Escolar Documentos
Profissional Documentos
Cultura Documentos
EN 31010
2016
Portuguesa
Gestão do risco
Técnicas de apreciação do risco
(ISO/IEC 31010:2009)
Risk management
Risk assessment techniques
(ISO/IEC 31O10:2009)
JCS HOMOLOGAÇÃO
03.100.01 Tenno de Homologação n.º 119/2016, de 2016-07-12
CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da EN 31010:201 O CT 180 (APQ)
EDIÇÃO
2016-07-15
CÓDIGO DE PREÇO
X025
EUROPAISCHE NORM
NORME EUROPÉENNE
EUROPEAN STANDARD maio 2010
ICS: 03.100.01
Versão portuguesa
Gestão do risco
Técnicas de apreciação do risco
(ISO/IEC 31010:2009)
A presente Norma é a versão portuguesa da Norma Europeia EN 31010:2010, e tem o mesmo estatuto que
as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade.
Esta Norma Europeia foi ratificada pelo CEN em 2015-05-01.
Os membros do CENELEC são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que
define as condições de adoção desta Norma Europeia, como norma nacional, sem qualquer modificação.
Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais
correspondentes junto do Secretariado Central ou de qualquer dos membros do CEN/CENELEC.
A presente Norma Europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra
língua, obtida pela tradução, sob responsabilidade de um membro do CEN/CENELEC, para a sua língua
nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais.
Os membros do CENELEC são os organismos nacionais de normalização dos seguintes países: Alemanha,
Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia,
França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países
Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.
CENELEC
p. 4 de 99
Preâmbulo da EN 31010:2010
O texto do documento 56/ 1329/FDIS, futura edição 1 da IEC/ISO 3101 O, preparado por colaboração entre o
ISO/TMB "Risk managemenf' e o IEC/TC 56 "Dependability" , foi submetido ao voto paralelo
IEC-CENELEC e foi aprovado pelo CENELEC como EN 31O1 O em 2010-05-01 .
Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O
CEN (e/ou o CENELEC) não deve ser responsabilizado pela identificação de alguns ou de todos esses
direitos.
Devem aplicar-se as seguintes datas:
- data-limite até à qual a EN deve ser implementada a nível nacional por (dop) 2011-02-01
publicação de uma norma nacional idêntica ou por endosso
- data-limite de anulação das normas nacionais divergentes com a EN (dow) 2013-05-01
O Anexo ZA foi acrescentado pelo CENELEC.
Nota de endosso
O texto da Norma Internacional ISO/IEC 31010:2009 foi aprovado pelo CENELEC como norma europeia
sem qualquer modificação.
NP
EN 31010
2016
p. 5 de 99
Sumário Página
Preâmbulo nacional ................................................................................................................................. 2
Preâmbulo da EN 31010:2010................................................................................................................. 4
Nota de endosso........................................................................................................................................ 4
Introdução................................................................................................................................................. 7
1 Objetivo e campo de aplicação............................................................................................................. 8
2 Referências normativas ........................................................................................................................ 8
3 Termos e definições............................................................................................................................... 8
4 Conceitos de apreciação do risco
. .......................................................................................................... 8
4.1 Objetivo e benefícios..................................................................................................................... ....... 8
4.2 Apreciação do risco e a estrutura da gestão do risco ........................................................................... 9
4.3 A apreciação do risco e o processo de gestão do risco .......... .................. ............................................ 9
5 Processo de apreciação do risco........................................................................................................... 12
5.1 Visão geral ....................... .................................................... ......................... .. ..................................... 12
5.2 Identificação do risco .... ........ ............. ........ ... .. ... ...... ... ......... ...... ..... .. .. .. ...... ......... ....... ....... .. ..... .. ... ...... 13
5.3 Análise do risco........................ ................................ ......... ............ ....................... ............ .................... 14
5.4 Avaliação do risco.... ......................................... ................................................... ... ..................... ........ 17
5.5 Documentação ............................ ..................................... ..................... ............................ .... ................ 18
5.6 Monitorização e revisão da apreciação do risco ........... .. ............ .. .......... ... ..... ... ...... ...... ...... ...... ...... .... 19
5. 7 Aplicação da apreciação do risco durante as fases do ciclo de vida......... ................ .. ......................... 19
6 Seleção das técnicas de apreciação do risco........................................................................................ 19
6 .1 Generalidades .. .............................. .......... .................................. ....................... ........... ... ....... .. ............. 19
6.2 Seleção das técnicas........................ ...................................................................................... ............... 20
6.3 Disponibilidade de recursos. ............ ............................. .............................. ............. ....... ........ ............. 21
6.4 A natureza e o grau da incerteza ............................................................................................ .............. 21
6.5 Complexidade ...... .. ... ............ ......... ..... ... .......... ........... ... ...... .. .... ... ........ ...... .. ... ...... ....... ........ ......... ... .. . 21
6.6 Aplicação da apreciação do risco durante as fases do ciclo de vida ..... ...... ........... .... .. .... .................... 21
6.7 Tipos de técnicas de apreciação do risco ......... .. ...... ....... .. ......... ... .. .. .... ... ... ... .... ..... ...... .. ...... ... ... ...... ... 22
Anexo A (informativo) Comparação de técnicas de apreciação do risco............................................. 23
Anexo B (informativo) Técnicas de apreciação do risco........................................................................ 29
Bibliografia ............................................................................................................................................... 98
Anexo ZA (normativo) Referências normativas a documentos internacionais e a sua
correspondência a documentos europeus............................................................................................... 99
NP
EN 31010
2016
p. 6 de 99
Quadro A. l - Aplicabilidade das ferramentas e técnicas para apreciação do risco ...................... .. ................... 24
Quadro A.2 - Atributos para a seleção das ferramentas e técnicas para apreciação do risco ............................ 25
Quadro B.1 - Exemplos de palavras guia HAZOP possíveis .......................................................................... .. 37
Quadro B.2 - Matriz de Markov .................................................................................................................... .... 76
Quadro B.3 - Matriz de Markov final ...................................................... .... .. .................................................... 77
Quadro B.4 - Exemplo de simulação de Monte Cario....................................................................................... 80
Quadro B.5 - Dados do quadro de Bayes........................................................................................................... 83
Quadro B.6 - Probabilidades à priori dos nós A e 8.......................................................................................... 83
Quadro B.7 - Probabilidades condicionadas do nó C pelos nós A e 8 .... .................................................. ........ 84
Quadro B.8 - Probabilidades condicionadas do nó D pelos nós A e C.............................................................. 84
Quadro B.9 - Probabilidades à posteriori dos nós A e 8 pelos nós De C ......................................................... 84
Quadro B.1 O- Probabilidades à posteriori para nó A pelos nós D e C .. .. .... .. ... ............ ....... .. ... ...... ..... .. ..... ...... 84
NP
EN 31010
2016
p. 7 de 99
Introdução
As organizações de todos os tipos e dimensões enfrentam um conjunto de riscos que podem afetar a
consecução dos seus objetivos.
Estes objetivos podem estar relacionados com um conjunto de atividades da organização, desde iniciativas
estratégicas até às suas operações, processos e projetos, e refletir-se em termos de resultados sociais,
ambientais, tecnológicos e de segurança*>, de medidas comerciais, financeiras e económicas, bem como de
impactos sociais, culturais, políticos e de reputação.
Todas as atividades de uma organização envolvem riscos que deverão ser geridos. O processo de gestão do
risco auxilia a tomada de decisões ao considerar a incerteza e a possibilidade de futuros eventos ou
circunstâncias (intencionais ou não) e os seus efeitos nos objetivos acordados.
A gestão do risco inclui a aplicação de métodos lógicos e sistemáticos para:
comunicar e consultar durante este processo;
estabelecer o contexto para identificar, analisar, avaliar e tratar o risco associado com qualquer atividade,
processo, função ou produto;
monitorizar e rever riscos;
relatar e registar os resultados adequadamente.
A apreciação do risco é a parte da gestão do risco que proporciona um processo estruturado que identifica
como os objetivos podem ser afetados e analisa o risco em termos de consequências e da sua probabilidade
antes de se decidir sobre a necessidade de tratamento adicional do risco.
A apreciação do risco tenta responder às seguintes questões fundamentais:
o que pode acontecer e porquê (pela identificação do risco)?
quais são as consequências?
qual é a probabilidade da sua ocorrência futura?
há quaisquer fatores que mitiguem a consequência do risco ou que reduzam a probabilidade do risco?
O nível do risco é tolerável ou aceitável e requer tratamento adicional? A presente Norma destina-se a refletir
as boas práticas correntes na seleção e utilização de técnicas de apreciação do risco e não se refere a
conceitos novos, ou em evolução, que não tenham atingido um nível satisfatório de consenso profissional.
Esta Norma é de natureza geral, para que possa dar orientação em muitas indústrias e tipos de sistema.
Poderão existir normas mais específicas em indústrias que estabeleçam metodologias preferenciais e níveis
de apreciação para aplicações particulares. Se estas normas estiverem em harmonia com a presente Norma,
as normas específicas serão geralmente suficientes.
p. 8 de 99
2 Referências normativas
Os documentos a seguir referenciados são indispensáveis à aplicação desta Norma. Para referências datadas,
apenas se aplica a edição citada. Para referências não datadas, aplica-se a última edição do documento
referenciado (incluindo as emendas).
ISO/IEC Guide 73 *l Risk management - Vocabulary- Guidelines for use in standards
ISO 31000 *l Risk management- Principies and guidelines
3 Termos e definições
Para os fins da presente Norma aplicam-se os termos e definições constantes no ISO/IEC Guide 73 .
*)Existem versões portuguesas destas normas DNP ISO Guia 73 e NP ISO 31000 (nota nacionaO.
NP
EN 31010
2016
p. 9 de 99
4.3.1 Generalidades
A apreciação do risco *l inclui os elementos fundamentais do processo de gestão do risco que são definidos na
ISO 31000 e contém os seguintes elementos:
comunicação e consulta;
estabelecimento do contexto;
apreciação do risco (incluindo a identificação do risco, a análise do risco e a avaliação do risco);
tratamento do risco;
')Na NP ISO 31000:2013 a apreciação do risco ("risk assessment ") inclui apenas as seguintes atividades: a "identificação do
risco ", a "análise do risco " e a ··avaliação do risco ". As restantes atividades (elemenroJ) indicadas nesta secção 4.3. 1 integram o
processo de gestão do risco mas não fazem parte do que se designa por '"apreciação do risco " (nota nacional).
NP
EN 31010
2016
p. 10 de 99
monitorização e revisão.
A apreciação do risco não é uma atividade isolada e deverá ser totalmente integrada nos outros componentes
do processo de gestão do risco.
p. 11de99
p. 12 de 99
p. 13 de 99
Isto fornece uma base para as decisões sobre a abordagem mais apropriada a ser usada no tratamento dos
riscos. O resultado da apreciação do risco é uma entrada para os processos de tomada de decisão da
organização.
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco (ver
Figura 1). A forma de aplicar este processo não depende somente do contexto do processo de gestão do risco,
mas também dos métodos e técnicas utilizadas para levar acabo a apreciação do risco.
,. 1
•1 Estabelecimento do contexto 1L .
Apreciação do risco
1 1
·1 Identificação do risco 1
Comunicação e
consulta
..
.1
Análise do risco L
1·
Monitorização e
revisão
.1 1
·1 Avaliação do risco 1
.,,
. .1
1
Tratamento do risco 1
1
T
IEC 2061 /09
p. 14 de 99
métodos baseados em evidências, por exemplo, listas de verificação *l e revisão de dados históricos;
abordagens sistemáticas em equipa, em que um grupo de especialistas segue um processo sistemático
para identificar riscos através de um conjunto estruturado de pedidos de informação ou questões;
técnicas de raciocínio indutivo, tais como a HAZOP.
Podem ser usadas várias técnicas de suporte para aumentar a exatidão e o carácter exaustivo da identificação
do risco, nomeadamente o brainstorming e a metodologia Delphi.
Independentemente das técnicas efetivamente aplicadas, é importante, que seja dada a devida importância
aos fatores humanos e organizacionais ao identificar o risco. Assim, deverão ser incluídos no processo de
identificação do risco, os desvios dos fatores humanos e organizacionais em relação ao esperado, tal como
ocorrências relativas a hardware ou software.
5.3.1 Generalidades
A análise do risco consiste em aprofundar a compreensão do risco. Fornece uma entrada para a apreciação do
risco e para as decisões sobre a necessidade de tratar o risco e sobre as estratégias e métodos de tratamento
mais adequados.
A análise do risco consiste em determinar as consequências e as suas probabilidades para os eventos do risco
identificados, tendo em conta a presença (ou não) e a eficácia de quaisquer controlos existentes. As
consequências e as suas probabilidades são então combinadas para determinar um nível do risco.
A análise do risco implica ter em conta as causas e as origens do risco, as suas consequências e a
probabilidade de ocorrência dessas consequências. Deverão ser identificados os fatores que afetem as
consequências e a probabilidade. Um evento pode ter múltiplas consequências e afetar múltiplos objetivos.
Deverão ser tidos em conta os controlos do risco existentes e a sua eficácia. No Anexo B são descritos vários
métodos para estas análises. Para as aplicações complexas pode ser necessária a aplicação de mais do que
uma técnica.
De um modo geral, a análise do risco inclui uma estimativa do conjunto de potenciais consequências que
podem resultar de um evento, situação ou circunstância e das probabilidades que lhes estão associadas, a fim
de medir o nível do risco. No entanto, em certos casos, como, por exemplo, quando as consequências são
provavelmente pouco significativas ou a probabilidade expectável é extremamente baixa, a estimativa de um
único parâmetro pode ser suficiente para a tomada de decisão.
Em algumas circunstâncias, uma consequência pode ocorrer como resultado de um conjunto de eventos ou
condições diversos, ou quando um evento específico não é identificado. Neste caso, a apreciação do risco
incide sobre a análise da importância e da vulnerabilidade das componentes do sistema tendo em vista definir
tratamentos que se relacionem com níveis de proteção ou estratégias de recuperação.
Os métodos utilizados na análise do risco podem ser qualitativos, semi-quantitativos ou quantitativos. O grau
de pormenor requerido dependerá da aplicação específica, da disponibilidade de dados fiáveis e das
necessidades da organização na tomada de decisão. Alguns métodos e o grau de pormenor de análise podem
ser determinados por legislação.
A avaliação qualitativa define a consequência, a probabilidade e o nível do risco por níveis de significância
tais como "alto", "médio" e "baixo", pode combinar a consequência com a probabilidade e avalia o nível do
risco em função de critérios qualitativos.
p. 15 de 99
p. 16 de 99
Os impactos podem ter uma baixa consequência mas uma probabilidade alta, ou uma consequência alta e
uma baixa probabilidade, ou um resultado intermédio. Em alguns casos, justifica-se focalizar os riscos com
resultados potencialmente muito significativos, pois estes são frequentemente alvo de maior preocupação por
parte dos gestores. Noutros casos, pode ser importante analisar de forma separada os riscos de consequência
alta e baixa. Por exemplo, um problema frequente mas de baixo impacto (ou crónico) pode ter grandes
efeitos cumulativos ou de longo prazo. Adicionalmente, as ações de tratamento para lidar com estes dois
tipos diferentes de riscos, são frequentemente bastante diferentes, pelo que é útil analisá-los separadamente.
A análise das consequências pode implicar:
ter em consideração os controlos existentes para tratar as consequências em conjunto com todos os
fatores contributivos relevantes que têm um efeito sobre as consequências;
relacionar as consequências do risco com os objetivos originais;
ter. em .consideração tanto as consequências imediatas como as que possam surgir depois de um certo
lapso de tempo, se isso for consistente com o âmbito da apreciação;
ter em consideração as consequências secundárias, tais como as que tenham impacto em sistemas,
atividades, equipamentos ou organizações associados.
p. 17de99
p. 18 de 99
A estrutura mais simples para definição dos critérios do risco, é uma de nível único que divide os riscos nos
que necessitam de tratamento e nos que não necessitam. Isto dá resultados simples de forma atrativa, mas
não reflete as incertezas envolvidas quer a estimar os riscos quer a definir a fronteira entre os que necessitam
de tratamento e os que não necessitam.
A decisão relativa a se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e dos
custos e benefícios de implementação de controlos melhorados.
Uma abordagem comum é a de dividir os riscos em três bandas:
a) uma banda superior onde o nível do risco é visto como intolerável, quaisquer que sejam os benefícios
que a atividade possa trazer, e o tratamento do risco essencial, qualquer que seja o custo;
b) uma banda intermédia (ou zona "cinzenta") onde custos e benefícios, são tidos em consideração e as
oportunidades são ponderadas face a potenciais consequências;
c) uma banda inferior onde o nível do risco é considerado negligenciável, ou tão pequeno que não são
necessárias nenhumas medidas de tratamento do risco.
