Norma NP

EN 31010
2016

Portuguesa
Gestão do risco
Técnicas de apreciação do risco
(ISO/IEC 31010:2009)

Gestion des risques

Techniques d'évaluation des risques
(ISO/IEC 31O10:2009)

Risk management
Risk assessment techniques
(ISO/IEC 31O10:2009)

JCS HOMOLOGAÇÃO
03.100.01 Tenno de Homologação n.º 119/2016, de 2016-07-12

CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da EN 31010:201 O CT 180 (APQ)

EDIÇÃO
2016-07-15

CÓDIGO DE PREÇO
X025

© IPQ reprodução proibida

Instituto Português da O,ualidade

Rua António Gião, 2
2829-5 13 CAPARICA PORTUGAL

Tel. + 351-2 12 948 100 Fax + 351-212 948 101

E-mail: ipg(ll'\pq.nt Internet: www.ipg.nt
Preâmbulo nacional
À Norma Europeia EN 31010:2010, foi dado o estatuto de Norma Portuguesa em 2010-11 -02 (Termo de
Adoção nº 1382/2010 de 2010-11-02).
A presente Norma foi preparada pela Comissão Técnica de Normalização CT 180 "Gestão do risco", cuja
coordenação é assegurada pelo Organismo de Normalização Setorial, Associação Portuguesa para a
Qualidade (ONS/APQ).
Esta Norma contém cor.
A impressão pode não reproduzir as cores apresentadas na versão eletrónica desta Norma.
NORMA EUROPEIA EN 31010

EUROPAISCHE NORM

NORME EUROPÉENNE
EUROPEAN STANDARD maio 2010

ICS: 03.100.01

Versão portuguesa
Gestão do risco
Técnicas de apreciação do risco
(ISO/IEC 31010:2009)

Risikomanagement Gestion des risques Risk management

Verfahren zur Techniques d'évaluation des Risk assessment techniques
Risikobeuteilung risques (ISO/IEC 31010:2009)
(ISO/IEC 31010:2009) (ISO/IEC 31010:2009)

A presente Norma é a versão portuguesa da Norma Europeia EN 31010:2010, e tem o mesmo estatuto que
as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade.
Esta Norma Europeia foi ratificada pelo CEN em 2015-05-01.
Os membros do CENELEC são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que
define as condições de adoção desta Norma Europeia, como norma nacional, sem qualquer modificação.
Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais
correspondentes junto do Secretariado Central ou de qualquer dos membros do CEN/CENELEC.
A presente Norma Europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra
língua, obtida pela tradução, sob responsabilidade de um membro do CEN/CENELEC, para a sua língua
nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais.
Os membros do CENELEC são os organismos nacionais de normalização dos seguintes países: Alemanha,
Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia,
França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países
Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.

CENELEC

Comité Europeu de Normalização Eletrotécnica

Europaisches Komitee für Elektrotechnische Normung
Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization

Secretariado Central: Avenida Marnix 17, B-1000 Bruxelas

© 2010 CENELEC Direitos de reprodução reservados aos membros do CENELEC

Ref. n.º EN 31010:2010 Pt
NP
EN 31010
2016

p. 4 de 99

Preâmbulo da EN 31010:2010
O texto do documento 56/ 1329/FDIS, futura edição 1 da IEC/ISO 3101 O, preparado por colaboração entre o
ISO/TMB "Risk managemenf' e o IEC/TC 56 "Dependability" , foi submetido ao voto paralelo
IEC-CENELEC e foi aprovado pelo CENELEC como EN 31O1 O em 2010-05-01 .
Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O
CEN (e/ou o CENELEC) não deve ser responsabilizado pela identificação de alguns ou de todos esses
direitos.
Devem aplicar-se as seguintes datas:
- data-limite até à qual a EN deve ser implementada a nível nacional por (dop) 2011-02-01
publicação de uma norma nacional idêntica ou por endosso
- data-limite de anulação das normas nacionais divergentes com a EN (dow) 2013-05-01
O Anexo ZA foi acrescentado pelo CENELEC.

Nota de endosso
O texto da Norma Internacional ISO/IEC 31010:2009 foi aprovado pelo CENELEC como norma europeia
sem qualquer modificação.
 NP
EN 31010
2016

p. 5 de 99

Sumário Página
Preâmbulo nacional ................................................................................................................................. 2
Preâmbulo da EN 31010:2010................................................................................................................. 4
Nota de endosso........................................................................................................................................ 4
Introdução................................................................................................................................................. 7
1 Objetivo e campo de aplicação............................................................................................................. 8
2 Referências normativas ........................................................................................................................ 8
3 Termos e definições............................................................................................................................... 8
4 Conceitos de apreciação do risco
. .......................................................................................................... 8
4.1 Objetivo e benefícios..................................................................................................................... ....... 8
4.2 Apreciação do risco e a estrutura da gestão do risco ........................................................................... 9
4.3 A apreciação do risco e o processo de gestão do risco .......... .................. ............................................ 9
5 Processo de apreciação do risco........................................................................................................... 12
5.1 Visão geral ....................... .................................................... ......................... .. ..................................... 12
5.2 Identificação do risco .... ........ ............. ........ ... .. ... ...... ... ......... ...... ..... .. .. .. ...... ......... ....... ....... .. ..... .. ... ...... 13
5.3 Análise do risco........................ ................................ ......... ............ ....................... ............ .................... 14
5.4 Avaliação do risco.... ......................................... ................................................... ... ..................... ........ 17
5.5 Documentação ............................ ..................................... ..................... ............................ .... ................ 18
5.6 Monitorização e revisão da apreciação do risco ........... .. ............ .. .......... ... ..... ... ...... ...... ...... ...... ...... .... 19
5. 7 Aplicação da apreciação do risco durante as fases do ciclo de vida......... ................ .. ......................... 19
6 Seleção das técnicas de apreciação do risco........................................................................................ 19
6 .1 Generalidades .. .............................. .......... .................................. ....................... ........... ... ....... .. ............. 19
6.2 Seleção das técnicas........................ ...................................................................................... ............... 20
6.3 Disponibilidade de recursos. ............ ............................. .............................. ............. ....... ........ ............. 21
6.4 A natureza e o grau da incerteza ............................................................................................ .............. 21
6.5 Complexidade ...... .. ... ............ ......... ..... ... .......... ........... ... ...... .. .... ... ........ ...... .. ... ...... ....... ........ ......... ... .. . 21
6.6 Aplicação da apreciação do risco durante as fases do ciclo de vida ..... ...... ........... .... .. .... .................... 21
6.7 Tipos de técnicas de apreciação do risco ......... .. ...... ....... .. ......... ... .. .. .... ... ... ... .... ..... ...... .. ...... ... ... ...... ... 22
Anexo A (informativo) Comparação de técnicas de apreciação do risco............................................. 23
Anexo B (informativo) Técnicas de apreciação do risco........................................................................ 29
Bibliografia ............................................................................................................................................... 98
Anexo ZA (normativo) Referências normativas a documentos internacionais e a sua
correspondência a documentos europeus............................................................................................... 99
NP
EN 31010
2016

p. 6 de 99

Quadro A. l - Aplicabilidade das ferramentas e técnicas para apreciação do risco ...................... .. ................... 24
Quadro A.2 - Atributos para a seleção das ferramentas e técnicas para apreciação do risco ............................ 25
Quadro B.1 - Exemplos de palavras guia HAZOP possíveis .......................................................................... .. 37
Quadro B.2 - Matriz de Markov .................................................................................................................... .... 76
Quadro B.3 - Matriz de Markov final ...................................................... .... .. .................................................... 77
Quadro B.4 - Exemplo de simulação de Monte Cario....................................................................................... 80
Quadro B.5 - Dados do quadro de Bayes........................................................................................................... 83
Quadro B.6 - Probabilidades à priori dos nós A e 8.......................................................................................... 83
Quadro B.7 - Probabilidades condicionadas do nó C pelos nós A e 8 .... .................................................. ........ 84
Quadro B.8 - Probabilidades condicionadas do nó D pelos nós A e C.............................................................. 84
Quadro B.9 - Probabilidades à posteriori dos nós A e 8 pelos nós De C ......................................................... 84
Quadro B.1 O- Probabilidades à posteriori para nó A pelos nós D e C .. .. .... .. ... ............ ....... .. ... ...... ..... .. ..... ...... 84
 NP
EN 31010
2016

p. 7 de 99

Introdução
As organizações de todos os tipos e dimensões enfrentam um conjunto de riscos que podem afetar a
consecução dos seus objetivos.
Estes objetivos podem estar relacionados com um conjunto de atividades da organização, desde iniciativas
estratégicas até às suas operações, processos e projetos, e refletir-se em termos de resultados sociais,
ambientais, tecnológicos e de segurança*>, de medidas comerciais, financeiras e económicas, bem como de
impactos sociais, culturais, políticos e de reputação.
Todas as atividades de uma organização envolvem riscos que deverão ser geridos. O processo de gestão do
risco auxilia a tomada de decisões ao considerar a incerteza e a possibilidade de futuros eventos ou
circunstâncias (intencionais ou não) e os seus efeitos nos objetivos acordados.
A gestão do risco inclui a aplicação de métodos lógicos e sistemáticos para:
comunicar e consultar durante este processo;
estabelecer o contexto para identificar, analisar, avaliar e tratar o risco associado com qualquer atividade,
processo, função ou produto;
monitorizar e rever riscos;
relatar e registar os resultados adequadamente.
A apreciação do risco é a parte da gestão do risco que proporciona um processo estruturado que identifica
como os objetivos podem ser afetados e analisa o risco em termos de consequências e da sua probabilidade
antes de se decidir sobre a necessidade de tratamento adicional do risco.
A apreciação do risco tenta responder às seguintes questões fundamentais:
o que pode acontecer e porquê (pela identificação do risco)?
quais são as consequências?
qual é a probabilidade da sua ocorrência futura?
há quaisquer fatores que mitiguem a consequência do risco ou que reduzam a probabilidade do risco?
O nível do risco é tolerável ou aceitável e requer tratamento adicional? A presente Norma destina-se a refletir
as boas práticas correntes na seleção e utilização de técnicas de apreciação do risco e não se refere a
conceitos novos, ou em evolução, que não tenham atingido um nível satisfatório de consenso profissional.
Esta Norma é de natureza geral, para que possa dar orientação em muitas indústrias e tipos de sistema.
Poderão existir normas mais específicas em indústrias que estabeleçam metodologias preferenciais e níveis
de apreciação para aplicações particulares. Se estas normas estiverem em harmonia com a presente Norma,
as normas específicas serão geralmente suficientes.

*J Na dupla aceção da terminologia inglesa de "safety and security'' (nota nacional).

NP
EN 31010
2016

p. 8 de 99

1 Objetivo e campo de aplicação

A presente Norma é uma norma de suporte para a ISO 31000 e fornece orientações para a seleção e aplicação
de técnicas sistemáticas para a apreciação do risco.
A apreciação do risco realizada de acordo com esta Norma contribui para outras atividades da gestão do
nsco.
A aplicação de um conjunto de técnicas é apresentada, com referências específicas a outras normas
internacionais em que os conceitos e a aplicação das técnicas são descritos com maior detalhe.
A presente Norma não se destina a fins de certificação, regulamentação ou contratuais.
Esta Norma não fornece critérios específicos para a identificação de necessidades de análise do risco, nem
indica o tipo de método de análise do risco que é requerido para uma aplicação determinada.
A presente Norma não se refere a todas as técnicas e a omissão de uma técnica desta Norma· não· significa
que a mesma não seja válida. O facto de um método ser aplicável a uma determinada circunstância não
significa que o método deva ser necessariamente aplicado.
NOTA: A presente Norma não trata especificamente de segurança. É uma Norma genérica de gestão do risco e quaisquer
referências a segurança são de natureza puramente inform ativa. As orientações sobre a introdução dos aspetos de segurança em
normas IEC são definidas no Guia ISO/IEC 51.

2 Referências normativas
Os documentos a seguir referenciados são indispensáveis à aplicação desta Norma. Para referências datadas,
apenas se aplica a edição citada. Para referências não datadas, aplica-se a última edição do documento
referenciado (incluindo as emendas).
ISO/IEC Guide 73 *l Risk management - Vocabulary- Guidelines for use in standards
ISO 31000 *l Risk management- Principies and guidelines

3 Termos e definições
Para os fins da presente Norma aplicam-se os termos e definições constantes no ISO/IEC Guide 73 .

4 Conceitos de apreciação do risco

4.1 Objetivo e benefícios
O objetivo da apreciação do risco é proporcionar informação e análise baseadas em evidências para que
sejam tomadas decisões informadas sobre como tratar riscos específicos e selecionar opções.
Alguns dos benefícios principais da apreciação do risco incluem:
compreender o risco e o seu impacto potencial nos objetivos;
fornecer informação aos decisores;
contribuir para a compreensão dos riscos, de forma a auxiliar a seleção de opções de tratamento;
identificar os principais fatores que contribuem para os riscos e elos fracos nos sistemas e organizações;
comparar os riscos de sistemas, tecnologias ou abordagens alternativos;

*)Existem versões portuguesas destas normas DNP ISO Guia 73 e NP ISO 31000 (nota nacionaO.
 NP
EN 31010
2016

p. 9 de 99

comunicar riscos e incertezas;

auxiliar no estabelecimento de prioridades;
contribuir para a prevenção de incidentes com base na investigação pós-incidente;
selecionar diferentes formas de tratamento do risco;
cumprir requisitos regulamentares;
fornecer informação que ajudará a avaliar se o risco deverá ser aceite quando comparado com critérios
pré-definidos;
apreciar riscos da deposição em fim de vida.

4.2 Apreciação do risco e a estrutura da gestão do risco

A presente Norma assume que a apreciação do risco é efetuada de acordo com a estrutura e o processo de
gestão do risco descritos na ISO 31000.
A estrutura da gestão do risco fornece as políticas, os procedimentos e as disposições organizacionais que
integrarão a gestão do risco em todos os níveis da organização.
Como parte desta estrutura, a organização deverá ter uma política ou estratégia para decidir quando e como
os riscos deverão ser apreciados.
Em particular, os que realizam as apreciações do risco deverão ser claros sobre:
o contexto e objetivos da organização,
a extensão e o tipo de riscos que são toleráveis e como devem ser tratados os riscos inaceitáveis,
como se integra a apreciação do risco nos processos organizacionais,
os métodos e técnicas que devem ser usados para a apreciação do risco e a sua contribuição para o
processo de gestão do risco,
responsabilização, responsabilidade e autoridade para a realização da apreciação do risco,
recursos disponíveis para realizar a apreciação do risco,
como será relatada e revista a apreciação do risco.

4.3 A apreciação do risco e o processo de gestão do risco

4.3.1 Generalidades
A apreciação do risco *l inclui os elementos fundamentais do processo de gestão do risco que são definidos na
ISO 31000 e contém os seguintes elementos:
comunicação e consulta;
estabelecimento do contexto;
apreciação do risco (incluindo a identificação do risco, a análise do risco e a avaliação do risco);
tratamento do risco;

')Na NP ISO 31000:2013 a apreciação do risco ("risk assessment ") inclui apenas as seguintes atividades: a "identificação do
risco ", a "análise do risco " e a ··avaliação do risco ". As restantes atividades (elemenroJ) indicadas nesta secção 4.3. 1 integram o
processo de gestão do risco mas não fazem parte do que se designa por '"apreciação do risco " (nota nacional).
NP
EN 31010
2016

p. 10 de 99

monitorização e revisão.
A apreciação do risco não é uma atividade isolada e deverá ser totalmente integrada nos outros componentes
do processo de gestão do risco.

4.3.2 Comunicação e consulta

Uma apreciação do risco bem-sucedida depende da eficácia da comunicação e da consulta às partes
interessadas.
Envolver as partes interessadas no processo de gestão do risco ajudará:
a desenvolver um plano de comunicação;
a definir apropriadamente o contexto;
a assegurar que o interesse das partes interessadas é compreendido e considerado,
a reunir as diferentes áreas do conhecimento para identificação e análise do risco;
a assegurar que diferentes pontos de vista são considerados apropriadamente na avaliação do risco;
a assegurar que os riscos sãp identificados adequadamente;
a assegurar a adesão e suporte para um plano de tratamento.
As partes interessadas deverão contribuir para a interação do processo de apreciação do risco com outras
disciplinas de gestão, nomeadamente a gestão da mudança, a gestão de projetos e programas, bem como a
gestão financeira.

4.3.3 Estabelecer o contexto

Estabelecer o contexto define os parâmetros básicos para gerir o risco assim como o âmbito de aplicação e os
critérios para o resto do processo. Estabelecer o contexto inclui considerar os parâmetros internos e externos
relevantes para a organização como um todo, assim como os antecedentes relativos aos riscos particulares
que estão a ser apreciados.
No estabelecimento do contexto, os objetivos da apreciação do risco, os critérios do risco e o programa de
apreciação do risco são determinados e acordados.
Para uma apreciação do risco específica, o estabelecimento do contexto deverá incluir a definição do
contexto externo, interno e da gestão do risco bem como a classificação dos critérios do risco:
a) estabelecer o contexto externo implica a familiarização com o ambiente no qual a organização ou o
sistema atuam incluindo:
os fatores do ambiente cultural, político, legal, regulamentar, financeiro, económico e concorrencial,
quer sejam eles internacionais, nacionais, regionais ou locais;
os principais fatores chave e tendências que têm impacto nos objetivos da organização;
as perceções e valores das partes interessadas externas.
b) Estabelecer o contexto interno implica compreender:
as capacidades da organização em termos de recursos e de conhecimento;
os fluxos de informação e os processos de tomada de decisão;
- as partes interessadas internas;
os objetivos e as estratégias estabelecidas para os atingir;
 NP
EN 31010
2016

p. 11de99

as perceções, valores e cultura;

as políticas e os processos;
as normas e os modelos de referência adotados pela organização; e
as estruturas (por exemplo, governação, funções e responsabilidades).
c) Estabelecer o contexto do processo de gestão do risco inclui:
definir responsabilizações e responsabilidades;
definir a extensão das atividades da gestão do risco a serem levadas a cabo incluindo inclusões e
exclusões específicas;
definir a extensão do projeto, processo, função e atividade em termos de tempo e local;
definir as relações entre um projeto ou atividade específicos e outros projetos ou atividades da
organização;
definir as metodologias de apreciação do risco;
definir os critérios do risco;
definir como o desempenho da gestão do risco é avaliado;
identificar e especificar as decisões a tomar e as ações a executar; e
identificar os estudos de definição de âmbito ou enquadramento necessários, a sua extensão, os seus
objetivos e os recursos necessários para tais estudos.
d) Definir os critérios do risco implica decidir:
a natureza e tipo de consequências a serem incluídas e como estas deverão ser medidas;
o modo como as probabilidades devem ser expressas;
como será determinado o nível do risco;
os critérios pelos quais irá ser decidido quando um tratamento do risco é necessário;
os critérios para decidir quando um risco é aceitável e/ou tolerável;
se e como as combinações de riscos serão tidas em consideração.
Os critérios podem ser baseados em fontes tais como:
os objetivos do processo acordados;
os critérios identificados nas especificações;
fontes genéricas de dados;
os critérios industriais geralmente aceites, tais como os níveis de integridade de segurança' >;
o apetite ao risco da organização;
as exigências legais e outros requisitos para equipamentos ou aplicações específicos.

*) Safety l ntegrity Leveis (S!l) no original (nota nacional).

NP
EN 31010
2016

p. 12 de 99

4.3.4 Apreciação do risco

A apreciação do risco é o processo global de identificação, análise e avaliação dos riscos.
Os riscos podem ser apreciados a nível organizacional, a nível departamental, em projetos, atividades
individuais ou riscos específicos. Ferramentas e técnicas diferentes podem ser adequadas em contextos
diferentes.
A apreciação do risco fornece uma compreensão dos riscos, das suas causas, consequências e das suas
probabilidades. Esta fornece informação para decisões sobre:
a necessidade de realizar ou não uma atividade;
a forma de maximizar as oportunidades;
a necessidade de tratar os riscos;
a escolha de opções com riscos diferentes;
a prioridade das opções de tratamento;
a escolha das estratégias mais apropriadas de tratamento dos riscos que irão levar os riscos adversos para
um nível tolerável.

4.3.5 Tratamento do risco

Terminada a apreciação do risco, o tratamento do risco implica selecionar e acordar uma ou mais opções
pertinentes visando modificar a probabilidade de ocorrência, os efeitos dos riscos, ou ambos, e a
implementação destas opções.
Esta etapa é seguida de um processo cíclico de reapreciação do novo nível do risco, tendo em vista a
determinação da sua tolerabilidade em relação aos critérios anteriormente estabelecidos, de modo a decidir
sobre a necessidade de tratamento suplementar.

4.3.6 Monitorização e revisão

Como parte do processo da gestão do risco, os riscos e os controlos deverão ser monitorizados e revistos com
regularidade para verificar que:
os pressupostos dos riscos permanecem válidos;
os pressupostos sobre os quais a apreciação do risco se baseia, incluindo o contexto externo e interno,
permanecem válidos;
os resultados esperados estão a ser atingidos;
os resultados da apreciação do risco estão em linha com a experiência efetiva;
as técnicas de apreciação do risco estão a ser corretamente aplicadas;
os tratamentos do risco são eficazes.
Deverá ser estabelecida a responsabilização pela monitorização e pela realização das revisões.

5 Processo de apreciação do risco

5.1 Visão geral
A apreciação do risco fornece aos decisores e aos responsáveis uma melhor compreensão dos riscos que
podem afetar a consecução dos objetivos, bem como a adequação e a eficácia dos controlos já estabelecidos.
 NP
EN 31010
2016

p. 13 de 99

Isto fornece uma base para as decisões sobre a abordagem mais apropriada a ser usada no tratamento dos
riscos. O resultado da apreciação do risco é uma entrada para os processos de tomada de decisão da
organização.
A apreciação do risco é o processo global de identificação do risco, análise do risco e avaliação do risco (ver
Figura 1). A forma de aplicar este processo não depende somente do contexto do processo de gestão do risco,
mas também dos métodos e técnicas utilizadas para levar acabo a apreciação do risco.

,. 1
•1 Estabelecimento do contexto 1L .
Apreciação do risco
1 1
·1 Identificação do risco 1

Comunicação e
consulta
..
.1
Análise do risco L
1·
Monitorização e
revisão

.1 1
·1 Avaliação do risco 1

.,,
. .1
1
Tratamento do risco 1
1

T
IEC 2061 /09

Figura 1 - Contribuição da apreciação do risco para o processo de gestão do risco

A apreciação do risco pode necessitar de uma abordagem multidisciplinar, uma vez que os riscos podem
abranger uma vasta gama de causas e de consequências.

5.2 Identificação do risco

A identificação do risco é o processo de pesquisa, reconhec imento e registo dos riscos.
A finalidade da identificação do risco é identificar o que pode acontecer ou que situações podem existir que
possam afetar a consecução dos objetivos do sistema ou da organização. Uma vez o risco identificado, a
organização deverá identificar quaisquer controlos existentes tais como características do projeto, pessoas,
processos e sistemas.
O processo de identificação do risco inclui a identificação das causas e da origem do risco (perigo no
contexto de um dano físico), dos eventos, das situações ou circunstâncias que poderão ter um impacto
material nos objetivos e da natureza desse impacto.
Os métodos de identificação do risco podem incluir:
NP
EN 31010
2016

p. 14 de 99

métodos baseados em evidências, por exemplo, listas de verificação *l e revisão de dados históricos;
abordagens sistemáticas em equipa, em que um grupo de especialistas segue um processo sistemático
para identificar riscos através de um conjunto estruturado de pedidos de informação ou questões;
técnicas de raciocínio indutivo, tais como a HAZOP.
Podem ser usadas várias técnicas de suporte para aumentar a exatidão e o carácter exaustivo da identificação
do risco, nomeadamente o brainstorming e a metodologia Delphi.
Independentemente das técnicas efetivamente aplicadas, é importante, que seja dada a devida importância
aos fatores humanos e organizacionais ao identificar o risco. Assim, deverão ser incluídos no processo de
identificação do risco, os desvios dos fatores humanos e organizacionais em relação ao esperado, tal como
ocorrências relativas a hardware ou software.

5.3 Análise do risco

5.3.1 Generalidades
A análise do risco consiste em aprofundar a compreensão do risco. Fornece uma entrada para a apreciação do
risco e para as decisões sobre a necessidade de tratar o risco e sobre as estratégias e métodos de tratamento
mais adequados.
A análise do risco consiste em determinar as consequências e as suas probabilidades para os eventos do risco
identificados, tendo em conta a presença (ou não) e a eficácia de quaisquer controlos existentes. As
consequências e as suas probabilidades são então combinadas para determinar um nível do risco.
A análise do risco implica ter em conta as causas e as origens do risco, as suas consequências e a
probabilidade de ocorrência dessas consequências. Deverão ser identificados os fatores que afetem as
consequências e a probabilidade. Um evento pode ter múltiplas consequências e afetar múltiplos objetivos.
Deverão ser tidos em conta os controlos do risco existentes e a sua eficácia. No Anexo B são descritos vários
métodos para estas análises. Para as aplicações complexas pode ser necessária a aplicação de mais do que
uma técnica.
De um modo geral, a análise do risco inclui uma estimativa do conjunto de potenciais consequências que
podem resultar de um evento, situação ou circunstância e das probabilidades que lhes estão associadas, a fim
de medir o nível do risco. No entanto, em certos casos, como, por exemplo, quando as consequências são
provavelmente pouco significativas ou a probabilidade expectável é extremamente baixa, a estimativa de um
único parâmetro pode ser suficiente para a tomada de decisão.
Em algumas circunstâncias, uma consequência pode ocorrer como resultado de um conjunto de eventos ou
condições diversos, ou quando um evento específico não é identificado. Neste caso, a apreciação do risco
incide sobre a análise da importância e da vulnerabilidade das componentes do sistema tendo em vista definir
tratamentos que se relacionem com níveis de proteção ou estratégias de recuperação.
Os métodos utilizados na análise do risco podem ser qualitativos, semi-quantitativos ou quantitativos. O grau
de pormenor requerido dependerá da aplicação específica, da disponibilidade de dados fiáveis e das
necessidades da organização na tomada de decisão. Alguns métodos e o grau de pormenor de análise podem
ser determinados por legislação.
A avaliação qualitativa define a consequência, a probabilidade e o nível do risco por níveis de significância
tais como "alto", "médio" e "baixo", pode combinar a consequência com a probabilidade e avalia o nível do
risco em função de critérios qualitativos.

