; falta de
supervisão etc.).
e) A falta de controle ou de gerenciamento indica que há falta de um sistema
de gestão ou uma não conformidade a uma norma necessária.

Esta teoria dos dominós é também conhecida como Modelo Causal de Perdas,
sendo o primeiro dominó à esquerda a Administração, o segundo a Origem, o terceiro o
Sintoma, o quarto e o quinto as Consequências. Os três primeiros dominós representam
a fase de Pré-contato, o quarto de Contato (frequência) e o quinto de Pós-contato
(gravidade).

2.6. TEORIA DE HADDON


Em 1970, William Haddon propôs uma teoria onde a ocorrência de muitos
acidentes e ferimentos envolviam a transferência de energia. Objetos, eventos ou o meio
ambiente interagindo com as pessoas ilustram essa ideia: incêndios, tornados, projéteis,
veículos a motor, várias formas de radiação, entre outros, produzem ferimentos e

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

17

doenças. A teoria da energia sugere que quantidades de energia, meios e taxas de


transferência de energia relacionam-se com o tipo e severidade dos ferimentos.
A proposta de Haddon baseia-se num modelo paralelo de ações de prevenção,
em vez de um modelo serial como proposto por Heinrich. Um modelo paralelo inclui
múltiplas ações operando ao mesmo tempo, enquanto um modelo serial possui ações
operando uma por vez. Haddon observou que não há razão para selecionar uma dada
estratégia de prevenção ou priorizar contramedidas de acordo com a sequência do
acidente: toda e qualquer medida que previna o dano é satisfatória. Existe uma exceção
para esse modelo, a quantidade de energia envolvida – com o aumento da quantidade
de energia, contramedidas mais altas na lista são mais desejáveis.

2.7. OUTRAS TEORIAS


Existem teorias para incidentes nas quais eles podem ser causados por diversos
fatores atuando juntos. Nas teorias de causas múltiplas, certos fatores combinam-se de
maneira aleatória, causando incidentes. A causa imediata pode ser um ato inseguro ou
uma condição insegura atuando sozinhos.
V. L. Grose, por exemplo, propôs um modelo de fator múltiplo, conhecido como os
quatro Ms: Homem (Man), Máquina (Machine), Meio (Media) e Gerenciamento
(Management).
Homem refere-se a pessoas; máquina, a qualquer tipo de equipamento ou veículo;
meio inclui coisas como ambientes, estradas e tempo; gerenciamento é o contexto no
qual os outros três Ms existem e operam.

Figura 2.3. Os quatro Ms.

Os fatores incluídos na teoria de fatores múltiplos variam. No caso da análise de


um incidente, devem ser identificadas as características de cada fator que compõe o
modelo. Por exemplo, as características do Homem são: idade, altura, sexo, nível de
conhecimento, treinamento recebido, força, motivação, estado emocional etc.; as

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

18

características do Meio podem incluir condições térmicas numa edificação, chuvas ou


vento numa estrada, água doce contra água salgada ou a presença de um contaminante
no ar; as características de Gerenciamento incluem estilo de gerenciamento, estrutura
organizacional, fluxo de comunicação, políticas e procedimentos; as características de
Máquinas podem incluir tamanho, peso, formato, fonte de energia, tipo de ação ou
movimento e material de construção.
Essas teorias de fatores múltiplos são bastante úteis na prevenção de incidentes.
Permitem identificar quais características ou fatores estão envolvidos numa dada
operação ou atividade. As características podem ser analisadas para mostrar qual a
combinação – em série sequencial ou atuando paralelamente – é mais provável de
causar um incidente ou perdas no contexto em análise. Métodos estatísticos podem ser
utilizados para analisar as características, permitindo calcular estimativas de
probabilidades de forma a priorizar os componentes mais prováveis e, então, melhorar
seus controles. Árvores de falhas, árvores de eventos e outros métodos (a serem vistos
em capítulo mais adiante) são exemplos usados para estabelecer associações entre
características e suas relações com danos, ferimentos, doenças e morte. Outros dos
métodos utilizados não estabelecem relações sequenciais de causa e efeito, mas
analisam somente relações.
Concluindo este capítulo, essas teorias e modelos que acabaram de ser
apresentadas utilizam-se dos conceitos introduzidos no primeiro capítulo e formam a
base lógica que fundamenta uma série de ferramentas de gerenciamento,
desenvolvidas para aplicação por especialistas em segurança, pelos gerentes e por
suas equipes. Essas ferramentas serão estudadas em diversos capítulos mais adiante,
e são relacionadas à identificação de perigos, avaliação de riscos e, mais para o final
da disciplina, à análise de incidentes. Tanto os fundamentos quanto as ferramentas
devem ser bem conhecidos pelo profissional de segurança, de modo que ele seja
competente no reconhecimento da necessidade de uso da técnica, na seleção de qual
é a mais adequada para cada situação e, finalmente, no método correto de aplicá-la. No
caso das técnicas mais complexas, saber reconhecer quando deve contratar um
especialista para auxiliá-lo, pois ninguém é obrigado a dominar todo o conhecimento
existente sobre gerenciamento de riscos. Enfim, saber a informação necessária e como
buscá-la.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

19

Quadro 2.1.

Pesquise e desenhe o diagrama de Ishikawa (também chamado “Espinha de

Peixe” e baseado no “modelo de Ms”). Você consegue propor outros tipos de Ms?

Sugestão de solução:

Material, Máquina, Método, Mão-de-Obra,

(Meio Ambiente), (Medição ou Monitoramento), (Manutenção),

(Management) e (Money).

CAUSAS REAIS OU
POTÊNCIAS

MÃO-DE-OBRA MÉTODO

4M

DEFICIÊNCIA

MATERIAL MÁQUINA

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

20

2.8. TESTES

1. O que é um desastre:
a) Acidente com alta gravidade
b) Acidente com alta frequência
c) Acidente decorrente da tecnologia
d) Acidente decorrente de fatores naturais
e) Acidente decorrente de alta velocidade

2. Os desastres com maior número de mortes foram causados:


a) Pelo trânsito
b) Pelo rompimento de represas
c) Pela tecnologia
d) Pela natureza
e) Por explosões

3. Acidente é a principal causa de mortes das pessoas com idade:


a) Entre 0 e 1 ano
b) Entre 1 e 45 anos
c) Entre 45 e 65 anos
d) Acima de 65 anos

4. Os acidentes mais comuns na sociedade são:


a) Cortes e atropelamentos
b) Quedas e armas de fogo
c) Trânsito e quedas
d) Armas de fogo e trânsito
e) Atropelamentos e armas de fogo

5. A principal fonte de dados para os estudos de Heinrich e Bird foi:


a) Estatísticas do governo
b) Pesquisas junto às indústrias
c) Pesquisas junto a hospitais
d) Dados de companhias de seguros
e) Dados de concessionárias de veículos

6. A proporção da pirâmide de Heinrich é:


a) 88:10:2
b) 300: 30:10:1
c) 30:10:1
d) 600: 30:10:1
e) 44:5:1

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 2. Teoria de Incidentes.

21

7. O Controle Total de Perdas foi proposto por:


a) Heinrich
b) Fletcher
c) Bird
d) Haddon
e) Ishikawa

8. Outro nome para o Modelo Causal de Perdas:


a) Pirâmide de Bird
b) Teoria dos Fatores Múltiplos
c) Teoria do Dominó
d) Pirâmide de Fletcher
e) Teoria de Heinrich

9. Outro nome para causas fundamentais:


a) Causas imediatas
b) Causas gerenciais
c) Causas básicas
d) Causas reais
e) Causas fundamentalistas

10. Faz parte do diagrama de Ishikawa:


a) Melhoria
b) Mulher
c) Modelo
d) Método
e) Mercado

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

22

CAPÍTULO 3. INTRODUÇÃO À GESTÃO DE RISCOS.

OBJETIVOS DO ESTUDO

Apresentar os diferentes tipos de riscos aos quais as organizações estão sujeitas


e a necessidade de seu gerenciamento eficaz para permitir a tomada de decisão
baseada em riscos; definir os conceitos de sistema e processo e a ferramenta do PDCA
para a gestão da melhoria dos riscos; iniciar a análise dos diferentes níveis de risco e
sua relação com a aceitação de riscos; apresentar as etapas do gerenciamento de
riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

23

3.1. INTRODUÇÃO
A norma internacional ISO 31000 (ABNT, 2009b), que propõe os princípios e
diretrizes para a gestão de riscos, lembra que organizações de todos os tipos e
tamanhos enfrentam influências e fatores internos e externos que tornam incerto se e
quando elas atingirão seus objetivos. A comunidade internacional consensualizou
neste documento a definição de risco como sendo o “efeito da incerteza sobre os
objetivos”. Portanto, o conceito de Risco está relacionado com incerteza, com
variabilidade e com sobrevivência das organizações, que sofrem crescentes pressões
para identificar todos os seus riscos empresariais e explicar (para as partes interessadas
externas e internas) como gerenciam esses riscos.
Numa visão abrangente, pode-se considerar diferentes tipos (ou naturezas) de
risco, tais como:
a) Especulativos, relacionados à possibilidade de ganho ou chance de perda;
• riscos de negócio;
b) Administrativos, dependentes de decisões gerenciais:
• riscos estratégicos;
• riscos de mercado;
• riscos financeiros;
• riscos de projeto;
• riscos de produção e riscos de processo;
• riscos operacionais;
• riscos de segurança patrimonial e de informações (security);
• riscos de segurança e saúde no trabalho (safety);
• riscos ambientais;
• riscos políticos,
• riscos legais e fiscais – vinculados às leis, decretos, portarias e outros
requisitos;
• riscos sociais;
• riscos culturais;
• riscos tecnológicos e de inovação, relacionados às novas tecnologias,
novos produtos e outros.

O que vai possibilitar definir quais desses riscos afetam a organização são os
objetivos da mesma. Conclui-se que, se não há objetivo, não há risco. Antes de se
gerenciar os riscos, deve-se definir quais os objetivos. Assim, uma empresa que não
tem como objetivo preservar a saúde e a segurança do trabalhador e das pessoas a ela
relacionadas, não teria porque implementar o gerenciamento de riscos de segurança.
Entretanto, esta empresa não sobreviveria na sociedade atual, tanto por questões legais
e de licenciamento, como de mercado. Quem define os objetivos e, portanto, a gestão
de riscos, é a alta administração ou direção da empresa.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

24

3.2. ARQUITETURA DA GESTÃO DE RISCOS SEGUNDO A NORMA ISO


31000 – PRINCÍPIOS, ESTRUTURA E PROCESSOS
A norma ISO 31000 delimita a gestão de riscos como sendo as atividades
coordenadas para dirigir e controlar uma organização no que se refere aos riscos. Para
esta gestão, propõe uma “arquitetura” de referência, composta por Princípios, Estrutura
e Processo de gestão de riscos.

3.2.1. Princípios da gestão de riscos


São os fundamentos ou valores básicos estabelecidos pela comunidade
internacional através da norma. Não são passíveis de modificação pela organização ou
por qualquer pessoa: a norma é que os estabeleceu e recomenda que sejam seguidos,
pois garantiriam uma gestão de riscos eficaz. São onze princípios e estipulam que a
gestão de riscos:

a) cria e protege valor;


b) é parte integrante de todos os processos organizacionais;
c) é parte da tomada de decisões;
d) aborda explicitamente a incerteza;
e) é sistemática, estruturada e oportuna;
f) baseia-se nas melhores informações disponíveis;
g) é feita sob medida (taylor-made);
h) considera fatores humanos e culturais;
i) é transparente e inclusiva;
j) é dinâmica, iterativa e capaz de reagir a mudanças;
k) facilita a melhoria contínua da organização.

Os princípios, quando atendidos e vivenciados no dia a dia, garantiriam a


confiança das partes interessadas em relação à gestão de riscos da organização.
Quando se encontra uma falha na gestão de riscos, é certo que um ou mais desses
princípios não foram respeitados.

3.2.2. Estrutura (Framework) da gestão de riscos


São os fundamentos e os arranjos recomendados pela norma para que sejam
definidos e implementados, com a finalidade de se garantir uma gestão de riscos eficaz.
A estrutura assegura que a informação sobre os riscos seja adequadamente reportada
às partes interessadas e que seja utilizada como base para a tomada de decisões e
permite que todos os níveis (hierárquicos) se responsabilizem, conforme suas
particularidades. A ISO 31000 não especifica nem detalha como devem ser os
componentes da estrutura, mas recomenda que estejam presentes. Os componentes
desta estrutura estão representados na Tabela 3.1.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

25

Tabela 3.1. Os componentes recomendados pela ISO 31000 para uma Estrutura
de Gestão de Riscos.
Fundamentos Arranjos
Política Planos
Mandatos Relacionamentos
Comprometimento Responsabilidades
Objetivos Processos
Atividades

Política – Recomenda-se que haja uma política de gestão de riscos claramente


definida e preferencialmente formalizada, definida e aprovada pela administração da
organização e alinhada à cultura desta. Também é recomendável que a política
estabeleça claramente os objetivos, os indicadores de desempenho (e seu reporte),
o comprometimento de todos com a gestão de riscos, as responsabilidades e a
forma de lidar com conflitos de interesse (por exemplo, o famoso dilema entre
aumento de produção com possível redução da segurança). A política deve ser
comunicada, portanto, pública.

Mandato e comprometimento – O mandato consiste na clareza do


comprometimento forte e sustentado (permanente) pela administração em relação à
gestão de riscos. O comprometimento deveria ser também de todos, em cada nível
da organização, e distribuído através dos objetivos, das responsabilidades e da
avaliação de desempenho.

Objetivos – Recomenda-se a definição dos objetivos da gestão de riscos, de


modo alinhado aos demais objetivos, e à estratégia da organização. São
recomendáveis indicadores de desempenho alinhados entre si e que permitam a
verificação da eficácia da gestão de riscos.

Planos – Recomenda-se a elaboração de planos (conforme será visto mais


adiante) que detalhem como, quando e por quem os objetivos serão alcançados.

Relacionamentos – A norma recomenda que a gestão de riscos seja integrada


e incorporada aos demais processos e atividades organizacionais; que o processo
de gestão de riscos seja parte integrante dos demais processos, políticas, análises
críticas, planejamento (estratégico, de negócios e geral) e na gestão de mudanças.

Responsabilidades – A ISO 31000 recomenda que a aprovação da política, a


definição de objetivos e indicadores, a atribuição de outras responsabilidades, a
garantia de conformidade legal e regulamentar, a garantia de recursos e da
estrutura, e a comunicação às partes interessadas sejam responsabilidades da alta
administração. É recomendável que haja responsabilização, autorização e
competências para gerenciar riscos, incluindo a implementação e a manutenção dos
processos de gestão de riscos e dos controles. Os meios disso se viabilizar seriam

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

26

pela identificação dos “proprietários dos riscos” (de preferência, que sejam os
mesmos proprietários dos processos) e pela definição das responsabilidades de
cada pessoa na organização.

Processos e atividades – São o dia a dia do gerenciamento de riscos e serão


vistos mais adiante e ao longo dos demais capítulos desta apostila.1

A definição de uma Estrutura de Gestão de Riscos deve começar, antes de tudo,


pelo entendimento da organização e de seu contexto. A versão definitiva da norma
acabou por não definir o que é “contexto”, mas inclui os componentes sobre os quais é
recomendável que façam parte da análise.

Contexto Externo – envolve o ambiente global no qual a organização está inserida,


incluindo ambientes de caráter cultural, social, político, legal, regulamentar, financeiro,
tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional
ou local. Devem ser reconhecidos os fatores–chave e as tendências que tenham
impacto sobre os objetivos da organização e como se dá a relação com partes
interessadas externas, considerando suas percepções e valores.

Contexto Interno – envolve o ambiente interno, sob o ponto de vista da governança


corporativa (os controles estratégicos pela alta administração e que caracterizam a
forma da empresa ser administrada), a estrutura organizacional, as funções e
responsabilidades definidas, as políticas, os objetivos e estratégias, as capacidades (em
termos de recursos e conhecimentos), os sistemas de informação existentes, fluxos de
informação e processos de tomada de decisão (formais e informais), o modo como se
dão as relações com as partes interessadas internas (funcionários e terceiros
permanentes, suas percepções e valores), as normas (diretrizes e modelos adotados),
as relações contratuais vigentes.

Assim, é bem particular a forma como será montada a estrutura de gestão de


riscos, por exemplo, de uma empresa de construção civil no Brasil, que constrói
hidroelétricas na Amazônia, sob o olhar da comunidade nacional e internacional
preocupada com as questões do avançado desmatamento, ameaças de aquecimento
global, respeito às populações indígenas e às condições de trabalho dos funcionários
operacionais, sob rígida fiscalização de órgãos do trabalho e sindicatos já atuantes em
áreas rurais, dificuldades de licenciamento, prazos exíguos a cumprir; este contexto

1
A ISO 31000 utiliza apenas o termo “gestão de riscos”. Diversas literaturas e
referências utilizam o termo “gerenciamento”. Não há consenso nem normalização
sobre a terminologia: alguns os tratam como sinônimos, outros associam o termo gestão
aos aspectos administrativos (como para os princípios e a estrutura de gestão de riscos)
e o termo gerenciamento aos aspectos técnicos (como para o “processo de gestão de
riscos” proposto pela ISO 31000 e para as ferramentas de identificação e avaliação de
riscos apresentadas na ISO 31010). Para complicar, há outras áreas do conhecimento
que utilizam os termos “administração de riscos”, “manejo de riscos”, entre outros.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

27

pode ser bem diferente no caso do empreendimento ser localizado em zona


superpopulosa, ou em outro continente – as estruturas de gestão de riscos podem vir a
ser muito distintas e com grandes diferenças em suas particularidades – ou não, quando
se pensa em globalização e em companhias internacionais que se propõem a adotar os
mais rigorosos critérios para a gestão de riscos, sejam onde estiverem instaladas.
A análise dos contextos pode ser realizada em reuniões da Diretoria e incluir
assessorias externas, como auditorias de diagnóstico. Quando finalizada de modo
confiável, parte-se então para a concepção da estrutura de gestão de riscos, fase em
que:
a) estabelece-se a política de gestão de riscos;
b) define-se a responsabilização em todos os níveis;
c) determina-se o modo como se vai realizar a integração da gestão de riscos
aos processos organizacionais;
d) determinam-se os recursos necessários (pessoas e suas competências,
métodos e ferramentas, processos e procedimentos, gestão da informação e
do conhecimento) e realizam-se os treinamentos e capacitações;
e) estabelecem-se os mecanismos de comunicação e reporte (prestação de
contas) internos e externos – muito importantes em riscos e em segurança,
de forma a conquistar a confiança das partes interessadas e prevenir
problemas a elas relacionados.

3.3. O CONTEXTO DA GESTÃO DE RISCOS DE SEGURANÇA

O Gerenciamento de Riscos, como visto pela Engenharia de Segurança, está mais


relacionado aos riscos de segurança e saúde do trabalho e aos riscos tecnológicos. A
tecnologia sempre foi uma variável importante no estudo da teoria das organizações.
Longo (1996) define tecnologia como o conjunto organizado de todos os conhecimentos
científicos, empíricos ou intuitivos, empregados na produção e na comercialização de
bens e serviços.
Inicialmente, no período histórico anterior à Revolução Industrial, a tecnologia
representava apenas um conjunto de conhecimentos práticos ou artesanais, sem
qualquer preocupação de base científica ou teórica. Esses conhecimentos práticos
levaram a invenção de mecanismos como a roda, os moinhos d' água e de vento, os
teares, dentre outros equipamentos clássicos.
Na época moderna, o conceito de tecnologia se tornou mais vinculado ao
desenvolvimento industrial e, portanto, sua evolução passou a ser cada vez mais rápida
e as mudanças da tecnologia passaram a se dar de forma intensa, em busca de uma
maior competitividade. A tecnologia fez com que ocorressem mudanças importantes nas
organizações humanas: o trabalho manual cedeu lugar à automação e à
industrialização, com o consequente aumento das taxas de produção.
Algumas destas mudanças contribuíram para uma melhoria sensível da
sociedade, enquanto outras influenciaram de maneira negativa. Algumas contribuíram

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

28

para a melhoria da qualidade de vida, outras criaram novos problemas econômicos,


sociais, políticos, ambientais ou de segurança e saúde.
Por exemplo, houve uma melhoria do padrão de vida da humanidade que
aumentou, consequentemente, a idade média de vida do ser humano de 35 anos,
durante a Revolução Industrial, para 75 anos ou mais, atualmente nos países
desenvolvidos, principalmente pela redução da mortalidade devida a causas naturais
(dentre outras, as doenças e epidemias). Em função dessa melhoria, agora a atenção
dos seres humanos se volta para o sentido de evitar que a mortalidade decorra de
causas não naturais.
Com essa melhoria de qualidade de vida, a população humana aumentou de 0,3
bilhões no ano 1 D.C. para 1,1 bilhões em 1850 e para mais de 7 bilhões hoje em dia.
Este aumento criou novas demandas de recursos naturais disponíveis. Outra mudança
importante ocasionada pela tecnologia foi o aumento de velocidade no transporte de
pessoas e de cargas, nos meios de comunicação, no fluxo de informações e
consequentemente, na criação de novos materiais.
A inovação tecnológica, por outro lado e não somente, introduziu novos métodos,
produtos, processos e equipamentos para a melhoria da qualidade de vida dos seres
humanos, mas também novos riscos (TARALLI, 1999). Como resposta a esses riscos,
a sociedade criou inicialmente regulamentações e legislações voltadas mais a uma
preocupação na reparação de danos à saúde e integridade física dos trabalhadores e
ao meio ambiente.
A Agenda 21, por exemplo, em seu capítulo 4 afirma que "as principais causas da
deterioração ininterrupta do meio ambiente mundial são os padrões insustentáveis de
consumo e produção, especialmente nos países industrializados" (CETESB, 1998).
Meio ambiente e tecnologia estão, de certa maneira, intimamente associados. A
tecnologia traduz ou reflete valores de quem a desenvolve ou a utiliza em relação à
Natureza. Não obstante, as relações entre ambos não são simples e muito menos
lineares, fazendo com que esse tema – inovação e riscos – se mantenha
permanentemente envolto em acirradas polêmicas (BARBIERI, 1996).
Promover, portanto, o desenvolvimento procurando evitar a geração de graves
acidentes (ambientais e de segurança) passou a ser o grande desafio para as
organizações humanas. Kletz (1993) indica, por exemplo, que graves acidentes são uma
das principais causas de mudanças na área de segurança. Quanto maior for o número
de perdas de vidas, de danos e dos problemas ambientais consequentes, maior a
probabilidade de que ocorrerá uma mudança. De qualquer maneira, Kletz aponta que a
ocorrência de mudanças não é somente resultado de acidentes graves.
Do ponto de vista de meio ambiente e de segurança, o processo de
industrialização sempre esteve voltado para um modelo econômico que levava a uma
grande destruição do meio ambiente físico, social e econômico. Victória Chitepo mostra
bem essa proposição, quando diz que:

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

29

Os grandes feitos da tão celebrada Revolução Industrial estão


começando a ser seriamente questionados, sobretudo porque na época
não se levou em conta o meio ambiente. Achava-se que o céu era tão
vasto e claro que nada jamais mudaria sua cor; que os rios eram tão
grandes e suas águas tão abundantes que as atividades humanas
jamais lhes alterariam a qualidade; e que as árvores e florestas eram
tantas que jamais acabaríamos com elas (In CMMAD, 1991, p. 37).

Esse foi o pensamento da Revolução Industrial e pode-se afirmar que ele permeou
todo o processo de industrialização até pouco tempo atrás: produzir a qualquer custo,
sem levar em conta a preservação do meio ambiente, a segurança e a saúde no
trabalho. É a chamada lógica do quanto mais, melhor.
Observa-se que o interesse público sobre problemas de meio ambiente,
segurança e saúde é cada vez maior. Inicialmente nos Estados Unidos e recentemente
em nosso País, as indústrias de refinação e petroquímicas passaram a direcionar vastos
recursos para programas voltados às necessidades sociais e econômicas das partes
interessadas, principalmente as comunidades vizinhas; preocupam-se e pesquisam a
imagem que possuem junto à sociedade. Sem o apoio das comunidades e do público,
hoje as empresas consideram ser difícil e custoso investir em expansões das unidades,
em recuperações de solos contaminados e no lançamento de novos produtos. As
organizações devem agora operar numa maneira que assegure sua “licença para
inovar”, crítica para ter-se sucesso num prazo longo, ou seja, para ser uma empresa
sustentável (LARSON et al., 2000).
Infelizmente, mudar um processo de fabricação para acomodar uma nova
tecnologia que encoraje, por exemplo, a prevenção de perdas, nunca é uma decisão
fácil. Esta resistência a mudanças, às vezes, é tão difícil de vencer que mesmo
empresas consideradas líderes em inovação tecnológica vêm enfrentando dificuldades
quando se trata de estudos de inovação voltados para a prevenção de perdas. Muitas
empresas simplesmente falham, tanto em pesquisar essas novas tecnologias, quanto
em reconhecer a habilidade dessas “tecnologias mais seguras e mais limpas” em
fornecer um retorno razoável do investimento, numa relação custo-benefício factível
(POSAJEK, 1999). Isso requer a utilização contínua de uma estrutura integrada de
gestão de riscos ambientais e de segurança, preventiva e aplicada, monitorada
continuamente e que passe por frequentes análises críticas, visando a aumentar a
ecoeficiência, reduzir riscos para os seres humanos e para o meio ambiente e melhorar
continuamente (MALAMON, 1996; OCDE, 1995).
As inovações de caráter preventivo consistem tanto na redefinição dos processos
de produção, como na melhoria de composição de insumos e na substituição de
produtos altamente tóxicos por outros menos tóxicos. Constituem exemplos de
Tecnologias Mais Limpas e Mais Seguras e são fundamentais para o adequado
gerenciamento dos riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

30

3.4. CONCEITOS INICIAIS DE ANÁLISE DE RISCOS TECNOLÓGICOS


O interesse público em relação ao tema da análise de riscos vem crescendo e
expandindo-se nas últimas décadas em diversos ramos de negócio – financeiro,
industrial, de projetos, entre outros. Além disso, durante os últimos trinta anos, a análise
de riscos vem se tornando um procedimento efetivo e compreensível que busca
suplementar e complementar o gerenciamento global de quase todos os aspectos da
vida do ser humano.
A gestão da saúde, do meio ambiente, e dos sistemas de infraestrutura física e
crítica (por exemplo, recursos hídricos, transporte, energia elétrica, para citar alguns)
incorpora a análise de riscos nos seus processos de decisão. A tomada de decisões
baseada em riscos é um termo usado para indicar que algum processo sistemático,
relacionado a incertezas, está sendo usado para formular políticas e estimar seus
impactos. Profissionais e gerentes numa organização industrial, governamental e
universitária estão devotando uma grande parte de seu tempo e recursos para a tarefa
de melhorar seu conhecimento e enfoque na tomada de decisão baseada em análise
de riscos. Para orientar os diversos tipos de organização na gestão de seus riscos,
alguns países elaboraram normas com esta finalidade, como a australiana-neo-
zelandesa AS/NZS 4360 – que serviu de base para a elaboração da recente norma
internacional ISO 31000 para a gestão de riscos, que já tem sua versão brasileira
(ABNT, 2009b).
A adaptação da análise de riscos nas mais diferentes disciplinas e o seu uso pelas
organizações industriais e pelas agências governamentais na tomada de decisões, vem
possibilitando um desenvolvimento rápido de sua teoria, metodologia e ferramentas
práticas. Já existe norma internacional que formaliza essas técnicas: a ISO 31010
(ABNT, 2012). Áreas como projeto, desenvolvimento, integração de sistemas,
construção e meio ambiente vêm utilizando conceitos, ferramentas e tecnologias de
análise de riscos. O mesmo se aplica aos estudos de confiabilidade, controle de
qualidade e na estimativa de custos, de cronogramas e ao gerenciamento de projetos.
O desafio que a sociedade humana tem atualmente é que todo esse conhecimento
ainda não foi totalmente compartilhado entre os campos de conhecimento (as recentes
normas internacionais são uma primeira tentativa para este propósito). Isto implica no
estabelecimento de um esforço contínuo no entendimento de relações comuns e
diferenciais entre os diversos campos de conhecimento, para o benefício mútuo da
sociedade como um todo. Tal transferência de conhecimentos tem sido sempre a chave
para o avanço das ciências naturais, sociais, comportamentais e da própria engenharia.

3.5. CONCEITO DE RISCO E DE SISTEMAS DE GERENCIAMENTO


Conforme o ISO Guia 73 (ABNT, 2009a) e as literaturas clássicas anteriores, a
medição do risco se dá como função (ou combinação) entre uma probabilidade e uma
gravidade, e deve levar em consideração o aspecto quantitativo sempre que possível.
Isso se deve à tentativa de se superar aspectos psicológicos (pessoais, subjetivos,
particulares) da percepção e da avaliação de um risco, denominado “valor associado ao
risco”.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

31

Por exemplo, ao considerar-se duas cidades A e B, onde o risco de acidente fatal


pode ser descrito da seguinte maneira:

Probabilidade de
Gravidade do Risco do
ocorrência do
acidente acidente
acidente
Cidade A 1000 / ano 1 morte / acidente 1000 mortes/ano
10000
Cidade B 0,1 / ano 1000 mortes/ ano
mortes/acidente

A cidade A pode ser considerada como sendo tipicamente uma metrópole e o


acidente em questão ser devido ao trânsito. Ao longo de 10 anos, o total de mortos seria
de 10.000. Já na cidade B ocorrem 0,1 acidentes/ano. No entanto, cada acidente gera
10.000 mortes (acidente do tipo terremoto). Em 10 anos, ter-se-ia, como na cidade A,
10.000 mortes. Qual cidade você escolheria para morar?
Se você respondeu A, estará dentro da grande maioria, que acha “normal“ (ou
“aceitável”) morrerem 1.000 pessoas por ano em acidentes de trânsito, mas, não
admitem, como na cidade B, um acidente único gerador de 10.000 mortes, mesmo que
sua probabilidade seja baixa.
Este é o conceito de valor associado ao risco, o qual poderá ser percebido de
maneira diferente pelas pessoas em função da época, do local onde moram, da cultura,
sua história e seu grau de conhecimento.
Portanto, tem-se aqui um certo número de abordagens possíveis:
• um exame da situação existente permite definir um risco intrínseco que
resulta numa situação indesejável ou numa situação aceitável;
• se a situação é aceitável, ela será aceita e assumida e o risco será
considerado como estando gerenciado;
• se a situação é indesejável, então iniciar-se-á uma fase de análise
visando colocar em prática meios de prevenção e de proteção que
permitam atingir uma situação aceitável, isto é, o gerenciamento do
risco.

Pode-se definir:
Prevenção - Diminuição da probabilidade de ocorrência do evento
indesejável; implica em controlar as causas do evento;
Proteção - Diminuição da gravidade das consequências do evento
indesejável; implica em controlar os efeitos do evento.

É fato que o risco percebido é quase sempre diferente do risco avaliado. Isto pode
ser ilustrado pela comparação entre os dados relacionados às viagens em avião
comparadas com as em automóvel (ver Tabelas 3.2, 3.3 e 3.4). O risco de acidente é
bem menor em viagens em avião do que em automóvel, mas as pessoas leigas, em
geral, percebem o inverso.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

32

Por exemplo, segundo a Organização Mundial de Saúde, as chances de uma


pessoa contrair Aids já foi de 1 em 18.000. Por essa lógica, as pessoas deveriam temer
muito mais a morte no trânsito do que de Aids. Entretanto, como a morte de um jovem
por Aids é um evento mais raro do que um atropelamento fatal, a imprensa vai dar
sempre mais destaque à doença. Isso cria um medo infundado maior da Aids do que do
trânsito.
A mesma coisa ocorre com relação ao medo de voar. Como são mais raros os
acidentes aéreos, eles sempre vão ter mais destaque na imprensa do que os de
automóvel. A probabilidade de morrer num acidente aéreo é de 0,2 em 1 milhão, menor
do que a de ser atingido por um raio (1,1 em 1 milhão) - e bem menor do que a
probabilidade de morrer num acidente de trânsito no Brasil, que é de 2,7 em 100! O
mesmo se aplica no comportamento das pessoas e organizações, que tomam uma série
de medidas de proteção após a ocorrência de uma grande catástrofe.
Outro aspecto importante a ser considerado e que é muito comum na atividade
industrial são as avaliações de risco realizadas independentemente por diferentes áreas
(segurança, econômica, mercado, finanças), com diferentes equipes de especialistas.
Pode ocorrer que uma dada equipe desconheça ou mesmo despreze os riscos avaliados
pelos outros grupos.
Outra dificuldade está relacionada com o balanço adequado de medidas de
prevenção e proteção a serem tomadas, esquecendo-se de levar em conta o risco de
perder e o de não ganhar. Por exemplo, os dispositivos de proteção de instrumentação
de segurança de um determinado sistema devem ser previstos de acordo com um
balanço prévio entre o risco de não operar quando se deve e, portanto, deixar de
produzir, ou o de operar quando não se deve e, portanto, deixar de proteger.
Nem sempre riscos ambientais têm um tratamento objetivo e normalizado. Por
exemplo, têm-se os riscos relacionados a interesses comerciais, ou resultantes de
campanhas movidas contra alguns tipos de produtos, sendo difícil estabelecer os limites
entre a preocupação com o meio ambiente e o protecionismo comercial camuflado.
Organizações que procuram estabelecer uma imagem ambiental, mas trabalham com
produtos potencialmente perigosos, ou que estão instaladas em áreas críticas, devem
adotar uma postura proativa em relação aos riscos que podem causar.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

33

Tabela 3.2. Exemplos de alguns desastres, naturais e causados pela tecnologia


humana.

NÚMERO DE
EVENTO LOCALIZAÇÃO
MORTES

INUNDAÇÃO HWANG-ho CHINA 3.700.000 (1931)

TERREMOTO SHENSI CHINA 830.000 (1556)

TSUNAMI INDONÉSIA + de 200.000 (2004)

DESABAMENTO KANSU CHINA 200.000 (1920)

AVALANCHE DE NEVE HUARASA PERÚ +/- 5.000 (1941)

ROMPIMENTO DE REPRESA SOUTH FORK EUA 2.209 (1889)

INCÊNDIO ( PRÉDIO ) TEATRO CHINA 1.670 (1845)

EXPLOSÃO HALIFAX CANADÁ 1.963 (1917)

MINA HONKEIKO CHINA 1.572 (1942)

VAZAMENTO DE GASES
BHOPAL ÍNDIA +/- 4.000 (1984)
TÓXICOS

FERROVIA MODANE FRANÇA 543 (1917)

QUEDA DE AVIÃO KLM/PANAM 579 (1977)


TENERIFE

RODOVIA SOTOUBANA TOGO 125 (1965)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

34

Tabela 3.3. Alguns exemplos de mortes por acidentes e causas externas


(Inglaterra e País de Gales, 2011)

Causa da morte Total

Total de mortes por causas externas 17.590

Acidentes em geral 11.390


Quedas 3.885
Dano intencional a si próprio 3.644
Envenenamento acidental (substâncias, drogas) 1.993
Acidentes por transporte 1.815
Acidentes por carro (inclui pedestres e ciclistas) 1.438
Complicações médicas ou cirúrgicas em atendimentos 489
Ato violento 329
Exposição a fumaça ou fogo 242
Inalação ou ingestão de comida 210
Afogamento 175
Inalação de conteúdo estomacal 110
Exposição às forças da natureza 79
Ataque por animais 30
Acidentes aeroespaciais 26
Acidentes por transporte aquático 18
Afogamento em banheira 16
Sufocamento na cama 8
Falta de comida 3
Fonte: Office for National Statistics, Inglaterra, 2012.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

35

Tabela 3.4. Comparação de alguns riscos comuns – USA 2003.


Risco Probabilidade de Morte

Ataque cardíaco 1 chance em 300


Câncer 1 chance em 509
Atingido por uma arma 1 chance em 9450
defogo
Acidente de carro 1 chance em 18800
AIDS 1 chance em 19400
Tombo 1 chance em 20700
Câncer de pele 1 chance em 37900
Atropelamento 1 chance em 45200
Acidente de trabalho 1 chance em 47600
Acidente de moto 1 chance em 118000
Gripe espanhola 1 chance em 159000
Afogamento 1 chance em 225000
Acidente de bicicleta 1 chance em 341000
Acidente de barco 1 chance em 402000
Vacina contra varíola 1 chance em 750000
Raio 1 chance em 4.260.000
Acidente de ônibus 1 chance em 4.400.000
Acidente de trem 1 chance em 5.050.000
Terremoto 1 chance em 5.930.000
Esquiando na neve 1 chance em 6.330.000
Avalanche 1 chance em 8.140.000
Acidente de avião 1 chance em 8.450.000
Ataque terrorista 1 chance em 9.270.000
Atacado por um cachorro 1 chance em 10.900.000
Enchente 1 chance em 18.200.000
Montanha russa 1 chance em 70.000.000
Malária 1 chance em 93.800.000
Ataque de tubarão 1 chance em 94.900.000

Risco, como uma medida da probabilidade e gravidade (severidade) de efeitos


adversos, é um conceito que muitas pessoas têm dificuldade de compreender. Sua
quantificação tem sido um desafio e vem confundindo tanto pessoas leigas, quanto
técnicos. Há inúmeras razões para tal; um dos elementos fundamentais que causa esta
confusão e não entendimento do conceito de risco é que este se compõe de dois
conceitos diversos. É uma composição e mistura complexa de dois componentes: um
real (o dano potencial, ou efeitos e consequências adversas desfavoráveis), o outro um
imaginado, baseado em modelo matemático, conhecido como probabilidade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

36

Esta última, por si, é intangível, entretanto está sempre presente na tomada de
decisões baseada em riscos. É sabido que o ser humano avalia muito mal as
probabilidades (daí a importância de passar a realizar uma eficiente e confiável coleta
de dados de incidentes, registrá-los a analisá-los estatisticamente). Além disso, a
medida da probabilidade, que domina a mensuração do risco, é por si mesma incerta,
principalmente para eventos raros e extremos, como quando existe um elemento de
surpresa.
Dessa maneira deve-se procurar, através de um esforço concentrado, balancear
as dimensões quantitativas e empíricas da estimativa e do gerenciamento do risco com
os aspectos qualitativos e normativos da tomada de decisão em situações de risco e de
incerteza. Em particular, buscar selecionar métodos e ferramentas analíticos. Alguns
deles serão introduzidos nos capítulos adiante.
A metodologia de gerenciamento de riscos que será apresentada baseia-se na
premissa de que sistemas complexos, tais como sistemas de controle de tráfego aéreo,
podem ser estudados e modelados das mais diferentes maneiras. Como tais
complexidades não podem ser adequadamente modeladas ou representadas através
de um modelo ou visão simples, levar em consideração tais visões passa a ser
inevitável. Isto pode realmente ser útil quando se providencia uma apreciação holística
das inter-relações entre os vários componentes, aspectos, objetivos e tomada de
decisões associadas com um sistema.
Torna-se, portanto, necessário definir-se sistema como sendo uma coleção de
componentes, conectados por algum tipo de interação ou relacionamento, sendo capaz
de responder a estímulos ou demandas, e de realizar algum propósito ou função. Cada
componente responde ao estímulo de acordo com a sua natureza, porém o estímulo
recebido, assim como o comportamento do componente, é condicionado pela sua
interação com os demais componentes.
As seguintes características são inerentes a um sistema (GUALDA, 1995):
1. há algum propósito a ser satisfeito ou alguma função a ser realizada;
2. há um número de componentes (pelo menos dois) que podem ser
identificados como integrantes do problema, cada componente possui
atributos capazes de permitir a sua descrição;
3. os componentes se relacionam de maneira consistente, obedecendo à
natureza da interface entre eles;
4. há restrições que restringem o comportamento e a resposta individual de
cada componente.
Há, também, a necessidade de introduzir conceitos da abordagem de processos,
onde se pretende que um resultado desejado seja alcançado com mais eficiência,
quando atividades e seus recursos são tratados como um processo. Define-se processo,
conforme a ISO 9000 (ABNT, 2005), como o conjunto de atividades inter-relacionadas
ou interativas que transforma insumos (entradas) em produtos (saídas), conforme Figura
3.1.
Entradas e saídas podem ser tangíveis ou intangíveis. Exemplos de entradas e
saídas podem incluir equipamentos, materiais, componentes, energia, informação e

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

37

recursos financeiros, entre outros. Para desenvolver atividades dentro de um processo,


devem ser alocados recursos apropriados.

Figura 3.1. Abordagem de Processo.

Utiliza-se para essa abordagem o modelo “Planejar-Executar-Checar-Agir” (Plan-


Do-Check-Act), que foi desenvolvido inicialmente na década dos anos 1920, por Walter
Shewhart, e foi popularizado, mais tarde, por W. Edwards Deming. Por esta razão ele é
frequentemente chamado de “o ciclo de Deming”, representado na Tabela 3.5 e nas
Figuras 3.2, 3.3 e 3.4.
O conceito PDCA é algo que está presente em todas as áreas das nossas vidas
profissionais e pessoais, sendo usado continuamente, tanto formalmente quanto
informalmente, consciente ou inconscientemente em tudo o que nós fazemos. Toda
atividade inteligente, não importando quão simples ou complexa, entra nesse ciclo sem
fim.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

38

Tabela 3.5. PDCA


“Plan” Estabelecer os objetivos e processos necessários para
fornecer resultados de acordo com os requisitos do cliente e
(planejar)
políticas da organização

“Do”(fazer) Implementar os processos.

“Check” Monitorar e medir processos e produtos em relação às


políticas, aos objetivos e aos requisitos para o produto e
(checar)
relatar os resultados.

“Act” (agir) Executar ações para promover continuamente a melhoria do


desempenho do processo.

Figura 3.2. O Ciclo PDCA, de Deming.

O PDCA é um modelo dinâmico que pode ser desdobrado dentro de cada um dos
processos da organização e para o sistema de processos como um todo. É intimamente
associado com o planejamento, implementação, controle e melhoria contínua, tanto na
realização de produto quanto em outros processos, como por exemplo, o
Gerenciamento de Riscos (denominado na ISO 31000 por processo de gestão de
riscos). Praticamente todas as metodologias de gestão contemporâneas se encaixam
no modelo do PDCA, incluindo um primeiro planejamento e verificações durante e ao
final do processo. A própria norma ISO 31000 recomenda que a estrutura de gestão de

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

39

riscos seja implementada em formato de ciclo de PDCA, como se pode observar na


Figura 3.5.

O PROCESSO DE MELHORIA

Toda ação de melhoria ou


implantação de uma mudança deve
passar por 4 etapas:
• Planejamento,
• Desenvolvimento,
• Checagem, e
• Ação.
O gerenciamento através do PDCA
confere continuidade às ações,
direcionando-as ao aperfeiçoamento
contínuo.
Figura 3.3. O Processo de Melhoria através do PDCA.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

40

APLICAR / AGIR:
Sobre os desvios encontrados na análise PLANEJAMENTO:
entre o Planejado e o Realizado, deve-se decidir
O sucesso do trabalho depende da atuação
por ajustes visando a efetivação da melhoria,
cuidadosa e sistêmica na aplicação das etapas:
considerando, se necessário:
• Identificação do problema,
• Disposições;
• Priorização,
• Ações Corretivas;
• Busca das causas,
• Ações Preventivas.
• Definição de alternativas de
Oportunidades de Melhorias e/ou Problemas
solução,
Potenciais identificados alimentam a melhoria
• Planejamento das ações.
contínua do processo, realimentando o ciclo PDCA.
Evitar sempre que puder decidir por intuição,
A divulgação dos resultados obtidos é fator
utilizar os indicadores.
de grande influência no aspecto motivacional
relacionado à sistematização da metodologia PDCA

CONTROLE (CHECAGEM): DESENVOLVIMENTO:


A análise dos dados coletados / registrados,
As ações de execução devem seguir o plano
deve permitir a comparação contra o planejamento,
de melhoria definido, colocando em prática todas as
para verificar se as ações foram implementadas e
ações determinadas e, respeitando:
atingiram seus objetivos, tais como:
• Prazos;
• Eventos;
• Responsabilidades;
• Datas;
• Autoridades;
• Tempos;
• Necessidades de Treinamento;
• Medidas;
• Geração de registros;
• Clima;
• Clima motivador;
• Expectativas
• Clareza quanto aos resultados
A implementação está associada à
esperados.
Eficiência ou, emprego de recursos disponíveis;
O atingimento dos objetivos está associado
à Eficácia, ou eliminação da situação indesejável ou
causa raiz do problema.