O sistema de critérios "tão baixo quanto razoavelmente praticável"*) ou ALARP, usado em aplicações de
segurança, segue esta abordagem, onde, na banda intermédia, existe uma escala móvel para riscos baixos em
que os custos e benefícios podem ser comparados diretamente, enquanto que para riscos altos, o potencial de
dano deve ser reduzido até que o custo de reduções adicionais seja inteiramente desproporcionado para o
ganho de segurança obtido.
5.5 Documentação
O processo de apreciação do risco deverá ser documentado juntamente com os resultados da apreciação. Os
riscos deverão ser expressos em termos compreensíveis e as unidades em que o nível do risco é expresso
deverão ser claras.
A extensão do relato irá depender dos objetivos e do âmbito da apreciação. Exceto no caso de avaliações
muito simples, a documentação pode incluir:
objetivos e âmbito;
descrição das partes relevantes do sistema e das suas funções;
uma síntese do contexto externo e interno da organização e de como este se relaciona com a situação,
sistema ou circunstâncias que estão a ser avaliadas;
critérios do risco aplicados e a sua justificação;
limitações, pressupostos e justificação das hipóteses;
metodologia da apreciação;
resultados da identificação do risco;
dados, pressupostos e as suas fontes e validação;
resultados da análise do risco e a sua avaliação;
análise de sensibilidade e da incerteza;
pressupostos críticos e outros fatores que necessitam de ser monitorizados;
discussão dos resultados;
p. 19 de 99
conclusões e recomendações;
referências.
Se a apreciação do risco suporta um processo de gestão do risco continuado, deverá ser realizada e
documentada de tal forma que possa ser mantida durante todo o ciclo de vida do sistema, organização,
equipamento ou atividade. A apreciação deverá ser atualizada conforme seja disponibilizada nova
informação relevante e o contexto seja alterado, de acordo com as necessidades do processo de gestão.
p. 20 de 99
realizar uma apreciação do risco ou para auxiliar o processo da apreciação do risco. Por vezes poderá ser
necessário empregar mais de um método de apreciação.
p. 21de99
6.5 Complexidade
Os riscos podem ser intrinsecamente complexos, como, por exemplo, em sistemas complexos caso em que é
necessário apreciar os riscos do sistema globalmente, em vez de tratar cada um dos componentes
separadamente e ignorando as interações. Noutros casos, o tratamento de um único risco pode ter outras
implicações e impacto noutras atividades. Os impactos sequenciais e as dependências do risco têm de ser
entendidos para garantir que na gestão de um risco não é criada algures uma situação intolerável.
Compreender a complexidade de um único risco ou de uma carteira de riscos de uma organização é
fundamental para a seleção do método ou das técnicas adequados para a apreciação do risco.
p. 22 de 99
os estudos de custo/beneficio;
a identificação dos riscos que impactem nas fases do ciclo de vida subsequentes.
Com o decorrer da atividade a apreciação do risco pode ser usada para fornecer informação que contribua
para a elaboração de procedimentos para condições normais e de emergência.
p . 23 de 99
Anexo A
(informativo)
p. 24 de 99
estruturadas e O 1'rains1orming pode ser estimulado por interrogações breves ou através de tecnicas de Baixa Baixa Baixa Não o
o.
!Jrai.ns1orming entrevista um a um ou um eont.r;; lodos. ~
Cll
(ti
Meio de combinar a opinião de especialistas que sustentem a identificação d.'.I ori.gem e :i
~
influencia, a est.im;;tiva da proOO.bilidade e consequencia e a avaliação do ri!-00. :E. uma 3
Tecmca de Delphi Médi;i Media Média Nà-0 (1)
tecmca colaborativa na construção de um comenso entre especialistas. ::i
......
Jmplica a aruilise independente e a votação dos especialistas. ~
Cll
(1)
......
(1),
Tecnira Sistema que incita uma equipa a identificar o; riscos.. Normalmente utilizado num c.onte.xto (")
::i
estruturada ''What- de uma sessão de trabalho preparada para o efeito. Normalmente associado a uma tecnica Média Médio; Qualquer Não n·
~
if' (SWlIT) de anàlise e avaliaçà-0 do ri..<.eo. Cll
"O
~
Avaliação da .....
Awil.iação dai fiabilidade humana (HR.A) que traia do impacto humano no desempenho dos ~
fiabilidade humana Média Média Média Sim ~
sistemas. Pode rer usado para avaliar a influencia do erro humano no sistema. "O
.....
(HRA) (1)
(")
ANALISE DE CENA.RlOS p;;·
'"(°)
Uma perda isolada que ocorreu eanahs.ada a fim de compreender as suas causas e ~!
o
A.nàlíse de causa determinar como o sistema ou processos podem ser melhorados de forma a evitar futuras o.
Médi-a Baixa Média N'ao o
raiz(RCA) perdas desse tipo. A análise deve considerar quais os controlos que existiam no momento
1~
.....
em que a perda ocorreu e como de-1-erà-O ser melhorados. e;;· N
Q
~ 'Z
(")
o
N
lo-o' 'Z "'t1
~
u.. ~
lo-o'
o.
(1) Q
lo-o'
'°
'° Q
'? N t'rj Z
N
Q-1 ez~
o. O'\ w
(!) ~
\,Q Q
\,Q ~
Rt>le>incia.dos fatcm;s ce>m in.flu.ência. Q
l ipo1d.e T écnic:a. Res.ulta..de>
Natureza e
de Aprecia.ç:io do, n es.c riçfo Recurse>s. e
gra.u de O:im.plexida.de Qua.ntita.tho
Risc-0 Capa.cidade
in.c.erteza.
Os perigos, são identificados. e analisados e identificadas. as pos.;'iveis vias airaives das quais
Apreciação da um objetivo e.specifa-.o pode s.er exposto ao perigo. faforma.çio s.obre o nível de exposição e
Alta Alta Media Sim
tol>ici.d11de a natureza do dano cama.do, para um dado n.i\·el de expru.,içào, S'ão combinada.s para dar uma
medida da probabilidade em que o dano especificado oc.orrer<i.
Analise de impacto l . .. . . . . . .
. . Prnpornona urm am.1h.s.e de como os prwnpais m.c.os disroptt\·os podem afetar a
nonegocm
operacionalidade de umai organização e identifica e qu:in!ifira os. recursm. que s.eriam Média Média Media: N'ao
''Butim.>s.s Impact
necessários paril!geri-los..
Analys.is." (BL.\)
Tt.cnira que ;.e inicia c-.om o e\·ento indesejado (evento de t·opo) e determina t:odasas
_.\n:ilise em arvore 1 m:ineiras em que este podeoc.orrer. São grafirnmente apresentados.por um diagrama de
Alta Alta Média Sim
de falhas (FTA) arvore. Uma ''ez des.envolvida a árvore de falhas, devem ser determinadas as formas de
reduzir ou eliminar as po!encilli.s. causas / fontes.
_.\nruis.e em :i.rvore 1Cooverter, u=do o raciocinio indutivo, a probabilidade de diferentes e\'entos iniciais, em
Média Media Media Sim
de eventos (ETA) resulta-dos. pornveis..
An:ilire ~:<füsas. 1 GOfllbinação_,entre a<irvore de falhas. e a árvore de evento que .permite a incluS'ão dos:atr<>ws
Alta Média Alta Sim
consequenctas tftllporai.s. Sii-o c.ons.1deradas t:int.oas camas. com.o as c.ons.equencras. dum e\1ento l!llnal.
Um res.ultado pode ter um conjunto de fui ores.que para ele contribuem que podem s.er
.~lis,e rama-e. 1agrupados. em diferentl's e.alegorias. O s fatores que c-.ont.ribuem s.ão identificados,
Ba1x" Bw Média Nà<:>
efeito frequenlemfl!te, em l>rai:nsrormings e apresent.adosnuma estrutura de arvore ou de diagrama
em e~.pinha d_e peixe.
Relevância dos fatores com influência
Tipo de Técnica
Natureza e Resultado
de Apreciação do Descrição Recursos e
grau de Complexidade Quantitativo
Risco Capacidade
incerteza
ANALISE DE FUNÇÕES
Análise de modo de falha e efeito (FMEA) é uma técrica que identifica os modos e
mecanismos de falha e os seus efeitos.
Existem vários tipos de FMEA: FMEA Conceção (ou pro duto) que é utilizado para os
Análise modo de
componentes ou produtos; FMEA Sistema que é utili3io para sistemas; FMEA Processos
falha e efeitos
que é utilizado para os processos de fabricação e cmtagem; FMEA Serviços e FMEA
(FMEA) e modo
Software. Média Média Média Sim
de falha, efeito e
da sua criticidade FMEA pode ser seguido por uma análise de criticidade que define a relevância de cada
(FMECA) modo de falha, qualitativamente, semi-qualitativamente ou quantitativamente (FMECA). A
análise de criticidade pode ser baseada na probabilidade de um modo de falha resultar em
falha do sistema ou no nível de risco associado aomodo de falha ou sobre o grau de
prioridade do risco.
Método para identificar as políticas que devem seimplementadas para gerir falhas, de
Manutenção modo a garantir, de forma eficiente e efetiva, oserquisitos desegurança, disponibilidade e
Média Média Média Sim
baseada na economia de operação para todos os tipos de equipamentos.
fiabilidade
Método que permite identificar erros de conceção. A condição oculta resulta de uma
condição latente de hardware, software ou de ambos, que pode causar que um evento não
Análise de
pretendido ocorra ou consta da inibição de um determinado evento pretendido, sem que tal
condições ocultas
tenha sido causado por falha de componentes. Estas condições são caracterizadas pela sua
(SA) e análise de Média Média Média Não
natureza aleatória e capacidade para escapar à deteção durante o mais rigoroso sistema de
circuitos ocultos
testes normalizados. As condições ocultas podem estar na origem de operação
(SCA)
inapropriada, perda de disponibilidade dos sisternasatrasos na programação ou até mesmo
a morte ou ferimentos a pessoas.
Processo geral de identificação do risco para definir possíveis desvios do desempenho
HAZOP esperado ou pretendido. Baseado na utilização de palavras guia. Média Alta Alta Não
A criticidade dos desvios é apreciada.
Análise de perigos
Sistema proactivo e preventivo que visa garantir a qualidade do produto, fiabilidade e
e pontos críticos
segurança dos processos de medição e controlo de características específicas que estão Média Média Média Não N~Z
de controlo
(HACCP)
obrigadas a estar dentro dos limites definidos. '::s ez~
....
N
O'\ ~
~
o..
(1) Q
\O ~
\O Q
'? N~Z
N
oc ez~
o.. 0-, ~
~ ~
l.O Q
l.O ~
Q
p. 29 de 99
Anexo B
(informativo)
Técnicas de apreciação do risco
B.1 Brainstorming*>
B.1.1 Visão geral
O brainstorming envolve estimular e encorajar uma conversa livre entre um grupo de pessoas conhecedoras,
para identificar potenciais modos de falha e os perigos, riscos, critérios para decisões e/Óu opções para
tratamento, associados. O termo brainstorming é frequentemente utilizado de forma corrente para referir
qualquer tipo de discussão em grupo. Contudo, o verdadeiro brainstorming envolve técnicas específicas para
tentar assegurar que a imaginação das pessoas seja despoletada pelos pensamentos e afirmações de outros no
grupo.
A facilitação eficaz é muito importante nesta técnica e inclui a estimulação no arranque da discussão, a
orientação periódica do grupo para outras áreas relevantes e a retenção dos assuntos que surjam da discussão
(que é habitualmente muito viva).
B.1.2 Utilização
O brainstorming pode ser utilizado em combinação com outros métodos de apreciação do risco descritos
abaixo ou pode manter-se isolado como uma técnica para encorajar a imaginação em qualquer fase do
processo de gestão do risco e em qualquer fase do ciclo de vida de um sistema. Poderá ser utilizado para
discussões de alto nível onde os assuntos são identificados, para uma revisão mais detalhada ou a um certo
nível de detalhe para problemas específicos.
O brainstorming coloca uma grande ênfase na imaginação. Portanto, é particularmente útil quando se
identificam riscos de novas tecnologias, quando não existem dados ou quando são necessárias soluções
inovadoras para os problemas.
B.1.3 Entradas
Uma equipa de pessoas com conhecimento da organização, do sistema, do processo ou da aplicação a serem
apreciados.
B.1.4 Processo
O brainstorming poderá ser formal ou informal. O brainstorming formal é mais estruturado, com os
participantes preparados previamente e tendo a sessão um propósito e um resultado definidos e meios para
avaliar as ideias apresentadas. O brainstorming informal é menos estruturado e frequentemente mais ad-hoc.
Num processo formal:
o facilitador prepara antes da sessão as pistas e os mecanismos desencadeadores da discussão apropriados
ao contexto;
'l Também pode ser designado por tempestade de ideias (nota nacional).
NP
EN 31010
2016
p. 30 de 99
B.1.5 Saídas
As saídas dependem da fase do processo da gestão do risco em que é aplicado, por exemplo, na fase de
identificação, os resultados poderão ser uma lista dos riscos e dos controlos atuais.
B.2.2 Utilização
As entrevistas estruturadas e semi-estruturadas são úteis quando é difícil juntar as pessoas para uma sessão
de brainstorming ou quando uma discussão livre num grupo não é apropriada para a situação ou pessoas
envolvidas. São frequentemente utilizadas para identificar riscos ou para avaliar a eficácia dos controlos
NP
EN 31010
2016
p. 31de99
existentes como parte da análise do risco. Poderão ser aplicadas em qualquer fase de um projeto ou processo.
São um meio de providenciar entradas das partes interessadas para a apreciação do risco.
B.2.3 Entradas
As entradas incluem:
uma definição clara dos objetivos das entrevistas;
uma lista dos entrevistados selecionados entre as partes interessadas relevantes;
um conjunto de questões preparadas.
B.2.4 Processo
Um conjunto de questões relevantes é criado para orientar o entrevistador. As questões deverão ser simples,
etn linguagem apropriada para o entrevistado, abranger um único assunto e ser abertas quando possível. Para
clarificação, podem ser também preparadas questões complementares.
As questões são então colocadas à pessoa entrevistada. Quando se procura o desenvolvimento do assunto, as
questões deverão ser abertas. Deverá haver o cuidado de não influenciar o entrevistado.
As respostas deverão ser consideradàs com um grau de flexibilidade de forma a dar a oportunidade de
explorar áreas para as quais o entrevistado poderá querer ir.
B.2.5 Saídas
As saídas são as opiniões das partes interessadas sobre os assuntos que foram objeto da entrevista.
p. 32 de 99
B.3.2 Utilização
A técnica Delphi pode ser aplicada em qualquer fase do processo da gestão do risco ou em qualquer fase do
ciclo de vida de um sistema, quando o consenso de pontos de vista de peritos é necessário.
B.3.3 Entradas
Um conjunto de opções para as quais é necessário consenso.
B.3.4 Processo
Um grupo de peritos é inquirido utilizando um questionário semi-estruturado. Os peritos não contactam entre
si, pelo que as suas opiniões são independentes.
O procedimento é descrito de seguida:
. .
formação de uma equipa para levar a cabo e monitorizar o processo Delphi ;
seleção de um grupo de peritos (poderá ser um ou mais painéis de peritos);
elaboração do questionário inicial ;
teste do questionário;
envio do questionário para os membros do painel individualmente;
análise da informação da primeira ronda de respostas, combinada e retransmitida aos membros do painel;
resposta dos membros do painel e repetição do processo até o consenso ser alcançado.
B.3.5 Saídas
Convergência para o consenso sobre o assunto em questão.
p. 33 de 99
B.4.2 Utilização
As listas de verificação podem ser utilizadas para identificar perigos e riscos ou para avaliar a eficácia dos
controlos. Podem ser usadas em qualquer fase do ciclo de vida de um produto, processo ou sistema. Poderão
ser usadas como parte de outras técnicas de apreciação do risco, mas são mais úteis quando aplicadas para
verificar que tudo foi coberto após a aplicação de uma técnica mais imaginativa que identifique novos
problemas.
B.4.3 Entradas
Informação e competência adquiridas sobre o assunto de forma a que uma lista de verificação adequada, e de
preferência validada, possa ser selecionada ou elaborada.
B.4.4 Processo
A forma de proceder é descrita de seguida:
definição do âmbito da atividade;
seleção de uma lista de verificação que cubra adequadamente o âmbito. As listas de verificação
necessitam de ser cuidadosamente selecionadas para o fim em vista. Por exemplo uma lista de
verificação de controlos padrão não pode ser utilizada para identificar novos perigos ou riscos;
a pessoa ou equipa que utiliza a lista de verificação percorre cada elemento do processo ou do sistema e
confirma se os itens da lista de verificação estão presentes.