*) "Check-/ists ·· no original (nota nacional).

 NP
EN 31010
2016

p. 15 de 99

Os métodos semi-quantitativos utilizam escalas de avaliação numérica de consequência e probabilidade e

combinam-nas, usando uma fórmula, para obter um nível do risco. As escalas podem ser lineares ou
logarítmicas ou adotar outra relação; as fórmulas usadas podem também variar.
A análise quantitativa estima valores realistas das consequências e das suas probabilidades e determina
valores do nível do risco em unidades específicas definidas aquando do desenvolvimento do contexto. Nem
sempre é possível ou desejável proceder a uma análise quantitativa completa devido a insuficiência de
informação acerca do sistema ou atividade em análise, falta de dados, influência de fatores humanos, etc. ou
porque o esforço da análise quantitativa não é garantido ou necessário. Nestas circunstâncias, pode ainda ser
eficaz recorrer a especialistas reconhecidos nas suas áreas de competência para se proceder a uma
classificação, semi-quantitativa ou qualitativa, comparativa dos riscos.
Nos casos em que a análise seja qualitativa, deverão ser claramente explicados todos os termos utilizados e
os fundamentos de todos os critérios deverão ser registados.
Mesmo quando uma quantificação exaustiva tenha sido efetuada, é necessário ter em conta que os nívéis do
risco calculados são estimativas. Deverá haver o cuidado de assegurar que não lhes é atribuído um nível de
exatidão e precisão inconsistente com a exatidão dos dados e métodos utilizados.
Os níveis do risco deverão ser expressos nos termos mais adequados a um dado tipo do risco e de uma forma
que ajude a avaliação do risco. Em certas situações, o valor de um risco pode ser expresso sob a forma de
uma distribuição de probabilidade para uma gama de consequências.

5.3.2 Avaliação dos controlos

O nível do risco dependerá da adequação e eficácia dos controlos existentes. As questões a serem abordadas
incluem:
quais são os controlos existentes para um determinado risco?
são esses controlos capazes de tratar adequadamente o risco de modo a que seja controlado a um nível
tolerável?
na prática, estão os controlos a funcionar conforme pretendido e poderá a sua eficácia ser demonstrada se
tal for necessário?
Estas questões apenas podem ser respondidas com confiança se existir uma documentação apropriada e
processos de garantia.
O nível de eficácia de um determinado controlo, ou de um conjunto de controlos associados, pode
exprimir-se de forma qualitativa, semi-quantitativa ou quantitativa. Na maior parte dos casos, não se pode
garantir um nível elevado de exatidão. No entanto, pode ser vantajoso exprimir e registar uma medida da
eficácia do controlo do risco, de forma a poder emitir-se um juízo sobre se é preferível despender esforços a
melhorar um controlo ou a providenciar um tratamento do risco diferente.

5.3.3 Análise das consequências

A análise das consequências determina a natureza e o tipo do impacto suscetível de ocorrer, no pressuposto
de um evento ou circunstâncias particulares terem ocorrido. Um evento pode ter uma gama de impactos de
magnitudes diferentes e afetar um conjunto de diferentes objetivos e diferentes partes interessadas. Os tipos
de consequência a analisar e as partes interessadas afetadas terão sido decididos quando o contexto foi
estabelecido.
A análise das consequências pode variar desde uma simples descrição de resultados até uma modelação
quantitativa detalhada ou uma análise de vulnerabilidade.
NP
EN 31010
2016

p. 16 de 99

Os impactos podem ter uma baixa consequência mas uma probabilidade alta, ou uma consequência alta e
uma baixa probabilidade, ou um resultado intermédio. Em alguns casos, justifica-se focalizar os riscos com
resultados potencialmente muito significativos, pois estes são frequentemente alvo de maior preocupação por
parte dos gestores. Noutros casos, pode ser importante analisar de forma separada os riscos de consequência
alta e baixa. Por exemplo, um problema frequente mas de baixo impacto (ou crónico) pode ter grandes
efeitos cumulativos ou de longo prazo. Adicionalmente, as ações de tratamento para lidar com estes dois
tipos diferentes de riscos, são frequentemente bastante diferentes, pelo que é útil analisá-los separadamente.
A análise das consequências pode implicar:
ter em consideração os controlos existentes para tratar as consequências em conjunto com todos os
fatores contributivos relevantes que têm um efeito sobre as consequências;
relacionar as consequências do risco com os objetivos originais;
ter. em .consideração tanto as consequências imediatas como as que possam surgir depois de um certo
lapso de tempo, se isso for consistente com o âmbito da apreciação;
ter em consideração as consequências secundárias, tais como as que tenham impacto em sistemas,
atividades, equipamentos ou organizações associados.

5.3.4 Análise da verosimilhança e estimativa da probabilidade

Três abordagens gerais são correntemente utilizadas para estimar a probabilidade. Podem ser utilizadas
individualmente ou em conjunto:
a) utilização de dados históricos pertinentes para identificar acontecimentos ou situações que ocorreram no
passado e assim poder extrapolar-se a probabilidade da sua ocorrência no futuro. Os dados utilizados
deverão ser adequados para o tipo de sistema, instalação, organização ou atividade considerada e
também para as normas operacionais da organização considerada. Se, historicamente, a frequência de
ocorrência for muito baixa, então qualquer estimativa de probabilidade será muito incerta. Isto aplica-se
especialmente à ausência de ocorrências, caso em que ninguém poderá assumir que o evento, situação
ou circunstância não irá ocorrer no futuro.
b) Previsões de probabilidade com o recurso a técnicas preditivas tais como a análise por árvore de falhas e
a análise por árvore de eventos (ver Anexo B). Quando os dados históricos não estão disponíveis ou não
são adequados, é necessário deduzir a probabilidade pela análise do sistema, da atividade, do
equipamento ou da organização e pelos estados de falha ou sucesso que lhes estão associados. Os dados
numéricos relacionados com equipamentos, pessoas, organizações e sistemas, obtidos com base na
experiência operacional ou em fontes de dados publicadas, são então combinados para produzir uma
estimativa do evento de topo. Quando se utilizam técnicas preditivas, é importante assegurar que,
durante a análise, é devidamente tida em conta, a possibilidade de modos de falha comuns que
impliquem a falha coincidente de várias peças ou componentes do sistema resultantes da mesma causa.
Podem ser necessárias técnicas de simulação para gerar a probabilidade de falha dos equipamentos e das
estruturas devido ao envelhecimento e outros processos de degradação, através do cálculo dos efeitos
das incertezas.
e) O parecer de um perito pode ser utilizado num processo sistemático e estruturado para estimar a
probabilidade. Os pareceres dos peritos deverão ter em conta todas as informações relevantes
disponíveis, incluindo dados históricos, específicos do sistema e da organização, experimentais, de
conceção, etc. Existe um conjunto de métodos formais que permitem a obtenção de pareceres
especializados que fornecem uma ajuda à formulação das questões apropriadas. Os métodos disponíveis
incluem a abordagem Delphi, os métodos de comparação por pares, de classificação por categorias e de
atribuição de probabilidade absoluta.
 NP
EN 31010
2016

p. 17de99

5.3.5 Análise preliminar

Os riscos podem ser sujeitos a triagem de modo a identificar os mais significativos, ou para excluir de
análises posteriores os riscos menos significativos ou menores. O objetivo é o de assegurar que os recursos
serão focalizados nos riscos mais importantes. Deverá ser tido o cuidado de não ignorar riscos menores que
ocorrem frequentemente e que têm um efeito cumulativo significativo.
A triagem deverá basear-se em critérios definidos no contexto. A análise preliminar determina um ou mais
dos seguintes cursos de ação:
decidir tratar riscos sem apreciação posterior;
pôr de lado riscos insignificantes que não justificam tratamento;
proceder a uma apreciação do risco mais detalhada.
Os pressupostos iniciais e os resultados deverão ser documentados.

5.3.6 Incertezas e sensibilidades

Existem com frequência incertezas consideráveis associadas à análise do risco. É necessana uma
compreensão das incertezas para interpretar e comunicar de modo eficaz os resultados da análise do risco. A
análise das incertezas associada aos dados, métodos e modelos usados para identificar e analisar o risco,
desempenha um papel importante na sua aplicação. A análise da incerteza envolve a determinação da
variação ou imprecisão dos resultados, resultantes da variação coletiva dos parâmetros e dos pressupostos
utilizados para definir os resultados. Uma área intimamente relacionada com a análise de incertezas é a
análise de sensibilidade.
A análise de sensibilidade envolve a determinação da dimensão e significância da magnitude do risco face a
alterações dos parâmetros de entrada individualizados. É utilizada para identificar os dados que necessitam
de ser exatos e os que são menos sensíveis e por isso têm menos efeito na exatidão global.
O carácter exaustivo e a exatidão da análise do risco deverão ser expressos da forma mais completa possível.
As fontes da incerteza deverão ser identificadas onde possível e deverão considerar-se tanto as incertezas dos
dados como as do modelo/método. Deverão ser expressos os parâmetros para os quais a análise é sensível e o
seu grau de sensibilidade.

5.4 Avaliação do risco

A avaliação do risco envolve comparar níveis estimados do risco com critérios do risco definidos aquando do
estabelecimento do contexto de modo a determinar a significância do nível e o tipo do risco.
A avaliação do risco utiliza a compreensão do risco obtida durante a análise do risco para tomar decisões
sobre ações futuras. Considerações éticas, legais, financeiras, entre outras, incluindo as perceções do risco,
são também entradas para a decisão.
As decisões podem incluir:
se um risco necessita de tratamento;
prioridades de tratamento;
se uma atividade deve ser realizada;
qual dos caminhos deverá ser seguido.
A natureza das decisões que necessitam de ser tomadas e os critérios que serão usados para tomar essas
decisões foram decididos quando se estabeleceu o contexto, mas necessitam de ser reanalisados em maior
detalhe nesta fase, em que já se sabe mais sobre os riscos específicos identificados.
NP
EN 31010
2016

p. 18 de 99

A estrutura mais simples para definição dos critérios do risco, é uma de nível único que divide os riscos nos
que necessitam de tratamento e nos que não necessitam. Isto dá resultados simples de forma atrativa, mas
não reflete as incertezas envolvidas quer a estimar os riscos quer a definir a fronteira entre os que necessitam
de tratamento e os que não necessitam.
A decisão relativa a se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e dos
custos e benefícios de implementação de controlos melhorados.
Uma abordagem comum é a de dividir os riscos em três bandas:
a) uma banda superior onde o nível do risco é visto como intolerável, quaisquer que sejam os benefícios
que a atividade possa trazer, e o tratamento do risco essencial, qualquer que seja o custo;
b) uma banda intermédia (ou zona "cinzenta") onde custos e benefícios, são tidos em consideração e as
oportunidades são ponderadas face a potenciais consequências;
c) uma banda inferior onde o nível do risco é considerado negligenciável, ou tão pequeno que não são
necessárias nenhumas medidas de tratamento do risco.
O sistema de critérios "tão baixo quanto razoavelmente praticável"*) ou ALARP, usado em aplicações de
segurança, segue esta abordagem, onde, na banda intermédia, existe uma escala móvel para riscos baixos em
que os custos e benefícios podem ser comparados diretamente, enquanto que para riscos altos, o potencial de
dano deve ser reduzido até que o custo de reduções adicionais seja inteiramente desproporcionado para o
ganho de segurança obtido.

5.5 Documentação
O processo de apreciação do risco deverá ser documentado juntamente com os resultados da apreciação. Os
riscos deverão ser expressos em termos compreensíveis e as unidades em que o nível do risco é expresso
deverão ser claras.
A extensão do relato irá depender dos objetivos e do âmbito da apreciação. Exceto no caso de avaliações
muito simples, a documentação pode incluir:
objetivos e âmbito;
descrição das partes relevantes do sistema e das suas funções;
uma síntese do contexto externo e interno da organização e de como este se relaciona com a situação,
sistema ou circunstâncias que estão a ser avaliadas;
critérios do risco aplicados e a sua justificação;
limitações, pressupostos e justificação das hipóteses;
metodologia da apreciação;
resultados da identificação do risco;
dados, pressupostos e as suas fontes e validação;
resultados da análise do risco e a sua avaliação;
análise de sensibilidade e da incerteza;
pressupostos críticos e outros fatores que necessitam de ser monitorizados;
discussão dos resultados;

' ) "as low as reasonab/y practicable " no original (nota nacional).

 NP
EN 31010
2016

p. 19 de 99

conclusões e recomendações;
referências.
Se a apreciação do risco suporta um processo de gestão do risco continuado, deverá ser realizada e
documentada de tal forma que possa ser mantida durante todo o ciclo de vida do sistema, organização,
equipamento ou atividade. A apreciação deverá ser atualizada conforme seja disponibilizada nova
informação relevante e o contexto seja alterado, de acordo com as necessidades do processo de gestão.

5.6 Monitorização e revisão da apreciação do risco

O processo de apreciação do risco irá destacar o contexto e outros fatores que expectavelmente poderão
variar ao longo do tempo, podendo alterar ou invalidar a apreciação do risco. Estes fatores deverão ser
especificamente identificados para serem monitorizados e revistos de forma contínua, de modo a que a
apreciação do risco possa ser atualizada quando necessário.
Deverão ser identificados e recolhidos os dados a serem monitorizados de modo a afinar a apreciação do
risco.
A eficácia dos controlos deverá também ser monitorizada e documentada de modo a fornecer dados para
utilizar na análise do risco. Deverão ser definidas as responsabilidades para a criação e revisão das
evidências e documentação.

5.7 Aplicação da apreciação do risco durante as fases do ciclo de vida

Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida, que começa na
conceção e definição iniciais, passa à realização e vai até ao final de vida o qual poderá incluir a desativação
e eliminação de material.
A apreciação do risco pode ser aplicada em todas as fases do ciclo de vida e é normalmente aplicada muitas
vezes com diferentes graus de detalhe para apoiar as decisões que são necessárias tomar em cada fase.
As fases dos ciclos de vida têm requisitos diferentes e necessitam de técnicas diferentes. Por exemplo,
durante a fase de conceção e definição, quando uma oportunidade é identificada, a apreciação do risco pode
ser usada para decidir se se deve ou não prosseguir.
Quando estiverem disponíveis várias opções, a apreciação do risco pode ser usada para avaliar conceitos
alternativos para ajudar a decidir qual fornece o melhor equilíbrio entre riscos positivos e negativos.
Durante a fase de conceção e desenvolvimento, a apreciação do risco contribui para:
assegurar que os riscos do sistema são toleráveis,
o processo de aperfeiçoamento da conceção,
os estudos de rentabilidade,
identificar os riscos que têm impacto sobre as fases subsequentes do ciclo de vida.
À medida que a atividade prossegue, a apreciação do risco pode ser usada para fornecer informação para
auxiliar no desenvolvimento de procedimentos para condições normais e de emergência.

6 Seleção das técnicas de apreciação do risco

6.1 Generalidades
Esta secção descreve como as técnicas de apreciação do risco poderão ser selecionadas. Os Anexos listam e
fornecem explicações adicionais sobre uma série de ferramentas e de técnicas que podem ser utilizadas para
NP
EN 31010
2016

p. 20 de 99

realizar uma apreciação do risco ou para auxiliar o processo da apreciação do risco. Por vezes poderá ser
necessário empregar mais de um método de apreciação.

6.2 Seleção das técnicas

A apreciação do risco poderá ser realizada com diferentes graus de profundidade e de detalhe, utilizando um
ou vários métodos que vão do simples ao complexo. A forma da apreciação e os seus resultados deverão ser
coerentes com os critérios do risco desenvolvidos como parte do estabelecimento do contexto. O Anexo A
ilustra a relação conceptual entre as grandes categorias das técnicas de apreciação do risco e os fatores
presentes numa determinada situação do risco e fornece exemplos ilustrativos de como as organizações
podem selecionar as técnicas de apreciação do risco adequadas para uma situação particular.
Em termos gerais, as técnicas adequadas deverão apresentar as seguintes características:
deverão ser justificáveis e apropriadas para a situação ou para a organização considerada;
deverão fornecer resultados de uma forma que melhore a compreensão da natureza do risco e do modo
como pode ser tratado;
deverão poder ser utilizadas de uma forma que seja rastreável, repetível e verificável.
Deverão ser dadas as razões para a escolha das técnicas em relação à sua pertinência e adequação. Ao ·
integrar os resultados de diferentes estudos, as técnicas utilizadas e os resultados deverão ser comparáveis.
Uma vez tomada a decisão de realizar uma apreciação do risco e estando os objetivos e o âmbito definidos,
as técnicas deverão ser selecionadas com base em fatores aplicáveis, tais como:
os objetivos do estudo. Os objetivos da apreciação do risco terão influência direta nas técnicas utilizadas.
Por exemplo, se estiver a ser realizado um estudo comparativo entre diferentes opções, poderá ser
aceitável usar modelos de consequências menos detalhados para as partes do sistema não afetados pela
diferença das opções;
as necessidades dos decisores. Em alguns casos é necessário um elevado nível de detalhe para tomar uma
boa decisão, e noutros é suficiente uma compreensão mais geral;
o tipo e a gama dos riscos em análise;
a magnitude potencial das consequências. A decisão sobre o nível de aprofundamento com que a
apreciação do risco é realizada deverá refletir a perceção inicial das consequências (embora possa ter de
ser modificada após a conclusão de uma avaliação preliminar);
o grau de especialização, os recursos humanos e outros, necessários. Um método simples, bem aplicado,
poderá proporcionar melhores resultados do que um procedimento mais sofisticado mal feito, desde que
atenda aos objetivos e ao âmbito da apreciação. Normalmente, o esforço colocado na apreciação deve ser
coerente com o nível potencial do risco em análise;
a disponibilidade de informação e de dados. Algumas técnicas requerem mais informação e dados do que
outras;
a necessidade de modificação ou atualização da apreciação do risco. A apreciação poderá ter de ser
modificada ou atualizada no futuro e algumas técnicas são mais alteráveis do que outras, neste aspeto;
quaisquer exigências regulamentares e contratuais.
Vários fatores influenciam a seleção de uma abordagem da apreciação do risco, tais como a disponibilidade
de recursos, a natureza e o grau da incerteza dos dados e da informação disponíveis, bem como a
complexidade da aplicação (ver Quadro A.2).
 NP
EN 31010
2016

p. 21de99

6.3 Disponibilidade de recursos

Os recursos e as capacidades que poderão afetar a escolha das técnicas de apreciação do risco incluem:
as qualificações, a experiência, a capacidade e a competência da equipa de apreciação do risco;
as restrições de tempo e de outros recursos da organização;
o orçamento disponível se forem necessários recursos externos.

6.4 A natureza e o grau da incerteza

A natureza e o grau da incerteza requerem uma compreensão da qualidade, da quantidade e da integridade da
informação disponível sobre o risco em questão o que inclui o nível de disponibilidade de informação
suficiente sobre os riscos, as suas fontes e causas e suas consequências para a consecução dos objetivos. A
incerteza pode resultar da má qualidade dos dados ou da falta de dados essenciais e fiáveis. Ilustrando, os
métodos de recolha dos dados poderão mudar, a forma como as organizações u·sam estes métodos poderá
mudar ou a organização poderá não estar a utilizar na prática um método eficaz para a recolha dos dados
sobre o risco identificado.
A incerteza também poderá ser inerente ao contexto externo e interno da organização. Os dados disponíveis
nem sempre fornecem uma base fiável para a previsão do futuro. Para tipos do risco singulares, os dados
históricos poderão não estar disponíveis ou poderão existir diferentes interpretações dos dados disponíveis
pelas diferentes partes interessadas. Quem efetuar a apreciação do risco deve ter conhecimento sobre o tipo e
a natureza da incerteza e entender as implicações para a fiabilidade dos resultados da apreciação do risco.
Estas devem ser sempre comunicadas aos decisores.

6.5 Complexidade
Os riscos podem ser intrinsecamente complexos, como, por exemplo, em sistemas complexos caso em que é
necessário apreciar os riscos do sistema globalmente, em vez de tratar cada um dos componentes
separadamente e ignorando as interações. Noutros casos, o tratamento de um único risco pode ter outras
implicações e impacto noutras atividades. Os impactos sequenciais e as dependências do risco têm de ser
entendidos para garantir que na gestão de um risco não é criada algures uma situação intolerável.
Compreender a complexidade de um único risco ou de uma carteira de riscos de uma organização é
fundamental para a seleção do método ou das técnicas adequados para a apreciação do risco.

6.6 Aplicação da apreciação do risco durante as fases do ciclo de vida

Pode ser considerado que muitas atividades, projetos e produtos têm um ciclo de vida que começa na
conceção e definição iniciais, passa pelo sua realização e finalmente conclui-se, o que pode incluir a
desativação e eliminação de material.
A apreciação do risco pode ser aplicada em todas as fases do ciclo de vida e habitualmente é aplicada
diversas vezes com diferentes níveis de detalhe para apoio às decisões necessárias em cada fase.
As fases do ciclo de vida têm necessidades diferentes e exigem diferentes técnicas. Por exemplo, durante a
fase de conceção e definição, quando uma oportunidade é identificada, a apreciação do risco poderá ser
usada para decidir se se prossegue ou não.
Quando há várias opções disponíveis, a apreciação do risco pode ser utilizada para avaliar conceitos
alternativos para ajudar a decidir qual oferece o melhor equilíbrio entre os riscos.
Durante a fase de conceção e desenvolvimento, a apreciação do risco contribui para:

assegurar que os riscos do sistema são toleráveis;

o processo de refinamento da conceção;
NP
EN 31010
2016

p. 22 de 99

os estudos de custo/beneficio;
a identificação dos riscos que impactem nas fases do ciclo de vida subsequentes.
Com o decorrer da atividade a apreciação do risco pode ser usada para fornecer informação que contribua
para a elaboração de procedimentos para condições normais e de emergência.

6.7 Tipos de técnicas de apreciação do risco

As técnicas de apreciação do risco podem ser classificadas de diversas maneiras para auxiliar a compreensão
das suas vantagens e limitações. Os Quadros do Anexo A, a título de exemplo, relacionam algumas técnicas
possíveis e as suas categorias.
Cada técnica é aprofundada no Anexo B em termos da natureza da apreciação que fornece e da orientação
para a sua aplicabilidade em determinadas situações.
 NP
EN 31010
2016

p . 23 de 99

Anexo A
(informativo)

Comparação de técnicas de apreciação do risco

A.1 Tipos de técnicas

A primeira classificação mostra em que medida as técnicas se aplicam a cada etapa do processo de avaliação
do risco, da seguinte forma :
identificação do risco;
análise do risco - análise de consequências;
análise do risco - qualitativa, semi-quantitativa ou quantitativa através de uma estimativa da
probabilidade;
análise do risco - avaliação da eficácia dos controlos existentes;
análise do risco- estimativa do nível do risco;
avaliação do risco.
Para cada etapa do processo de avaliação do risco, a aplicação do método é apresentada como sendo
fortemente aplicável, aplicável ou não aplicável (ver Quadro A. I ).