Figura 3.4. Fases do PDCA.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

41

Figura 3.5. Esquema da Estrutura de Gestão de Riscos proposta e


recomendada pela ISO 31000.

Figura. 3.6. Processo de solução de um problema baseado no PDCA.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

42

Um outro princípio importante é de Abordagem de Sistema para a Gestão


(System Approach to Management), que estabelece “Identificar, entender e administrar
processos inter-relacionados como um sistema contribui para a efetividade e eficiência
da organização em alcançar seus objetivos”.
A abordagem de processo enfatiza a importância de:
• entendimento e atendimento de requisitos de um Sistema de
Gerenciamento de Riscos;
• necessidade de considerar os processos em termos de valor agregado;
• obtenção de resultados de desempenho e eficácia de processo;
• melhoria contínua dos processos, baseada em medições objetivas.
Além disso, a necessidade de se empregar um enfoque holístico faz com que a
realização de um processo de estimativa e gerenciamento de risco passe a ser uma
mistura de arte e ciência. Pois, embora, a formulação e a modelagem matemática de
um problema seja importante para a tomada de decisão, elas não são suficientes para
aquele propósito: quem toma a decisão é sempre uma pessoa, o proprietário do
processo (e, portanto, de seus riscos).
Considerações institucionais, organizacionais, gerenciais, políticas e culturais,
entre outras, podem ser tão importantes quanto os aspectos científicos, tecnológicos,
econômicos ou financeiros e devem ser levados em consideração num processo de
tomada de decisão. Daí a norma ISO 31000 (ABNT, 2009b) repetir a recomendação do
prévio estabelecimento dos contextos externo e interno, tanto na concepção da estrutura
de gestão de riscos, como sempre que se realizar o processo de gestão de riscos.
Considere-se, por exemplo, a proteção e o gerenciamento de um sistema de
abastecimento de água. É possível levar em consideração a natureza holística do
sistema em termos da sua estrutura de tomada de decisão hierárquica incluindo os
diferentes horizontes temporais, os múltiplos tomadores de decisão, partes interessadas
e usuários, assim como condições e fatores hidrológicos, tecnológicos, legais e
socioeconômicos que requerem consideração. A efetiva identificação dos riscos para os
quais qualquer sistema de abastecimento de água está exposto é melhorada se forem
considerados todos os riscos reais, percebidos ou imaginários a partir de suas múltiplas
decomposições, visões e perspectivas.

Quadro 3.1.
1. Desenhe a figura da Estrutura de Gestão de Riscos conforme proposta
pela norma ISO 31000.
2. Indique na figura desenhada quais elementos da estrutura
correspondem a cada uma das fases do ciclo do PDCA (escreva as
letras sobre a figura).
3. Escreva abaixo da figura o nome de cada uma das etapas do PDCA e
resuma as principais características de cada.
Sugestão de solução:

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

43

1. Planejamento – identificar o problema, priorizar, buscar causas e


alternativas de soluções, planejar (o quê, onde, quando, quem, como);
2. Desenvolvimento – cumprir o plano, respeitando prazos,
responsabilidades etc.;
3. Controle ou Checagem – analisar os dados e verificar se as ações foram
cumpridas conforme o plano (prazos, responsabilidades etc.)
4. Ação – ações corretivas e preventivas sobre os desvios e identificação
das oportunidades de melhorias a serem realizadas no ciclo seguinte.
Ou também poderia ser:

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

44

3.6. O PROCESSO DE GESTÃO (OU DE GERENCIAMENTO) DOS RISCOS


A norma ISO 31000 utiliza apenas o termo gestão, não traz a grafia
gerenciamento, bastante comum na literatura sobre riscos. Entretanto ela veio formalizar
a ordem e os nomes das diversas etapas que compõem o processo de gerenciamento
dos riscos.
Este processo, como parte do gerenciamento global de uma organização, deve
ser incorporado à cultura e a todas as práticas do sistema, adaptado aos negócios e ao
contexto. Em diversas metodologias encontram-se distintos esquemas que tentam
representar este processo, bastante semelhantes entre si e, portanto, não vale a pena
ilustrá-los todos: está apresentado na figura 3.7 a disposição proposta pela antiga norma
AS/NZS 4310 e que foi aproveitada na totalidade pelo comitê redator da ISO 31000.
O processo de gestão de riscos tem um eixo central, cujo núcleo forma o que
tradicionalmente se chamava de análise ou avaliação de riscos. Aqui ele vem
representado também como um subprocesso, o processo de avaliação de riscos (risk
assessment), composto pelas etapas de identificação de riscos, análise de riscos e
avaliação de riscos. Entretanto, ele é antecedido pela essencial fase de estabelecimento
dos contextos e sucedido pelo tratamento de riscos.
Ao longo de todo esse processo central, duas atividades o acompanham
inteiramente, como se fossem duas colunas de sustentação a interagir com cada etapa
e garantir sua permanência: a comunicação e consulta e o monitoramento e análise
crítica. A metade direita do esquema é disposta como um ciclo em sentido anti-horário
e é fácil se dar conta de que constitui um PDCA, ou seja, o processo de gerenciamento

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

45

de riscos também deve se iniciar por um bom planejamento (que abrange todas as fases
de contextualização e de avaliação de riscos), o fazer através do tratamento efetivo, o
checar pelo monitoramento e análise crítica, que inclui as ações de melhoria.

Figura 3.7. O processo de gestão de riscos conforme a norma ISO 31000.

Estabelecimento do Contexto – consiste em entender o contexto externo para


assegurar que os objetivos da organização e as preocupações das partes interessadas
externas e internas sejam considerados no desenvolvimento dos critérios de avaliação
de risco, ou seja, o grau em que se irá tolerar ou tratar um risco avaliado. O contexto
externo é baseado no contexto de toda a organização (da mesma forma que se fez ao
montar a estrutura de gestão de riscos), com atenção especial aos requisitos legais e
regulamentares e às percepções das partes interessadas. O contexto interno deve estar
alinhado à cultura, estrutura, objetivos e estratégia da organização – além de considerar
os objetivos, os critérios e as particularidades do processo ou atividade cujos riscos
serão avaliados. Na prática, será visto em todas as ferramentas de identificação e
avaliação de riscos que o trabalho sempre se inicia por uma reunião de equipe em que
se discute os objetivos específicos e as particularidades do sistema que se irá avaliar,
levanta-se uma série de informações e se analisa o fluxograma do processo em estudo.

Identificação de Riscos (Risk Identification) – recomenda-se que sejam


identificados, para cada item em análise, os riscos, suas fontes (que em segurança são
chamadas de perigos, hazards), os eventos (incidentes potenciais), as causas e
consequências potenciais. Ao final da identificação, o bom trabalho produz uma lista
ampla e detalhada de riscos, que recebe diferentes denominações conforme a área ou

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

46

a ferramenta (lista, registro, planilha, cadastro, inventário, mapa de riscos ou outras


denominações).

Exemplo: identificou-se os riscos de morte (consequência) por acidente


(evento) de avião (perigo) e morte por acidente de automóvel. O automóvel está
em mau estado de conservação por falta de manutenção.

Análise de Riscos (Risk Analysis) – é a compreensão profunda e compartilhada


dos riscos em termos de causas, consequências ou efeitos, probabilidades
(relacionadas às causas), gravidades (também chamadas de severidades ou
magnitudes ou amplitudes, e são relacionadas às consequências). A análise das
probabilidades e consequências deve levar em conta os controles existentes
atualmente, sua eficácia e suas falhas. A determinação dos valores nem sempre é fácil,
por razões de divergências de opinião e do grau de incerteza ou baixa qualidade das
informações: deve-se buscar a todo custo o consenso responsável da equipe. A análise
pode ser qualitativa, semiquantitativa ou quantitativa, o que será visto nos próximos
capítulos, conforme a ferramenta.
Na análise de riscos procura-se responder às seguintes questões:
• o que pode acontecer de errado?
• quais as chances disso ocorrer?
• quais as consequências e sua gravidade?

Exemplo: analisou-se que o risco o risco de acidente de avião e de carro são


muito graves, o avião oferece maior gravidade que o automóvel (pois nem sempre
um acidente de automóvel tem como consequência a morte), mas a probabilidade
de um acidente de automóvel é milhares de vezes maior que por acidente de
avião, especialmente pelo automóvel encontrar-se em mau estado de
conservação.

Avaliação de Riscos (Risk Evaluation) – tem como finalidade auxiliar o gestor na


tomada de decisão, fornecendo um indicativo à equipe, conforme o critério previamente
escolhido (por exemplo, uma pontuação que combina probabilidades e consequências).
Permite também priorizar os tratamentos que precisarão ser implementados. A
avaliação por definição consiste na comparação de um valor obtido (em geral a
pontuação) em relação a um critério (por exemplo, um valor limite para aceitar ou rejeitar
um risco na forma como se apresenta).

Exemplo: o risco de acidente de avião é desprezível e tolerável; o risco de


acidente de automóvel é moderado, mas intolerável; a decisão é viajar de avião.

Tratamento de Riscos (risk treatment) – antigamente chamada de forma


simplificada como controle de riscos, envolve a seleção das opções para modificar os
riscos, a análise e avaliação das opções, a preparação e implementação dos planos de

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

47

tratamento. Como resultado pode se ter novos controles a implementar ou modificação


dos controles existentes.
No tratamento de riscos procura-se responder às seguintes questões:
• o que pode ser feito?
• quais as alternativas disponíveis e quais os benefícios em termos de custo?
• quais são os impactos das atuais decisões gerenciais sobre opções futuras?

Dentre as opções de tratamento, tem-se:


• evitar o risco – não iniciar ou descontinuar a atividade que origina o risco;
• tomada do risco – tirar proveito da oportunidade (no caso de riscos positivos);
• remoção da fonte do risco;
• alteração da probabilidade (através de controles preventivos);
• alteração das consequências (através de controles protetivos, proteções,
barreiras);
• compartilhamento do risco com outra(s) parte(s) – contratos, seguros e
financiamento de riscos;
• retenção do risco por decisão consciente e embasada.

Esta última questão é a mais crítica para qualquer tomada de decisão. Isto é
verdadeiro porque a menos que os impactos positivos e negativos de decisões atuais
sobre opções futuras tenham sido avaliados – na medida do possível – essas decisões
não podem ser consideradas como “ótimas”. Ou seja, a avaliação e o tratamento de
riscos são essencialmente uma síntese de esforços empíricos, normativos,
quantitativos, qualitativos, objetivos e subjetivos.

Exemplo: viajar de avião, mas escolher companhia idônea e fazer um seguro


de vida; avaliar a possibilidade de recuperação do automóvel para viagem futura
ou substituí-lo.

Monitoramento e Análise Crítica (Monitoring and Review) – confunde-se com


supervisão, verificação, acompanhamento contínuo da situação de forma a: perceber
mudanças nos contextos, identificar novos riscos emergentes, acompanhar alterações
nos níveis de probabilidades e consequências, garantir controles eficazes – em resumo,
acompanhar todas as etapas do processo de gerenciamento de riscos e de
implementação dos planos de tratamento e de melhoria. Os resultados do
monitoramento e da análise crítica devem ser reportados à alta administração.

Exemplo: acompanhar as estatísticas de acidentes de transporte,


especialmente o desempenho das companhias aéreas em termos de segurança;
monitorar as apólices de seguro; acompanhar os planos de recuperação e
manutenção do automóvel; acompanhar novas formas e rotas de transporte.

Comunicação e Consulta – também convém que ocorra em todas as etapas do


processo, na forma de diálogo transparente e participativo com as partes interessadas

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

48

internas e externas, que devem participar desde o estabelecimento do contexto,


passando pela avaliação e chegando ao envolvimento com a definição e implementação
dos tratamentos. Muitos projetos envolvendo riscos à comunidade falharam e sofreram
interrupções devido ao não envolvimento das partes interessadas, que não foram
ouvidas desde o início do processo. É recomendável a elaboração de um plano de
comunicação que relacione as partes a serem envolvidas e estabeleça os meios, os
responsáveis e a periodicidade da comunicação. Em alguns casos é necessária a
participação de consultores ou assessores na comunicação.

Exemplo: o processo de gestão de riscos de transporte envolveu na equipe


o contratante da viagem e os passageiros (que realizaram duas reuniões de
avaliação), visita ao mecânico do automóvel para diagnóstico do veículo, consulta
às reclamações e noticiários sobre acidentes aéreos no Brasil, dados estatísticos
de acidentes aéreos e de trânsito.

A ideia do processo de gerenciamento de riscos, como descrito anteriormente,


tem o propósito específico de eliminar as falhas ou reduzir probabilidades de falhas –
que possam levar a acidentes e danos potenciais – bem como diminuir suas
consequências, nas fases de projeto, construção e montagem, partida e operação de
um sistema.
Apesar de “segurança” ter sido tradicionalmente definida como sendo uma
situação livre de condições que possam causar mortes, ferimentos, doenças e danos ou
perda de equipamentos, reconhece-se que essa definição é de alguma maneira irreal.
Ela indicaria que quaisquer sistemas contendo algum grau de risco seriam considerados
inseguros. Obviamente isso não é lógico, já que quase todo sistema que produz
benefícios no nível pessoal, social, tecnológico, científico ou industrial contém um
elemento de risco indispensável, pois apresenta perigos inerentes. Por exemplo,
equipamentos de segurança não são inteiramente seguros, apenas mais seguros que
suas alternativas. Eles apresentam um nível de risco aceitável enquanto preservam os
benefícios das invenções menos seguras às quais substituíram.
Um exemplo mais claro da redução do risco e sua aceitação envolve o esporte do
paraquedismo. A maioria dos paraquedistas profissionais nunca pularia de um avião
sem o paraquedas. A função do paraquedas é providenciar uma certa medida de
controle, visando minimizar o nível de risco. Entretanto, mesmo estando o paraquedas
em perfeitas condições, o paraquedista ainda deve aceitar o risco de alguma falha,
chamado de risco residual (uma vez que a eliminação do risco, ou risco zero, não é
viável).
O processo de gerenciamento de riscos, portanto, se preocupa com o aspecto de
reduzir ao máximo o nível aceitável de um dado risco. Na realidade nenhum avião
poderia voar, nenhum automóvel se mover e nenhum navio poderia sair ao mar se todos
os perigos e riscos tivessem que ser eliminados antes. Da mesma maneira, nenhuma
broca poderia ser manuseada, petróleo refinado, jantar preparado em um forno de
micro-ondas, água fervida, etc., sem algum elemento de risco.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

49

Este problema é mais complicado pelo fato de que a tentativa da eliminação do


perigo ou risco pode resultar em uma outra causa de risco. Por exemplo, alguns
conservantes atualmente utilizados para a prevenção do crescimento de bactérias ou
perda de sabor são suspeitos de causar câncer (por exemplo, os nitratos de sódio). Do
mesmo modo, existem dúvidas sobre os benefícios conhecidos da melhoria nos
diagnósticos e tratamentos médicos que resultam do uso de radiação (raios X e
radioterapia) contra os riscos conhecidos da exposição humana à radiação.
Dessa maneira, segurança é um conceito relativo, já que nada é completamente
seguro em todas as circunstâncias e condições. Existe sempre algum exemplo no qual
um material ou equipamento relativamente seguro se torna perigoso. O simples ato de
beber água, se feito em excesso, pode causar vários problemas renais.
Infelizmente a questão “Quão seguro é seguro suficiente?” não tem uma resposta
simples. Tomem-se alguns exemplos: é comum ouvir o termo “99,9% seguro” usado
para significar uma grande confiabilidade e baixo risco de acidente, especialmente no
ramo da publicidade. Na verdade, seria mais seguro dizer que essa terminologia é de
alguma maneira usada de forma errada em nossa sociedade. Nesse sentido, considere-
se os seguintes fatos estatísticos.

Nos Estados Unidos, 99,9% seguro significa:


• uma hora de água contaminada por mês;
• 20.000 crianças por ano sofrendo convulsões devido a problemas na
vacina contra coqueluche;
• 16.000 cartas perdidas por hora;
• 500 operações cirúrgicas erradas por semana;
• 500 recém-nascidos derrubados pelos médicos todos os dias.

Claramente, portanto, 99,9% seguro não é “seguro suficiente” na sociedade de


hoje em dia. Se a porcentagem fosse acrescentada por um fator de 10 para 99,99%, as
seguintes informações indicam que esse nível de risco é ainda inaceitável em certas
circunstâncias, pois 99,99% seguro significaria:
• 2.000 prescrições de remédios incorretas por ano;
• 3.200 vezes por ano que seu coração pararia de bater;
• 5 crianças com problemas permanentes no cérebro por ano devido a
problemas na vacina contra coqueluche.

De qualquer modo, a necessidade de proporcionar a maior segurança possível


num sistema, indústria ou processo é absolutamente essencial. Na verdade, em certas
partes do sistema não existe espaço para erros ou falhas, como evidenciado nos
exemplos anteriores. Assim, a segurança se torna uma função da situação que é
mensurada.
A questão, portanto, ainda retoma a definição de segurança. Uma possível
melhoria à definição anterior, poderia ser que segurança seja “a medida do grau de
liberdade sem risco em qualquer ambiente”. Daí, a segurança em um dado sistema ou
processo deve ser medida e baseada considerando a medição do nível de risco

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

50

associado com a operação daquele sistema ou processo. Esse conceito fundamental


de risco aceitável é a base na qual o sistema de gerenciamento de riscos tem sido
desenvolvido e praticado hoje em dia.
Em termos de Segurança, a necessidade sempre presente de atingir uma
conformidade de 100% com códigos, regras, regulamentações ou princípios de
operação estabelecidos é um desafio. Entretanto, na prática da Engenharia de
Segurança, deve ser claramente entendido que a resolução de problemas de segurança
simplesmente utilizando-se normas não deve se constituir num substituto da engenharia
inteligente e que normas somente estabelecem as mínimas bases, que em vários
sistemas ou situações precisam ser excedidas para eliminar e controlar adequadamente
riscos identificados. Uma conformidade de 100% no atendimento a normas e padrões,
quando possível, significa que o sistema conseguiu ter somente as mínimas
necessidades de segurança.
Os sistemas (estruturas mais processos) de gerenciamento de riscos visam
exceder essas necessidades mínimas e promover o mais alto nível de segurança - isto
é, o menor nível de risco aceitável - atingível por um dado sistema. Além disso, é
importante mencionar que sistemas de gerenciamento de riscos têm sido normalmente
usados para demonstrar que os usos de alguns requisitos normativos podem ser
demasiadamente excessivos, enquanto promovem uma insuficiente redução do risco
para justificar os altos custos envolvidos.
Custos relacionados ao uso de procedimentos, normas operacionais e restrições
operacionais, medidas reativas de um sistema, perda de tempo, etc., são todos
elementos que devem ser levados em conta para determinar a validade da
implementação de qualquer novo controle de conformidade. A utilização de sistemas
(estruturas e processos) de gerenciamento de riscos tem servido como uma excelente
ferramenta para avaliar o valor de tais controles, levando em conta as economias e a
redução do risco.
A Engenharia de Segurança e de Saúde no Trabalho procura se concentrar
principalmente em assegurar um padrão mínimo de segurança e saúde. Tal objetivo,
geralmente, é alcançado através do uso de regras ou normas de conduta que formam
as bases da maioria dos programas de segurança e saúde atualmente instalados nos
setores privados e públicos. Entretanto, como já comentado, a maioria desses
regulamentos e padrões reflete, somente, uma necessidade mínima de segurança.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

51

3.7. TESTES

1. O gerenciamento de riscos não pode auxiliar as organizações:


a) Em alcançar resultados lucrativos.
b) Em eliminar os riscos de uma organização.
c) Na tomada de decisões de negócio.
d) Na tomada de decisões operacionais.
e) Em proteger o meio ambiente.

2. O gerenciamento de riscos pode tratar do(s) seguinte(s) risco(s) aos quais as


organizações estão sujeitas.
I- Riscos à segurança e à saúde.
II- Riscos da situação de negócio e de mercado.
III- Riscos de imagem e de meio ambiente.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

3. A sigla PDCA pode ser traduzida como:


a) Planejar, Diagnosticar, Checar, Atuar.
b) Perguntar, Diagnosticar, Checar, Agir.
c) Planejar, Desempenhar, Checar, Agir.
d) Planejar, Desempenhar, Chegar aos resultados, Atuar.
e) Perguntar, Desempenhar, Conferir, Atualizar.

4. Corre-se menor risco de morrer em consequência de:


a) AIDS.
b) Ataque cardíaco.
c) Acidente de motocicleta.
d) Câncer.
e) Atropelamento.

5. Não tem relação com sistema de gestão de segurança:


a) Objetivo alcançado.
b) Abordagem holística.
c) Gerenciamento do processo.
d) Elementos isolados.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 3. Introdução à Gestão de Riscos.

52

6. Qual frase faz mais sentido?


a) Segurança é uma avaliação do risco.
b) Risco é uma avaliação da segurança.
c) Avaliação é a segurança do risco.
d) Avaliação é um risco da segurança.
e) O risco da avaliação é a segurança.

7. Qual a ordem correta do processo de gerenciamento de riscos?


a) Identificação, Avaliação, Controle.
b) Avaliação, Controle e Identificação.
c) Avaliação, Identificação e Controle.
d) Controle, Identificação e Avaliação.
e) Identificação, Controle e Avaliação.

8. Qual a priorização correta dos riscos?


a) Trivial, Intolerável, Baixo, Médio, Alto.
b) Intolerável, Alto, Médio, Baixo, Trivial.
c) Trivial, Alto, Médio, Baixo, Intolerável.
d) Alto, Intolerável, Médio, Trivial e Baixo.
e) Médio, Trivial, Baixo, Intolerável, Alto.

9. São sinônimos:
a) Risco controlado e risco aceitável.
b) Risco controlado e risco tolerável.
c) Risco tolerável e risco aceitável.
d) Nenhuma das anteriores.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

53

CAPÍTULO 4. IDENTIFICAÇÃO DE PERIGOS E ANÁLISE DE RISCOS –


ANÁLISE PRELIMINAR DE RISCOS (APR).

OBJETIVOS DO ESTUDO

Aprofundar os conceitos de avaliação e aceitação de riscos e a aplicação de


técnicas em organizações e processos industriais; ressaltar a importância de requisitos
para a metodologia; explicar as etapas para implementação do método; apresentar as
técnicas de Análise Preliminar de Perigos e de Riscos e exemplificar análises e o uso
de formulários.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

54

4.1. INTRODUÇÃO
A maioria das pessoas não deseja ter perdas, embora possa aceitar alguma perda
potencial se houver a possibilidade de um ganho. Apesar dos esforços para evitar
eventos indesejáveis, erros, falhas, incidentes, etc. podem ocorrer.
A lei de Murphy, por exemplo, segue essa ideia: “se é possível algo dar errado,
seguramente dará”. Variações e corolários dessa lei, aplicados à segurança são:

• Um automóvel e um caminhão se aproximando e0m direções contrárias se


encontrarão numa ponte estreita;
• Muitos projetos requerem três mãos;
• Somente Deus pode fazer uma seleção randômica;
• Quando tudo falha, leia as instruções;
• Qualquer sistema que dependa de confiabilidade humana não é confiável;
• Se numa instalação teste tudo funciona perfeitamente, todos os outros
subsequentes sistemas não funcionarão;
• Qualquer erro num cálculo será sempre na direção de causar o maior dano;
• Um circuito do tipo “ falha-segura “ destruirá outros;
• Uma falha somente ocorrerá após a unidade ter passado pela inspeção
final.

Um dos objetivos principais do gerenciamento de riscos é evitar que a lei de


Murphy ocorra.
Para os engenheiros que tenham um papel importante em produtos,
equipamentos, processos e meio ambiente, o objetivo é reduzir riscos, eliminar ou
diminuir os fatores que contribuam para incidentes, através de planejamento, projeto e
análise de produção e operação.
Para que se tenha êxito no Gerenciamento de Riscos torna-se necessário,
previamente, a realização de uma Análise de Riscos profunda e meticulosa.
Como já descrito, anteriormente, o Gerenciamento de Riscos tem como objetivo a
eliminação do perigo ou pelo menos a minimização da probabilidade de ocorrência e/ou
das consequências do risco. A Engenharia de Segurança tem a participação total nesse
esforço de eliminação ou minimização, lembrando-se, entretanto, que existe uma
interdisciplinaridade para a sua realização e a inclusão de aspectos econômicos,
jurídicos, humanos e de seguros.
Uma das tarefas mais importantes da Engenharia de Segurança é conduzir a
análise de riscos numa grande variedade de aplicações, visando à prevenção de perdas
e à redução de riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

55

4.2. PROBLEMÁTICA DO RISCO


A medição do risco como função de uma probabilidade e gravidade leva em
consideração o aspecto quantitativo, desconsiderando a noção de valor. Este é o
conceito de valor associado ao risco, o qual poderá ser percebido de maneira diferente
pelas pessoas em função da época, local onde moram, cultura e sua história.
Os exemplos a seguir, tirados da vida cotidiana elucidam melhor as definições de
perigo e risco e que esta noção de valor existe sempre, admitindo-se viver com certo
nível de risco residual.

Exemplo 1: Pastilha de freio


De maneira geral admite-se que utilizar um carro representa um risco. O perigo,
neste caso, é o incidente. Entretanto quando o motorista percebe, ou o seu mecânico o
informa, de que o estado de suas pastilhas de freio não está bom, e toma a decisão de
continuar rodando com o veículo, ele está aumentando o nível do risco (probabilidade).

Exemplo 2: Seguro de para-brisa do carro


O perigo neste caso é a quebra do para-brisa do carro, e mesmo ocorrer um
acidente. O prêmio do seguro pode custar até R $ 40,00 por ano para o motorista; a
probabilidade de quebra de um para-brisa pode ser estimada como sendo de 1 a cada
5 anos e o custo de sua troca de R$ 250,00. O motorista pode, então, decidir, por
simples lógica econômica, de não fazer o seguro do para-brisa e admitir assim certo
nível de risco.

Portanto, tem-se aqui certo número de abordagens possíveis:

• Um exame da situação existente permite definir um risco intrínseco que


resulta numa situação indesejável ou numa situação aceitável;
• Se a situação é aceitável, ela será aceita e assumida e o risco será
considerado como estando gerenciado;
• Se a situação é indesejável, então iniciar-se-á uma fase de análise visando
colocar em prática meios de prevenção e de proteção que permitam atingir
uma situação aceitável, isto é o gerenciamento do risco.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

56

4.3. METODOLOGIA DE IDENTIFICAÇÃO DE PERIGOS E DE ANÁLISE DE


RISCOS
4.3.1. INTRODUÇÃO
A metodologia de identificação de perigos e de análise de riscos deve ser
projetada para ser usada em novos tipos de produtos, subsistemas, processos ou
instalações, ou para modificações em projetos, armazenamento, sistemas, processos
ou instalações existentes, principalmente para os seguintes casos:
a) Plantas químicas de processo;
b) Sistemas de armazenamento de substâncias químicas e outros
empreendimentos similares;
c) Atividades extrativas;
d) Sistemas de dutos, externos à instalações industriais, destinados ao
transporte de petróleo, derivados, gases ou outras substâncias químicas;
e) Plataformas de exploração de petróleo e/ou gás;
f) Instalações que operam com substâncias inflamáveis e/ou tóxicas;
g) Substâncias com riscos diferenciados como, por exemplo, explosivos ou
reativos;
h) Em situações em que os perigos parecem apresentar uma ameaça
significativa, e é incerto se os controles planejados ou existentes são
adequados em princípio ou na prática;
i) Em organizações que procuram a melhoria contínua de seu desempenho
em Segurança, além dos requisitos legais mínimos.

4.3.2. CRIAÇÃO DE UMA METODOLOGIA


O objetivo principal da análise de riscos é a redução do Risco. Para tanto, deve-
se utilizar uma metodologia adaptável às circunstancias e aos resultados esperados.
Quanto maior o conhecimento dessas circunstâncias, maior será a probabilidade de
obtenção de resultados confiáveis.
De qualquer modo, identificar perigos não é uma tarefa fácil, porque sempre é
possível esquecer alguma coisa. Requer treinamento e experiência, por exemplo, para
se observar condições inseguras.
Por outro lado, para obter-se um melhor gerenciamento de riscos, a metodologia
a ser usada para identificar perigos e analisar riscos deve facilitar a “visibilidade” da
probabilidade de ocorrência de um evento, assim como a severidade da ocorrência. O
nível de informação deve, portanto, ser de tal grandeza que permita estabelecer um
“nível de proteção”, e, consequentemente, estabelecer claramente a prioridade e a
sequência de medidas para eliminar ou reduzir o risco.
Além disso, a metodologia a ser aplicada deve ser suficientemente flexível na sua
aplicação. Há a necessidade de levam em consideração as diferentes perspectivas dos
sistemas a serem analisados, assim como seu o objetivo da análise em si.
Não é fácil, também, entender como a combinação de coisas e a complexidade
das operações, equipamentos e instalações podem levar a eventos não desejáveis.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

57

O objetivo na identificação de riscos é reduzir a incerteza na descrição de fatores


que contribuam para incidentes, ferimentos, doenças e mesmo morte. Essa identificação
envolve inicialmente a identificação de perigos.
A identificação envolve o levantamento de fatos e dados, que devem ser
analisados para determinar quais desvios de processo podem contribuir para uma
consequência de danos, perdas, ferimentos ou doenças e se dados de um caso
particular podem ser generalizados para outras situações ou populações.
Riscos mudam com o tempo, portanto, o processo de identificação de riscos
requer uma metodologia contínua e sistemática, envolvendo o reconhecimento dos
perigos e dos desvios, e, principalmente, de valores aceitos pela população envolvida.
Desta maneira, torna-se prioritário estabelecer um procedimento para identificar
perigos das atividades, produtos e serviços da instalação. Para tanto, é necessário
seguir uma sequência de etapas, descritas a seguir:
1. Torna-se necessário, inicialmente, estabelecer uma equipe
multidisciplinar – esta equipe deve ser liderada por uma pessoa com
habilidades e conhecimento sobre técnicas organizacionais e de comunicação
e competência, autoridade, credibilidade e capacitação, para obtenção das
informações necessárias;
2. Preparar a documentação necessária, que deve refletir a situação atual
do sistema em estudo (atividade, serviço e produto), ou seja, o conhecimento
de como os processos relacionados são "operados" realmente (não
necessariamente como poderiam ou deveriam ser conduzidos);
3. Identificar os perigos e avaliar os riscos, o que envolve três passos
básicos:
a) Identificação de perigos relacionados às atividades estudadas,
nas diferentes condições dessas (normais, anormais,
emergenciais, rotineiras e não rotineiras);
b) Estimativa do risco, através do estabelecimento de uma
probabilidade e gravidade, e levando em consideração os
controles e meios existentes;
c) Decisão sobre a aceitabilidade do risco;
4. Indicar as ações de melhoria – proteção, controle e/ou prevenção - e
respectivos planos de ação (responsabilidades e cronograma);
5. Analisar criticamente os planos de ação, considerando os aspectos de
tecnologia, de treinamento e competência e econômicos disponíveis.

Essa integração - administração e operadores - permite uma percepção


compartilhada dos danos e riscos e quais as ações ou procedimentos necessários para
seu controle, com enfoque na prevenção de perdas.
Normalmente, não há necessidade de realizar análises quantificadas que,
somente são realizadas quando as consequências de possíveis falhas podem ser
catastróficas. Na maioria das organizações métodos simples e subjetivos são os mais
adequados. Algumas avaliações, entretanto, podem requerer uma série de medições da

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

58

situação existente ou de níveis de exposição a um dado agente tóxico ou nocivo, para


diminuir um pouco a subjetividade.
O formulário para registro da identificação de perigos e análise dos riscos
geralmente contém as seguintes colunas:

• Atividade ou processo;
• Perigo;
• Causas;
• Meios de controles existentes;
• Pessoas sujeitas a riscos;
• Danos;
• Probabilidade do dano;
• Gravidade do dano;
• Níveis de risco;
• Ações de melhoria a serem tomadas.

O resultado de uma avaliação deve ser um inventário de ações, em ordem de


prioridade, para recomendar, manter ou melhorar os controles. Esses devem ser
escolhidos levando em consideração:

a) Eliminação, se possível, dos perigos, ou o controle do risco na fonte


(prevenção e segurança intrínseca);
b) Redução do risco;
c) Adaptação da tarefa ou processo;
d) Melhoria tecnológica;
e) Medidas de proteção das pessoas ou do meio ambiente;
f) Manutenção primitiva ou preventiva;
g) Medidas de emergência;
h) Indicadores proativos para monitorar a conformidade com os controles.

As informações necessárias para uma identificação e avaliação geralmente


incluem:

a) Fluxos de atividades e/ou processos (diagrama de blocos, fluxogramas de


processo, procedimentos);
b) Implantações ("lay-outs", desenho de máquinas, plantas baixas, etc.);
c) Listas de matérias-primas, subprodutos, produtos, efluentes, emissões,
resíduos e respectivas fichas de segurança;
d) Tarefas executadas com duração e frequência;
e) Pessoal envolvido (normal, ocasional, manutenção);
f) Treinamentos recebidos;
g) Utilidades empregadas;
h) Forma física das substâncias utilizadas;
i) Requisitos de regulamentações e normas internas;

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

59

j) Controles em uso;
k) Planos de emergência existentes;
l) Monitoramento (contínuo; ocasional; pontual);
m) Inspeções de segurança e de meio ambiente realizadas.

4.4. TÉCNICAS PRELIMINARES DE IDENTIFICAÇÃO DE PERIGOS


Em qualquer processo sempre haverá riscos que são óbvios, tanto pela natureza
do processo quanto pelos produtos envolvidos. Por exemplo, reações de cloração
apresentam risco tóxico associado; o manuseio de líquidos inflamáveis um risco de
incêndio, etc.
Nesse sentido, portanto, é fundamental nas avaliações, inicialmente, pesquisar
dados de segurança e meio ambiente de todos os produtos envolvidos no sistema
(MSDS – Material Safety Data Sheet ou FISPQ – Fichas de Informação de Segurança
de Produto Químico) e conhecer preliminarmente os riscos envolvidos no processo.

4.4.1. MSDS (FISPQS)


A criação e o uso de fichas de informação de segurança de produtos químicos
para todas as substâncias manipuladas constituem-se num ponto de partida, pelo fato
que, geralmente, elas apresentam dados relacionados com características de
segurança e de meio ambiente, proteção pessoal, instruções de manuseio (incluindo-se
medidas de emergência), e precauções com o meio ambiente. Exemplos de
informações contidas nessas fichas encontram-se representados nas figuras 4.1, 4.2 e
na tabela 4.1.

Figura 4.1. Temperaturas importantes a serem consideradas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

60

Figura 4.2. Faixas de concentração para explosão de gases e vapores


inflamáveis.

Tabela 4.1. Medidas da Toxicidade.

Valor Limite de Tolerância é a concentração que não deve ser


TLV ultrapassada para uma exposição de 8 horas
Valor não oficial, publicado pela ACGIH.

STEL Concentração limite de pico, durante 15 minutos.

Limite de exposição permitida para 8 horas ( 40 h / sem ) publicado


PEL pela OSHA ( oficial )
LT no Brasil.

Concentração imediatamente perigosa à vida ou à saúde representa


o nível máximo de concentração no ar, no qual uma pessoa pode
IDLH
escapar no máximo em 30 minutos, sem efeitos irreversíveis à
saúde.

LCLo Concentração letal (valor mais baixo publicado).

TCLo Concentração tóxica (valor mais baixo publicado).

4.4.1.1. Classificação de gases e líquidos tóxicos (CETESB - Critério para


a Classificação de Instalações Industriais, quanto à Periculosidade.)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

61

Para a classificação das substâncias foram definidos quatro níveis de toxicidade,


de acordo com a CL50, via respiratória para rato ou camundongo, para substâncias que
possuam pressão de vapor igual ou superior a 10 mmHg a 25oC, conforme apresentado
na Tabela 4.2.

Tabela 4.2. Classificação de substâncias tóxicas.

Nível de toxicidade C (ppm.h)

4 – Muito tóxica. C  500

3 – Tóxica. 500 < C  5000

2 – Pouco tóxica. 5000 < C  50000

1 – Praticamente não tóxica. 50000 < C  150000

C = concentração letal 50% (CL50) em ppm multiplicada pelo tempo de exposição em horas.
(Fonte: CETESB - Critério para a Classificação de Instalações Industriais, quanto à Periculosidade)

Para as substâncias cujos valores de CL50 não estavam disponíveis foram


utilizados os valores de DL50, via oral rato ou camundongo, considerando-se os
mesmos valores de pressão de vapor, ou seja, pressão de vapor igual ou superior a 10
mmHg a 25ºC, conforme apresentado na Tabela 4.3.

Tabela 4.3. Classificação de substâncias tóxicas pelo DL50.

Nível de toxicidade DL50 (mg/kg)

4 – Muito tóxica. DL50  50

3 – Tóxica. 50 < DL50  500

2 – Pouco tóxica. 500 < DL50  5000

1 – Praticamente não tóxica. 5000 < DL50  15000

CETESB - Critério para a Classificação de Instalações Industriais, quanto à Periculosidade.

Para efeito deste trabalho, todas as substâncias classificadas nos níveis de


toxicidade 3 e 4, foram consideradas como gases e líquidos tóxicos perigosos. Deve-se
ressaltar que esta classificação se aplica às substâncias tóxicas que possuem pressão
de vapor igual ou superior a 10 mmHg nas condições normais de temperatura e pressão
(25oC e 1 atm) e também àquelas cuja pressão de vapor puder se tornar igual ou
superior a 10 mmHg em função das condições de armazenamento ou processo.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

62

4.4.1.2. Classificação de gases e líquidos inflamáveis


Da mesma forma que para as substâncias tóxicas, foi adotada uma classificação
para as substâncias inflamáveis, segundo níveis de periculosidade, conforme
apresentado na Tabela 4.4.

Tabela 4.4. Classificação de substâncias inflamáveis.


Ponto de fulgor (PF) e/ou
Nível de inflamabilidade Ponto de ebulição (PE)
(oC)

4 - Gás ou líquido altamente inflamável. PF  37,8 e PE  37,8

3 - Líquido facilmente inflamável. PF  37,8 e PE  37,8

2 - Líquido inflamável. 37,8  PF  60

1 - Líquido pouco inflamável. PF  60

Para efeito deste trabalho, todas as substâncias do nível 4, líquidas ou gasosas,


e do nível 3, somente líquidas, foram consideradas substâncias inflamáveis perigosas.
Em relação aos riscos de segurança de “serviços“ de uma planta ou unidade de
fabricação, uma primeira aproximação para sua identificação e procurar entender quais
são os serviços específicos oferecidos. Por exemplo, se uma planta possuir uma área
responsável por sua manutenção e reparos, com certeza estas atividades utilizam
produtos químicos perigosos - novamente o uso de fichas de segurança permite a
identificação de perigos e riscos.

4.4.2. REGULAMENTAÇÕES E NORMAS LEGAIS


Outra técnica é o desenvolvimento de um método de verificação de conformidade
com os requisitos legais. Uma maneira efetiva de assegurar esta identificação é a
realização de uma auditoria de conformidade, com auditores treinados para verificar a
aplicação de requisitos legais específicos.
Requisitos legais incluem, também, demonstrar conformidade com itens
administrativos, como licenças, que podem, conforme o caso, indicar a necessidade de
atender recomendações e/ou imposições identificadas pelo órgão administrativo, que se
não atendidas podem causar impactos ambientais e riscos às comunidades vizinhas.
Outras áreas relacionadas com a necessidade de se atender requisitos legais são
as de embalagem e transporte de cargas perigosas. O principal objetivo destas
regulamentações é prevenir o vazamento destas cargas durante o transporte e, na
possibilidade de um acidente, minimizar danos à saúde humana e ao meio ambiente. O
entendimento de como tais regulamentações são aplicadas pode ser útil na identificação
de aspectos ambientais.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

63

4.4.3. ANÁLISE PRELIMINAR DE PERIGOS (APP)


A APP é uma técnica de Identificação de Perigos que teve origem nos programas
de Segurança Militar, criados no Departamento de Defesa dos EUA. Trata-se de uma
técnica estruturada que tem por objetivo identificar os perigos presentes numa
instalação, que podem ser ocasionados por eventos indesejáveis.
Procura pesquisar quais são os Pontos de Maior Risco do sistema e estabelecer
uma priorização destes, quando da continuação dos estudos de segurança ou de uma
Análise de Riscos Quantificada. A técnica pode ser utilizada durante as etapas de
desenvolvimento, estudo básico, detalhamento, implantação e mesmo nos estudos de
revisão de segurança de uma instalação existente.
O seu desenvolvimento inicia-se com uma explicação sobre o sistema em estudo,
e o grupo envolvido procura, baseado na sua experiência e competência, identificar os
eventos indesejáveis. A partir desta identificação o grupo procura descrever quais
seriam as causas prováveis destes eventos e quais as suas consequências ou efeitos.
Terminada esta fase, o grupo deve classificar cada evento identificado conforme a
tabela 4.6 e propor ações ou medidas de prevenção e/ou proteção para diminuir as
probabilidades de ocorrência do evento ou para minimizar suas consequências.

Tabela 4.5. Exemplo de Planilha.


CATEGORIA DE OBSERVAÇÕES E
PERIGO CAUSA EFEITO
SEREVIDADE RECOMENDAÇÕES

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

64

Tabela 4.6. Categorias de Severidade.

CATEGORIA DE SEVERIDADE EFEITOS

Se a falha ocorrer não haverá degradação do


I – Desprezível sistema, nem haverá danos ou lesões às pessoas
envolvidas;

A falha poderá degradar o sistema de certa


maneira, porém sem comprometê-lo seriamente, não
causando danos às pessoas envolvidas (risco
II – Marginal
considerado como controlável);

Danos irrelevantes ao meio ambiente e à


comunidade externa.

A falha irá causar danos consideráveis ao


sistema e danos e lesões graves às pessoas
envolvidas, resultando, portanto, em um risco
inaceitável que irá exigir ações de prevenção e
proteção imediatas;
III – Crítica Possíveis danos ao meio ambiente devido a
liberações de substâncias químicas, tóxicas ou
inflamáveis, alcançando áreas externas à instalação.
Pode provocar lesões de gravidade moderada na
população externa ou impactos ambientais com
reduzido tempo de recuperação.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

65

A falha provocará uma severa degradação do


sistema podendo resultar na sua perda total e
causando lesões graves e mortes às pessoas
envolvidas, resultando num Risco Maior que exigirá
ações de prevenção e proteção imediatas.
IV – Catastrófica Impactos ambientais devido a liberações de
substâncias químicas, tóxicas ou inflamáveis,
atingindo áreas externas às instalações. Provoca
mortes ou lesões graves na população externa ou
impactos ao meio ambiente com tempo de
recuperação elevado.

A técnica pode ser aplicada tanto em novos projetos e em ampliações ou


modificações quanto em unidades existentes. Nas unidades existentes permite,
também, pesquisar riscos em atividades de interface como: paradas, partidas, liberação
para manutenção, etc. É possível também utilizá-la para estudar a influência de eventos
externos (umidade, temperatura, terremotos, inundações, etc.)
A equipe envolvida geralmente pode ser constituída de:
• Pessoal de operação da unidade;
• Engenheiro de Processo;
• Manutenção (elétrica, mecânica, instrumentação);
• Logística;
• Engenheiro de Segurança.

Preferencialmente, as pessoas envolvidas devem possuir experiência e


competência sobre o sistema em estudo.
A técnica permite rever e comparar problemas conhecidos através de análise de
sistemas similares. Outras vantagens:
• Facilita o estudo de segurança numa unidade, pois permite classificar
previamente os riscos;
• Prioriza, também, as ações mitigadoras e indica quem será o responsável
pelas suas soluções e os respectivos prazos;
• Desenvolve uma série de diretrizes e critérios a serem utilizados pelas
equipes de projeto, construção e operação de um sistema;
• Permite uma conscientização prévia sobre os riscos identificados.

Entretanto, é uma análise essencialmente qualitativa. Em sistemas mais


complexos a sua aplicação é dificultosa. E em sistemas onde há uma grande
experiência acumulada sobre o processo é de pouca utilidade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

66

Exemplo Ilustrativo

O exemplo escolhido para ilustração da APP é bastante antigo e fictício. Segundo


a mitologia grega o rei Minos, da ilha de Creta, mandou aprisionar Dédalo, o arquiteto e
construtor do famoso labirinto, e seu filho Ícaro. Sabendo ser impossível escapar com
vida do labirinto, pelas condições normais, Dédalo idealizou fabricar asas para tentar
fugir pelo ar. Estas asas foram construídas com penas de aves, linho e cera de abelhas.
Antes da fuga Dédalo avisou o filho que tomasse cuidado com a altura do vôo, pois se
voasse muito baixo as ondas do mar molhariam suas penas, e ele cairia; se voasse
muito alto, o sol derreteria a cera, e novamente ele poderia cair. Essa advertência, uma
das primeiras análises de riscos que conhecemos, define de certa maneira o que hoje
conhecemos como Análise Preliminar de Perigos.
Como é do conhecimento de todos, Ícaro resolveu assumir um risco, voou muito
alto e conforme previsto caiu no mar. A análise está esquematizada na tabela 4.7, e
segue-se outro exemplo na tabela 4.8.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

67

Tabela 4.7. Exemplo Mitológico de uma Análise Preliminar de Perigos.