B.4.5 Saídas
As saídas dependem da fase do processo de gestão do risco em que são aplicadas. Por exemplo, a saída
poderá ser uma lista de controlos que são inadequados ou uma lista de riscos.
p. 34 de 99
B.5.2 Utilização
A PHA é habitualmente aplicada no início do desenvolvimento de um projeto quando existe pouca
informação sobre os detalhes da conceção ou sobre os procedímen'tos operacionais e frequentemente pode
ser um precursor de estudos posteriores ou pode fornecer informação para a especificação da conceção de
um sistema. Também pode ser útil quando da análise de sistemas existentes para priorizar os perigos e os
riscos para análises posteriores ou quando as circunstâncias não permitem a utilização de uma técnica mais
completa.
B.5.3 Entradas
As entradas incluem:
informação sobre o sistema a ser avaliado;
detalhes da conceção do sistema que estão disponíveis e são relevantes.
B.5.4 Processo
É elaborada uma lista de pengos, de situações perigosas genéricas e de riscos, por consideração de
características tais como:
materiais utilizados ou produzidos e sua reatividade;
equipamentos utilizados;
ambiente operacional;
esquema de implantação;
interfaces entre os componentes do sistema, entre outras.
Poderá ser realizada uma análise qualitativa das consequências de um evento indesejado e das suas
probabilidades, para identificar riscos para uma apreciação posterior.
A PHA deverá ser atualizada durante as fases de conceção, execução e ensaio de modo a detetar quaisquer
novos perigos e fazer correções, se necessário. Os resultados obtidos poderão ser apresentados de maneiras
diferentes, tais como quadros e diagramas em árvore.
B.5.5 Saídas
As saídas incluem:
*) PHA - acrónimo da designação original "Preliminary Hazard Analysis'', mantido como referência nesta versão portuguesa (nota
nacional).
NP
EN 31010
2016
p. 35 de 99
B.6HAZOP
B.6.1 Visão geral
HAZOP é o acrónimo de "HAZard and OPerability study"*l e consiste num exame sistemático e estruturado
de um produto, processo, procedimento ou sistema, planeado ou existente. É uma técnica para identificar
riscos para as pessoas, para o equipamento, para o ambiente e/ou para os objetivos organizacionais.
Espera-se também que a equipa que realiza o estudo forneça, quando possível, uma solução para tratar o
risco.
O processo HAZOP é uma técnica qualitativa baseada na utilização de palavras orientadoras que questionam
como a intenção da conceção ou as condições de funcionamento poderão não ser atingidas em cada passo da
conceção, do processo, do procedimento ou do sistema. Geralmente é realizado por uma equipa
multidisciplinar durante um conjunto de reuniões.
O HAZOP é semelhante ao FMEA na medida em que identifica os modos de falha de um processo, sistema
ou procedimento, as suas causas e consequências. A diferença reside no facto da equipa considerar resultados
indesejados e desvios dos resultados e condições pretendidos, e trabalhar de forma retrospetiva as possíveis
causas e modos de falha, enquanto que o FMEA começa por identificar os modos de falha.
B.6.2 Utilização
A técnica HAZOP foi inicialmente desenvolvida para analisar sistemas na indústria química de processo mas
a sua aplicação foi estendida a outros tipos de sistemas e operações complexas. Estes incluem sistemas
mecânicos e eletrónicos, procedimentos e software, e mesmo as alterações organizacionais e a conceção e
revisão de contratos jurídicos.
O processo HAZOP pode tratar de todas as formas de desvio do objetivo da conceção devido a deficiências
na conceção, no(s) componente(s), nos procedimentos planeados e nas ações humanas.
É largamente utilizado para a revisão da conceção de software. Quando aplicado ao comando de
instrumentos de segurança críticos e aos sistemas informáticos poderá ser conhecido como CHAZOP
(Control HAZards and OPerability Analysis **) ou computer hazard and operability analysis ***l).
p. 36 de 99
O estudo HAZOP é habitualmente realizado na fase de detalhe da conceção, quando está disponível um
diagrama completo do processo previsto, mas enquanto ainda são praticáveis as alterações da conceção.
Poderá contudo ser realizado numa abordagem faseada com diferentes palavras guia para cada fase, enquanto
os detalhes de conceção são desenvolvidos. O estudo HAZOP também poderá ser realizado durante o
funcionamento, mas as alterações requeridas podem ter um custo elevado nesta fase.
B.6.3 Entradas
As entradas essenciais para um estudo HAZOP incluem informação atualizada sobre o sistema, o processo
ou o procedimento a ser revisto, o objetivo e as especificações de desempenho da conceção. As entradas
poderão incluir: desenhos, especificações, fluxogramas, diagramas lógicos e do controlo do processo,
desenhos de implantação, procedimentos de funcionamento e de manutenção e procedimentos de resposta a
emergências. Para os estudos HAZOP não relativos a hardware a entrada pode ser qualquer documento que
descreva funções e elementos do sistema ou procedimento em estudo. As entradas podem ser, p. ex.
diagramas organizacionais e descrições de função, uma minuta de contrato ou mesmo uma· mitluta de
procedimento.
B.6.4 Processo
O HAZOP considera a conceção e a especificação do processo, procedimento ou sistema a ser estudado e
revê cada componente para identificar que desvios dos desempenhos pretendidos podem ocorrer, quais são as
causas potenciais e quais são as consequências verosímeis de um desvio. Isto é conseguido examinando
sistematicamente o modo como cada componente do sistema, processo ou procedimento responderá a
alterações em parâmetros chave por utilização de palavras guia adequadas. As palavras guia podem ser
adaptadas para um sistema específico, processo ou procedimento ou podem ser utilizadas palavras genéricas
para abranger todos os tipos de desvio. O Quadro B.1 fornece exemplos de palavras guia habitualmente
utilizadas para sistemas técnicos. Palavras guia similares como "demasiado cedo", "demasiado tarde",
"demasiado", "demasiado pouco", "demasiado longo", "demasiado curto", "sentido errado'', "objeto errado'',
"ação errada", podem ser utilizadas para identificar modos de erros humanos.
Os passos normais num estudo HAZOP incluem:
nomeação de uma pessoa com as necessárias responsabilidade e autoridade para conduzir o estudo
HAZOP e para assegurar que quaisquer ações resultantes do estudo são completadas;
definição do âmbito e dos objetivos do estudo;
estabelecimento de um conjunto de palavras chave ou palavras guia para o estudo;
definição de uma equipa de estudo HAZOP; esta equipa é habitualmente multidisciplinar e deverá incluir
pessoas ligadas à conceção e à operação com experiência técnica apropriada para avaliar os efeitos dos
desvios da conceção pretendida ou atual. Recomenda-se que a equipa inclua pessoas não envolvidas
diretamente na conceção ou no sistema, processo ou procedimento sob revisão;
compilação da documentação requerida.
Numa sessão de trabalho com a equipa de estudo:
decomposição do sistema, processo ou procedimento em elementos mais pequenos ou em subsistemas ou
subprocessos ou subelementos para tomar a revisão tangível;
acordo sobre a conceção pretendida para cada subsistema, subprocesso ou subelemento, e então, para
cada item desse subsistema ou elemento, aplicar sucessivamente as palavras guia de modo a antecipar os
desvios possíveis que produzirão resultados indesejáveis;
NP
EN 31010
2016
p. 37 de 99
Nenhum ou não O resultado pretendido não é atingido nem mesmo parcialmente ou a condição pretendida é ausente
Mais (maior) Aumento quantitativo do resultado ou da condição de funcionamento
Menos (menor) Diminuição quantitativa
Tanto como Aumento quantitativo (p. ex. material adicional)
Parte de Diminuição quantitativa (p. ex. só um ou dois componentes de uma mistura)
Inverso/oposto Oposto (p. ex. refluxo)
Em vez de Nenhuma parte do pretendido é alcançado, algo completamente diferente ocorre (p. ex. fluxo ou material
errado)
Compatibi 1idade Materiais; ambiente
B.6.5 Saídas
Atas das reuniões HAZOP com itens para cada ponto de revisão registado. Isto deverá incluir: as palavras
guia utilizadas, o(s) desvio(s), causas possíveis, ações para tratar os problemas identificados e pessoa
responsável pela ação.
Para qualquer desvio que não possa ser corrigido, deverá ser avaliado o risco do desvio.
p. 38 de 99
origina um registo escrito do processo que pode ser usado para demonstrar a due diligence *l.
Nas limitações incluem-se:
uma análise detalhada pode ser morosa e consequentemente dispendiosa;
uma análise detalhada requer um nível elevado de documentação ou de especificação do
sistema/processo e do procedimento;
pode focar-se em encontrar soluções detalhadas e não tanto em questionar pressupostos fundamentais
(contudo, isto pode ser mitigado por uma abordagem faseada);
a discussão pode ser focada em questões de detalhe da conceção e não em questões mais alargadas ou
externas;
é limitada pela conceção (em esboço) e pelas intenções da conceção e pelo âmbito e objetivos fornecidos
à equipa; ·
o processo depende fortemente das competências dos autores da conceção e estes poderão ter dificuldade
em permanecer suficientemente objetivos para procurar os problemas que as suas conceções possam
apresentar.
B.7.2 Utilização
O HACCP foi desenvolvido para assegurar a qualidade dos alimentos no programa espacial da NASA.
Atualmente é utilizado pelas organizações que operam em qualquer etapa da cadeia alimentar para controlar
os riscos associados aos contaminantes físicos, químicos ou biológicos dos alimentos. Tem sido ainda
alargada a sua utilização à produção de produtos farmacêuticos e para os dispositivos médicos. O princípio
de identificar aspetos que podem influenciar a qualidade do produto e definir, num processo, os pontos onde
parâmetros críticos podem ser monitorizados e os perigos controlados, pode ser generalizado para outros
sistemas técnicos.
B.7.3 Entradas
O HACCP inicia-se a partir de um fluxograma base ou diagrama de processo de base e da informação sobre
os perigos que poderão afetar a qualidade, a segurança ou a fiabilidade do produto ou do resultado do
processo. São entradas para o HACCP, a informação sobre os perigos e os seus riscos e formas de os
controlar.
'l "Due diligence " é um termo comum que pode ser traduzido em português como Diligência Prévia (nota nacional).
'*l Acrónimo da designação original "Hazard Analysis and Critica! Contrai Point", mantido nesta versão Portuguesa (nota
nacional).
NP
EN 31010
2016
p. 39 de 99
B.7.4 Processo
O HACCP assenta nos sete princípios seguintes:
identificação dos perigos e das medidas preventivas relacionadas com esses perigos;
determinação dos pontos do processo onde os perigos podem ser controlados ou eliminados (os pontos
críticos de controlo ou PCC);
estabelecimento dos limites críticos necessários para controlar os perigos, isto é, cada PCC deverá operar
dentro de parâmetros específicos para assegurar que o perigo é controlado;
monitorização dos limites críticos para cada PCC a intervalos definidos;
estabelecimento de ações corretivas se o processo ultrapassa os limites estabelecidos;
estabeledmen~o de procedimentos de verificação;
implementação de procedimentos de manutenção de registos e de documentação para cada etapa.
B.7 .5 Saídas
Registos documentados, incluindo um quadro de a_nálise de perigos e um plano HACCP.
O quadro de análise de perigos lista, para cada etapa do processo:
os perigos que poderão ser introduzidos, controlados ou agravados na etapa;
se os perigos representam um risco significativo (com base na consideração da consequência e
probabilidade a partir da experiência, dos dados e da documentação técnica);
a justificação para a significância;
possíveis medidas preventivas para cada perigo;
se podem ser aplicadas a monitorização ou medidas de controlo na etapa (isto é, é um PCC?).
O plano HACCP define os procedimentos a seguir de modo a garantir o controlo específico de uma
conceção, produto, processo ou procedimento. O plano inclui uma lista de todos os PCC, e para cada PCC:
os limites críticos para as medidas preventivas;
atividades de monitorização e de controlo contínuo (incluindo o quê, como e quando a monitorização irá
ser realizada e por quem);
as ações corretivas requeridas se são detetados desvios aos limites críticos;
atividades de verificação e de manutenção dos registos.
p. 40 de 99
As limitações incluem:
o HACCP requer que os perigos sejam identificados, os riscos que representam definidos e a sua
significância entendidos como entradas do processo. Também é necessário definir controlos adequados.
Estes são necessários para especificar pontos críticos de controlo e parâmetros de controlo durante o
HACCP, podendo ser necessária a sua combinação com outras ferramentas para o conseguir;
atuando-se apenas quando os parâmetros de controlo ultrapassam os limites definidos, as alterações
graduais nos parâmetros de controlo poderão não ser detetadas e, sendo estas estatisticamente
significativas, deveriam originar a devida atuação.
B.8.2 Utilização
O processo é utilizado para apreciar os riscos para as plantas, para os animais e para os seres humanos, em
resultado da exposição a perigos, tais como produtos químicos, microrganismos ou outras espécies.
Aspetos da metodologia, tais como a análise das vias de exposição que explora as diferentes vias pelas quais
um alvo poderia ser exposto a uma fonte do risco, podem ser adaptados e utilizados numa ampla gama de
diferentes áreas do risco, para além da saúde humana e do ambiente, e são úteis para identificar tratamentos
para reduzir o risco.
B.8.3 Entradas
O método requer bons dados sobre a natureza e as propriedades dos perigos, as suscetibilidades da população
(ou populações) alvo e o modo como os dois interagem. Estes dados são normalmente baseados numa
pesquisa que poderá ser laboratorial ou epidemiológica.
B.8.4 Processo
O procedimento é descrito de seguida:
a) formulação do problema - inclui o estabelecimento do âmbito da apreciação, definindo a gama das
populações-alvo e os tipos de perigo de interesse;
b) identificação do perigo - envolve a identificação de todas as possíveis fontes de dano para a população-
alvo a partir dos perigos no âmbito do estudo. A identificação do perigo baseia-se normalmente no
conhecimento especializado e numa revisão da literatura;
c) análise do perigo - envolve a compreensão da natureza do perigo e o modo como este interage com o
alvo. Por exemplo, ao considerar-se a exposição humana aos efeitos químicos, o perigo poderia incluir a
NP
EN 31010
2016
p. 41de99
toxicidade aguda e crónica, o potencial para danificar o ADN ou o potencial para causar cancro ou
malformações congénitas. Para cada efeito perigoso, a magnitude do efeito (a resposta) é comparada
com a quantidade do perigo ao qual o alvo está exposto (a dose) e, sempre que possível, é determinado o
mecanismo pelo qual o efeito é produzido. Os níveis a que não ocorre qualquer efeito observável
(NOEL) ou efeito adverso observável (NOAEL) são registados. Estes são por vezes utilizados como
critérios da aceitabilidade do risco.
Resposta
observada
Curva
dose-resposta
Umlarda
resposta
adversa
Llmlarda Dose
resposta
observada
IEC ~06209
p. 42 de 99
uma triagem inicial e a análise detalhada dos perigos e da exposição e a caracterização dos riscos
efetuadas nos cenários do risco mais elevado.
B.8.5 Saídas
A saída é normalmente uma indicação do nível do risco de exposição de um alvo em particular a um perigo
particular no contexto em causa. O risco poderá ser expresso quantitativa, semi-quantitativa ou
qualitativamente. Por exemplo, o risco de cancro é muitas vezes expresso quantitativamente como a
probabilidade de que uma pessoa possa desenvolver cancro durante um determinado período de tempo, dada
uma exposição a um contaminante especificada. A análise semi-quantitativa poderá ser utilizada para obter
um índice do risco de um determinado contaminante ou praga e o resultado qualitativo poderá ser um nível
do risco (p. ex. alto, médio ou baixo) ou uma descrição com dados reais sobre os efeitos prováveis.
B.9.2 Utilização
Não obstante a SWIFT ter sido originalmente concebida para estudar perigos em instalações químicas e
petroquímicas, a técnica tem agora uma vasta aplicação a sistemas, itens de instalações, organizações ou
procedimentos em geral.
É particularmente utilizada para analisar as consequências de alterações e os riscos, alterados ou criados,
decorrentes destas.
B.9.3 Entradas
O sistema, procedimento, item de uma instalação e/ou alteração devem ser cuidadosamente definidos antes
do início do estudo. Os contextos externo e interno são estabelecidos pelo facilitador a partir de entrevistas e
análise de documentos, planos e desenhos. Normalmente, o item, situação ou sistema em estudo é
p. 43 de 99
decomposto em nós ou elementos chave para facilitar a análise do processo, o que raramente acontece para o
nível de definição requerido pelo HAZOP.
Outro dado chave de entrada é o nível de especialização e de experiência da equipa de estudo, cuja seleção
deve ser muito cuidada. Todas as partes interessadas devem estar representadas, se possível em conjunto com
os que detêm experiência em itens, sistemas, alterações ou situações similares.