A.2 Fatores que influenciam a seleção das técnicas de apreciação do risco

Os atributos dos métodos são descritos, como se segue, em termos de:
complexidade do problema e os métodos necessários à sua análise;
natureza e grau de incerteza na apreciação do risco com base na quantidade de informação disponível e
no que é requerido para satisfazer os objetivos;
a amplitude dos recursos necessários em termos de tempo e nível de conhecimento, dados necessários ou
custo;
se o método consegue fornecer um resultado quantitativo.
Exemplos dos tipos de métodos de apreciação do risco disponíveis estão listados no Quadro A.2, no qual
cada método é classificado, de acordo com a relevância destes atributos, como alta, média ou baixa.
NP
EN 31010
2016

p. 24 de 99

Quadro A. l - Aplicabilidade das ferramentas e técnicas para apreciação do ri sco

Processo de Apreciação do Risco

Ferramentas e Técnicas Análise do Risco Ver

Identificação Avaliação
do Risco Consequência Probabilidade Ní'IA'!I do Risco do Risco Anexo

"Brainstorming" FA n NA 2> NA NA NA B.01

Entrevistas estruturadas ou sem-estruturadas FA NA NA NA NA B.02
Técnica de Delphi FA NA NA NA NA B.03
Listas de Verificação FA NA NA NA NA B.04
Análise Preliminar de Perigos (PHA) FA NA NA NA NA B.05
HAZOP FA FA A 3) A A 8.06
Análise de perigos e
pontos crlticos de
FA FA NA NA FA B.07
controlo IHACCPl
Apreciação da toiócidade FA FA FA FA FA B.08
Técnica estruturada "What·if' (SWIFD FA FA FA FA FA B.09
Análise de cenários FA FA A A A B.10
Análise de impacto no negócio "Business
FA FA A A A 8.11
lmnact Analvs is" /BIAI
Análise de causa raiz (RCA) NA FA FA FA FA B.12
Análise dos modos de falha e efeito (FMEA) e
análise dos modos de falha, efeitos e da sua FA FA FA FA FA 8.13
criticidade (FMECA)
Análise em árvore de falhas (FT A) A NA FA A A B.14
Análise por árvore de eventos (ETA) A FA A A NA B.15
Análise causas-consequências A FA FA A A 8.16
Análise causa-e-efeito FA FA NA NA NA B.17
Análise por camadas de protecção (LOPA) A FA A A NA B.18
Análise em árvore de decisão NA FA FA A A B.19
Avaliação da fiabilidade humana (HRA) FA FA FA FA A B.20
Análise de laço NA A FA FA A B.21
Manutenção baseada na fiabilidade FA FA FA FA FA B.22
Análise de condições ocultas (SA) e análise de
A NA NA NA NA 8.23
circuitos ocultos ISCA\
Análise de Markov A FA NA NA NA B.24
Simulação de Monte Cario NA NA NA NA FA B.25
Estatística Bayesiana e Redes de Bayes NA FA NA NA FA 8.26
Curvas FN A FA FA A FA B.27
índices de risco A FA FA A FA B.28
Matriz Consequência/Probabilidade FA FA FA FA A B.29
Análise de cus t o/benefício (ACB) A FA A A A B.30
Análise de decisão multi-critérios (MCDA) A FA A FA A B.31
1) Fortemente Aplicável
2) Não Aplicáve l
3) APiicávei
 ,o
i::
Relev:i.nda dos fatores c--0m influência ~
Tipo de T éeoiea Rnultado
o.
.....
'.'íaturez:te o
de Apreda.ç.áo do Desuiçio R«:ursos e
grau de Compleridade QU3ntitati•o >
Risco Capacidade
in<'..erteza iv
1
MÊTODOSDEPESQUISA
Formuhirio simples de identificaçà-0 dos ris~os. Tecniea que fornece a fü.tagem das
>
......
.....
Listas de
inrertezas fipicas que deverão ser consideradas.. Os.utilizadores rec--0rrem a uma lista Baixa Baixa Baixa Não o:
i::
Verificaçào ......
previamenfe definida, códigos ou n0ftll1ls. oCll
Método de aruilise indutivo s:imples cujo objetivo consiste !Ili identificação dos perigos e "O
~
Anàlire Preliminar .....
das s-ituações e eventos perigos.os que podem causar dano a uma determinada ati"\"idade, Baixa Alta Média Não ~
de Perigos (PH.A)
instalação ou sistema. ~
Cll
(1)
METODOS DE SUPORTE (D"'
'"(°)
Entrevistas Meio de recolhll de um conjunto alargado de ideias. e avaliações, ordenat!as. por um grupo. ~I

estruturadas e O 1'rains1orming pode ser estimulado por interrogações breves ou através de tecnicas de Baixa Baixa Baixa Não o
o.
!Jrai.ns1orming entrevista um a um ou um eont.r;; lodos. ~
Cll

(ti
Meio de combinar a opinião de especialistas que sustentem a identificação d.'.I ori.gem e :i
~
influencia, a est.im;;tiva da proOO.bilidade e consequencia e a avaliação do ri!-00. :E. uma 3
Tecmca de Delphi Médi;i Media Média Nà-0 (1)
tecmca colaborativa na construção de um comenso entre especialistas. ::i
......
Jmplica a aruilise independente e a votação dos especialistas. ~
Cll
(1)
......
(1),
Tecnira Sistema que incita uma equipa a identificar o; riscos.. Normalmente utilizado num c.onte.xto (")
::i
estruturada ''What- de uma sessão de trabalho preparada para o efeito. Normalmente associado a uma tecnica Média Médio; Qualquer Não n·
~
if' (SWlIT) de anàlise e avaliaçà-0 do ri..<.eo. Cll
"O
~
Avaliação da .....
Awil.iação dai fiabilidade humana (HR.A) que traia do impacto humano no desempenho dos ~
fiabilidade humana Média Média Média Sim ~
sistemas. Pode rer usado para avaliar a influencia do erro humano no sistema. "O
.....
(HRA) (1)
(")
ANALISE DE CENA.RlOS p;;·
'"(°)
Uma perda isolada que ocorreu eanahs.ada a fim de compreender as suas causas e ~!
o
A.nàlíse de causa determinar como o sistema ou processos podem ser melhorados de forma a evitar futuras o.
Médi-a Baixa Média N'ao o
raiz(RCA) perdas desse tipo. A análise deve considerar quais os controlos que existiam no momento

1~
.....
em que a perda ocorreu e como de-1-erà-O ser melhorados. e;;· N
Q
~ 'Z
(")
o
N
lo-o' 'Z "'t1
~
u.. ~
lo-o'
o.
(1) Q
lo-o'
'°
'° Q
 '? N t'rj Z
N
Q-1 ez~
o. O'\ w
(!) ~
\,Q Q
\,Q ~
Rt>le>incia.dos fatcm;s ce>m in.flu.ência. Q
l ipo1d.e T écnic:a. Res.ulta..de>
Natureza e
de Aprecia.ç:io do, n es.c riçfo Recurse>s. e
gra.u de O:im.plexida.de Qua.ntita.tho
Risc-0 Capa.cidade
in.c.erteza.

São identificados. possiveis futuros c-.enários airnve'!> da. imaginação ou exlrapolação do

Anrui.s.e de
pres.entecoruidera:ndo diferentM ru.c:os e as.mmindo que cada um dess.esc-.enàrios pode Média Alta Media Não
c-.enàrios.
ocorrer. lstopode s.er feito formal ou informal.mente, qualitativa ou quantitativami'llt,...

Os perigos, são identificados. e analisados e identificadas. as pos.;'iveis vias airaives das quais
Apreciação da um objetivo e.specifa-.o pode s.er exposto ao perigo. faforma.çio s.obre o nível de exposição e
Alta Alta Media Sim
tol>ici.d11de a natureza do dano cama.do, para um dado n.i\·el de expru.,içào, S'ão combinada.s para dar uma
medida da probabilidade em que o dano especificado oc.orrer<i.

Analise de impacto l . .. . . . . . .
. . Prnpornona urm am.1h.s.e de como os prwnpais m.c.os disroptt\·os podem afetar a
nonegocm
operacionalidade de umai organização e identifica e qu:in!ifira os. recursm. que s.eriam Média Média Media: N'ao
''Butim.>s.s Impact
necessários paril!geri-los..
Analys.is." (BL.\)

Tt.cnira que ;.e inicia c-.om o e\·ento indesejado (evento de t·opo) e determina t:odasas
_.\n:ilise em arvore 1 m:ineiras em que este podeoc.orrer. São grafirnmente apresentados.por um diagrama de
Alta Alta Média Sim
de falhas (FTA) arvore. Uma ''ez des.envolvida a árvore de falhas, devem ser determinadas as formas de
reduzir ou eliminar as po!encilli.s. causas / fontes.

_.\nruis.e em :i.rvore 1Cooverter, u=do o raciocinio indutivo, a probabilidade de diferentes e\'entos iniciais, em
Média Media Media Sim
de eventos (ETA) resulta-dos. pornveis..

An:ilire ~:<füsas. 1 GOfllbinação_,entre a<irvore de falhas. e a árvore de evento que .permite a incluS'ão dos:atr<>ws
Alta Média Alta Sim
consequenctas tftllporai.s. Sii-o c.ons.1deradas t:int.oas camas. com.o as c.ons.equencras. dum e\1ento l!llnal.

Um res.ultado pode ter um conjunto de fui ores.que para ele contribuem que podem s.er
.~lis,e rama-e. 1agrupados. em diferentl's e.alegorias. O s fatores que c-.ont.ribuem s.ão identificados,
Ba1x" Bw Média Nà<:>
efeito frequenlemfl!te, em l>rai:nsrormings e apresent.adosnuma estrutura de arvore ou de diagrama
em e~.pinha d_e peixe.
 Relevância dos fatores com influência
Tipo de Técnica
Natureza e Resultado
de Apreciação do Descrição Recursos e
grau de Complexidade Quantitativo
Risco Capacidade
incerteza
ANALISE DE FUNÇÕES
Análise de modo de falha e efeito (FMEA) é uma técrica que identifica os modos e
mecanismos de falha e os seus efeitos.
Existem vários tipos de FMEA: FMEA Conceção (ou pro duto) que é utilizado para os
Análise modo de
componentes ou produtos; FMEA Sistema que é utili3io para sistemas; FMEA Processos
falha e efeitos
que é utilizado para os processos de fabricação e cmtagem; FMEA Serviços e FMEA
(FMEA) e modo
Software. Média Média Média Sim
de falha, efeito e
da sua criticidade FMEA pode ser seguido por uma análise de criticidade que define a relevância de cada
(FMECA) modo de falha, qualitativamente, semi-qualitativamente ou quantitativamente (FMECA). A
análise de criticidade pode ser baseada na probabilidade de um modo de falha resultar em
falha do sistema ou no nível de risco associado aomodo de falha ou sobre o grau de
prioridade do risco.
Método para identificar as políticas que devem seimplementadas para gerir falhas, de
Manutenção modo a garantir, de forma eficiente e efetiva, oserquisitos desegurança, disponibilidade e
Média Média Média Sim
baseada na economia de operação para todos os tipos de equipamentos.
fiabilidade
Método que permite identificar erros de conceção. A condição oculta resulta de uma
condição latente de hardware, software ou de ambos, que pode causar que um evento não
Análise de
pretendido ocorra ou consta da inibição de um determinado evento pretendido, sem que tal
condições ocultas
tenha sido causado por falha de componentes. Estas condições são caracterizadas pela sua
(SA) e análise de Média Média Média Não
natureza aleatória e capacidade para escapar à deteção durante o mais rigoroso sistema de
circuitos ocultos
testes normalizados. As condições ocultas podem estar na origem de operação
(SCA)
inapropriada, perda de disponibilidade dos sisternasatrasos na programação ou até mesmo
a morte ou ferimentos a pessoas.
Processo geral de identificação do risco para definir possíveis desvios do desempenho
HAZOP esperado ou pretendido. Baseado na utilização de palavras guia. Média Alta Alta Não
A criticidade dos desvios é apreciada.
Análise de perigos
Sistema proactivo e preventivo que visa garantir a qualidade do produto, fiabilidade e
e pontos críticos
segurança dos processos de medição e controlo de características específicas que estão Média Média Média Não N~Z
de controlo
(HACCP)
obrigadas a estar dentro dos limites definidos. '::s ez~
....
N
O'\ ~
~
o..
(1) Q
\O ~
\O Q
 '? N~Z
N
oc ez~
o.. 0-, ~
~ ~
l.O Q
l.O ~
Q

Relevância dos fatores com influência

Tipo de Técnica
Natureza e Resultado
de Apreciação do Descrição Recursos e
grau de Complexidade Quantitativo
Risco Capacidade
incerteza
AVALIAÇÃO DE CONTROLOS
Análise por (também pode ser chamado de análise de barreiras)
camadas d e Permite avaliar os controlos e a sua eficácia. Média Média Média Sim
proteção (lOPAJ
Análise de laço Modo simples e esquemático que perrríte descrever e analisar as vias de um risco, partind<
dos perigos até às consequências, e revisão d os mei:Js de controlo. Pode ser considerado
uma combinação entre a lógica de uma árvore de falhas para analisar as causas de um Média Alta Média Sim
evento (representado pelo nó de um laço) e uma árvore de eventos para analisar as
consequências.
MtTODOS ESTATISTICOS
Análise de Análise de Markov, também designada Análise Espaço dos Estados é normalmente usada
Markov na análise de complexos sistemas reparáveis q ue podem existir em vários estados, Alta Baixa Alta Sim
incluindo vários estados degradados.
Simulação de Simulação de Monte Cario é usada para estabelecer a variação agregada num sistema.
Monte Cario resultante da variação, no sistema, de um certo número de entradas, em que cada uma das
entradas tem uma função de distribuição e uma relação definida com as saídas. A análise
pode ser utilizada por um modelo especifico no q ual a interação das diferentes entradas
Alta Baixa Alta Sim
pode ser matematicamente definida. As entradas podem ser baseadas em vários tipos de
função de dist ribuição de acordo com o tipo de incerteza a que se destinam representar.
Para a avaliação do risco, são frequentemente utilizadas as funções de distribuição
triangular ou Beta.
Estatística Procedimento estatístico que utiliza dados da distribuição a priori para avaliar a
Bayesiana e probabilidade do resultado. A análise Bayseana depende da exatidão da distribuição
Redes de Bayes priori para inferir a exatidão do resultado. As redes bayseanas modelam os mecanismos de Alta Baixa Alta Sim
causa efeito, em vários domínios através da apreensão das relações probabilísticas entre as
variáveis de entrada para a obtenção de um resultado.
 NP
EN 31010
2016

p. 29 de 99

Anexo B
(informativo)
Técnicas de apreciação do risco

B.1 Brainstorming*>
B.1.1 Visão geral
O brainstorming envolve estimular e encorajar uma conversa livre entre um grupo de pessoas conhecedoras,
para identificar potenciais modos de falha e os perigos, riscos, critérios para decisões e/Óu opções para
tratamento, associados. O termo brainstorming é frequentemente utilizado de forma corrente para referir
qualquer tipo de discussão em grupo. Contudo, o verdadeiro brainstorming envolve técnicas específicas para
tentar assegurar que a imaginação das pessoas seja despoletada pelos pensamentos e afirmações de outros no
grupo.
A facilitação eficaz é muito importante nesta técnica e inclui a estimulação no arranque da discussão, a
orientação periódica do grupo para outras áreas relevantes e a retenção dos assuntos que surjam da discussão
(que é habitualmente muito viva).

B.1.2 Utilização
O brainstorming pode ser utilizado em combinação com outros métodos de apreciação do risco descritos
abaixo ou pode manter-se isolado como uma técnica para encorajar a imaginação em qualquer fase do
processo de gestão do risco e em qualquer fase do ciclo de vida de um sistema. Poderá ser utilizado para
discussões de alto nível onde os assuntos são identificados, para uma revisão mais detalhada ou a um certo
nível de detalhe para problemas específicos.
O brainstorming coloca uma grande ênfase na imaginação. Portanto, é particularmente útil quando se
identificam riscos de novas tecnologias, quando não existem dados ou quando são necessárias soluções
inovadoras para os problemas.

B.1.3 Entradas
Uma equipa de pessoas com conhecimento da organização, do sistema, do processo ou da aplicação a serem
apreciados.

B.1.4 Processo
O brainstorming poderá ser formal ou informal. O brainstorming formal é mais estruturado, com os
participantes preparados previamente e tendo a sessão um propósito e um resultado definidos e meios para
avaliar as ideias apresentadas. O brainstorming informal é menos estruturado e frequentemente mais ad-hoc.
Num processo formal:
o facilitador prepara antes da sessão as pistas e os mecanismos desencadeadores da discussão apropriados
ao contexto;

'l Também pode ser designado por tempestade de ideias (nota nacional).
NP
EN 31010
2016

p. 30 de 99

os objetivos da sessão são definidos e as regras explicadas;

o facilitador desencadeia uma sequência de elementos de reflexão e todos exploram ideias identificando
o maior número possível de assuntos. Não há discussão nesta fase se se deverá ou não incluí-los numa
lista ou sobre o significado de afirmações particulares, porque isto tende a inibir a fluidez do
pensamento. Todos os contributos são aceites e nenhum é criticado prosseguindo o grupo rapidamente de
modo a permitir que as ideias desencadeiem um pensamento lateral;
o facilitador poderá sensibilizar as pessoas para uma nova via quando uma linha de pensamento está
esgotada ou a discussão se desvia muito. Contudo, o que se pretende é colher tantas ideias diversas
quanto possível para análise posterior.

B.1.5 Saídas
As saídas dependem da fase do processo da gestão do risco em que é aplicado, por exemplo, na fase de
identificação, os resultados poderão ser uma lista dos riscos e dos controlos atuais.

B.1.6 Vantagens e limitações

As vantagens do brainstorming incluem:
encorajar a imaginação, o que ajuda a identificar novos riscos e soluções inovadoras;
envolver partes ihteressadas relevantes e como tal ajudar a comunicação global;
ser relativamente rápido e fácil de estabelecer.
As limitações incluem :
participantes que poderão não ter as competências e o conhecimento necessários para serem contribuintes
eficazes;
dificuldade em demonstrar que o processo foi abrangente, isto é, que todos os riscos potenciais foram
identificados, visto ser relativamente não estruturado;
existência de dinâmicas de grupo específicas onde algumas pessoas com ideias válidas se mantêm
caladas enquanto outras dominam a discussão. Isto pode ser ultrapassado através de brainstorming com
recurso a computador, utilizando um fórum de conversação ou uma técnica de grupo nominal. O
brainstorming com recurso a computador pode ser estabelecido de modo a ser anónimo, evitando-se
assim assuntos de ordem política e pessoal que possam impedir o livre fluxo de ideias. Na técnica de
grupo nominal as ideias são submetidas anonimamente a um moderador e são posteriormente discutidas
pelo grupo.

B.2 Entrevistas estruturadas ou semi-estruturadas

B.2.1 Visão geral
Numa entrevista estruturada, os entrevistados são inquiridos através de um questionário preparado a partir de
uma lista de sugestões que encoraja os entrevistados a abordar a situação por uma perspetiva diferente e
deste modo a identificar riscos por essa perspetiva. Uma entrevista semi-estruturada é semelhante, mas
permite maior liberdade para uma conversação que explore questões suscitadas.

B.2.2 Utilização
As entrevistas estruturadas e semi-estruturadas são úteis quando é difícil juntar as pessoas para uma sessão
de brainstorming ou quando uma discussão livre num grupo não é apropriada para a situação ou pessoas
envolvidas. São frequentemente utilizadas para identificar riscos ou para avaliar a eficácia dos controlos
 NP
EN 31010
2016

p. 31de99

existentes como parte da análise do risco. Poderão ser aplicadas em qualquer fase de um projeto ou processo.
São um meio de providenciar entradas das partes interessadas para a apreciação do risco.

B.2.3 Entradas
As entradas incluem:
uma definição clara dos objetivos das entrevistas;
uma lista dos entrevistados selecionados entre as partes interessadas relevantes;
um conjunto de questões preparadas.

B.2.4 Processo
Um conjunto de questões relevantes é criado para orientar o entrevistador. As questões deverão ser simples,
etn linguagem apropriada para o entrevistado, abranger um único assunto e ser abertas quando possível. Para
clarificação, podem ser também preparadas questões complementares.
As questões são então colocadas à pessoa entrevistada. Quando se procura o desenvolvimento do assunto, as
questões deverão ser abertas. Deverá haver o cuidado de não influenciar o entrevistado.
As respostas deverão ser consideradàs com um grau de flexibilidade de forma a dar a oportunidade de
explorar áreas para as quais o entrevistado poderá querer ir.

B.2.5 Saídas
As saídas são as opiniões das partes interessadas sobre os assuntos que foram objeto da entrevista.

B.2.6 Vantagens e limitações

As vantagens das entrevistas estruturadas são as seguintes:
as entrevistas estruturadas permitem às pessoas terem tempo para refletir sobre um assunto;
a comunicação frente a frente poderá permitir considerações mais aprofundadas dos assuntos;
as entrevistas estruturadas permitem o envolvimento de um maior número de partes interessadas do que o
brainstorming que utiliza um grupo relativamente pequeno.
As limitações são as seguintes:
o facilitador consome muito tempo para obter múltiplas opiniões desta forma ;
a parcialidade é tolerada não sendo eliminada através da discussão de grupo;
o estimular da imaginação, que é uma característica do brainstorming, pode não ser conseguido.

B.3 Técnica de Delphi

B.3.1 Visão geral
A técnica Delphi é um procedimento para obter um consenso fiável das opiniões de um grupo de peritos.
Apesar do termo ser atualmente utilizado frequentemente de forma abrangente para significar qualquer tipo
de brainstorming, uma característica essencial da técnica Delphi, na sua formulação original, era a de que os
peritos expressavam as suas opiniões de forma pessoal e anónima enquanto mantinham o acesso aos pontos
de vista dos outros peritos à medida que o processo progredia.
NP
EN 31010
2016

p. 32 de 99

B.3.2 Utilização
A técnica Delphi pode ser aplicada em qualquer fase do processo da gestão do risco ou em qualquer fase do
ciclo de vida de um sistema, quando o consenso de pontos de vista de peritos é necessário.

B.3.3 Entradas
Um conjunto de opções para as quais é necessário consenso.

B.3.4 Processo
Um grupo de peritos é inquirido utilizando um questionário semi-estruturado. Os peritos não contactam entre
si, pelo que as suas opiniões são independentes.
O procedimento é descrito de seguida:
. .
formação de uma equipa para levar a cabo e monitorizar o processo Delphi ;
seleção de um grupo de peritos (poderá ser um ou mais painéis de peritos);
elaboração do questionário inicial ;
teste do questionário;
envio do questionário para os membros do painel individualmente;
análise da informação da primeira ronda de respostas, combinada e retransmitida aos membros do painel;
resposta dos membros do painel e repetição do processo até o consenso ser alcançado.

B.3.5 Saídas
Convergência para o consenso sobre o assunto em questão.

B.3.6 Vantagens e limitações

As vantagens incluem:
ser mais provável a expressão de opiniões impopulares pelo facto dos pontos de vista serem anónimos;
evitar o problema das personalidades dominantes dado que todos os pontos de vista têm o mesmo peso;
ficar proprietário dos resultados;
ausência da necessidade das pessoas se reunirem num local ao mesmo tempo.
As limitações incluem:
implicar trabalho intensivo e consumo de tempo;
ser necessária a capacidade dos participantes se expressarem de forma clara, por escrito.
 NP
EN 31010
2016

p. 33 de 99

B.4 Listas de verificação*)

B.4.1 Visão geral
As listas de verificação são listas de perigos, riscos ou falhas de controlo que foram desenvolvidas
habitualmente com base na experiência, seja como resultado de uma apreciação do risco prévia ou como
resultado de falhas anteriores.

B.4.2 Utilização
As listas de verificação podem ser utilizadas para identificar perigos e riscos ou para avaliar a eficácia dos
controlos. Podem ser usadas em qualquer fase do ciclo de vida de um produto, processo ou sistema. Poderão
ser usadas como parte de outras técnicas de apreciação do risco, mas são mais úteis quando aplicadas para
verificar que tudo foi coberto após a aplicação de uma técnica mais imaginativa que identifique novos
problemas.

B.4.3 Entradas
Informação e competência adquiridas sobre o assunto de forma a que uma lista de verificação adequada, e de
preferência validada, possa ser selecionada ou elaborada.

B.4.4 Processo
A forma de proceder é descrita de seguida:
definição do âmbito da atividade;
seleção de uma lista de verificação que cubra adequadamente o âmbito. As listas de verificação
necessitam de ser cuidadosamente selecionadas para o fim em vista. Por exemplo uma lista de
verificação de controlos padrão não pode ser utilizada para identificar novos perigos ou riscos;
a pessoa ou equipa que utiliza a lista de verificação percorre cada elemento do processo ou do sistema e
confirma se os itens da lista de verificação estão presentes.

B.4.5 Saídas
As saídas dependem da fase do processo de gestão do risco em que são aplicadas. Por exemplo, a saída
poderá ser uma lista de controlos que são inadequados ou uma lista de riscos.

B.4.6 Vantagens e limitações

Vantagens das listas de verificação:
poderão ser utilizadas por não peritos;
quando bem concebidas, combinam competências alargadas num sistema fácil de usar;
podem ajudar a garantir que problemas habituais não são esquecidos.
As limitações incluem:
tendem a limitar a imaginação na identificação de riscos;
abordam "o que conhecemos", não abordam "o que sabemos que não conhecemos", nem abordam "o que
não sabemos que não conhecemos" ;

' ) "Check-lists" em inglês (nota nacional).

NP
EN 31010
2016

p. 34 de 99

encorajam um comportamento de "pôr o visto";

tendem a basear-se na observação, pelo que falham a identificação de problemas que não estão
imediatamente visíveis.

B.5 Análise preliminar de perigos (PHA *»

B.5.1 Visão geral
A PHA é um método de análise indutivo simples cujo objetivo é identificar os perigos e as situações e
eventos perigosos que podem causar dano a uma dada atividade, instalação ou sistema.

B.5.2 Utilização
A PHA é habitualmente aplicada no início do desenvolvimento de um projeto quando existe pouca
informação sobre os detalhes da conceção ou sobre os procedímen'tos operacionais e frequentemente pode
ser um precursor de estudos posteriores ou pode fornecer informação para a especificação da conceção de
um sistema. Também pode ser útil quando da análise de sistemas existentes para priorizar os perigos e os
riscos para análises posteriores ou quando as circunstâncias não permitem a utilização de uma técnica mais
completa.

B.5.3 Entradas
As entradas incluem:
informação sobre o sistema a ser avaliado;
detalhes da conceção do sistema que estão disponíveis e são relevantes.

B.5.4 Processo
É elaborada uma lista de pengos, de situações perigosas genéricas e de riscos, por consideração de
características tais como:
materiais utilizados ou produzidos e sua reatividade;
equipamentos utilizados;
ambiente operacional;
esquema de implantação;
interfaces entre os componentes do sistema, entre outras.
Poderá ser realizada uma análise qualitativa das consequências de um evento indesejado e das suas
probabilidades, para identificar riscos para uma apreciação posterior.
A PHA deverá ser atualizada durante as fases de conceção, execução e ensaio de modo a detetar quaisquer
novos perigos e fazer correções, se necessário. Os resultados obtidos poderão ser apresentados de maneiras
diferentes, tais como quadros e diagramas em árvore.

B.5.5 Saídas
As saídas incluem:

*) PHA - acrónimo da designação original "Preliminary Hazard Analysis'', mantido como referência nesta versão portuguesa (nota
nacional).
 NP
EN 31010
2016

p. 35 de 99

uma lista de perigos e riscos;

recomendações na forma de aceitação, controlos recomendados, especificações de conceção ou pedidos
de uma avaliação mais detalhada.

B.5.6 Vantagens e limitações

Nas vantagens incluem-se:
poder ser utilizada quando existe uma informação limitada;
permitir que os riscos sejam considerados muito cedo no ciclo de vida do sistema.
Nas limitações incluem-se:
fornecer apenas uma informação preliminar; não ser abrangente nem fornecer informação detalhada
sobre os riscos e sobre a melhor forma de os prevenir.