ANÁLISE PRELIMINAR DE PERIGOS

IDENTIFICAÇÃO: Sistema de vôo Ded I

SUBSISTEMA: Asas PROJETISTA: Dédalo

MEDIDAS
CAT.
PERIGO CAUSA EFEITO PREVENTIVAS OU
SEVERIDADE
CORRETIVAS
Providenciar advertência
Calor pode
contra vôo muito alto e
derreter cera de
perto do Sol.
abelhas, que une
Voar muito Manter rígida supervisão
as penas. Esta
Radiação alto em sobre aeronauta.
separação pode
térmica do presença IV Prover trela de linho entre
causar má
Sol de forte aeronautas para evitar
sustentação
radiação. que o mais jovem,
aerodinâmica.
impetuoso, voe alto.
Aeronauta pode
Restringir área da
morrer no mar.
superfície aerodinâmica.
Asas podem
absorver a
umidade,
aumentando de
peso e falhando. O
Advertir aeronauta para
poder de
voar a meia altura, onde o
Voar muito propulsão limitado
Sol manterá as asas
perto da pode não ser
Umidade IV secas, ou onde a taxa de
superfície adequado para
acumulação de umidade é
do mar. compensar o
aceitável para a duração
aumento de peso.
da missão.
Resultado: perda
da função e
afogamento
possível do
aeronauta

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

68

Tabela 4.8. Exemplo de uma Análise Preliminar de Perigos para a atividade de


troca de pneu em rodovia.

ANÁLISE PRELIMINAR DE PERIGOS

IDENTIFICAÇÃO: Troca de Pneu em Rodovia

CAT. MEDIDAS PREVENTIVAS


PERIGO CAUSA EFEITO
SEVER. OU CORRETIVAS
- Má
localização.
- Parar no acostamento.
- Falta de - Lesões
Atropelamento IV - Usar o triângulo.
sinalização. - Morte
- Manter atenção.
- Falta de
atenção.
- Má
colocação
do macaco.
Queda de - Mau - Procedimento
- Lesões
veículo já estado do III - Colocação correta
- Danos materiais
elevado carro ou - Manutenção
macaco.
- Carro mal
imobilizado.
-
Lesões ao
Impossibilidade
usar - Treinamento
- Imperícia. de prosseguir III
ferramentas/ - Manutenção
operação ou
manuseio roda
dirigir.
- Local
- Danos materiais - Não realizar a operação.
isolado.
Assalto - Lesões IV - Conseguir ajuda.
- Região
- Morte - Meios de defesa.
perigosa.
- Má
localização.
- Má
Veículo se - Danos materiais - Usar o acostamento.
sinalização.
choca com o - Lesões IV - Sinalizar.
- Tráfego
carro parado - Morte - Policiamento.
pelo
acostamento
.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

69

4.4.4 ANÁLISE PRELIMINAR DE PERIGOS MODIFICADA


Uma variação dessa técnica permite avaliar de maneira mais uniforme e menos
subjetiva os perigos identificados.
O risco decorrente de um perigo identificado deve ser determinado estimando-se
a gravidade potencial do dano e a probabilidade de que o dano ocorra, assumindo que
os controles existentes ou planejados estão funcionando.
As seguintes etapas são normalmente seguidas:

• Definição do sistema ou instalações a serem estudados;


• Identificação das substancias perigosas;
• Obtenção de dados e propriedades de tais substâncias;
• Identificação dos possíveis perigos;
• Identificação dos modos operatórios que resultem em falhas;
• Quantificação das probabilidades de ocorrer as falhas selecionadas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

70

Para se estabelecer a gravidade potencial do dano, deve-se levar em


consideração:
- Natureza do dano, variando do mais leve ao extremamente prejudicial:

• Levemente prejudicial
o Danos no local de trabalho; pequenos vazamentos;
o Incômodo e irritação (ruído local, ambiente de trabalho) - dor
de cabeça, tosse, etc. - doença ocupacional que leve a
desconforto temporário;
o Danos leves, facilmente reparáveis.
• Prejudicial
o Danos internos à organização;
o Danos maiores em equipamentos e/ou instalações, com
perda ou parada de produção, impactos regionais;
• Extremamente prejudicial
o Danos externos à organização;
o Perda total do sistema, impactos globais.
Quando se procura estabelecer a probabilidade de ocorrência do dano, devem ser
consideradas a adequação das medidas de controle já implementadas e a conformidade
com as necessidades. Normas, regulamentações e códigos de prática servem como
orientação para o controle de perigos específicos. Deve-se levar em consideração para:
o Número de pessoas expostas;
o Frequência e duração da exposição;
o Falhas de utilidades;
o Falhas de componentes de instalações e máquinas e de dispositivos de
segurança;
o Exposição às intempéries;
o Proteção proporcionada pelos equipamentos de proteção individual, e o
seu índice de utilização;
o Atos inseguros (erros ou violações não intencionais de procedimentos)
praticados por pessoas que, por exemplo:
▪ Podem não conhecer os perigos;
▪ Podem não ter conhecimento, capacidade física ou
aptidão para fazer o trabalho;
▪ Subestimam os riscos a que estão expostos;
▪ Subestimam a praticabilidade e utilidade dos métodos
seguros de trabalho.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

71

Tabela 4.9. Classificação de Probabilidade.

Descrição Especificidade

Provável Ocorre frequentemente (já experimentado).

Improvável Pode ocorrer alguma vez durante a vida útil do item.

Altamente improvável Pode ocorrer, mas nunca experimentado.

Deve-se julgar, também, se as precauções existentes ou planejadas são


suficientes para manter os aspectos sob controle e para atender os requisitos legais.
A tabela 4.10, a seguir, apresenta um método simples para estimar níveis de risco
e decidir se são aceitáveis.

Tabela. 4.10. Quadro de definição sobre aceitabilidade dos riscos.

Levemente Extremamente
Prejudicial
prejudicial prejudicial

RISCO RISCO
Altamente improvável RISCO TRIVIAL
ACEITÁVEL MODERADO

RISCO RISCO RISCO


Improvável
ACEITÁVEL MODERADO SUBSTANCIAL

RISCO RISCO RISCO


Provável
MODERADO SUBSTANCIAL INACEITÁVEL

As categorias de risco, apresentadas na tabela anterior, formam a base para


decidir se são necessários melhores controles e ações de melhoria e o respectivo
cronograma.
Uma maneira de avaliar pode ser a utilização dos dados da tabela 4.11, a seguir.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

72

Tabela 4.11. Quadro para tomada de decisão a partir do nível de risco.

NÍVEL DE AÇÃO E CRONOGRAMA


RISCO

Não é necessária nenhuma ação, e não e necessário


TRIVIAL
conservar registros documentados.

Não são necessários controles adicionais. Devem ser


feitas considerações sobre uma solução de custo mais eficaz
ACEITÁVEL ou melhorias que não imponham uma carga de custos
adicionais. É requerido monitoramento, para assegurar que os
controles sejam mantidos.

Devem ser feitos esforços para reduzir o risco, mas os


custos de prevenção devem ser cuidadosamente medidos e
limitados. As medidas para a redução do risco devem ser
implementadas dentro de um período de tempo definido.
MODERADO Quando o risco moderado está associado a
consequências altamente prejudiciais, pode ser necessária
uma avaliação adicional para estabelecer mais precisamente a
probabilidade do dano, como base para determinar a
necessidade de melhores medidas de controle.

O trabalho não deve ser iniciado até que o risco


tenha sido reduzido.
SUBSTANCIAL Recursos consideráveis podem ter que ser alocados
para reduzir o risco. Se o risco envolve trabalho em
desenvolvimento, deve ser tomada uma ação urgente.

O trabalho não deve ser iniciado ou continuado até que o


risco tenha sido reduzido. Se não é possível reduzir o risco,
INACEITÁVEL
mesmo com recursos ilimitados, o trabalho tem que
permanecer proibido.

A estimativa de danos de uma instalação industrial complexa é muito difícil,


utilizando-se para tanto, no caso de comparação de riscos diferentes e avaliações
quantitativas. Os objetivos dessas avaliações são auxiliar as organizações em priorizar
as atividades, produtos ou serviços, que possam criar danos e criar cenários para as
situações de emergência.
Os métodos de estimativa levam em consideração a probabilidade de ocorrência
de cada tipo de acidente, permitindo, assim, descrever os riscos não somente como
“grande” ou “pequeno”, mas quantificados numericamente.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

73

Na priorização deve-se levar em consideração a criação de uma matriz de Riscos.


Na realidade por uma ausência de critérios (da parte do governo ou de padrões
industriais) as organizações preparam uma matriz e um sistema de valores, sendo
ainda, portanto, um método subjetivo.
O método para estimativa envolve confiança em dados históricos, e estes devem
ser conhecidos por duas razões:
1. Há a possibilidade de que novas operações e procedimentos tenham
criado novas situações que possam causar novos impactos?
2. Lições tiradas de acidentes do passado são aprendidas para que estes
não ocorram novamente?
As tabelas 4.12. e 4.13. a seguir apresentam alguns dados.

Tabela 4.12. Pontuação de frequência.

1 – Muito Alta Possibilidades frequentes de ocorrência (1/ano)

2 – Alta Possibilidades ocasionais de ocorrência (1/5 anos)

3 – Média Possibilidades raras de ocorrência (1/15anos)

4 – Baixa Possibilidades de ocorrência após o tempo útil da planta (1/30 anos)

5 – Muito Baixa Possibilidades ínfimas (1/100 anos)

Tabela 4.13. Pontuação de consequência.

Consequências de Consequências para o Meio


Ranking
segurança e saúde Ambiente

- Falecimentos
- Grandes danos ambientais
- Mortes na sociedade
1- Muito alta - Grande perda de tempo
- Danos extensivos à
- Impactos nas vendas
propriedade

- Feridos
- Violação permitida no
- Feridos na sociedade ambiente
2- Alta
- Danos significantes à - Perda de tempo
propriedade

- Ferimentos menores - Impactos ambientais


3- Média moderados
- Danos menores à
propriedade - Perda de tempo médio

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

74

- Sem ferimentos em - Perda de tempo (horas)


trabalhadores - Impactos ambientais menores
4- Baixa
- Danos menores à -Variação na qualidade do
propriedade produto

- Sem ferimentos em - Sem impactos ambientais


5- Muito baixa trabalhadores
- Problemas operacionais
- Sem danos à propriedade reparáveis

Os grupos de avaliação devem, portanto, identificar situações que possam causar


danos e selecionar cenários compatíveis de acidentes.
O dano deve ser caracterizado pela sua probabilidade de ocorrência e pela
magnitude de suas consequências (e nesse caso tem-se, também, o não atendimento
a algum requisito de legislação ou regulamentação). Consideram-se como eventos
típicos:
• Incêndios e explosões;
• Colisões durante o transporte;
• Ruptura de vasos sob pressão;
• Liberação de gases/vapores/líquidos através de sistemas de alívio,
respiros de tanques, etc;
• Ruptura de diques de contenção;
• Vazamentos com infiltração no solo/subsolo.

Para prever um dano, pode-se utilizar dados de incidentes já ocorridos, e


estimativas teóricas de possíveis danos, sem se importar se a probabilidade é baixa ou
não. Exemplo: a estimativa do dano de uma liberação de um material tóxico é baseada
no conhecimento da sua toxicidade e nas condições meteorológicas locais no instante
da liberação, e não somente nos dados históricos.
Exemplo de matrizes de riscos está representado na figura 4.3.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

75

Figura 4.3. Exemplo de Matriz de Riscos.

Segue-se um exemplo (figura 4.4) de planilha que pode ser utilizada para a
identificação dos perigos, a avaliação dos riscos e a definição dos controles necessários.
Lembre-se que as planilhas devem, após seu preenchimento pelas equipes de trabalho,
passar por revisão e análise crítica – de preferência por autoridade na hierarquia da
empresa (com poder gerencial e decisório) – ser aprovada, documentada, controlada e
atualizada periodicamente ou sempre que houver qualquer modificação no sistema (seja
alteração na forma de trabalho, nas substâncias ou parâmetros de processo utilizados,
nos equipamentos, no ambiente de trabalho etc.). Atenção especial deve ser dada
quanto à abrangência das atividades avaliadas: é fundamental que seja contemplada
toda e qualquer atividade, rotineira ou não rotineira, normal ou anormal, realizada por
funcionário, contratados, subcontratados ou visitantes na organização.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

76

Análise Preliminar de Riscos - APR

Área analisada : Áreas Externas Atividade : Transporte N APRI : 01 Folha : Áreas


envolvidas :
Responsabilidade : Serviços Gerais Data da elaboração : 10.4.06 Revisado em :

Equipe :

g r
f
r i
Dano Causa do Perigo/ r Ação
Sub-Atividade Perigo emerg a s Responsável Prazo
/Evento/Dano e recomendada
v c
q
o
Falta de atenção,
má sinalização, Treinamento em
Transporte por Atropelamento por
Lesões graves desrespeito às X 2 3 6direção defensiva; SST 30.8.06
Caminhão Caminhão
regras de trânsito, sinalização nas vias
falha mecânica
Falta de atenção,
má sinalização, Treinamento em
Transporte por Colisão por
Danos materiais desrespeito às 3 1 3direção defensiva; SST 30.8.06
Caminhão Caminhão
regras de trânsito, sinalização nas vias
falha mecânica

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

77

Assinaturas Desenvolvido por : Aprovado por : Obs. :


de validação

Figura 4.4. Exemplo de planilha de APR (Nota: incompleta, estão preenchidas apenas as duas primeiras linhas).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos
(APR)..

4.5. EXERCÍCIO
Preencha a planilha da APR, utilizando as tabelas 4.8 e 4.9, para a atividade “abastecimento de veículo em posto de combustíveis”.

Análise Preliminar de Riscos - APR

Área analisada: Abastecimento Atividade: Abastecimento de N APRI: 01 Folha: 1/1 Áreas


Veículo envolvidas :
Responsabilidade: Supervisor Data da elaboração: 1/8/06 Revisado em:

Equipe: Supervisor, Téc. Segurança, Frentista


(José Silva)

g r
f
Causa do r i
Dano r Ação
Sub-Atividade Perigo Perigo/ emerg a s Responsável Prazo
e recomendada
/Evento/Dano v c
q
o
Falta de atenção, Demarcação de
Trânsito de Pessoais e
Chegada do veículo excesso de 2 2 4 área, sinalização de Gerente 30/9/06
veículos Materiais
velocidade. velocidade
Falta de
Inalação de ventilação, Procedimento
Abastecimento Pessoais 3 1 3 Supervisor 30/8/06
vapores excesso de operacional
vapores.
Pessoais e Vazamento, Eng.
Abastecimento Incêndio X 1 5 5 Plano Emergencial 30/10/06
Materiais chama. Segurança

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos
(APR)..

Assinaturas Desenvolvido por: Supervisor Aprovado por: Gerente Obs.:


de validação

Sugestão de solução: Preenchimento de todos os campos e pontuações diferentes para gravidade e probabilidade, permitindo se obter
valores de riscos diferentes e priorizáveis.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

80

Quadro 4.1

O resultado de uma avaliação deve ser um inventário de ações, em ordem de

prioridade, para recomendar, manter ou melhorar os controles. Esses devem ser escolhidos

levando em consideração:

a) Eliminação, se possível, dos perigos, ou o controle do risco na fonte


(prevenção e segurança intrínseca);

b) Redução do risco;

c) Adaptação da tarefa ou processo;

d) Melhoria tecnológica;

e) Medidas de proteção das pessoas ou do meio ambiente;

f) Manutenção preditiva ou preventiva;

g) Medidas de emergência;

h) Indicadores proativos para monitorar a conformidade com os controles.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

81

4.6. TESTES

1. Não é enunciado da Lei de Murphy:


a) “O erro sempre vai na direção da segurança”.
b) “Basta verificar que está OK para aparecer a falha”.
c) “O pão sempre cai com a manteiga para baixo”.
d) “Se algo pode dar errado, vai dar errado”.

2. Se eu decido continuar operando um equipamento com falha, eu aumento:


a) A probabilidade.
b) A gravidade.
c) A probabilidade e a gravidade.
d) Os controles.
e) Os lucros.

3. Para se avaliar riscos, é necessário:


I- Conhecer as circunstâncias.
II- Equipes treinadas.
III- Metodologia.
IV- Identificar todos os perigos.

a) Apenas I está correta.


b) Apenas III e IV estão corretas.
c) Apenas I e IV estão corretas.
d) Apenas II, III e IV estão corretas.
e) Todas as afirmativas estão corretas.

4. Após a avaliação de riscos, poderemos recomendar:


I - A eliminação, se possível, do perigo.
II - A redução do risco.
III - Medidas de proteção de pessoas.
IV - Medidas preparativas para emergências.

a) Apenas III está correta.


b) Apenas II e IV estão corretas.
c) Apenas I e III estão corretas.
d) Apenas II, III e IV estão corretas.
e) Todas as afirmativas estão corretas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 4. Identificação de Perigos e Análise de Riscos – Análise Preliminar de Riscos (APR).

82

5. Segundo um dos critérios apresentados no texto, um risco de probabilidade provável


e consequência prejudicial é classificado como:

a) Trivial.
b) Aceitável.
c) Moderado.
d) Substancial.
e) Intolerável.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

83

CAPÍTULO 5. OBJETIVOS E PROGRAMAS DE GESTÃO DE SEGURANÇA.

OBJETIVOS DO ESTUDO

Definir o que são controles, objetivos e programas de gestão de segurança; discutir as


particularidades e cuidados relativos à elaboração dos objetivos e programas e definição de
ações, responsabilidades, prazos, aprovação, análise crítica e monitoramento dos programas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

84

5.1. INTRODUÇÃO
A partir da planilha de avaliação de riscos deve-se obter uma relação priorizada
(inventário) de ações, referentes a uma das seguintes alternativas:
• Recomendar controles;
• Manter controles;
• Melhorar controles.

A recomendação de controles pode ser como implementação de procedimentos e


instruções-padrão de trabalho, uso de equipamentos de proteção e respectivos treinamentos,
monitoramentos e inspeções e outras variações de controles. Assim, um controle pode ser
um processo, uma prática, uma diretriz ou política, um dispositivo físico ou outra ação que
atue a fim de minimizar os riscos, seja através da diminuição da frequência ou probabilidade
(os chamados controles preventivos) ou através da diminuição da gravidade (controle tipo
proteção).
A manutenção dos controles pode passar pela formalização de procedimentos, práticas,
monitoramentos e inspeções já em uso, mas necessitando de documentos que permitam a
manutenção da forma correta de trabalho por todos da equipe operacional, antigos ou novos
funcionários.
A melhoria dos controles se faz nos sistemas de gestão a partir do estabelecimento de
objetivos e metas de segurança e saúde, com respectivos programas de gestão. Estes últimos
podem ser considerados como conjuntos de planos de ação relativos ao planejamento do
sistema.
Quanto aos objetivos, são definidos pela especificação OHSAS 18001 como as metas
(quantitativas ou qualitativas) de desempenho de segurança e saúde no trabalho que uma
organização estabelece para ela própria alcançar.
Os objetivos devem sempre ser atrelados a prazo, documentados, aprovados,
controlados e monitorados. A estratégia mais comum é organizar os objetivos
hierarquicamente, a partir dos objetivos globais determinados periodicamente pela Direção da
organização. As diferentes áreas e funções do sistema de gestão podem (e devem) elaborar
também seus objetivos específicos, coerentes com os objetivos globais. Em geral se
consideram: as diretrizes das políticas de SST (corporativas ou da unidade); os requisitos
legais, contratuais, sindicais e outros requisitos aos quais a unidade organizacional está
submetida; os riscos prioritários analisados e registrados no processo de avaliação de riscos;
reclamações e sugestões de partes interessadas (funcionários, comunidade, visitantes,
fiscalização).
É comum muitas organizações, ao – e se – estabelecerem seus objetivos de segurança,
limitarem-se a objetivos reativos:
• Número (absoluto ou relativo) de acidentes graves ou leves, com ou sem
afastamento;
• Taxas de frequência de incidentes;
• Taxa de gravidade de acidentes;
• Número de casos doenças ocupacionais;
• Número de incidentes.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

85

Quadro 5.1

Recomenda-se que os gestores passam a incluir, cada vez mais, objetivos proativos:

• Número de análises de risco realizadas;

• Objetivos alcançados no prazo;

• Horas de treinamento de segurança;

• Número de reuniões de segurança;

• Número de sugestões de melhoria de risco;

• Número de inspeções e auditorias realizadas;

• Número de não-conformidades e observações de auditorias;

• Percentagem de comparecimento a exames médicos periódicos, e

outros.

Observe-se também que os objetivos devem ser relativizados em relação ao número de


funcionários, ao número de horas trabalhadas ou ao volume de produção.
Para o alcance de cada objetivo no prazo, deve ser elaborado um programa de gestão
que o viabilize. Este, por sua vez, deve ser elaborado em equipe, com a participação de todos
os responsáveis envolvidos com as ações a serem contempladas no programa. Programas
de gestão são documentos que relacionam, para cada objetivo, as ações necessárias (e
suficientes) a serem realizadas, seus respectivos responsáveis (de preferência descritos não
em termos de área, mas de cargo ou função específica – nomes de pessoas também podem
ser relacionados, com o devido cuidado em relação a possível desatualização), prazos para
cada ação, meios e recursos necessários (os recursos devem ser registrados quando as
ações exigirem recursos suplementares).
É muito importante, além da participação ativa dos envolvidos na elaboração de cada
plano, que os programas sejam analisados criticamente e aprovados. Um ponto frágil - comum
nos sistemas de gestão encontrados atualmente - é o não envolvimento da alta gerência nesta
aprovação, o que dificulta o cumprimento de prazos. Os programas devem ser monitorados

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

86

(acompanhados – follow-up) periodicamente, de forma que os prazos sejam mantidos; é


recomendável também o estabelecimento de marcos (milestones) finais para cada fase de
programa mais complexos, cujos resultados intermediários são apresentados em reuniões de
checkpoints.
Faz parte da essência do planejamento a alteração de planos para adaptá-los a
possíveis mudanças contextuais da organização, tais como mudanças no mercado, nas
atividades, produtos e serviços, nas estratégias de negócio. Entretanto, as boas práticas de
gestão impõem limites para que estas alterações sejam comedidas. Um acompanhamento
eficaz contribui para que o andamento dos programas de gestão ocorra sem contratempos
maiores, de forma gradual e monitorada – de preferência através de estatísticas. Métodos de
gerenciamento de projetos (project management) podem ser úteis no manejo eficiente dos
programas de gestão para o alcance efetivo dos objetivos.
Seguem exemplos de formulários simplificados que podem servir de modelo para
elaboração e documentação de objetivos e programas de gestão.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

87

Objetivos e Metas de SST


Mês: julho/2006

Área Objetivo Indicador Meta Prazo Final Situação Responsável Observações

SGSST Definição da % de 100% 31.08.06 25% Gerente de -


Política de SST Implementação SST

RH Formação de % de 100% 30.11.06 74% Coordenadora PG13/06


Auditores de SST Implementação de
Treinamentos

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

88

Assinaturas Atualizado por: Gerente de Produção Aprovado por: Diretor Industrial


de 25.07.06 28.07.06
Validação

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

89

Programa de Gestão de SST

PG: 13/06 – rev.0 Área: RH Indicador: % Meta: 100% Prazo Final: Revisado em:
30.11.06

Objetivo: Formação de Auditores de SST Data da elaboração: 13.03.06 Responsável: Coordenadora de Áreas Envolvidas: RH, SST,
Treinamentos Compras
Equipe : Lorena, Amílcar, Henry, Edelberto,
Márcia

Ação Responsável Prazo Situação Recurso Observação

Definição do perfil dos alunos Coordenador da Qualidade 27.04.06 100% -


Definição das datas do curso Gerente de SST 27.04.06 100% - 14 a 18.8.06
Reserva de Hotel e Coffee-Break Assessora de Treinamentos 5.5.06 100% -
Coordenadora de
Seleção dos candidatos a auditor 30.5.06 90% -
Treinamentos
Pedido de propostas para o curso Assessora de Treinamentos 10.5.06 100% -
Contratação Supervisor de Compras 20.6.06 100% Treinam. 2006
Realização do curso Assessora de Treinamentos 18.8.06 0% -
Coordenadora de
Avaliação da Eficácia 30.11.06 0% - Prazo: após auditoria interna
Treinamentos

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

90

Assinaturas Desenvolvido por : Coordenadora de Treinamentos Aprovado por : Gerente de RH


de validação

Monitoramento Acompanhamento mensal realizado em 28.04.06, 29.05.06, 26.06.06, 24.07.06

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

91

5.2. EXERCÍCIO
Preencha as planilhas abaixo de “Objetivos e Metas de SST” e de “Programa de Gestão de SST da APR, para a uma organização do tipo Posto

de Abastecimento de Combustíveis”.

Objetivos e Metas de SST


Mês:

Área Objetivo Indicador Meta Prazo Final Situação Responsável Observações

Abastecimento Reduzir Teor de Valor legal 30/11/06 0% Engenheiro de


de automóveis emissões de solvente na Segurança
vapores atmosfera

Abastecimento Minimizar risco Acidentes e 0 acidentes, 30/10/06 10% Gerente


de automóveis de colisões incidentes de 5 acidentes
colisão ou (p/mês)
abalroamento

Troca de Minimizar risco Acidentes e 0 acidentes, 30/10/06 25% Supervisor


lubrificantes e de quedas incidentes por 5 incidentes
filtros queda de pessoa (p/mês)
ou equipamento

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

92

Abastecimento Reduzir Número de 1/mês 30/12/06 0% Gerente


do posto por vazamentos de vazamentos
caminhão- combustível
tanque

Assinaturas Atualizado por: Gerente Aprovado por: Diretor


de validação 1/8/06 10/8/06
Programa de Gestão de SST

PG: 01/06 Área: Abastecimento de Indicador: Teor Meta: Valor legal Prazo Final: Revisado em:
Veículos de Solvente na 30/11/06
atm

Objetivo: Reduzir emissões de vapores Data da elaboração: 21/8/06 Responsável: Eng. Segurança Áreas Envolvidas: Gerência,
Segurança

Equipe : Gerente, Eng. Segurança, Téc.


Segurança

Prazo
Ação Responsável Situação Recurso Observação

Levantamento da legislação Tec. Segurança 30/8 50% -


Contratação empresa de medição Gerente 30/9 0% R$ 5000,00

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

93

Atualização do PPRA Eng. Segurança 30/10 0% -


Implementação das ações corretivas
Gerente 30/11 0% -
recomendadas.

Assinaturas de Desenvolvido por: Eng. Segurança Aprovado por: Diretor


validação

Monitoramento

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 5. Objetivos e programas de gestão de segurança.

94

5.3. TESTES

1. Qual a resposta mais correta sobre o que são controles?


a) Processos.
b) Práticas e ações.
c) Procedimentos.
d) Dispositivo.
e) Todas as anteriores.

2. Qual a alternativa correta sobre os tipos de controle?


a) Proteção age sobre a probabilidade.
b) Prevenção age sobre a frequência.
c) Proteção age sobre a frequência.
d) Prevenção age sobre a gravidade.
e) Prevenção age sobre a severidade.

3. Cada objetivo deve:


I- Ter um prazo.
II- Ser aprovado.
III- Ter um responsável pela sua aprovação.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

4. Dentre outros elementos, programas de gestão devem incluir obrigatoriamente:


a) Prazos, desenhos, recursos.
b) Evidências, meios, recursos.
c) Responsáveis, ações, prazos.
d) Responsáveis, recursos, evidências, desenhos.
e) Prazos, evidências, desenhos.

5. Para evitar excessos nas modificações dos programas, é importante:


a) Acompanhamento.
b) Comprometimento.
c) Responsabilidades.
d) Motivação.
e) Empenho.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

95

CAPÍTULO 6. ERRO HUMANO E O FATOR HUMANO NOS INCIDENTES.

OBJETIVOS DO ESTUDO

Conceituar ser humano, erro humano e modelos mentais; apresentar taxas de


erro humano; fatores causais do erro humano e fatores humanos nos incidentes; definir
os tipos de erro humano e seu gerenciamento; apresentar a importância dos fatores de
recuperação de erros e sua eficácia; discutir efeitos do stress e da automação no
desempenho de segurança.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

96

6.1. INTRODUÇÃO
Talvez um dos mais fortes argumentos para interagir o sistema de segurança com os
programas de segurança das indústrias é o elemento fator humano. As dúvidas sociais
para a segurança do local de trabalho que começaram na primeira parte do século e que
eventualmente levaram à essência da OSHA de 1970, são ainda uma força impulsionadora
para o processo de regulamentação da OSHA. Na verdade, o movimento para a segurança
na indústria tem envolvido a preocupação de preservar a vida humana. Assim, para
compreender inteiramente a relação entre sistema de segurança e segurança industrial, a
pessoa precisa entender como o sistema de segurança pode ser usado com sucesso na
análise do elemento fator humano. Quando projetando um equipamento, o fator humano
ou ergonomia precisa ser considerado. Uma razão para tanta ênfase é o desejo de projetar
sistemas os mais confiáveis possíveis. Este desejo de atingir a confiabilidade total no
projeto de sistemas não depende apenas do equipamento, mas também da maneira com
que o equipamento é manejado pelo ser humano. Assim, o projeto do sistema precisa ser
feito de modo a assegurar que o operador possa interagir com o equipamento de uma
maneira efetiva, proporcionando a menor chance de erro.
Se o conceito básico da interação com o ser humano e o sistema não for
propriamente considerado na fase do projeto, todo incentivo de segurança e programas de
motivação que o dinheiro pudesse comprar não encorajaria um operador de um
equipamento mal projetado. Também, se uma pessoa é treinada para operar uma máquina
mal projetada da mesma maneira que uma bem projetada, a conduta do operador vai se
reverter e se tornar não efetiva sob uma situação de emergência. Outro aspecto significante
do fator humano que não pode ser deixado de lado é a responsabilidade, especialmente
no mundo de vendas e serviços comerciais. O conceito de responsabilidade tem sido base
de inúmeros julgamentos legais. Essa filosofia significa que a responsabilidade pelo uso e,
mais importante, a prevenção do abuso pode ser estendida ao projetista e vendedor. Este
alto grau de responsabilidade pela prevenção de uso abusivo de um produto requer que o
projetista do produto ou equipamento tenha um alto grau de conhecimento do fator
humano.
Resumindo, é essencial que o projetista do produto ou sistema considere a interação
pessoa - equipamento desde os primeiros estágios do projeto se quiser que o produto final
tenha um alto grau de confiabilidade.

6.2. CONCEITUAÇÃO DE ERROS E FALHAS HUMANAS


Embora os modernos sistemas de controle atinjam hoje um alto grau de automação
e confiabilidade, o operador de processos ainda tem a responsabilidade maior e imediata
pelo andamento limpo, seguro e econômico do processo. Exemplos críticos são os
momentos de partida e parada de uma unidade quando, dependendo do processo, do
maior ou menor grau de automação e, de forma complementar, menor ou maior grau de
ação humana são requeridos. Geralmente, têm-se buscado mais instrumentação e
automação quanto maior o grau de risco envolvido na operação. Nem sempre esta é a
melhor opção.
Apesar de toda importância, o engenheiro projetista não está suficientemente
preparado para lidar com questões relativas à ação ou omissão dos operadores. Falta-lhe

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

97

formação em princípios básicos de ergonomia, fatores humanos, psicologia e relações


humanas. Além disso, as mudanças tecnológicas são tão rápidas que não se pode mais
confiar no método de tentativa e erro para se adaptar as tarefas ao homem. Daí a
importância da previsão de problemas, que pode ser conseguida pela aplicação de técnicas
de identificação de aspectos ambientais, de perigos e de simulação de processos que, no
entanto, não são aplicadas de maneira eficaz se não forem considerados os fatores
humanos. Tradicionalmente, o trabalho dos profissionais técnicos se baseia nos
conhecimentos gerados na física e na química (daí a célebre frase "engenharia é igual a
física mais bom senso"). Tem-se hoje a necessidade, cada vez maior, de que se baseie
também na psicologia.
O estudo dos erros humanos tornou-se necessário, inicialmente, nos campos da
indústria aeronáutica, militar e nuclear. Só recentemente tem sido aplicado em áreas como
a química (principalmente como resposta aos grandes acidentes ambientais) e a
informática. Os primeiros problemas enfrentados focavam em tarefas físicas, sendo hoje a
ênfase nas tarefas mentais, dada a importância do processo de tomada de decisão, seja
nas tarefas gerenciais, seja nas operacionais. Os primeiros estudos versaram sobre a
compatibilidade entre o homem e as máquinas, especificamente em estudos de
acionamento e leitura de painéis. Em seguida, questões como o stress e o projeto de
sistemas, vistos como um todo, como um complexo de elementos inter-relacionados,
operando de forma dinâmica (incluindo ciclos de partidas, operação normal e anormal,
paradas) e requerendo tomadas de decisão. Finalmente, a importância da coleta e do
processamento das informações pelo homem, sempre sujeitas a erros.
O homem é o único animal dotado de capacidade simbólica, de linguagem. Isto quer
dizer que não vivemos exclusivamente no plano do concreto, do presente, da satisfação
das necessidades. Ser simbólico significa poder fazer uso de algo para representar outra
coisa, de natureza completamente distinta. Tecnicamente falando, utiliza-se de um
significante para substituir um significado.
Assim, um dos primeiros atos simbólicos da pessoa é falar “mamãe” no Brasil, ou
“mummy” nos EUA, ou “maman” na França, que são sons para representar uma mãe que,
por exemplo, saiu da visão do filho que estava no quarto ou na sala, indo para a cozinha.
Ao mesmo tempo, a criança tem uma imagem mental que permite uma representação
visual, ou também pode fazer um desenho do ente querido. À noite, sonha com a mãe. São
todos significantes para um mesmo significado (a pessoa real da mãe).
Simbolizamos o tempo todo, durante toda nossa vida. Para nos relacionarmos com
as outras pessoas, com o ambiente, com o mundo, fazemos uso de organizações
simbólicas chamadas modelos. Sua função é representar ou substituir a realidade: uma
fórmula matemática representa o movimento de um objeto, um organograma traduz uma
empresa, um vídeo revive uma viagem, um programa de computador substitui um incidente
com vazamento de gás, uma planta nos faz entender o funcionamento de uma fábrica.
Quando imaginamos o comportamento de nosso carro ao guiá-lo numa estrada, nada mais
fazemos do que nos utilizarmos um modelo.
Há 3 tipos de modelos: verbais, simbólicos (significantes relacionados por regras) e
numéricos. Acontece que os modelos são de natureza completamente distinta de seus
significados. Parecem o que são, mas não são. Fazem um paralelo com a realidade até

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

98

certo grau, dentro de uma região de validade, pois nada mais são do que resultado de um
processo de simplificação e generalização. Trata-se do chamado reducionismo.
Quando emitimos um comportamento, como operar uma máquina, fazemos sempre
a referência de como ela vai funcionar, através do modelo mental que concebemos ou que
nos foi ensinado. Um erro vai ser, então, nada mais do que um desvio que nosso modelo
apresentou da máquina verdadeira. Não é difícil deduzir, portanto, que sempre que
acontece um erro, na verdade estamos falando de um modelo que não funcionou como
imaginávamos.
O erro humano nada mais é que resultado da utilização de modelos errados ou mal
aplicados, especialmente quando não se tem a consciência de que todos os modelos são
imperfeitos e limitados.
Um erro humano pode, no dia a dia de trabalho ou mesmo em casa, não ter efeito
algum, ou seja, acarretar um incidente, tipo um tropeção do qual se recupera:
conseguimos reequilibrar o corpo e não cair no chão. Em outros casos, pode tornar-se um
acidente, com consequências apenas de perda de tempo ou até com danos materiais e
humanos, como dar um mau jeito no pé ou quebrar a perna na queda. Neste caso, diz-se
que aconteceu uma falha humana. Daí a importância de se entender e tentar prevenir e
corrigir o erro humano, para, assim, corrigir e evitar falhas humanas.
Nossa abordagem é sempre supor que as pessoas vão cometer erros, mas análise,
projeto e treinamento adequados poderão reduzi-los, mitigar suas consequências e evitar
acidentes. Mais ainda, pelo erro pode-se aprender mais sobre nossa atividade. Os
incidentes devem ser encarados sem preconceito ou temores, mas como uma fonte de
conhecimento sobre nosso sistema e suas fragilidades.
Enfim, ainda é atual o velho ditado: “Errar é humano; persistir no erro, burrice.”
O comportamento humano apresenta três dimensões, todas as quais devem ser
levadas em conta quando se quer entender e atuar em aspectos relacionados à segurança:
• As características cognitivas (relacionadas com a aquisição de
conhecimento - inteligência, raciocínio, memória e outras);
• As características afetivas (ligadas às emoções)
• As características conativas (que permitem as ações, os atos mecânicos)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

99

6.3. ALGUMAS ESTATÍSTICAS SOBRE ERROS E FALHAS HUMANAS


Passar estatísticas sem dizer de onde vieram os números e como/onde foram
coletados é sempre perigoso. Entretanto, podem nos dar uma ordem de grandeza dos
fenômenos. Assim, podemos citar os seguintes exemplos:

• Há estudos indicando que 50% dos acidentes industriais se devem a falhas


na gerência, no treinamento ou a outras características psicológicas;
• A cada 500 a 1000 incidentes sem consequências, acontece 1 acidente grave;
• A taxa geralmente aceita para o erro humano é de 1%; no caso de processos
mais delicados, como algumas áreas de usinas nucleares, diminui para 1 por
1000;
• Dentre os erros humanos, apenas 10% se encaixam na categoria de fatores
pessoais, aqueles que não se podem evitar (dependem do estado
psicológico ou das características de personalidade do sujeito, como o
esquecimento e a distração): todos os demais podem ser evitados e
controlados pela gerência;
• Os mais radicais afirmam que 100% dos erros no trabalho são de origem
humana, já que tudo que nele fazemos ou utilizamos é criação de pessoas;
• Empresas que adotaram a gestão ambiental e que conseguiram ter
implantado um clima de segurança estável e permanente apresentam 3
vezes menos acidentes que empresas do mesmo ramo sem tais
preocupações.

Algumas taxas de erro humano, obtidas como resultados de pesquisas encontram-


se na tabela 6.1.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

100

Tabela 6.1. Estimativas de Erros Humanos.

Taxa de
Exemplo de Erro Ocorrência por
Operações

Leitura digital (igual ou menor que 4 dígitos). 3 / 1000

Reconhecer que um instrumento está travado quando não há


1 / 10
indicação para alertar.

Igual ou menor que 3 caracteres. Insignificante

Maior que 3 caracteres. 1 / 10 por símbolo

Cálculos aritméticos simples, com ou sem auxílio de


1 / 100
calculadora.

Detecção de cálculos aritméticos com resultados absurdos. 5 / 100

Leitura ou anotação em gráfico. 1 / 100

Inspeção de tarefas de rotina usando material escrito (posição


de válvulas, interruptores, corta-circuitos, listagens escritas, 1 / 10
etiquetas ou procedimentos).

Igual acima, sem usar material escrito. 2 / 10

Inspeção de tarefas específicas, com fatores de alerta. 5 / 100

Verificação do estado do equipamento quando este estado


1 / 1000
afeta a segurança de quem está fazendo a tarefa.

Observação de que uma válvula que está sendo inspecionada


está na posição errada completamente aberta ou 5 / 10
completamente fechada.

As inspeções acima, quando feitas por um operador, sobre um


Metade das acima
serviço de manutenção.

Escolha de um interruptor com chave ao invés de um sem


chave (após ter decidido que o interruptor sem chave é que 1 / 10000
deveria ser acionado).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

101

Escolha de um interruptor diferente, na forma e na localização,


do interruptor desejado (após ter escolhido o interruptor 1 / 1000
correto a ser acionado).

Erro na leitura da plaqueta de identificação, escolhendo desta


3 / 1000
forma o interruptor errado.

Erro de não colocar a válvula na posição correta (fechada ou


1 / 100
aberta), como estava antes da manutenção.

6.4. FATORES QUE CAUSAM O ERRO HUMANO


Na tabela 6.2 estão relacionados os fatores pessoais (relacionados ao indivíduo) e
gerenciais (relacionados ao sistema de gestão) que provocam falhas humanas e
consequentes acidentes.
Tabela 6.2. Fatores que causam o erro humano.

Fatores “Pessoais” Fatores Gerenciais

• Falha na comunicação
• Treinamento ou instrução
inadequada
• Esquecimento • Supervisão inadequada
• Raciocínio deficiente • Falta de envolvimento da gerência
• Tomada de decisão errada • Comunicação fechada
• Stress • Controle ambiental fraco
• Espaço de trabalho de risco
• Falta de política de promoção da
segurança
Interromper a investigação da cadeia causal de um acidente nos fatores chamados
“pessoais”, que é a atitude das empresas sem uma verdadeira cultura de segurança,
geralmente só serve para se encontrar um “culpado” que vai ser penalizado ou demitido,
implantando um clima de terror no ambiente de trabalho.
A gerência deve encontrar formas de prevenir e corrigir os fatores pessoais através
de medidas estruturais, de forma que o próprio sistema (conjunto organizado de
equipamentos, procedimentos e pessoas) dê conta das falhas de forma coletiva, integrada
e habitual ou automática.
Assim, a prevenção deve ser realizada no sistema a partir dos três componentes: do
hardware (equipamentos, estrutura), do software (procedimentos, normas) e do
humanware (a equipe), como representado na figura 6.1.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

102

Figura 6.1. O Sistema (Empresa, Instituição) combatendo o Erro.

6.5. FATORES HUMANOS NOS INCIDENTES


Falando-se em termos das tarefas industriais, existem "campeões" que facilitam a
ocorrência das falhas humanas, como representado na tabela 6.3.

Tabela 6.3. Modos de ocorrência dos erros humanos típicos no trabalho.

Quando Como

• Painéis enganosos
➢ Erros no projeto • Controles de difícil acesso
➢ Erros na atividade operacional • Procedimentos complexos
➢ Erros na atividade de manutenção • Sabotagem
• Efeito dominó

Estes foram os primeiros objetos de estudo da ciência do erro humano. Entretanto,


apesar deste tipo de estudo continuar, a ênfase nas pesquisas está em outros fatores,
como veremos adiante.
Lembre-se que alguns sistemas são virtualmente incontroláveis pelo operador, a não
ser que lhe seja fornecida informação previamente processada. Por exemplo, sistemas
com mais de três integrações em série geralmente ficam além dos limites de controle
manual. No caso de submarinos, foi desenvolvida a técnica de quickening, que permite
mostrar no painel um resultado ponderado de sinais de vários pontos da série de
integrações.
Classificação dos usos de painéis: um display está sempre relacionado a uma das
seguintes necessidades do leitor.
• Indicação - o operador necessita perceber um de dois estados binários
(ligado/desligado, sim/não);

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

103

• Leitura quantitativa - o operador necessita de um valor numérico preciso (pH,


temperatura, pressão);
• Verificação de leitura - o operador necessita de confirmação de que o valor está
dentro de determinada faixa (valor de pH do efluente permitido pela legislação);
• Ajuste - o operador manipula os controles da máquina para alcançar um estado do
painel que foi predeterminado (abre a válvula de ácido para baixar o pH);
• Acompanhamento (Tracking) - o operador precisa executar tarefa de controle
durante o funcionamento, para atingir condição de painel que pode variar com o
tempo (acompanhamento de enchimento de tanque).

6.6. TIPOS DE ERROS HUMANOS


6.6.1 DESLIZES SIMPLES OU ATOS FALHOS OU PARAPRAXIAS
É o erro decorrente do hábito, quando um comportamento que deveria ter sido
executado é substituído por um outro que foi automatizado pela pessoa, desvirtuando um
processo decisório. Por exemplo, jogar o resíduo no recipiente não apropriado, fechar uma
válvula quando se deveria abri-la, ou acionar um controle errado.
Este tipo de erro é um comportamento comum e natural do ser humano. Várias vezes
tomamos um caminho ao qual estamos mais habituados em vez do correto para outro
destino, ou jogamos no lixo nossas meias que iriam para o cesto de roupa suja. Em geral,
é inevitável e incontrolável, sendo percebido imediatamente ou, muitas vezes, depois de
passado um longo tempo; outras vezes, nem nos damos conta de que cometemos um
deslize ou ato falho.
Paradoxalmente, estes erros não podem ser evitados pelo treinamento: acontecem
justamente porque se está bem habituado à tarefa, e não o contrário. Deve ser evitado por
procedimentos que independam da decisão do executante.