B.9.4 Processo
O processo geral é descrito de seguida:
a) antes do estudo se iniciar, o facilitador prepara a lista adequada de palavras ou frases chave que poderá
ser baseada num conjunto padronizado ou ser criada de forma a proporcionar uma visão exaustiva dos
. .
pengos ou nscos;
b) os contextos externo e interno do item, sistema, alteração ou situação, bem como o âmbito do estudo,
são discutidos e acordados nas sessões de trabalho; · ·
c) o facilitador solicita aos participantes que indiquem e discutam:
- riscos e perigos conhecidos;
experiência e incidentes anteriores;
- controlos e salvaguardas existentes e conhecidos;
- restrições e requisitos regulamentares.
d) a discussão é promovida a partir de uma pergunta que utiliza uma frase do tipo "e se ... " e uma palavra
ou assunto chave. As frases a utilizar são "e se .. . ", "O que aconteceria se . .. '', "Poderá alguém ou
algo ... ", "Alguém ou algo alguma vez . ..." . O objetivo é estimular a equipa de estudo a explorar os
potenciais cenários, as suas causas e consequências e os respetivos impactos;
e) os riscos são sintetizados e a equipa concentra-se nos controlos existentes;
f) a descrição do risco, suas causas, consequências e controlos pretendidos devem ser confirmados pela
equipa e registados;
g) a equipa deve deliberar se os controlos são adequados e eficazes, e acorda uma declaração de eficácia
dos controlos. Se se concluir que os controlos não são satisfatórios, a equipa deve considerar aprofundar
as tarefas de tratamento do risco e definir possíveis controlos;
h) durante a discussão outras questões "e se ... " devem ser colocadas para a identificação de outros riscos;
i) o facilitador utiliza a lista de palavras chave para monitorizar o debate e sugerir questões e cenários
adicionais a serem discutidos pela equipa;
j) é habitual utilizar métodos de apreciação qualitativa ou semi-quantitativa do risco para classificar as
ações a empreender em termos de prioridade. A apreciação do risco é habitualmente conduzida de modo
a considerar os controlos existentes e a respetiva eficácia.
B.9.5 Saídas
As saídas incluem um registo de riscos com uma lista de prioridades de ações ou tarefas a empreender. Estas
tarefas podem vir a constituir a base de um plano de tratamento do risco.
p. 44 de 99
B.10.2 Utilização
A análise de cenários pode ser usada para apoiar a tomada de decisões de políticas e para planear estratégias
futuras, bem como para considerar as atividades existentes. Pode desempenhar um papel nas três
componentes da apreciação do risco. Para identificação e análise, conjuntos de cenários refletindo (por
exemplo) o "melhor caso", o "pior caso" e o "caso esperado" podem ser usados para identificar o que pode
acontecer em circunstâncias particulares e analisar potenciais consequências e suas probabilidades para cada
cenário.
NP
EN 31010
2016
p. 45 de 99
A análise de cenanos poderá ser usada para antecipar como as ameaças e as oportunidades se podem
desenvolver e poderá ser utilizada para todos os tipos do risco com intervalos de tempo, tanto de curto como
de longo prazo. Com intervalos de tempo curtos e dados fiáveis, poderão ser extrapolados cenários prováveis
a partir do presente. Para intervalos de tempo longos ou com dados menos fiáveis, a análise de cenários
toma-se mais imaginativa e poderá servir de referência para análises futuras .
A análise de cenários pode ser útil quando existem fortes diferenças de distribuição entre resultados positivos
e resultados negativos no espaço, tempo e grupos na comunidade ou na organização.
B.10.3 Entradas
O pré-requisito para uma análise de cenários é uma equipa de pessoas que entre elas têm uma compreensão
da natureza das alterações relevantes (por exemplo, possíveis avanços em tecnologia) e imaginação para
pensar no futuro sem necessariamente extrapolar a partir do passado. O acesso a literatura e dados sobre as
mudanças em curso também é útil.
B.10.4 Processo
A estrutura para a análise de cenários pode ser informal ou formal.
Tendo estabelecido uma equipa e canais de comunicação relevantes, e definido o contexto do problema e
assuntos a serem considerados, o próximo passo é identificar a natureza das mudanças que possam ocorrer.
Vai requerer investigação sobre as principais tendências, e sobre o momento provável de mudança nas
tendências, bem como um pensamento imaginativo sobre o futuro.
As alterações a serem consideradas podem incluir:
mudanças externas (tais como mudanças tecnológicas);
decisões que precisam de ser tomadas no futuro próximo, mas que podem ter uma variedade de
resultados;
necessidades das partes interessadas e como elas poderão mudar;
mudanças no ambiente macro (regulamentares, demográficas, etc.). Algumas serão inevitáveis e algumas
serão incertas.
Por vezes, uma alteração pode ser devida às consequências de outro risco. Por exemplo, o risco de mudança
climática está a resultar em mudanças na procura do consumidor em função das distâncias até ao
aprovisionamento dos alimentos. Isto vai influenciar quais os alimentos que podem ser exportados de forma
rentável, bem como, quais os alimentos que podem ser cultivados localmente.
Os fatores ou tendências locais e macro podem ser agora listadas e classificadas por (1) importância e (2)
incerteza. É dada especial atenção aos fatores que são mais importantes e mais incertos. Os fatores ou
tendências principais são mapeados entre si para mostrar as áreas onde podem ser desenvolvidos cenários.
Uma série de cenários é proposta em que cada um foca uma mudança plausível nos parâmetros.
Para cada cenário é então escrita uma "história" que conta o seu processo de passagem. As histórias poderão
incluir detalhes plausíveis que acrescentem valor aos cenários.
Os cenários podem então ser usados para testar ou avaliar a questão original. O teste tem em conta quaisquer
fatores significativos, mas previsíveis (p. ex. práticas habituais), e em seguida, explora o quão bem-sucedida
seria a política (atividade) nesse novo cenário, e faz testes prévios aos resultados usando perguntas "e se"
baseadas nas premissas do modelo.
Quando a questão ou a proposta tiver sido avaliada no que diz respeito a cada um dos cenários, poderá ser
óbvia a necessidade de ser modificada para tomá-la mais robusta ou menos arriscada. Deverá também ser
possível identificar alguns dos principais indicadores que mostrem quando é que a mudança irá ocorrer.
NP
EN 31010
2016
p. 46 de 99
Monitorizar e responder aos principais indicadores poderá proporcionar a oportunidade para a mudança nas
estratégias planeadas.
Como os cenários são apenas "partes" definidas de futuros possíveis, é importante ter a certeza de que é tida
em conta a probabilidade de ocorrência de um resultado específico (cenário), ou seja, adotar uma estrutura de
enquadramento do risco. Por exemplo, quando são usados o melhor, o pior e o cenário esperado, deverá ser
feita uma tentativa para qualificar, ou expressar a probabilidade de ocorrência de cada cenário.
B.10.5 Saídas
Pode não haver um cenário que melhor se ajuste, mas devemos ficar com uma perceção clara da variedade de
opções, e de como podemos modificar o curso de ação escolhido à medida que os indicadores evoluem.
B.11.2 Utilização
A BIA é usada para determinar a criticidade e os prazos de recuperação dos processos e recursos associados
(pessoas, equipamentos, tecnologias de informação) para garantir a consecução continuada dos objetivos.
p. 47 de 99
B.11.3 Entradas
As entradas incluem:
uma equipa para realizar a análise e desenvolver um plano;
informação sobre os objetivos, contexto, operações e interdependências da organização;
detalhes sobre as atividades e operações da organização, incluindo os processos, recursos de apoio,
relações com outras organizações, acordos de subcontratação, partes interessadas;
perdas financeiras e consequências operacionais da disrupção de processos críticos;
questionário específico; .
lista de entrevistados de áreas relevantes da organização e/ou partes interessadas a contactar.
B.11.4 Processo
A BIA pode ser realizada por meio de questionários, entrevistas, sessões de trabalho estruturadas ou
combinações dos três, para obter uma compreensão dos processos críticos, dos efeitos da perda desses
processos, dos prazos de recuperação requeridos e dos recursos de apoio.
As etapas chave incluem:
a confirmação dos processos chave e resultados da organização para determinar a criticidade dos
processos, com base na avaliação do risco e da vulnerabilidade;
a determinação das consequências de uma disrupção nos processos críticos identificados em termos
financeiros e/ou operacionais, em períodos definidos;
a identificação das interdependências com as principais partes interessadas internas e externas. Isto pode
incluir o mapeamento da natureza das interdependências através da cadeia de fornecimento;
a determinação dos recursos atualmente disponíveis e do nível essencial de recursos necessários para
continuar a operar a um nível mínimo aceitável após uma disrupção;
a identificação de processos e soluções alternativos atualmente em uso ou planeadas para serem
desenvolvidas. Soluções e processos alternativos podem precisar de ser desenvolvidos, quando os
recursos ou capacidades estão inacessíveis ou são insuficientes durante uma disrupção;
a determinação do tempo máximo de indisponibilidade aceitável (MAO*)) para cada processo, baseado
nas consequências identificadas e nos fatores críticos de sucesso para a função. O MAO representa o
período máximo de tempo durante o qual a organização pode tolerar a perda de capacidade;
a determinação do(s) objetivo(s) de tempo(s) de recuperação (RTo**l) para qualquer equipamento
especializado ou tecnologia da informação. O RTO representa o tempo dentro do qual a organização
pretende recuperar a capacidade do equipamento especializado ou da tecnologia da informação;
a confirmação do atual nível de preparação dos processos críticos para gerir uma disrupção. Isto pode
incluir a avaliação do nível de redundância dentro do processo (p. ex. equipamentos de reserva) ou a
existência de fornecedores alternativos.
p. 48 de 99
B.11.5 Saídas
As saídas são as seguintes:
lista de prioridades de processos críticos e interdependências associadas;
impactos financeiros e operacionais documentados resultantes de uma perda dos processos críticos;
recursos de apoio necessários para os processos críticos identificados;
intervalos de tempo de indisponibilidade para os processos críticos e intervalos de tempo de recuperação
para as tecnologias da informação associadas.
B.12.2 Utilização
A RCA é aplicável em diversos contextos cobrindo as seguintes grandes áreas de utilização:
a RCA baseada na segurança é utilizada na investigação de acidentes e no âmbito da segurança e saúde
ocupacional;
p. 49 de 99
B.12.3 Entradas
As principais entradas numa RCA são todas as evidências recolhidas da falha ou da perda. Os dados
provenientes de falhas similares poderão também ser considerados na análise. Outras entradas poderão ser
resultados que servem para testar hipóteses específicas.
B.12.4 Processo
Quando é identificada a necessidade de uma análise RCA, é designado um grupo de especialistas para a
realizar e fazer recomendações. O tipo de especialista depende principalmente da área específica de
conhecimento necessária à análise da falha.
Embora seja possível utilizar métodos diferentes para a realização da análise, as etapas de base numa análise
RCA são semelhantes e incluem:
constituir a equipa;
definir o âmbito e os objetivos da RCA;
recolher dados e evidências da falha ou perda;
realizar uma análise estruturada para determinar a causa raiz;
desenvolver soluções e fazer recomendações;
implementar as recomendações;
verificar o sucesso das recomendações implementadas.
As técnicas de análise estruturada poderão consistir numa das seguintes:
técnica dos "5 porquês", isto é, repetidamente perguntar ' porquê?' para remover camadas de causas e
subcausas;
análise dos modos de falha e de efeitos;
análise por árvore de falhas;
diagramas em espinha de peixe ou de Ishikawa;
análise de Pareto;
mapeamento das causas raiz.
A avaliação das causas progride muitas vezes da análise das causas físicas inicialmente evidentes para causas
humanas relacionadas e, finalmente, para causas subjacentes à gestão ou fundamentais. Os fatores de
causalidade têm que poder ser controlados ou eliminados pelas partes envolvidas, de modo a que a ação
corretiva seja eficaz e se justifique.
NP
EN 31010
2016
p. 50 de 99
B.12.5 Saídas
Os resultados de uma análise RCA incluem:
a documentação dos dados e evidências compilados;
as hipóteses consideradas;
a conclusão sobre as causas raiz mais prováveis para a falha ou perda;
as recomendações quanto a ações corretivas.
B.13 Análise dos modos de falha e efeitos (FMEA *)) e análise dos modos de falha,
efeitos e criticidade (FMECA **))
B.13.1 Visão geral
A análise dos modos de falha e efeitos (FMEA) é uma técnica utilizada para identificar de que formas os
componentes, os sistemas ou os processos podem falhar no cumprimento da sua finalidade de conceção.
A FMEA identifica:
todos os potenciais modos de falha dos diferentes componentes de um sistema (um modo de falha é o que
se observa que falha ou que não funciona corretamente);
os efeitos que estas falhas podem ter no sistema;
os mecanismos de falha;
como evitar as falhas e/ou mitigar os efeitos das falhas no sistema.
A FMECA estende uma FMEA por forma a que cada modo de falha identificado seja classificado de acordo
com a sua importância ou criticidade.
*)Acrónimo da designação original "Fai/ure Modes and Effects Analysis ", mantido como referência nesta versão portuguesa (nota
nacional).
*'J Acrónimo da designação original "Failure Modes and Effects and Criticality Analysis ", mantido como referência nesta versão
portuguesa (nota nacional).
NP
EN 31010
2016
p. 51de99
Esta análise da criticidade é habitualmente qualitativa ou semi-quantitativa, mas poderá ser quantificada
utilizando taxas de falha reais.
B.13.2 Utilização
Há várias aplicações da FMEA: FMEA da Conceção (ou do produto) que é utilizada para componentes e
produtos, FMEA do Sistema que é utilizada para sistemas, FMEA do Processo que é utilizada para processos
de fabrico e de montagem, FMEA dos Serviços e FMEA do Software.
A FMEA/FMECA poderá ser aplicada durante a conceção, o fabrico ou o funcionamento de um sistema.
Contudo, para aumentar a fiabilidade, as modificações são geralmente implementadas mais facilmente na
fase de conceção. A FMEA e a FMECA poderão também ser aplicadas a processos e procedimentos. A
técnica é utilizada, p. ex., para identificar o potencial de erro médico em sistemas de cuidados de saúde e de
falhas em procedimentos de manutenção.
A FMEA/FMECA pode ser utilizada para:
apoiar a seleção de alternativas de conceção com alta fiabilidade;
- assegurar que todos os modos de falha de sistemas e de processos e os seus efeitos foram considerados
no sucesso operacional;
- identificar os modos e os efeitos do erro humano;
- fornecer uma base para o planeamento do ensaio e manutenção dos sistemas;
- melhorar a conceção de procedimentos e processos;
- fornecer informação qualitativa ou quantitativa para técnicas de análise tais como a análise de árvore de
falhas.
A FMEA e a FMECA podem fornecer entradas para outras técnicas de análise tais como a análise de árvore
de falhas, tanto ao nível qualitativo como quantitativo.
B.13.3 Entradas
A FMEA e a FMECA necessitam de informação suficientemente detalhada sobre os componentes do sistema
para permitir uma análise significativa dos modos em que cada componente pode falhar. Para uma FMEA da
Conceção detalhada o componente individual poderá estar a um nível detalhado, enquanto que para uma
FMEA de Sistemas de nível mais elevado os componentes poderão estar definidos a um nível superior.
A informação poderá incluir:
- desenhos ou um fluxograma do sistema a ser analisado e dos seus componentes ou os passos de um
processo;
- explicitação da função de cada passo de um processo ou de cada componente de um sistema;
- detalhes de parâmetros ambientais e outros que poderão afetar a operação;
- explicitação dos resultados de falhas específicas;
histórico de falhas, incluindo dados de taxas de falha, quando disponíveis.
B.13.4 Processo
O processo FMEA é descrito de seguida:
a) definição do âmbito e objetivos do estudo;
NP
EN 31010
2016
p. 52 de 99
b) constituição da equipa;
c) caracterização do sistema/processo a ser sujeito à FMECA;
d) decomposição do sistema nos seus componentes ou passos;
e) definição da função de cada passo ou componente;
f) resposta para cada componente ou passo enumerados a:
como pode cada componente falhar?
que mecanismos poderão produzir esses modos de falha?
que efeitos poderão existir se ocorrerem as falhas?
a falha é inofensiva ou prejudicial?
como é detetada a falha?
g) identificação, na conceção, das disposições inerentes para compensar a falha.
Na FMECA, a equipa de estudo continua, classificando cada um dos modos de falha identificados de acordo
com a sua criticidade.
Isto poderá ser feito de vários modos. Os métodos correntes incluem:
índice de criticidade do modo;
nível do risco;
número de prioridade do risco.
O modelo de criticidade é uma medida da probabilidade do modo considerado resultar em falha do sistema
no seu conjunto. É definido como:
Probabilidade do efeito da falha x Taxa de falha do modo x Tempo de funcionamento do sistema
É aplicado mais frequentemente a falhas de equipamento para as quais cada um destes termos pode ser
definido quantitativamente e os modos de falha têm todos a mesma consequência.