B.6HAZOP
B.6.1 Visão geral
HAZOP é o acrónimo de "HAZard and OPerability study"*l e consiste num exame sistemático e estruturado
de um produto, processo, procedimento ou sistema, planeado ou existente. É uma técnica para identificar
riscos para as pessoas, para o equipamento, para o ambiente e/ou para os objetivos organizacionais.
Espera-se também que a equipa que realiza o estudo forneça, quando possível, uma solução para tratar o
risco.
O processo HAZOP é uma técnica qualitativa baseada na utilização de palavras orientadoras que questionam
como a intenção da conceção ou as condições de funcionamento poderão não ser atingidas em cada passo da
conceção, do processo, do procedimento ou do sistema. Geralmente é realizado por uma equipa
multidisciplinar durante um conjunto de reuniões.
O HAZOP é semelhante ao FMEA na medida em que identifica os modos de falha de um processo, sistema
ou procedimento, as suas causas e consequências. A diferença reside no facto da equipa considerar resultados
indesejados e desvios dos resultados e condições pretendidos, e trabalhar de forma retrospetiva as possíveis
causas e modos de falha, enquanto que o FMEA começa por identificar os modos de falha.

B.6.2 Utilização
A técnica HAZOP foi inicialmente desenvolvida para analisar sistemas na indústria química de processo mas
a sua aplicação foi estendida a outros tipos de sistemas e operações complexas. Estes incluem sistemas
mecânicos e eletrónicos, procedimentos e software, e mesmo as alterações organizacionais e a conceção e
revisão de contratos jurídicos.
O processo HAZOP pode tratar de todas as formas de desvio do objetivo da conceção devido a deficiências
na conceção, no(s) componente(s), nos procedimentos planeados e nas ações humanas.
É largamente utilizado para a revisão da conceção de software. Quando aplicado ao comando de
instrumentos de segurança críticos e aos sistemas informáticos poderá ser conhecido como CHAZOP
(Control HAZards and OPerability Analysis **) ou computer hazard and operability analysis ***l).

:: Estudo de perigos e de funcionalidade (nota nacional) .

••: Análise de perigos e de f uncionalidade de comandos (nota nacional).
) Análise de perigos e de f uncionalidade dos sistemas informáticos (nota nacional).
NP
EN 31010
2016

p. 36 de 99

O estudo HAZOP é habitualmente realizado na fase de detalhe da conceção, quando está disponível um
diagrama completo do processo previsto, mas enquanto ainda são praticáveis as alterações da conceção.
Poderá contudo ser realizado numa abordagem faseada com diferentes palavras guia para cada fase, enquanto
os detalhes de conceção são desenvolvidos. O estudo HAZOP também poderá ser realizado durante o
funcionamento, mas as alterações requeridas podem ter um custo elevado nesta fase.

B.6.3 Entradas
As entradas essenciais para um estudo HAZOP incluem informação atualizada sobre o sistema, o processo
ou o procedimento a ser revisto, o objetivo e as especificações de desempenho da conceção. As entradas
poderão incluir: desenhos, especificações, fluxogramas, diagramas lógicos e do controlo do processo,
desenhos de implantação, procedimentos de funcionamento e de manutenção e procedimentos de resposta a
emergências. Para os estudos HAZOP não relativos a hardware a entrada pode ser qualquer documento que
descreva funções e elementos do sistema ou procedimento em estudo. As entradas podem ser, p. ex.
diagramas organizacionais e descrições de função, uma minuta de contrato ou mesmo uma· mitluta de
procedimento.

B.6.4 Processo
O HAZOP considera a conceção e a especificação do processo, procedimento ou sistema a ser estudado e
revê cada componente para identificar que desvios dos desempenhos pretendidos podem ocorrer, quais são as
causas potenciais e quais são as consequências verosímeis de um desvio. Isto é conseguido examinando
sistematicamente o modo como cada componente do sistema, processo ou procedimento responderá a
alterações em parâmetros chave por utilização de palavras guia adequadas. As palavras guia podem ser
adaptadas para um sistema específico, processo ou procedimento ou podem ser utilizadas palavras genéricas
para abranger todos os tipos de desvio. O Quadro B.1 fornece exemplos de palavras guia habitualmente
utilizadas para sistemas técnicos. Palavras guia similares como "demasiado cedo", "demasiado tarde",
"demasiado", "demasiado pouco", "demasiado longo", "demasiado curto", "sentido errado'', "objeto errado'',
"ação errada", podem ser utilizadas para identificar modos de erros humanos.
Os passos normais num estudo HAZOP incluem:
nomeação de uma pessoa com as necessárias responsabilidade e autoridade para conduzir o estudo
HAZOP e para assegurar que quaisquer ações resultantes do estudo são completadas;
definição do âmbito e dos objetivos do estudo;
estabelecimento de um conjunto de palavras chave ou palavras guia para o estudo;
definição de uma equipa de estudo HAZOP; esta equipa é habitualmente multidisciplinar e deverá incluir
pessoas ligadas à conceção e à operação com experiência técnica apropriada para avaliar os efeitos dos
desvios da conceção pretendida ou atual. Recomenda-se que a equipa inclua pessoas não envolvidas
diretamente na conceção ou no sistema, processo ou procedimento sob revisão;
compilação da documentação requerida.
Numa sessão de trabalho com a equipa de estudo:
decomposição do sistema, processo ou procedimento em elementos mais pequenos ou em subsistemas ou
subprocessos ou subelementos para tomar a revisão tangível;
acordo sobre a conceção pretendida para cada subsistema, subprocesso ou subelemento, e então, para
cada item desse subsistema ou elemento, aplicar sucessivamente as palavras guia de modo a antecipar os
desvios possíveis que produzirão resultados indesejáveis;
 NP
EN 31010
2016

p. 37 de 99

quando um resultado indesejável é identificado, acordar a causa e as consequências em cada caso e

sugerir como poderão ser tratadas a fim de evitar a sua ocorrência ou mitigar as consequências, caso
ocorram;
documentação da discussão e acordo sobre as ações específicas para tratar os riscos identificados.
Quadro B.1 - Exemplos de palavras guia HAZOP possíveis
Termos Definições

Nenhum ou não O resultado pretendido não é atingido nem mesmo parcialmente ou a condição pretendida é ausente
Mais (maior) Aumento quantitativo do resultado ou da condição de funcionamento
Menos (menor) Diminuição quantitativa
Tanto como Aumento quantitativo (p. ex. material adicional)
Parte de Diminuição quantitativa (p. ex. só um ou dois componentes de uma mistura)
Inverso/oposto Oposto (p. ex. refluxo)
Em vez de Nenhuma parte do pretendido é alcançado, algo completamente diferente ocorre (p. ex. fluxo ou material
errado)
Compatibi 1idade Materiais; ambiente

As palavras guia são aplicadas a parâmetros, tais como:

Propriedades fisicas de um material ou de um processo
Condições fisicas tais como temperatura, velocidade
Intenção especificada de um componente de um sistema ou de uma conceção (p. ex. transferência de
informação)
Aspetos funcionais

B.6.5 Saídas
Atas das reuniões HAZOP com itens para cada ponto de revisão registado. Isto deverá incluir: as palavras
guia utilizadas, o(s) desvio(s), causas possíveis, ações para tratar os problemas identificados e pessoa
responsável pela ação.
Para qualquer desvio que não possa ser corrigido, deverá ser avaliado o risco do desvio.

B.6.6 Vantagens e limitações

Uma análise HAZOP apresenta as vantagens seguintes:
fornece os meios para examinar de modo sistemático e exaustivo um sistema, processo ou procedimento;
envolve uma equipa multidisciplinar que inclua elementos com experiência prática e elementos que
poderão ter de realizar ações de tratamento;
gera soluções e ações de tratamento do risco;
aplica-se a uma ampla variedade de sistemas, processos e procedimentos;
permite a consideração explícita das causas e consequências do erro humano;
NP
EN 31010
2016

p. 38 de 99

origina um registo escrito do processo que pode ser usado para demonstrar a due diligence *l.
Nas limitações incluem-se:
uma análise detalhada pode ser morosa e consequentemente dispendiosa;
uma análise detalhada requer um nível elevado de documentação ou de especificação do
sistema/processo e do procedimento;
pode focar-se em encontrar soluções detalhadas e não tanto em questionar pressupostos fundamentais
(contudo, isto pode ser mitigado por uma abordagem faseada);
a discussão pode ser focada em questões de detalhe da conceção e não em questões mais alargadas ou
externas;
é limitada pela conceção (em esboço) e pelas intenções da conceção e pelo âmbito e objetivos fornecidos
à equipa; ·
o processo depende fortemente das competências dos autores da conceção e estes poderão ter dificuldade
em permanecer suficientemente objetivos para procurar os problemas que as suas conceções possam
apresentar.

B.6.7 Documento de referência

IEC 61882 Hazard and operábility studies (HAZOP studies) -Application guide

B. 7 Análise de perigos e pontos críticos de controlo (HAccp**))

B.7.1 Visão geral
A análise de perigos e pontos críticos de controlo (HACCP) fornece uma estrutura para identificar perigos e
estabelecer controlos em todas as etapas relevantes de um processo para proteger dos perigos e manter a
qualidade, a fiabilidade e a segurança de um produto. O HACCP visa assegurar que os riscos são
minimizados por controlos ao longo do processo em vez da inspeção do produto acabado.

B.7.2 Utilização
O HACCP foi desenvolvido para assegurar a qualidade dos alimentos no programa espacial da NASA.
Atualmente é utilizado pelas organizações que operam em qualquer etapa da cadeia alimentar para controlar
os riscos associados aos contaminantes físicos, químicos ou biológicos dos alimentos. Tem sido ainda
alargada a sua utilização à produção de produtos farmacêuticos e para os dispositivos médicos. O princípio
de identificar aspetos que podem influenciar a qualidade do produto e definir, num processo, os pontos onde
parâmetros críticos podem ser monitorizados e os perigos controlados, pode ser generalizado para outros
sistemas técnicos.

B.7.3 Entradas
O HACCP inicia-se a partir de um fluxograma base ou diagrama de processo de base e da informação sobre
os perigos que poderão afetar a qualidade, a segurança ou a fiabilidade do produto ou do resultado do
processo. São entradas para o HACCP, a informação sobre os perigos e os seus riscos e formas de os
controlar.

'l "Due diligence " é um termo comum que pode ser traduzido em português como Diligência Prévia (nota nacional).
'*l Acrónimo da designação original "Hazard Analysis and Critica! Contrai Point", mantido nesta versão Portuguesa (nota
nacional).
 NP
EN 31010
2016

p. 39 de 99

B.7.4 Processo
O HACCP assenta nos sete princípios seguintes:
identificação dos perigos e das medidas preventivas relacionadas com esses perigos;
determinação dos pontos do processo onde os perigos podem ser controlados ou eliminados (os pontos
críticos de controlo ou PCC);
estabelecimento dos limites críticos necessários para controlar os perigos, isto é, cada PCC deverá operar
dentro de parâmetros específicos para assegurar que o perigo é controlado;
monitorização dos limites críticos para cada PCC a intervalos definidos;
estabelecimento de ações corretivas se o processo ultrapassa os limites estabelecidos;
estabeledmen~o de procedimentos de verificação;
implementação de procedimentos de manutenção de registos e de documentação para cada etapa.

B.7 .5 Saídas
Registos documentados, incluindo um quadro de a_nálise de perigos e um plano HACCP.
O quadro de análise de perigos lista, para cada etapa do processo:
os perigos que poderão ser introduzidos, controlados ou agravados na etapa;
se os perigos representam um risco significativo (com base na consideração da consequência e
probabilidade a partir da experiência, dos dados e da documentação técnica);
a justificação para a significância;
possíveis medidas preventivas para cada perigo;
se podem ser aplicadas a monitorização ou medidas de controlo na etapa (isto é, é um PCC?).
O plano HACCP define os procedimentos a seguir de modo a garantir o controlo específico de uma
conceção, produto, processo ou procedimento. O plano inclui uma lista de todos os PCC, e para cada PCC:
os limites críticos para as medidas preventivas;
atividades de monitorização e de controlo contínuo (incluindo o quê, como e quando a monitorização irá
ser realizada e por quem);
as ações corretivas requeridas se são detetados desvios aos limites críticos;
atividades de verificação e de manutenção dos registos.

B.7.6 Vantagens e limitações

As vantagens incluem:
é um processo estruturado que fornece a evidência documentada para o controlo da qualidade assim
como, para a identificação e a redução dos riscos;
foca os aspetos práticos de como e onde, num processo, os perigos podem ser prevenidos e os riscos
controlados;
melhor controlo do risco ao longo do processo em vez de confiar na inspeção do produto final;
capacidade de identificar perigos introduzidos por ações humanas e como estes podem ser controlados no
ponto de introdução ou posteriormente.
NP
EN 31010
2016

p. 40 de 99

As limitações incluem:
o HACCP requer que os perigos sejam identificados, os riscos que representam definidos e a sua
significância entendidos como entradas do processo. Também é necessário definir controlos adequados.
Estes são necessários para especificar pontos críticos de controlo e parâmetros de controlo durante o
HACCP, podendo ser necessária a sua combinação com outras ferramentas para o conseguir;
atuando-se apenas quando os parâmetros de controlo ultrapassam os limites definidos, as alterações
graduais nos parâmetros de controlo poderão não ser detetadas e, sendo estas estatisticamente
significativas, deveriam originar a devida atuação.

B.7.7 Documento de referência

ISO 22000 Food safety management systems - Requirements for any organization in the food chain

B.8 Apreciação da toxicidade

B.8.1 Visão geral
A apreciação do risco ambiental é utilizada aqui para abranger o processo seguido ao apreciar os riscos para
as plantas, os animais e os seres humanos, em resultado da exposição a uma variedade de perigos ambientais.
A gestão do risco refere-se a etapas da tomada de decisão que incluem a avaliação do risco e o tratamento do
risco.
O método envolve analisar o perigo ou a fonte do dano e como ele afeta a população-alvo, assim como as
vias pelas quais o perigo pode atingir uma população-alvo suscetível. Esta informação é então combinada
para fornecer uma estimativa da provável extensão do dano e da natureza do dano.

B.8.2 Utilização
O processo é utilizado para apreciar os riscos para as plantas, para os animais e para os seres humanos, em
resultado da exposição a perigos, tais como produtos químicos, microrganismos ou outras espécies.
Aspetos da metodologia, tais como a análise das vias de exposição que explora as diferentes vias pelas quais
um alvo poderia ser exposto a uma fonte do risco, podem ser adaptados e utilizados numa ampla gama de
diferentes áreas do risco, para além da saúde humana e do ambiente, e são úteis para identificar tratamentos
para reduzir o risco.

B.8.3 Entradas
O método requer bons dados sobre a natureza e as propriedades dos perigos, as suscetibilidades da população
(ou populações) alvo e o modo como os dois interagem. Estes dados são normalmente baseados numa
pesquisa que poderá ser laboratorial ou epidemiológica.

B.8.4 Processo
O procedimento é descrito de seguida:
a) formulação do problema - inclui o estabelecimento do âmbito da apreciação, definindo a gama das
populações-alvo e os tipos de perigo de interesse;
b) identificação do perigo - envolve a identificação de todas as possíveis fontes de dano para a população-
alvo a partir dos perigos no âmbito do estudo. A identificação do perigo baseia-se normalmente no
conhecimento especializado e numa revisão da literatura;
c) análise do perigo - envolve a compreensão da natureza do perigo e o modo como este interage com o
alvo. Por exemplo, ao considerar-se a exposição humana aos efeitos químicos, o perigo poderia incluir a
 NP
EN 31010
2016

p. 41de99

toxicidade aguda e crónica, o potencial para danificar o ADN ou o potencial para causar cancro ou
malformações congénitas. Para cada efeito perigoso, a magnitude do efeito (a resposta) é comparada
com a quantidade do perigo ao qual o alvo está exposto (a dose) e, sempre que possível, é determinado o
mecanismo pelo qual o efeito é produzido. Os níveis a que não ocorre qualquer efeito observável
(NOEL) ou efeito adverso observável (NOAEL) são registados. Estes são por vezes utilizados como
critérios da aceitabilidade do risco.

Resposta
observada
Curva
dose-resposta

Umlarda
resposta
adversa

Llmlarda Dose
resposta
observada

IEC ~06209

Figura B.1 - Curva dose-resposta

Para a expos1çao a agentes químicos, os resultados dos testes são utilizados para obter as curvas
dose-resposta, como a apresentada esquematicamente na Figura B.1. Estas são geralmente obtidas a
partir de testes em animais ou a partir de sistemas experimentais, tais como culturas de tecidos ou de
células.
Os efeitos de outros perigos, tais como micro-organismos ou espécies introduzidas poderão ser
determinados a partir de dados de campo e de estudos epidemiológicos. A natureza da interação das
doenças ou pragas com o alvo é determinada e é estimada a probabilidade de que um determinado nível
de dano ocorra a partir de uma dada exposição ao perigo.
d) Análise da exposição - esta etapa analisa como uma substância perigosa ou os seus resíduos poderiam
atingir uma população-alvo suscetível e em que quantidade. Muitas vezes, envolve uma análise das vias
que considera as diferentes vias que o perigo poderia tomar, as barreiras que poderiam impedi-lo de
atingir o alvo e os fatores que poderiam influenciar o nível da exposição. Por exemplo, ao considerar o
risco de uma pulverização de um químico, a análise da exposição iria considerar a quantidade de
químico que foi pulverizada, o modo e as condições, se houve qualquer exposição direta de seres
humanos ou de animais, quanto poderia ser deixado como resíduo na flora, o destino ambiental dos
pesticidas que atingem o solo, se se pode acumular em animais ou se entra nas águas subterrâneas. Em
segurança biológica, a análise das vias poderia considerar como poderia entrar no ambiente, instalar-se e
propagar-se, qualquer praga que entrasse no país.
e) Caracterização do risco - nesta etapa as informações são reunidas a partir da análise dos perigos e da
análise da exposição para estimar as probabilidades de consequências particulares quando os efeitos de
todas as vias são combinados. Quando há um grande número de perigos ou de vias, poderá ser realizada
NP
EN 31010
2016

p. 42 de 99

uma triagem inicial e a análise detalhada dos perigos e da exposição e a caracterização dos riscos
efetuadas nos cenários do risco mais elevado.

B.8.5 Saídas
A saída é normalmente uma indicação do nível do risco de exposição de um alvo em particular a um perigo
particular no contexto em causa. O risco poderá ser expresso quantitativa, semi-quantitativa ou
qualitativamente. Por exemplo, o risco de cancro é muitas vezes expresso quantitativamente como a
probabilidade de que uma pessoa possa desenvolver cancro durante um determinado período de tempo, dada
uma exposição a um contaminante especificada. A análise semi-quantitativa poderá ser utilizada para obter
um índice do risco de um determinado contaminante ou praga e o resultado qualitativo poderá ser um nível
do risco (p. ex. alto, médio ou baixo) ou uma descrição com dados reais sobre os efeitos prováveis.

B.8.6 Vantagens e limitações

A vantagem desta análise é que ela proporciona uma compreensão muito pormenorizada da natureza do
problema e dos fatores que aumentam o risco.
De uma forma geral a análise das vias de exposição é uma ferramenta útil para todas as áreas do risco e
permite a identificação de como e onde poderá ser possível melhorar ou introduzir novos controlos.
Contudo a análise necessita de bons dados que muitas vezes não estão disponíveis ou têm um alto nível de
incerteza associado. Por exemplo, as curvas de dose-resposta derivadas da exposição de animais a níveis
elevados de um perigo devem ser extrapoladas para estimar os efeitos para os seres humanos de níveis muito
baixos de contaminantes, existindo vários modelos para o conseguir. Quando o alvo é o meio ambiente, em
vez de seres humanos, e o perigo não é químico, os dados que são diretamente relevantes para as condições
particulares do estudo poderão ser limitados.

B.9 Técnica estruturada "What-ir' (SWIFT*»

B.9.1 Visão geral
A técnica SWJFT foi originalmente desenvolvida como uma alternativa mais simples à HAZOP. Consiste
num estudo sistemático baseado em trabalho de equipa, que utiliza um conjunto de palavras ou frases chave,
utilizadas pelo facilitador em sessões de trabalho para estimular os participantes a identificar os riscos. O
facilitador e a equipa utilizam frases normalizadas tipo "e se" em conjunção com as palavras ou frases chave
para identificar como um sistema, item de uma instalação, organização ou procedimento pode ser afetado por
alteração do seu modo habitual de operação ou comportamento. A técnica S WIFT é normalmente aplicada
ao nível de sistemas e com um nível de detalhe inferior ao da HAZOP.

B.9.2 Utilização
Não obstante a SWIFT ter sido originalmente concebida para estudar perigos em instalações químicas e
petroquímicas, a técnica tem agora uma vasta aplicação a sistemas, itens de instalações, organizações ou
procedimentos em geral.
É particularmente utilizada para analisar as consequências de alterações e os riscos, alterados ou criados,
decorrentes destas.

B.9.3 Entradas
O sistema, procedimento, item de uma instalação e/ou alteração devem ser cuidadosamente definidos antes
do início do estudo. Os contextos externo e interno são estabelecidos pelo facilitador a partir de entrevistas e
análise de documentos, planos e desenhos. Normalmente, o item, situação ou sistema em estudo é

*J Acrónimo de ''Structured What-IF Technique "(nota nacional).

 NP
EN 31010
2016

p. 43 de 99

decomposto em nós ou elementos chave para facilitar a análise do processo, o que raramente acontece para o
nível de definição requerido pelo HAZOP.
Outro dado chave de entrada é o nível de especialização e de experiência da equipa de estudo, cuja seleção
deve ser muito cuidada. Todas as partes interessadas devem estar representadas, se possível em conjunto com
os que detêm experiência em itens, sistemas, alterações ou situações similares.

B.9.4 Processo
O processo geral é descrito de seguida:
a) antes do estudo se iniciar, o facilitador prepara a lista adequada de palavras ou frases chave que poderá
ser baseada num conjunto padronizado ou ser criada de forma a proporcionar uma visão exaustiva dos
. .
pengos ou nscos;
b) os contextos externo e interno do item, sistema, alteração ou situação, bem como o âmbito do estudo,
são discutidos e acordados nas sessões de trabalho; · ·
c) o facilitador solicita aos participantes que indiquem e discutam:
- riscos e perigos conhecidos;
experiência e incidentes anteriores;
- controlos e salvaguardas existentes e conhecidos;
- restrições e requisitos regulamentares.
d) a discussão é promovida a partir de uma pergunta que utiliza uma frase do tipo "e se ... " e uma palavra
ou assunto chave. As frases a utilizar são "e se .. . ", "O que aconteceria se . .. '', "Poderá alguém ou
algo ... ", "Alguém ou algo alguma vez . ..." . O objetivo é estimular a equipa de estudo a explorar os
potenciais cenários, as suas causas e consequências e os respetivos impactos;
e) os riscos são sintetizados e a equipa concentra-se nos controlos existentes;
f) a descrição do risco, suas causas, consequências e controlos pretendidos devem ser confirmados pela
equipa e registados;
g) a equipa deve deliberar se os controlos são adequados e eficazes, e acorda uma declaração de eficácia
dos controlos. Se se concluir que os controlos não são satisfatórios, a equipa deve considerar aprofundar
as tarefas de tratamento do risco e definir possíveis controlos;
h) durante a discussão outras questões "e se ... " devem ser colocadas para a identificação de outros riscos;
i) o facilitador utiliza a lista de palavras chave para monitorizar o debate e sugerir questões e cenários
adicionais a serem discutidos pela equipa;
j) é habitual utilizar métodos de apreciação qualitativa ou semi-quantitativa do risco para classificar as
ações a empreender em termos de prioridade. A apreciação do risco é habitualmente conduzida de modo
a considerar os controlos existentes e a respetiva eficácia.

B.9.5 Saídas
As saídas incluem um registo de riscos com uma lista de prioridades de ações ou tarefas a empreender. Estas
tarefas podem vir a constituir a base de um plano de tratamento do risco.

B.9.6 Vantagens e limitações

Vantagens da SWIFT:
NP
EN 31010
2016

p. 44 de 99

é aplicável de forma generalizada a todo o tipo de instalação ou sistema, situação ou circunstância,

organização ou atividade;
requer uma preparação mínima da equipa;
é relativamente rápida e os perigos e riscos principais são identificados com brevidade nas sessões de
trabalho;
o estudo é 'orientado para os sistemas' e permite observar a reação dos sistemas às alterações em vez de
apenas examinar as consequências das falhas de componentes;
pode ser utilizada para identificar oportunidades de melhoria de processos e sistemas e, de forma geral,
para identificar ações que conduzem a e aumentam as suas probabilidades de sucesso;
o envolvimento nas sessões de trabalho dos responsáveis pelos controlos existentes e pelas ações
posteriores de tratamento dos riscos, reforça a sua responsabilidade;
cria um registo de riscos e um plano de tratamento dos riscos, com muito pouco esforço adicional;
embora muitas vezes se utilizem métodos qualitativos ou semi-quantitativos na apreciação do risco para
priorizar a atenção para as ações resultantes, a SWIFT pode ser utilizada para identificar riscos e perigos
que podem ser posteriormente abordados em estudos quantitativos.
Limitações da S WIFT:
requer um facilitador competente e experiente para ser eficiente;
requer uma preparação cuidada para evitar desperdício de tempo da equipa nas sessões de trabalho;
se a equipa presente nas sessões de trabalho não tiver uma experiência com uma base suficientemente
abrangente ou se o sistema de palavra/frase chave não for exaustivo, alguns perigos ou riscos poderão
não ser identificados;
a aplicação da técnica a alto nível poderá não revelar causas complexas, detalhadas ou correlacionadas.