6.6.2 ENGANOS (MISTAKES)


Ocorrem por falha no raciocínio, em geral devido à falta de conhecimento. É o caso
do operador que abre a válvula de vapor antes da válvula de alimentação, provocando um
superaquecimento do equipamento. Ou da motorista que teve o motor fundido por ignorar
a necessidade de manutenção do óleo ou radiador. Encontram-se aqui os também tão
temidos “erros médicos”.
Para realizar uma análise de confiabilidade do homem, são primeiramente analisados
fatos observáveis, as saídas incorretas para dado sistema. Assim, pode-se ter dois grupos
de erros:

1. Erros de Omissão: esquecer ou deixar de fazer toda uma tarefa ou uma etapa.
Ex.: esquecer de fazer a leitura de um dos instrumentos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

104

2. Erros de Execução ou de Comissão:


a) Erros de Seleção/Escolha/Decisão. Ex.: selecionar o recipiente errado,
posicionar mal um controle, fazer uma conexão inadequada, emitir uma
ordem de forma dúbia ou incompleta.
b) Erros de Sequência. Ex.: inverter a abertura de duas válvulas, ligar a bomba
antes de afogá-la.
c) Erros no Tempo. Ex.: abrir reator (ou panela de pressão) antes que esteja
completamente despressurizado.
d) Erro Quantitativo. Ex.: adicionar catalisador em excesso ou insuficiente.
Estas saídas humanas incorretas podem ser resultado de outros erros
humanos, tais como má leitura de um painel, má interpretação de um dado,
má execução de uma tarefa anterior (Ex.: pesagem do catalisador). Estes
erros, que são as entradas do sistema, são os que verdadeiramente
interessam para a análise de confiabilidade.
O homem apresenta a tendência de tomar decisões baseadas em amostras
insuficientemente pequenas, isto é, pular para as conclusões, e de basear-se no otimismo,
ou seja, não apostar em que dê errado.
Muitas saídas humanas incorretas ou mesmo erros humanos não têm potencial para
reduzir a confiabilidade de um sistema. Em termos de segurança, consideram-se erros
apenas quando podem resultar em consequência indesejável. Deve-se projetar
adequadamente um sistema para que seja dotado de fatores de recuperação do sistema,
que previnam perdas sérias no mesmo.

6.7. FATORES DE RECUPERAÇÃO


São quaisquer elementos num sistema (seja parte do hardware, do software ou do
humanware) que atuem prevenindo ou corrigindo condições de desvio que possam
produzir efeitos indesejáveis. Exemplos: treinamento de operadores, leitura de painéis e
registros, observação que o operador faz do trabalho de um colega, alarmes acionados
pela instrumentação em equipamentos, acompanhamento minucioso de checklists.
Podem atuar evitando, minimizando efeitos ou detectando erros (permitindo que
outros fatores os recuperem). As condições de desvio a serem recuperadas, por sua vez,
decorreram de erros humanos (como a instalação errada de uma válvula de segurança),
mecânicos (como o rompimento de um tubo por uma “fraqueza” inerente) ou de uma
combinação de ambos.
Ocorre o chamado "erro não recuperado" quando os fatores de recuperação falham
ou não existem.
Redundância Humana é o fator de recuperação que consiste em se utilizar uma
pessoa para verificar ou revisar o trabalho de outra.
Inspeção é o fator de recuperação consistindo em se examinar itens de um
equipamento para verificar seu estado.
Inspeção Ativa: são aquelas em que o operador está direcionado, através de
instrução oral ou escrita, a inspecionar itens específicos de um equipamento. Ex.: leitura e
registro de informações de um painel a cada 2 horas, conferência de um checklist.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

105

Inspeção Passiva: é uma pesquisa mais casual, não direcionada, à procura de


condições de desvio. Ex.: turno de inspeção (ronda ou giro horário numa área da planta).

Existem algumas curvas clássicas sobre inspeção (figuras 6.2, 6.3 e 6.4).

Figura 6.2. Eficácia da vigilância.

Figura 6.3. Eficácia de inspeções.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

106

Figura 6.4. Diagnóstico de evento anormal.

Há lemas populares sábios que tentam transmitir a importância do que os


especialistas chamam de "fatores de recuperação":
“Confiar, desconfiando!”
“Confiar é bom; verificar é melhor.”

6.8. A FORMA ATUAL DE SE TRABALHAR AS FALHAS HUMANAS NA


OPERAÇÃO
Os estudos tradicionais sobre atitudes e segurança nas indústrias de processos
químicos limitavam-se aos problemas relativos à interpretação de painéis (displays) e à
habilidade motora manipulação (operação de máquinas), além dos aspectos de higiene do
trabalho. Não se consideravam os erros no planejamento estratégico, nem no processo de
tomada de decisões.
Um dos mais famosos exemplos se deu, décadas atrás, no projeto de refrigeradores.
Não se contemplaram as consequências ambientais futuras ao avaliar as grandes
vantagens imediatas de um fluido refrigerante não explosivo (como o antigo querosene),
nem tóxico (como a amônia): o CFC.
É importante ressaltar que, diferentemente do que uma avaliação simplista poderia
sugerir, os fatores não intencionais (como os deslizes) são menos importantes para se
promover a segurança. Da mesma forma, soluções técnicas e de projeto (como o layout
da Sala de Controle) também têm relevância, porém secundária. Esta forma de
pensamento visa apenas à operação, e não ao processo.
Na ciência da gestão de segurança, há pesquisadores de renome como Kletz e Swain
que criticam as tentativas de se mudar as atitudes e os hábitos, através do treinamento,
pois isto seria ineficaz ou mesmo injustificável, já que é muito difícil mudar os hábitos, além
das atitudes serem um problema privado e pessoal. Deve-se, em vez disso, verificar se as
pessoas conseguem alcançar metas e objetivos e ajudá-las nesta tentativa.
Por exemplo, quando alguém comete um erro ou um incidente com frequência, deve-
se discutir com eles as causas destes problemas e quais ações são necessárias para evitar

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

107

que voltem a acontecer. Neste processo, algumas ferramentas são úteis, tais como a
Árvore de Falhas e o Diagrama de Ishikawa. A mudança da atitude do operador vai ser,
então, uma consequência do sucesso em se diminuir a ocorrência de erros.
Os processos sociais e organizacionais relacionados como reforçar e mudar atitudes
são o estado-da-arte, não se limitando às antigas práticas behavioristas e tayloristas, mas
de estudos das formas de ação que possibilitem atitudes mais concretas e objetivos
alcançáveis.
Atualmente, enfoca-se antes a atitude quanto ao meio ambiente e à segurança,
que são funções da percepção que o corpo de funcionários tem dos processos e dos
produtos como potencialmente perigosos. Em outras palavras, deve estar presente nas
pessoas como referência, um modelo que leve em conta a todo momento do trabalho, os
fatores inerentes de impactos ambientais e de risco.

Dentre os fatores que formam as atitudes quanto ao ambiente e à segurança,


podemos citar:
• Experiência prévia;
• Frequência de incidentes na empresa;
• Conhecimento de como os incidentes acontecem;
• Clima/política organizacional quanto ao ambiente e à segurança.
O ideal para toda organização é que a gerência atue sobre estes fatores para
conseguir promover atitudes proativas, as quais produzirão resultados positivos não só
quanto à segurança, mas também ao meio ambiente, à produtividade, à qualidade, ao
marketing (imagem) da empresa. Estudos demonstram que nas indústrias que adotaram
este gerenciamento a ocorrência de acidentes chega a ser 3 vezes mais baixa que nas
demais.
Torna-se necessário criar um clima organizacional em que não aconteçam ações
perigosas das quais as pessoas estão conscientes, pois isto em pouco tempo desmoraliza
e desmonta a política da segurança.
O clima organizacional vem a ser:
“O conjunto de percepções que os funcionários têm da organização, enquanto
a política é o conjunto de valores e atitudes passados a partir da cúpula empresarial.”

6.9. FALHAS HUMANAS NO PROCESSO


“A avaliação da contribuição humana ao risco deve fazer parte de todo bom projeto
de engenharia.” (Layfield)
Não se pode mais admitir o comodismo da resposta fácil “Foi falha humana.”, que
não leva à solução do problema (quando muito, na indiciação de alguns escolhidos como
“responsáveis”) nem a prevenção de repetições no futuro.
Muitas análises de impactos e de riscos falham ao supor que o erro humano se dá
inconscientemente, por esquecimento, em lugar de colocar uma escolha consciente, porém
errada, de uma ação (tomada de decisão). Os profissionais que realizam este tipo de
análise devem estar cientes dos fatores comportamentais envolvidos em qualquer ato
perigoso.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

108

Daí a importância de se aplicar conhecimento sobre o desempenho do homem ao


realizar determinada tarefa, não para aumentar a produtividade pelo ajuste do operário à
máquina (como almejavam as práticas tayloristas), mas para minimizar a possibilidade da
falha humana.
O ajuste pessoa-tarefa deve ser alcançado nos dois sentidos: adaptar a tarefa à
pessoa (pelo projeto do equipamento/hardware e dos procedimentos/software), bem como
a pessoa à tarefa (pela seleção e treinamento).
Da mesma forma, as técnicas de avaliação de risco (HAZOP, What-If, QRA) devem
passar a fazer uso desta abordagem sócio-técnica, em que os fatores psicológicos e
comportamentais das pessoas são levados em conta ao se fazer a avaliação dos
equipamentos, das tarefas e dos processos.
Os checklists e a análise da tarefa devem incorporar os fatores humanos.
Todo e qualquer incidente é falha da organização, do sistema, e sua prevenção é
responsabilidade da gerência. Seu acompanhamento deve ser um elemento do Controle
de Qualidade.
“O que normalmente é tolerado pela gerência ou pela supervisão tornar-se-á,
com o tempo, uma norma.”

A gestão de meio ambiente e segurança envolve:


• A cadeia de comando;
• A qualidade da liderança;
• O reconhecimento do fator humano como causa de incidentes;
• A identificação e avaliação sistemática de riscos, sistemas preventivos e
auditorias;
• Normas, orientação, padrões;

Tendências atuais
Realização de pesquisa de atitudes e clima organizacional para o meio ambiente e a
segurança (construção de questionários que podem prever se a empresa é propícia a
incidentes, a partir de seu clima e cultura).

6.10. STRESS
Tipos: físico e psicológico
Funções do stress psicológico: facilitativa (alertam e incitam a uma ação) e
disruptiva (assusta, preocupa, torna a pessoa ansiosa e prejudica seu desempenho).

Fatores Promotores do Stress

Fatores Psicológicos
• Velocidade da tarefa;
• Carga da tarefa;
• Risco alto;
• Ameaças ( de falha, perda do emprego );
• Trabalho monótono, degradante ou sem sentido;

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

109

• Períodos de vigilância longos e monótonos;


• Conflitos;
• Negativa ou ausência de reforço (motivação);
• Privação sensorial;
• Distrações (barulhos, clarões, movimento, vibrações, cor);
• Gênio, humor inconsistente;
• Duração do stress;

Fatores Fisiológicos
• Fadiga;
• Dor ou desconforto;
• Fome ou sede;
• Temperaturas extremas;
• Radiação;
• Forças gravitacionais extremas;
• Pressões atmosféricas extremas;
• Insuficiência de oxigênio;
• Vibração;
• Constrição de movimento;
• Falta de exercício físico;
• “Quebra” do ritmo circadiano;
• Duração do stress;

Causas do stress:
• Pressões da produção;
• Pressões de tempo;
• Problemas de recursos;
• Ambiente de trabalho deficitário (temperatura, luz, umidade, ruído, poluição);
• Carga de trabalho excessiva;
• Frustração;
• Fadiga, trabalho de turno;
• Eventos de vida (morte na família, mudança de trabalho);
• Incidentes de alto risco (Ex.: explosão);
• Efeitos do stress;
• Erro humano;
• Decisões erradas ou precipitadas;
• Reversão a comportamento anterior;
• Visão em túnel;
• Diminui habilidade de inferência;
• Rigidez na solução de problemas;
• Reações humanas ao stress;
• Decisões erradas ou precipitadas;
• Omissão ou fila;
• Fuga da tarefa (física ou mental);

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

110

• Discriminação grosseira;
• Visão em túnel;
• Diminuição da habilidade de processamento de informações e de inferência;
• Rigidez na solução de problemas;
• Reversão a comportamento anterior;

Figura 6.5. Desempenho sob stress.

6.11. AUTOMAÇÃO: BENEFÍCIOS E DESVANTAGENS


Os dispositivos automáticos de controle, o computador e os robôs causaram grandes
impactos no trabalho, trazendo como vantagem maior segurança em determinadas
operações e a transformação de simples trabalhadores manuais em gerentes de sistema.
Entretanto, ao que tudo indica, por um bom tempo o homem ainda será
imprescindível nas situações de:
• Julgamento e diagnose;
• Administração do inesperado, da incerteza, do casual (aleatório);
• Improvisação e generalização.

Mesmo os dispositivos de inteligência artificial ainda realizam apenas tarefas


decisórias simples e rotineiras.
Com a automação e a alta complexidade destes sistemas, que se tornaram
verdadeiras caixas-pretas, apareceram novas formas de erros humanos ou novas
oportunidades para erros familiares. São falhas como:
• Erros de previsão e de software (quando não foram imaginadas todas as
situações a serem enfrentadas pelo dispositivo ou pelo programa, sendo o
mais famoso o agora inofensivo "bug do milênio");

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

111

• Erros de instrução (o que o sistema pode ou não pode fazer);


• Entrada incorreta de dados;
• Não perceber como as pessoas reagem;
• Preguiça mental: tornam os usuários mais acomodados, “fascinados”,
“bitolados”, menos pensantes, ou seja, aprisionados em um paradigma.

É necessário trabalhar-se na interface homem-máquina destes tipos de dispositivos,


iniciando-se por um bom projeto e por treinamento eficaz, que levem em consideração o
erro humano.
Não se podem esquecer os fatores de recuperação e de recursos para o sistema
“falhar seguro”: se acontecer a falha, o sistema recai no estado ou opção menos danoso.
Por exemplo, em caso de falta de energia ou pressão, a válvula de controle de alimentação
do combustível fecha, enquanto a do resfriamento abre.
Para finalizar, os sistemas de controle automático devem também passar pela
Análise de Impactos e Riscos. Em algumas empresas já é norma realizar-se a Análise de
Consequências de qualquer modificação que seja realizada em software, com
obrigatoriedade de revisão e autorização.

6.12. PREVENÇÃO DE INCIDENTES DURANTE O PROJETO DO SISTEMA


No estudo da ergonomia o conceito de “típico comportamento humano”, baseado em
análises da performance humana, tem promovido fortes evidências que certos aspectos de
comportamentos esperados podem potencialmente levar a atos inseguros. Essa
informação sugere que o engenheiro projetista pode efetivamente reduzir ou eliminar sérios
riscos se considerar os comportamentos normais humanos.
É importante entender que não existe evidência real que sugira que o comportamento
normal ou médio exista desde que inúmeras variáveis estão envolvidas. Fica claro que a
simples análise da interação pessoa - sistema na fase do projeto pode efetivamente
identificar riscos potenciais resultados deste comportamento esperado. Assim que este
risco é identificado, controles podem ser projetados para o sistema. Estes estudos do
comportamento humano sugerem que o projeto de segurança deve permitir que a máquina
ou equipamento trabalhe da maneira mais efetiva possível enquanto considerações no
projeto também sejam feitas para que o operador trabalhe da maneira mais segura.
Qualquer mudança dessa situação deve levar em conta as consequências das falhas se o
sistema não funcionar como o previsto. Um projeto eficaz de um sistema depende da
análise do projetista destas áreas, onde o homem pode fazer o melhor trabalho naquelas
áreas em que a performance mais segura é atingida se a máquina faz seu serviço. Esses
conceitos são a base dos programas de prevenção. Sugere que o sistema de segurança
pode atingir esse esforço de prevenção de incidentes se usado propriamente.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

112

Quadro 6.1

Esquematize os principais tipos de erro humano e as medidas de controle para

preveni-los.

Sugestão de solução:

Deslizes ou atos falhos decorrentes do hábito, comportamento

automatizado substituído por outro. Exemplo: jogar o resíduo no recipiente não

apropriado, fechar uma válvula quando se deveria abri-la, ou acionar um controle

errado.

Medidas de controle: evitar procedimentos que dependam da tomada de

decisão; modificar o sistema.

Enganos ocorrem por falha no raciocínio e falta de conhecimento. Exemplo:

operador que abre válvula errada por desconhecimento. Medida de controle:

treinamento.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

113

6.13. TESTES

1. Do ponto de vista do estudo de erros humanos, o que diferencia o homem dos


outros seres é apresentar:
a) Alma.
b) Sociabilidade.
c) Capacidade simbólica.
d) 46 cromossomos.
e) Religião.

2. Do ponto de vista do estudo de erros humanos, modelos são:


I- Profissionais que demonstram o uso de roupas e acessórios.
II- Organizações simbólicas para representar a realidade.
III- Miniaturas que representam o funcionamento de uma obra (edificação, barragens
etc.).

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

3. A limitação dos modelos está ligada a serem:


I- Reducionistas.
II- Simplificadores.
III- Generalizadores.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

4. A taxa geral (típica) de erro humano, a ser utilizada quando não se possuem mais
dados ou informações, é da ordem de:
a) 0,01%.
b) 0,1%.
c) 1%.
d) 10%.
e) 20%.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 6. Erro Humano e o Fator Humano nos Incidentes.

114

5. O modo coerente de se evitar enganos é através de:

a) Treinamento.
b) Suspensão do funcionário.
c) Melhoria dos equipamentos.
d) Substituição de funcionários.
e) Redução salarial.

6. O modo coerente de se evitar deslizes ou atos falhos é através de:


a) Treinamento.
b) Suspensão do funcionário.
c) Melhoria no sistema.
d) Substituição de funcionários.
e) Redução salarial.

7. Exemplos de redundância humana:


I- Inspeção e auditoria.
II- Acompanhamento, monitoramento.
III- Supervisão, liderança.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

115

CAPÍTULO 7. TÉCNICAS DE IDENTIFICAÇÃO DE PERIGOS E


OPERABILIDADE – WHAT IF.

OBJETIVOS DO ESTUDO

Introduzir os alunos nas técnicas de identificação de perigos relacionados à


operabilidade, especificamente na ferramenta What If, discutindo os sistemas em que
pode ser aplicada, os requisitos preparatórios, as pautas das reuniões das equipes, a
forma de documentação e exemplos de perguntas e respostas geradas no processo.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

116

7.1. INTRODUÇÃO
O melhor método de identificação de perigos e que permite um exame detalhado
do processo é o estudo de perigos e operabilidade. Neste método têm-se como técnicas
o “What / If” e o “HAZOP”.
Neste tipo de estudo tem-se como objetivo:
• Identificar nos fluxogramas disponíveis perigos presentes nas instalações
em projeto ou existentes;
• Identificar problemas operacionais;
• Relacionar as diferentes ações de melhoria complementares que permitam
obter um nível de segurança aceitável.
Nestas técnicas a identificação de perigos se baseia numa pesquisa de desvios
da operação normal da planta, conduzindo a um documento relacionando desvios e os
meios previstos para prevenção e proteção.

7.2. TÉCNICA “WHAT / IF”


O conceito é conduzir um exame sistemático de uma unidade ou processo visando
identificar perigos, através de perguntas do tipo ‘O que aconteceria se...?‘. A análise
pode incluir situações envolvendo edificações, sistemas operacionais - tratamento de
água e de efluentes, de geração de energia, de fornecimento de calor ou frio e outros -
áreas de armazenamento, procedimentos operacionais, práticas administrativas,
segurança da planta etc.
Isto implica em identificar desvios no processo a partir de um evento inicial, de
qualquer natureza, podendo ou não ser uma falha de um componente ou sistema. Trata-
se de uma técnica em que se procura um equilíbrio entre a segurança, a preservação
do meio ambiente e a produção. Dessa maneira, um processo de What If, ao ser
concluído, deve compatibilizar desvios de processo e a indisponibilidade das unidades,
de uma forma aceitável.
O procedimento é poderoso se a equipe que o usar for bastante experiente, senão
os resultados podem ser incompletos. Tem, também, a vantagem de mostrar pontos de
vistas novos e diferentes devido à presença de pessoas de experiência e horizontes
diversos. A limitação da técnica é dada pelo seu caráter não sistemático e pelo
reconhecimento que as respostas, em boa parte, não têm condições de realização. Sua
eficácia depende da qualidade da documentação, de uma equipe adequadamente
treinada e de um planejamento adequado.
A revisão deve ser iniciada com uma explanação básica do processo ou sistema,
pelo engenheiro e/ou técnico de operação da área, com base em todos os
procedimentos de operação, tanto em marcha normal, quanto em paradas e partidas.
Pode-se também descrever as precauções já existentes de segurança e de meio
ambiente, equipamentos de segurança utilizados e procedimentos de higiene e saúde
ocupacional.
Recomenda-se, sempre que possível, uma visita às instalações. Inicia-se, então
o exame através de uma geração livre de questões que devem ser formuladas na forma:
“O que aconteceria se...?”. A equipe não deve se limitar às questões já preparadas,

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

117

listadas mais adiante a título de exemplo, mas, sim, utilizar suas competências
combinadas através de uma interação entre os membros.
Geralmente, o estudo procede desde as entradas do processo até a sua saída. As
questões relativas à segurança são formuladas livremente, sem qualquer
questionamento, sendo permitidas somente intervenções para esclarecimento. São
anotadas e numeradas. Nesse primeiro período do exame é expressamente proibido
responder. Na segunda etapa (após o esgotamento da geração de perguntas), cada
participante procura responder às questões, definindo claramente as consequências do
evento imaginado. Deve-se dar uma atenção especial a não limitar as consequências a
expressões breves e imediatas do tipo:
“O nível do tanque sobe“;
“A bomba para de funcionar”;
“O tanque esquenta“;
“Queda do tambor, com ruptura“.
O cenário imaginado deve evoluir até se ter certeza de que há ou não
consequências para a segurança e/ou meio ambiente, ou se haverá inclusive a
indisponibilidade da unidade e um impacto ambiental (internamente ou externamente à
unidade). Utilizar expressões do tipo:
“O nível do tanque sobe, podendo transbordar, com possível
contaminação do solo, corpos d’água e da atmosfera, inflamação e
explosão“;
“A bomba para de funcionar, podendo ocorrer falta do produto“;
“Ocorre um aquecimento do tanque, pela falha do sistema de
resfriamento, e uma possível formação de vapores que provocará a
formação de uma atmosfera inflamável ou tóxica“;
“O tambor tomba podendo ocorrer sua ruptura e o derramamento do
seu conteúdo, causando uma contaminação do solo”.
A solução completa de uma questão compreende, além da identificação dos
perigos e consequências potenciais, detectar possíveis falhas dos meios de controle e
proteção existentes e a proposição de soluções e ações.
Ao final de cada reunião, deve ser preparado um relatório preliminar que inclua as
questões anotadas, as respostas dadas, as recomendações de ações e eventuais
estudos complementares a serem realizados.
As questões que ficarem em aberto deverão receber respostas por escrito, que
são apresentadas quando da reunião de fechamento.
A equipe geralmente se constitui de:
Pessoal de operação da unidade;
Engenheiro de Processo;
Manutenção (elétrica, mecânica, instrumentação);

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

118

Logística;
Engenheiro de Segurança.
A tabela 7.1. apresenta um exemplo de planilha utilizada para o desenvolvimento
da análise de What If.

Tabela 7.1. Exemplo de planilha.


O que
Observações e
Atividade aconteceria Causas Consequências
Recomendações
se...?

7.3. EXEMPLOS DE QUESTÕES “WHAT / IF” TÍPICAS


1. Falta de Utilidades (combustíveis, energia, gases, vapores)
O que aconteceria se, não houver ar de instrumentação, eletricidade,
nitrogênio, água, vapor?
2. Mudança de Composição
O que aconteceria se a qualidade das matérias primas sofrer variação?
O que aconteceria se certas impurezas forem introduzidas?
3. Condições de Operação Não-Habituais
Quais são as consequências de variações das condições de operação
normais (T, P, pH, etc.)?
O que aconteceria se certas vazões forem interrompidas?
4. Falha de Material
O que aconteceria se alguns instrumentos particulares ou analisadores
sofrerem “pane”?
O que aconteceria se certos produtos vazarem para a atmosfera?
O que aconteceria se certas válvulas não funcionarem corretamente?
5. Regras de Operação não Respeitadas
Quais são as consequências se certas regras de operação não forem
observadas?
6. Consequências de Incidentes Externos à Planta / Unidade
O que aconteceria se houver incêndio nas unidades vizinhas?
7. Consequências de Incidentes Internos à Planta / Unidade
O que aconteceria se ocorrer à abertura de válvulas de segurança ou discos
de ruptura?
Como incidentes internos podem afetar as unidades ou as comunidades
vizinhas?

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

119

8. Manipulação de Produtos
O que aconteceria se o produto for liberado para o solo, atmosfera, água,
etc.?
9. Resíduos
O que aconteceria se os resíduos não forem armazenados ou tratados
adequadamente?

7.4. EXERCÍCIO
Esquematize e preencha uma planilha de What If para a atividade “Lavar roupa
utilizando máquina lavadora automática”, iniciando pela representação do fluxograma
de processo. Aborde em sua análise questões relativas à segurança, qualidade e meio
ambiente. Para “sentir” mais a técnica, realize através de reunião com pessoas próximas
a você e envolvidas com a atividade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

120

Fluxograma: selecionar roupa – ligar a máquina - encher água – adicionar sabão


– adicionar roupa - programar lavagem – desligar a máquina - retirar roupa – estender
para secagem – limpar o filtro

O que
Observações e
Atividade aconteceria Causas Consequências
Recomendações
se...?
Roupas escuras
Misturasse com fiapos Criar critério de
Falta de critério
Seleção roupas claros, roupas roupas claras e
ou conhecimento
de roupas claras e claras escuras e instruir
pela empregada
escuras manchadas de empregada.
escuro
Criar critério de
Misturasse Falta de critério
Seleção Roupas boas roupas boas e
roupas boas ou conhecimento
de roupas sujas por fiapos instruir
e ruins pela empregada
empregada.
Batesse
roupas finas
Falta de Danifica roupas Criar critério e
Seleção na
conhecimento, boas, diminui instruir
de roupas regulagem
esquecimento sua vida útil empregada
de roupas
grossas
Batesse
roupas Roupa fica mal
Falta de Criar critério e
Seleção grossas na lavada,
conhecimento, instruir
de roupas regulagem necessitando
esquecimento empregada
de roupas retrabalho
finas
Lavasse
Lavar apenas
Adição de pouca roupa Esquecimento, Desperdício de
quando preencher
água em nível alto distração água
o cesto
de água
Lavasse
Roupa fica mal
muita roupa Deixar regulagem
Adição de Esquecimento, lavada,
em nível permanentemente
água distração necessitando
baixo de para nível alto
retrabalho
água
Roupa mal
lavada, com
Adicionasse Utilizar marcador
Adição de resíduos de
excesso de Desconhecimento único (copo
sabão sabão,
sabão plástico)
vazamento de
espuma, risco

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

121

de
escorregamento
no piso
Roupa mal Utilizar marcador
Adição de Adicionasse
Desconhecimento lavada, único (copo
sabão pouco sabão
permanece suja plástico)
Instruir
Esquecesse empregada;
Roupa não
Retirada de retirar a verificar ao
Esquecimento seca, mofa, fica
da roupa roupa telefonar no
amarrotada
lavada horário do
almoço.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

122

Quadro 7.1.

O melhor método de identificação de perigos e que permite um exame

detalhado do processo é o estudo de perigos e operabilidade. Neste método têm-se

como técnicas o “What / If” e o “HAZOP”.

Neste tipo de estudo tem-se como objetivo:

• Identificar nos fluxogramas disponíveis perigos presentes nas


instalações em projeto ou existentes;

• Identificar problemas operacionais;

• Relacionar as diferentes ações de melhoria complementares que


permitam obter um nível de segurança aceitável.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 7. Técnicas de Identificação de Perigos e Operabilidade – WHAT IF

123

7.5. TESTES

1. Os estudos de perigos e operabilidade focam problemas:


a) De obras.
b) De operação.
c) De operadores (“chão-de-fábrica”).
d) De óperas.

2. O objetivo dos estudos de perigos e operabilidade é identificar:


a) Perigos, suas causas e consequências.
b) Riscos, suas causas e consequências.
c) Operações, suas causas e consequências.
d) Desvios, suas causas e consequências.
e) Desastres, suas causas e consequências.

3. A técnica What If deve ser aplicada por:


a) Um especialista em gerenciamento de riscos.
b) Um engenheiro de segurança.
c) Uma equipe, a mais homogênea possível.
d) Uma equipe multidisciplinar e com diferentes pontos de vista.
e) Um higienista ocupacional.

4. Uma limitação da técnica What If é que ela:


a) Deve ser utilizada por participantes que entendam inglês.
b) Gera respostas que muitas vezes não têm condições de realização.
c) Só permite o levantamento de perguntas, mas não de respostas.
d) Gera perguntas, respostas e recomendações padronizadas demais.
e) É um processo muito demorado e gera uma matriz de comparação de riscos.

5. A sequência de etapas do What If é:


a) Reunião de perguntas, reunião de respostas, explicação do processo,
recomendações.
b) Recomendações, reunião de perguntas, reunião de respostas, explicação do
processo.
c) Explicação do processo, reunião de perguntas, reunião de respostas,
recomendações.
d) Reunião de perguntas, explicação do processo, reunião de respostas,
recomendações.
e) Recomendações, reunião de perguntas, reunião de respostas, explicação do
processo.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

124

CAPÍTULO 8. TÉCNICAS DE IDENTIFICAÇÃO DE PERIGOS E


OPERABILIDADE – HAZOP.

OBJETIVOS DO ESTUDO

Introduzir os alunos em outra técnica de identificação de perigos relacionados à


operabilidade, o Hazop, discutindo os sistemas em que pode ser aplicada, preparação
dos dados e das equipes, terminologia, relação de palavras-guia, documentação, casos
de aplicação da técnica em processos contínuos e descontínuos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

125

8.1. INTRODUÇÃO
A Análise de Perigos e Operabilidade é uma técnica para identificação de perigos
projetada para estudar possíveis desvios (anomalias) de projeto ou na operação de uma
instalação.
A técnica HAZOP de identificação de perigos é um método sistemático de
questionamento mais criativo e aberto.
Observe-se que num HAZOP, a “operabilidade” é tão importante quanto a
“identificação de perigos“. Na maioria das vezes identificam-se muito mais problemas
operacionais do que perigos. É preciso lembrar que existe uma relação muito forte entre
a eliminação de problemas operacionais e a diminuição dos riscos de uma instalação: a
eliminação daqueles diminui a frequência de erros humanos e, por conseguinte, o nível
de riscos.

8.2. A TÉCNICA DO HAZOP


Essencialmente, a técnica prevê uma descrição completa do processo,
sistematicamente questionando-se toda e qualquer parte deste, para levantar como
poderiam ocorrer desvios e decidir quando estes podem gerar riscos.
O HAZOP consiste na realização de uma análise crítica da instalação, a fim de
identificar os perigos e/ou problemas de operabilidade por meio de uma série de
reuniões, durante as quais uma equipe multidisciplinar discute metodicamente o projeto
da instalação.
O líder da equipe orienta o grupo através de um conjunto de palavras-guia que
focalizam os desvios dos parâmetros estabelecidos para o processo ou operação em
análise. O questionamento é focalizado em cima de cada componente da instalação.
Submete-se este componente a um certo número de questões, utilizando-se palavras-
guia. Estas são utilizadas para assegurar que as questões que são levantadas para
testar a integridade de cada componente da instalação explorarão qualquer maneira
possível na qual possa ocorrer o desvio de uma dada intenção prevista na instalação.
Como consequência ter-se-á um certo número de desvios teóricos e cada um destes é,
então, considerado, analisando-se como ocorre (quais as causas) e quais seriam as
consequências.
Algumas das causas levantadas podem ser irreais e, portanto, suas
consequências serão desprezadas como sem importância. Algumas consequências
podem ser consideradas triviais e não serão consideradas, mais que o necessário.
Contudo, pode-se ter desvios com causas possíveis e consequências que são
potencialmente perigosas. Neste caso, estes perigos são anotados para prever uma
ação de prevenção e/ou proteção.
Após o exame de um componente e tendo-se registrado o perigo potencial
associado, o estudo prossegue analisando-se o componente seguinte. Esta análise é
repetida até o estudo global da planta / unidade.
O objetivo é identificar todos os desvios possíveis em relação a como o processo
em estudo havia sido inicialmente previsto operar, e os perigos associados com tais
desvios. Pode-se, no momento de realização do HAZOP, procurar uma solução para o
perigo identificado. Se a solução é óbvia e não causa efeitos adversos em outras partes

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

126

da planta/unidade, pode-se tomar uma decisão e implantar a modificação. Entretanto,


nem sempre isso é possível - por exemplo, poder-se-ia ter a necessidade de outras
informações complementares. Neste caso, as soluções da análise consistem de uma
mistura de decisões e de questões a serem respondidas em reuniões separadas.
Embora a técnica possa conduzir a muitos desvios hipotéticos, o sucesso ou falha
depende de quatro aspectos fundamentais:
a) Precisão dos documentos e de outros dados utilizados como base para
o estudo;
b) Competências e conhecimento da equipe;
c) Capacidade da equipe em utilizar a técnica HAZOP como uma
“ferramenta auxiliar” de sua imaginação para visualizar desvios;
d) Capacidade da equipe em manter um senso de proporção,
particularmente na avaliação da seriedade dos perigos identificados.

Como a análise é extremamente sistemática e altamente estruturada, é


necessário que os participantes usem certos termos de maneira precisa e disciplinada.

8.3. TERMINOLOGIA DO HAZOP


Alguns termos importantes são:
Intenção
Define a expectativa de como determinado componente de um sistema
deveria operar. Esta expectativa pode ser ilustrada de diferentes formas e pode
ser descritiva ou diagramática, na maioria das vezes através de um fluxograma de
engenharia detalhado e atualizado.

Desvios
São as “saídas” da intenção e são levantados aplicando-se
sistematicamente as palavras-guia.

Causas
Estas se constituem das razões porque ocorrem os desvios. Uma vez que
estes mostraram ter uma causa possível ou real, devem ser, então, tratados como
importantes.

Consequências
São os resultados se ocorrerem os desvios.

Palavras-Guia
São palavras simples que são utilizadas para qualificar a intenção, de modo
a estimular o processo criativo de pensamento e descobrir os desvios.
A análise requer a divisão da planta em pontos de estudo (nós) entre os quais
existem componentes como bombas, vasos e trocadores de calor, entre outros.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

127

A equipe deve começar o estudo pelo início do processo, prosseguindo a análise


no sentido do seu fluxo natural, aplicando as palavras-guia em cada nó de estudo,
possibilitando assim a identificação dos possíveis desvios nesses pontos.
A equipe deve identificar as causas de cada desvio e, caso surja uma
consequência de interesse, devem ser avaliados os sistemas de proteção para
determinar se estes são suficientes. A técnica é repetida até que cada seção do
processo e equipamento de interesse tenha sido analisado.
Em instalações novas o HAZOP deve ser desenvolvido na fase em que o projeto
se encontra razoavelmente consolidado, pois o método requer consultas a desenhos,
fluxogramas de processo ou de engenharia e plantas de disposição física da instalação,
entre outros documentos.

8.4. EXEMPLO DE APLICAÇÃO DO HAZOP


De modo a ilustrar os princípios do procedimento, considere-se uma instalação na
qual os reagentes A e B reagem entre si para formar o produto C. Supor que a química
do processo é tal que a concentração de B não deva nunca exceder a de A, senão
ocorreria uma explosão:

Reação química: A + B  C
(Obs.: componente B não deve exceder A, para evitar-se uma explosão).

Referindo-se a Figura 8.1, e analisando-se a linha que parte da sucção da bomba


que transporta o material A até a entrada do reator (primeiro nó). A intenção é
parcialmente descrita pelo diagrama e parcialmente pelas necessidades de controle do
processo para se transferir A, numa vazão especificada (ou seja, o parâmetro é o “fluxo
de A” ou “vazão de A”). O primeiro desvio é obtido aplicando-se a palavra-guia
“NENHUM” à intenção. Isto é combinado com a intenção para fornecer:
“NENHUM” + “FLUXO DE A” = “NENHUM FLUXO DE A”.
(em outros termos: “NÃO TRANSFERIR A”).

O fluxograma é então examinado para estabelecer as causas que podem produzir


uma parada completa do fluxo de A. Estas causas podem ser:
a) tanque de armazenamento vazio;
b) a bomba falha em operar, devido a:
• Falha mecânica
• Falha elétrica
• Bomba desligada
• Outros.
c) ruptura da linha;
d) válvula de isolamento fechada.
Algumas destas são causas claramente possíveis e, portanto, pode-se dizer que
este é um desvio importante.
Em seguida, consideram-se as consequências.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

128

A falta de A levará rapidamente a um excesso de B sobre A no reator e,


consequentemente, a um risco de explosão. Portanto, descobriu-se um perigo no
processo em estudo, que deve ser anotado para posterior consideração.

Figura 8.1. Fluxograma de alimentação de reator.

Aplica-se, então, a próxima palavra-guia, que é MAIS. O desvio é:


“VAZÃO DE A MAIOR PARA O REATOR”

A causa poderia estar relacionada com as características da bomba que


permitiriam, em certas circunstâncias, produzir uma vazão excessiva. Se esta causa é
aceita como real, consideram-se, então, as consequências:
• A reação produz C contaminado com um excesso de A, que passa para o
próximo estágio do processo;
• O excesso de fluxo no reator poderia fazer com que ocorra um transbordamento.
• Neste caso, serão necessárias informações adicionais para decidir se as
consequências constituirão um perigo.

A seguir, na tabela 8.1 apresenta-se um exemplo de planilha utilizada para o


desenvolvimento desta análise de perigos e operabilidade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

129

Tabela 8.1. Planilha do Hazop.


Palavra- Observações e
Parâmetro Desvio Causas Efeitos
Guia Recomendações
Alarme de nível
baixo e
Tanque de
monitoramento de
armazenamento
nível no tanque;
vazio;
indicador de fluxo
bomba falha em
com alarme e
operar;
FLUXO DE Não há bomba reserva;
NENHUM bomba Explosão
A vazão de A inspeção periódica
desligada;
da bomba e da
ruptura da linha;
linha; implementar
válvula de
procedimento
isolamento
operacional e
fechada.
treinamento dos
operadores.
Excesso de A
Retirada de
no reator e
amostra e
Quantidade contaminação
monitoramento no
FLUXO DE excessiva da saída com
MAIS Bomba dispara. laboratório da
A de A no A;
qualidade; alarme
reator transborda-
de nível alto no
mento do
reator.
reator.
... e assim
por
diante...

Outras palavras-guia são por sua vez aplicadas à intenção do processo, para
assegurar que todos os desvios tenham sido explorados. Quando a tubulação que
introduz A foi totalmente examinada, faz-se uma marcação no fluxograma. Escolhe-se,
em seguida, a parte seguinte do processo para estudo (poderia ser, por exemplo, a linha
que introduz B no reator). Esta sequência é repetida enfim para todo o processo: linhas,
equipamentos e auxiliares (agitadores, válvulas de segurança, etc.), sistemas de
fornecimento de utilidades (água, vapor, eletricidade, ar, etc.), sistemas de aquecimento
e resfriamento etc.
As ações propostas são então anotadas, após um acordo total entre os
participantes.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

130

A tabela 8.2 mostra as palavras-guia normalmente utilizadas e os desvios que elas


representam.
No exemplo utilizado apresentaram-se os princípios da técnica, mostrando a
aplicação das duas primeiras palavras-guia. Geralmente, as três primeiras são diretas
e fornecem desvios facilmente entendidos. As restantes não são de fácil aplicação e
necessitam de explicação adicional. Seu significado será explicado a seguir, utilizando-
se o mesmo exemplo anterior.
A palavra COMPONENTE A MAIS tem como desvio COMPONENTE A MAIS DE
A.
Isto pode significar:
a) Pode ocorrer a transferência de A para algum outro local, além do reator;
b) Ocorrência de outra atividade com transferência (A poderia se decompor).

Tabela 8.2. Desvios gerados pelas diversas Palavras-Guia.


PALAVRA-GUIA DESVIO
NENHUM Ausência total da intenção (Ex.: ausência de fluxo)
Mais, em relação a um parâmetro físico importante (Ex.:
MAIS vazão maior, temperatura maior, viscosidade maior, pressão
maior, etc.)
Menos, em relação a um parâmetro físico importante
MENOS
(Ex.: vazão menor, temperatura menor, etc.)
MUDANÇAS NA Alguns componentes em maior ou menor proporção, ou
COMPOSIÇÃO falta de um componente.
Componentes a mais em relação aos que deveriam
COMPONENTES
existir (Ex.: fase extra presente - vapor, sólido, impurezas -
A MAIS
ar, água, ácidos, produtos de corrosão, contaminantes, etc.)
O oposto lógico da intenção (Ex.: fluxo reverso ou
REVERSO
reação química)
Partida, parada, funcionamento de pico, em carga
OUTRA CONDIÇÃO
reduzida, modo alternativo de operação, manutenção,
OPERACIONAL
mudança de catalisador, etc.

Tabela 8.3. Significado de algumas Palavras-Guia.


Palavra-guia Significado
Não Negação da intenção de projeto
Menor Diminuição quantitativa
Maior Aumento quantitativo

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

131

Parte de Diminuição qualitativa


Bem como Aumento qualitativo
Reverso Oposto lógico da intenção de projeto
Outro que Substituição completa

Tabela 8.4. Desvios causados pelas Palavras-Guias em alguns parâmetros.


Parâmetro Palavra-guia Desvio
Não Sem fluxo
Menor Menos fluxo
Fluxo
Maior Mais fluxo
Reverso Fluxo reverso
Menor Pressão baixa
Pressão
Maior Pressão alta
Menor Baixa temperatura
Temperatura
Maior Alta temperatura
Menor Nível baixo
Nível
Maior Nível alto

A palavra MUDANÇA NA COMPOSIÇÃO daria como desvio COMPONENTE


DIFERENTE DE A, podendo significar a transferência de outro componente além de A.
Uma pesquisa na Figura 8.1 mostra uma linha adicional com válvula de isolamento na
sucção da bomba. Se a válvula não estiver fechada, outro componente pode ser
transferido junto com A.
Quando se usam as palavras-guia nas intenções expressas, elas são sempre
aplicáveis. Entretanto, podem ser aplicadas, também, num nível de palavras ou frases
descritivas. Por exemplo, MAIS VAPOR pode significar uma maior quantidade de vapor
(aumento de capacidade) ou vapor em pressão mais alta (aumento de intensidade).
Quando se trabalha num nível mais detalhado de intenção no processo,
encontram-se algumas restrições causadas por uma redução dos modos possíveis de
desvio. Por exemplo, suponha-se que a intenção no processo seja operar com uma
temperatura de 100 o C. Os modos possíveis de desvio (não se considerando o zero
absoluto) são MAIS (isto é, acima de 100 o C) e MENOS (abaixo de 100 o C).
Em aspectos de tempo, MAIS e MENOS podem significar duração maior ou
menor, ou frequências altas ou baixas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

132

8.5. HAZOP EM PROCESSOS CONTÍNUOS E EM PROCESSOS DESCONTÍNUOS


Em processos contínuos, os fluxogramas devem ser analisados da seguinte
forma:
a) Equipamento por equipamento e, se necessário, linha por linha;
b) Para cada parâmetro de operação (temperatura, pressão, vazão,
nível, composição);
c). Ruptura ou perda de confinamento, normalmente são analisados à
parte;
d) Pelos sucessivos desvios do parâmetro em consideração, usando as
palavras-guia.
A experiência tem mostrado que é mais fácil iniciar-se com os parâmetros mais
sensíveis para o componente em consideração porque, geralmente, as ações previstas
para estes riscos servem para os outros desvios.