O nível do risco é obtido por combinação das consequências de um modo de falha ocorrido com a
probabilidade da falha. É utilizado quando as consequências dos diferentes modos de falha diferem e pode
ser aplicado a sistemas de equipamentos ou a processos. O nível do risco pode ser expresso qualitativa,
semi-quantitativa ou quantitativamente.
O número de prioridade do risco (RPN*l) é uma medida semi-quantitativa da criticidade, obtida por
multiplicação de números de escalas de classificação (habitualmente entre 1 e 1O) para a consequência da
falha, a verosimilhança da falha e a capacidade para detetar o problema (é atribuída uma maior prioridade a
uma falha se for difícil de detetar). Este método é utilizado frequentemente em aplicações de garantia da
qualidade.
Uma vez identificados os modos de falha e os mecanismos, podem ser definidas ações corretivas e
implementadas para os modos de falha mais significativos.
A FMEA é documentada num relatório que contém :
detalhes do sistema que foi analisado;
o modo como a análise foi realizada;
*l Acrónimo da designação orig inal '" Risk Priority Number '", mantido como referência nesta versão portuguesa (nota nacional).
NP
EN 31010
2016
p. 53 de 99
B.13.5 Saídas
A principal saída da FMEA é uma lista de modos de falha, mecanismos de falha e efeitos para cada
componente ou passo de um sistema ou processo (que poderá incluir informação sobre a verosimilhança da
falha) . Também é dada informação sobre as causas da falha e as consequências para o sistema no seu
conjunto. A saída da FMECA inclui uma classificação da importância baseada na verosimilhança de falha do
sistema, o nível do risco resultante do modo de falha ou uma combinação do nível do risco e a detetabilidade
do modo de falha.
A FMECA pode fornecer uma saída quantitativa se forem utilizados dados adequados de taxas de falha e de
consequências quantitativas.
p. 54 de 99
Fa lha no envio d o
sinal
Le1endi11
<>
c::::==:J
Eventos sem aná lise adicional imediata
IEC 2063/ 09
B.14.2 Utilização
Uma árvore de falhas pode ser utilizada de forma qualitativa para identificar causas e caminhos potenciais
para uma falha (o evento de topo), ou de forma quantitativa para calcular a probabilidade do evento de topo,
a partir do conhecimento das probabilidades dos eventos causais.
Pode ser utilizada na fase de conceção de um sistema para identificar potenciais causas de falha e
consequentemente selecionar entre diferentes opções de conceção. Pode ser utilizada na fase de
funcionamento para identificar como podem ocorrer falhas maiores e a importância relativa de diferentes
caminhos para o evento principal. Uma árvore de falhas pode também ser utilizada para analisar uma falha
que ocorreu, ilustrando em diagrama como diferentes eventos se conjugaram para causar a falha.
' J Acrónimo da designação original " Fault Tree Analysis ", mantido como referência nesta versão portuguesa (nota nacional).
NP
EN 31010
2016
p. 55 de 99
B.14.3 Entradas
Para a análise qualitativa, é requerida a compreensão do sistema e das causas de falha, assim como o
entendimento técnico de como o sistema pode falhar. Os diagramas detalhados são úteis para apoiar a
análise.
Para a análise quantitativa, são requeridos dados de taxas de falha ou a probabilidade de ocorrer um estado
de falha, para todos os eventos básicos na árvore de falhas.
B.14.4 Processo
Os passos para desenvolver uma árvore de falhas são os seguintes:
o evento de topo a ser analisado é definido. Este pode ser uma falha ou um resultado mais amplo dessa
falha. Quando o resultado é analisado, a árvore pode conter uma secção relativa à mitigação da falha em
causa;
começando pelo evento de topo, as possíveis causas imediatas ou os modos de falha que conduzem ao
evento de topo são identificados;
é analisada cada uma destas causas/modos de falha para identificar como tal falha pôde ocorrer;
segue-se a identificação passo a passo, do funcionamento indesejável do sistema para níveis
sucessivamente inferiores do sistema até que a análise posterior se tome improdutiva. Num sistema físico
este pode ser o nível da falha do componente. Os eventos e os fatores causais no nível mais baixo do
sistema analisado são designados por eventos de base;
- quando podem ser atribuídas probabilidades aos eventos de base, pode ser calculada a probabilidade do
evento de topo. Para que a quantificação seja válida, deve ser possível demonstrar que, para cada porta,
todas as entradas são as necessárias e suficientes para produzir o evento de saída. Se não for esse o caso,
a árvore de falhas não é válida para uma análise de probabilidade, mas poderá ser uma ferramenta útil
para ilustrar as relações causais.
Como parte da quantificação, a árvore de falhas poderá precisar de ser simplificada, utilizando a álgebra
Booleana para serem tidos em conta os modos de falha duplicados.
Ela também pode fornecer uma estimativa da probabilidade do evento principal, bem como podem ser
identificados conjuntos de cortes mínimos, que constituem caminhos individuais para o evento principal e ser
calculada a sua influência no evento de topo.
À exceção para árvores de falhas simples, é necessário um software para tratar os cálculos adequadamente
quando estão presentes eventos repetidos em vários locais na árvore de falhas e para calcular os cortes
mínimos. As ferramentas de software ajudam a assegurar a consistência, a correção e verificabilidade.
B.14.5 Saídas
As saídas da análise em árvore de falhas são as seguintes:
uma representação gráfica de como o evento de topo pode ocorrer, mostrando caminhos interatuantes nos
quais podem ocorrer dois ou mais eventos simultâneos;
uma lista de conjuntos de corte mínimos (caminhos individuais para a falha) com a probabilidade de
ocorrência de cada um (quando existam dados disponíveis);
a probabilidade do evento de topo.
NP
EN 31010
2016
p. 56 de 99
p. 57 de 99
Incêndio
Sim
controlado com 7,9 X 10·3
0,999
alarme
Si m
0,99
Incêndio
Não
controlado sem 7,9X 10· 6
0,001
alarme
Sim
0,8
Incêndio não
Si m
controlado com 8,0 X 10-s
0,999
alarme
Não
Exp losão 0,01
10·2 por ano Incêndi o não
Não
controlado sem 8,0X lff8
0,001
alarme
Não
Sem incêndio 2,0 X l ff 3
0, 2
IEC 2064/09
B.15.2 Utilização
A ETA pode ser utilizada para modelizar, calcular e classificar (do ponto de vista do risco) diferentes
cenários de acidentes subsequentes a um evento iniciador.
A ETA pode ser utilizada em qualquer fase do ciclo de vida de um produto ou de um processo. Poderá ser
utilizada qualitativamente para debater cenários e sequências de eventos subsequentes a um evento iniciador
e a definir o modo como os resultados são afetados por vários tratamentos, barreiras ou controlos que visam
mitigar os resultados indesejados.
A análise quantitativa presta-se a considerar a aceitabilidade dos controlos. É mais frequentemente utilizada
para modelizar falhas quando há várias proteções instaladas.
*)Acrónimo da designação original "E vent Tree Analysis ". mantido como referência nesta versão p ortuguesa (no ta nacional).
NP
EN 31010
2016
p. 58 de 99
A ETA pode ser utilizada para modelizar eventos iniciadores que possam originar perda ou ganho. No
entanto, as circunstâncias em que se procuram caminhos para otimizar o ganho são modelizadas, mais
frequentemente, utilizando uma árvore de decisão.
B.15.3 Entradas
As entradas incluem:
uma lista de eventos iniciadores apropriados;
informações sobre tratamentos, barreiras e controlos, e suas probabilidades de falha (para análises
quantitativas);
compreensão dos processos pelos quais uma falha inicial se agrava.
B.15.4 Processo
Uma árvore de eventos começa com a seleção de um evento iniciador. Este pode ser um incidente como uma
explosão de pó ou um evento causal, como uma falha de energia. As funções ou sistemas instalados para
mitigar os resultados são listados em sequência. Para cada função ou sistema, é desenhada uma linha para
representar o seu sucesso ou a sua falha. A cada linha pode ser atribuída uma probabilidade particular de
falha, sendo es.s a probabilidade condicional estimada, p. ex. pelo juízo de um especialista ou por uma análise
de árvore de falhas. Desta forma, são modelizados diferentes caminhos a partir do evento iniciador.
Note-se que as probabilidades na árvore de eventos são probabilidades condicionadas, p. ex. a probabilidade
de um sprinkler funcionar não é a probabilidade obtida a partir de ensaios em condições normais, mas sim a
probabilidade de funcionar sob condições de incêndio causadas por uma explosão.
Cada caminho ao longo da árvore representa a probabilidade de que ocorram todos os eventos nesse
caminho. Portanto, a frequência do resultado é representado pelo produto das probabilidades condicionadas
individuais pela frequência do evento iniciador, dado que os vários eventos são independentes.
B.15.5 Saídas
As saídas da ETA incluem o seguinte:
descrições qualitativas de problemas potenciais como combinações de eventos que produzem vários tipos
de problemas (gama de resultados) a partir de eventos iniciadores;
estimativas quantitativas da frequência ou das probabilidades de eventos e importância relativa de várias
sequências de falha e eventos contributivos;
listas de recomendações para reduzir os riscos;
avaliações quantitativas da eficácia das recomendações.
p. 59 de 99
As limitações incluem:
para usar a ETA como parte de uma apreciação abrangente, todos os eventos iniciadores potenciais
precisam de ser identificados. Isto poderá ser obtido por meio de um outro método de análise (p. ex.
HAZOP, PHA), no entanto, existe sempre a possibilidade de falhar a identificação de alguns eventos
iniciadores importantes;
as árvores de eventos só tratam dos estados de sucesso e falha de um sistema e é difícil incorporar
eventos de sucesso ou de recuperação diferidos no tempo;
qualquer caminho é condicionado relativamente aos eventos que ocorreram em pontos de ramificação
anteriores ao longo do caminho. Muitas dependências ao longo dos caminhos possíveis são, portanto,
consideradas. No entanto, algumas dependências, como os componentes comuns, os sistemas de apoio e
os operadores, se não forem tratadas com cuidado, poderão ser ignoradas, conduzindo a estimativas
otimistas do risco.
B.16.2 Utilização
A análise causas-consequências foi originalmente desenvolvida como uma ferramenta de fiabilidade para
sistemas de segurança críticos a fim de permitir uma compreensão mais completa das falhas dos sistemas.
Tal como a análise árvore de falhas, é utilizada para representar a lógica de falha que conduz a um evento
crítico mas adiciona-se à funcionalidade de uma árvore de falhas permitindo que falhas sequenciais no tempo
sejam analisadas. O método permite também a incorporação da variável tempo na análise de consequências o
que não é possível com as árvores de eventos.
O método é usado para analisar os vários caminhos que um sistema pode seguir na sequência de um evento
crítico e na dependência do comportamento de subsistemas particulares (tais como sistemas de resposta a
emergências). Se forem quantificados darão uma estimativa da probabilidade de diferentes possíveis
consequências na sequência de um evento crítico.
Como cada sequência num diagrama causas-consequências é uma combinação de subárvores de falhas, a
análise causas-consequências pode ser utilizada como uma ferramenta para construir grandes árvores de
falhas.
Os diagramas têm execução e utilização complexas e tendem a ser usados quando a amplitude da
consequência potencial de falha justifica um esforço importante.
B.16.3 Entradas
É necessária uma compreensão do sistema e dos seus modos e cenários de falhas .
B.16.4 Processo
A Figura B.4 mostra um diagrama conceptual de uma análise causas-consequências típica.
NP
EN 31010
2016
p. 60 de 99
Sim
Condição
Árvore de f alhas 3
Árvore de falhas 2
Árvore de falhas 1
Árvore de falhas
fEC 2065/09
B.16.5 Saídas
As saídas de uma análise causas-consequências consistem num diagrama de como um sistema pode falhar,
mostrando as causas e as consequências. Uma estimativa da probabilidade de ocorrência de cada
consequência potencial baseia-se na análise das probabilidades de ocorrência de condições particulares na
sequência do evento crítico.
NP
EN 31010
2016
p. 61de99
B.17.2 Utilização
A análise causa-e-efeito fornece uma representação gráfica estruturada da lista de causas de um efeito
específico. O efeito pode ser positivo (um objetivo) ou negativo (um problema) dependendo do contexto.
Permite considerar todos os cenários e causas possíveis gerados por uma equipa de especialistas e estabelecer
um consenso quanto às causas mais prováveis, que podem então ser testadas empiricamente ou pela
avaliação dos dados disponíveis. Ao iniciar uma análise é mais proveitoso alargar a reflexão sobre as causas
possíveis e depois estabelecer as hipóteses potenciais que podem ser consideradas de modo mais formal.
Um diagrama causa-e-efeito pode ser construído quando há necessidade de:
identificar as possíveis causas raiz, as razões fundamentais, para um determinado efeito, problema ou
condição;
selecionar e relacionar algumas das interações entre os fatores que afetam um determinado processo;
analisar os problemas existentes de forma a que ações corretivas possam ser tomadas.
As vantagens da construção de um diagrama causa-e-efeito incluem:
concentrar a atenção dos responsáveis pela revisão num problema específico;
ajudar a determinar as causas raiz de um problema utilizando uma abordagem estruturada;
incentivar a participação do grupo e utilizar o conhecimento do grupo para o produto ou processo;
usar uma forma ordenada e de fácil leitura para representar as relações causa-e-efeito;
indicar as possíveis causas de variação num processo;
identificar as áreas onde se deve coligir dados para estudo posterior.
A análise causa-e-efeito pode ser utilizada como um método de análise de causas raiz (ver secção B.12).
NP
EN 31010
2016
p. 62 de 99
B.17.3 Entradas
As entradas de uma análise causa-e-efeito poderão provir do conhecimento especializado e da experiência
dos participantes ou de um modelo previamente desenvolvido que tenha sido utilizado anteriormente.
B.17.4 Processo
A análise causa-e-efeito deverá ser realizada por uma equipa de especialistas conhecedores do problema a
resolver.
Os passos básicos de concretização de uma análise causa-e-efeito são os seguintes:
definir o efeito a ser analisado e colocá-lo numa caixa. O efeito pode ser positivo (um objetivo) ou
negativo (um problema), dependendo das circunstâncias;
determinar as principais categorias de causas representadas por caixas no diagrama em espinha de peixe.
Simbolicamente, para um problema de um sistema, as categorias podem ser pessoas, equipamentos, meio
ambiente, processos, etc. No entanto, estas são escolhidas em função do contexto particular;
preencher as causas possíveis para cada categoria principal com ramos e sub-ramos destinados a
descrever a relação entre elas;
questionar continuadamente "porquê?" ou "qual a causa?" para interligar as causas;
rever todos os ramos para verificar a consistência e abrangência e garantir que as causas aplicam-se ao
efeito principal;
identificar as causas mais prováveis com base na opinião da equipa e na evidência disponível.
Os resultados são normalmente apresentados quer num diagrama em espinha de peixe ou de lshikawa, quer
num diagrama em árvore. O diagrama em espinha de peixe é estruturado pela separação das causas em
categorias principais (representadas pelas linhas que se iniciam no dorso da espinha) com ramos e sub-ramos
que descrevem causas mais específicas daquelas categorias.
Causa~
./"~/?~
~/~'
Subcausa ~ ·
EFEITO
Causa Causa
categoria 6 categoria 2
!EC2'JfiM19
p. 63 de 99
Causa
Causa
categoria 1
Causa
Causa
Causa
EFEITO
categoria 2
Causa
Causa
categoria 3
Causa
I EC 2067'1)1J
B.17.5 Saídas
As saídas de uma análise causa-e-efeito consistem num diagrama em espinha de peixe ou num diagrama em
árvore que mostra as causas possíveis e prováveis. Deve ser verificado e testado empiricamente antes das
recomendações serem formuladas.
p. 64 de 99
a separação dos fatores de causalidade em categorias principais no início da análise implica que as
interações entre as categorias podem não ser consideradas adequadamente, como por exemplo onde a
falha do equipamento é causada por erro humano ou problemas humanos são causados por má conceção.
B.18.2 Utilização
A LOPA poderá ser utilizada qualitativamente apenas para verificação das camadas de proteção entre um
perigo ou um evento causal e um resultado. Habitualmente poderá ser aplicada numa abordagem
semi-quantitativa de modo a conferir maior rigor aos processos de despistagem, por exemplo na sequência
das técnicas HAZOP ou PHA.
A LOPA fornece uma base para a esP.ecificação das camadas de proteção independentes (IPL **J) e dos níveis
de integridade de segurança (SIL **J) para os sistemas instrumentados, conforme descrito nas séries
IEC 61508 e na IEC 61511 , na determinação dos requisitos do nível de integridade de segurança (SIL) para
os sistemas de segurança instrumentados. A LOPA pode ser utilizada para ajudar a alocação eficaz de
recursos para redução do risco, através da análise da redução do risco produzida por cada camada de
proteção.