B.10 Análise de cenários

B.10.1 Visão geral
Análise de cenários é um nome dado para o desenvolvimento de modelos descritivos de como o futuro
poderá vir a ser. Pode ser utilizada para identificar os riscos, considerando possíveis desenvolvimentos
futuros e explorando as suas implicações. Conjuntos de cenários refletindo (por exemplo) o "melhor caso", o
"pior caso" e o "caso esperado", podem ser utilizados para analisar potenciais consequências e as suas
probabilidades para cada cenário, como uma forma de análise de sensibilidade na análise do risco.
O poder da análise de cenários é ilustrado por considerar grandes mudanças ao longo dos últimos 50 anos em
tecnologia, preferências do consumidor, atitudes sociais, etc .. A análise de cenários não pode prever as
probabilidades de tais mudanças, mas pode considerar as consequências e ajudar as organizações a
desenvolver as forças e a resiliência necessárias para se adaptarem às mudanças previsíveis.

B.10.2 Utilização
A análise de cenários pode ser usada para apoiar a tomada de decisões de políticas e para planear estratégias
futuras, bem como para considerar as atividades existentes. Pode desempenhar um papel nas três
componentes da apreciação do risco. Para identificação e análise, conjuntos de cenários refletindo (por
exemplo) o "melhor caso", o "pior caso" e o "caso esperado" podem ser usados para identificar o que pode
acontecer em circunstâncias particulares e analisar potenciais consequências e suas probabilidades para cada
cenário.
 NP
EN 31010
2016

p. 45 de 99

A análise de cenanos poderá ser usada para antecipar como as ameaças e as oportunidades se podem
desenvolver e poderá ser utilizada para todos os tipos do risco com intervalos de tempo, tanto de curto como
de longo prazo. Com intervalos de tempo curtos e dados fiáveis, poderão ser extrapolados cenários prováveis
a partir do presente. Para intervalos de tempo longos ou com dados menos fiáveis, a análise de cenários
toma-se mais imaginativa e poderá servir de referência para análises futuras .
A análise de cenários pode ser útil quando existem fortes diferenças de distribuição entre resultados positivos
e resultados negativos no espaço, tempo e grupos na comunidade ou na organização.

B.10.3 Entradas
O pré-requisito para uma análise de cenários é uma equipa de pessoas que entre elas têm uma compreensão
da natureza das alterações relevantes (por exemplo, possíveis avanços em tecnologia) e imaginação para
pensar no futuro sem necessariamente extrapolar a partir do passado. O acesso a literatura e dados sobre as
mudanças em curso também é útil.

B.10.4 Processo
A estrutura para a análise de cenários pode ser informal ou formal.
Tendo estabelecido uma equipa e canais de comunicação relevantes, e definido o contexto do problema e
assuntos a serem considerados, o próximo passo é identificar a natureza das mudanças que possam ocorrer.
Vai requerer investigação sobre as principais tendências, e sobre o momento provável de mudança nas
tendências, bem como um pensamento imaginativo sobre o futuro.
As alterações a serem consideradas podem incluir:
mudanças externas (tais como mudanças tecnológicas);
decisões que precisam de ser tomadas no futuro próximo, mas que podem ter uma variedade de
resultados;
necessidades das partes interessadas e como elas poderão mudar;
mudanças no ambiente macro (regulamentares, demográficas, etc.). Algumas serão inevitáveis e algumas
serão incertas.
Por vezes, uma alteração pode ser devida às consequências de outro risco. Por exemplo, o risco de mudança
climática está a resultar em mudanças na procura do consumidor em função das distâncias até ao
aprovisionamento dos alimentos. Isto vai influenciar quais os alimentos que podem ser exportados de forma
rentável, bem como, quais os alimentos que podem ser cultivados localmente.
Os fatores ou tendências locais e macro podem ser agora listadas e classificadas por (1) importância e (2)
incerteza. É dada especial atenção aos fatores que são mais importantes e mais incertos. Os fatores ou
tendências principais são mapeados entre si para mostrar as áreas onde podem ser desenvolvidos cenários.
Uma série de cenários é proposta em que cada um foca uma mudança plausível nos parâmetros.
Para cada cenário é então escrita uma "história" que conta o seu processo de passagem. As histórias poderão
incluir detalhes plausíveis que acrescentem valor aos cenários.
Os cenários podem então ser usados para testar ou avaliar a questão original. O teste tem em conta quaisquer
fatores significativos, mas previsíveis (p. ex. práticas habituais), e em seguida, explora o quão bem-sucedida
seria a política (atividade) nesse novo cenário, e faz testes prévios aos resultados usando perguntas "e se"
baseadas nas premissas do modelo.
Quando a questão ou a proposta tiver sido avaliada no que diz respeito a cada um dos cenários, poderá ser
óbvia a necessidade de ser modificada para tomá-la mais robusta ou menos arriscada. Deverá também ser
possível identificar alguns dos principais indicadores que mostrem quando é que a mudança irá ocorrer.
NP
EN 31010
2016

p. 46 de 99

Monitorizar e responder aos principais indicadores poderá proporcionar a oportunidade para a mudança nas
estratégias planeadas.
Como os cenários são apenas "partes" definidas de futuros possíveis, é importante ter a certeza de que é tida
em conta a probabilidade de ocorrência de um resultado específico (cenário), ou seja, adotar uma estrutura de
enquadramento do risco. Por exemplo, quando são usados o melhor, o pior e o cenário esperado, deverá ser
feita uma tentativa para qualificar, ou expressar a probabilidade de ocorrência de cada cenário.

B.10.5 Saídas
Pode não haver um cenário que melhor se ajuste, mas devemos ficar com uma perceção clara da variedade de
opções, e de como podemos modificar o curso de ação escolhido à medida que os indicadores evoluem.

B.10.6 Vantagens e limitações

A análise de cenári_o s t~m em conta um conjunto de futuros possíveis que poderão ser preferíveis à
abordagem tradicional que se baseia em previsões alta-média-baixa, através da utilização de dados históricos,
pressupondo que os eventos futuros provavelmente vão continuar a seguir as tendências do passado. Isto é
importante para situações em que atualmente há pouco conhecimento que fundamente as previsões ou onde
os riscos são considerados num futuro a longo prazo.
No entanto, esta vantagem tem uma limitação associada; pois quando existe uma elevada incerteza alguns
dos cenários poderão ser irrealistas.
As principais dificuldades na utilização da análise de cenários estão associadas à disponibilidade de dados e
à capacidade dos analistas e decisores para desenvolverem cenários realistas que permitam testar os
resultados possíveis.
Os perigos do uso da análise de cenários como ferramenta de apoio à tomada de decisão resultam de os
cenários utilizados não estarem devidamente fundamentados, os dados serem especulativos e os resultados
irrealistas não serem interpretados como tal. ·

B.11 Análise de impacto no negócio (BIA*»

B.11.1 Visão geral
A análise de impacto no negócio (BIA), também conhecida como avaliação de impacto no negócio, analisa a
forma como os riscos disruptivos mais significativos poderão afetar as operações de uma organização e
identifica e quantifica as capacidades necessárias para os gerir. Especificamente, a BIA proporciona um
entendimento sobre:
a identificação e a criticidade dos processos chave do negócio, funções e recursos associados, e as
interdependências chave que existam numa organização;
a forma como eventos disruptivos irão afetar a capacidade e a aptidão para a consecução dos objetivos
críticos do negócio;
a capacidade e a aptidão necessárias para gerir o impacto de uma disrupção e recuperar a organização
para níveis de operação aceitáveis.

B.11.2 Utilização
A BIA é usada para determinar a criticidade e os prazos de recuperação dos processos e recursos associados
(pessoas, equipamentos, tecnologias de informação) para garantir a consecução continuada dos objetivos.

*) Acrónimo de ''Business l mpact Analysis " (nota nacional).

 NP
EN 31010
2016

p. 47 de 99

Adicionalmente, a BIA ajuda a determinar as interdependências e inter-relações entre os processos, partes

interessadas internas e externas e qualquer outra ligação à cadeia de abastecimento.

B.11.3 Entradas
As entradas incluem:
uma equipa para realizar a análise e desenvolver um plano;
informação sobre os objetivos, contexto, operações e interdependências da organização;
detalhes sobre as atividades e operações da organização, incluindo os processos, recursos de apoio,
relações com outras organizações, acordos de subcontratação, partes interessadas;
perdas financeiras e consequências operacionais da disrupção de processos críticos;
questionário específico; .
lista de entrevistados de áreas relevantes da organização e/ou partes interessadas a contactar.

B.11.4 Processo
A BIA pode ser realizada por meio de questionários, entrevistas, sessões de trabalho estruturadas ou
combinações dos três, para obter uma compreensão dos processos críticos, dos efeitos da perda desses
processos, dos prazos de recuperação requeridos e dos recursos de apoio.
As etapas chave incluem:
a confirmação dos processos chave e resultados da organização para determinar a criticidade dos
processos, com base na avaliação do risco e da vulnerabilidade;
a determinação das consequências de uma disrupção nos processos críticos identificados em termos
financeiros e/ou operacionais, em períodos definidos;
a identificação das interdependências com as principais partes interessadas internas e externas. Isto pode
incluir o mapeamento da natureza das interdependências através da cadeia de fornecimento;
a determinação dos recursos atualmente disponíveis e do nível essencial de recursos necessários para
continuar a operar a um nível mínimo aceitável após uma disrupção;
a identificação de processos e soluções alternativos atualmente em uso ou planeadas para serem
desenvolvidas. Soluções e processos alternativos podem precisar de ser desenvolvidos, quando os
recursos ou capacidades estão inacessíveis ou são insuficientes durante uma disrupção;
a determinação do tempo máximo de indisponibilidade aceitável (MAO*)) para cada processo, baseado
nas consequências identificadas e nos fatores críticos de sucesso para a função. O MAO representa o
período máximo de tempo durante o qual a organização pode tolerar a perda de capacidade;
a determinação do(s) objetivo(s) de tempo(s) de recuperação (RTo**l) para qualquer equipamento
especializado ou tecnologia da informação. O RTO representa o tempo dentro do qual a organização
pretende recuperar a capacidade do equipamento especializado ou da tecnologia da informação;
a confirmação do atual nível de preparação dos processos críticos para gerir uma disrupção. Isto pode
incluir a avaliação do nível de redundância dentro do processo (p. ex. equipamentos de reserva) ou a
existência de fornecedores alternativos.

:~ MAO - Maximum Acceptable Outage lime (nota nacional).

l RTO - Recovery Tim e Objective (nota nacional).
NP
EN 31010
2016

p. 48 de 99

B.11.5 Saídas
As saídas são as seguintes:
lista de prioridades de processos críticos e interdependências associadas;
impactos financeiros e operacionais documentados resultantes de uma perda dos processos críticos;
recursos de apoio necessários para os processos críticos identificados;
intervalos de tempo de indisponibilidade para os processos críticos e intervalos de tempo de recuperação
para as tecnologias da informação associadas.

B.11.6 Vantagens e limitações

As vantagens da BIA incluem:
um entendimento dos processos críticos que proporcionam à organização a capacidade para continuar a
alcançar os seus objetivos estabelecidos;
um entendimento dos recursos requeridos;
uma oportunidade para redefinir o processo operacional de uma organização para apoiar a sua resiliência.
As limitações incluem:
falta de conhecimento por parte dos participantes envolvidos no preenchimento de questionários, na
realização de entrevistas ou sessões de trabalho;
dinâmicas de grupo que podem afetar a análise completa de um processo crítico;
expectativas simplistas ou demasiado otimistas sobre requisitos de recuperação;
dificuldade na obtenção de um nível adequado de compreensão das operações e atividades da
organização.

B.12 Análise de causa raiz (RCA *»

B.12.1 Visão geral
A análise de uma grande perda com o objetivo de prevenir a sua recorrência é habitualmente referida como
análise de causa raiz (RCA), análise de falha por causa raiz (RCFA **l) ou análise de perda. A RCA centra-se
nas perdas de ativos devidas a diversos tipos de falhas, enquanto a análise de perda se preocupa
principalmente com perdas financeiras ou económicas devidas a fatores externos ou catástrofes. Procura
identificar as causas raiz ou de origem em vez de lidar apenas com os sintomas imediatamente evidentes.
Reconhece-se que a ação corretiva poderá não ser sempre inteiramente eficaz e que poderá requerer melhoria
contínua. A RCA é muito frequentemente aplicada à avaliação de uma grande perda, mas poderá também ser
utilizada para analisar perdas numa base mais geral para determinar onde podem ser feitas melhorias.

B.12.2 Utilização
A RCA é aplicável em diversos contextos cobrindo as seguintes grandes áreas de utilização:
a RCA baseada na segurança é utilizada na investigação de acidentes e no âmbito da segurança e saúde
ocupacional;

;. Acrónimo de "Root Cause A nalysis" (nota nacional).

~Acrónim o de Root Cause Failure Analysis (nota nacional).
 NP
EN 31010
2016

p. 49 de 99

a análise de falhas é utilizada em sistemas tecnológicos relacionados com fiabilidade e manutenção;

a RCA baseada na produção é aplicada no campo do controlo da qualidade de processos de fabrico
industriais;
a RCA baseada nos processos foca-se nos processos de negócio;
a RCA baseada em sistemas desenvolveu-se como uma combinação das áreas anteriores para tratar
sistemas complexos com aplicação na gestão de alterações, na gestão do risco e na análise de sistemas.

B.12.3 Entradas
As principais entradas numa RCA são todas as evidências recolhidas da falha ou da perda. Os dados
provenientes de falhas similares poderão também ser considerados na análise. Outras entradas poderão ser
resultados que servem para testar hipóteses específicas.

B.12.4 Processo
Quando é identificada a necessidade de uma análise RCA, é designado um grupo de especialistas para a
realizar e fazer recomendações. O tipo de especialista depende principalmente da área específica de
conhecimento necessária à análise da falha.
Embora seja possível utilizar métodos diferentes para a realização da análise, as etapas de base numa análise
RCA são semelhantes e incluem:
constituir a equipa;
definir o âmbito e os objetivos da RCA;
recolher dados e evidências da falha ou perda;
realizar uma análise estruturada para determinar a causa raiz;
desenvolver soluções e fazer recomendações;
implementar as recomendações;
verificar o sucesso das recomendações implementadas.
As técnicas de análise estruturada poderão consistir numa das seguintes:
técnica dos "5 porquês", isto é, repetidamente perguntar ' porquê?' para remover camadas de causas e
subcausas;
análise dos modos de falha e de efeitos;
análise por árvore de falhas;
diagramas em espinha de peixe ou de Ishikawa;
análise de Pareto;
mapeamento das causas raiz.
A avaliação das causas progride muitas vezes da análise das causas físicas inicialmente evidentes para causas
humanas relacionadas e, finalmente, para causas subjacentes à gestão ou fundamentais. Os fatores de
causalidade têm que poder ser controlados ou eliminados pelas partes envolvidas, de modo a que a ação
corretiva seja eficaz e se justifique.
NP
EN 31010
2016

p. 50 de 99

B.12.5 Saídas
Os resultados de uma análise RCA incluem:
a documentação dos dados e evidências compilados;
as hipóteses consideradas;
a conclusão sobre as causas raiz mais prováveis para a falha ou perda;
as recomendações quanto a ações corretivas.

B.12.6 Vantagens e limitações

As vantagens incluem:
o envolvimento dos peritos requeridos trabalhando num ambiente de equipa;
a análise estruturada;
a consideração de todas as hipóteses prováveis;
a documentação dos resultados;
a necessidade de produzir recomendações finais.
As limitações da RCA:
os peritos requeridos poderão não estar disponíveis;
as evidências críticas poderão ser destruídas durante a falha ou removidas na operação de limpeza;
a equipa poderá não dispor de tempo ou recursos suficientes para avaliar plenamente a situação;
poderá não ser possível implementar adequadamente as recomendações.

B.13 Análise dos modos de falha e efeitos (FMEA *)) e análise dos modos de falha,
efeitos e criticidade (FMECA **))
B.13.1 Visão geral
A análise dos modos de falha e efeitos (FMEA) é uma técnica utilizada para identificar de que formas os
componentes, os sistemas ou os processos podem falhar no cumprimento da sua finalidade de conceção.
A FMEA identifica:
todos os potenciais modos de falha dos diferentes componentes de um sistema (um modo de falha é o que
se observa que falha ou que não funciona corretamente);
os efeitos que estas falhas podem ter no sistema;
os mecanismos de falha;
como evitar as falhas e/ou mitigar os efeitos das falhas no sistema.
A FMECA estende uma FMEA por forma a que cada modo de falha identificado seja classificado de acordo
com a sua importância ou criticidade.

*)Acrónimo da designação original "Fai/ure Modes and Effects Analysis ", mantido como referência nesta versão portuguesa (nota
nacional).
*'J Acrónimo da designação original "Failure Modes and Effects and Criticality Analysis ", mantido como referência nesta versão
portuguesa (nota nacional).
 NP
EN 31010
2016

p. 51de99

Esta análise da criticidade é habitualmente qualitativa ou semi-quantitativa, mas poderá ser quantificada
utilizando taxas de falha reais.

B.13.2 Utilização
Há várias aplicações da FMEA: FMEA da Conceção (ou do produto) que é utilizada para componentes e
produtos, FMEA do Sistema que é utilizada para sistemas, FMEA do Processo que é utilizada para processos
de fabrico e de montagem, FMEA dos Serviços e FMEA do Software.
A FMEA/FMECA poderá ser aplicada durante a conceção, o fabrico ou o funcionamento de um sistema.
Contudo, para aumentar a fiabilidade, as modificações são geralmente implementadas mais facilmente na
fase de conceção. A FMEA e a FMECA poderão também ser aplicadas a processos e procedimentos. A
técnica é utilizada, p. ex., para identificar o potencial de erro médico em sistemas de cuidados de saúde e de
falhas em procedimentos de manutenção.
A FMEA/FMECA pode ser utilizada para:
apoiar a seleção de alternativas de conceção com alta fiabilidade;
- assegurar que todos os modos de falha de sistemas e de processos e os seus efeitos foram considerados
no sucesso operacional;
- identificar os modos e os efeitos do erro humano;
- fornecer uma base para o planeamento do ensaio e manutenção dos sistemas;
- melhorar a conceção de procedimentos e processos;
- fornecer informação qualitativa ou quantitativa para técnicas de análise tais como a análise de árvore de
falhas.
A FMEA e a FMECA podem fornecer entradas para outras técnicas de análise tais como a análise de árvore
de falhas, tanto ao nível qualitativo como quantitativo.

B.13.3 Entradas
A FMEA e a FMECA necessitam de informação suficientemente detalhada sobre os componentes do sistema
para permitir uma análise significativa dos modos em que cada componente pode falhar. Para uma FMEA da
Conceção detalhada o componente individual poderá estar a um nível detalhado, enquanto que para uma
FMEA de Sistemas de nível mais elevado os componentes poderão estar definidos a um nível superior.
A informação poderá incluir:
- desenhos ou um fluxograma do sistema a ser analisado e dos seus componentes ou os passos de um
processo;
- explicitação da função de cada passo de um processo ou de cada componente de um sistema;
- detalhes de parâmetros ambientais e outros que poderão afetar a operação;
- explicitação dos resultados de falhas específicas;
histórico de falhas, incluindo dados de taxas de falha, quando disponíveis.

B.13.4 Processo
O processo FMEA é descrito de seguida:
a) definição do âmbito e objetivos do estudo;
NP
EN 31010
2016

p. 52 de 99

b) constituição da equipa;
c) caracterização do sistema/processo a ser sujeito à FMECA;
d) decomposição do sistema nos seus componentes ou passos;
e) definição da função de cada passo ou componente;
f) resposta para cada componente ou passo enumerados a:
como pode cada componente falhar?
que mecanismos poderão produzir esses modos de falha?
que efeitos poderão existir se ocorrerem as falhas?
a falha é inofensiva ou prejudicial?
como é detetada a falha?
g) identificação, na conceção, das disposições inerentes para compensar a falha.
Na FMECA, a equipa de estudo continua, classificando cada um dos modos de falha identificados de acordo
com a sua criticidade.
Isto poderá ser feito de vários modos. Os métodos correntes incluem:
índice de criticidade do modo;
nível do risco;
número de prioridade do risco.
O modelo de criticidade é uma medida da probabilidade do modo considerado resultar em falha do sistema
no seu conjunto. É definido como:
Probabilidade do efeito da falha x Taxa de falha do modo x Tempo de funcionamento do sistema
É aplicado mais frequentemente a falhas de equipamento para as quais cada um destes termos pode ser
definido quantitativamente e os modos de falha têm todos a mesma consequência.
O nível do risco é obtido por combinação das consequências de um modo de falha ocorrido com a
probabilidade da falha. É utilizado quando as consequências dos diferentes modos de falha diferem e pode
ser aplicado a sistemas de equipamentos ou a processos. O nível do risco pode ser expresso qualitativa,
semi-quantitativa ou quantitativamente.
O número de prioridade do risco (RPN*l) é uma medida semi-quantitativa da criticidade, obtida por
multiplicação de números de escalas de classificação (habitualmente entre 1 e 1O) para a consequência da
falha, a verosimilhança da falha e a capacidade para detetar o problema (é atribuída uma maior prioridade a
uma falha se for difícil de detetar). Este método é utilizado frequentemente em aplicações de garantia da
qualidade.
Uma vez identificados os modos de falha e os mecanismos, podem ser definidas ações corretivas e
implementadas para os modos de falha mais significativos.
A FMEA é documentada num relatório que contém :
detalhes do sistema que foi analisado;
o modo como a análise foi realizada;

*l Acrónimo da designação orig inal '" Risk Priority Number '", mantido como referência nesta versão portuguesa (nota nacional).
 NP
EN 31010
2016

p. 53 de 99

os pressupostos feitos na análise;

fontes de dados;
resultados, incluindo as fichas de trabalho completadas;
a criticidade (se completada) e a metodologia utilizada para a definir;
quaisquer recomendações para análises posteriores, alterações de conceção ou características a serem
integradas nos planos de ensaio, entre outros.
O sistema poderá ser reapreciado por outro ciclo de FMEA após as ações terem sido completadas.

B.13.5 Saídas
A principal saída da FMEA é uma lista de modos de falha, mecanismos de falha e efeitos para cada
componente ou passo de um sistema ou processo (que poderá incluir informação sobre a verosimilhança da
falha) . Também é dada informação sobre as causas da falha e as consequências para o sistema no seu
conjunto. A saída da FMECA inclui uma classificação da importância baseada na verosimilhança de falha do
sistema, o nível do risco resultante do modo de falha ou uma combinação do nível do risco e a detetabilidade
do modo de falha.
A FMECA pode fornecer uma saída quantitativa se forem utilizados dados adequados de taxas de falha e de
consequências quantitativas.

B.13.6 Vantagens e limitações

As vantagens da FMEA/FMECA são as seguintes:
amplamente aplicáveis aos modos de falha humana, de equipamentos e de sistemas e para hardware,
software e procedimentos;
identificam modos de falha dos componentes, suas causas e efeitos no sistema e apresenta-os num
formato facilmente legível;
evitam a necessidade de modificações de custo elevado de equipamentos em serviço através da
identificação precoce de problemas no processo de conceção;
identificam modos de falha pontuais e requisitos para sistemas redundantes ou de segurança;
fornecem entradas para o desenvolvimento de programas de monitorização, salientando as características
chave a serem monitorizadas.
As limitações incluem:
só podem ser utilizadas para identificar modos de falha singulares e não combinações de modos de falha;
os estudos podem ser muito consumidores de tempo e de custo elevado a menos que sejam
adequadamente controlados e focados;
podem ser difíceis e monótonas para sistemas complexos com diversos níveis.

B.13.7 Documento de referência

IEC 60812 Ana~ysis techniques for system reliability - Procedures for failure mode and analysis (FMEA)
NP
EN 31010
2016

p. 54 de 99

B.14 Análise em árvore de falhas (FTA*»

B.14.1 Visão geral
A análise em árvore de falhas (FTA) é uma técnica para identificar e analisar fatores que possam contribuir
para um evento indesejado especificado (designado por "evento de topo"). Os fatores causais são
dedutivamente identificados, organizados de maneira lógica e representados graficamente num diagrama em
árvore que ilustra os fatores causais e as suas relações lógicas com o evento de topo.
Os fatores identificados na árvore podem ser eventos que estão associados a falhas dos componentes de
hardware, a erros humanos ou a quaisquer outros eventos pertinentes que conduzam ao evento indesejado.

Falha no arranque automático

do gerador d e em erg!:ncia

Fa lha no envio d o
sinal

Le1endi11

=D PortaAnd - ocorre uma falha se todos os eventos de

e ntrada forem verdadeiros

:D Porta Or- ocor re uma fa lha se qualquer um dos e ventos

de entnda for verdadeiro

o Eventos de b;llSe - anâlise e diciona l sem utilid i1de

<>
c::::==:J
Eventos sem aná lise adicional imediata

Eventos sujeitos a análise adicional

& Eventos analisado no ponto A numa página diferente

IEC 2063/ 09

Figura B .2 - Exemplo de uma FfA da IEC 60300-3-9

B.14.2 Utilização
Uma árvore de falhas pode ser utilizada de forma qualitativa para identificar causas e caminhos potenciais
para uma falha (o evento de topo), ou de forma quantitativa para calcular a probabilidade do evento de topo,
a partir do conhecimento das probabilidades dos eventos causais.
Pode ser utilizada na fase de conceção de um sistema para identificar potenciais causas de falha e
consequentemente selecionar entre diferentes opções de conceção. Pode ser utilizada na fase de
funcionamento para identificar como podem ocorrer falhas maiores e a importância relativa de diferentes
caminhos para o evento principal. Uma árvore de falhas pode também ser utilizada para analisar uma falha
que ocorreu, ilustrando em diagrama como diferentes eventos se conjugaram para causar a falha.

' J Acrónimo da designação original " Fault Tree Analysis ", mantido como referência nesta versão portuguesa (nota nacional).
 NP
EN 31010
2016

p. 55 de 99

B.14.3 Entradas
Para a análise qualitativa, é requerida a compreensão do sistema e das causas de falha, assim como o
entendimento técnico de como o sistema pode falhar. Os diagramas detalhados são úteis para apoiar a
análise.
Para a análise quantitativa, são requeridos dados de taxas de falha ou a probabilidade de ocorrer um estado
de falha, para todos os eventos básicos na árvore de falhas.