Em estudos de processos descontínuos, torna-se necessário aplicar as palavras-


guia tanto para instruções como para as linhas de tubulação. Por exemplo, se uma
instrução estabelece que uma tonelada de A tem de ser carregada no reator, deve-se
considerar desvios como:
NÃO CARREGUE A
A CARREGADO EM EXCESSO
A CARREGADO EM FALTA
CARREGUE PARTE DE A (se A é uma mistura)
CARREGAMENTO DIFERENTE DE A

Operações descontínuas realizadas numa instalação contínua (por exemplo,


condicionamento do equipamento ou limpeza), devem ser estudadas de modo similar,
listando a sequência de operação e aplicando-se as palavras-guia para cada etapa.
Em operações descontínuas, os fluxogramas são analisados da seguinte forma:
a) Operações dinâmicas, etapa por etapa, seguindo a sequência das
instruções operacionais;
b) Operações estáticas, linha por linha, seguindo o arranjo funcional do
equipamento: conexões; utilidades, inertagem etc.
Para as ações de proteção de instrumentação a análise é mais difícil de registrar,
porque os controles utilizam instruções operacionais ou sistemas automáticos
programáveis.
É especialmente importante identificar desvios que possam ter consequências
diretas de alto risco. Se as ações de proteção por instrumentação não forem aplicáveis,
estes desvios devem ser anotados à parte e analisados os meios de prevenção físicos
e humanos.
Em processos operados por computador as instruções ao computador (software
de aplicação) devem ser estudadas separadamente. Por exemplo, se o computador está

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

133

instruído para tomar certa ação quando a temperatura sobe, a equipe deve considerar
as possíveis consequências de falha do computador em realizar a ação.
Um estudo HAZOP é normalmente realizado por uma equipe multidisciplinar.
Pode haver dois tipos de participantes: os que fornecem contribuições técnicas e os que
têm papel de suporte e estruturação.
A técnica exige que a equipe tenha um conhecimento detalhado sobre o processo
em estudo. Como gera um grande número de questões, é essencial que a equipe seja
constituída de um número suficiente de pessoas com conhecimento e experiência
suficiente para responder a maioria das questões.
A equipe usual é a seguinte:
• Engenheiro de processos;
• Engenheiro de fabricação;
• Técnico ou operador de fabricação;
• Técnicos de manutenção, instrumentação;
• Engenheiro de segurança;
• Especialista em segurança de processos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

134

8.6. EXERCÍCIO
Esquematize e preencha uma planilha de Hazop para o processo da Figura 8.1

DICA: PODE HAVER EXPLOSÃO NOS CASOS DE FALTA DE A OU EXCESSO DE B

Palavra- Observações e
Parâmetro Desvio Causas Efeitos
Guia Recomendações
Alarme de nível
baixo e
monitoramento
Tanque de
de nível no
armazenamento
tanque; indicador
vazio;
de fluxo com
bomba falha em
alarme e bomba
operar;
FLUXO Não há reserva; inspeção
NENHUM bomba Explosão
DE A vazão de A periódica da
desligada;
bomba e da
ruptura da linha;
linha;
válvula de
implementar
isolamento
procedimento
fechada.
operacional e
treinamento dos
operadores.
Retirada de
Excesso de A no
amostra e
Quantidade reator e
monitoramento
FLUXO excessiva contaminação
MAIS Bomba dispara. no laboratório da
DE A de A no da saída com A;
qualidade; alarme
reator transbordamento
de nível alto no
do reator.
reator.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

135

Alarme de nível
baixo e
monitoramento
de nível no
tanque; indicador
de fluxo com
Válvula de
alarme e bomba
isolamento
FLUXO Vazão reserva; inspeção
MENOS pouco aberta, Explosão
DE A menor de A periódica da
bomba em
bomba e da
baixa rotação
linha;
implementar
procedimento
operacional e
treinamento dos
operadores.
Retirada de
amostra e
monitoramento
no laboratório da
Pressão Vazamento,
PRESSÃO qualidade; alarme
MAIS excessiva Bomba dispara excesso de A,
DE A de nível alto no
na linha A Explosão
reator;
manutenção
preventiva da
bomba A
Alarme de nível
baixo e
monitoramento
de nível no
tanque; indicador
de fluxo com
Válvula de
alarme e bomba
isolamento
PRESSÃO Vazão reserva; inspeção
MENOS pouco aberta, Explosão
DE A menor de A periódica da
bomba em
bomba e da
baixa rotação
linha;
implementar
procedimento
operacional e
treinamento dos
operadores.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

136

Alarme de nível
baixo e
monitoramento
Tanque de
de nível no
armazenamento
tanque; indicador
vazio;
de fluxo com
bomba falha em
alarme e bomba
operar;
FLUXO Não há reserva; inspeção
NENHUM bomba Explosão
DE B vazão de B periódica da
desligada;
bomba e da
ruptura da linha;
linha;
válvula de
implementar
isolamento
procedimento
fechada.
operacional e
treinamento dos
operadores.
Retirada de
Excesso de A no
Válvula de amostra e
reator e
isolamento monitoramento
FLUXO Vazão contaminação
MENOS pouco aberta, no laboratório da
DE B menor de B da saída com A;
bomba em qualidade; alarme
transbordamento
baixa rotação de nível alto no
do reator.
reator.
Retirada de
amostra e
Vazamento,
Pressão monitoramento
PRESSÃO excesso de B,
MAIS excessiva Bomba dispara no laboratório da
DE B contaminação
na linha B qualidade; alarme
do produto
de nível alto no
reator.
Retirada de
Excesso de A no
Válvula de amostra e
reator e
isolamento monitoramento
PRESSÃO Vazão contaminação
MENOS pouco aberta, no laboratório da
DE B menor de da saída com A;
bomba em qualidade; alarme
transbordamento
baixa rotação de nível alto no
do reator.
reator.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

137

Quadro 8.1

Terminologia do HAZOP.

Alguns termos importantes são:

• Intenção

• Desvios

• Causas

• Consequências

• Palavras-Guia

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 8. Técnicas de Identificação de Perigos e Operabilidade – HAZOP

138

8.7. TESTES

1. Vazão, temperatura, pressão, composição são exemplos de:


a) Palavra-guia.
b) Parâmetro.
c) Desvio.
d) Causa.
e) Efeito.

2. “O líquido não flui” é exemplo de:


a) Palavra-guia.
b) Parâmetro.
c) Desvio.
d) Causa.
e) Efeito.

3. “Falta de matéria-prima” em uma unidade de fabricação provavelmente é


exemplo de:
a) Palavra-guia.
b) Parâmetro.
c) Desvio.
d) Causa.
e) Efeito.

4. “Mais”, “menos”, “nenhum” são exemplos de:


a) Palavra-guia.
b) Parâmetro.
c) Desvio.
d) Causa.
e) Efeito.

5. “Contaminação do produto final” numa unidade de fabricação provavelmente é


exemplo de:
a) Palavra-guia.
b) Parâmetro.
c) Desvio.
d) Causa.
e) Efeito.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

139

CAPÍTULO 9. FUNDAMENTOS MATEMÁTICOS PARA A ANÁLISE


QUANTITATIVA DE RISCOS E CONFIABILIDADE.

OBJETIVOS DO ESTUDO

Introduzir os alunos nas noções básicas das relações lógicas e fundamentos


matemáticos que embasarão a análise quantitativa de riscos (abordadas nos próximos
capítulos) e nas noções da teoria da confiabilidade de sistemas, em função da
confiabilidade de seus elementos componentes.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

140

9.1. ÁLGEBRA BOOLEANA


Os fundamentos para determinado tipo de análise de riscos (como o
estabelecimento de relações lógicas para a técnica da Análise de Árvore de Falhas, que
estudaremos no próximo capítulo) devem-se em parte às contribuições do matemático
George Boole, que desenvolveu um sistema lógico aplicável para o estudo das relações
do tipo sim ou não, verdadeiro ou falso, tudo ou nada, alto ou baixo, ou 0 ou 1. Não é
objetivo do curso aprofundar o assunto, mas sim transmitir as noções que permitam aos
alunos realizar algumas análises lógicas e quantitativas. Os estudos da chamada
"álgebra booleana" formam a base para análises de riscos e de segurança de sistemas,
além de seu muito difundido uso na programação de computadores. Além da
informática, seu uso é aplicável em eletrônica (nos circuitos “liga-desliga”), estatística
(na análise probabilística binomial), na teoria dos jogos e em estudos de tomada de
decisão.
O objetivo e função da álgebra booleana é simplificar problemas complexos,
extraindo das mesmas relações lógicas que podem, então, ser manipuladas. A condição
é que o problema possa ser decomposto em condições dicotômicas (sim ou não,
verdadeiro ou falso, alto ou baixo). Trabalharemos na prática com os símbolos
matemáticos 1 ou 0, que não são valores algébricos, ou seja, não possuem valores
intermediários, não podem sofrer operações aritméticas como a soma, por exemplo:

1+12

Os números normalmente representados em algarismos decimais (entre aspas, a


seguir) são assim representados como binários, como por exemplo:
“0” = 0
“1” = 1
“2” = 10
"3” = 11
“4” = 100

Desta forma, as expressões ficam:


"1 + 1 = 2" -> 1 + 1 = 10
"1 + 2 = 3" -> 1 + 10 = 11, e assim por diante.

9.2. DIAGRAMAS DE VENN


Outra contribuição - que apenas introduziremos aqui - são os Diagramas de Venn,
que permitem estudar a Teoria dos Conjuntos e suas relações de pertinência,
intersecção, união, exclusão etc.

Lembremos do conceito de conjunto - uma coleção de elementos, condições,


eventos, símbolos, ideias ou identidades matemáticas. No nosso caso, só
trabalharemos com conjuntos completos, totais (representados pelo 1) ou vazios
(representados pelo 0). As identidades de conjuntos podem ser representadas pelos
diagramas de Venn. Se um subconjunto tem a característica A , todos os outros

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

141

_
elementos que não têm esta característica são A (“não-A” ou “não de A”). A é dito
_
complemento de A e vice-versa. Como complementos, usa soma é igual à totalidade
(figura 9.1):

Figura 9.1. Relações em Diagramas de Venn.

Exemplos de identidades derivadas da lógica booleana estão na tabela 9.1.

Tabela 9.1. Identidades derivadas da lógica booleana.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

142

9.3. A LÓGICA DAS COMPORTAS


Módulos ou comportas são relações lógicas que unificam duas entradas (que
representam valores, ideias, conceitos) em uma única saída, formando parte de um
diagrama. Dependendo do tipo da comporta, as quatro combinações possíveis de
valores das entradas (0 e 0, 0 e 1, 1 e 0, 1 e 1) acarretam valores de saída 0 (falso) ou
1 (verdadeiro). Os quatro módulos principais estão representados pelos símbolos a
seguir.

E ou AND ou A . B ou &: saída verdadeira (A . B = 1) somente se A = 1 e


B = 1; qualquer outra combinação de entradas dá saída falsa.

Por exemplo, podemos representar a lógica do início de um incêndio como o


perigo “combustível” representado por A e “fonte de ignição” representado por B, nas
entradas (parte inferior da comporta). A saída “incêndio” (A.B) só acontece nesta
relação lógica de A E B, ou seja, apenas se ambas as entradas ocorrerem
simultaneamente. Para o evento de saída não ocorrer, basta uma das entradas não
ocorrer jamais.

OU ou OR ou A + B ou |: saída falsa (A + B = 0) somente se A = 0 e B = 0;


qualquer outra combinação de entradas dá saída verdadeira.

Por exemplo, podemos representar a lógica do início de um incêndio como as


fontes de ignição “faísca” representada por A e “chama” representado por B, nas
entradas (parte inferior da comporta). A saída “incêndio” (A+B) acontece nesta relação
lógica de A OU B, ou seja, basta uma das entradas ocorrer, ou ambas ocorrerem
simultaneamente. O evento de saída apenas não ocorre enquanto nem A e nem B
ocorrer.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

143

Seguem outras possibilidades de módulos (comportas).


NE ou NAND: saída falsa (0) somente se A = 1 e B = 1; qualquer outra
combinação de entradas dá saída verdadeira.

NOU ou NOR: saída verdadeira (1) somente se A = 0 e B = 0; qualquer outra


combinação de entradas dá saída falsa.

9.4. NOÇÕES DE CONFIABILIDADE


Sob determinadas condições de operação previamente definidas e dentro de um
determinado período de tempo, chama-se Confiabilidade (R) à probabilidade de um
sistema ou de um elemento de um sistema (como um equipamento) desempenhar
satisfatoriamente suas funções. Diz-se que ela é o Controle de Qualidade estendido no
Tempo.
O complemento de R é a Não-Confiabilidade (Q), a probabilidade de falha até
uma data t.
Q=1-R

Assim, se a probabilidade de falha de um sistema é de 1% (0,01), sua


confiabilidade é 99% (0,99). Ou seja, nessas condições de operação, ao final do
período, falha 1 em cada 100 unidades (peças, elementos ou componentes).
Taxa de Falha (): é o número de falhas num período de tempo. Por exemplo, a
taxa de falhas de determinado componente é 1 a cada 1000 horas de uso.
Tempo Médio Entre Falhas (TMEF ou MTBF – Mean Time Between Failures –
ou T ou 1/): é o período de tempo até que ocorra uma (nova) falha. É o inverso da
Taxa de Falha. Por exemplo, o MTBF é 1000 horas para uma falha, em média.
Assim, um sistema em que ocorram 4 falhas a cada 1000 horas tem uma taxa de
falhas  de 0,004 por hora e um tempo médio entre falhas MTBF de 250 horas.

Outro conceito importante nos estudos de confiabilidade são os diferentes tipos


de falha, dependendo da fase da vida de um sistema (equipamento ou mesmo um
organismo vivo) e a “curva da banheira”:
Falhas Prematuras - são as que ocorrem no período inicial de “depuração” de
vida do produto ou sistema;
Falhas Casuais - são as que ocorrem após estabilizados o controle de qualidade
e a confiabilidade, na maturidade, estas falhas se devem a fenômenos casuais,
complexos, imponderáveis ou desconhecidos. Ocorrem durante a chamada “vida útil”
do sistema ou do componente (produto);
Falhas por Desgaste: ocorrem após o período de vida útil devido a fenômenos
de desgaste natural, em decorrência do uso, da passagem do tempo e de fenômenos
casuais.

Segue-se na figura 9.2 a curva da banheira, que representa a variação da taxa de


falha em função do tempo de vida do sistema. Note que a taxa de falha é maior e é

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

144

variável nos períodos de depuração e de desgaste; ao longo da chamada vida útil, a


taxa de falha é mínima e contínua. Isto representa o maior número de falhas – e de
doenças ou de mortalidade – quando se é muito jovem ou quando se é muito velho.

Figura 9.2. A Curva da Banheira.

A análise de confiabilidade considera as falhas a partir do período de vida útil,


quando se ultrapassou a mortalidade inicial e considera-se o equipamento depurado.
Estatisticamente, as falhas casuais distribuem-se exponencialmente sob uma taxa de
falha constante, enquanto as falhas por desgaste crescem gaussianamente (curva
normal).

Lei Exponencial da Confiabilidade:


R = e-t = e-t/T

Lei do Produto da Confiabilidade (associação de componentes em Série,


figura 9.3):
R = r1 . r2 . ... . rn
Obs.: se um falhar, o sistema falha.

Figura 9.3. Associação de componentes em série.

Redundância Paralela (associação de componentes em Paralelo, figura 9.4):


Q = q1 . q2 . ... . qn

Permitem aumentar a confiabilidade do sistema independentemente do aumento


da confiabilidade dos componentes. Na prática, os sistemas com redundância paralela
são mais complexos (têm mais componentes, são mais caros, mais pesados, mais
volumosos, de manutenção mais difícil).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

145

Figura 9.4. Associação de componentes em paralelo.

Quadro 9.1.
Calcule a confiabilidade total do sistema abaixo, a partir das confiabilidades

representadas nos elementos.

Solução: R1 (Série) = (0,9 x 0,8)= 0,72

R2 (Série) =(0,8 x 0,8 x 0,9)=0,576

R(1+2: Paralelo) = 1- (R1*R2)= 1- (( 1-0,72)* (1-0,576)) = 0,881

R3 = 0,9 -> R(1+2+3: Série)= R(1+2)*R3= 0,881*0,9=0,793

R4=0,7 -> R(1+2+3+4) = 1-((1-R(1+2+3)*(1-R4)= 1-(1-0,793)*(1-0,7)=


0,938

Resposta: 0,9 (arredondado para 1 casa decimal)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 9. Fundamentos Matemáticos para Análise Quantitativa de Riscos e Confiabilidade

146

9.5. TESTES

1. A álgebra booleana é aplicável quando forem cabíveis situações do tipo:


a) Dicotômicas.
b) Paradoxais.
c) Decimais.
d) Graduais.
e) Classificatórias.

2. Na comporta E, a saída é verdadeira se:


a) Todas as entradas forem verdadeiras.
b) Todas as entradas forem falsas.
c) Pelo menos uma das entradas for verdadeira.
d) Pelo menos uma das entradas for falsa.
e) Existirem entradas.

3. Na comporta OU, a saída é falsa se:


a) Todas as entradas forem verdadeiras.
b) Todas as entradas forem falsas.
c) Pelo menos uma das entradas for verdadeira.
d) Pelo menos uma das entradas for falsa.

4. O que é taxa de falha:


I- O mesmo que tempo médio entre falhas.
II- O inverso do tempo médio entre falhas.
III- 1 – MTBF.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I e III estão corretas.
c) Apenas a afirmativa II está correta.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

5. Falhas casuais ocorrem


a) Ao acaso, quando o sistema é muito novo.
b) Ao acaso, durante a vida útil.
c) Ao acaso, durante toda a vida.
d) Ao acaso, no final da vida.
e) Não acontecem por acaso.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

147

CAPÍTULO 10. ANÁLISE DA ÁRVORE DE FALHAS - AAF (FAULT TREE


ANALYSIS - FTA).

OBJETIVOS DO ESTUDO

Transmitir os fundamentos da técnica da análise da árvore de falhas, importante


ferramenta dedutiva para análise de eventos e de acidentes reais ou potenciais.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

148

10.1. INTRODUÇÃO
É uma das ferramentas mais úteis para a análise de segurança, especialmente
para os sistemas muito complexos ou detalhados. Sua abordagem é dedutiva (do geral
para o específico), o que a faz boa para examinar as condições que causaram ou
influenciaram em evento indesejável.
Como se sabe, raramente um incidente ocorre devido a apenas um fator iniciante,
mas sim por uma conjunção de condições. A vantagem deste método é que ele
representa graficamente as relações entre os componentes do sistema, tornando-as
mais óbvias.
A Análise da Árvore de Falhas tem este nome por partir de um único evento, que
é o acidente ou a condição indesejável (ou seu oposto: um não acidente ou condição
desejável) chamada de evento de topo.
O evento de topo pode ser um evento global (tipo “falha total do sistema”) ou
específico (tipo “mal funcionamento do componente ‘X’”).
O evento de topo é por onde se inicia o traçado da árvore e é resultado (o evento
geral) de uma sequência de possíveis eventos (os eventos específicos) a serem
investigados. A investigação destes possíveis eventos, relacionados em disposição
lógica de série ou paralelo, conduz ao traçado de um diagrama que vai se alargando ou
estreitando à medida que se afasta do evento topo, para baixo, assumindo assim o
formato que lembra uma árvore e seus ramos.
Assim, pode-se identificar precisamente na cadeia causal quando um evento
derradeiro ocorreu ou pode ocorrer, bem como suas relações e interfaces com os outros
eventos.
Permite avaliar os eventos isolada ou conjuntamente, tanto qualitativa como
quantitativamente.
A avaliação qualitativa se faz pelo estudo do evento ou conjunto de eventos que
levaram ao evento de topo após destacá-los por um corte, ressaltando a posição que
ocupam na árvore. Isto isola os eventos específicos e permite analisar suas relações
com os demais eventos e com o conjunto todo, de forma a conduzirem ao evento de
topo. Estes cortes mínimos podem ser de 1a ordem (1 evento), 2a. ordem (2 eventos) e
assim por diante.
A avaliação quantitativa se faz pela atribuição de uma probabilidade e/ou de uma
gravidade a cada evento (quando estas são conhecidas), relacionando-as pelas
relações lógicas (“E” ou série = multiplicação; “OU” ou paralelo = soma). Pode-se então
avaliar mais precisamente o risco correspondente.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

149

Relações entre Probabilidades

Sejam A e B dois eventos,


A probabilidade da ocorrência dos eventos A e B simultaneamente é dada por:
P(A e B) = P(A  B) = P(A) x P(B)
A probabilidade da ocorrência de pelo menos um dos eventos A ou B é dada por:
P(A ou B) = P(A  B) = P(A) + P(B) - P(A  B)
Onde, se A e B são eventos mutuamente exclusivos: P(A  B) = 0

Por ser uma técnica muito flexível, é bastante adequada para utilização tanto na
fase de projeto de uma unidade, como na de sua operação, visando à prevenção de
incidentes.
A AAF é uma ferramenta eficiente para
• Explorar os modos de falhas múltiplas;
• Investigar condições para eventos desejáveis (como o não-acidente);
• Construir programas gerenciais de segurança industrial e de prevenção de
incidentes.

Requisitos para a aplicação da AAF


• Profundo entendimento dos elementos do sistema de segurança;
• Extenso conhecimento do processo, ou
• Participação intensa da equipe de projeto segurança operação utilidades
qualidade manutenção.

Vantagens da AAF
• Permite identificar falhas humanas, de operação e de manutenção;
• Permite quantificar eventos (o que a APR, o What If e o HAZOP não
fazem);
• Permite visualizar as combinações entre efeitos;
• Permite análises de custo-benefício;
• É muito usada na investigação de acidentes graves (ocorridos ou
potenciais, na fase de projeto da unidade).

Limitações da AAF
• Exige documentação atualizada;
• Requer grande volume de trabalho;
• É de difícil aplicação em sistemas muito complexos.

A árvore de falhas é uma técnica gráfica que utiliza a simbologia representada na


figura 10.1. Um exemplo de árvore para um suposto evento indesejado de um quarto
completamente escuro está representado nas figuras 10.2 e 10.3.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

150

SÍMBOLO NOME DESCRIÇÃO

Evento topo, secundário ou


retângulo
contribuinte. O que vier
abaixo requer investigação.

Falha ou evento básico, final


círculo
do processo de investigação
deste ramo.

casa Evento não-falha, esperado


nas condições normais.

losango ou diamante Evento não desenvolvido, por


dificuldade ou falta de dados.

Evento condicional: define


elipse ou oval
estado do sistema para que a
falha ocorra.

Todos os eventos de entrada


comporta “E”
devem ocorrer para que
ocorra a saída.

Pelo menos um dos eventos


comporta “OU” de entrada deve ocorrer para
que ocorra a saída.

A
comporta de transferência Transfere tudo sob ela para o
evento em outra folha.

Figura 10.1. Simbologia para a Análise da Árvore de Falhas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

151

Figura 10.2. Representação esquemática do sistema de iluminação elétrica do


quarto de dormir.

Figura 10.3. Exemplo da árvore de falhas do sistema de iluminação elétrica de


um quarto de dormir, para o evento indesejável do quarto totalmente escuro.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

152

Quadro 10.1
Desenhe a árvore de falhas para o superaquecimento do motor no seguinte

circuito:

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 10. Análise da Árvore de Falhas – AAF (Fault Tree Analysis – FTA)

153

10.2. TESTES
1. A análise de árvore de falhas (AAF) não é uma técnica:
a) Gráfica.
b) Quantitativa.
c) Qualitativa.
d) Simples e rápida.
e) Eficiente.

2. O que é o evento de topo:


I- É o início da aplicação da técnica da AAF.
II- É único para aquela árvore.
III- Pode ser um acidente.
IV- Pode ser um evento desejável.

a) Apenas a afirmativa I está correta.


b) Apenas as afirmativas I, III e IV estão corretas.
c) Apenas as afirmativas II e IV estão corretas.
d) Apenas as afirmativas II e III estão corretas.
e) Todas as afirmativas estão corretas.

3. A AAF não serve para:


a) Estudo das combinações entre fatores que contribuem para um acidente.
b) Cálculo de probabilidades de combinações de eventos.
c) Explorar modos de falhas múltiplas.
d) Sistemas complexos sem documentação completa e atualizada.
e) Construir programas gerenciais de segurança industrial.

4. Na simbologia da AAF, os eventos são representados por:


a) Retângulos.
b) Quadrados.
c) Hexágono.
d) Hipérboles.
e) Dodecaedro.

5. Na simbologia da AAF, causas básicas ou fundamentais são representadas por:


a) Retângulos.
b) Quadrados.
c) Círculos.
d) Triângulos.
e) Casa.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

154

CAPÍTULO 11. ANÁLISE DE MODOS DE FALHA E EFEITOS (FAILURE


MODE AND EFFECT ANALYSIS - FMEA)

OBJETIVOS DO ESTUDO

Transmitir os fundamentos da técnica da FMEA.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

155

11.1. INTRODUÇÃO
É uma das técnicas mais utilizadas atualmente em qualidade e em segurança,
graças à sua capacidade para determinar a confiabilidade de um sistema. Permite
avaliar um sistema e identificar possíveis falhas de cada um dos componentes deste
sistema, tomados individualmente, bem como prever os efeitos destas falhas e os
efeitos sobre os outros componentes do sistema. Daí o nome do método. De
preferência, deve ser aplicada na fase projeto e implementação, mas é de grande
utilidade em qualquer momento do ciclo de vida de um sistema.

Objetivos da FMEA:
• Identificar falhas;
• Hierarquizar falhas;
• Identificar as FMC (Falhas de Modo Comum): as que têm efeitos múltiplos
sobre outros componentes e sobre o sistema;
• Avaliar adequações e corrigir as proteções existentes;
• Identificar cenários passíveis de AAF;
• Reunir informações organizadas (documentação).

Tipos de FMEA:

a) FMEA Detalhada ou hardware


Avalia falha nos componentes, em seus acoplamentos e subacoplamentos, dentro
de um subsistema. Usa abordagem indutiva (do específico para o geral): reconhece os
modos de falha dos elementos e examina seus efeitos sobre o sistema inteiro. Focaliza
os componentes individuais e as montagens em que participam, não os subsistemas. É
o tipo mais comum de FMEA.
b) FMEA Funcional
Avalia falhas em um ou vários subsistemas que operam no interior de um sistema
maior. Usa abordagem dedutiva (do geral para o específico): a partir das falhas nos
subsistemas, focaliza os modos que possam causá-las. Focaliza os subsistemas,
procurando identificar os efeitos. Examina os efeitos das falhas sobre os outros
subsistemas.
Como se pode perceber, as diferenças entre estes dois tipos se dão quanto ao
objetivo, a abordagem e os itens sendo analisados. O método em si é o mesmo.

Tipos de Eventos para a FMEA:

Eventos Iniciadores:
Causam a condição para efeito. Deve ser levada em conta apenas sua
probabilidade de ocorrência, mas não a sua duração.
Eventos Habilitadores:
São os que permitem a condição de risco, atuando como causas condicionais ou
contingenciais. Por exemplo, são as falhas no funcionamento dos dispositivos de
proteção, alarme ou de controle. Apesar de sua gravidade ser, em geral, nula, deve-se

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

156

considerar para a análise quantificada, sua gravidade como tendo o valor do risco a ser
evitado.

As desvantagens da FMEA são:


• dificuldade de obter taxas confiáveis de falha de componentes;
• não leva em conta as falhas humanas e a ergonomia;
• avalia mal as interfaces operacionais.

11.2. ETAPAS DA REALIZAÇÃO DE UMA FMEA


1. Dados Necessários:
• plantas do projeto (fluxograma de engenharia - não utilizar croquis);
• esquemas do sistema;
• diagramas funcionais;
• dados de análises anteriores;
• descrições do sistema;
• dados da experiência de quem trabalha e conhece o sistema;
• especificações dos fabricantes dos componentes;
• dados da Análise Preliminar de Risco.

2. Definição do escopo (campo de atuação, alcance e limitações da análise, itens


incluídos e excluídos), direção a seguir e foco.

3. Averiguação dos efeitos de falhas específicas no sistema ou subsistema.

4. Registro na Planilha da FMEA

5. Redação do Relatório contendo:


a. Introdução: descrição do propósito, escopo, tipo da FMEA, metodologia,
regras básicas;
b. Definições: termos técnicos específicos;
c. Descrição do Sistema: detalhada ao máximo possível, mas não em
excesso, que extrapole o escopo e objetivos da FMEA; incluir as funções do
sistema, componentes e suas interfaces, o histórico e desempenho dos
componentes envolvidos;
d. Avaliação da Criticidade2: detalhando o nível do sistema, subsistema ou
componentes, segundo critérios acordados com a Gerência, e mencionando todos
os pontos críticos identificados pela FMEA, os modos de falha e efeitos
identificados e sua discussão, relatando prós e contras para justificar as ações
recomendadas no final do relatório;

2
Criticidade é a expressão da preocupação ou percepção sobre os possíveis
efeitos de uma falha naquele sistema. É expressa pela soma da Gravidade com a
Probabilidade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

157

e. Lista de Documentos: listar os números dos documentos e todos os


desenhos, especificações e esquemas, normas e padrões referenciados,
procedimentos de operação, relatos de experiência, documentos de fornecedores
e fabricantes;
f. Dados: dados de apoio, tais como as planilhas da FMEA preenchidas,
fotografias, layouts, diagramas elétricos;
g. Lista dos Itens Críticos: listagem dos itens que, se falharem, acarretarão
um efeito crítico na operação do sistema, acompanhada de:
• descrições detalhadas sobre cada item, explicando sua função
genérica, e as funções de todos os componentes que complementam
ou completam aquele item;
• listagem dos modos de falha e seus efeitos;
• explicar o porquê de se aceitar determinados itens críticos como
estão, se for o caso - por exemplo, de falha possível, mas que nunca
ocorreu historicamente em sistemas similares;
• apresentação de recomendações à gerência para aceitação ou
rejeição de risco associado a qualquer falha de cada um dos itens da
lista.

11.3. EXEMPLO DE APLICAÇÃO DA TÉCNICA DE FMEA DA SEGURANÇA


A FMEA é a técnica-mãe da APR, sendo suas planilhas semelhantes. A diferença
é que a APR é uma técnica geral e qualitativa, enquanto a FMEA que trataremos aqui é
quantitativa, ou seja, baseia-se em dados quantitativos e, na medida do possível,
precisos de probabilidade de falha (ou de tempo médio entre falhas) e de gravidade.
No caso que avaliaremos, um sistema de reação representado na figura 11.1, um
vaso de reação (EP1) possui como parâmetro crítico de controle a temperatura, indicada
pelo termômetro TG1 e controlada através do transmissor de temperatura TT1, que
alimenta de sinal tanto o sensor de temperatura TS1 (aterrado) para acionar o alarme
TA1 (no painel de controle da fábrica), como também o controlador automático de
temperatura TC1 (também no painel), que por sua vez emite um sinal pneumático para
acionamento da válvula de controle TV1, responsável pela alimentação da água de
resfriamento do vaso EP1. Uma válvula de by-pass H1 permite o controle manual da
vazão de água. Há ainda uma válvula de alívio RV1 para a segurança do reator.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

158

Figura 11.1. Sistema de Reação com Resfriamento.

A pontuação de gravidade é obtida através da tabela 11.1.

Tabela 11.1. Gravidade.

Grau de Segurança Descrição Valor

Seguro Não falha ou falha seguro 0

Prejuízo pequeno (menos que US$ 100


Marginal 1
mil)

Grandes perdas (entre US$ 100 mil e 2


Inseguro 2
milhões)

Múltiplas falhas ou fatalidades; prejuízos


Muito inseguro 3
acima de US$ 2 milhões

A pontuação de probabilidade é obtida através do gráfico da figura 11.2, que


considera tanto o intervalo em que as falhas acontecem (em anos, valor médio para
cada componente) e a duração do evento. Se o evento é iniciador (causa do acidente),
não se permite duração para a falha (ou seja, a falha deve ser corrigida imediatamente)
e o valor de probabilidade é lido diretamente no eixo das ordenadas (vertical, à esquerda
do gráfico). Se o evento for habilitador (contribui para que o acidente não seja previsto
ou detectado, mas não causa diretamente o acidente), lê-se o cruzamento do intervalo
entre falhas (eixo vertical) com a duração (em horas) permitida para a falha (eixo

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

159

horizontal). Note que as escalas são logarítmicas e que a probabilidade se lê em ordem


de grandeza.

Figura 11.2. Gráfico de Probabilidade de Falha para a FMEA.

Por exemplo, se a falha for o fechamento da válvula que controla e alimenta a


água de resfriamento de um reator sujeito a explosão, este é um evento que causa o
acidente diretamente, portanto, é um evento iniciador e não se pode permitir sua
duração. Se o intervalo entre falhas para este tipo de falha do componente for de 100
anos, lê-se diretamente sobre o eixo das ordenadas (vertical, à esquerda) que o valor
da probabilidade cai na região de 5 x 10-6, ou 0,000005. Note que o valor que lemos é
a ordem de grandeza (o expoente da probabilidade), ou seja, o valor “-6”.
Se a falha for a parada de funcionamento do alarme de temperatura alta, ela não
causa diretamente o acidente, mas contribui para sua ocorrência, pois não permite a
detecção a tempo. Neste caso, o evento é habilitador e permitiremos – tolerantemente
– que a falha persista por 12 horas. Se o intervalo médio entre falhas para este tipo de
problema for de 10 anos, o cruzamento do valor 10, no eixo vertical, com o valor 12 no
eixo horizontal nos indica uma probabilidade na região de 5 x 10-4, ou 0,0005 (maior
que a anterior) e o valor a ser considerado é “-4”.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

160

Os valores para diversos intervalos entre falhas para diversos componentes estão,
por sua vez, representados na tabela 11.2.
Segue-se na figura 11.3 um modelo de planilha para registro da FMEA,
preenchido. Os valores de gravidade estão representados na coluna R, os valores de
probabilidade na coluna P (valor derivado do intervalo médio entre falhas MTBF e da
duração permitida para o evento (no caso de eventos iniciadores, esta coluna está
assinalada com “*”)). A criticidade (nível do risco) é a soma R + P: valores iguais ou
maiores que –3 (ou seja, -3, -2, -1, 0, 1 e assim por diante) são considerados
significativos e requerem ações.

Tabela 11.2. Taxas de Falha e Dados de Inspeção de Componentes.

Intervalo Entre Probabilidade de Frequência de


Descrição do Componente
Falhas (anos) Falha Inspeção

Válvula de controle operada a ar


comprimido
Vazamento externo 350
Falha aberta 65
Falha fechada 65
Emperramento 10
Válvula manual
Emperramento 50 Anual
Vazamento 5000
Falha aberta ou fechada 5000
Válvula de operação remota 1000
Bomba
Vazamento na gaxeta 100
Falha 40
Falha do rolamento 20
Falha na parada (dispara) 100
Motor
Superaquecimento 120
Boia do controlador de nível
Boia perde estanqueidade 25
Falha no sinal 100
Emperramento 2
Controlador de temperatura
Trava 5
Falha no sinal de saída 30
Transmissor de temperatura
Trava 5
Falha no sinal de saída 20

Falha do regulador 40 Anual

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis – FMEA)

161

Falha no cabo de aterramento


Permanente 1000 Trimestral
Temporária 1/1000
Respiro
Entope 100 Anual
Falha aberto 50 Anual
Perda da tela 1/100 Anual
Tanque
Vazamento 1000
Ruptura 100000
Leitura do indicador de nível
Baixa 20
Tambor
Vazamento 1/100000
Erro do operador
Sem stress 3/1000
Sob stress severo 1/10

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

162

Unidade: São Paulo Área: Reação Data: 13/6/05


Equipe: Ronald G., Dercy G., Chico A. Análise Crítica: Charles C. Folha: 1/10

Probabilidade da
Efeitos Sobre
Falha Criti- Detecção e
No. Componente Falha R P Recomendações
Outros Todo o MTBF Duração cidade proteção
componentes sistema (anos) (horas)
TA1 Procedimento deve prever
Perda do
Válvula de Falha Ruptura do TC1 que operador seja sempre
TV1 resfriamento do 2 65 * 6 -4
controle fechada vaso By-pass mantido na sala de
vaso
RV1 controle
Resfriamento do
Falha aberta Reação lenta 0
vaso
Procedimento deve prever
Temperatura
Trava aberta Sem controle que operador seja sempre
Nenhum 1 10 12 4 -3 cai
parcial da reação mantido na sala de
Manutenção
controle
TV1
Perda da Prever uma segunda fonte
Válvula de by- Trava Ruptura do RV1
H1 proteção 2 50 4000 2 0 de água para resfriamento
pass manual fechada vaso Inspeção
alternativa do vaso
anual
Falha do
Controle de
TC1 sinal de TV1 abre Reação lenta 0
temperatura
saída (-)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

163

TA1 Criar procedimento para


Falha do
Ruptura do TC1 parada
sinal de TV1 fecha 2 30 * -6 -4
vaso By-pass Procedimento de
saída (+)
RV1 introdução de produto
Sem controle Temperatura
Trava TV1 sem controle 1 5 12 4 -3
para + Manutenção
Sinal de
Falha no temperatura TC1 Prever segurança
Transmissor de Ruptura do
TT1 sinal de baixa (falso) 2 20 * 5 -3 By-pass adicional independente
temperatura vaso
saída (-) TV1 fecha RV1 (parada do processo)
Perda do alarme
Falha no
TV1 abre
sinal de Reação lenta 0
Alarme soa
saída (+)
Temperatura
Sem controle
Trava TV1 sem controle 1 5 12 4 -3 cai
para +
Manutenção
Figura 11.3. Planilha da FMEA.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

164

11.4. EXERCÍCIO
Preencha a planilha da FMEA para o caso do reator sob resfriamento.

Unidade: São Paulo Área: Reação Data: 13/6/05


Equipe: Ronald G., Dercy G., Chico A. Análise Crítica: Charles C. Folha: 2/10

Efeitos Sobre Probabilidade da Falha


Criti- Detecção e
o. Componente Falha Outros Todo o R
MTBF Duração P Recomendações
cidade proteção
componentes sistema (anos) (horas)
Perda de Procedimento deve prever que
Contaminação, Pressão cai
P1 Reator Vazamento produção, risco 7 -5 operador seja sempre mantido
risco de explosão 21000 * Manutenção
de explosão na sala de controle

Danos materiais e Ruptura do Inspeção


P1 Reator Ruptura -7 <-5 Manutenção preventiva
pessoais vaso 100000
2 * anual

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

165

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

166

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

167

Quadro 11.1

Objetivos da FMEA:

• Identificar falhas;

• Hierarquizar falhas;

• Identificar as FMC (Falhas de Modo Comum): as que têm efeitos


múltiplos sobre outros componentes e sobre o sistema;

• Avaliar adequações e corrigir as proteções existentes;

• Identificar cenários passíveis de AAF;

• Reunir informações organizadas (documentação).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 11. Análise de Modos de Falha e Efeitos (Failure Mode and Effect Analysis - FMEA).

168

11.5. TESTES

1. Causa imediata ou condição para o efeito; deve ser impedido imediatamente:


a) Falha.
b) Modo de falha.
c) Evento iniciador.
d) Evento habilitador.

2. Causa condicional ou contingencial que permite a condição propícia ao risco; pode-


se conviver com o mesmo por algum tempo:
a) Falha.
b) Modo de falha.
c) Evento iniciador.
d) Evento habilitador.

3. Um acidente que pode causar uma perda de 500 mil dólares, pelo critério da
apostila, é de gravidade:
a) Seguro.
b) Marginal.
c) Inseguro.
d) Muito inseguro.

4. O sinal de saída de um transmissor de temperatura falha, pelos dados da apostila,


é em média a cada:
a) 1 ano.
b) 5 anos.
c) 10 anos.
d) 20 anos.
e) 65 anos.

5. No caso da planilha da FMEA apresentada, mas que não é necessariamente o


critério para outras planilhas, o risco é calculado por:
a) Probabilidade multiplicada pela gravidade.
b) Probabilidade somada à gravidade.
c) Não se avalia a probabilidade, apenas a gravidade do risco.
d) Não se avalia a gravidade, apenas a probabilidade do risco.
e) Probabilidade subtraída da gravidade.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

169

CAPÍTULO 12. GERENCIAMENTO DE RISCOS QUANTITATIVO.

OBJETIVOS DO ESTUDO

Introduzir as questões relacionadas com o gerenciamento do risco quantitativo, do


risco individual e social e da análise de consequências.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

170

12.1. APERFEIÇOAMENTO DA ANÁLISE DE RISCOS


De um modo geral uma análise de riscos pode de cara consumir muitas horas de
trabalho e envolver muitas pessoas. Portanto, é importante considerar quando da sua
realização qual o seu objetivo e em que profundidade deve ser realizada.
Um dos principais objetivos de uma análise de riscos é: “conhecer o processo”.
Nem sempre é óbvio saber como as coisas funcionam ou o que faz com que elas
acabem dando errado.
A definição cuidadosa dos componentes ou elementos envolvidos num processo ou
atividade e a identificação de suas relações entre si ajudará a que eventos, sistemas e
equipamentos sejam percebidos de uma maneira diferente, permitindo novas visões sobre
as complexidades desses processos ou atividades.
A análise de riscos permitirá, então, descobrir e observar as intrincadas relações
existentes entre seres humanos e o mundo em sua volta. Essa necessidade de
compreensão dos processos é que permite a sua melhoria.
Um outro objetivo da análise de riscos é servir de ferramenta para uma tomada de
decisões para a seleção correta de uma ação ou de um curso de ações. Permite uma
melhor alocação de recursos financeiros e humanos, para que as ações sejam realizadas
dentro dos prazos previstos.
O dilema de uma análise está na extensão suficiente de sua realização para uma
tomada de decisões com confiabilidade e determinada certeza. Na área de segurança ela
deve permitir aos líderes responder à pergunta: “Quão seguro é seguro suficiente?“. A
resposta a essa questão depende, como já mostrado anteriormente, em reconhecer que
cada ser humano e a sociedade estabelece o nível de segurança e saúde que considera
aceitável.
Existirá sempre um nível de incerteza entre o que seria aceitável e o que seria
considerado extremamente perigoso.

12.2. METODOLOGIA DE UMA ANÁLISE DE RISCOS


As atividades para realização de uma análise de riscos devem, portanto, seguir uma
metodologia apropriada, que tem como objetivo caracterizar os riscos relacionados com
a instalação, produtos e processos envolvidos (nas condições normais e anormais),
analisar suas causas, probabilidades de ocorrência, gravidade das consequências e
propor soluções que visam manter um nível de segurança aceitável.
Esta metodologia deve ter um enfoque analítico e se basear numa equipe
multidisciplinar. Geralmente, esta metodologia se divide em três etapas: “fotografia”;
análise e estudo.

Fotografia
É a etapa que permite o recenseamento dos perigos / riscos. Inicia-se com um
levantamento dos acidentes e incidentes já ocorridos, a obtenção de características dos
produtos (propriedades física e químicas; estabilidade; explosividade; agressividade;
toxicidade; etc.), condições operacionais (processo contínuo, descontínuo ou
semicontínuo; temperatura; pressão; quantidade de reativos; vazões; etc.), tipos de

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

171

materiais utilizados, fábrica (implantação; densidade populacional; condições climáticas;


rejeitos; agressões externas; planos de emergência; etc.).

Análise
Utilizando-se as técnicas de identificação de perigos e de análise de riscos descritas
anteriormente procura-se estabelecer, de maneira qualitativa (usando-se experiência e a
aplicação das regras da arte) ou quantitativa (através de uma estimativa probabilística da
ocorrência do evento e determinística de suas consequências) identificar perigos e avaliar
riscos.

Estudo
Nesta etapa procura-se definir os meios a serem colocados em prática para gerenciar
os riscos ou minimizá-los a um nível compatível com os objetivos fixados, ou seja, obter-
se uma segurança e uma proteção do meio ambiente aceitável.
Os meios para tanto podem ser técnicos (concepção, operação), humanos
(capacidade do pessoal em controlar situações normais e anormais) e / ou
organizacionais (procedimentos).
Quando não for possível atender os objetivos com os meios existentes, deve-se
colocar em prática ações de prevenção e proteção.
Prevenção significa evitar o risco ou limitar a sua probabilidade de ocorrência, como
por exemplo: inertagem, aterramento elétrico, sistemas de esvaziamento rápido,
manutenção, inspeção, formação, etc.
Proteção significa minimizar a gravidade das consequências, através de ações, como
por exemplo os sistemas à prova de explosão; discos de ruptura; diminuição do
combustível ou do comburente, da alimentação ou do nível de energia; rede de combate a
incêndios; supressão de explosões; meios de intervenção; bacias de contenção de
vazamentos; sistemas de coleta e tratamento de gases e vapores; etc..
Como já citado anteriormente, risco, como uma medida da probabilidade e
severidade de efeitos adversos, é um conceito de difícil compreensão, devido à incerteza
da medida da probabilidade.