B.18.3 Entradas
As entradas para a LOPA incluem:
informação básica sobre riscos incluindo perigos, causas e consequências tais como os fornecidos por
umaPHA;
informação sobre os controlos existentes ou propostos;
frequências de eventos causais e probabilidades de falha das camadas de proteção, medidas de
consequência e uma definição do risco tolerável;
frequências de causas iniciadoras, probabilidades de falha das camadas de proteção, medidas de
consequência e uma definição do risco tolerável.
B.18.4 Processo
A LOPA é efetuada por uma equipa de peritos que aplica o seguinte procedimento:
identificar as causas iniciadoras de um resultado indesejado e pesquisar dados sobre as suas frequências e
consequências;
*) Acrónimo da designação original l ayers of Protection Analysis. mantido como referência nesta versão portuguesa (nota
nacional).
º l Acrónimo da designação orig inal Indep endent Protection Layers mantido como referência nesta versão portuguesa (nota
?.a,cional).
1 Acrónimo da designação original S afety Integrity l eveis mantido como referência nesta versão portug uesa (nota nacional).
NP
EN 31010
2016
p. 65 de 99
B.18.5 Saídas
Devem ser fornecidas recomendações para controlos suplementares e respetiva eficácia na redução do risco.
A LOPA é uma das técnicas utilizadas para apreciação do nível de integridade de segurança sempre que
estejam envolvidos sistemas relacionados com segurança/instrumentados.
p. 66 de 99
os riscos quantificados poderão não ser tidos em conta para modos de falha comuns;
a LOPA não se aplica a cenários muito complexos com muitos pares causa-consequência ou quando
existe uma variedade de consequências que afetam diferentes partes interessadas.
B.19.2 Utilização
Uma árvore de decisão é usada na gestão do risco de projetos e em outras circunstâncias para ajudar a
selecionar o melhor curso de ação em casos de incerteza. A visualização gráfica também pode ajudar a
comunicar as razões das decisões.
B.19.3 Entradas
Um plano de projeto com planos de decisão. Informação sobre os possíveis resultados das decisões e em
eventos fortuitos que podem afetar decisões.
B.19.4 Processo
Uma árvore de decisão começa com uma decisão inicial, por exemplo, para prosseguir com o projeto A em
vez do projeto B. Como os dois projetos hipotéticos prosseguem, diferentes eventos irão ocorrer e diferentes
decisões previsíveis terão de ser tomadas. Estes são representados em forma de árvore, semelhante a uma
árvore de eventos. A probabilidade dos eventos pode ser estimada em conjunto com o custo ou utilidade do
resultado final do caminho.
Informação relativa à decisão sobre o melhor caminho é, logicamente, aquela que produz o maior valor
esperado calculado como o produto de todas as probabilidades condicionais ao longo do caminho e o valor
do resultado.
B.19.5 Saídas
As saídas incluem:
uma análise lógica do risco mostrando as diferentes opções que poderão ser tomadas;
um cálculo do valor esperado para cada caminho possível.
p. 67 de 99
B.20.2 Utilização
A HRA pode ser utilizada qualitativa ou quantitativamente. Qualitativamente, é utilizada para identificar o
potencial para o erro humano e as suas causas de modo a diminuir a probabilidade do erro. A HRA
quantitativa é utilizada para fornecer dados sobre falhas humanas para a FTA ou para as outras técnicas.
B.20.3 Entradas
As entradas para a HRA incluem:
informações para definir as tarefas que as pessoas deverão realizar;
experiência dos tipos de erros que ocorrem na prática e do potencial para o erro;
conhecimentos especializados sobre o erro humano e a sua quantificação.
B.20.4 Processo
O processo da HRA é descrito de seguida:
Definição do problema, quais os tipos de envolvimentos humanos que devem ser
investigados/avaliados?
Análise das tarefas, como será executada a tarefa e que tipo de ajudas serão necessárias para apoiar o
desempenho?
*)Acrónimo da designação original "Human Reliability Assessment", mantido como referência nesta versão portuguesa (nota
nacional).
NP
EN 31010
2016
p. 68 de 99
Análise do erro humano, como pode o desempenho da tarefa falhar: que erros podem ocorrer e como
podem ser reparados?
Representação, como podem estes erros ou falhas do desempenho das tarefas ser integrados com outros
eventos de hardware, software e ambientais para permitir o cálculo das probabilidades da falha global do
sistema?
Despistagem, existem quaisquer erros ou tarefas que não requerem uma quantificação detalhada?
Quantificação, quão prováveis são os erros individuais e as falhas das tarefas?
Apreciação do impacto, que erros ou tarefas são mais importantes, ou seja, quais os que têm a maior
contribuição para a fiabilidade ou para o risco?
Redução de erros, como pode ser alcançada uma maior fiabilidade humana?
Documentação, que detalhes da HRA necessitam ser documentados?
Na prática, o processo da HRA prossegue passo a passo, embora, por vezes, com partes (p. ex. análise das
tarefas e identificação dos erros) a prosseguir em paralelo.
B.20.5 Saídas
As saídas incluem:
uma lista de erros que poderão ocorrer e os métodos pelos quais podem ser reduzidos - de preferência
pela reconcepção do sistema;
modos de erro, causas e consequências dos tipos de erro;
uma apreciação qualitativa ou quantitativa do risco decorrente dos erros.
p. 69 de 99
Definição
Análise do erro
hum ano
Rep resentação da
prevenção do erro
Fatores influeociérlores do
desempenho e das causas
do erro dos mecani smos
Erro s insignificantes
não sujeitos a estudos Despistagem Sim
suplementares
Redução do erro
Ap reciação do
impac to
Não
Sun
DocumcntaçOO
IEC2068 /09
p. 70 de 99
B.21.2 Utilização
A análise de laço é utilizada para se visualizar um risco mostrando uma gama de possíveis causas e
consequências. É utilizado quando a situação não justifica a complexidade de uma análise de árvore de falhas
completa ou quando a focalização está mais em assegurar que existe uma barreira ou controlo para cada
caminho de falha. É útil quando há caminhos claros e independentes que conduzem à falha.
A análise de laço é com frequência, mais fácil de compreender do que as árvores de falhas ou de eventos,
podendo ser assim uma ferramenta de comunicação útil quando a análise é conseguida com a utilização de
técnicas mais complexas.
B.21.3 Entradas
É necessária uma compreensão da informação sobre as causas e consequências de um risco e das barreiras e
controlos que o poderão prevenir, mitigar ou estimular.
B.21.4 Processo
A análise de laço é desenhada de seguida:
a) um determinado risco é identificado para análise e é representado como o nó central do laço;
b) as causas do evento são listadas tendo em consideração as fontes do risco (ou perigos num contexto de
segurança);
c) é identificado o mecanismo pelo qual a fonte do risco conduz ao evento crítico;
d) são desenhadas linhas entre cada causa e o evento formando o lado esquerdo do laço. Os fatores que
possam conduzir a uma intensificação podem ser identificados e incluídos no diagrama;
e) as barreiras que possam prevenir cada causa de conduzir a consequências indesejáveis podem ser
representadas como barras verticais cruzando a linha. Também podem ser representadas barreiras contra
a incrementação quando existirem fatores que a possam causar. A abordagem pode ser usada para
consequências positivas em que as barras refletem "controlos" que estimulam a geração do evento;
f) no lado direito do laço as diferentes consequências potenciais do risco são identificadas e são
desenhadas linhas irradiando do evento do risco para cada consequência potencial;
g) as barreiras para as consequências são representadas como barras cruzando as linhas radiais. A
abordagem pode ser utilizada para consequências positivas em que as barras refletem "controlos" que
suportam a geração de consequências;
h) as funções de gestão que suportam os controlos (tais como formação e inspeção) podem ser mostradas
sob o laço e ligadas ao respetivo controlo.
Pode ser possível algum nível de quantificação de um diagrama de análise de laço quando os caminhos são
independentes, a probabilidade de uma consequência ou resultado particular é conhecida e pode ser estimado
um valor para a eficácia de um controlo. Contudo, em muitas situações, os caminhos e barreiras não são
independentes e os controlos poderão ser procedimentais e em consequência a sua eficácia pouco clara. A
quantificação é frequentemente levada a cabo de forma mais apropriada utilizando a FTA e a ETA.
B.21.5 Saídas
A saída é um simples diagrama que mostra os principais caminhos do risco e as barreiras existentes para
prevenir ou mitigar as consequências indesejáveis ou estimular e promover as consequências desejáveis.
NP
EN 31010
2016
p. 71de99
Fontes de risco
Consequência 1
Causa Controlos de Intensificação
Consequência 2
Causa 2
Connquincia 3
IEC 2116Y/119
*l Acrónimo da designação original "R eliabi/ity Centred Maintenance ", mantido como referência nesta versão portuguesa. Também
pode ser traduzido por manutenção centrada na fiabilidade. A sigla RCM é a sigla internacionalmente consagrada para designar
este tipo de manutenção (nota nacional).
NP
EN 31010
2016
p. 72 de 99
A RCM fornece um processo de decisão para identificar os requisitos aplicáveis e eficazes da manutenção
preventiva para equipamentos, de acordo com as consequências das falhas identificáveis de segurança,
operacionais e económicas e o mecanismo de degradação responsável por essas falhas. O resultado final do
processo é um juízo sobre a necessidade de se executar uma tarefa de manutenção ou outras ações tais como
mudanças operacionais. Os detalhes relativos à utilização e aplicação da RCM são fornecidos na
IEC 60300-3-11.
B.22.2 Utilização
Todas as tarefas são baseadas na segurança das pessoas e do ambiente e nas preocupações operacionais e
económicas. Contudo, deverá ser realçado que os critérios considerados dependerão da natureza do produto e
da sua aplicação. Por exemplo, um processo produtivo necessitará de ser economicamente viável e poderá
ser sensível a considerações ambientais exigentes, enquanto que um item de equipamento de defesa deverá
ser bem sucedido operacionalmente, mas poderá ter critérios de segurança, económicos e ambientais menos
exigentes. Pode-se conseguir um maior benefício focando a análise nas falhas que terão sérios efeitos, na
segurança, no ambiente, na economia e na operação.
A RCM é utilizada para assegurar a realização de uma manutenção aplicável e eficaz e é geralmente aplicada
durante as fases de conceção e de desenvolvimento e posteriormente implementada durante a operação e a
manutenção.
B.22.3 Entradas
A aplicação bem-sucedida da RCM necessita de um bom entendimento do equipamento e da estrutura, do
ambiente operacional e dos sistemas, subsistemas e itens do equipamento associados, conjuntamente com as
possíveis falhas e consequências dessas falhas.
B.22.4 Processo
Os passos elementares de um programa de RCM são os seguintes:
iniciação e planeamento;
análise de falhas funcionais;
seleção de tarefas;
implementação;
melhoria contínua.
A RCM é baseada no risco dado que segue os passos elementares da apreciação do risco. O tipo de
apreciação do risco é similar à técnica FMECA (análise dos modos de falha, efeitos e da sua criticidade) mas
requer uma abordagem específica da análise quando utilizada neste contexto.
A identificação do risco focaliza-se em situações em que as falhas potenciais poderão ser eliminadas ou
reduzidas em frequência e/ou consequência levando-se a cabo tarefas de manutenção. É realizada pela
identificação das funções e normas de desempenho requeridas, assim como as falhas de equipamentos e
componentes que podem interromper essas funções.
A análise do risco consiste em estimar a frequência de cada falha sem efetuar a manutenção. As
consequências são estabelecidas pela definição dos efeitos das falhas. Uma matriz do risco que combina
frequência e consequências de falha permite o estabelecimento de categorias por níveis do risco.
A avaliação do risco é então realizada selecionando a política de gestão de falha apropriada para cada modo
de falha.
NP
EN 31010
2016
p. 73 de 99
O processo RCM completo é extensivamente documentado para referência futura e revisão. A compilação de
dados relativos às falhas e à manutenção associada permite a monitorização dos resultados e a
implementação de melhorias.
B.22.5 Saídas
A RCM fornece uma definição das tarefas de manutenção tais como monitorização de condição, rev1sao
programada, substituição programada, deteção de falhas ou manutenção não preventiva. Outras possíveis
ações que podem resultar da análise poderão incluir a revisão da conceção, alterações dos procedimentos de
operação ou de manutenção ou formação adicional. Os intervalos entre tarefas e os recursos requeridos são
então identificados.
B.23 Análise de condições ocultas (SA *» e análise de circuitos ocultos (SCA **))
B.23.1 Visão geral
A análise de condições ocultas (SA) é uma metodologia para a identificação de erros de conceção. Uma
condição oculta é uma condição latente de hardware, software ou integrada que pode causar a ocorrência de
um evento indesejado ou inibir um evento desejado, não sendo causado pela falha de um componente. Estas
condições são caracterizadas pela sua natureza aleatória e capacidade de escapar à deteção durante os mais
rigorosos ensaios normalizados de sistemas. As condições ocultas podem causar uma operação inadequada,
perda de disponibilidade do sistema, atrasos em programas ou mesmo morte ou ferimentos de pessoas.
B 23.2 Utilização
A análise de circuitos ocultos (SCA) foi desenvolvida no final dos anos 60 para a NASA a fim de verificar a
integridade e funcionalidade dos seus projetos. Serviu como uma ferramenta útil para a descoberta de
caminhos involuntários em circuitos elétricos e auxiliou no descortinar de soluções para isolar cada função.
Contudo, com o avanço da tecnologia, as ferramentas para a análise de circuitos ocultos também avançaram .
A análise de condições ocultas inclui e excede em muito a abrangência da análise de circuitos ocultos. Pode
localizar problemas tanto em hardware como em software recorrendo a qualquer tecnologia. As ferramentas
de análise de condições ocultas podem integrar diversas análises, tais como árvores de falhas, análises de
modos e efeitos de falhas (FMEA), estimativas de fiabilidade, etc. numa única análise, economizando tempo
e custos de projeto.
B.23.3 Entradas
A análise de condições ocultas é uma ferramenta única do processo de projeto na medida em que utiliza
diferentes ferramentas (rede de árvores, florestas, e pistas ou questões para auxiliar o analista a identificar as
condições ocultas) para encontrar um tipo específico de problema. As redes de árvores e florestas são
agrupamentos topológicos do sistema real. Cada rede em árvore representa uma subfunção e mostra todas as
entradas que poderão afetar a saída da subfunção. As florestas são construídas combinando as redes de
árvores que contribuem para uma saída do sistema específico. Uma floresta apropriada mostra uma saída do
p. 74 de 99
sistema em termos de todas as suas entradas relacionadas. Estas, juntamente com outras, tomam-se a entrada
para a análise.
B.23.4 Processo
As etapas básicas na realização de uma análise de condições ocultas são:
preparação dos dados;
construção da rede de árvores;
avaliação dos caminhos da rede;
recomendações finais e relatório.
B.23.5 Saídas
Um circuito oculto é um caminho ou fluxo lógico inesperado dentro de um sistema que, sob certas
condições, pode iniciar uma função indesejada ou inibir uma função desejada. O caminho pode consistir em
hardware, software, ações do operador ou combinações destes elementos. Os circuitos ocultos não são o
resultado de uma falha de hardware, mas sim condições latentes, concebidas inadvertidamente no sistema,
codificadas no programa de software ou provocadas por erro humano. Há quatro categorias de circuitos
ocultos:
a) caminhos ocultos: caminhos inesperados ao longo dos quais a corrente, energia ou sequência lógica flui
numa direção não pretendida;
b) temporização oculta: eventos que ocorrem numa sequência inesperada ou incompatível;
c) indicações ocultas: exibição de informações ambíguas ou falsas das condições operacionais do sistema
que poderão fazer com que o sistema ou um operador tomem uma ação indesejada;
d) marcas ocultas: marcação incorreta ou imprecisa das funções do sistema, por exemplo, entradas dos
sistemas, controlos ou erros na disponibilização da informação, que poderão levar o operador a aplicar
um estímulo incorreto ao sistema.
p. 75 de 99
B.24.2 Utilização
A técnica da análise de Markov pode ser utilizada em várias estruturas do sistema, com ou sem reparação,
incluindo:
componentes independentes em paralelo;
componentes independentes em série;
sistema de partilha de carga;
sistema em espera*1, incluindo o caso em que pode ocorrer a falha da mudança;
sistemas degradados.
A técnica da análise de Markov também pode ser utilizada para calcular a disponibilidade, tendo-se em conta
inclusivamente os componentes de reserva para reparações.
B.24.3 Entradas
As entradas essenciais para uma análise de Markov são as seguintes:
uma lista dos vários estados em que o sistema, subsistema ou componente se pode encontrar (p. ex.
totalmente operacional, parcialmente operacional (ou seja, um estado degradado), estado de falha, etc.);
uma compreensão clara das possíveis transições que são necessárias modelar. Por exemplo, a falha de um
pneu de um automóvel precisa considerar o estado da roda sobresselente e, portanto, a frequência de
inspeção;
a taxa de variação de um estado para outro, geralmente representada quer por uma probabilidade de
mudança entre dois estados para eventos discretos, quer por uma taxa de falha(),) e/ou taxa de reparação
(µ)para eventos contínuos.