B.14.4 Processo
Os passos para desenvolver uma árvore de falhas são os seguintes:
o evento de topo a ser analisado é definido. Este pode ser uma falha ou um resultado mais amplo dessa
falha. Quando o resultado é analisado, a árvore pode conter uma secção relativa à mitigação da falha em
causa;
começando pelo evento de topo, as possíveis causas imediatas ou os modos de falha que conduzem ao
evento de topo são identificados;
é analisada cada uma destas causas/modos de falha para identificar como tal falha pôde ocorrer;
segue-se a identificação passo a passo, do funcionamento indesejável do sistema para níveis
sucessivamente inferiores do sistema até que a análise posterior se tome improdutiva. Num sistema físico
este pode ser o nível da falha do componente. Os eventos e os fatores causais no nível mais baixo do
sistema analisado são designados por eventos de base;
- quando podem ser atribuídas probabilidades aos eventos de base, pode ser calculada a probabilidade do
evento de topo. Para que a quantificação seja válida, deve ser possível demonstrar que, para cada porta,
todas as entradas são as necessárias e suficientes para produzir o evento de saída. Se não for esse o caso,
a árvore de falhas não é válida para uma análise de probabilidade, mas poderá ser uma ferramenta útil
para ilustrar as relações causais.
Como parte da quantificação, a árvore de falhas poderá precisar de ser simplificada, utilizando a álgebra
Booleana para serem tidos em conta os modos de falha duplicados.
Ela também pode fornecer uma estimativa da probabilidade do evento principal, bem como podem ser
identificados conjuntos de cortes mínimos, que constituem caminhos individuais para o evento principal e ser
calculada a sua influência no evento de topo.
À exceção para árvores de falhas simples, é necessário um software para tratar os cálculos adequadamente
quando estão presentes eventos repetidos em vários locais na árvore de falhas e para calcular os cortes
mínimos. As ferramentas de software ajudam a assegurar a consistência, a correção e verificabilidade.

B.14.5 Saídas
As saídas da análise em árvore de falhas são as seguintes:
uma representação gráfica de como o evento de topo pode ocorrer, mostrando caminhos interatuantes nos
quais podem ocorrer dois ou mais eventos simultâneos;
uma lista de conjuntos de corte mínimos (caminhos individuais para a falha) com a probabilidade de
ocorrência de cada um (quando existam dados disponíveis);
a probabilidade do evento de topo.
NP
EN 31010
2016

p. 56 de 99

B.14.6 Vantagens e limitações

Vantagens da FfA:
disponibiliza uma abordagem disciplinada que é fortemente sistemática mas, ao mesmo tempo,
suficientemente flexível para permitir a análise de uma variedade de fatores, incluindo interações
humanas e fenómenos físicos;
a aplicação de uma abordagem de cima para baixo *l implícita nesta técnica, foca a atenção naqueles
efeitos de falha que estão diretamente relacionados com o evento de topo;
a FT A é especialmente útil para analisar sistemas com muitas interfaces e interações;
a representação gráfica conduz a um entendimento mais fácil do comportamento do sistema e dos fatores
incluídos mas, como as árvores de falhas são muitas vezes grandes, o seu processamento poderá requerer
a utilização de sistemas informáticos. Este recurso permite considerar relações lógicas mais complexas
(p. ex., NAND ou NOR**l) mas também torna a verificação da.árvore de falhas mais difícil;
a análise lógica das árvores de falhas e a identificação dos conjuntos de corte são úteis para identificar os
caminhos de falhas simples num sistema muito complexo, onde podem passar despercebidas
combinações particulares de eventos que conduzem ao evento de topo.
As limitações incluem:
as incertezas das probabilidades dos eventos de base são consideradas nos cálculos da probabilidade do
evento de topo. Isto pode resultar em altos níveis de incerteza quando as probabilidades de falha dos
eventos de base não são conhecidas com exatidão; contudo, é possível um elevado grau de confiança
num sistema bem compreendido;
em algumas situações os eventos causais não estão ligados entre si e pode ser difícil estabelecer se estão
incluídos todos os caminhos para o evento de topo. Por exemplo, incluir todas as fontes de ignição na
análise de um incêndio como evento de topo. Nesta situação a análise de probabilidade não é possível;
a árvore de falhas é um modelo estático; as interdependências temporais não são tratadas;
as árvores de falhas só podem tratar os estados binários (passa/não passa);
embora os modos de erro humano possam ser incluídos numa árvore de falhas qualitativa, não é
geralmente fácil de incluir as falhas onde o grau ou a qualidade apresentam frequentemente sinais de erro
humano;
uma árvore de falhas não permite incluir facilmente o "efeito de dominó" ou as falhas condicionais.

B.14.7 Documento de referência

IEC 61025 Fault tree analysis (FTA)
IEC 60300-3-9 Dependability management - Part 3: Application guide - Section 9: Risk analysis of
technological systems

:~ "Top-down" no original (nota nacional).

) NAND ou NOR - Operações lógicas binárias em que o resultado é falso apenas quando todas as entradas são verdadeiras
(NAND) ou em que o resultado é verdadeiro apenas quando todas as entradas são falsas (NOR) (no /a nacional).
 NP
EN 31010
2016

p. 57 de 99

B.15 Análise por árvore de eventos (ETA*»

B.15.1 Visão geral
A ETA é uma técnica gráfica para representar as sequências de eventos mutuamente exclusivos subsequentes
a um evento iniciador, em função do funcionamento/não funcionamento dos diversos sistemas concebidos
para mitigar as suas consequências (ver Figura B.3). Pode ser aplicada quer qualitativa quer
quantitativamente.

Evento iniciador In icio de Sistema de Alarme de Resultado Frequência

incêndio sprinkle rs incê ndio é (/an o)
func iona ativado

Incêndio
Sim
controlado com 7,9 X 10·3
0,999
alarme
Si m
0,99
Incêndio
Não
controlado sem 7,9X 10· 6
0,001
alarme
Sim
0,8
Incêndio não
Si m
controlado com 8,0 X 10-s
0,999
alarme
Não
Exp losão 0,01
10·2 por ano Incêndi o não
Não
controlado sem 8,0X lff8
0,001
alarme

Não
Sem incêndio 2,0 X l ff 3
0, 2

IEC 2064/09

Figura B.3 - Exemplo de uma árvore de eventos

A Figura B.3 mostra os cálculos simples para um exemplo de uma árvore de eventos, quando os ramos são
totalmente independentes.
Ao desdobrar-se como uma árvore, a ETA permite representar os eventos agravantes ou mitigadores
resultantes do evento iniciador, tendo em conta os sistemas, funções ou barreiras suplementares.

B.15.2 Utilização
A ETA pode ser utilizada para modelizar, calcular e classificar (do ponto de vista do risco) diferentes
cenários de acidentes subsequentes a um evento iniciador.
A ETA pode ser utilizada em qualquer fase do ciclo de vida de um produto ou de um processo. Poderá ser
utilizada qualitativamente para debater cenários e sequências de eventos subsequentes a um evento iniciador
e a definir o modo como os resultados são afetados por vários tratamentos, barreiras ou controlos que visam
mitigar os resultados indesejados.
A análise quantitativa presta-se a considerar a aceitabilidade dos controlos. É mais frequentemente utilizada
para modelizar falhas quando há várias proteções instaladas.

*)Acrónimo da designação original "E vent Tree Analysis ". mantido como referência nesta versão p ortuguesa (no ta nacional).
NP
EN 31010
2016

p. 58 de 99

A ETA pode ser utilizada para modelizar eventos iniciadores que possam originar perda ou ganho. No
entanto, as circunstâncias em que se procuram caminhos para otimizar o ganho são modelizadas, mais
frequentemente, utilizando uma árvore de decisão.

B.15.3 Entradas
As entradas incluem:
uma lista de eventos iniciadores apropriados;
informações sobre tratamentos, barreiras e controlos, e suas probabilidades de falha (para análises
quantitativas);
compreensão dos processos pelos quais uma falha inicial se agrava.

B.15.4 Processo
Uma árvore de eventos começa com a seleção de um evento iniciador. Este pode ser um incidente como uma
explosão de pó ou um evento causal, como uma falha de energia. As funções ou sistemas instalados para
mitigar os resultados são listados em sequência. Para cada função ou sistema, é desenhada uma linha para
representar o seu sucesso ou a sua falha. A cada linha pode ser atribuída uma probabilidade particular de
falha, sendo es.s a probabilidade condicional estimada, p. ex. pelo juízo de um especialista ou por uma análise
de árvore de falhas. Desta forma, são modelizados diferentes caminhos a partir do evento iniciador.
Note-se que as probabilidades na árvore de eventos são probabilidades condicionadas, p. ex. a probabilidade
de um sprinkler funcionar não é a probabilidade obtida a partir de ensaios em condições normais, mas sim a
probabilidade de funcionar sob condições de incêndio causadas por uma explosão.
Cada caminho ao longo da árvore representa a probabilidade de que ocorram todos os eventos nesse
caminho. Portanto, a frequência do resultado é representado pelo produto das probabilidades condicionadas
individuais pela frequência do evento iniciador, dado que os vários eventos são independentes.

B.15.5 Saídas
As saídas da ETA incluem o seguinte:
descrições qualitativas de problemas potenciais como combinações de eventos que produzem vários tipos
de problemas (gama de resultados) a partir de eventos iniciadores;
estimativas quantitativas da frequência ou das probabilidades de eventos e importância relativa de várias
sequências de falha e eventos contributivos;
listas de recomendações para reduzir os riscos;
avaliações quantitativas da eficácia das recomendações.

B.15.6 Vantagens e limitações

As vantagens da ETA incluem o seguinte:
a ETA mostra de uma forma esquemática clara os cenanos potenciais analisados após um evento
iniciador e o impacto do sucesso ou da falha dos sistemas ou das funções mitigadores;
tem em conta o tempo, a dependência e o efeito dominó que são difíceis de modelizar em árvores de
falhas;
representa graficamente as sequências de eventos que não são possíveis de representar com as árvores de
falhas.
 NP
EN 31010
2016

p. 59 de 99

As limitações incluem:
para usar a ETA como parte de uma apreciação abrangente, todos os eventos iniciadores potenciais
precisam de ser identificados. Isto poderá ser obtido por meio de um outro método de análise (p. ex.
HAZOP, PHA), no entanto, existe sempre a possibilidade de falhar a identificação de alguns eventos
iniciadores importantes;
as árvores de eventos só tratam dos estados de sucesso e falha de um sistema e é difícil incorporar
eventos de sucesso ou de recuperação diferidos no tempo;
qualquer caminho é condicionado relativamente aos eventos que ocorreram em pontos de ramificação
anteriores ao longo do caminho. Muitas dependências ao longo dos caminhos possíveis são, portanto,
consideradas. No entanto, algumas dependências, como os componentes comuns, os sistemas de apoio e
os operadores, se não forem tratadas com cuidado, poderão ser ignoradas, conduzindo a estimativas
otimistas do risco.

B.16 Análise causas-consequências

B.16.1 Generalidades
A análise causas-consequências é uma combinação das análises árvore de falhas e árvore de eventos.
Inicia-se num evento crítico e analisa as consequências combinando as portas lógicas Sim/Não que
representam as condições suscetíveis de ocorrer ou as falhas dos sistemas concebidos para mitigar as
consequências do evento inicial. As causas das condições ou das falhas são analisadas pelas árvores de falhas
(ver secção B.15).

B.16.2 Utilização
A análise causas-consequências foi originalmente desenvolvida como uma ferramenta de fiabilidade para
sistemas de segurança críticos a fim de permitir uma compreensão mais completa das falhas dos sistemas.
Tal como a análise árvore de falhas, é utilizada para representar a lógica de falha que conduz a um evento
crítico mas adiciona-se à funcionalidade de uma árvore de falhas permitindo que falhas sequenciais no tempo
sejam analisadas. O método permite também a incorporação da variável tempo na análise de consequências o
que não é possível com as árvores de eventos.
O método é usado para analisar os vários caminhos que um sistema pode seguir na sequência de um evento
crítico e na dependência do comportamento de subsistemas particulares (tais como sistemas de resposta a
emergências). Se forem quantificados darão uma estimativa da probabilidade de diferentes possíveis
consequências na sequência de um evento crítico.
Como cada sequência num diagrama causas-consequências é uma combinação de subárvores de falhas, a
análise causas-consequências pode ser utilizada como uma ferramenta para construir grandes árvores de
falhas.
Os diagramas têm execução e utilização complexas e tendem a ser usados quando a amplitude da
consequência potencial de falha justifica um esforço importante.

B.16.3 Entradas
É necessária uma compreensão do sistema e dos seus modos e cenários de falhas .

B.16.4 Processo
A Figura B.4 mostra um diagrama conceptual de uma análise causas-consequências típica.
NP
EN 31010
2016

p. 60 de 99

Consequência Consequência Consequência

Descrição Descrição Descrição
Consequência
Descrição
Não Sim
Condição

Sim
Condição

Árvore de f alhas 3

Árvore de falhas 2

Árvore de falhas 1

Árvore de falhas

fEC 2065/09

Figura B.4 - Exemplo de análise causas-consequências

O procedimento de execução consiste no seguinte:
a) identificar o evento crítico (ou inicial), (equivalente ao evento cimeiro de uma árvore de falhas e ao
evento inicial de uma árvore de eventos);
b) desenvolver e validar a árvore de falhas para as causas do evento inicial, conforme descrito na secção
8 .14. São utilizados os mesmos símbolos de uma análise árvore de falhas convencional;
c) decidir a ordem em que as condições devem ser consideradas. Deverá ser uma sequência lógica, tal
como a sequência temporal em que elas ocorrem;
d) construir os caminhos para as consequências em função das diferentes condições. Assemelha-se a uma
árvore de eventos, mas a partição em caminhos da árvore de eventos é representada por caixas
identificadas com a condição particular que se lhe aplica;
e) se as falhas de cada caixa de condição forem independentes, a probabilidade de cada consequência pode
ser calculada. Tal consegue-se atribuindo previamente probabilidades a cada saída da caixa de condição
(usando as árvores de falhas relevantes conforme aplicável). A probabilidade de qualquer sequência,
conduzindo a uma consequência particular, obtém-se multiplicando as probabilidades de cada sequência
de condições que termine naquela consequência particular. Se mais de uma sequência terminar na
mesma consequência, somam-se as probabilidades de cada sequência. Se existirem dependências entre
as falhas das condições numa sequência (por exemplo, uma falha de energia pode causar várias
condições de falha), então as dependências serão tidas em consideração antes de se proceder ao cálculo.

B.16.5 Saídas
As saídas de uma análise causas-consequências consistem num diagrama de como um sistema pode falhar,
mostrando as causas e as consequências. Uma estimativa da probabilidade de ocorrência de cada
consequência potencial baseia-se na análise das probabilidades de ocorrência de condições particulares na
sequência do evento crítico.
 NP
EN 31010
2016

p. 61de99

B.16.6 Vantagens e limitações

As vantagens da análise causas-consequências são idênticas às de uma combinação das análises de árvores
de eventos e de árvores de falhas. Além disso, supera algumas das limitações destas técnicas ao permitir a
análise de eventos desenvolvendo-se no tempo. A análise causas-consequências fornece uma visão
abrangente do sistema.
Como limitações, refira-se que são mais complexas do que as análises de árvores de falhas e de árvores de
eventos, tanto na construção como no modo como as dependências são tratadas durante a quantificação.

B.17 Análise causa-e-efeito

B.17.1 Visão geral
A análise causa-e-efeito é um método estruturado para identificar possíveis causas de um evento indesejado
ou de um problema." Organiza os fatores contributivos possíveis em categorias gerais de modo a que todas as
hipóteses possíveis possam ser consideradas. No entanto, não permite, só por si, apontar as causas reais, já
que estas só podem ser determinadas por comprovação e testes empíricos de hipóteses. A informação é
organizada quer num diagrama em espinha (também chamado diagrama de lshikawa) quer por vezes num
diagrama em árvore (ver B.17.4).

B.17.2 Utilização
A análise causa-e-efeito fornece uma representação gráfica estruturada da lista de causas de um efeito
específico. O efeito pode ser positivo (um objetivo) ou negativo (um problema) dependendo do contexto.
Permite considerar todos os cenários e causas possíveis gerados por uma equipa de especialistas e estabelecer
um consenso quanto às causas mais prováveis, que podem então ser testadas empiricamente ou pela
avaliação dos dados disponíveis. Ao iniciar uma análise é mais proveitoso alargar a reflexão sobre as causas
possíveis e depois estabelecer as hipóteses potenciais que podem ser consideradas de modo mais formal.
Um diagrama causa-e-efeito pode ser construído quando há necessidade de:
identificar as possíveis causas raiz, as razões fundamentais, para um determinado efeito, problema ou
condição;
selecionar e relacionar algumas das interações entre os fatores que afetam um determinado processo;
analisar os problemas existentes de forma a que ações corretivas possam ser tomadas.
As vantagens da construção de um diagrama causa-e-efeito incluem:
concentrar a atenção dos responsáveis pela revisão num problema específico;
ajudar a determinar as causas raiz de um problema utilizando uma abordagem estruturada;
incentivar a participação do grupo e utilizar o conhecimento do grupo para o produto ou processo;
usar uma forma ordenada e de fácil leitura para representar as relações causa-e-efeito;
indicar as possíveis causas de variação num processo;
identificar as áreas onde se deve coligir dados para estudo posterior.
A análise causa-e-efeito pode ser utilizada como um método de análise de causas raiz (ver secção B.12).
NP
EN 31010
2016

p. 62 de 99

B.17.3 Entradas
As entradas de uma análise causa-e-efeito poderão provir do conhecimento especializado e da experiência
dos participantes ou de um modelo previamente desenvolvido que tenha sido utilizado anteriormente.

B.17.4 Processo
A análise causa-e-efeito deverá ser realizada por uma equipa de especialistas conhecedores do problema a
resolver.
Os passos básicos de concretização de uma análise causa-e-efeito são os seguintes:
definir o efeito a ser analisado e colocá-lo numa caixa. O efeito pode ser positivo (um objetivo) ou
negativo (um problema), dependendo das circunstâncias;
determinar as principais categorias de causas representadas por caixas no diagrama em espinha de peixe.
Simbolicamente, para um problema de um sistema, as categorias podem ser pessoas, equipamentos, meio
ambiente, processos, etc. No entanto, estas são escolhidas em função do contexto particular;
preencher as causas possíveis para cada categoria principal com ramos e sub-ramos destinados a
descrever a relação entre elas;
questionar continuadamente "porquê?" ou "qual a causa?" para interligar as causas;
rever todos os ramos para verificar a consistência e abrangência e garantir que as causas aplicam-se ao
efeito principal;
identificar as causas mais prováveis com base na opinião da equipa e na evidência disponível.
Os resultados são normalmente apresentados quer num diagrama em espinha de peixe ou de lshikawa, quer
num diagrama em árvore. O diagrama em espinha de peixe é estruturado pela separação das causas em
categorias principais (representadas pelas linhas que se iniciam no dorso da espinha) com ramos e sub-ramos
que descrevem causas mais específicas daquelas categorias.

Causa Causa Causa

categoria 5 categoria 3 categoria 1

Causa~

./"~/?~
~/~'
Subcausa ~ ·
EFEITO

Causa Causa
categoria 6 categoria 2
!EC2'JfiM19

Figura B.5 - Exemplo de diagrama de Ishikawa ou em espinha de peixe

A representação em árvore aparenta semelhança com uma árvore de falhas, embora ela por vezes seja
apresentada com a árvore desenvolvendo-se da esquerda para a direita em vez de cima para baixo. Contudo,
não se pode quantificar para obter uma probabilidade do evento primário já que as causas são fatores
contributivos possíveis e não falhas de probabilidade de ocorrência conhecida.
 NP
EN 31010
2016

p. 63 de 99

Causa

Causa
categoria 1

Causa

Causa
Causa
EFEITO
categoria 2
Causa

Causa
categoria 3
Causa
I EC 2067'1)1J

Figura B.6 - Exemplo de representação em árvore da análise causa-e~efeito

Os diagramas causa-e-efeito são geralmente usados qualitativamente. É possível atribuir a probabilidade 1 ao

problema e consignar probabilidades às causas genéricas, e subsequentemente às subcausas, em função do
grau de convicção quanto à sua relevância. No entanto, os fatores contributivos por vezes interagem e
contribuem para o efeito de forma complexa o que invalida a quantificação.

B.17.5 Saídas
As saídas de uma análise causa-e-efeito consistem num diagrama em espinha de peixe ou num diagrama em
árvore que mostra as causas possíveis e prováveis. Deve ser verificado e testado empiricamente antes das
recomendações serem formuladas.

B.17.6 Vantagens e limitações

As vantagens incluem:
o envolvimento de peritos na matéria trabalhando em ambiente de equipa;
uma análise estruturada;
a consideração de todas as hipóteses prováveis;
a ilustração dos resultados num grafismo de leitura fácil ;
a identificação de áreas onde são necessários dados suplementares;
a possibilidade de ser usada na identificação de fatores contributivos para os efeitos desejados bem como
indesejados. O enfoque positivo sobre uma questão pode incentivar um maior envolvimento e uma maior
participação.
As limitações incluem:
a equipa poderá não ter o conhecimento especializado necessário;
a necessidade de ser integrada numa análise de causas raiz para produzir recomendações, visto ser em si
um processo incompleto;
o facto de ser uma técnica gráfica de apoio ao brainstorming e não uma técnica de análise separada;
NP
EN 31010
2016

p. 64 de 99

a separação dos fatores de causalidade em categorias principais no início da análise implica que as
interações entre as categorias podem não ser consideradas adequadamente, como por exemplo onde a
falha do equipamento é causada por erro humano ou problemas humanos são causados por má conceção.

B.18 Análise por camadas de proteção (LOPA*»

B.18.1 Visão geral
A LOPA é um método semi-quantitativo para estimar os riscos associados a um evento ou cenário
indesejado. A LOPA analisa se existem medidas suficientes para controlar ou mitigar o risco.
É selecionado um par causa-consequência e são identificadas as camadas de proteção que previnem que a
causa conduza à consequência indesejada. É realizado um cálculo da ordem de grandeza para determinar se a
proteção é adequada para reduzir o risco a um nível tolerável.

B.18.2 Utilização
A LOPA poderá ser utilizada qualitativamente apenas para verificação das camadas de proteção entre um
perigo ou um evento causal e um resultado. Habitualmente poderá ser aplicada numa abordagem
semi-quantitativa de modo a conferir maior rigor aos processos de despistagem, por exemplo na sequência
das técnicas HAZOP ou PHA.
A LOPA fornece uma base para a esP.ecificação das camadas de proteção independentes (IPL **J) e dos níveis
de integridade de segurança (SIL **J) para os sistemas instrumentados, conforme descrito nas séries
IEC 61508 e na IEC 61511 , na determinação dos requisitos do nível de integridade de segurança (SIL) para
os sistemas de segurança instrumentados. A LOPA pode ser utilizada para ajudar a alocação eficaz de
recursos para redução do risco, através da análise da redução do risco produzida por cada camada de
proteção.

B.18.3 Entradas
As entradas para a LOPA incluem:
informação básica sobre riscos incluindo perigos, causas e consequências tais como os fornecidos por
umaPHA;
informação sobre os controlos existentes ou propostos;
frequências de eventos causais e probabilidades de falha das camadas de proteção, medidas de
consequência e uma definição do risco tolerável;
frequências de causas iniciadoras, probabilidades de falha das camadas de proteção, medidas de
consequência e uma definição do risco tolerável.

B.18.4 Processo
A LOPA é efetuada por uma equipa de peritos que aplica o seguinte procedimento:
identificar as causas iniciadoras de um resultado indesejado e pesquisar dados sobre as suas frequências e
consequências;

*) Acrónimo da designação original l ayers of Protection Analysis. mantido como referência nesta versão portuguesa (nota
nacional).
º l Acrónimo da designação orig inal Indep endent Protection Layers mantido como referência nesta versão portuguesa (nota
?.a,cional).
1 Acrónimo da designação original S afety Integrity l eveis mantido como referência nesta versão portug uesa (nota nacional).
 NP
EN 31010
2016

p. 65 de 99

selecionar um único par causa-consequência;

identificar e analisar quanto à respetiva eficácia as camadas de proteção que previnem que uma causa
conduza a uma consequência indesejada;
identificar as camadas de proteção independentes (IPL) (nem todos as camadas de proteção são IPL);
estimar a probabilidade de falha de cada IPL;
combinar a frequência da causa iniciadora com as probabilidades de falha de cada IPL e com as
probabilidades de existência de elementos que modifiquem as condições (um elemento que modifique as
condições é, por exemplo, a presença de uma pessoa passível de ser afetada) para se determinar a
frequência de ocorrência da consequência indesejada. São utilizadas ordens de grandeza para as
frequências e as probabilidades;
comparar o nível do risco calculado com os níveis de tolerância do risco par".! det~rminar a necessidade
de proteção adicional.
Um IPL é um dispositivo de um sistema ou uma ação capaz de prevenir um cenário que conduza à respetiva
consequência indesejada, independentemente do evento causal ou de qualquer outro nível de proteção
associado a esse cenário.
Os IPL incluem:
características de conceção;
dispositivos físicos de proteção;
sistemas de encravamento e de paragem;
alarmes críticos e intervenção manual;
proteção física pós-evento;
sistemas de resposta de emergência (as inspeções e os procedimentos não são considerados IPL).

B.18.5 Saídas
Devem ser fornecidas recomendações para controlos suplementares e respetiva eficácia na redução do risco.
A LOPA é uma das técnicas utilizadas para apreciação do nível de integridade de segurança sempre que
estejam envolvidos sistemas relacionados com segurança/instrumentados.