As Figuras 12.1 e 12.2, a seguir mostram a descrição de um estudo de análise de


riscos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

172

Figura 12.1. O processo de análise de riscos simplificado.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

173

Figura 12.2 O processo de análise de riscos.

As seguintes etapas são normalmente seguidas:


Definição do sistema ou instalações – atividade ou processo - a serem estudados;
• Identificação das substâncias perigosas;
• Obtenção de dados e propriedades de tais substâncias;
• Identificação dos possíveis perigos;
• Identificação dos modos operatórios que resultem em falhas;
• Quantificação das probabilidades de ocorrência das falhas selecionadas;
• Descrição dos possíveis efeitos das falhas.
Identificados os perigos da atividade ou processo em estudo, deve-se quantificar as
falhas e os efeitos para a análise dos riscos e decisão se estes são aceitáveis ou não.
O risco decorrente de um perigo identificado deve ser determinado estimando-se a
gravidade potencial do dano e a probabilidade de que o dano ocorra, assumindo que os
controles existentes ou planejados estão funcionando.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

174

Para tanto, deve-se estabelecer claramente um critério, conforme mostrado a seguir.


Assim, por exemplo, caso a técnica de identificação de perigos utilizada tenha sido a
APP, todos os perigos classificados em categorias de severidade III e IV deverão ser
contemplados na lista de cenários acidentais a serem estudados nas etapas posteriores
do estudo. Já, na aplicação de outras técnicas, como HAZOP, FMEA e “What If”, entre
outras, o grupo responsável pelo estudo deve deixar claro o critério utilizado.
A estimativa de danos de uma instalação industrial complexa é muito difícil,
utilizando-se para tanto, no caso de comparação de riscos diferentes, avaliações
quantitativas.
Os objetivos dessas avaliações são auxiliar as organizações em priorizar as
atividades, produtos ou serviços, que possam criar danos e criar cenários para as situações
de emergência.
Os métodos de estimativa levam em consideração a probabilidade de ocorrência de
cada tipo de acidente, permitindo, assim, descrever os riscos não somente como “grande”
ou “pequeno”, mas quantificados numericamente.
Na priorização deve-se levar em consideração a criação de uma matriz de Riscos.
Na realidade por uma ausência de critérios (da parte do governo ou de padrões industriais)
as organizações acabam preparando uma matriz a partir de um sistema de valores – por
exemplo, a sua Política de Segurança - sendo ainda, portanto, um método subjetivo.

Figura 12.3. Matriz de Riscos.

O método para estimativa dessa matriz de riscos envolve confiança em dados


históricos, e estes devem ser conhecidos por duas razões:
a) Há a possibilidade de que novas operações e procedimentos possam
criar novas situações que possam causar novos danos?
b) Lições tiradas de incidentes do passado são aprendidas para que estes
não ocorram novamente?

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

175

12.3. RISCO INDIVIDUAL E RISCO SOCIAL


Quando, portanto, se pretende avaliar os riscos ao ser humano, de uma atividade ou
de um processo, deve-se levar em consideração que esta avaliação depende de uma série
de variáveis, cujo resultado pode apresentar um nível razoável de incerteza, principalmente
em função da escassez de informações neste campo.
A análise comparativa de riscos, para construir uma matriz de riscos, requer o
estabelecimento de níveis de risco (limites), a serem utilizados como referências que
permitam comparar situações muitas vezes diferenciadas.
O estabelecimento desses níveis envolve a discussão da tolerabilidade dos riscos, a
qual depende de um julgamento por vezes subjetivo e pessoal, envolvendo temas
complexos, como já descrito anteriormente, a percepção dos riscos, que varia
consideravelmente de indivíduo para indivíduo.
Apesar dessas dificuldades, a definição de critérios de tolerabilidade de riscos é
importante na medida em que há a necessidade de se avaliar os empreendimentos com
potencial para causar danos à população, decorrentes de incidentes envolvendo produtos
perigosos.
Assim, independentemente dessas limitações existentes, alguns países (Reino
Unido, Holanda, Hong Kong, Austrália, Estados Unidos e Suíça), estabeleceram critérios
de tolerabilidade para os riscos social e individual.
Define-se risco social como sendo o risco para um determinado número ou
agrupamento de pessoas e
xpostas aos danos decorrentes de um ou mais cenários acidentais.
O risco individual pode ser definido como o risco para uma pessoa presente na
vizinhança de um perigo, considerando a natureza da injúria que pode ocorrer e o período
de tempo em que o dano pode acontecer.
Na prática, o risco individual refere-se a um indivíduo presente no local determinado,
nas proximidades de uma zona industrial, 24 horas por dia.
Na Holanda, têm-se os seguintes valores:
- O nível máximo aceitável (permissível) é definido como 10-6/ano;
- O nível insignificante (negligenciável) é definido como 10-8/ano.
Deve-se ressaltar que 10-6/ano significa que a probabilidade anual de ocorrer uma
fatalidade é de 1 em 1 milhão; já 10-8/ano significa que a probabilidade anual de como
ocorrer uma fatalidade é de 1 em 100 milhões. Entre esses dois limites deve ser reduzido.
O governo britânico utiliza os seguintes valores para o risco individual:
- Limite máximo tolerável (ocupacional) para trabalhadores como 10-3/ano;
- Limite máximo tolerável para um indivíduo do público exposto ao risco como 10-
4
/ano;
- Limite aceitável (insignificante) como de 10-6 a 10-7/ano.
Entre os dois níveis - 10-3/ano, 10-4/ano e 10-6 a 10-7/ano – os riscos devem ser
reduzidos tanto quanto possível, através do principio ALARP.
As Figuras 12.4 e 12.5, a seguir, apresentam exemplos de curvas F-N adotadas como
critérios para a avaliação do risco social.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

176

Figura 12.4. O triângulo do quanto mais baixo razoavelmente praticável (ALARP -


usado na Inglaterra).

Figura 12.5. Curva F-N de tolerabilidade para risco social.

Os riscos situados na região entre as curvas limites dos riscos intoleráveis e


negligenciáveis, conforme Figura 12.5, denominada ALARP (As Low As Reasonably
Praticable), embora situados abaixo da região de intolerabilidade, devem ser reduzidos
tanto quanto praticável.
Para o risco individual foram estabelecidos os seguintes limites:
• Risco máximo tolerável: 1 x 10-5 ano-1;
• Risco negligenciável: 1 x 10-6 ano-1.
Nos estudos de análise de riscos em dutos, os riscos deverão ser avaliados somente
a partir do risco individual, de acordo com os seguintes critérios:
• Risco máximo tolerável; 1 x 10-4 ano-1;
• Risco negligenciável: 1 x 10-5 ano-1.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

177

O conceito da região denominada ALARP (As Low As Reasonably Praticable)


também se aplica na avaliação do risco individual; assim, os valores de riscos situados na
região entre os limites: tolerável e negligenciável, também deverão ser reduzidos tanto
quanto praticáveis.
O Risco Social, na sua forma mais simples, pode ser comparado ao número de
mortes ou feridos num ano, numa determinada área ou numa comunidade em particular.
Além disso, pode incluir estimativas de desagregação social tais como: o número de
pessoas que devem deixar as suas moradias; e as perdas econômicas, devido à destruição
de propriedades e paradas de produção.
A forma de apresentação do risco social geralmente é feita através de um gráfico de
frequência e número de vítimas, obtido por meio da representação dos dados de frequência
acumulada do evento final e seus respectivos efeitos representados em termos de número
de vítimas fatais.
Como forma de expressão, tem-se:

Risco Social = f[ f(i), C(i,j)]

Onde:
R = risco (mortes/ano);
f(i) = frequências de ocorrência do evento acidental (ano-1);
C(i,j) = consequências geradas pelo evento i (mortes).

A estimativa do risco social num estudo de análise de riscos requer as seguintes


informações:
- Tipo de população (residências, estabelecimentos comerciais, indústrias, áreas
rurais, escolas, hospitais, etc);
- Efeitos em diferentes períodos (diurno e noturno) e respectivas condições
meteorológicas, para o adequado dimensionamento do número de pessoas expostas;
- Características das edificações onde as pessoas se encontram, de forma que
possam ser levadas em consideração eventuais proteções.

Diferentes distribuições ou características das pessoas expostas podem ser


consideradas na estimativa dos riscos por intermédio de simplificações, por exemplo,
através do uso de dados médios de distribuição populacional.
No entanto, deve-se estar atento quanto ao emprego dessas generalizações, as
quais podem induzir a erros significativos na estimativa dos riscos, razão pela qual esses
procedimentos devem ser tratados com a devida cautela.
Ressalta-se que os dados oriundos de censos de densidade demográfica em áreas
urbanas não devem ser utilizados para a estimativa da população exposta numa
determinada área.
Para cada tipologia acidental deverá ser estimado o número provável de vítimas
fatais, de acordo com as probabilidades de fatalidades associadas aos efeitos físicos e em
função das pessoas expostas nas oito direções de vento, considerando-se em cada uma

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

178

destas direções as duas velocidades médias de vento, correspondentes aos períodos


diurno e noturno.
A estimativa do número de vítimas fatais pode ser realizada, considerando-se
probabilidades médias de morte, conforme segue:
• Probabilidade de 75% para as pessoas expostas entre a fonte do vazamento
e a curva de probabilidade de fatalidade de 50%;
• Probabilidade de 25% para as pessoas expostas entres a curva com
probabilidades de fatalidade de 50% e 1%.

A Figura 12.6, a seguir, facilita a compreensão do acima exposto.

Figura 12.6. Estimativa do número de vítimas para o cálculo do risco social.

Dessa maneira, o número de vítimas fatais para cada um dos eventos finais poderá
ser estimado, conforme segue:

Nik = Nek1 . 0,75 + Nek2 . 0,25

Em que:
Nik = número de fatalidades resultante do evento final i;
Nek1 = número de pessoas presentes e expostas no quadrante k até a distância
delimitada pela curva correspondente à probabilidade de fatalidade de 50%;
Nek2 = número de pessoas presentes e expostas no quadrante k até a distância
delimitada pela curva correspondente à probabilidade de fatalidade de 1%.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

179

Para o caso de flashfire, o número de pessoas expostas é o correspondente a 100%


do número das pessoas presentes sobre a nuvem até o limite da curva correspondente ao
Limite Inferior de Inflamabilidade (LII); assim tem-se:

Nik = Nek a

Em que:
Nik = número de fatalidades resultante do evento final i;
Nek = número de pessoas presentes no quadrante k até a distância delimitada pela
curva correspondente ao LII.
Para cada um dos eventos considerados no estudo deve ser estimada a frequência
final de ocorrência, considerando-se as probabilidades correspondentes a cada caso, como
por exemplo, incidência do vento no quadrante, probabilidade de ignição e fator de
proteção, entre outras; assim, tomando como o exemplo a liberação de uma substância
inflamável, a frequência de ocorrência do evento final i poderá ser calculada da seguinte
forma:

Fi = fi . pp . pk . pi

Em que:
Fi = frequência de ocorrência do evento final i;
fi = frequência de ocorrência do evento i;
pp = probabilidade correspondente ao fator de proteção;
pk = probabilidade do vento soprar no quadrante k;
pi = probabilidade de ignição.
O número de pessoas afetadas por todos os eventos finais deve ser determinado,
resultando numa lista do número de fatalidades, com as respectivas frequências de
ocorrência. Esses dados devem então ser trabalhados em termos de frequência
acumulada, possibilitando assim que o gráfico F-N seja construído. Dessa maneira obtém-
se:

FN =  Fi
para todos os efeitos decorrentes do evento final i para os quais Ni  N

Em que:
FN = frequência de ocorrência de todos os efeitos dos eventos finais que afetam N ou
mais pessoas;
Fi = frequência de ocorrência de todos os efeitos causados pelo evento final i;
Ni = número de pessoas afetadas pelos efeitos decorrentes do evento final i.

Risco individual
Risco Individual = (Risco Social) / (Número de pessoas expostas)
= (mortes/ano) / (Número de pessoas expostas).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

180

Os danos às pessoas podem ser expressos de diversas formas, embora as injúrias


sejam mais difíceis de serem avaliadas, em função da indisponibilidade de dados
estatísticos para serem utilizados em critérios comparativos de riscos. Dessa maneira, o
risco deverá ser estimado em termos de danos irreversíveis ou fatalidades.
O risco individual pode ser estimado para um indivíduo mais exposto a um perigo,
para um grupo de pessoas ou para uma média de indivíduos presentes na zona de efeito.
Para um ou mais acidentes o risco individual tem diferentes valores.
A apresentação do risco individual deverá ser feita através de curvas de iso-risco
(contornos de risco individual), uma vez que estas possibilitam visualizar a distribuição
geográfica do risco em diferentes regiões. Assim, o contorno de um determinado nível de
risco individual deverá representar a frequência esperada de um evento capaz de causar
um dano num local específico.
Para o cálculo do risco individual num determinado ponto da vizinhança de uma
planta industrial, pode-se assumir que as contribuições de todos os eventos possíveis são
somadas. Dessa forma, o risco individual total num determinado ponto pode ser calculado
pela somatória de todos os riscos individuais nesse ponto, conforme apresentado a seguir:

n
RI x , y   RI x , y,i
i 1

Em que:
RIx,y = risco individual total de fatalidade no ponto x,y;
(chance de fatalidade por ano (ano-1))
RIx,y,i = risco de fatalidade no ponto x,y devido ao evento i;
(chance de fatalidade por ano (ano-1))
n = número total de eventos considerados na análise.
Os dados de entrada na equação anterior são calculados a partir da equação que
segue:

RI x,y,i  f i .p fi
Em que:
RIx,y,i = risco de fatalidade no ponto x,y devido ao evento i;
(chance de fatalidade por ano (ano-1))
fi = frequência de ocorrência do evento i;
pfi = probabilidade que o evento i resulte em fatalidade no ponto x,y, de
acordo com os efeitos resultantes das consequências esperadas.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

181

12.4. ANÁLISE DE CONSEQÜÊNCIAS


Nesta área de estudo procura-se pesquisar, quando da ocorrência de perda de
contenção de um produto perigoso e/ou tóxico, as consequências de um incêndio, explosão
ou liberação de um produto tóxico.
Os chamados riscos maiores citados anteriormente ou identificados e analisados
pelas técnicas de identificação representam a grande preocupação da indústria e do
público justamente por causa da magnitude de suas consequências. Geralmente, estão
associados a possibilidade de explosões, incêndios e dispersão de substâncias tóxicas.
Explosões constituem-se no processo onde ocorre uma repentina liberação de
material (geralmente constituída de gases quentes) de um dado ponto. Existem dois tipos
de explosões, dependendo das causas de liberação: resultantes de processos físicos, e
resultantes de reações químicas.
As explosões caracterizam-se pela produção de ondas de choque que podem causar
danos às instalações e pela emissão de mísseis em longas distâncias. Seres humanos nas
vizinhanças de uma explosão podem ser mortas ou feridas pela sobrepressão, mas o
estudo de explosões industriais mostra que a maior parte de ferimentos e mortes é causada
pelo colapso de prédios ou por materiais arremessados.
Incêndios são a liberação de energia durante a oxidação de um “combustível”, sendo
a maior parte da energia na forma de calor. Ocorrem mais frequentemente na indústria,
sendo de vários tipos: jatos; poças; “flash”; e explosões de vapor pela expansão de líquidos
em ebulição (BLEVE).
Uma liberação tóxica é a liberação sem controle de uma substância que é perigosa
ou venenosa à propriedade ou ao meio ambiente.
Existem grandes quantidades de substâncias que possuem tais riscos. Uma vez
liberadas, podem ser transportadas pelo meio receptor (ar, água, solo, etc.) a grandes
distâncias.
Geralmente, os incêndios constituem-se como responsáveis pelo maior número de
perdas (principalmente econômicas), entretanto em função do pequeno alcance de seus
efeitos (geralmente confinados aos limites da planta) não resultam normalmente em
grandes riscos ao público.
Por sua vez, os efeitos de explosões têm grandes impactos sobre o público além de
um grande potencial de destruição das instalações.
Já as liberações de produtos tóxicos, após os incidentes de Seveso, EXXON-
VALDEZ e Bhopal, constituem-se, atualmente, no fator de maior risco para o público,
trazendo como consequência maiores preocupações para as empresas.
A partir dos estudos de identificação de perigos e de avaliação de riscos, pesquisa-
se os possíveis eventos causadores de incidentes, criando-se cenários que procuram
visualizar como ocorreria o fenômeno (incêndio, explosão, liberação de produto tóxico).
Com o uso de modelos é possível, então, avaliar as possíveis consequências, bem
como os efeitos de exposição e as distâncias de um “observador” do local.
A CETESB, por exemplo, no seu MANUAL DE ORIENTAÇÃO PARA A
ELABORAÇÃO DE ESTUDOS DE ANÁLISE DE RISCOS, indica que os riscos a serem
avaliados devem contemplar o levantamento de possíveis vítimas fatais, bem como os
danos à saúde da comunidade existente nas circunvizinhanças do empreendimento.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

182

Para tanto, indica uma série de etapas a serem cumpridas e descritas parcialmente,
a seguir.
Quando se realiza a estimativa dos efeitos físicos decorrentes de cenários acidentais
envolvendo substâncias inflamáveis e/ou tóxicas, por exemplo, esta estimativa deve ser
precedida da elaboração de uma Árvore de Eventos para a definição das diferentes
tipologias acidentais.
A Análise de Árvores de Eventos (AAE) é uma técnica indutiva utilizada para avaliar
as sequências acidentais (vazamentos, incêndios e/ou explosões) de um evento
denominado evento inicial, que pode ser gerado de uma falha específica, de um
equipamento ou de seu controle, ou mesmo devido a erros operacionais identificada no
estudo de identificação de perigos, utilizando-se a descrição das causas. A partir destas é
possível prever situações de sucesso ou falha, de acordo com as interferências existentes,
até a conclusão das mesmas com a definição das diferentes tipologias acidentais.
As interferências a serem consideradas devem contemplar ações, situações ou
mesmo equipamentos existentes ou previstos no sistema em análise, as quais se
relacionam com o evento inicial da árvore e que possam acarretar diferentes “caminhos”
para o desenvolvimento da ocorrência, gerando, portanto, diferentes tipos de fenômenos.
Para o desenvolvimento de uma Árvore de Eventos, torna-se necessário desenvolver
quatro estágios:
a) Identificação do evento inicial;
b) Identificação das interferências;
c) Construção da árvore;
d) Descrição das consequências.

Os resultados fornecidos pela árvore de eventos são, em geral, qualitativos,


podendo, no entanto, caso os dados probabilísticos estejam disponíveis. A quantificação
da árvore é útil para a determinação das frequências de ocorrência das consequências.
Deve-se ressaltar que, como em cada ramificação da árvore só existem duas
possibilidades, sucesso ou falha, as probabilidades de cada ramo são sempre
complementares, isto é, somam 1,0 (100%).
Em geral, as árvores de eventos conduzem a caminhos bastante precisos entre o
evento inicial e os eventos finais, analisando as diferentes interferências ou contribuições
existentes ao longo dos diferentes percursos.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

183

Figura 12.7. Exemplo de árvore de eventos.

A estimativa dos efeitos físicos deverá ser então realizada através da aplicação de
modelos matemáticos que efetivamente representem os fenômenos em estudo, de acordo
com os cenários acidentais identificados e com as características e comportamento das
substâncias envolvidas.
Os modelos de simulação utilizados permitem simular a ocorrência de liberações de
substâncias inflamáveis e tóxicas, de acordo com as diferentes tipologias acidentais.
Para uma correta interpretação dos resultados, esses modelos requerem uma série
de informações que devem estar claramente definidas, como:
• Tipo de vazamento (líquido, gasoso ou bifásico);
• Duração do vazamento (contínuo ou instantâneo);
• Quantidade de produto envolvida;
• Condições climatológicas da região;
• Características do produto envolvido;
• Condições de transporte, processo ou armazenamento.
Nos estudos de análise de riscos devem, também, ser utilizados dados
meteorológicos reais do local em estudo, quando estes estiverem disponíveis, devendo-se
considerar, no mínimo, os dados dos últimos três anos, considerando:
• Temperatura ambiente, velocidade do vento e umidade relativa do ar: adotar
a média para os períodos diurno e noturno;
• Categoria de estabilidade atmosférica (Pasquill): adotar aquelas compatíveis
com as velocidades de vento para os períodos diurno e noturno, de acordo
com a Tabela 12.1;
• Direção do vento.
A temperatura do solo deverá ser considerada como sendo de 5°C acima da
temperatura ambiente.
Quando as informações meteorológicas reais não estiverem disponíveis, podem ser
adotados os seguintes dados:

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

184

Período diurno:
• Temperatura ambiente: 25°C;
• Velocidade do vento: 3,0 m/s;
• Categoria de estabilidade atmosférica: C;
• Umidade relativa do ar: 80 %;
• Direção do vento: considerar a distribuição uniforme (12,5 %) em oito
direções.
Período noturno:
• Temperatura ambiente: 20°C;
• Velocidade do vento: 2,0 m/s;
• Categoria de estabilidade atmosférica: E;
• Umidade relativa do ar: 80 %;
• Direção do vento: considerar a distribuição uniforme (12,5 %) em oito
direções.

Outro parâmetro importante é o relacionado com a topografia de uma região, que é


denominado rugosidade da superfície do solo, o qual considera a presença de obstáculos,
tais como aqueles encontrados em áreas urbanas, industriais ou rurais.

Tabela 12.1. Categorias de estabilidade em função das condições atmosféricas. (*)

Período diurno Período noturno


Velocidade do vento Insolação Nebulosidade
(V) a10 m (m/s)
Parcialmente
Forte Moderada Fraca Encoberto
encoberto

V2 A A–B B F F
2<V3 A–B B C E F
3<V5 B B–C C D E
5<V6 C C–D D D D
V>6 C D D D D
(*) Adaptado de Gifford, 1976.
A – extremamente instável; B – moderadamente instável; C – levemente instável;
D – neutra; E – levemente estável; F – moderadamente estável.
Os valores típicos de rugosidade para diferentes superfícies que deverão ser
adotados são:
• Superfície marítima: 0,06;
• Área plana com poucas árvores: 0,07;
• Área rural aberta: 0,09;
• Área pouco ocupada: 0,11;
• Área de floresta ou industrial: 0,17;

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

185

• Área urbana: 0,33.


Nos casos de vazamentos deve-se considerar um tempo mínimo de detecção e
intervenção de dez minutos.
Nos reservatórios onde existam bacias de contenção, a área da poça deverá ser
aquela equivalente à área delimitada pelo dique, desde que a quantidade de substância
envolvida no vazamento seja suficiente para ocupar toda essa área.
Para os reservatórios sem bacia de contenção, a área de espalhamento da
substância deverá ser estimada considerando-se uma altura de 3 (três) cm.
Para a estimativa da massa de vapor existente no interior de um recipiente deve-se
considerar a fase vapor correspondente a, no mínimo, 50 % do volume útil do recipiente.
Caso o modelo utilizado para cálculo da sobrepressão proveniente de uma explosão
requeira o rendimento da mesma, esse valor não deverá ser inferior a 10%, quando a
massa considerada no cálculo da explosão for aquela dentro dos limites de inflamabilidade.
Para as substâncias altamente reativas, tais como o acetileno e óxido de eteno, deve
ser utilizado rendimento não inferior a 20 %.
Para substâncias inflamáveis o valor de referência a ser utilizado no estudo de
dispersão deve ser a concentração correspondente ao Limite Inferior de Inflamabilidade
(LII).
Para incêndios tipo flashfire deve-se considerar que, na área ocupada pela nuvem
de vapor inflamável (delimitada pelo LII), o nível de radiação térmica corresponderá a uma
probabilidade de 100 % de fatalidade.
Para os casos de incêndios (jato, poça e fireball), os níveis de radiação térmica a
serem adotados devem ser de 12,5 kW/m2 e 37,5 kW/m2, os quais representam,
respectivamente, uma probabilidade de 1 % e de 50 % de fatalidade da população afetada,
para tempos de exposição de 30 e 20 segundos.
Para os casos de sobre pressões decorrentes de explosões (Nuvens de Vapor
Confinado - CVE, Nuvens de Vapor Não Confinado - UCVE e BLEVE), devem ser adotados
os valores de 0,1 e 0,3 bar. O primeiro valor representa danos reparáveis às estruturas
(paredes, portas, telhados) e, portanto, riscos à vida, correspondendo à probabilidade de
1 % de fatalidade das pessoas expostas. O valor de 0,3 bar representa a sobre pressão
que provoca danos graves às estruturas (prédios e equipamentos) e, portanto, representa
risco à vida, correspondendo à probabilidade de 50 % de fatalidade.
Para as substâncias tóxicas cuja função matemática do tipo PROBIT esteja
desenvolvida, deverão ser adotados como valores de referência às concentrações tóxicas
que correspondem às probabilidades de 1 % e 50 % de fatalidade para um tempo de
exposição de pelo menos 10 (dez) minutos nos casos de liberações contínuas.
Para as liberações instantâneas, caso esse tempo seja inferior, a concentração de
referência deverá ser calculada mantendo-se as probabilidades de 1 % e 50 % de
fatalidade para o tempo de passagem da nuvem.
Para cada cenário acidental estudado as distâncias a serem apresentadas devem
sempre ser consideradas a partir do ponto onde ocorreu a liberação da substância.
Para os cenários acidentais envolvendo incêndios, as distâncias de interesse são
aquelas correspondentes aos níveis de radiação térmica de 12,5 kW/m2 e 37,5 kW/m2.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

186

No caso de flashfire a distância de interesse será aquela atingida pela nuvem de


concentração referente ao Limite Inferior de Inflamabilidade (LII). Ressalta-se que a área
de interesse do flashfire é aquela determinada pelo contorno da nuvem nessa
concentração.
Para o evento explosão não confinada de nuvem de vapor na atmosfera (UVCE), a
distância a ser considerada para os níveis de 0,1 bar e 0,3 bar de sobre pressão deverá
ser aquela fornecida pelo modelo de cálculo da explosão utilizado, acrescida da distância
equivalente ao ponto médio da nuvem inflamável.
Para o evento explosão confinada, a distância a ser considerada para os citados
níveis de sobre pressão, deverá ser aquela fornecida pelo modelo de cálculo utilizado,
medida a partir do centro do recipiente em questão.
Já, para os cenários envolvendo a dispersão de nuvens tóxicas na atmosfera, a
distância apresentada deverá ser aquela correspondente à concentração utilizada como
referência.
Nas instalações em que os efeitos físicos extrapolem os limites da empresa e possam
afetar pessoas, os riscos do empreendimento deverão ser calculados para tanto, devem
ser estimadas as frequências de ocorrência dos cenários acidentais identificados.
Em alguns estudos de análise de riscos as frequências de ocorrência dos cenários
acidentais podem ser estimadas através de registros históricos constantes de bancos de
dados ou de referências bibliográficas, desde que efetivamente tenham representatividade
para o caso em estudo.
No entanto, de acordo com a complexidade da instalação em análise, pode haver a
necessidade de ser utilizada a Análise de Árvores de Falhas (AAF) para a estimativa das
frequências.
Além dos aspectos acima mencionados, a estimativa das frequências de ocorrência
dos eventos iniciadores deve também considerar a aplicação de técnicas de confiabilidade
humana para a avaliação das probabilidades de erros humanos que possam contribuir para
a ocorrência dos cenários acidentais.
No caso de dutos, a estimativa das frequências de ocorrência de uma determinada
tipologia acidental (flashfire, UVCE, dispersão, etc), normalmente expressas em
ocorrências/km.ano, deve considerar as distâncias correspondentes às curvas de
probabilidade de 50% e 1% de fatalidade para os diversos trechos do duto, estabelecidos
a partir de condições operacionais médias (pressão, vazão, temperatura, etc).
Dessa forma, no cálculo da frequência deve ser levada em consideração a extensão
do trecho em questão, não devendo, portanto, ser adotada a extensão total do duto ou o
intervalo entre válvulas.
Em função da amplitude do incidente e conhecendo-se a densidade populacional da
área envolvida é possível avaliar o Risco Social.
Os cenários podem ser estudados conforme mostrado a seguir:
Cenário Máximo Fisicamente Possível - são os cenários catastróficos utilizados
para o dimensionamento dos Planos de Contingência, ou que são estudados a pedido dos
órgãos de governo, mas não correspondem a uma realidade industrial;
Cenário Máximo Historicamente Verdadeiro - tem como base os acidentes já
ocorridos, não levando em consideração as seguranças “ativas“ (diz-se de um dispositivo

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

187

concebido para assegurar a proteção de toda ou parte de uma instalação, concebida para
ser ativada manualmente ou automaticamente);
Cenário de Estudo de Risco - tem como base os estudos de segurança, e devem
levar em consideração as seguranças “ativas“ e “passivas“ (uma segurança passiva é um
dispositivo concebido para assegurar a proteção de toda ou parte de uma instalação, por
somente a sua presença, sem chegar a ser ativa).

Sendo o risco uma função que relaciona as frequências de ocorrências de cenários


acidentais e suas respectivas consequências, em termos de danos ao homem, pode-se,
com base nos resultados quantitativos obtidos nas etapas anteriores do estudo, estimar o
risco de um empreendimento.
Assim, nos estudos de análise de riscos nos casos em que cenários acidentais
possam extrapolar os limites do empreendimento e possam afetar pessoas, os riscos
deverão ser estimados e apresentados nas formas de Risco Social e Risco Individual.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

188

12.5. EXERCÍCIO
Reproduza aqui:

1. O triângulo do ALARP;

2. O esquema das consequências potenciais de um vazamento de gás inflamável.

O triângulo do ALARP

O esquema das consequências potenciais de um vazamento de gás inflamável.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

189

Quadro 12.1

Em função da amplitude do incidente e conhecendo-se a densidade populacional

da área envolvida é possível avaliar o Risco Social.

Os cenários podem ser estudados conforme mostrado a seguir:

Cenário Máximo Fisicamente Possível - são os cenários catastróficos


utilizados para o dimensionamento dos Planos de Contingência, ou que são
estudados a pedido dos órgãos de governo, mas não correspondem a uma
realidade industrial;

Cenário Máximo Historicamente Verdadeiro - tem como base os acidentes


já ocorridos, não levando em consideração as seguranças “ativas” (diz-se de um
dispositivo concebido para assegurar a proteção de toda ou parte de uma
instalação, concebida para ser ativada manualmente ou automaticamente);

Cenário de Estudo de Risco - tem como base os estudos de segurança, e


devem levar em consideração as seguranças “ativas” e “passivas” (uma
segurança passiva é um dispositivo concebido para assegurar a proteção de toda
ou parte de uma instalação, por somente a sua presença, sem chegar a ser ativa).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 12 - Gerenciamento de Riscos Quantitativo

190

12.6. TESTES

1. Risco para um determinado número ou agrupamento de pessoas expostas:


a) Risco intolerável.
b) Risco puro.
c) Risco individual.
d) Risco social.
e) Risco ambiental.

2. Risco para uma pessoa presente na vizinhança de um perigo:


a) Risco intolerável.
b) Risco puro.
c) Risco individual.
d) Risco social.
e) Risco ambiental.

3. O significado de ALARP é:
a) Risco de alarme.
b) Risco de alerta.
c) Risco tão baixo quanto razoavelmente praticável.
d) Risco abaixo do razoavelmente praticável.
e) Risco tão alto quanto razoavelmente praticável.

4. Nos cálculos de efeitos de vazamentos prevê-se um tempo típico para intervenção


de:
a) Imediato.
b) 1 minuto.
c) 10 minutos.
d) 20 minutos.
e) 2 horas.

5. Se não há dique de contenção, a área de espalhamento do líquido deve ser


estimada baseando-se numa espessura de:
a) 1mm.
b) 5mm.
c) 10mm.
d) 20mm.
e) 30mm.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

191

CAPÍTULO 13. GERENCIAMENTO DE RISCOS.

OBJETIVOS DO ESTUDO

Apresentar uma sistemática de gestão de riscos e introduzir as questões


relacionadas com outros aspectos de risco além daqueles relacionados à segurança e
saúde no trabalho, tais como o risco empresarial e o risco de produto.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

192

13.1. INTRODUÇÃO
Do ponto de vista da Segurança, o propósito de uma análise de riscos é a prevenção
de perdas. Ser capaz de comunicar e explicar ao tomador de decisões que existem perigos
e quais controles devem ser implementados para eliminá-los ou reduzi-los, é tão importante
quanto a habilidade de se falar em termos de administração sobre custos de perdas,
efetividade de controles e sobre os benefícios derivados da alocação de recursos.
Como o Gerenciamento de Riscos tem como objetivo manter os riscos abaixo de
valores tolerados, há a necessidade de criar-se uma estrutura, baseada na gestão tipo
PDCA.
Essa sua estrutura compreende, após a identificação de perigos e avaliação dos
riscos, a criação de instrumentos de sistema de gestão:
• Implementação de Políticas de Segurança;
• Estabelecimento de Objetivos e Metas e respectivos Indicadores de
Desempenho e consequente monitoramento;
• Implantação de Planos e Programas;
• Determinação de autoridades e responsabilidades;
• Criação de Plano de Emergência;
• Criação de sistema de inspeção e auditoria;
• Análise Crítica da Gestão.
As recomendações e medidas resultantes de um estudo de análise e avaliação de
riscos para a redução das frequências e consequências de eventuais acidentes devem ser
consideradas como partes integrantes do processo de gerenciamento de riscos.
Independentemente da adoção dessas medidas, uma instalação que possua
substâncias ou processos perigosos deve ser operada e mantida, ao longo de sua vida útil,
dentro de padrões considerados toleráveis.
Como Complementos do sistema de gestão deve-se, também, prever:
• Informações de segurança;
• Gerenciamento de modificações;
• Manutenção e garantia da integridade de sistemas críticos;
• Procedimentos operacionais;
• Capacitação de recursos humanos;
• Investigação de incidentes.
As informações de segurança geralmente relacionam-se com:

- substâncias químicas do processo: obtidas através do levantamento de


características das substâncias, inclusive intermediárias, para a completa avaliação e
definição dos cuidados a serem tomados, quando consideradas as características
perigosas relacionadas com inflamabilidade, reatividade, toxicidade e corrosividade, entre
outros riscos;

- tecnologia de processo: levantamentos de condições de processo através de


diagramas de blocos, fluxogramas de processo, balanços de materiais e de energia,
diagramas de tubulações e instrumentação, classificação de áreas, projetos de sistemas

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

193

de alívio e ventilação, sistemas de segurança, partidas e paradas, paradas de emergência


e intertravamentos;

- listas de equipamentos de processo: dados sobre os materiais de construção,


condições de projeto, códigos e normas de projeto;

- procedimentos operacionais;

Instalações industriais, processos e atividades estão permanentemente sujeitas a


modificações com o objetivo de melhorar a operacionalidade e a segurança, incorporar
novas tecnologias e aumentar a eficiência dos processos.
Dessa maneira torna-se necessário estabelecer procedimentos apropriados para
assegurar que os riscos decorrentes dessas alterações possam ser adequadamente
identificados, avaliados e gerenciados previamente à sua implementação.
Esses procedimentos devem considerar os seguintes aspectos:
• Análise das considerações de segurança e de meio ambiente envolvidas nas
modificações propostas, contemplando inclusive os estudos para a análise e
avaliação dos riscos impostos por estas modificações, bem como as
implicações nas instalações do processo à montante e à jusante das
instalações a serem modificadas;
• Aprovações pelos responsáveis;
• Necessidade de alterações em procedimentos e instruções operacionais, de
segurança e de manutenção;
• Treinamento sobre as mudanças propostas e suas implicações ao pessoal
envolvido.
Sistemas considerados críticos – de processamento, armazenamento, manuseio, de
monitoramento ou de segurança - conforme a identificação de perigos e análise de riscos,
devem ser projetados, construídos e instalados no sentido de minimizar os riscos às
pessoas e ao meio ambiente.
Um programa de manutenção e garantia da integridade desses sistemas deve ser
criado e implantado, com o objetivo de garantir o correto funcionamento dos mesmos, por
intermédio de mecanismos de manutenção preditiva, preventiva e corretiva.
Esse programa deve incluir o gerenciamento e o controle de todas as inspeções e o
acompanhamento das atividades associadas com os sistemas críticos para a operação,
segurança e controle ambiental, normalmente associado a um programa de gestão da
qualidade.
Os procedimentos para inspeção e teste dos sistemas críticos devem incluir, entre
outros, os seguintes itens:
• Lista dos sistemas e equipamentos críticos sujeitos a inspeções e testes;
• Procedimentos de testes e de inspeção em concordância com as normas
técnicas e códigos pertinentes;
• Documentação das inspeções e testes, a qual deverá ser mantida arquivada
durante a vida útil dos equipamentos;

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

194

• Procedimentos para a correção de operações deficientes ou que estejam fora


dos limites aceitáveis;
• Sistema de revisão e alterações nas inspeções e testes.

Toda e qualquer atividade e operação realizadas em instalações industriais devem


estar previstas em procedimentos claramente estabelecidos. Os seguintes aspectos
devem ser contemplados:
• Definição de responsabilidades;
• Descrição das condições necessárias para a realização de operações
seguras, considerando as informações de segurança;
• Condições operacionais em todas as etapas de processo, ou seja: partida;
operações normais; operações temporárias; paradas de emergência; paradas
normais e partidas após paradas, programadas ou não;
• Limites operacionais.
Os procedimentos operacionais devem ser revisados periodicamente, de modo que
representem as práticas operacionais atualizadas, incluindo as mudanças de processo,
tecnologia e instalações.
Qualquer sistema de gerenciamento de riscos deve prever um programa de
treinamento para todas as pessoas responsáveis pelas operações realizadas na empresa,
de acordo com suas diferentes funções e atribuições.
Os treinamentos devem contemplar os procedimentos operacionais, incluindo
eventuais modificações ocorridas nas instalações e na tecnologia de processo.
Esse programa deve prever:
• Treinamento inicial: todo o pessoal envolvido nas operações da empresa
deve ser treinado antes do início de qualquer atividade, de acordo com
critérios pré-estabelecidos de qualificação profissional. Os procedimentos
de treinamento devem ser definidos de modo a assegurar que as pessoas
que operem as instalações possuam os conhecimentos e habilidades
requeridas para o desempenho de suas funções;
• Treinamento periódico: ações para a reciclagem periódica dos
funcionários, considerando a periculosidade e complexidade das
instalações e as funções.
Todo e qualquer incidente ou acidente de processo ou desvio operacional que resulte
ou possa resultar em danos devem ser investigados. O sistema de gerenciamento de riscos
deve contemplar as diretrizes e critérios para a realização dessas investigações, as quais
devem ser devidamente analisadas, avaliadas e documentadas.
Todas as recomendações resultantes do processo de investigação devem ser
implementadas e divulgadas na empresa, de modo que situações futuras e similares sejam
evitadas.
O processo de investigação deve contemplar os seguintes aspectos:
• Natureza do incidente;
• Causas básicas e demais fatores contribuintes;
• Ações corretivas e recomendações identificadas, resultantes da investigação.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

195

A partir dos estudos de cenários levantados durante a identificação de perigos e a


análise de riscos e na análise de consequências é possível, então, dimensionar o plano de
emergência.
Pode-se definir uma emergência como sendo um evento que:
a) Ocorre repentinamente;
b) Quebra a rotina de uma organização ou comunidade e afeta sua
capacidade de funcionar normalmente;
c) Necessita uma ação imediata.
Um desastre é uma emergência que resulta em ferimentos ou mortes e/ou produz
danos materiais à propriedade.
Ninguém está imune a uma situação de emergência; ela pode ocorrer em qualquer
lugar e afetar qualquer um. Pode-se evitar muitas emergências, mas não todas elas. Para
algumas se tem um tempo razoável para uma ação e evita-se algumas perdas; em outras
se tem pouco ou nenhum tempo antes de sua ocorrência.
Existem vários tipos de emergências. Algumas são resultantes de forças da natureza,
outras podem envolver incêndios, explosões ou liberações de produtos tóxicos e outras
podem envolver falhas de sistema. Algumas podem dar problemas de trânsito, enquanto
outras resultam do comportamento de pessoas. Às vezes têm-se também ações militares.
Existem algumas prioridades para emergências, sendo a principal a segurança de
pessoas (empregados, clientes, visitante ou público).
A evacuação de pessoal que podem sofrer ferimentos ou serem afetados é de alta
prioridade, assim como ações para evitar o envolvimento de outras pessoas. O isolamento
da área pode evitar danos ulteriores.
A segunda prioridade é a proteção da propriedade, que pode envolver desligar a
energia, parar de fornecer combustível ou outros suprimentos, parar processos, controlar
e extinguir incêndios, etc.. As apropriadas ações dependem do tipo de emergência, do tipo
de unidade, processo ou localização.
A terceira prioridade é a limpeza e destino final do material. Substâncias derramadas
devem ser removidas para um destino adequado e seguro. A remoção de paredes afetadas
e sem suporte, equipamentos danificados, remoção de restos ou pedaços deve ser
realizada de maneira segura.
A quarta prioridade é a restauração da operação e o retorno às atividades normais.
Existem perdas para as empresas industriais relacionadas com a parada de produção.
Após uma emergência a condição e a segurança de equipamentos deve ser verificada e
reparada se necessário.
O principal objetivo no atendimento de uma emergência é estar preparado para a
tomada de ações, que podem envolver a empresa, a comunidade, a defesa civil, médicos
e outras organizações ou participantes.
O plano de emergência deverá levar, também, em consideração a urbanização em
torno da fábrica, a densidade populacional da região, o meio ambiente, os meios de
segurança patrimonial, o recenseamento dos meios (internos e externos) de combate e de
auxílio mútuo, a organização do socorro ás vítimas (internos e externos), treinamentos,
simulações, sistemas de alerta (internos e externos), sistemas de comunicação do
incidente, etc..

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

196

13.2. ADMINISTRAÇÃO DO RISCO EMPRESARIAL


Como já descrito anteriormente, qualquer atividade humana contém riscos. As
organizações nesse contexto também estão expostas a dois tipos de riscos. O primeiro é
a incerteza relacionada com a incerteza do negócio - normalmente referido como risco
especulativo - que não é o objetivo desta disciplina. O chamado risco puro refere-se ao
perigo de perdas monetárias de contingências não vistas, inesperadas e/ou não
intencionais - naturais (furacões, terremotos, inundações, etc.), e os causados pelo homem
(atentados, desastres causados pela tecnologia, etc.), podendo gerar as seguintes perdas:
- perdas de aplicações;
- danos parciais ou totais de propriedades próprias ou sob sua responsabilidade
legal;
- perdas futuras;
- perdas legais de aplicações ou relacionadas com ferimentos, doenças ou
morte de empregados ou pessoas da comunidade.
A exposição ao risco puro pode ser efetivamente controlada, mas nunca inteiramente
eliminada. Termos como “seguro“, “indenização“, etc. previstos em contratos ou
instrumentos semelhantes, nunca eliminarão a responsabilidade do comprador de seguro
de assumir uma porção do risco puro ou de perdas financeiras.
Um dos principais objetivos de transferir perdas financeiras potenciais para outra
organização (empresa de seguros), é reduzir os custos do gerenciamento de riscos,
porque, embora a necessidade para alguma segurança nunca será eliminada, a
transferência de riscos reduz seu custo.