B.24.4 Processo
A técnica da análise de Markov desenvolve-se em tomo do conceito de "estado", p. ex. "disponível" e "em
falha", e a transição entre estes dois estados ao longo do tempo com base numa probabilidade constante de
p . 76 de 99
mudança. É utilizada uma matriz de probabilidades de transição estocástica para descrever a transição entre
cada um dos estados para permitir o cálculo das várias saídas.
Para ilustrar a técnica da análise de Markov, considere um sistema complexo que pode estar apenas em três
estados: em funcionamento, em funcionamento degradado e em falha, designados como estados Sl , S2, S3,
respetivamente. Num dado dia o sistema encontra-se num destes três estados. O Quadro B.3 mostra a
probabilidade de, no dia seguinte, o sistema estar no estado Si, onde i pode ser 1, 2 ou 3.
Quadro B.2 - Matriz de Markov
Estado hoje
SI S2 S3
SI 0,95 0,3 0,2
Estado amanhã S2 0,04 0,65 0,6
· S3 0,01 0,05 0,2
Esta matriz de probabilidades é chamada uma matriz de Markov, ou matriz de transição. Note-se que a soma
para cada uma das colunas é 1, dado que é a soma de todos os possíveis resultados em cada caso. O sistema
também pode ser representado por um diagrama de Markov, no qual os· círculos representam os estados e as
setas representam as transições, conjuntamente com as probabilidades associadas.
0,95
/EC 20701119
p . 77 de 99
A solução é 0,85 , O, 13, e 0,02, respetivamente para os estados 1, 2, 3. O sistema está a funcionar plenamente
85 % do tempo, degradado em 13 % do tempo e em falha em 2 % do tempo.
Considere-se dois itens operando em paralelo sendo requerido que qualquer deles esteja operacional para o
sistema funcionar. Os itens podem estar operacionais ou em falha e a disponibilidade do sistema depende do
estado dos itens.
Os estados podem ser considerados :
Estado 1 Ambos os itens estão a funcionar corretamente;
Estado 2 Um item falhou e está em reparação, o outro está a funcionar;
Estado 3 Ambos os itens falharam e um está em reparação.
Sendo a taxa de falha contínua para cada item }, e a taxa de reparação µ , então o diagrama de transição de
estados é:
-(2k)C0
2À À
53 <))-(µ)
µ µ
-(À+µ)
! EC20 7 /tfJ9
Vale a pena notar que os valores zero ocorrem, uma vez que não é possível passar do estado 1 para o estado
3 ou do estado 3 para o estado 1. Além disso, a soma das colunas é zero ao especificar as taxas.
As equações simultâneas resultam em:
dPl/dt = -2À Pl(t) + µ P2(t) (B.5)
dP2/dt = 2À Pl(t) + - (À+µ) P2(t) + µ P3(t) (B.6)
dP3 /dt =À P2(t) + - µ P3(t) (B.7)
Para simplificar, é assumido que a disponibilidade requerida é a disponibilidade do estado estacionário.
NP
EN 31010
2016
p . 78 de 99
Quando Jt tende para infinito, dPi/dt tenderá para zero e as equações tornam-se mais fáceis de resolver. A
equação adicional, como apresentado na Equação (B.4) acima, também deverá ser utilizada:
Agora, a equação A(t) = Pl(t) + P2(t) pode ser expressa como:
A = Pl +P2
Daí A= (µ 2 + 2J.,,µ) I (µ 2 + 2À.µ + À2 )
B.24.5 Saídas
A saída de uma análise de Markov é o conjunto das diversas probabilidades de um sistema se encontrar nos
vários estados e, portanto, uma estimativa das probabilidades de falha e/ou disponibilidade, sendo um dos
componentes essenciais de um sistema.
B.24. 7 Comparações
A análise de Markov é semelhante a uma análise de rede de Petri por ser capaz de monitorar e observar os
estados do sistema, embora com algumas diferenças pois a rede de Petri pode existir em vários estados ao
mesmo tempo.
p. 79 de 99
Este método pode resolver situações complexas que seriam muito difíceis de compreender e resolver por um
método analítico. Os sistemas podem ser desenvolvidos utilizando folhas de cálculo e outras ferramentas
convencionais, mas atualmente estão disponíveis ferramentas mais sofisticadas para responder a requisitos
mais complexos, sendo agora muitas delas relativamente pouco onerosas. Quando a técnica foi inicialmente
desenvolvida, o número de iterações exigido para as simulações de Monte Cario tomava o processo lento e
demorado, mas os avanços dos computadores e dos desenvolvimentos teóricos, como a amostragem por
hipercubo-latino, tomaram o tempo de processamento quase insignificante para muitas das aplicações.
B.25.2 Utilização
A simulação de Monte Cario fornece um meio de avaliar o efeito da incerteza em sistemas, numa ampla
variedade de situações. É normalmente utilizada para avaliar a gama de resultados possíveis e a frequência
relativa de valores nesse intervalo, em relação a medidas quantitativas de um sistema, como o custo, duração,
produtividade, procura e medidas similares. A simulação de Monte Cario pode ser usada para dois fins
distintos:
propagação da incerteza em modelos analíticos convencionais;
cálculos probabilísticos quando as técnicas analíticas não funcionam.
B.25.3 Entradas
A entrada para uma simulação de Monte Cario é um bom modelo do sistema, informação sobre os tipos de
entradas, as fontes de incerteza a serem representadas e a saída desejada. Os dados de entrada com incerteza
são representados como variáveis aleatórias com distribuições que são mais ou menos dispersas de acordo
com o grau das incertezas. As distribuições uniforme, triangular, normal e log-normal são frequentemente
utilizadas para este fim.
B.25.4 Processo
O processo é descrito de seguida:
a) é definido um modelo ou algoritmo que representa, tão próximo quanto possível, o comportamento do
sistema a ser estudado;
b) o modelo é executado múltiplas vezes, usando números aleatórios, para produzir saídas do modelo
(simulações do sistema); quando a aplicação é utilizada para modelar os efeitos da incerteza, o modelo é
representado sob a forma de uma equação que estabelece a relação entre os parâmetros de entrada e uma
saída. Os valores selecionados para as entradas são obtidos de distribuições de probabilidade adequadas
que representam a natureza da incerteza nesses parâmetros;
c) em qualquer dos casos um computador executa o modelo múltiplas vezes (frequentemente até 1O 000
vezes) com entradas diferentes e gera múltiplas saídas. Estas podem ser tratadas usando estatística
convencional, para fornecer informação como valores médios, desvios padrão e intervalos de confiança.
Um exemplo de uma simulação é dado em baixo.
Consideremos o caso de dois elementos que funcionam em paralelo e apenas um é necessário para que o
sistema funcione. O primeiro elemento tem uma fiabilidade de 0,9 e o outro de 0,8 .
É possível construir uma folha de cálculo com as seguintes colunas.
NP
EN 31010
2016
p. 80 de 99
O gerador aleatório cria um número entre O e 1 que é usado para comparar com a probabilidade de cada item
para determinar se o sistema está operacional. Com apenas 1O corridas, não deve ser esperado que o
resultado de 0,9 seja um resultado exato. A abordagem habitual é desenvolver um calculador para comparar
o resultado total à medida que a simulação progride para se atingir o nível de exatidão desejado. Neste
exemplo foi obtido um resultado de 0,9799 após 20 000 iterações.
O modelo acima pode ser expandido de várias maneiras. Por exemplo:
expandindo o modelo em si (tal como considerar que o segundo item fica imediatamente operacional
apenas quando o primeiro item falha);
alterando a probabilidade de fixa para variável (um bom exemplo é a distribuição triangular), quando a
probabilidade não pode ser definida com exatidão;
- usando taxas de falha combinadas com o gerador aleatório, para obter um tempo de falha (exponencial,
Weibull ou outra distribuição adequada) e estabelecer tempos de reparação.
As aplicações incluem, entre outras coisas, a avaliação da incerteza em previsões financeiras, rentabilidade
de investimento, custo de projeto e previsões de programação, interrupções de processos de negócio e
necessidades de pessoal.
Quando há incerteza nos dados de entrada e, em consequência, nas saídas, as técnicas analíticas não são
capazes de fornecer resultados aplicáveis.
B.25.5 Saídas
A saída pode ser um valor único, como determinado no exemplo acima, um resultado expresso como uma
distribuição de probabilidade ou de frequências ou a identificação das funções principais no modelo que têm
o maior impacto na saída.
Em geral, uma simulação de Monte Cario será usada para avaliar quer a distribuição completa de resultados
que possam surgir quer as principais medidas a partir de uma distribuição, tais como:
- a probabilidade de ocorrência de um resultado definido;
NP
EN 31010
2016
p. 81de99
o valor de um resultado em que os envolvidos no problema têm um certo nível de confiança de que não
será excedido um custo em que há menos de 1O % de possibilidade de ser excedido ou ultrapassada uma
duração que é 80 % certo que será excedida.
Uma análise das relações entre entradas e saídas pode lançar luz sobre a importância relativa dos fatores
envolvidos e identificar metas úteis para influenciar a incerteza no resultado.
I) Em consideração atualmente.
NP
EN 31010
2016
p. 82 de 99
onde:
a probabilidade de X é designada por P(X)
a probabilidade de X na condição de que Y tenha ocorrido é designada por P(XJY); e
E; é o i~ésimo evento
Na sua forma mais simples reduz-se a P(AIB) = {P(A)P(BIA)}/P(B).
A estatística bayesiana difere da estatística clássica ao não pressupor que todos os parâmetros de distribuição
são fixos, assumindo que os parâmetros são variáv.e is aleatórias. Uma probabilidade bayesiana pode ser mais
facilmente compreendida se for considerada como o grau de convicção de uma pessoa num determinado
evento, em oposição à probabilidade clássica que é baseada em evidências físicas. Como a abordagem
bayesiana é baseada na interpretação subjetiva de probabilidade, ela proporciona um ponto de partida
imediato para o processo de tomada de decisão e o desenvolvimento de redes de Bayes (ou redes de
convicções, ou redes bayesianas).
As redes de Bayes usam um modelo gráfico para representar um conjunto de variáveis e as suas relações
probabilísticas. A rede é composta por nós que representam uma variável aleatória e setas que ligam um nó
pai a um nó filho (em que um nó pai é uma variável que influencia diretamente outra variável (nó filho)).
B.26.2 Utilização
Nos últimos anos, o uso da teoria e redes de Bayes difundiu-se muito, em parte devido à sua natureza
intuitiva e também pela disponibilidade de ferramentas de software de computação. As redes de Bayes têm
sido usadas numa vasta gama de domínios: diagnóstico médico, imagiologia, genética, reconhecimento de
voz, economia, exploração espacial e nos poderosos motores de busca usados atualmente na intemet. Elas
podem ser valiosas em qualquer área que implique a pesquisa em variáveis desconhecidas, através da
utilização de relações estruturais e dados. As redes de Bayes podem ser utilizadas para aprender relações
causais, para entender o domínio de um problema e para prever as consequências da intervenção.
B.26.3 Entradas
As entradas são similares às entradas de um modelo de Monte Cario. Para uma rede de Bayes, os exemplos
de passos a serem dados incluem o seguinte:
definir as variáveis do sistema;
definir relações causais entre variáveis;
especificar probabilidades condicionais e à priori;
adicionar evidência à rede;
rever as convicções;
deduzir convicções posteriores.
NP
EN 31010
2016
p . 83 de 99
B.26.4 Processo
A teoria de Bayes pode ser aplicada de uma grande variedade de formas. Este exemplo irá considerar a
criação de um quadro de Bayes onde um teste médico é usado para determinar se o doente tem uma doença.
A convicção, antes de fazer o teste, é que 99 % da população não tem esta doença e 1 % tem a doença, isto é
a informação à priori. A exatidão do teste mostrou que se a pessoa tem a doença, o resultado do teste é
positivo em 98 % das vezes. Há também uma probabilidade de que se não tiver a doença, o resultado do teste
é positivo em 1O % das vezes. O quadro de Bayes fornece a informação seguinte:
Quadro B.5- Dados do quadro de Bayes
PRIORI PROBABILIDADE PRODUTO POSTERIORI
Tem doença 0,01 0,98 0,0098 0,0901
Não tem doença 0,99 0,10 0,0990 0,9099
SOMA 1 0,1088 1
!) B
l ,r
D / e
IEC 2072/ 09
Com as probabilidades condicionais à priori definidas nos Quadros seguintes e usando a notação em que S
indica positivo e N indica negativo, o positivo pode ser "ter a doença" como acima indicado, ou poderia ser
elevado e N poderia ser baixo.
Quadro B .6 - Probabilidades à priori dos nós A e B
P(A = S) P(A=N) P(B = S) P(B =N)
0,9 0,1 0,6 0,4
NP
EN 31010
2016
p. 84 de 99
Isto mostra que a informação à priori para P(A = N) aumentou de O, 1 para um posterior de O, 12, o que é
apenas uma pequena alteração. Por outro lado, P(B = N\D = N , C = S) fo i alterado de 0,4 para 0,56, o que é
uma alteração mais significativa.
B.26.5 Saídas
A abordagem bayesiana pode ser aplicada no mesmo âmbito que a estatística clássica, com uma grande
variedade de saídas, por exemplo, a análise de dados para deduzir estimadores pontuais e intervalos de
confiança. A sua recente popularidade está relacionada com as redes de Bayes para deduzir as distribuições à
posteriori. A saída gráfica proporciona um modelo facilmente compreendido e os dados podem ser
facilmente modificados para considerar correlações e sensibilidade dos parâmetros.
NP
EN 31010
2016
p. 85 de 99
p. 86 de 99
B.27 Curvas FN
B.27.1 Visão geral
Tolerável unicamente se a
111d ução do risco é
impraticável ou se o respetivo
custo é grosseiramente
desproporcionado
relativamente à melhoria
obtida
Zona ALARP ou de
Tolerabilidade (o Risco
é tomado apenas se for
negado o benefí:io)
Tolerável se o custo da
redução excedera
melhoria obtida
Risco
negligenciável /EC2073/00
*J De acordo com o acrónimo de '"As Low A s R easonably Practicable " (nota nacional).
NP
EN 31010
2016
p. 87 de 99
As curvas FN ilustram a frequência cumulativa (F) a que N ou mais membros da população serão afetados.
Os valores elevados de N que poderão ocorrer com uma frequência Falta são de grande interesse, porque
poderão ser social e politicamente inaceitáveis.
B.27.3 Entradas
As entradas são uma das seguintes:
conjuntos dos pares consequência-probabilidade durante um dado período de tempo;
saída de dados de uma análise quantitativa do risco que fornece as probabilidades estimadas dos números
especificados de mortes;
dados de registos históricos e de uma análise quantitativa do risco.
B.27.4 Processo
Os dados disponíveis são marcados num gráfico com o número de baixas (correspondendo a um nível
específico do dano, ou seja, a morte) em abcissa e com a probabilidade de N ou mais baixas em ordenada.
Devido à grande gama de valores, ambos os eixos são representados, normalmente, em escalas logarítmicas.
As curvas FN poderão ser construídas estatisticamente usando números "reais" de anteriores perdas ou
podem ser calculados a partir das estimativas do modelo de simulação. Os dados utilizados e os pressupostos
poderão significar que estes dois tipos de curvas FN fornecem informações diferentes e deverão ser
utilizados separadamente e para diferentes fins . Em geral, as curvas FN teóricas são mais úteis para a
conceção de sistemas, e as curvas FN estatísticas são mais úteis para a gestão de um sistema existente
específico.
Qualquer das abordagens de derivação pode ser muito consumidora de tempo, pelo que não é incomum
utilizar um misto daquelas. Neste caso, os dados empíricos constituem pontos fixos de números de mortes,
conhecidos com precisão, que ocorreram em acidentes/incidente conhecidos num dado período de tempo e a
análise quantitativa do risco fornece outros pontos por extrapolação ou por interpolação.
A necessidade de considerar os acidentes de baixa frequência, e consequência elevada poderá requerer uma
análise de longos períodos de tempo para reunir dados suficientes para uma análise adequada. Isto, por sua
vez, poderá tomar os dados disponíveis suspeitos se acontecerem mudanças nos eventos iniciadores ao longo
do tempo.
B.27.5 Saídas
Uma linha que representa o risco em toda uma gama de valores de consequência que podem ser comparados
com os critérios apropriados para a população em estudo e o nível especificado do dano.
NP
EN 31010
2016
p. 88 de 99
B.28.2 Utilização
Os índices podem ser utilizados para classificar diferentes riscos associados a uma atividade, se o sistema é
bem compreendido. Eles permitem a integração de uma gama de fatores que têm um impacto sobre o nível
do risco numa única pontuação numérica para o nível do risco.