B.18.6 Vantagens e limitações

As vantagens incluem:
requer menos tempo e recursos do que uma análise por árvore de falhas ou uma apreciação do risco
totalmente quantitativa mas é mais rigorosa do que juízos qualitativos subjetivos;
ajuda a identificar e a focalizar recursos nas camadas de proteção mais críticas;
identifica operações, sistemas e processos cujas barreiras de proteção são insuficientes;
focaliza as consequências mais sérias.
As limitações incluem:
a LOPA focaliza-se num par causa-consequência e num cenário de cada vez. Interações complexas entre
riscos ou entre controlos não são abrangidas;
NP
EN 31010
2016

p. 66 de 99

os riscos quantificados poderão não ser tidos em conta para modos de falha comuns;
a LOPA não se aplica a cenários muito complexos com muitos pares causa-consequência ou quando
existe uma variedade de consequências que afetam diferentes partes interessadas.

B.18.7 Documentos de referência

IEC 61508 (todas Functional safety of electrical/electroniclprogrammable electronic safety-related
as partes) systems
IEC 61511 Functional safety - Safety instrumented systems for the process industry sector

B.19 Análise em árvore de decisão

B.19.1 Visão geral
Uma árvore de decisão representa as alternativas de decisão e os resultados de modo sequencial tendo em
conta resultados incertos. É semelhante a uma árvore de eventos no sentido em que começa a partir de um
evento inicial ou de uma decisão inicial, e modela diferentes caminhos e resultados como um resultado de
eventos que podem ocorre~ e as diferentes decisões que podem ser tomadas.

B.19.2 Utilização
Uma árvore de decisão é usada na gestão do risco de projetos e em outras circunstâncias para ajudar a
selecionar o melhor curso de ação em casos de incerteza. A visualização gráfica também pode ajudar a
comunicar as razões das decisões.

B.19.3 Entradas
Um plano de projeto com planos de decisão. Informação sobre os possíveis resultados das decisões e em
eventos fortuitos que podem afetar decisões.

B.19.4 Processo
Uma árvore de decisão começa com uma decisão inicial, por exemplo, para prosseguir com o projeto A em
vez do projeto B. Como os dois projetos hipotéticos prosseguem, diferentes eventos irão ocorrer e diferentes
decisões previsíveis terão de ser tomadas. Estes são representados em forma de árvore, semelhante a uma
árvore de eventos. A probabilidade dos eventos pode ser estimada em conjunto com o custo ou utilidade do
resultado final do caminho.
Informação relativa à decisão sobre o melhor caminho é, logicamente, aquela que produz o maior valor
esperado calculado como o produto de todas as probabilidades condicionais ao longo do caminho e o valor
do resultado.

B.19.5 Saídas
As saídas incluem:
uma análise lógica do risco mostrando as diferentes opções que poderão ser tomadas;
um cálculo do valor esperado para cada caminho possível.

B.19.6 Vantagens e limitações

As vantagens incluem:
fornecem uma representação gráfica clara dos detalhes de um problema de decisão;
 NP
EN 31010
2016

p. 67 de 99

permitem o cálculo do melhor caminho através de uma situação.

As limitações incluem:
árvores de decisão grandes podem tomar-se demasiado complexas para uma fácil comunicação;
poderá haver uma tendência a simplificar demasiado a situação, de modo a permitir a sua representação
como um diagrama de árvore.

B.20 Avaliação da fiabilidade humana (HRA*))

B.20.1 Visão geral
A avaliação da fiabilidade humana (HRA) trata do impacto dos seres humanos no desempenho do sistema e
pode ser utilizada para avaliar as influências do erro humano no sistema.
Muitos processos têm potencial para o erro humano, especialmente quando o tempo disponível para o
operador tomar decisões é curto. A probabilidade dos problemas se desenvolverem o suficiente para se
tomarem graves pode ser pequena. Por vezes, no entanto, a ação humana será a única defesa para evitar que
uma falha inicial evolua para um acidente.
A importância da HRA tem sido ilustrada por vários acidentes em que erros humanos críticos contribuíram
para uma sequência catastrófica de eventos Estes acidentes constituem avisos contra as apreciações do risco
que incidem exciusivamente no hardware e no software de um sistema. Eles ilustram os perigos de se
ignorar a possibilidade da contribuição do erro humano. Além disso, as HRA são úteis para realçar os erros
que podem impedir a produtividade e para revelar os modos pelos quais esses erros e outras falhas (hardware
e software) podem ser "reparados" pelos operadores humanos e pelo pessoal da manutenção.

B.20.2 Utilização
A HRA pode ser utilizada qualitativa ou quantitativamente. Qualitativamente, é utilizada para identificar o
potencial para o erro humano e as suas causas de modo a diminuir a probabilidade do erro. A HRA
quantitativa é utilizada para fornecer dados sobre falhas humanas para a FTA ou para as outras técnicas.

B.20.3 Entradas
As entradas para a HRA incluem:
informações para definir as tarefas que as pessoas deverão realizar;
experiência dos tipos de erros que ocorrem na prática e do potencial para o erro;
conhecimentos especializados sobre o erro humano e a sua quantificação.

B.20.4 Processo
O processo da HRA é descrito de seguida:
Definição do problema, quais os tipos de envolvimentos humanos que devem ser
investigados/avaliados?
Análise das tarefas, como será executada a tarefa e que tipo de ajudas serão necessárias para apoiar o
desempenho?

*)Acrónimo da designação original "Human Reliability Assessment", mantido como referência nesta versão portuguesa (nota
nacional).
NP
EN 31010
2016

p. 68 de 99

Análise do erro humano, como pode o desempenho da tarefa falhar: que erros podem ocorrer e como
podem ser reparados?
Representação, como podem estes erros ou falhas do desempenho das tarefas ser integrados com outros
eventos de hardware, software e ambientais para permitir o cálculo das probabilidades da falha global do
sistema?
Despistagem, existem quaisquer erros ou tarefas que não requerem uma quantificação detalhada?
Quantificação, quão prováveis são os erros individuais e as falhas das tarefas?
Apreciação do impacto, que erros ou tarefas são mais importantes, ou seja, quais os que têm a maior
contribuição para a fiabilidade ou para o risco?
Redução de erros, como pode ser alcançada uma maior fiabilidade humana?
Documentação, que detalhes da HRA necessitam ser documentados?
Na prática, o processo da HRA prossegue passo a passo, embora, por vezes, com partes (p. ex. análise das
tarefas e identificação dos erros) a prosseguir em paralelo.

B.20.5 Saídas
As saídas incluem:
uma lista de erros que poderão ocorrer e os métodos pelos quais podem ser reduzidos - de preferência
pela reconcepção do sistema;
modos de erro, causas e consequências dos tipos de erro;
uma apreciação qualitativa ou quantitativa do risco decorrente dos erros.

B.20.6 Vantagens e limitações

As vantagens da HRA incluem:
a HRA fornece um mecanismo formal para incluir o erro humano na consideração dos riscos associados
a sistemas em que os seres humanos desempenham frequentemente um papel importante;
a consideração formal dos modos de falha humana e dos seus mecanismos podem ajudar a reduzir a
probabilidade da falha devida ao erro.
As limitações incluem:
a complexidade e a variabilidade dos seres humanos, que tomam difícil definir os modos de falha simples
e as suas probabilidades;
muitas atividades dos seres humanos não têm um modo simples de passa/não passa. A HRA tem
dificuldade em lidar com falhas parciais ou falhas associadas à qualidade ou a más tomadas de decisão.
 NP
EN 31010
2016

p. 69 de 99

Definição

Aná lise das tarefàs

Análise do erro
hum ano

Rep resentação da
prevenção do erro
Fatores influeociérlores do
desempenho e das causas
do erro dos mecani smos

Erro s insignificantes
não sujeitos a estudos Despistagem Sim
suplementares

Redução do erro

Ap reciação do
impac to

Não

Sun

DocumcntaçOO

IEC2068 /09

Figura B.7 - Exemplo da avaliação da fiabilidade humana

B.21 Análise de laço

B.21.1 Visão geral
A análise de laço é um modo esquemático simples de descrever e analisar os caminhos de um risco, desde as
causas às consequências. Pode ser considerada como a combinação (representado pelo nó do laço) do
pensamento de uma árvore de falhas, utilizada na análise da causa de um evento, com uma árvore de eventos,
utilizada na análise das consequências. Contudo, o foco do laço está nas barreiras entre as causas e o risco, e
entre o risco e as consequências. Os diagramas de laço podem ser construídos a partir de árvores de falhas e
de eventos, mas geralmente são desenhados diretamente mediante uma sessão de brainstorming.
NP
EN 31010
2016

p. 70 de 99

B.21.2 Utilização
A análise de laço é utilizada para se visualizar um risco mostrando uma gama de possíveis causas e
consequências. É utilizado quando a situação não justifica a complexidade de uma análise de árvore de falhas
completa ou quando a focalização está mais em assegurar que existe uma barreira ou controlo para cada
caminho de falha. É útil quando há caminhos claros e independentes que conduzem à falha.
A análise de laço é com frequência, mais fácil de compreender do que as árvores de falhas ou de eventos,
podendo ser assim uma ferramenta de comunicação útil quando a análise é conseguida com a utilização de
técnicas mais complexas.

B.21.3 Entradas
É necessária uma compreensão da informação sobre as causas e consequências de um risco e das barreiras e
controlos que o poderão prevenir, mitigar ou estimular.

B.21.4 Processo
A análise de laço é desenhada de seguida:
a) um determinado risco é identificado para análise e é representado como o nó central do laço;
b) as causas do evento são listadas tendo em consideração as fontes do risco (ou perigos num contexto de
segurança);
c) é identificado o mecanismo pelo qual a fonte do risco conduz ao evento crítico;
d) são desenhadas linhas entre cada causa e o evento formando o lado esquerdo do laço. Os fatores que
possam conduzir a uma intensificação podem ser identificados e incluídos no diagrama;
e) as barreiras que possam prevenir cada causa de conduzir a consequências indesejáveis podem ser
representadas como barras verticais cruzando a linha. Também podem ser representadas barreiras contra
a incrementação quando existirem fatores que a possam causar. A abordagem pode ser usada para
consequências positivas em que as barras refletem "controlos" que estimulam a geração do evento;
f) no lado direito do laço as diferentes consequências potenciais do risco são identificadas e são
desenhadas linhas irradiando do evento do risco para cada consequência potencial;
g) as barreiras para as consequências são representadas como barras cruzando as linhas radiais. A
abordagem pode ser utilizada para consequências positivas em que as barras refletem "controlos" que
suportam a geração de consequências;
h) as funções de gestão que suportam os controlos (tais como formação e inspeção) podem ser mostradas
sob o laço e ligadas ao respetivo controlo.
Pode ser possível algum nível de quantificação de um diagrama de análise de laço quando os caminhos são
independentes, a probabilidade de uma consequência ou resultado particular é conhecida e pode ser estimado
um valor para a eficácia de um controlo. Contudo, em muitas situações, os caminhos e barreiras não são
independentes e os controlos poderão ser procedimentais e em consequência a sua eficácia pouco clara. A
quantificação é frequentemente levada a cabo de forma mais apropriada utilizando a FTA e a ETA.

B.21.5 Saídas
A saída é um simples diagrama que mostra os principais caminhos do risco e as barreiras existentes para
prevenir ou mitigar as consequências indesejáveis ou estimular e promover as consequências desejáveis.
 NP
EN 31010
2016

p. 71de99

Fontes de risco

Consequência 1
Causa Controlos de Intensificação

Consequência 2

Causa 2
Connquincia 3

Controlos de Prevenção Controlos de Mlticaçio e

flecupe raçio

IEC 2116Y/119

Figura B.8 - Exemplo de um diagrama de laço para consequências indesejáveis

B.21.6 Vantagens e limitações

Vantagens da análise de laço:
é simples de entender e dá uma representação gráfica clara do problema;
focaliza a atenção nos controlos que é suposto existirem tanto para a prevenção como para a mitigação e
na sua eficácia;
pode ser utilizado para consequências desejáveis;
a sua utilização não necessita de um elevado nível de conhecimento especializado.
As limitações incluem:
não pode representar múltiplas causas a ocorrer simultaneamente como causa das consequências (isto é,
onde existam portas ANO numa árvore de falhas representando o lado esquerdo do laço);
pode simplificar demasiadamente situações complexas, em particular quando se tenta uma quantificação.

B.22 Manutenção baseada na fiabilidade

B.22.1 Visão geral
A manutenção baseada na fiabilidade (RCM*)) é um método para identificar as políticas que deverão ser
implementadas para gerir as falhas com vista a, de modo eficiente e eficaz, atingir-se a segurança, a
disponibilidade e a economia requeridas pela operação, para todos os tipos de equipamento.
A RCM é hoje uma metodologia provada e aceite, utilizada numa larga variedade de indústrias.

*l Acrónimo da designação original "R eliabi/ity Centred Maintenance ", mantido como referência nesta versão portuguesa. Também
pode ser traduzido por manutenção centrada na fiabilidade. A sigla RCM é a sigla internacionalmente consagrada para designar
este tipo de manutenção (nota nacional).
NP
EN 31010
2016

p. 72 de 99

A RCM fornece um processo de decisão para identificar os requisitos aplicáveis e eficazes da manutenção
preventiva para equipamentos, de acordo com as consequências das falhas identificáveis de segurança,
operacionais e económicas e o mecanismo de degradação responsável por essas falhas. O resultado final do
processo é um juízo sobre a necessidade de se executar uma tarefa de manutenção ou outras ações tais como
mudanças operacionais. Os detalhes relativos à utilização e aplicação da RCM são fornecidos na
IEC 60300-3-11.

B.22.2 Utilização
Todas as tarefas são baseadas na segurança das pessoas e do ambiente e nas preocupações operacionais e
económicas. Contudo, deverá ser realçado que os critérios considerados dependerão da natureza do produto e
da sua aplicação. Por exemplo, um processo produtivo necessitará de ser economicamente viável e poderá
ser sensível a considerações ambientais exigentes, enquanto que um item de equipamento de defesa deverá
ser bem sucedido operacionalmente, mas poderá ter critérios de segurança, económicos e ambientais menos
exigentes. Pode-se conseguir um maior benefício focando a análise nas falhas que terão sérios efeitos, na
segurança, no ambiente, na economia e na operação.
A RCM é utilizada para assegurar a realização de uma manutenção aplicável e eficaz e é geralmente aplicada
durante as fases de conceção e de desenvolvimento e posteriormente implementada durante a operação e a
manutenção.

B.22.3 Entradas
A aplicação bem-sucedida da RCM necessita de um bom entendimento do equipamento e da estrutura, do
ambiente operacional e dos sistemas, subsistemas e itens do equipamento associados, conjuntamente com as
possíveis falhas e consequências dessas falhas.

B.22.4 Processo
Os passos elementares de um programa de RCM são os seguintes:
iniciação e planeamento;
análise de falhas funcionais;
seleção de tarefas;
implementação;
melhoria contínua.
A RCM é baseada no risco dado que segue os passos elementares da apreciação do risco. O tipo de
apreciação do risco é similar à técnica FMECA (análise dos modos de falha, efeitos e da sua criticidade) mas
requer uma abordagem específica da análise quando utilizada neste contexto.
A identificação do risco focaliza-se em situações em que as falhas potenciais poderão ser eliminadas ou
reduzidas em frequência e/ou consequência levando-se a cabo tarefas de manutenção. É realizada pela
identificação das funções e normas de desempenho requeridas, assim como as falhas de equipamentos e
componentes que podem interromper essas funções.
A análise do risco consiste em estimar a frequência de cada falha sem efetuar a manutenção. As
consequências são estabelecidas pela definição dos efeitos das falhas. Uma matriz do risco que combina
frequência e consequências de falha permite o estabelecimento de categorias por níveis do risco.
A avaliação do risco é então realizada selecionando a política de gestão de falha apropriada para cada modo
de falha.
 NP
EN 31010
2016

p. 73 de 99

O processo RCM completo é extensivamente documentado para referência futura e revisão. A compilação de
dados relativos às falhas e à manutenção associada permite a monitorização dos resultados e a
implementação de melhorias.

B.22.5 Saídas
A RCM fornece uma definição das tarefas de manutenção tais como monitorização de condição, rev1sao
programada, substituição programada, deteção de falhas ou manutenção não preventiva. Outras possíveis
ações que podem resultar da análise poderão incluir a revisão da conceção, alterações dos procedimentos de
operação ou de manutenção ou formação adicional. Os intervalos entre tarefas e os recursos requeridos são
então identificados.

B.22.6 Documentos de referência

IEC 60300-3-11 Dependability management - Part 3-11: Application guide - Reliability. centred
maintenance

B.23 Análise de condições ocultas (SA *» e análise de circuitos ocultos (SCA **))
B.23.1 Visão geral
A análise de condições ocultas (SA) é uma metodologia para a identificação de erros de conceção. Uma
condição oculta é uma condição latente de hardware, software ou integrada que pode causar a ocorrência de
um evento indesejado ou inibir um evento desejado, não sendo causado pela falha de um componente. Estas
condições são caracterizadas pela sua natureza aleatória e capacidade de escapar à deteção durante os mais
rigorosos ensaios normalizados de sistemas. As condições ocultas podem causar uma operação inadequada,
perda de disponibilidade do sistema, atrasos em programas ou mesmo morte ou ferimentos de pessoas.

B 23.2 Utilização
A análise de circuitos ocultos (SCA) foi desenvolvida no final dos anos 60 para a NASA a fim de verificar a
integridade e funcionalidade dos seus projetos. Serviu como uma ferramenta útil para a descoberta de
caminhos involuntários em circuitos elétricos e auxiliou no descortinar de soluções para isolar cada função.
Contudo, com o avanço da tecnologia, as ferramentas para a análise de circuitos ocultos também avançaram .
A análise de condições ocultas inclui e excede em muito a abrangência da análise de circuitos ocultos. Pode
localizar problemas tanto em hardware como em software recorrendo a qualquer tecnologia. As ferramentas
de análise de condições ocultas podem integrar diversas análises, tais como árvores de falhas, análises de
modos e efeitos de falhas (FMEA), estimativas de fiabilidade, etc. numa única análise, economizando tempo
e custos de projeto.

B.23.3 Entradas
A análise de condições ocultas é uma ferramenta única do processo de projeto na medida em que utiliza
diferentes ferramentas (rede de árvores, florestas, e pistas ou questões para auxiliar o analista a identificar as
condições ocultas) para encontrar um tipo específico de problema. As redes de árvores e florestas são
agrupamentos topológicos do sistema real. Cada rede em árvore representa uma subfunção e mostra todas as
entradas que poderão afetar a saída da subfunção. As florestas são construídas combinando as redes de
árvores que contribuem para uma saída do sistema específico. Uma floresta apropriada mostra uma saída do

:: Acrónimo da designação original" Sneak Analysis " (nota nacional).

) Acrónimo da designação original '"Sneak Circuit Anazvsis " (n ota nacional).
NP
EN 31010
2016

p. 74 de 99

sistema em termos de todas as suas entradas relacionadas. Estas, juntamente com outras, tomam-se a entrada
para a análise.

B.23.4 Processo
As etapas básicas na realização de uma análise de condições ocultas são:
preparação dos dados;
construção da rede de árvores;
avaliação dos caminhos da rede;
recomendações finais e relatório.

B.23.5 Saídas
Um circuito oculto é um caminho ou fluxo lógico inesperado dentro de um sistema que, sob certas
condições, pode iniciar uma função indesejada ou inibir uma função desejada. O caminho pode consistir em
hardware, software, ações do operador ou combinações destes elementos. Os circuitos ocultos não são o
resultado de uma falha de hardware, mas sim condições latentes, concebidas inadvertidamente no sistema,
codificadas no programa de software ou provocadas por erro humano. Há quatro categorias de circuitos
ocultos:
a) caminhos ocultos: caminhos inesperados ao longo dos quais a corrente, energia ou sequência lógica flui
numa direção não pretendida;
b) temporização oculta: eventos que ocorrem numa sequência inesperada ou incompatível;
c) indicações ocultas: exibição de informações ambíguas ou falsas das condições operacionais do sistema
que poderão fazer com que o sistema ou um operador tomem uma ação indesejada;
d) marcas ocultas: marcação incorreta ou imprecisa das funções do sistema, por exemplo, entradas dos
sistemas, controlos ou erros na disponibilização da informação, que poderão levar o operador a aplicar
um estímulo incorreto ao sistema.

B.23.6 Vantagens e limitações

As vantagens incluem:
a análise de condições ocultas é boa para a identificação de erros de projeto;
funciona melhor quando aplicada em conjunto com a técnica HAZOP;
é especialmente indicada para tratar de sistemas que tenham estados múltiplos tais como instalações em
regime não contínuo.
As limitações poderão incluir:
o processo varia dependendo se é aplicado a circuitos elétricos, instalações fabris, equipamentos
mecânicos ou software;
o método depende do estabelecimento correto da rede de árvores.
 NP
EN 31010
2016

p. 75 de 99

B.24 Análise de Markov

B.24.1 Visão geral
A análise de Markov é utilizada quando o estado futuro de um sistema depende apenas do seu estado atual. A
análise de Markov é comummente utilizada para a análise de sistemas reparáveis que podem existir em
vários estados e em que a utilização de uma análise de blocos de fiabilidade seria inapropriada para analisar
o sistema adequadamente. O método pode ser estendido a sistemas mais complexos, empregando processos
de Markov de ordem superior e só está limitado pelo modelo, pelos cálculos matemáticos e pelos
pressupostos.
O processo da análise de Markov é uma técnica quantitativa que pode ser discreta (utilizando probabilidades
de mudança entre estados) ou contínua (utilizando taxas de mudança entre estados).
Embora uma análise de Markov possa ser realizada manualmente, a natureza das técnicas presta-se à
utilizaÇão de programas informáticos, muitos dos quais estão disponíveis em mercado.

B.24.2 Utilização
A técnica da análise de Markov pode ser utilizada em várias estruturas do sistema, com ou sem reparação,
incluindo:
componentes independentes em paralelo;
componentes independentes em série;
sistema de partilha de carga;
sistema em espera*1, incluindo o caso em que pode ocorrer a falha da mudança;
sistemas degradados.
A técnica da análise de Markov também pode ser utilizada para calcular a disponibilidade, tendo-se em conta
inclusivamente os componentes de reserva para reparações.

B.24.3 Entradas
As entradas essenciais para uma análise de Markov são as seguintes:
uma lista dos vários estados em que o sistema, subsistema ou componente se pode encontrar (p. ex.
totalmente operacional, parcialmente operacional (ou seja, um estado degradado), estado de falha, etc.);
uma compreensão clara das possíveis transições que são necessárias modelar. Por exemplo, a falha de um
pneu de um automóvel precisa considerar o estado da roda sobresselente e, portanto, a frequência de
inspeção;
a taxa de variação de um estado para outro, geralmente representada quer por uma probabilidade de
mudança entre dois estados para eventos discretos, quer por uma taxa de falha(),) e/ou taxa de reparação
(µ)para eventos contínuos.

B.24.4 Processo
A técnica da análise de Markov desenvolve-se em tomo do conceito de "estado", p. ex. "disponível" e "em
falha", e a transição entre estes dois estados ao longo do tempo com base numa probabilidade constante de

*) '"stand-by" no original (nota nacional).

NP
EN 31010
2016

p . 76 de 99

mudança. É utilizada uma matriz de probabilidades de transição estocástica para descrever a transição entre
cada um dos estados para permitir o cálculo das várias saídas.
Para ilustrar a técnica da análise de Markov, considere um sistema complexo que pode estar apenas em três
estados: em funcionamento, em funcionamento degradado e em falha, designados como estados Sl , S2, S3,
respetivamente. Num dado dia o sistema encontra-se num destes três estados. O Quadro B.3 mostra a
probabilidade de, no dia seguinte, o sistema estar no estado Si, onde i pode ser 1, 2 ou 3.
Quadro B.2 - Matriz de Markov
Estado hoje

SI S2 S3
SI 0,95 0,3 0,2
Estado amanhã S2 0,04 0,65 0,6
· S3 0,01 0,05 0,2

Esta matriz de probabilidades é chamada uma matriz de Markov, ou matriz de transição. Note-se que a soma
para cada uma das colunas é 1, dado que é a soma de todos os possíveis resultados em cada caso. O sistema
também pode ser representado por um diagrama de Markov, no qual os· círculos representam os estados e as
setas representam as transições, conjuntamente com as probabilidades associadas.