Estudo do Risco Puro


A primeira tarefa de um profissional da área de riscos é identificar o risco e
reconhecer as condições e perigos que possam causar uma perda financeira. A segunda
é avaliar esse risco, determinando qual a extensão da possível perda financeira.
Então, o gerente de riscos utiliza os princípios de gerenciamento do risco, que devem
ser usados da maneira mais eficiente possível.
Esse gerenciamento compreende a eliminação, redução, retenção e transferência do
risco. Esse trabalho deve ser realizado usando pessoal competente e experiente. Somente
quando esses esforços estiverem perfeitamente sincronizados, será possível garantir a
minimização de acidentes como o da Union Carbide (Bhopal - Índia), o incêndio do Grand
Hotel MGM, em Las Vegas, etc..
Eliminar o perigo significa eliminar a exposição ao risco. A sua redução implica no
uso da Engenharia de Segurança e medidas de controle de perdas. Já a retenção significa
assumir as contingências do risco puro - seu custo deve se basear na provisão de reservas
ou através do orçamento operacional. A transferência se baseia num prêmio de seguro. A
estimativa e avaliação dos riscos de um empreendimento, processo ou atividade
dependem, como descrito anteriormente, de uma série de variáveis, por vezes pouco
conhecidas e cujos resultados podem apresentar diferentes níveis de incerteza. Isto
decorre principalmente de que não se pode determinar todos os riscos existentes ou
possíveis de ocorrer numa instalação e também da escassez de informações neste campo.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

197

13.3. RESPONSABILIDADE PELO PRODUTO / SEGURANÇA E QUALIDADE


Produtos industriais, comerciais e de consumo são uma das maiores fontes de
ferimentos em consumidores, e mesmo de morte, bem como têm algum impacto sobre o
meio ambiente. Estes impactos podem ocorrer em qualquer estágio do ciclo de vida de um
produto e podem ser locais, regionais ou globais, ou uma combinação dos três.
A antecipação ou identificação de riscos é complexa envolvendo: a função do
produto; desempenho; segurança e saúde; custo; qualidade; requisitos legais.
Normalmente, as pessoas acidentadas entram com uma queixa na justiça contra os
fabricantes e a cadeia de distribuição, a busca de uma compensação. As estimativas desse
tipo de queixa nos Estados Unidos variam de 100.000 a 1.000.000 por ano. Além do
aumento de queixas do consumidor, estão ocorrendo mudanças nas legislações existentes
e até na sua interpretação.
Esses litígios sobre a qualidade dos produtos é uma maneira que a sociedade
encontrou para conviver com o risco tecnológico, apesar de que nem todas as queixas
iniciem por esta razão. As decisões e ações dos técnicos, gerentes e outros durante o
planejamento, projeto, fabricação, distribuição e “marketing” podem ter um impacto sobre
a segurança e qualidade dos produtos.
Um fabricante ou vendedor de um produto não pode ser responsabilizado por todo e
qualquer dano que resulte da sua utilização. Isso seria responsabilidade absoluta. Na teoria
poder-se-ia aplicar aos fabricantes e/ou vendedores uma responsabilidade de três
maneiras diferentes:
• Garantia;
• Negligência;
• Responsabilidade restrita.
A garantia está relacionada com o desempenho do produto em vista de uma
declaração implícita ou explicita do fabricante ou do vendedor.
Negligência por sua vez envolve a conduta ou comportamento de uma pessoa ou
grupo de pessoas em relação a algo que fizeram ou falharam em fazer.
Responsabilidade restrita relaciona-se com as características dos produtos que são
não razoavelmente perigosos (alegação do tipo em que um fabricante pode ser acionado
legalmente quando um seu produto colocado no mercado, que pode ser utilizado sem
inspeções em relação a defeitos, mostra ter um defeito que causa ferimento a um ser
humano).
Sempre que há a necessidade de se demonstrar evidências para suportar sua
reclamação, o reclamante deve provar que:
a) o produto estava defeituoso;
b) o defeito existia antes de seu uso;
c) o defeito causou danos ou ferimentos ou poderia ter causado.
Os defeitos num produto podem ser provenientes:
- do projeto;
- da fabricação;
- da falta de avisos ou de instruções inadequadas.
Os defeitos de projeto são características perigosas de um produto resultantes de
cálculos, desenhos ou especificações e decisões do processo de projeto.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

198

Existem muitos fatores num projeto causadores possíveis de defeitos: seleção de


materiais; gestão da energia; características funcionais do produto; características de
segurança; ambiente de uso; etc..
Defeitos de fabricação ocorrem em um determinado número de produtos fabricados
da mesma maneira. Suas causas possíveis são: controle de qualidade e inspeção
inadequadas ou de erros na montagem do produto.
Um produto pode atender todos os padrões de projeto e ter qualidade, mas pode
ainda ser perigoso, porque instruções de uso e avisos sobre perigos durante sua utilização
ou mesmo descarte são inadequados ou mesmo ausentes.
Deve-se ter uma distinção clara entre instruções e avisos. Estes identificam perigos
inerentes ao produto ou resultantes de sua utilização. Instruções explicam quais ações o
usuário deve seguir para eliminar ou reduzir a possibilidade de ferimentos a partir dos
perigos do produto.
Existem riscos em qualquer produto. Um fabricante ou vendedor de um produto deve
conhecer esses riscos antes de colocar seu produto no mercado.
Os riscos de um produto são amplamente determinados pelas entradas - maneiras
que são usados – e saídas – estágios do seu ciclo de vida. A mudança de qualquer entrada,
alterando-se materiais ou energia utilizados, ou a influência de uma saída pode afetar
outras entradas e saídas, conforme a Figura 13.1.
Pode-se minimizar sua responsabilidade de várias maneiras:
• Contratar um bom advogado;
• Remover através da engenharia perigos não razoáveis e prevenir defeitos;
• Verificar o ambiente de uso do produto;
• Identificar riscos existentes e avisar e criar instruções adequadas;
• Analisar por um grupo independente, não envolvido no projeto, para análise
de riscos e de controles de aceitação.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

199

Figura 13.1. Ciclo de Vida.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

200

13.4. EXERCÍCIO

Esquematize aqui o processo de um sistema de gestão de segurança (sugestão:

utilize o esquema da especificação OHSAS 18001):

CONFORME TRANSPARÊNCIA DA ÚLTIMA AULA GRAVADA:

Política

Planejamento

Implementação e
operação

Verificação

Análise pela
administração

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

201

Quadro 13.1.

Como o Gerenciamento de Riscos tem como objetivo manter os riscos abaixo de

valores tolerados, há a necessidade de criar-se uma estrutura, baseada na gestão tipo

PDCA.

Essa sua estrutura compreende, após a identificação de perigos e avaliação dos

riscos, a criação de instrumentos de sistema de gestão:

• Implementação de Políticas de Segurança;

• Estabelecimento de Objetivos e Metas e respectivos Indicadores de

Desempenho e consequente monitoramento;

• Implantação de Planos e Programas;

• Determinação de autoridades e responsabilidades;

• Criação de Plano de Emergência;

• Criação de sistema de inspeção e auditoria;

• Análise Crítica da Gestão.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 13. Gerenciamento de Riscos

202

13.5. TESTES

1. Não seria propriamente um exemplo de instrumento de um sistema de gestão,


mas sim um complemento a ele, que contribui para viabilizá-lo:
a) Política de Segurança.
b) Estabelecimento de Objetivos, Metas e Programas.
c) Responsabilidades.
d) Treinamento.
e) Inspeção e auditoria.

2. Não é complemento de um sistema de gestão:


a) Informações de segurança.
b) Gerenciamento de modificações.
c) Manutenção e garantia da integridade de sistemas críticos.
d) Procedimentos operacionais.
e) Plano de emergência.

3. A ordem de prioridades numa emergência deve ser:


a) Segurança das pessoas, restauração da operação, segurança da propriedade,
limpeza.
b) Segurança das pessoas, segurança da propriedade, limpeza, restauração da
operação.
c) Segurança das pessoas, segurança da propriedade, restauração da operação,
limpeza.
d) Segurança das pessoas, limpeza, segurança da propriedade, restauração da
operação.
e) Segurança da propriedade; segurança das pessoas; restauração da operação;
limpeza.

4. Risco especulativo é relacionado com:


a) Aplicações na bolsa.
b) Jogos de azar.
c) Incertezas do negócio.
d) Perigo de perdas causado pelo homem.
e) Esportes radicais.

5. Risco puro está relacionado com:


a) Aplicações na bolsa.
b) Jogos de azar.
c) Incertezas do negócio.
d) Perigo de perdas causado pelo homem.
e) Esportes radicais.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

203

CAPÍTULO 14. FERRAMENTAS DE ANÁLISE DE RISCO E MÉTODOS DE


VALORAÇÃO DE RISCOS

OBJETIVOS DO ESTUDO:
• Prover uma visão macro das principais ferramentas de análise de risco e dos
métodos de valoração de risco;
• Relembrar as principais características de cada ferramenta, bem como sua
aplicação.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

204

14.1 FERRAMENTAS DE ANÁLISE DE RISCO

Todas as atividades de uma organização envolvem riscos que devem ser


gerenciados. Como parte desse processo é necessário identificar as condições
perigosas de um determinado local, de um projeto, de um equipamento ou mesmo de
uma tarefa e entender os riscos associados em termos de probabilidade e de
consequência. Para que isso seja possível, há diversas ferramentas disponíveis de
análise de risco, cada qual voltada para uma aplicação específica e que ajudam as
organizações nessa etapa do gerenciamento.
As ferramentas para análise geral permitem avaliar os riscos de modo amplo,
olhando para diversos aspectos simultaneamente. Funcionam como uma espécie de
filtro, separando os riscos mais críticos dos mais brandos, por meio de um processo de
priorização. Já as ferramentas para análise específica são usadas para uma avaliação
de risco mais pontual, partindo apenas de uma condição perigosa ou de um evento
indesejado mais crítico. Nesse sentido, uma boa prática é fazer o uso combinado de
ferramentas, ou seja, iniciar com uma ferramenta para análise geral e em seguida, com
os riscos priorizados, aplicar uma ferramenta para análise específica, para detalhar
cada um desses riscos mais críticos, inclusive considerando as medidas de controle já
implantadas. Essa análise deve ser capaz de responder que outras medidas adicionais
serão necessárias para tornar o risco aceitável pela organização.

14.1.1 WRAC
A ferramenta Workplace Risk Assessment and Control, traduzida como
“avaliação e controle dos riscos no local de trabalho”, é uma ferramenta de análise
preliminar, desenvolvida na década de 1990, no meio militar dos Estados Unidos. Ela
objetiva separar os riscos mais críticos dos menos críticos, com a hierarquização feita
por meio do método de valoração semiquantitativo (tabela de priorização). A aplicação
da ferramenta se inicia decompondo o objeto de estudo (por exemplo, um local ou uma
tarefa) em etapas (ou passos) e para cada etapa, a equipe multidisciplinar que participa
da análise deve perguntar: “O que pode dar errado?”. Para responder a essa pergunta,
deve-se imaginar possíveis erros humanos (deslizes/ lapsos, equívocos e
principalmente violações), energias fora de controle (por prováveis falhas e/ou ausência
dos controles) e quaisquer ameaças que façam com que as condições perigosas se
materializem em um incidente ou acidente. Finalizada essa fase de levantamento de
dados e de entendimento de cada etapa, deve-se transferir essas informações para um
formulário específico, que contém as seguintes colunas: etapa/passo; evento
indesejado; controles existentes; probabilidade; consequência; “grau de risco”;
controles recomendados; responsabilidade. As colunas de probabilidade e
consequência são estimadas fazendo o uso de uma tabela de risco pré-definida e
levando-se em conta os controles existentes. O grau de risco também é extraído dessa
tabela, por meio da combinação dos valores atribuídos de probabilidade e de
consequência.
Palavra-chave: TAREFAS (rotineiras e não rotineiras)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

205

14.1.2 FMECA
A ferramenta Failure Mode, Effect and Criticality Analysis, traduzida para “análise
dos modos de falha, efeitos e criticidade”, foi desenvolvida na indústria aeroespacial na
década de 1960 para avaliar a confiabilidade de hardware. O que difere a FMEA da
FMECA é que a primeira é uma ferramenta que identifica modos e mecanismos de
falha e suas consequências. No entanto, ela pode ser complementada por uma análise
de criticidade, que define a significância de cada modo de falha. Nesse caso, a
ferramenta passa a se chamar FMECA, onde a letra “C” representa essa criticidade.
Esta é baseada na probabilidade de um determinado modo de falha ocorrer e na
consequência que esse modo de falha provocará, gerando um “grau de risco”. A Failure
Mode, Effect and Criticality Analysis possui a capacidade de avaliar um equipamento
ou sistema a partir da identificação de possíveis falhas de cada componente em seus
modos operacionais, bem como prever os efeitos das falhas e as consequências sobre
outros componentes desse sistema. Seu objetivo principal é determinar a confiabilidade
do equipamento ou do sistema analisado. Para tanto, a probabilidade de falhas é obtida
em função do tempo médio esperado entre falhas para o sistema em análise. A fase
inicial da aplicação da FMECA consiste em desmembrar o equipamento que está sendo
analisado em itens/componentes. Para isso, são necessárias informações sobre os
elementos do equipamento em detalhes suficientes para uma análise significativa, o
que inclui desenhos ou fluxogramas com cada um de seus componentes, entendimento
da função de cada componente, detalhamento dos parâmetros que podem interferir no
seu funcionamento, compreensão dos resultados das falhas, dados históricos de
falhas, etc. Finalizada essa fase de levantamento dos componentes, deve-se transferir
esses conjunto de dados para um formulário específico, que contém as seguintes
colunas: item/componente; modo de falha; consequências/efeitos; probabilidade;
consequência; criticidade (grau de risco); controles recomendados. Assim como na
ferramenta WRAC, na FMECA as colunas de probabilidade e consequência são
estimadas fazendo uso de uma tabela de priorização pré-definida e levando-se em
conta os controles existentes. A criticidade também é extraída dessa tabela, por meio
da combinação dos valores atribuídos de probabilidade e de consequência. Sua
aplicação pode ser feita durante as fases de projeto, manufatura ou mesmo operação
de um sistema e/ ou equipamento. No entanto, as mudanças requeridas são mais fáceis
de serem implantadas na fase de projeto. Para saber mais, consulte IEC 60.812
(Analysis techniques for system reliability – procedures for failure mode and effect
analysis). Essa técnica trabalha com um método de valoração semiquantitativo.
Palavra-chave: CONFIABILIDADE

14.1.3 HAZOP
Traduzida para “estudos de condições perigosas e operabilidade”, a Hazard and
Operability Studies foi desenvolvida pela empresa ICI (Imperial Chemical Industries) na
década de 1960 e foi amplamente disseminada a partir de 1977 com sua publicação
pela Associação das Indústrias Químicas (Chemical Industries Association).

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

206

Inicialmente, sua principal aplicação era analisar processos químicos, mas seu uso tem
sido adaptado para outros tipos de operações (por exemplo, ventilação de mina
subterrânea). Ela é bem sistemática e estuda as consequências da combinação de
palavras-guias (“mais”; “menos”; “ausência”; etc.) com as variáveis do processo
(pressão; temperatura; concentração; tempo; fluxo; nível; etc.), que podem resultar em
hipotéticos desvios a serem analisados. Seus objetivos são: determinar as condições
perigosas que podem causar as consequências mais severas; identificar as causas de
todos os desvios de processo; decidir em que circunstâncias ações são requeridas para
controlar as condições perigosas ou os problemas operacionais; assegurar que as
ações de melhoria propostas sejam implantadas e sejam efetivas. A aplicação dessa
ferramenta compreende a identificação dos principais componentes críticos dos
processos analisados como, por exemplo, bombas, válvulas, vasos sob pressão,
trocadores de calor, etc. Isso requer uma série de informações e dados como
procedimentos operacionais, de manutenção e de emergência, diagramas de processo
e instrumentação, fluxogramas, layout das instalações, etc. Com base nesses
documentos, é feita uma análise sistemática de cada parte do processo por meio da
seleção dos chamados “nós de processo” (pontos de estudo do fluxograma),
examinando como cada um deles responderá a uma alteração (por meio da
combinação de palavras-guias com as variáveis de processo). Para novas instalações,
essa ferramenta deve ser aplicada na fase em que o projeto já se encontra parcialmente
consolidado, pois são necessárias consultas a desenhos, plantas de disposição física
da instalação, padrões operacionais, dentre outros documentos. Contudo, também é
possível aplicar essa ferramenta para processos já em operação, porém as mudanças
identificadas como necessárias podem ser custosas e requerer projetos complexos,
que demandam tempo e paradas da operação. Para saber mais sobre essa ferramenta,
consulte IEC 61.882 (Hazard and operability studies – application guide). Essa técnica
trabalha com um método de valoração qualitativo.
Palavra-chave: VARIÁVEIS DE PROCESSO

14.1.4 FTA
Traduzida para “análise de árvore de falhas”, a Fault Tree Analysis é uma
ferramenta desenvolvida na década de 1960 pelo Laboratório Bell, pela necessidade
de se avaliar a confiabilidade dos sistemas de controle de lançamento de mísseis. A
árvore parte de um evento (acidente, incidente, condição indesejada), chamado de
“evento topo”, e vai se ramificando com os possíveis eventos que contribuem para a
sua ocorrência. O registro dos eventos contribuidores dispostos de uma forma lógica
(em série ou em paralelo) gera, à medida que se distancia do evento topo, um desenho
em forma de ramificações de uma árvore. Esses eventos contribuidores podem estar
associados a falhas em componentes de hardware, erros humanos ou qualquer outro
evento pertinente que leve à ocorrência do evento topo. Essa ferramenta pode ser
usada na fase de projeto de um sistema para identificar potenciais causas de falhas e
para auxiliar na seleção entre diferentes opções de projeto. Já nas fases de operação,
pode ser aplicada para identificar como as falhas mais significativas podem ocorrer e
sua importância em diferentes rotas até atingir o evento topo. A FTA também pode ser

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

207

usada para a investigação de um acidente, que se torna o evento topo e durante o


processo investigativo, vai-se construindo os eventos contribuidores que levaram ao
acidente (como por exemplo, erros humanos tipo violações, treinamentos inadequados,
procedimentos mal escritos, falta de manutenção adequada, etc.). Uma árvore pode
ser construída de maneira qualitativa, se o objetivo for apenas identificar os fatores
contribuintes que levam à ocorrência do evento topo; ou de maneira quantitativa, se o
propósito for calcular a probabilidade de ocorrência do evento topo. Na opção
quantitativa, taxas de falha ou a probabilidade de um determinado evento contribuidor
falhar são necessárias. Esses dados podem ser obtidos por meio do histórico de
manutenção da organização ou por meio de banco de dados (como por exemplo, o
OREDA - Offshore Reliability Data). Diferentemente da Failure Mode, Effect and
Criticality Analysis, a Fault Tree Analysis não considera todos os possíveis modos de
falha de um item/componente, pois foca apenas naquelas que contribuem para a
ocorrência do evento topo. Na literatura é comum aparecerem os termos “árvore
negativa” para a FTA e uma derivação chamada de “árvore positiva” para a ferramenta
LTA (Logic Tree Analysis), traduzida para “análise de árvore lógica”. A LTA é elaborada
para eventos desejados, ou seja, para um evento topo de sucesso (como por exemplo,
para atingir um determinado objetivo da organização). Para saber mais sobre essa
ferramenta, consulte IEC 61.025 (Fault Tree Analysis). A técnica FTA também trabalha
com um método de valoração que pode ser qualitativo ou quantitativo, dependendo do
propósito.
Palavra-chave: CONTRIBUIDORES

14.1.5 ETA
Traduzida para “análise de árvore de eventos”, a ferramenta Event Tree
Analysis historicamente era chamada de “iniciação de acidente e análise de
progressão”. Apesar de não haver data certa definida sobre quando foi desenvolvida,
sua aplicação se tornou mais comum na década de 1970, particularmente na indústria
química, petroquímica e nuclear. É uma ferramenta lógica para identificar as possíveis
consequências resultantes de um evento inicial. Metodologia que descreve os
desdobramentos que podem ocorrer a partir de um evento indesejado, prevê
principalmente falhas nos controles existentes. Essa ferramenta pode ser usada para
modelar, calcular e priorizar diferentes cenários de acidentes, partindo de um evento
iniciador. É feita uma análise da progressão de um evento e os controles existentes e
implantados na organização para mitigar seus efeitos. Com a ETA, é possível analisar
os desdobramentos de eventos com potencial para catástrofes (explosões, incêndios,
deslizamento de talude, rompimento de barragem, etc.), sendo, portanto, boa para a
elaboração de planos de emergência. De maneira similar à FTA, uma árvore de eventos
pode ser construída de maneira qualitativa se o objetivo for apenas identificar as
prováveis consequências decorrentes do evento inicial, ou de maneira quantitativa se
o propósito for calcular a probabilidade de falha de cada controle existente. No caso
quantitativo, para a estimativa das consequências, pode-se utilizar modelos
matemáticos para o cálculo estimado dos custos de cada ação a ser implantada. Essa

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

208

técnica trabalha com um método de valoração que pode ser qualitativo ou quantitativo,
dependendo do propósito.
Palavra-chave: CONSEQUÊNCIAS

14.1.6 BTA
Traduzida para “análise da gravata borboleta”, a ferramenta Bow Tie Analysis era
originalmente chamada de “diagrama borboleta” (butterfly diagram) e alguns acreditam que
também foi desenvolvida pela empresa química Imperial Chemical Industries na década de
1970. Os primeiros registros dessa técnica apareceram em 1979, na Universidade de
Queensland, na Austrália. A indústria de óleo e gás mudou sua concepção sobre
gerenciamento de riscos após o trágico acidente na plataforma Piper Alpha, ocorrido em
1988 e que matou 167 tripulantes. O resultado da investigação, conhecido como relatório
“Cullen”, concluiu que era necessário desenvolver uma forma sistemática que assegurasse
controle sobre as condições perigosas e seus eventos indesejados associados.
No início da década de noventa, o Grupo Shell adotou a ferramenta Bowtie como um
padrão para analisar e gerenciar seus riscos. A Shell investiu em pesquisas na aplicação
dessa ferramenta, já que sua principal motivação era a necessidade de garantir que os
controles para os riscos estavam consistentemente implantados em todas as suas
operações ao redor do mundo. Nessa última década, a Bowtie se difundiu para além da
indústria de óleo e gás e passou a fazer parte da indústria aeronáutica, mineral, marítima,
química e outros segmentos.
A ferramenta Bowtie é um diagrama em forma de gravata borboleta que permite
visualizar as potenciais ameaças e consequências de um determinado cenário, criando
uma clara distinção entre a fase de gerenciamento preventiva e reativa. Através desse
diagrama, é possível enxergar diversas informações em uma única figura, o que a torna
uma excelente ferramenta para comunicação e treinamento, para um pensamento mais
estruturado e para as tomadas de decisão baseadas em riscos.
A BTA trabalha de uma maneira diagramática simples, descrevendo e analisando os
caminhos por onde as condições perigosas podem se materializar em um evento
indesejado (crítico), provocando diversas consequências. Pode ser considerada como uma
ferramenta que combina a “análise de árvore de falhas” (FTA) do lado esquerdo da gravata
borboleta, com a “análise de árvore de eventos” (ETA) do lado direito da gravata borboleta.
Contudo, o foco da BTA está nos controles implantados, tanto do lado esquerdo, quanto
do lado direito da “gravata borboleta”, ou seja, nas chamadas “medidas de controle”
existentes entre as condições perigosas e o evento indesejado (atuando na prevenção da
ocorrência), e nas chamadas “medidas de recuperação” existentes entre o evento
indesejado e as diversas consequências (atuando na mitigação dos efeitos). Um exemplo
de aplicação é a análise de um princípio de incêndio, que seria considerado o evento crítico.
Do lado esquerdo da gravata borboleta, todas as causas que podem provocar esse
princípio de incêndio e os controles existentes para evitar o incêndio (segregação de
materiais perigosos armazenados, detectores de fumaça, isolamento das fontes de ignição,
aterramento, etc.). Do lado direito da gravata borboleta, todas as prováveis consequências
desse princípio de incêndio (morte, ferimentos, prejuízos materiais) e os controles de
recuperação para mitigar esses desdobramentos (sprinklers, brigada de incêndio treinada

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

209

e atuante, rede de hidrantes, etc). Com essa ferramenta uma análise detalhada pode ser
feita em cada medida de controle (de prevenção ou de mitigação), avaliando a
probabilidade de falha do controle e sua consequência, usando para tanto uma tabela de
priorização de riscos. Essa técnica trabalha com um método de valoração qualitativo.
Palavra-chave: CONTROLES

14.1.7 SLAM (OU EQUIVALENTE)


A ferramenta Stop, Look, Assess and Manage, traduzida como “pare, olhe, avalie e
gerencie”, é uma ferramenta de análise individual que se aplica principalmente antes do
início de uma tarefa, embora algumas empresas encorajem seus funcionários a usá-la
também durante e depois da execução da tarefa. Deve-se iniciar parando por um curto
período de tempo para refletir: “Eu tenho todas as informações para realizar a tarefa com
segurança? Sou capaz de realizar a tarefa com segurança? Tenho todos os recursos para
realizar a tarefa com segurança?” Se a resposta for afirmativa para esse primeiro lote de
perguntas, passa-se então à segunda etapa: olhar para o local de trabalho e identificar as
condições perigosas, as fontes de energia que podem afetar o próprio executante da tarefa
ou outras pessoas ao redor, equipamentos próximos e até o meio ambiente. Nesse
momento, é importante olhar e perceber o que mais está ocorrendo na área de trabalho e
como a execução da tarefa pode interferir ou ser afetada por outra tarefa. Depois de feita
essa verificação, deve-se avaliar os efeitos das condições perigosas associadas à tarefa
que será executada, se perguntando: “Qual a chance de você ou de outras pessoas serem
afetados por essas condições perigosas? Quais são os eventos indesejados que podem
ocorrer? Quais serão as consequências caso os eventos indesejados realmente ocorram?”.
Por fim, segue-se para a tomada de decisão, representada pelo termo “gerencie”. Isso
significa trabalhar com controles e caso qualquer um deles não estiver implantado ou
disponível, a tarefa não deve ser iniciada. A ideia principal dessa ferramenta é mostrar ao
executante que se ele não entender a tarefa em qualquer aspecto, ele não deve prosseguir.
Da mesma forma, caso ele perceba que um evento indesejado poderá ocorrer e que ele
não terá controles para lidar com aquele cenário, ele também não deve prosseguir. Essa
ferramenta SLAM não está atrelada a nenhum método específico de valoração de risco,
embora ela possa induzir o uso de um critério subjetivo de risco qualitativo, porém apenas
baseado na experiência do executante da tarefa. Em relação ao “ou equivalente” que
consta entre parêntesis, significa que há outras ferramentas conhecidas por nomes / siglas
diferentes, porém que têm a mesma função de direcionar e estimular uma análise individual
pré-execução da tarefa. Exemplos de equivalentes são: PEACE (Pense; Estude; Analise;
Corrija; Execute); OPPA (Olhe; Pare; Pense; Aja); PPPP (Pare; Pense; Planeje; Prossiga
... se for seguro); Take 5 (invista 5 minutos antes de iniciar a tarefa para avaliar as
ferramentas e o ambiente de trabalho e determinar se é seguro prosseguir).
Palavra-chave: AUTO REFLEXÃO

14.2 MÉTODOS DE VALORAÇÃO DE RISCOS

Associado a cada uma das ferramentas de análise de riscos, há métodos de


valoração divididos em três categorias principais: métodos qualitativos; métodos

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

210

semiquantitativos e métodos quantitativos. As definições a seguir estão alinhadas com


a norma IEC/ISO 31010:2009 (Risk management – Risk assessment techniques). Os
métodos qualitativos de valoração de risco classificam / qualificam o risco dentro de
grupos pré-estabelecidos. Como exemplo, o risco pode ser considerado “baixo”,
“médio” ou “alto”. Contudo, pode haver vários riscos enquadrados no grupo chamado
de “baixo” e, nesse caso, não há qualquer escala ou número que indique qual deles é
o “menor” ou o “maior”, dentro desse mesmo grupo “baixo”. A figura 1 exemplifica essa
categoria.

Figura 14.1. Exemplo de método qualitativo


Fonte: MARTINS et. al (2011)

Os métodos semiquantitativos de valoração de risco também


classificam/qualificam o risco dentro de grupos pré-definidos, porém é possível
estabelecer uma priorização dos riscos dentro de cada grupo. Isso é feito usualmente
por meio de uma escala numérica que define, para uma mesma categoria de risco (por
exemplo, “riscos médios”), qual é o “menor” e qual é o “maior”. Nesse tipo de método
aparecem as conhecidas “tabelas de priorização” ou “matrizes de risco”, que
usualmente têm entre três e cinco colunas para definições de probabilidade e mais três
a cinco colunas para definições de consequência (ou severidade). Para cada definição
de probabilidade e de consequência, está associada uma escala numérica, que ajuda
a situá-la dentro de um determinado grupo. Nesse tipo de método de valoração do
risco, a prioridade é obtida na interseção de uma das colunas com uma das linhas, e
pode ser expressa tanto em termos numéricos, quanto por meio de um adjetivo (como
por exemplo, “marginal”, “crítico”, “catastrófico” etc). Muitas empresas fazem o uso de
cores diferentes para as priorizações de risco, de modo a chamar mais a atenção para
as classes de risco enquadradas em zonas críticas. A figura 2 na página seguinte ilustra
esse conceito.
Os métodos quantitativos de valoração de risco calculam o risco, diferentemente
dos métodos semiquantitativos, que apenas priorizam o risco baseado em uma escala
pré-determinada. Para se calcular o risco (por meio da probabilidade e da
consequência), são usados modelos matemáticos e pode ser necessária a utilização
de softwares especializados.
A escolha do método de valoração do risco dependerá do propósito da análise,
da disponibilidade de dados confiáveis e das necessidades de tomada de decisão da
organização. Em alguns casos, a escolha é determinada pela própria legislação ou por
um órgão governamental de controle e de fiscalização e normalmente está associado

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

211

à ferramenta de análise de risco mais indicada para um determinado tipo de análise


requerida.

Figura 14.2. Exemplo de método semiquantitativo


Fonte: MARTINS et. al (2011)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

212

Para resumir, a figura 3 seguinte ilustra uma correlação entre a ferramenta de


análise de risco e o respectivo método de valoração associado.

Figura 14.3. Ferramentas de análise x métodos de valoração


Fonte: arquivo pessoal

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

213

14.3. TESTES

1) Qual a alternativa que melhor completa a frase a seguir?


“As ferramentas de análise de risco funcionam como uma espécie de filtro (...)”

a) (...) separando os riscos mais críticos dos mais brandos, por meio de um
processo de priorização.
b) (...) segregando os riscos menores dos desprezíveis.
c) (...) segmentando as consequências dos riscos e igualando suas probabilidades.
d) (...) separando os eventos indesejados dos demais, por meio da experiência da
equipe.
e) (...) segmentando e agrupando as condições perigosas em suas classes de
energias.

2) Que tipo de pergunta a equipe multidisciplinar que participa de uma análise


WRAC deve fazer em cada etapa (ou passo)?

a) O que pode dar errado?


b) Qual a pior consequência mais provável?
c) Qual a taxa de falha para esse componente?
d) O que deve ser feito com a variável de processo que está fora dos parâmetros
pré-estabelecidos?
e) Quais os fatores contribuidores para essa etapa (passo)?

3) Como os “nós de processo” da ferramenta HAZOP podem ser entendidos?

a) Pontos de estudo do fluxograma.


b) Tipos de problemas existentes em uma instalação.
c) Falhas mecânicas e latentes, típicas de instalações antigas.
d) Problemas com as cordas usadas para os trabalhos em altura.
e) Erros humanos que criam nós (confusões) e podem gerar acidentes.

4) Qual a aplicabilidade da ferramenta ETA?

a) Analisar os desdobramentos de eventos com potencial para catástrofes.


b) Determinar a confiabilidade do equipamento ou do sistema analisado.
c) Separar os riscos mais críticos dos menos críticos, com a hierarquização feita por
meio do método quantitativo.
d) Avaliar todos os riscos do ambiente de trabalho, enfatizando exclusivamente os
associados aos equipamentos com partes móveis.
e) Classificar as probabilidades e consequências dos eventos menos catastróficos,
sempre com o propósito de colocar mais e mais controles.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 14. Ferramentas de Análise de Risco e Métodos de Valoração de Riscos

214

5) A afirmação a seguir é verdadeira ou falsa?


“A ideia principal da ferramenta SLAM (ou equivalente) é mostrar ao
executante que se ele não entender a tarefa em qualquer aspecto, ele não
deve prosseguir. Da mesma forma, caso ele perceba que um evento
indesejado poderá ocorrer e que ele não terá controles para lidar com aquele
cenário, ele também não deve prosseguir. ”

a) Verdadeira.
b) Falsa.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

215

CAPÍTULO 15. GERENCIAMENTO EM QUATRO CAMADAS E


GERENCIAMENTO INTEGRADO DE RISCOS

OBJETIVOS DO ESTUDO:
• Conhecer duas abordagens industriais utilizadas para gerenciar riscos em uma
organização;
• Entender as principais características de cada abordagem e os benefícios de cada
uma.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

216

15.1 GERENCIAMENTO EM QUATRO CAMADAS

• Uma das formas de representar as diferentes etapas do processo de gerenciamento


de risco é através do uso de um modelo chamado de “gerenciamento de risco em quatro
camadas”. Esta abordagem foi desenvolvida a partir de experiência de verificação de boas
práticas. Em outubro de 2005, a empresa Phelps Dodge visitou mineradoras e consultorias
da indústria da mineração na Austrália, com a intenção de identificar abordagens de
gerenciamento em diferentes níveis operacionais.
• Praticamente todas as empresas de mineração possuíam um conjunto de
abordagens aplicados para vários propósitos. Ainda que cada organização tivesse seu
próprio conjunto de práticas, foram percebidas semelhanças, que puderam ser agrupadas
em quatro modelos distintos e complementares:

1. Avaliação global da unidade e das condições perigosas de alto potencial (situações
catastróficas);
2. Avaliação de risco específica (para projetos / mudanças);
3. Avaliação de risco para o desenvolvimento de documentos de instruções de trabalho,
tais como diretrizes operacionais, procedimentos operacionais, práticas de trabalho
seguras etc;
4. Avaliação informal de risco para permitir que um trabalhador, prestes a iniciar uma nova
tarefa, realize um processo de análise das condições perigosas, dos riscos associados
e dos controles existentes.

Essas quatro abordagens foram ordenadas em forma de camadas, de uma maneira


lógica que sugere que os controles existentes nas camadas mais altas tenham um impacto
cumulativo e sequencial em relação às camadas mais baixas, para a redução da
abrangência de uma consequência indesejada, como por exemplo, um acidente. A figura
4 a seguir ilustra essa abordagem.

Figura 15.1. Gerenciamento de risco em camadas


Fonte: arquivo pessoal

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

217

A primeira camada tem como foco a identificação das condições perigosas de alto
potencial. Para isso, é necessário observar toda a unidade, identificando as condições
perigosas e selecionando aquelas que, se materializadas, implicarão em consequências
significativas, de grande abrangência (por exemplo, deslizamento de talude, explosão,
rompimento de barragem etc). Para atuar na primeira camada, é necessário desmembrar
sistematicamente toda a unidade em partes apropriadas, para auxiliar na identificação das
condições perigosas. Para cada condição perigosa é requerida uma caracterização que
inclui sua magnitude e seus potenciais impactos em termos de segurança, meio ambiente,
comunidade, negócios. Durante essa análise, os controles implantados e em
funcionamento devem ser considerados. Se após a análise for concluído que o grau de
risco não é aceitável para a empresa, novos controles devem ser propostos como parte de
um plano de ação de melhorias, até que o risco seja considerado aceitável ou tão baixo
quanto razoavelmente praticável (conceito de ALARP: As Low As Reasonably Practical).
A segunda camada aborda a avaliação de risco com foco em um tema específico. O
objetivo da análise do risco nesta camada é examinar principalmente novos projetos e
mudanças de quaisquer natureza (pessoas, tecnologia, processos e outras), para
identificar condições perigosas associadas e seus controles. Isso deve ser feito aplicando-
se ferramentas de análise de risco apropriadas para cada tipo de cenário. O mesmo critério
de análise utilizado na primeira camada se aplica a essa segunda camada, isto é, se após
as análises for concluído que o grau de risco não é aceitável, novos controles devem ser
propostos como parte de um plano de ação de melhorias de modo que o risco seja
aceitável.
A terceira camada aborda a avaliação de risco em tarefas rotineiras e não rotineiras.
O foco dessa camada é desenvolver padrões efetivos para um trabalho seguro, além de
analisar as tarefas para as quais não esteja implantado qualquer padrão efetivo para uma
operação segura. A ênfase maior neste nível é a preparação de procedimentos
operacionais que incorporem os cuidados e os controles apropriados para a execução
segura de tarefas, além dos requisitos técnicos. Da mesma forma, nesta camada devem
ser aplicadas ferramentas de análise de risco apropriadas, com o intuito de analisar a
aceitabilidade dos riscos e a efetividade dos controles. Uma vez gerados os procedimentos
operacionais, estes deverão ser integrados à rotina de treinamento e capacitação,
monitoramentos periódicos e processos de auditoria.
A quarta e última camada aborda a avaliação contínua dos riscos. O foco dessa
camada é desenvolver nos trabalhadores o hábito de parar e pensar antes da execução
das tarefas, prosseguindo somente se a situação for julgada segura. Para colocar isso em
prática, é preciso definir ferramentas de análise de risco que auxiliem o trabalhador a tomar
a decisão de prosseguir ou de usar seu direito de recusa. Após a escolha das ferramentas
apropriadas, deve-se treinar os colaboradores e reforçar a aplicação e importância desta
prática nas reuniões pré-tarefa (usualmente chamadas de DDS: Diálogo Diário de
Segurança). Como parte integrante dessa quarta camada, um método de reforço aos
trabalhadores deve ser implantado, para que eles possam saber se estão agindo
corretamente ou não, conforme as expectativas da organização em prol de uma produção
segura.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

218

Ao examinar a descrição das camadas, percebe-se que um processo semelhante


está presente em todas elas: fazer uma análise de risco para identificar as condições
perigosas envolvidas, avaliar a aceitabilidade dos riscos associados e propor medidas de
controle adicionais nos casos em que o grau de risco for considerado inaceitável pela
organização. A forma de executar esse processo difere de camada para camada, em
função do propósito. A seleção da ferramenta aplicável a cada camada fica a cargo do
objetivo da análise, da cultura da organização e da disponibilidade de pessoas capacitadas
para seu uso e aplicação. A figura 5 ilustra uma sugestão da aplicação das ferramentas
direcionadas a cada camada.

Figura 15.2. Gerenciamento de risco em camadas


Fonte: arquivo pessoal

Uma constatação comum na aplicação dessa abordagem é que há deficiências no


gerenciamento de riscos das camadas 1 e 2. Consequentemente, é feita uma transferência
de condições perigosas para as camadas 3 e 4 e espera-se que o comportamento do
indivíduo mantenha-o seguro.

15.2 GERENCIAMENTO INTEGRADO DE RISCOS

O propósito do gerenciamento integrado de riscos é considerar aspectos de


segurança nos diferentes processos de uma organização, aparentemente considerados de
baixo risco, mas que na prática possuem elevado potencial de “transferir” condições
perigosas para outros processos, resultando em eventos indesejados. São exemplos desse
tipo de processo: planejamento de produção, aquisição, planejamento de manutenção,
gerenciamento de contratados, treinamento e capacitação, comunicação, etc.
As empresas que ainda não possuem um grau elevado de maturidade em
gerenciamento de risco, por exemplo, costumam executar o gerenciamento de contratados

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

219

levando em conta apenas aspectos burocráticos e jurídicos, sem se preocupar com a


prática da segurança na execução dos seus contratos. Desse modo, é comum que a
contratante exija, por exemplo, que o contratado apresente cópia de seu PPRA (Programa
de Prevenção de Riscos Ambientais) e de seu PCMSO (Programa de Controle Médico de
Saúde Ocupacional) sem se preocupar em analisar seu conteúdo, sua pertinência em
relação aos serviços contratados e sua execução no ambiente da contratante. Nesses
casos, o foco da empresa contratante está apenas na burocracia de cumprir as exigências
legais através de cláusulas contratuais e não na segurança efetiva dos trabalhadores.
Outro exemplo refere-se ao planejamento de manutenção. Empresas que se
preocupam apenas em cumprir a legislação gerenciam a manutenção em função da
produção e não em função da segurança. Costumam esticar ao máximo o tempo de
funcionamento de um ativo, apenas para não prejudicar a produção. Não têm a consciência
de que uma máquina pode provocar um acidente grave se não parar para os devidos
ajustes, lubrificações, regulagens. Também não se preocupam com os chamados
“equipamentos críticos”, e quando o fazem, classificam como “críticos” para a produção e
não focando a segurança. Um equipamento crítico para a produção é aquele que, se der
problema, prejudica a produção (em outras palavras, prejudica o lucro). Um equipamento
crítico para a segurança é aquele que, se der problema, pode provocar um vazamento de
um gás tóxico e gerar danos à saúde de diversos funcionários; dependendo da extensão,
da comunidade vizinha também (como ocorrido no acidente de Bhopal, na Índia em 1984).
Neste caso, prejudica-se não só a produção, mas a saúde de trabalhadores e da
comunidade; e logicamente, o lucro.
A prática da gestão integrada do risco é conduzida a partir do desdobramento da
empresa em unidades menores e, portanto, aproveita a abordagem do gerenciamento de
riscos em camadas. Desse modo, elabora-se um fluxograma de cada um dos processos
da empresa, normalmente até o nível de tarefa. Para cada tarefa, promove-se a verificação
“do que pode dar errado”, considerando a possibilidade da “transferência” de uma condição
perigosa para outro processo e a consequência. Feito isso, avalia-se as possibilidades e
fica mais fácil identificar o que fazer para evitar a transferência ou atenuar seu efeito, caso
ocorra. É importante ressaltar que esta abordagem pode ser utilizada não somente
considerando a segurança, mas também outras dimensões da gestão como meio
ambiente, falhas de produção, entre outras.
No entanto, essa prática possui ainda outra vertente que ocorre internamente entre
os diferentes setores de uma organização. Quando se menciona o termo “integrado”, deve-
se entendê-lo como uma derivação do verbo “integrar”, ou seja, fazer uma gestão de risco
conjunta, em que diferentes partes envolvidas tenham a mesma preocupação e se
empenhem para um mesmo propósito: a produção segura. Nesse sentido, o gerenciamento
integrado de risco promove uma reflexão em cada processo organizacional, de modo que
se possa reconhecer quais situações e condições podem estar transferindo uma condição
perigosa para outro processo, desenvolvendo e promovendo uma abordagem holística na
gestão, como ilustra a Figura 6.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

220

Figura 15.3. Gerenciamento integrado de riscos – uma abordagem holística


Fonte: Fonte: LAPA et. al (2011)

Se todos os processos estiverem pensando em produção segura e cada um fizer a


sua parte, a probabilidade de uma condição perigosa ser “transferida” para outra área é
pequena e, portanto, as chances de sucesso aumentam consideravelmente. Um exemplo
dessa integração é a contratação de mão-de-obra terceirizada para um determinado
serviço de manutenção. Para que isso seja possível, pelo menos os departamentos de
recursos humanos, aquisição, gestão de contratos, manutenção e produção estarão
envolvidos. São cinco áreas da empresa que precisarão atuar de forma integrada para que
se obtenha êxito nessa contratação e para que todos os envolvidos fiquem satisfeitos com
o resultado final. Assim, essas cinco áreas devem estar com seu foco no mesmo objetivo,
ainda que cada uma tenha suas próprias preocupações. Se o setor de RH e o
departamento de aquisição, que representam o início desse processo, não fizerem um bom
trabalho de recrutamento e seleção, acabarão por escolher empresas e pessoas cujas
qualificações não são adequadas ao perfil desejado. O critério de seleção é muitas vezes
apenas orientado para o menor preço, o que sabidamente não significa o menor custo
quando se incorpora o preparo em relação à produção segura. Por sua vez, a gestão de
contratos deve definir parâmetros contratuais, especificando apenas requisitos legais
mínimos associados à segurança. Se ela não estiver preocupada com a real atuação da
contratada dentro da sua própria unidade, a qualidade de suas ferramentas, equipamentos
e materiais, os padrões de ordem e limpeza, o preparo das pessoas que atuarão nas
atividades de manutenção, o acompanhamento diário das atividades por supervisor da
contratada, a segurança pode ser afetada. Uma vez que a empresa recém contratada já
está dentro da unidade da contratante, a área de produção pressiona a área de

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

221

manutenção para que os reparos sejam feitos o mais rápido possível, não importando a
que preço (leia-se: não importando a segurança). A área de manutenção, pressionada,
elabora permissões de trabalho apenas com requisitos mínimos de segurança, sem tempo
para verificar as reais condições de trabalho, muito menos fazer medições que assegurem
a integridade física daqueles que estarão expostos às diversas condições perigosas. Não
há tempo para análises de risco; não há tempo para reuniões breves de segurança ou
diálogos diários de segurança; não há tempo para nenhum tipo de prevenção, há tempo
apenas para ação imediata.
Diante de um cenário como esse, onde ficou a produção segura? Não ocorreu!
Talvez esteja apenas registrada na missão da empresa ou em sua Política de Segurança
e Saúde no Trabalho. A prática do gerenciamento integrado de risco é o instrumento que
aborda estes problemas e, se efetivamente praticado, os elimina ou os reduz a valores
desprezíveis. Por essa razão, colocá-lo em prática requer muito mais do que boa vontade
e boas intenções. Requer preparo da empresa; requer uma cultura de segurança
estabelecida e entendida; requer que a segurança seja vista como um valor por todos os
níveis hierárquicos, em suas diferentes áreas e atribuições.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

222

15.3. TESTES

1) Qual o foco da primeira camada?

a) Identificação das condições perigosas de alto potencial.


b) Análise quantitativa dos riscos.
c) Estudo de análise e consequências, incluindo o risco social e residual.
d) Identificação de tarefas rotineiras e não rotineiras.
e) Estudo e análise das variáveis de processo com foco em trabalhos de alto risco.