Os índices são utilizados para muitos tipos diferentes do risco, geralmente como um dispositivo de
pontuação para a classificação do risco de acordo com o nível do risco. Este poderá ser utilizado para
determinar quais os riscos que precisam de uma apreciação mais aprofundada e, possivelmente, de natureza
quantitativa.
B.28.3 Entradas
As entradas resultam de uma análise do sistema, ou de uma ampla descrição do contexto. Isto requer uma
boa compreensão de todas as fontes do risco, das possíveis vias de exposição e do que pode ser afetado.
Ferramentas como a análise por árvore de falhas, análise por árvore de eventos e a análise de decisão em
geral, podem ser utilizadas para apoiar o desenvolvimento dos índices do risco.
Uma vez que a escolha da escala ordinal é, em certa medida, arbitrária, são necessários dados suficientes
para validar o índice.
NP
EN 31010
2016
p. 89 de 99
B.28.4 Processo
O primeiro passo é entender e descrever o sistema. Uma vez que o sistema tenha sido definido, as
pontuações são desenvolvidas para cada componente, de tal modo que possam ser combinadas para fornecer
um índice composto. Por exemplo, num contexto ambiental, as fontes, as vias de exposição e o(s) recetor(es)
serão pontuados, observando-se que, nalguns casos, poderão existir múltiplas vias e recetores para cada
fonte. As pontuações individuais são combinadas de acordo com um esquema que tem em conta as
realidades físicas do sistema. É importante que as pontuações de cada parte do sistema (fontes, vias de
exposição e recetores) sejam internamente consistentes e mantenham as suas relações corretas. Poderão ser
dadas pontuações para os componentes do risco (p. ex. probabilidade, exposição e consequência) ou para os
fatores que aumentam o risco.
As pontuações poderão ser adicionadas, subtraídas, multiplicadas e/ou divididas de acordo com este modelo
de alto nível. Os efeitos cumulativos podem ser tidos em conta pela adição de pontuações (p. ex. por adição
das pontuações das diferentes vias de exposição). Não é válido aplicar fórmulas matemáticas a escalas
ordinais. Por conseguinte, uma vez o sistema de pontuação desenvolvido, o modelo deverá ser validado pela
sua aplicação a um sistema conhecido. O desenvolvimento de um índice é uma abordagem iterativa e
poderão ser tentados vários sistemas diferentes para combinar as pontuações até que o analista esteja
confortável com a validação.
A incerteza pode ser abordada por uma análise de sensibilidade e pontuações variáveis para identificar os
parâmetros mais sen_síveis.
B.28.5 Saídas
A saída é uma série de números (índices compostos) relativos a uma fonte particular e que podem ser
comparados com os índices desenvolvidos para outras fontes dentro do mesmo sistema, ou que podem ser
modelados do mesmo modo.
p. 90 de 99
O formato da matriz e as definições que se lhe aplicam dependem do contexto no qual é utilizada e é
importante que seja utilizada uma conceção apropriada para as circunstâncias.
B.29.2 Utilização
Uma matriz consequência/probabilidade é utilizada para classificar riscos, fontes do risco ou tratamentos do
risco com base no nível do risco. É habitualmente utilizada como uma ferramenta de triagem quando foram
identificados muitos riscos, p. ex., para definir que riscos necessitam de análise posterior ou mais detalhada,
que riscos necessitam de tratamento prioritário, ou que necessitam de ser referenciados a um nível de gestão
superior. Também poderá ser utilizada para selecionar, nesta fase, que riscos não necessitam de ser
considerados mais detalhadamente. Este tipo de matriz do risco também é muito utilizado para determinar se
um dado risco é amplamente aceitável ou não aceitável (ver 5.4), de acordo com a zona da matriz em que se
localiza.
A matriz consequência/probab,ilidade também poderá ser utilizada para ajudar a comunicar um entendimento
comum para níveis qualitativos do risco em toda a organização. O modo como os níveis do risco são
definidos e as regras de decisão a eles atribuídas, deverão ser alinhados com o apetite da organização ao
risco.
Uma configuração de matriz consequência/probabilidade é utilizada para a análise da criticidade na FMECA
ou para estabelecer prioridades a seguir a uma análise HAZOP. Também poderá ser utilizada em situações
em que há dados insuficientes para uma análise detalhada ou quando a situação não justifica o tempo e
esforço para uma análise mais quantitativa.
B.29.3 Entradas
As entradas para o processo são escalas adequadas à consequência e à probabilidade e uma matriz que
combina as duas.
A(s) escala(s) da consequência deverá(ão) abranger a gama dos diferentes tipos de consequências a serem
considerados (p. ex., perda financeira, segurança, ambiente ou outros parâmetros, dependendo do contexto) e
deverá(ão) abranger desde a máxima consequência credível à menor consequência a considerar. Na Figura
B.13 é mostrado um exemplo parcial.
A escala poderá ter qualquer número de níveis. As escalas de 3, 4 ou 5 níveis são as mais comuns.
A escala da probabilidade também poderá ter qualquer número de níveis. As definições da probabilidade
precisam de ser selecionadas de forma menos ambígua possível. Se forem utilizadas referências numéricas
para definir diferentes probabilidades, deverão ser especificadas as unidades. A escala da probabilidade deve
abranger o domínio relevante para o estudo em causa, relembrando que a probabilidade mais baixa deve ser
aceitável para a consequência definida como mais alta, senão todas as atividades com as consequências mais
elevadas são definidas como intoleráveis. Na Figura B.14 é apresentado um exemplo parcial.
A matriz é desenhada com a consequência num eixo e a probabilidade no outro. A Figura B.15 mostra parte
de um exemplo de uma matriz com uma escala de consequência de 6 níveis e uma escala de probabilidade de
5 níveis.
Os níveis do risco atribuídos às células dependerão das definições das escalas probabilidade/consequência. A
matriz poderá ser configurada para dar peso extra às consequências (como representado) ou à probabilidade,
ou poderá ser simétrica, dependendo da aplicação. Os níveis do risco poderão estar ligados a regras de
decisão tais como o nível da atenção da gestão ou a escala de tempo, para os quais é necessário uma resposta.
NP
EN 31010
2016
p. 91de99
lmp~to RPtorno ~
(IM1o1f1<01Ç.Kl fm..oc:t-uo l~H•mf'nto Secur•rn;•" 'Wud• Arnbr•nt• • {omurud~i! Rt-put.,,.,~ {umprm~nlo tec.i
E~~A AUS UPV
..,..
• Et•1tt1.s1rr•lifVljw-WS lanropra::o intarn1eion•..:ttor..,dt IC\IAÇ:locom dW1os6•
s.1nificant•s•dtl'Wlas • lndrpt~iodacomund.ci•c.am virfo1di.n + custosasravidos
d•~uoas potenc1a!pwaaç&l'SJudc.a.1d•I.,.. • Perdttotaldosupot1:9d::. • P•n•d• prtdopW101
ICIOf\istts qu• lltam •1•cucitosd•t1T1>r. .
dts.lflti'H1Jttdo. • P•apm prolo,_.ci•d11
• Sild1d0Ctoaad1rtçloà oper.ç&.s !Mln Mrtaru:flde
rt1truturad•
Sl0m-S99m- S30m· 299m- • 1Jm1 f1Ul•dfdt tlov • lmptctoAmti •W'ltaf prolon11do • Rep0tt1r1ansd1 irf1:1ttnsa • Granduproc.so1detJ\stç<
pr•Juia:o ou IUC!O Pr9jUIZOOU lucro • Et.nosJrra..9"1'119d • Preocup~a.scomunit:•oll nacional to IO t'ICOd• YirlOS CúltosSlOm;
• !nt"ert ltÇ.Õ•par • "Ir..
Mpnfkantts •um• ou
m1ttspeUC1.s
r••tV.ntes- qu•requerern meddM
dt tHoluç:lotlp1if'tcatives:
d""·
• lmp.te:tosunentadona reiulatoria1 rei
reputtÇlo dos.cioninn 1t'l••irtupcl-
>100t-S90"
pr•Jtumc
S!Ok
li"
p. 92 de 99
E IV
"'
QJ
"C
ra
;g D IV
:era
.e
...oa.
"'
~
e V
"O
o
ira
....
G
;;::: B V
·;;;
"'ra
u
A V
1
Classificação das consequências _
IEC 20 76109
B.29.4 Processo
Para ordenar os riscos, o utilizador escolhe primeiro o descritor de consequência que melhor se adapta à
situação, define então a probabilidade de ocorrência dessas consequências. O nível do risco é então lido na
matriz.
Muitos eventos do risco poderão ter uma gama de resultados com probabilidades associadas diferentes.
Normalmente problemas menores são mais comuns do que catástrofes. Há portanto uma esco lha, ordenar os
resultados mais comuns ou os mais graves ou alguma outra combinação. Em muitos casos, é apropriado
focar nos resultados mais graves credíveis dado que estes constituem a maior ameaça e são muitas vezes os
que suscitam maior preocupação. Nalguns casos, poderá ser apropriado ordenar os problemas comuns e as
catástrofes improváveis como riscos distintos. É importante que seja utilizada a probabilidade
correspondente à consequência selecionada e não a probabilidade do evento como um todo.
O nível do risco definido pela matriz poderá estar associado a uma regra de decisão como, por exemplo,
tratar ou não tratar o risco.
p. 93 de 99
B.29.5 Saídas
A saída é uma classificação para cada risco ou uma lista ordenada de riscos com níveis de significância
definidos.
B.30.2 Utilização
A análise de custo/benefício pode ser utilizada para decidir entre opções que envolvam risco.
NP
EN 31010
2016
p. 94 de 99
Por exemplo:
como entrada numa decisão sobre se convém tratar um risco;
para diferenciar e decidir sobre a melhor forma de tratamento do risco;
decidir entre diferentes linhas de ação.
B.30.3 Entradas
As entradas incluem informação sobre custos e beneficias para as partes interessadas afetadas e sobre
incertezas nesses custos e beneficias. Convém que os custos e benefícios tangíveis e intangíveis sejam
considerados. Os custos incluem recursos gastos e resultados negativos. Os beneficias incluem resultados
positivos, resultados negativos evitados e recursos economizados.
B.30.4 Processo
As partes interessadas que podem estar sujeitas aos custos ou a receber os benefícios são identificadas. Numa
análise completa de custo/benefício, todas as partes interessadas são incluídas.
Os benefícios e custos diretos e indiretos das opções consideradas são identificados para todas as partes
interessadas afetadas. Os benefícios diretos são aqueles que decorrem diretamente da ação tomada, enquanto
os benefícios indiretos ou auxiliares são aqueles que são fortuitos, porém poderão ainda contribuir
significativamente para a decisão. Exemplos de benefícios indiretos incluem a melhoria de reputação,
satisfação do pessoal e "tranquilidade de espírito" (estes são muitas vezes ponderados consideravelmente na
tomada de decisões).
Os custos diretos são aqueles que estão diretamente associados com a ação. Os custos indiretos são aqueles
custos adicionais, auxiliares e "afundados", tais como a perda de utilidade, ocupação de tempo da gestão ou
desvio de capital de outros investimentos potenciais. Ao aplicar uma análise de custo/benefício a uma
decisão para se tratar ou não um risco, deverão ser incluídos os custos e benefícios associados quer ao
tratamento do risco quer à assunção do risco.
Na análise quantitativa de custo/beneficio, quando todos os custos e benefícios tangíveis e intangíveis forem
identificados, é atribuído um valor monetário a todos os custos e benefícios (custos e benefícios intangíveis
incluídos). Existem inúmeras formas padronizadas de fazer isto, incluindo a abordagem "disponibilidade
para pagar" e a utilização de alternativas. Se, como muitas vezes acontece, o custo ocorre durante um curto
período de tempo (por exemplo, um ano) e o fluxo de benefícios por um longo período, posteriormente é
normalmente necessário descontar os benefícios para transformá-los para o "valor corrente" de modo que
uma comparação válida possa ser obtida. Todos os custos e benefícios são expressos como valor atual. O
valor atual de todos os custos e benefícios para todas as partes interessadas pode ser combinado para
produzir um valor atual líquido (VAL). Um VAL positivo significa que a ação é benéfica. São também
utilizados rácios de custo/benefício. (Ver B.30.5).
Se houver incerteza sobre o nível de custos ou benefícios, um ou ambos os termos podem ser ponderados de
acordo com as respetivas probabilidades.
Na análise qualitativa de custo/benefício nenhuma tentativa é feita para encontrar um valor monetário para
custos e benefícios intangíveis e em vez de se fornecer um único número que resuma os custos e beneficias,
são consideradas qualitativamente as relações e os compromissos*) entre os diferentes custos e benefícios.
Uma técnica relacionada é uma análise de custo-eficácia. Pressupõe que um certo benefício ou resultado é
desejado, e que há diversas formas alternativas para atingi-lo. A análise olha somente os custos e qual é a
forma mais barata de alcançar o benefício.
p. 95 de 99
B.30.5 Saídas
A saída de uma análise custo/benefício é a informação sobre os custos e benefícios de diferentes opções ou
ações. Isto pode ser expresso quantitativamente como um valor atual líquido (V AL), uma taxa interna de
retomo (TIR) ou como um rácio entre o valor atual dos benefícios e o valor atual dos custos.
Qualitativamente os resultados são geralmente um quadro que compara os diferentes tipos de custos e de
benefícios considerados, chamando a atenção para os compromissos.
B.31.2 Utilização
A MCDA pode ser utilizada para:
numa primeira etapa, comparar várias opções para determinar as opções preferidas e com potencial e as
opções inadequadas;
comparar opções com critérios múltiplos e, por vezes, em conflito;
alcançar o consenso numa decisão em que as diferentes partes interessadas têm objetivos ou valores
conflituosos.
p. 96 de 99
B.31.3 Entradas
Um conjunto de opções para análise. Critérios, suportados em objetivos que podem ser usados igualmente
para todas as opções para as diferenciar.
B.31.4 Processo
Em geral, um grupo de partes interessadas bem informadas executa o seguinte processo:
a) define o(s) objetivo(s);
b) determina os atributos (critérios ou medidas de desempenho) relacionados com cada objetivo;
c) hierarquiza os atributos;
d) desenvolve as opções para avaliação segundo os critérios;
e) -determina a importância dos critérios e atribui-lhes pesos;
f) avalia as alternativas com base nos critérios. Esta avaliação poderá ser representada através de uma
matriz de pontuações;
g) combina a pontuação de múltiplos atributos simples, numa única pontuação multiatributo;
h) avalia os resultados.
Existem diferentes métodos para obtenção da ponderação de cada critério e diferentes formas de agregação
da pontuação dos critérios de cada opção numa única pontuação multiatributo. As pontuações poderão, por
exemplo, ser agregadas como uma soma ponderada, ou um produto ponderado, utilizando o processo da
hierarquia analítica, ou seja uma técnica de obtenção dos pesos e pontuações baseada na comparação por
pares. Todos estes métodos pressupõem que a preferência por qualquer um dos critérios não depende dos
valores dos restantes critérios. Quando este pressuposto não é válido são utilizados outros modelos.
Sendo as pontuações subjetivas, a análise de sensibilidades é útil para examinar em que medida os pesos e as
pontuações influenciam as preferências gerais entre opções.
B.31.5 Saídas
A apresentação ordenada das opções vai da melhor para a de menor preferência. Se o processo gera uma
matriz em que os seus eixos são os critérios ponderados e a pontuação dos critérios para cada opção, então as
opções que falham critérios de peso elevado podem também ser eliminadas.
p. 97 de 99
a maioria dos problemas de MCDA não tem uma solução conclusiva ou única;
os algoritmos de agregação que calculam os pesos dos critérios a partir de preferências declaradas ou da
agregação de diferentes perspetivas podem ocultar a verdadeira base de suporte da decisão.
NP
EN 31010
2016
p. 98 de 99
Bibliografia
IEC 61511 Functional safety - Safety instrumented systems for the process industry sector
1 NOTA: Harmonizada na serie EN 61511 (não modificada).
IEC 61882 Hazard and operability studies (HAZOP studies) -App/ication guide
ISO 22000 Food safety management systems - Requirements for any organization in the food chain
1NOTA: Harmonizada como EN ISO 22000.
IIEC 61078 Analysis techniques for dependability - Reliability block diagram and Boolean methods
NOTA: Harmonizada como EN 61078.
p. 99 de 99
AnexoZA
(normativo)
Os documentos a seguir referenciados são indispensáveis à aplicação deste documento. Para referências
datadas, apenas se aplica a edição citada. Para as referências não datadas, aplica-se a última edição do
documento referenciado (incluindo as emendas).
NOTA: Quando um documento internacional foi modificado por modificações comuns, indicadas por (mod), a correspondente
ENIHD aplica-se.