2) Qual o significado do termo ALARP?

a) Tão baixo quanto razoavelmente praticável.


b) Tão alto quanto razoavelmente previsto.
c) Baixo o suficiente para que o risco seja revisto periodicamente.
d) Alto o suficiente para que sirva como indicador de desempenho.
e) Alto nível de risco com necessidade de resposta e prevenção.

3) A terceira camada aborda o quê?

a) Avaliação de risco em tarefas rotineiras e não rotineiras.


b) Avaliação de risco em novos projetos e mudanças de quaisquer natureza.
c) Avaliação de risco contínua.
d) Avaliação de risco de condições perigosas de alto potencial.
e) Avaliação de risco com foco na confiabilidade de equipamentos e sistemas.

4) Qual o foco da camada quatro?

a) Desenvolver o hábito de parar e pensar antes da execução das tarefas,


prosseguindo somente se a situação for julgada segura.
b) Atuar nos quatro piores riscos, colocando pelo menos dois controles
administrativos e um de engenharia.
c) Avaliar os riscos de entrada em espaço confinado, seguindo todas as
especificações da NR-33.
d) Administrar os tipos de equipamentos de proteção individual e os controles de
engenharia, tudo dentro do contexto do comportamento humano e dos grupos.
e) Analisar as mudanças de diferentes tipos, assegurando que todas elas tenham
passado obrigatoriamente por uma análise de risco através de uma ferramenta
específica.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 15. Gerenciamento em Quatro Camadas e Gerenciamento Integrado de Riscos

223

5) Qual o propósito do gerenciamento integrado de riscos?

a) Considerar aspectos de segurança nos diferentes processos de uma


organização, que possuem elevado potencial de “transferir” condições
perigosas para outros processos.
b) Analisar as condições perigosas de alto potencial e integrá-las ao plano de
resposta à emergência da organização.
c) Avaliar de maneira holística cada setor organizacional e buscar por perdas que
possam interferir diretamente na saúde e na segurança dos funcionários.
d) Integrar a teoria e os principais conceitos de gestão de risco às práticas
operacionais, sempre embasado por treinamentos de qualidade.
e) Interligar uma rede de empregados e contratados treinados e capacitados, de
forma a aumentar a capacidade multitarefas e assim desburocratizar os
procedimentos de segurança.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

224

CAPÍTULO 16. BOWTIE ANALYSIS (BTA)

OBJETIVOS DO ESTUDO:
• Oferecer uma visão detalhada da ferramenta BTA;
• Ensinar cada um dos passos para elaborar uma análise da gravata borboleta;
• Diferenciar os elementos que compõem uma BTA e os erros mais comuns durante
a elaboração dessa ferramenta.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

225

16.1 BTA PASSO A PASSO

O diagrama em forma de gravata borboleta pode ser considerado como uma


combinação das ferramentas conhecidas como “árvore de falhas” (lado esquerdo) e “árvore
de eventos” (lado direito), conforme ilustra a figura 7. Contudo, o foco está nos controles
de prevenção e de mitigação. Seu uso se justifica nas situações onde não se faz necessário
a complexidade das árvores de falhas e/ou de eventos ou quando é preciso assegurar que
existam controles para cada trajetória de causa – consequência, além de avaliar a
efetividade desses controles.

Figura 16.1. Combinação da árvore de falhas e árvore de eventos


Fonte: adaptado de CGE Risk Management Solutions

Como vantagens, destaca-se a simplicidade da representação gráfica em forma de


gravata borboleta. Além disso, não necessita de um alto grau de especialização para a sua
aplicação. Acrescenta-se a esses itens o fato de que não importa em qual nível de detalhes
a análise de risco esteja sendo feita, pois essa ferramenta oferece uma visão geral que se
torna muito útil no gerenciamento de riscos. Por outro lado, sua limitação resume-se a uma
suposta simplificação de situações mais complexas, principalmente nos casos onde uma
análise quantitativa mereceria ser aplicada.
Uma vez que o foco da ferramenta Bowtie está nos controles de prevenção e de
recuperação, cabe lembrar que não importa quantos controles estejam implantados,
sempre haverá uma pequena probabilidade de que as coisas deem erradas e provoquem
um evento indesejado. Falha de equipamento, fadiga de material e comportamento
humanos são alguns dos fatores que podem estar relacionados à probabilidade de
ocorrência de um evento não desejado.
Um dos conceitos atrelado aos controles é o modelo do queijo suíço, idealizado
pelo psicólogo James Reason e ilustrado na figura 8. Esse modelo preconiza que os
acidentes ocorrem quando as barreiras entre as condições perigosas e as perdas são
perfuradas. Reason conceituou que os controles nunca são 100% efetivos. Cada um tem
uma deficiência, que está representada por um buraco no queijo. Na ferramenta Bowtie

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

226

esses buracos no sistema são definidos como “fatores de degradação” e representam uma
característica importante no processo de gerenciamento de riscos, já que muitas
organizações têm a ilusão de poder controlar tudo.

ondição

perigosa

erdas

Figura 16.2. Modelo do queijo Suíço


Fonte: www.cgerisk.com

O diagrama em forma de gravata borboleta, construído a partir do software


BowTieXP, se apresenta de acordo com a figura 9 a seguir.

Figura 16.3. Diagrama BowTie


Fonte: arquivo pessoal (software BowTieXP)

PASSO 1: HAZARD - Identificação da condição perigosa

Condições perigosas podem ser entendidas como condições com potencial de


causar danos. As empresas que já dispõem de um inventário de condições perigosas
(HAZID: Hazard Identification) podem fazer uso desse conteúdo como ponto de partida
para essa etapa do BowTie. A experiência dos colaboradores é importante nessa fase,

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

227

porque aquilo que não se enxerga não é passível de gerenciamento, tornando-se um ponto
vulnerável no sistema. Alguns exemplos de condições perigosas industriais são:
explosivos, produtos inflamáveis, trabalho em altura, espaço confinado, veículos de grande
porte em movimento, linhas pressurizadas, equipamentos com partes móveis, dentre
outras. Deve-se lembrar que uma condição perigosa não é necessariamente algo negativo,
mas parte das atividades normais e rotineiras de uma empresa. Além disso, ao identificar
as condições perigosas, é preciso considera-las em seu estado controlado e, se possível,
indicar o contexto da situação (área, atividade, equipamento).

PASSO 2: TOP EVENT - Definição do evento crítico

O “evento crítico” é o ponto exato onde se perde o controle da condição perigosa


(aquela situação em que se costuma dizer: “Oh, shit!”). Como o próprio nome diz, é um
evento “temido” e que deve ser evitado justamente pelas consequências que ele pode
provocar. Deve-se ter em mente que ainda não é um desastre e a situação definida é
passível de recuperação. Termos genéricos como: “perda de contenção”, “perda de
estabilidade”, “perda do controle” podem ser usados. Caso haja o desejo de ser um pouco
mais específico, alguns exemplos são: “perda de controle do caminhão fora de estrada”;
“presença de gás metano em níveis de explosividade”; “vazamento de produto químico”.
De modo genérico, o evento crítico representa o instante em que a condição perigosa (e
sua energia associada) é liberada.

PASSO 3: THREAT - Definição da ameaça

As ameaças representam uma possível causa para o evento crítico. São


mecanismos que podem liberar a condição perigosa e levar à ocorrência do evento crítico.
Uma ameaça deve sempre levar diretamente ao evento crítico. Além disso, é importante
assegurar a regra de que cada ameaça (individualmente) deve ser capaz de conduzir ao
evento crítico. Para esclarecer essa regra, imagine o seguinte cenário:
• Evento crítico: perda de controle do veículo
• Ameaça 1: cerveja disponível
• Ameaça 2: disposição do motorista para ingerir bebida alcoólica

A cerveja disponível, por si só, não faz com que haja (ou possa haver) perda de
controle do veículo. De maneira análoga, apenas a disposição do motorista para ingerir
bebida alcoólica também não é capaz de provocar a perda de controle do veículo; basta
que ele não beba. Contudo, quando essas duas ameaças se combinam e o motorista
realmente ingere bebida alcoólica até se sentir embriagado antes ou durante o ato de dirigir,
aí sim poderá haver perda de controle do veículo. Portanto, para esse cenário, o correto
seria definir a ameaça como “motorista embriagado”.
Mais uma recomendação ao se definir as ameaças é se certificar que não se está
colocando uma falha de um controle ao invés da ameaça em si.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

228

PASSO 4: CONSEQUENCE - Definição da consequência

As consequências podem ser entendidas como eventos indesejados causados pelo


evento crítico. Quanto mais específica uma consequência for definida, mais fácil será para
especificar os controles. Por essa razão, termos como “lesões”, “fatalidades”, “danos
materiais” não são recomendados. Ao invés disso, sugere-se descrever como o dano
acontece. Por exemplo: em vez de colocar “dano ambiental”, melhor definir “derramamento
de óleo no mar”; em vez de dizer “lesão”, melhor definir a consequência como “inalação de
fumaça tóxica”.
Além do aspecto de facilitar a atribuição de controles, há uma segunda razão para
detalhar ao máximo as consequências: elas deverão ser categorizadas através do uso de
uma matriz de severidade. Assim, se forem genéricas demais, essa classificação pode ser
feita de maneira imprecisa.

PASSO 5: PREVENTIVE BARRIER / CONTROL - Definição do controle de


prevenção

Os controles podem ser entendidos como medidas adotadas “antes do evento


crítico” (para eliminar a ameaça ou prevenir a ocorrência do evento) e/ou “depois do evento
crítico” (para evitar ou mitigar a consequência). Um controle (como uma parede, por
exemplo) pode ter uma função preventiva em um evento indesejado e uma função de
mitigação em outro cenário. De acordo com Haddon, sempre que possível deve-se definir
um controle que possa eliminar as energias que têm potencial de serem liberadas e
provocar algo não desejado. Como em muitos casos a eliminação não é factível, deve-se
trabalhar com a possibilidade de redução da quantidade de energia, para que na
eventualidade de um evento indesejado, a consequência seja a menos pior.
Nesse passo, recomenda-se fazer a seguinte pergunta: “O que se tem implantado
com o intuito de evitar que o evento crítico aconteça?”. Além dessa resposta, é também
importante se questionar sobre o enquadramento de cada controle sob o aspecto da
hierarquia de controles, lembrando que os EPIs e os administrativos são menos efetivos
que controles de engenharia e eliminação, por exemplo.

PASSO 6: RECOVERY MEASURE / CONTROL - Definição do controle de mitigação

Após definir os controles de prevenção, deve-se usar o mesmo raciocínio para


estabelecer os controles de mitigação, ou seja, localizados do lado direito, após o evento
crítico.

Tanto no passo 5 quanto no passo 6, deve-se atentar para incluir apenas controles
que estejam sob a guarda da organização e sobre os quais aja uma forma de
gerenciamento direto. Nesse sentido, não se recomenda incluir controles externos, tais
como ações governamentais, iniciativas da comunidade ou outros dessa natureza.
Além dessa dica, destaca-se um alerta para evitar situações onde o mesmo controle
esteja repetido do lado esquerdo e direito do diagrama. Nesses casos, sugere-se renomear

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

229

o controle de duas maneiras diferentes e assim, alocar cada um de um dos lados. Para
esclarecer essa regra, imagine o seguinte cenário:
• Evento crítico: perda de controle do veículo
• Ameaça: rodovia escorregadia
• Consequência: colisão com outro veículo
• Controle de prevenção: motorista competente
• Controle de mitigação: motorista competente

Conforme comentado acima, não é recomendado manter o mesmo controle


(motorista competente) de ambos os lados. Em situações como essa, seria possível
redefinir o controle, especificando-o da seguinte forma:
• Controle de prevenção: motorista habilitado em curso de direção preventiva
• Controle de mitigação: motorista habilitado em aquaplanagem

PASSO 7: ESCALATION FACTOR – Definição do fator de degradação

Os fatores de degradação podem ser entendidos como uma condição que aniquila
ou reduz a efetividade de um controle. Ao relembrar o modelo do queijo suíço de James
Reason, percebe-se que os controles não são 100% efetivos e portanto, existem certas
condições que provocam falhas, aumentando o grau de risco do sistema. Dito de maneira
simplificada, o fator de degradação é o que provoca a falha do controle. Erros humanos,
integridade mecânica comprometida, condições anormais de operação, interrupção de
serviços críticos (como abastecimento de água e energia) são alguns exemplos. A figura
10 a seguir ilustra a localização do fator de degradação.

Figura 16.4. Fator de degradação (escalation fator)


Fonte: arquivo pessoal (software BowTieXP)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

230

PASSO 8: ESCALATION FACTOR BARRIER / EF CONTROL – Definição do


controle para o fator de degradação

Nesse passo, a ideia é interromper a ação do fator de degradação, que interfere e


compromete um controle implantado. Essa interrupção é feita através da colocação de
controles que são capazes de gerenciar as condições que reduzem a efetividade dos
outros controles. A figura 11 a seguir ilustra a localização do controle para o fator de
degradação.

Figura 16.5. Controle para o fator de degradação (EF Control)


Fonte: arquivo pessoal (software BowTieXP)

16.2 RECURSOS ADICIONAIS DO SOFTWARE BOWTIEXP

Além do passo a passo para a construção de um diagrama BTA, um engenheiro


de segurança também precisa conhecer os recursos de gerenciamento disponíveis
para lidar com o cenário analisado através de um evento crítico. A seguir, alguns
desses recursos disponíveis no software.

Definição dos controles: quando um controle é criado, é possível editá-lo através das
opções abaixo.
• renomear;
• classificar de acordo com uma hierarquia (ex.: eliminação; redução; engenharia;
administrativo; EPI);
• atribuir um quesito de efetividade (ex.: bom; razoável; ruim);
• definir um responsável (ex.: cargo, nome, função);
• relacionar a uma ou mais áreas da empresa (ex.: manutenção; utilidades; escritório;
ambulatório);
• aplicar uma criticidade (ex.: controle crítico ou não)
• associar a uma ou mais atividades desenvolvidas que dependem desse controle;
• colocar um link com outros documentos pertinentes.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

231

Definição das consequências: quando uma consequência é criada, é possível editá-


la através das opções abaixo.
• Atribuir um valor de consequência (extraído de uma matriz pré-inserida – pode ser
a própria matriz de risco da empresa)
• Atribuir um valor para cada uma das “dimensões” da matriz (ex.: segurança; saúde;
meio ambiente; comunidade; imagem e aspectos Legais; etc)
• colocar um link com outros documentos pertinentes.

Definição dos controles para os fatores de degradação: quando os EF Controls


(controles para os fatores de degradação) são criados, é possível editá-los através das
opções abaixo.
• Atribuir uma classificação, segmentando-o em quatro categorias pré-definidas pelo
software (fatores humanos – integração e treinamentos; supervisão e coaching;
qualificação e certificação; auditoria e verificação; falhas mecânicas – manutenção
e reparos; inspeção e testes; redundâncias; projetos e especificações; condições
anormais – clima (ex.: chuva, ventos); perda de serviços críticos (ex.: falta de
energia).
• Relacionar cada controle para o fator de degradação a uma ou mais atividades,
incluindo um responsável, frequência dessas atividades, procedimentos
associados. A figura 12 a seguir ilustra esse recurso (observe o destaque em
verde).

Figura 16.6. Controle para o fator de degradação (EF Control) & Atividade,
Responsável e etc.
Fonte: arquivo pessoal (software BowTieXP)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

232

16.3. TESTES

1) De que forma o diagrama em forma de gravata borboleta pode ser visto?

a) Uma combinação das ferramentas conhecidas como “árvore de falhas” (lado


esquerdo) e “árvore de eventos” (lado direito).
b) Um esquema visual que ajuda os técnicos e engenheiros de segurança a
identificar as oportunidades de melhoria no ambiente de trabalho.
c) Um desenho em forma de gravata que mostra claramente como o nó central
representa um acidente com múltiplas fatalidades e todos os seus
desdobramentos.
d) Um diagrama gerencial que trabalha na prevenção e na recuperação de ativos
e passivos, áreas ambientais degradadas e perdas humanas, sempre
considerando o nível ALARP em toda a sua estrutura.
e) Uma ferramenta de análise de risco cujo objetivo principal é estudar
detalhadamente as mudanças de processo e seus impactos do ponto de vista
de segurança e saúde.

2) Como o modelo do queijo suíço (idealizado pelo psicólogo James Reason), pode
ser interpretado?

a) Acidentes ocorrem quando as barreiras entre as condições perigosas e as


perdas são perfuradas.
b) Os sistemas de gestão das empresas estão tão engessados que já não
funcionam para atender os objetivos para os quais foram desenhados.
c) O comportamento humano, apesar de ser um aspecto importante, ainda não é
representativo quando comparado às falhas mecânicas.
d) Eventos indesejados de alto potencial são melhor investigados através do queijo
suíço, pois permite uma visão mais macro dos fatores contribuintes.
e) Uma ferramenta para avaliação das oportunidades de melhoria organizacionais
com foco exclusivo em engenharia de fatores humanos.

3) Por onde se inicia a construção da gravata borboleta?

a) Pela condição perigosa.


b) Pelas consequências.
c) Pelos controles de mitigação.
d) Pelos fatores de degradação.
e) Pelos controles de prevenção.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Capítulo 16. Bowtie Analysis (BTA)

233

4) Como as consequências podem ser entendidas?

a) Eventos indesejados causados pelo evento crítico.


b) Mecanismos que podem liberar a condição perigosa e levar à ocorrência do
evento crítico.
c) Erros humanos do tipo equívoco e violação.
d) Ponto exato onde se perde o controle da condição perigosa.
e) Comportamentos de sabotagem que interferem diretamente na efetividade dos
controles de recuperação.

5) Qual a função dos controles para os fatores de degradação?

a) Interromper a ação do fator de degradação, que interfere e compromete um


controle implantado.
b) Agravar o escalonamento, fazendo um gerenciamento mais efetivo do evento
crítico.
c) Aumentar a potência das ameaças, através de controles mais robustos e que
reduzem a probabilidade de falha.
d) Diminuir o grau de incerteza do evento crítico.
e) Contribuir para uma gestão efetiva das variáveis de processo que interferem
nas ameaças e consequências.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

234

BIBLIOGRAFIA
1. Associação Brasileira de Normas Técnicas – ABNT. Cadastro de acidentes
do trabalho – Procedimentos e classificação - NBR 14280, Rio de Janeiro, 1999.

2. ABNT NBR ISO 9000:2005. Sistemas de gestão da qualidade -


Fundamentos e vocabulário. Rio de Janeiro: Associação Brasileira de Normas Técnicas,
2005.
3. ABNT ISO GUIA 73:2009 - Gestão de riscos – Vocabulário. Rio de Janeiro:
Associação Brasileira de Normas Técnicas, 2009a.
4. ABNT NBR ISO 31000:2009 - Gestão de riscos - Princípios e diretrizes. Rio
de Janeiro: Associação Brasileira de Normas Técnicas, 2009b.
5. ABNT NBR ISO/IEC 31010:2012. Gestão de riscos — Técnicas para o
processo de avaliação de riscos. Rio de Janeiro: Associação Brasileira de Normas
Técnicas, 2012.
6. Benner, Jr. Ludwig. “Rating Accident Models and Investigation
Methodologies”, Journal of Safety Research, Vol. 16, pp. 105-126, USA, 1985.

7. Binder, Maria Cecília P. “Árvore de Causas”, Apostila, 1995.

8. Bird, F.E. e Germain, G.L. Practical Loss Control Leadership. Georgia


International Loss Control Institute, USA, 1990.

9. British Standards Institution - BSI. Guide to occupational health and safety


management systems – BS 8800, London, 1996.

10. British Standards Institution - BSI. Occupational health and safety


management systems – specification – OHSAS 18001, London, 1999.

11. British Standards Institution - BSI. Occupational health and safety


management systems – specification – OHSAS 18001, London, 2007.

12. Campos, Vicente Falconi. TQC – Controle da Qualidade Total no estilo


japonês. Fundação Chistiano Ottoni, Escola de Engenharia da UFMG, Belo Horizonte,
1992.

13. Campos, Vicente Falconi. TQC – Gerenciamento da rotina do trabalho do


dia a dia. Fundação Christiano Ottoni, Escola de Engenharia da UFMG, Belo Horizonte,
1994.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

235

14. Cardela, Benedito. Segurança no trabalho e prevenção de acidentes – Uma


abordagem holística. São Paulo, Atlas,1999.

15. Celeste, Jacinto. Work Accidents Investigation Technique User’s Manual.


Universidade Nova de Lisboa, Faculdade de Ciências e Tecnologia, Portugal, 2009.

16. Couto, Hudson de Araújo. Ergonomia Aplicada ao Trabalho. Belo Horizonte,


Ergos, 1995.

17. Dejours, Christopher. A loucura do trabalho. Estudo de psicopatologia do


trabalho. São Paulo, Cortez, 2ª ed.,1987.

18. Couto, Hudson de Araújo. Ergonomia Aplicada ao Trabalho. Belo Horizonte,


Ergos, 1995.

19. Dela Coleta, J. A. Acidentes do Trabalho – Fator Humano, Contribuições da


Psicologia do Trabalho, Atividades de Prevenção. São Paulo, Atlas,1989.

20. Deming, W. Edwards. Qualidade: a revolução da Administração. Rio de


Janeiro, Marques Saraiva, 1990.

21. Enciclopedia de Salud y Seguridad en el Trabajo. Conceptos del Analisis de


Accidentes. 2006.

22. Freitas, Carlos M., Porto, Marcelo F. de Souza e Machado, Jorge M. H.


Acidentes Industriais Ampliados – Desafios e Perspectivas para o Controle e a Prevenção.
Rio de Janeiro, Fiocruz, 2000.

23. Frost, Peter J. Emoções Tóxicas no Trabalho. São Paulo, Futura, 2003.

24. Gano, Dean L. Apollo Root Cause Analysis. Apollonian Pubns, Australia.
2008.

25. Guerin, F., Laville, A., Daniellou, F., Duraffourg, J. and Kerguelen, A.
Compreender o trabalho para transformá-lo – A prática da ergonomia. São Paulo, Edgard
Blucher, 2001.

26. Hajime, Karatsu and Toyoki, Ikeda. Mastering the Tools of QC. PHP Institute
Inc. Tokio, 1987.

27. Hammer, Michael and Champy, James. Reengenharia: Revolucionando a


empresa em função dos clientes, da concorrência e das grandes mudanças da gerência.
Rio de Janeiro, Campus, 1994.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

236

28. Heinrich, H.W. Industrial Accident Prevention. U.S., McGraw-Hill, 1950.

29. Hendrick, Kingsley and Benner, Jr. Ludwig. Investigating Accidents with
STEP. Elsevier, USA, 1987.

30. Ida, Itiro. Ergonomia – Projeto e Produção. São Paulo, Edgard Blucher,
1990.

31. International Labor Office – ILO. Guidelines on occupational safety and


health management systems - ILO-OSH 2001, Geneva, 2001.

32. Joy, J. “Risk Management Integration and Decision Making in the Mineral
Industry”, Proceedings of the NSW Mining Industry Occupational Health and Safety
Conference, Terrigal, 2000.

33. Kerckhove, J. V. Teoria de las causas de los accidentes. In: Enciclopedia


de Salud Y Seguridad en el Trabajo. 3. ed., Genebra, OIT, 1998, v.1 p. 56.2 – 56.15.

34. Kletz, Trevor. What Went Wrong – Case Histories of Process Plant
Disasters. Houston, Texas, Gulf Professional Publishing, USA, 1999.

35. Kondo, Yoshio. Companywide Quality Control. Tokio, JUSE Press Ltd.,
1993.

36. Krause, Thomas R.. The Behavior Based Safety Process. Van Nostrand
Reinhold, USA, 1997.

37. Kume, Hitoshi. Métodos Estatísticos para Melhoria da Qualidade. São Paulo,
Gente, 4ª ed., 1993.

38. Leveson, Nancy G. Safety Science, vol. 42, nº. 4, April 2004, pp. 237-270.

39. Livingston, A. D., Jackson, G. and Priestley, K. Root causes analysis:


Literature review. HSE Books, 2001.

40. Llory, Michel. Acidentes Industriais, o custo do silêncio. Rio de Janeiro,


MultiMais,
1999.

41. Martinez, Maria Carmen e Paraguay, Ana Isabel Bruzzi Bezerra. “Satisfação
e saúde no trabalho – aspectos conceituais e metodológicos”, Cadernos de Psicologia
Social do Trabalho, vol. 6, pp. 59-78, São Paulo, 2003.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

237

42. Meister's, David. Human Factors, Theory and Practice. Elsevier Inc.,
USA,1971.

43. Ramsey, J. “Ergonomics Factors in Task Analysis for Consumer Product


Safety”, Journal of Occupational Accidents, vol. 7, 1985.

44. Reason, James and Hobbs, Alan. Managing Maintenance Error – A Practical
Guide. England, Ashgate Publishing Company, 2003.

45. Reason, James. Human Error. New York,Cambridge University Press, USA,
1990.

46. Ringdahl, Lars Harms. “Relationships between accident investigations, risk


analysis, and safety management”, Journal of Hazardous Materials, vol. 111, pp.13-19,
2004.

47. Sanders, M. e Shaw, B. Research to Determine the Contributing of System


Factors in the Occurrence of Underground Injury Accidents. Pittsburgh, PA: Bureau of
Mines, 1988.

48. Saunders, M. and McCormick. Human Factors in Engineering & Design.


McGraw – Hill, 7th ed., 1992.

49. Segurança e Medicina do Trabalho. Normas Regulamentadoras (NR)


aprovadas pela Portaria no 3.214, de 8 de Junho de 1978. São Paulo, Atlas, 54ª ed., 2004.

50. Sell, Ingeborg. “Gerenciamento de riscos”. Apostila do curso de Engenharia


e Segurança do Trabalho, Florianópolis, FEESC, 1995.

51. Setti, José Luis. “Paralelismo entre a teoria de Deming e a Prevenção de


Acidentes”, Notícias de Seguridad, março, 1992.

52. Srour, Robert Henry. Poder, Cultura e Ética nas Organizações. Rio de
Janeiro, Campus,1998.

53. Sutton, Ian. Process Risk and Reliability Management – Operational Integrity
Management. Elsevier Inc., USA, 2010.

54. Wickens, C., Gordon, S. and Liu, Y. An Introduction to Human Factors


Engineering. New York, Longman, 1998.

55. Wickens, C.D. Engineering Psychology and Human Performance. New York,
Harper Collins,1992.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

238

ENDEREÇOS QUE REMETEM ÀS FONTES


DAS PESQUISA FEITAS NO GOOGLE

56. Almeida, Ildeberto Muniz de. Análise de acidentes do trabalho como


ferramenta auxiliar do trabalho de auditores fiscais do Ministério do Trabalho e Emprego:
Contribuições para a definição de orientações sobre a análise de acidentes conduzida por
auditores fiscais. Brasil, 2003. Disponível em:
http://www.segurancaetrabalho.com.br/download/analise-de-acidentes-
ildeberto.pdf. Acesso em 22.set.2010.

57. Barnes, V., Haagensen, B. The Human Performance Evaluation Process: A


Resource for Reviewing the Identification and Resolution of Human Performance Problems,
NUREG/CR-6751. Performance, Safety and Health Associates, Inc., 2001. Disponível em:
http://pbadupws.nrc.gov/docs/ML0209/ML020930054.pdf. Acesso em
12.set.2010

58. Boeing Company, Maintenance Error Decision Aid (MEDA), Users Guide.
Disponível em: http://www.hf.faa.gov/opsmanual/assets/pdfs/MEDA_guide.pdf.
Acesso em 15.jun.2010.

59. Buys, J.R. and Clark, J.L. Events and Causal Factors Analysis.
IdahoTechnical Research and Analysis Center Scientech Inc., USA, 1995. Disponível em:
http://www.ceet.niu.edu/depts/tech/asse/tech482/trac14.pdf. Acesso em
8.jun.2010.

60. Canadian Centre of Occupational Health and Safety – CCOHS. Accident


Investigation. 1998.

61. Celeste, Jacinto and Aspinwall, Elaine A. Work Accidents Investigation


Technique (WAIT) – PART I. Disponível em: http://ssmon.chb.kth.se/vol7/4-2.pdf.
Acesso em 07.jun.2010

62. Colorado State University Occupational Health and Safety Section. Guide to
Accident/Incident Investigations. Department of Environmental Health, 2001. Disponível
em:
http://www.bernardino.colostate.edu/OHSS/OHSSHandouts/ohss_Accident_I
nvestigation.pdf. Acesso em 17.set.2010

63. City of Spokane Risk Management & Safety Manual. Disponível em:
www.spokanerisk.org/.../A%205%20Accident%20Investigation%20.doc .
Acesso em 18.ago.2011.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

239

64. Eppenberger, Marius. Older Construction Workers: a Study of Related


Injuries, Underlying Causes and Estimated Costs.2008. Disponível em:
http://mentalmodels.mitre.org/cog_eng/reference_documents/hazard%20and
%20barrier%20analysis%20guide.pdf. Acesso em 12.jul.2011.

65. European Air Traffic Management Program. The Human Error in ATM
Technique (HERA-JANUS). Disponível em:
http://www.eurocontrol.int/humanfactors/gallery/content/public/docs/DELIVE
RABLES/HF30%20(HRS-HSP-002-REP-03)%20Released-withsig.pdf. Acesso
em 10.mai.2010.

66. Fahlbruch, Babette and Miller, Rainer. Safety through Organizational


Learning (SOL). Disponível em: http://www.rvs.uni-
bielefeld.de/Bieleschweig/first/Fahlbruch_Miller_SOL-Handout.pdf. Acesso em
17.ago.2011.

67. Fischer, Daniela. Um Modelo Sistêmico de Segurança do Trabalho.Tese de


doutorado, submetida ao Programa de Pós-Graduação em Engenharia de Produção.
Universidade Federal do Rio Grande do Sul, 2005. Disponível em:
http://www.producao.ufrgs.br/arquivos/publicacoes/DanielaFischer.pdf.
Acesso em 11.mai.2010.

68. Gandra, João Jorge, Ramalho, Wanderley e Marques, Antônio Luiz.


Configurações das investigações e análise de acidentes, Trabalho apresentado no XI
SIMPEP – BAURU, São Paulo, 2004. Disponível em:
http://www.ebah.com.br/content/ABAAAAyksAE/configuracoes-das-
investigacoes-analise-acidentes. Acesso em 16.jun.2011

69. Guia Técnico de Segurança e Higiene do Trabalho, Volume XX –


Indicadores de Segurança. O Portal da Construção. Disponível em:
http://www.oportaldaconstrucao.com/files/guiastecnicos/st-indicadores-
seguranca-0509.pdf. Acesso em 15.ago.2010.

70. Guidance on Investigating and Analysing Human and Organizational Factors


Aspects of Incidents and Accidents. London Energy Institute. Disponível em:
http://www.energyinst.org.uk/content/files/guidancemay08.pdf. Acesso em
16.out.2010.
71. Guide to Accident/Incident Investigation. Colorado State University,
Department of Environmental Health. Disponível em:
http://www.bernardino.colostate.edu/OHSS/OHSSHandouts/ohss_Accident_I
nvestigation.pdf. Acesso em 17.out.2011.

72. Gordon, R., Flin, R. and Mearns, K. Designing and Evaluating a Human
Factors Investigation Tool (HFIT) for Accident Analysis. Industrial Psychology Research

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

240

Centre, University of Aberdeen, Scotland, 2005. Disponível em:


http://www.abdn.ac.uk/iprc/documents/Designing%20and%20Evaluating%20
a%20human%20factors%20investigation%20tool.pdf. Acesso em 16.jun.2010.

73. Hallbert, B., Boring, R., Gertman, D., Dudenhoeffer, D., Whaley, A., Marble,
J., Joe, J. and Lois, E. Human Event Repository and Analysis (HERA) System Overview,
NUREG/CR-6903,Vol.1.Disponível em: http://www.nrc.gov/reading-rm/doc-
collections/nuregs/contract/cr6903/. Acesso em 17.mai.2010.

74. Harvey, D. Michael. Models for accident investigation, Alberta Workers


Health, Safety and Compensation – Canada Occupational Health and Safety Division,
1985. Disponível em: http://www.iprr.org/proj/harvey.html. Acesso em 17.ago.2010.

75. Implementation Guide for Use with of DOE Order 225.1A, Accident
Investigations. Disponível em https://www.directives.doe.gov/directives/archive-
directives/225.1-EGuide-a-1. Acesso em 23.mai.2010.

76. International Labor Office – ILO. Safety in numbers. Geneva, 2003.


Disponível em
http://www.ilo.org/public/english/region/eurpro/moscow/areas/safety/docs/sa
fety_in_numbers_en1.pdf. Acesso em 11.nov.2010.

77. Isaac, A., Shorrock, S.T., Kennedy, R., Kirwan, B., Andersen, H. and Bove,
T. The Human Error in ATM Technique (HERA-JANUS. European Organization for the
Safety Air Navigation. Disponível em:
http://www.eurocontrol.int/humanfactors/gallery/content/public/docs/DELIVE
RABLES/HF30%20(HRS-HSP-002-REP-03)%20Released-withsig.pdf. Acesso
em 20.jul.2010

78. Kingston, J., Nertney, R., Frei, R. and Schallier, P. “Noordwijk Risk Initiative
Foundation, Paper given at JRC/ESReDA Seminar”. On: Safety Investigation of Accidents.
Disponível em:
http://www.sciencedirect.com/science/article/pii/S0304389404000925 . Acesso
em 17.mai.2010.

79. Manson, Steve. M.S. Application of Accident Investigation Methods to


Wildland Firefighting. Case Study, University of Montana, 1999. Disponível em:
http://www.iprr.org/proj/munpaper.html. Acesso em 05.mai.2010.

80. Ministério do Trabalho e Emprego, Secretaria de Inspeção do Trabalho.


Caminhos da Análise de Acidentes do Trabalho, Brasília, 2003. Disponível em:
http://www.mte.gov.br/seg_sau/pub_cne_analise_acidente.pdf. Acesso em
20.mai.2010.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

241

81. Neogy, P., Hanson, A.L., Davis, P.R. Hazard and Barrier Analysis Guidance
Document. Department of Energy, USA, 1996. Disponível em:
http://mentalmodels.mitre.org/cog_eng/reference_documents/hazard%20and
%20barrier%20analysis%20guide.pdf. Acesso em 15.jun.2010.

82. Neto, Hernani A. Veloso. Novos Indicadores de Desempenho em Matéria de


Higiene e Segurança no Trabalho: Perspectivas de Utilização em Benchmarking.
Dissertação de mestrado, Departamento de Engenharia, Universidade do Minho, Portugal,
2007. Disponível em:
https://repositorium.sdum.uminho.pt/bitstream/1822/8063/1/Tese_MEH_HVN.
pdf. Acesso em 20.ago.2010.

83. Occupational Safety & Health Administration – OSHA, Accident


Investigation. DIsponível em
http://www.osha.gov/SLTC/accidentinvestigation/index.html . Acesso em
18.jul.2010.

84. Occupational Safety & Health Administration – OSHA, Job Hazard Analysis.
Disponível em: http://www.osha.gov/Publications/osha3071.html. Acesso em
18.jul.2010.

85. Paradies, M., Unger, L. and Haas, P., Terranova, M.. Development of the
NRC's Human Performance Investigation Process (HPIP), NUREG/CR-5455. Division of
Systems Research, Office of Nuclear Regulatory Research, U.S. Nuclear Regulatory
Commission, 1999. Disponível em:
http://www.osti.gov/bridge/servlets/purl/10106215-
enoLYa/native/10106215.pdf . Acesso em 12.jul.2010.

86. Pandaggis, Leonidas R. Uma Leitura da Árvore de Causas no Atendimento


de Demandas do Poder Judiciário: Um Fluxograma de Antecedentes. Dissertação
apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do Título
de Mestre em Engenharia, 2003. Disponível em:
http://www.nrcomentada.com.br/download/teses&disserta%C3%A7%C3%B5
es/12FluxogramaAntecedentes.pdf. Acesso em 15.nov.2010.

87. Ryerson, Michelle and Whitlock, Chuck. Use of Human Factors Analysis for
Wildland Fire Accident Investigations, Eighth International Wildland Fire Safety Summit,
Missoula, MT ,2005 . Disponível em:
http://www.wildfirelessons.net/documents/Ryerson%20and%20Whitlock.pdf.
Acesso em 17.jun.2011.

88. Runyan, Carol W. Introduction: Back to the Future.-Revisiting Haddon’s


Conceptualization of Injury Epidemiology and Prevention, Johns Hopkins Bloomberg

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

242

School of Public Health, Vol2003. 25,


Disponível em:
http://epirev.oxfordjournals.org/cgi/content/full/25/1/60. Acesso em 05.jun.2010.

89. Schollum, Mary. Investigative interviewing: The Literature, Office of the


Commissioner of Police. New Zeland Police, Wellington, 2005. Disponível em:
http://www.police.govt.nz/resources/2005/investigative-
interviewing/investigative-interviewing.pdf. Acesso em 21.ago.2010.

90. Shappell, Scott A. and Wiegmann, Douglas A. The Human Factors Analysis
and Classification System–HFACS. U.S. Department of Transportation Federal Aviation
Administration, 2000. Disponível em:
http://www.humanfactors.illinois.edu/Reports&PapersPDFs/isap01/wiegshap
pellavpsy01.pdf. Acesso em 25.jul.2010.

91. Sklet, Snorre. Methods for accident investigation. Dept. of Production and
Quality Engineering, Norwegian University of Science and Technology, 2002. Disponível
em: http://www.ntnu.no/ross/reports/accident.pdf. Acesso 10.mai.2010.

92. Sklet, Snorre. Safety Barriers on Oil and Gas Platforms. Doctoral thesis at
Norwegian University of Science and Technology, Faculty of Engineering Science and
Technology, Department of Production and Quality Engineering, 2006. Disponível em:
www.ntnu.diva-portal.org/smash/get/diva2:122483/FULLTEXT01. Acesso em
15.set.2010.

93. Souza, Evandro Abreu de. O Treinamento Industrial e a Gerencia de Riscos


– Uma Proposta de Instrução Programada. Dissertação de Mestrado, Universidade Federal
de Santa Catarina, Florianópolis, SC, 1995. Disponível em:
http://www.eps.ufsc.br/disserta/evandro/indice/index.htm. Acesso em
17.ago.2010.

94. Stamatelatos, Michael and Vesely, William. Fault Tree Handbook with
Aerospace Applications. NASA Office of Safety and Mission Assurance, USA, 2002.
Disponível em: http://www.hq.nasa.gov/office/codeq/doctree/fthb.pdf. Acesso em
18.set.2010.

95. The Noordwijk Risk Initiative Foundation, NRI MORT User’s Manual. The
Netherlands, 2009. Disponível em: http://nri.eu.com/NRI1.pdf. Acesso em
15.set.2010.

96. Theobald, Roberto e Lima, Gilson Brito Alves. A Excelência em Gestão de


SMS: Uma Abordagem Orientada para os Fatores Humanos. XXV Encontro Nacional de
Engenharia de Produção – Porto Alegre, RS, Brasil, 2005. Disponível em:
http://www.uff.br/sg/index.php/sg/article/viewFile/SGV2N1A4/30. Acesso em
22.jun.2010.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Bibliografia

243

97. T.L. Chu, G. Martinez-Guridi, M. Yue, J. Lehner, and P. Samanta, Traditional


Probabilistic Risk Assessment Methods for Digital Systems, NUREG/CR-6962 BNL-
NUREG-80141,2008. Disponível em: http://www.nrc.gov/reading-rm/doc-
collections/nuregs/contract/cr6962/cr6962.pdf . Acesso em 17.set.2010.

98. U.S Nuclear Regulatory Commission. Fault Tree Handbook. NUREG-049,


USA, 1981. Disponível em: http://www.nrc.gov/reading-rm/doc-
collections/nuregs/staff/sr0492/sr0492.pdf. Acesso em 17.set.2010.

99. Wilpert, Bernhard and Miller, Rainer. Report on Needs and Methods. Berlin
University of Technology, Research Center Systems Safety (FSS), Germany, 2009.
Disponível em: http://virtual.vtt.fi/virtual/learnsafe/links/orfa_r03.pdf . Acesso em
12.set.2010.

100. CGE Risk Management Solutions. Knowledge Base – The history of Bowtie.
Disponível em http://www.cgerisk.com/. Acesso em 21 de julho de 2015.
CGE Risk Management Solutions. BowTieXP software. Version 7.0.8.0.
101. ESTON, S. M.; IRAMINA, W. S.; MARTINS, A. I. S. Avaliação completa.
Revista Proteção, p.82-86, edição 281, ano XXVIII, Maio 2015.
102. HADDON JR., W. The basic strategies for preventing damage from hazards
of all kinds. University of Minnesota. Disponível em http://enhs.umn.edu/. Acesso em 21 de
julho de 2015.
103. IEC (INTERNATIONAL ELECTROTECHNICAL COMMISSION). IEC/ISO
31010: Risk Management – Risk assessment techniques. Geneva, 2009.
104. LAPA, R. P.; MARTINS, A. I. S.; ESTON, S. M.; IRAMINA, W. S. Ação
integrada. Revista Proteção, p.82-86, edição 231, ano XXV, Abril 2011.
105. MARTINS, A. I. S.; ESTON, S. M.; LAPA, R. P.; IRAMINA, W. S. Análise
apurada. Revista Proteção, p.56-63, edição 230, ano XXIV, Março 2011.
106. REASON, J. Human Error. Cambridge, Cambridge University Press, 1990.
107. REASON, J. Achieving a safe culture: theory and practice. Work & Stress,
1998, VOL. 12, Nº. 3 293-306.

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017


Fórum

244

ANEXO A

A DAMA E O TIGRE - NOVA VERSÃO DE UM ANTIGO CONTO DE FADAS.

Era uma vez um país no qual o rei lançou um desafio a três jovens cavaleiros.
Cada um deles seria colocado numa sala contendo duas portas e poderia abrir
qualquer uma delas.
Uma dessas portas dava passagem a um tigre faminto, o mais feroz e cruel que se
pode imaginar, o qual pularia sobre o cavaleiro para devorá-lo. Mas, se ele abrisse a outra
porta, encontraria, à sua frente, uma dama – a mais linda e desejável jovem que o rei
encontrara entre seu povo.
A única questão era: Qual porta abrir?

O primeiro cavaleiro recusou-se a tentar a sorte. Ele viveu em segurança e morreu


virgem.
O segundo contratou os serviços de especialistas em análise de riscos. Comprou
dispositivos tecnológicos sofisticados para ouvir os rugidos e detectar traços de perfume.
Preencheu uma série de planilhas de identificação de perigos e de análise de riscos.
Preencheu tabelas sobre as vantagens de cada solução e fez uma avaliação de sua
aversão aos riscos. Finalmente, sentindo que em alguns anos não poderia, de qualquer
maneira, aproveitar a presença da dama abriu a porta “ótima”. E, foi devorado por um tigre
de baixa probabilidade.
O terceiro aprendeu a domar tigres.

MORAL DA ESTÓRIA (para aqueles que gostam que as parábolas sejam explicadas)

Os cavaleiros representam as pessoas. O tigre representa o incêndio, a explosão ou


uma liberação de gás tóxico. A dama representa nossos produtos e as vantagens que eles
trazem à humanidade.

Como o primeiro cavaleiro, a humanidade pode abandonar o jogo. Podemos nos


abster das fábricas químicas, de seus produtos e das vantagens que eles trazem.
Como o segundo, podemos tentar – e nós o fazemos – reduzir os riscos e abrir as
melhores portas; mas, não podemos jamais estar totalmente seguros.
Se possível, devemos tentar, como o terceiro cavaleiro, mudar as condições de
trabalho, escolher concepções e métodos de trabalho que eliminem ou reduzam o perigo.

(traduzido do livro: “Cheaper, safer plants or wealth and safety at work - notes on
inherently safer ans simpler plants” – T. A. Kletz)

eST-701 Gerência de Riscos / PECE, 3º ciclo de 2017

Você também pode gostar