0,95

/EC 20701119

Figura B.9 - Exemplo do diagrama de Markov do sistema

As setas a partir de um estado para si próprio normalmente não são mostradas, mas nestes exemplos são
mostradas para sermos exaustivos.
Sendo Pi a probabilidade de o sistema se encontrar no estado i para i = 1, 2, 3, então as equações simultâneas
a serem resolvidas são:
Pl = 0,95 Pl + 0,30 P2 + 0,20 P3 (B.1)
P2 = 0,04 Pl + 0,65 P2 + 0,60 P3 (B.2)
P3 = 0,01 PI + 0,05 P2 + 0,20 P3 (B.3)
Estas três equações não são independentes e não vão determinar as três incógnitas. Deverá ser utilizada a
equação seguinte e eliminada uma das equações acima.
1 = Pl + P2 + P3 (B.4)
 NP
EN 31010
2016

p . 77 de 99

A solução é 0,85 , O, 13, e 0,02, respetivamente para os estados 1, 2, 3. O sistema está a funcionar plenamente
85 % do tempo, degradado em 13 % do tempo e em falha em 2 % do tempo.
Considere-se dois itens operando em paralelo sendo requerido que qualquer deles esteja operacional para o
sistema funcionar. Os itens podem estar operacionais ou em falha e a disponibilidade do sistema depende do
estado dos itens.
Os estados podem ser considerados :
Estado 1 Ambos os itens estão a funcionar corretamente;
Estado 2 Um item falhou e está em reparação, o outro está a funcionar;
Estado 3 Ambos os itens falharam e um está em reparação.
Sendo a taxa de falha contínua para cada item }, e a taxa de reparação µ , então o diagrama de transição de
estados é:

-(2k)C0
2À À
53 <))-(µ)
µ µ

-(À+µ)
! EC20 7 /tfJ9

Figura B.10- Exemplo de diagrama de transição de estado

Note-se que a transição do estado 1 para o estado 2 é 2À, dado que a falha de qualquer item dos dois
conduzirá o sistema para o estado 2.
Seja Pi(t) a probabilidade de se encontrar no estado inicial i no momento t; e
Seja Pi(t + ót) a probabilidade de se encontrar no estado final no momento t + ót
A matriz da probabilidade de transição vem:
Quadro B.3 - Matriz de Markov final
Estado inicial
PI (t) P2(t) P3(t)
Pl(t + õt) -2À µ o
Estado final P2(1 + õt) 2À - (À + µ) µ
P3(1 + õt) o À -µ

Vale a pena notar que os valores zero ocorrem, uma vez que não é possível passar do estado 1 para o estado
3 ou do estado 3 para o estado 1. Além disso, a soma das colunas é zero ao especificar as taxas.
As equações simultâneas resultam em:
dPl/dt = -2À Pl(t) + µ P2(t) (B.5)
dP2/dt = 2À Pl(t) + - (À+µ) P2(t) + µ P3(t) (B.6)
dP3 /dt =À P2(t) + - µ P3(t) (B.7)
Para simplificar, é assumido que a disponibilidade requerida é a disponibilidade do estado estacionário.
NP
EN 31010
2016

p . 78 de 99

Quando Jt tende para infinito, dPi/dt tenderá para zero e as equações tornam-se mais fáceis de resolver. A
equação adicional, como apresentado na Equação (B.4) acima, também deverá ser utilizada:
Agora, a equação A(t) = Pl(t) + P2(t) pode ser expressa como:
A = Pl +P2
Daí A= (µ 2 + 2J.,,µ) I (µ 2 + 2À.µ + À2 )

B.24.5 Saídas
A saída de uma análise de Markov é o conjunto das diversas probabilidades de um sistema se encontrar nos
vários estados e, portanto, uma estimativa das probabilidades de falha e/ou disponibilidade, sendo um dos
componentes essenciais de um sistema.

B.24.6 Vantagens e limitações

As vantagens de uma análise de Markov incluem:
- a aptidão para calcular as probabilidades para sistemas que apresentam capacidade de reparação e
múltiplos estados degradados.
As limitações de uma análise Markov incluem:
o pressuposto de probabilidades constantes de mudança de estado; quer para falhas, quer para reparações;
o pressuposto de que todos os eventos são estatisticamente independentes dado que os estados futuros
são independentes de todos os estados passados, exceto para o estado imediatamente anterior;
a necessidade de conhecer todas as probabilidades de mudança de estado;
o conhecimento de operações com matrizes;
a dificuldade de comunicar os resultados ao pessoal não técnico.

B.24. 7 Comparações
A análise de Markov é semelhante a uma análise de rede de Petri por ser capaz de monitorar e observar os
estados do sistema, embora com algumas diferenças pois a rede de Petri pode existir em vários estados ao
mesmo tempo.

B.24.8 Documentos de referência

IEC 61078 Analysis techniques for dep endability - Reliability block diagram and Boolean methods
IEC 61165 Application ofMarkov techniques
ISO/IEC 15909 Software and systems engineering- High-level Petri nets
(todas as partes)

B.25 Simulação de Monte Cario

B.25.1 Visão geral
Muitos sistemas são demasiado complexos para que os efeitos da incerteza que os afetam possam ser
modelados usando técnicas analíticas, mas podem ser avaliados considerando as entradas como variáveis
aleatórias e executando um número N de cálculos (chamadas simulações) por amostragem das entradas, a
fim de obter N resultados possíveis para o resultado desejado.
 NP
EN 31010
2016

p. 79 de 99

Este método pode resolver situações complexas que seriam muito difíceis de compreender e resolver por um
método analítico. Os sistemas podem ser desenvolvidos utilizando folhas de cálculo e outras ferramentas
convencionais, mas atualmente estão disponíveis ferramentas mais sofisticadas para responder a requisitos
mais complexos, sendo agora muitas delas relativamente pouco onerosas. Quando a técnica foi inicialmente
desenvolvida, o número de iterações exigido para as simulações de Monte Cario tomava o processo lento e
demorado, mas os avanços dos computadores e dos desenvolvimentos teóricos, como a amostragem por
hipercubo-latino, tomaram o tempo de processamento quase insignificante para muitas das aplicações.

B.25.2 Utilização
A simulação de Monte Cario fornece um meio de avaliar o efeito da incerteza em sistemas, numa ampla
variedade de situações. É normalmente utilizada para avaliar a gama de resultados possíveis e a frequência
relativa de valores nesse intervalo, em relação a medidas quantitativas de um sistema, como o custo, duração,
produtividade, procura e medidas similares. A simulação de Monte Cario pode ser usada para dois fins
distintos:
propagação da incerteza em modelos analíticos convencionais;
cálculos probabilísticos quando as técnicas analíticas não funcionam.

B.25.3 Entradas
A entrada para uma simulação de Monte Cario é um bom modelo do sistema, informação sobre os tipos de
entradas, as fontes de incerteza a serem representadas e a saída desejada. Os dados de entrada com incerteza
são representados como variáveis aleatórias com distribuições que são mais ou menos dispersas de acordo
com o grau das incertezas. As distribuições uniforme, triangular, normal e log-normal são frequentemente
utilizadas para este fim.

B.25.4 Processo
O processo é descrito de seguida:
a) é definido um modelo ou algoritmo que representa, tão próximo quanto possível, o comportamento do
sistema a ser estudado;
b) o modelo é executado múltiplas vezes, usando números aleatórios, para produzir saídas do modelo
(simulações do sistema); quando a aplicação é utilizada para modelar os efeitos da incerteza, o modelo é
representado sob a forma de uma equação que estabelece a relação entre os parâmetros de entrada e uma
saída. Os valores selecionados para as entradas são obtidos de distribuições de probabilidade adequadas
que representam a natureza da incerteza nesses parâmetros;
c) em qualquer dos casos um computador executa o modelo múltiplas vezes (frequentemente até 1O 000
vezes) com entradas diferentes e gera múltiplas saídas. Estas podem ser tratadas usando estatística
convencional, para fornecer informação como valores médios, desvios padrão e intervalos de confiança.
Um exemplo de uma simulação é dado em baixo.
Consideremos o caso de dois elementos que funcionam em paralelo e apenas um é necessário para que o
sistema funcione. O primeiro elemento tem uma fiabilidade de 0,9 e o outro de 0,8 .
É possível construir uma folha de cálculo com as seguintes colunas.
NP
EN 31010
2016

p. 80 de 99

Quadro B.4 - Exemplo de simulação de Monte Cario

Item 1 Item 2

Número da Número Número

Funciona? Funciona? Sistema
simulação aleatório aleatório

1 0,577 243 SIM 0,059 355 SIM 1

2 0,746 909 SIM 0,311 324 SIM 1
3 0,541 728 SIM 0,919 765 NÃO 1
4 0,423 274 SIM 0,643 514 SIM 1
5 0,917 776 NÃO 0,539 349 SIM 1
6 0,994 043 NÃO 0,972 506 NÃO o
7 0,082 574 SIM 0,950 241 NÃO 1
8 0,661 418 SIM 0,919 868 NÃO 1
9 0,213 376 SIM 0,367 555 SIM 1
10 0,565 657 SIM 0,119 215 SIM 1

O gerador aleatório cria um número entre O e 1 que é usado para comparar com a probabilidade de cada item
para determinar se o sistema está operacional. Com apenas 1O corridas, não deve ser esperado que o
resultado de 0,9 seja um resultado exato. A abordagem habitual é desenvolver um calculador para comparar
o resultado total à medida que a simulação progride para se atingir o nível de exatidão desejado. Neste
exemplo foi obtido um resultado de 0,9799 após 20 000 iterações.
O modelo acima pode ser expandido de várias maneiras. Por exemplo:
expandindo o modelo em si (tal como considerar que o segundo item fica imediatamente operacional
apenas quando o primeiro item falha);
alterando a probabilidade de fixa para variável (um bom exemplo é a distribuição triangular), quando a
probabilidade não pode ser definida com exatidão;
- usando taxas de falha combinadas com o gerador aleatório, para obter um tempo de falha (exponencial,
Weibull ou outra distribuição adequada) e estabelecer tempos de reparação.
As aplicações incluem, entre outras coisas, a avaliação da incerteza em previsões financeiras, rentabilidade
de investimento, custo de projeto e previsões de programação, interrupções de processos de negócio e
necessidades de pessoal.
Quando há incerteza nos dados de entrada e, em consequência, nas saídas, as técnicas analíticas não são
capazes de fornecer resultados aplicáveis.

B.25.5 Saídas
A saída pode ser um valor único, como determinado no exemplo acima, um resultado expresso como uma
distribuição de probabilidade ou de frequências ou a identificação das funções principais no modelo que têm
o maior impacto na saída.
Em geral, uma simulação de Monte Cario será usada para avaliar quer a distribuição completa de resultados
que possam surgir quer as principais medidas a partir de uma distribuição, tais como:
- a probabilidade de ocorrência de um resultado definido;
 NP
EN 31010
2016

p. 81de99

o valor de um resultado em que os envolvidos no problema têm um certo nível de confiança de que não
será excedido um custo em que há menos de 1O % de possibilidade de ser excedido ou ultrapassada uma
duração que é 80 % certo que será excedida.
Uma análise das relações entre entradas e saídas pode lançar luz sobre a importância relativa dos fatores
envolvidos e identificar metas úteis para influenciar a incerteza no resultado.

B.25.6 Vantagens e limitações

Nas vantagens da análise de Monte Cario incluem-se:
o método pode, em princípio, acomodar qualquer distribuição de uma variável de entrada, incluindo
distribuições empíricas resultantes de observações de sistemas relacionados;
os modelos são relativamente simples de desenvolver e podem ser expandidos em caso de necessidade;
quaisquer influências ou relações que surjam na realidade podem ser representadas, incluindo efeitos
subtis, tais como dependências condicionais;
a análise de sensibilidade pode ser aplicada para identificar influências fortes e fracas ;
os modelos podem ser facilmente compreendidos dado que a relação entre as entradas e saídas é
transparente;
modelos comportamentais eficientes, tais como as Redes de Petri (futura IEC 62551 ), estão disponíveis e
provam ser muito eficientes para fins de simulação de Monte Cario;
fornece uma medida da exatidão de um resultado;
o software está disponível e é relativamente pouco oneroso.
As limitações são as seguintes:
a exatidão das soluções depende do número de simulações que podem ser efetuadas (esta limitação é
cada vez menos importante com o aumento da velocidade dos computadores);
depende de se ser capaz de representar as incertezas nos parâmetros com uma distribuição válida;
modelos extensos e complexos podem ser um desafio para os seus autores e tornar difícil o envolvimento
das partes interessadas no processo;
a técnica pode não ponderar adequadamente os eventos com consequência elevada/baixa probabilidade e,
portanto, não permitir que o apetite ao risco de uma organização seja refletido na análise.

B.25. 7 Documentos de referência

IEC 61649 Weibull analysis
IEC 62551 Analysis techniques for dependability - Petri net techniques 1l
ISO/IEC Guide 98-3 :2008 Uncertainty measurement - Part 3: Guide to the of uncertainty zn
measurement (GUM;1995)

I) Em consideração atualmente.
NP
EN 31010
2016

p. 82 de 99

B.26 Estatística bayesiana e redes de Bayes

B.26.l Visão geral
A estatística bayesiana é atribuída ao reverendo Thomas Bayes. A sua premissa é que qualquer informação já
conhecida (à priori) pode ser combinada com medição subsequente (à posteriori) para estabelecer uma
probabilidade global. A expressão geral do teorema de Bayes pode ser expresso como:
P (AIB) = {P(A)P(B IA)}/~P(B IE;)P(E;)
l

onde:
a probabilidade de X é designada por P(X)
a probabilidade de X na condição de que Y tenha ocorrido é designada por P(XJY); e
E; é o i~ésimo evento
Na sua forma mais simples reduz-se a P(AIB) = {P(A)P(BIA)}/P(B).
A estatística bayesiana difere da estatística clássica ao não pressupor que todos os parâmetros de distribuição
são fixos, assumindo que os parâmetros são variáv.e is aleatórias. Uma probabilidade bayesiana pode ser mais
facilmente compreendida se for considerada como o grau de convicção de uma pessoa num determinado
evento, em oposição à probabilidade clássica que é baseada em evidências físicas. Como a abordagem
bayesiana é baseada na interpretação subjetiva de probabilidade, ela proporciona um ponto de partida
imediato para o processo de tomada de decisão e o desenvolvimento de redes de Bayes (ou redes de
convicções, ou redes bayesianas).
As redes de Bayes usam um modelo gráfico para representar um conjunto de variáveis e as suas relações
probabilísticas. A rede é composta por nós que representam uma variável aleatória e setas que ligam um nó
pai a um nó filho (em que um nó pai é uma variável que influencia diretamente outra variável (nó filho)).

B.26.2 Utilização
Nos últimos anos, o uso da teoria e redes de Bayes difundiu-se muito, em parte devido à sua natureza
intuitiva e também pela disponibilidade de ferramentas de software de computação. As redes de Bayes têm
sido usadas numa vasta gama de domínios: diagnóstico médico, imagiologia, genética, reconhecimento de
voz, economia, exploração espacial e nos poderosos motores de busca usados atualmente na intemet. Elas
podem ser valiosas em qualquer área que implique a pesquisa em variáveis desconhecidas, através da
utilização de relações estruturais e dados. As redes de Bayes podem ser utilizadas para aprender relações
causais, para entender o domínio de um problema e para prever as consequências da intervenção.

B.26.3 Entradas
As entradas são similares às entradas de um modelo de Monte Cario. Para uma rede de Bayes, os exemplos
de passos a serem dados incluem o seguinte:
definir as variáveis do sistema;
definir relações causais entre variáveis;
especificar probabilidades condicionais e à priori;
adicionar evidência à rede;
rever as convicções;
deduzir convicções posteriores.
 NP
EN 31010
2016

p . 83 de 99

B.26.4 Processo
A teoria de Bayes pode ser aplicada de uma grande variedade de formas. Este exemplo irá considerar a
criação de um quadro de Bayes onde um teste médico é usado para determinar se o doente tem uma doença.
A convicção, antes de fazer o teste, é que 99 % da população não tem esta doença e 1 % tem a doença, isto é
a informação à priori. A exatidão do teste mostrou que se a pessoa tem a doença, o resultado do teste é
positivo em 98 % das vezes. Há também uma probabilidade de que se não tiver a doença, o resultado do teste
é positivo em 1O % das vezes. O quadro de Bayes fornece a informação seguinte:
Quadro B.5- Dados do quadro de Bayes
PRIORI PROBABILIDADE PRODUTO POSTERIORI
Tem doença 0,01 0,98 0,0098 0,0901
Não tem doença 0,99 0,10 0,0990 0,9099
SOMA 1 0,1088 1

Usando a regra de Bayes, o produto é determinado pela combinação da informação à priori e a

probabilidade. A informação à posteriori é determinada dividindo o valor do produto pelo total do produto.
A saída mostra que um resultado de teste positivo indica que a informação à priori tenha aumentado de 1 %
para 9 %. Mais importante, há uma forte probabilidade de que, mesmo com um teste positivo, seja
improvável ter a doença. Examinando a equação (0,01 x 0,98)/((0,01 x 0,98) + (0,99 x 0,1)), mostra que o
valor " não tem doença-resultado positivo" desempenha um papel importante nos valores posteriores.
Considere a seguinte rede de Bayes:
-
A

!) B

l ,r
D / e
IEC 2072/ 09

Figura B.11 - Exemplo de rede Bayes

Com as probabilidades condicionais à priori definidas nos Quadros seguintes e usando a notação em que S
indica positivo e N indica negativo, o positivo pode ser "ter a doença" como acima indicado, ou poderia ser
elevado e N poderia ser baixo.
Quadro B .6 - Probabilidades à priori dos nós A e B
P(A = S) P(A=N) P(B = S) P(B =N)
0,9 0,1 0,6 0,4
NP
EN 31010
2016

p. 84 de 99

Quadro B.7 - Probabilidades condicionadas do nó C pelos nós A e B

A B P(C = S) P(C =N)
s s 0,5 0,5
s N 0,9 0,1
N s 0,2 0,8
N N 0,7 0,3

Quadro B.8 - Probabilidades condicionadas do nó D pelos nós A e C

A e P(D = S) P(D = N)
s s 0,6 0,4
s N 1,0 0,0
N s 0,2 0,8
N N 0,6 0,4

Para determinar a probabilidade posterior de P(AID = N , C = S), é necessário calcular primeiro

P(A,B\D = N, C = S).
Usando a regra de Bayes, o valor P(D\A,C)P(C\A,B)P(A)P(B) é determinado como se apresenta abaixo e a
última coluna mostra as probabilidades normalizadas que somam 1, deduzido como no exemplo anterior
(resultado arredondado).
Quadro B.9 - Probabilidades à posteriori dos nós A e B pelos nós D e C
A B P(DIA,C)P(CjA,B)P(A)P(B) P(A,BID = N ,C = S)
s s 0,4 X 0,5 X 0,9 X 0,6 = 0,110 0,4
s N 0,4 X 0,9 X 0,9 X 0,4 = 0,130 0,48
N s 0,8 X 0,2 X 0,1 X 0,6 = 0,010 0,04
N N 0,8 X 0,7 X 0,1 X 0,4 = 0,022 0,08

Para deduzir P(A\D = N, C = S), todos os valores de B precisam de ser somados.

Quadro B.1 O- Probabilidades à posteriori para nó A pelos nós D e C
P(A = SID = N, C = S) P(A=NJD =N, C = S)
0,88 0,12

Isto mostra que a informação à priori para P(A = N) aumentou de O, 1 para um posterior de O, 12, o que é
apenas uma pequena alteração. Por outro lado, P(B = N\D = N , C = S) fo i alterado de 0,4 para 0,56, o que é
uma alteração mais significativa.

B.26.5 Saídas
A abordagem bayesiana pode ser aplicada no mesmo âmbito que a estatística clássica, com uma grande
variedade de saídas, por exemplo, a análise de dados para deduzir estimadores pontuais e intervalos de
confiança. A sua recente popularidade está relacionada com as redes de Bayes para deduzir as distribuições à
posteriori. A saída gráfica proporciona um modelo facilmente compreendido e os dados podem ser
facilmente modificados para considerar correlações e sensibilidade dos parâmetros.
 NP
EN 31010
2016

p. 85 de 99

B.26.6 Vantagens e limitações

Vantagens:
- tudo o que é necessário é o conhecimento à priori;
- afirmações inferenciais são fáceis de entender;
- apenas é necessária a regra de Bayes;
- proporciona um mecanismo para a utilização de convicções subjetivas num problema.
Limitações:
- em sistemas complexos é problemático definir todas as interações com redes de Bayes;
- a abordagem bayesiana necessita do conhecimento de uma multitude de probabilidades condicionais que
são geralmente fornecidas por especialistas; as ferramentas de software só podem dar respostas com base
nestes pressupostos.
NP
EN 31010
2016

p. 86 de 99

B.27 Curvas FN
B.27.1 Visão geral

O risco não pode ser

justificado exceto em
Região inaceitável
circunstancias
extraordinárias

Tolerável unicamente se a
111d ução do risco é
impraticável ou se o respetivo
custo é grosseiramente
desproporcionado
relativamente à melhoria
obtida

Zona ALARP ou de
Tolerabilidade (o Risco
é tomado apenas se for
negado o benefí:io)

Tolerável se o custo da
redução excedera
melhoria obtida

Zona mnplamente Necessário para manter a

aceitável garantia que o risco
(Nenhuma necessidade de permanece a este nível
trabalho detalhado para
demonstrar ALARP)

Risco
negligenciável /EC2073/00

Figura B.12- O conceito ALARP*l

As curvas FN são uma representação gráfica da probabilidade de eventos que causam um nível especificado
de danos a uma população específica. Na maioria das vezes referem-se à frequência da ocorrência de um
determinado número de baixas.

*J De acordo com o acrónimo de '"As Low A s R easonably Practicable " (nota nacional).
 NP
EN 31010
2016

p. 87 de 99

As curvas FN ilustram a frequência cumulativa (F) a que N ou mais membros da população serão afetados.
Os valores elevados de N que poderão ocorrer com uma frequência Falta são de grande interesse, porque
poderão ser social e politicamente inaceitáveis.

B.2 7.2 Utilização

As curvas FN são uma forma de representar as saídas da análise do risco. Muitos eventos apresentam elevada
probabilidade com consequência baixa e baixa probabilidade com consequência elevada. As curvas FN
fornecem uma representação do nível do risco como uma linha que descreve esta gama, em vez de um único
ponto representando um par consequência-probabilidade.
As curvas FN poderão ser utilizadas para comparar os riscos, p. ex. para comparar os riscos previstos com
critérios definidos como uma curva FN, ou para comparar os riscos previstos com dados históricos de
incidentes, ou com os critérios de decisão (também expressos como uma curva F/N).
As curvas FN podem ser utilizadas tanto para a conceção de sistemas ou de processos, ·como para a gestão
dos sistemas existentes.

B.27.3 Entradas
As entradas são uma das seguintes:
conjuntos dos pares consequência-probabilidade durante um dado período de tempo;
saída de dados de uma análise quantitativa do risco que fornece as probabilidades estimadas dos números
especificados de mortes;
dados de registos históricos e de uma análise quantitativa do risco.

B.27.4 Processo
Os dados disponíveis são marcados num gráfico com o número de baixas (correspondendo a um nível
específico do dano, ou seja, a morte) em abcissa e com a probabilidade de N ou mais baixas em ordenada.
Devido à grande gama de valores, ambos os eixos são representados, normalmente, em escalas logarítmicas.
As curvas FN poderão ser construídas estatisticamente usando números "reais" de anteriores perdas ou
podem ser calculados a partir das estimativas do modelo de simulação. Os dados utilizados e os pressupostos
poderão significar que estes dois tipos de curvas FN fornecem informações diferentes e deverão ser
utilizados separadamente e para diferentes fins . Em geral, as curvas FN teóricas são mais úteis para a
conceção de sistemas, e as curvas FN estatísticas são mais úteis para a gestão de um sistema existente
específico.
Qualquer das abordagens de derivação pode ser muito consumidora de tempo, pelo que não é incomum
utilizar um misto daquelas. Neste caso, os dados empíricos constituem pontos fixos de números de mortes,
conhecidos com precisão, que ocorreram em acidentes/incidente conhecidos num dado período de tempo e a
análise quantitativa do risco fornece outros pontos por extrapolação ou por interpolação.
A necessidade de considerar os acidentes de baixa frequência, e consequência elevada poderá requerer uma
análise de longos períodos de tempo para reunir dados suficientes para uma análise adequada. Isto, por sua
vez, poderá tomar os dados disponíveis suspeitos se acontecerem mudanças nos eventos iniciadores ao longo
do tempo.

B.27.5 Saídas
Uma linha que representa o risco em toda uma gama de valores de consequência que podem ser comparados
com os critérios apropriados para a população em estudo e o nível especificado do dano.
NP
EN 31010
2016

p. 88 de 99

B.27.6 Vantagens e limitações

As curvas FN são uma forma útil de apresentar informações relativas aos riscos que podem ser utilizadas por
gestores e projetistas de sistemas para ajudar a tomar decisões sobre os níveis do risco e da segurança.
Constituem uma forma útil de apresentar as informações relativas quer à frequência quer à consequência,
num formato acessível.
As curvas FN são apropriadas para a comparação dos riscos de situações semelhantes em que estão
disponíveis dados suficientes. As curvas FN não deverão ser utilizadas para comparar riscos de diferentes
tipos, com características variáveis em circunstâncias em que a quantidade e qualidade dos dados variam.
Uma limitação das curvas FN é que não dizem nada sobre a gama dos efeitos ou dos resultados a não ser o
número de pessoas afetadas, e não há maneira de identificar as diferentes formas pelas quais o nível do dano
pode ter ocorrido. Elas representam um tipo de consequência particular, normalmente danos para as pessoas.
As curvas FN não são um método de apreciação do risco, mas uma forma de apresentar os resultados da
apreciação do risco.
Trata-se de um método bem estabelecido para a apresentação dos resultados da apreciação do risco, mas
exigem uma preparação por analistas especializados e são muitas vezes difíceis de interpretar e avaliar por
não especialistas.

B.28 Índices do risco

B.28.1 Visão geral
Um índice do risco é uma medida semi-quantitativa do risco que é uma estimativa deduzida utilizando uma
abordagem de pontuação usando escalas ordinais. Os índices do risco podem ser utilizados para classificar
uma série de riscos, utilizando critérios semelhantes para que possam ser comparados. As pontuações são
aplicadas a cada componente do risco, p. ex. as características dos contaminantes (fontes), a gama de
possíveis vias de exposição e o impacto nos recetores.
Os índices do risco são, essencialmente, uma abordagem qualitativa para a classificação e a comparação dos
riscos. Os números são utilizados simplesmente para permitir a manipulação. Em muitos casos em que o
modelo ou o sistema subjacentes não são bem conhecidos ou não se prestam à sua representação, é melhor
utilizar uma abordagem claramente mais qualitativa.

B.28.2 Utilização
Os índices podem ser utilizados para classificar diferentes riscos associados a uma atividade, se o sistema é
bem compreendido. Eles permitem a integração de uma gama de fatores que têm um impacto sobre o nível
do risco numa única pontuação numérica para o nível do risco.
Os índices são utilizados para muitos tipos diferentes do risco, geralmente como um dispositivo de
pontuação para a classificação do risco de acordo com o nível do risco. Este poderá ser utilizado para
determinar quais os riscos que precisam de uma apreciação mais aprofundada e, possivelmente, de natureza
quantitativa.

B.28.3 Entradas
As entradas resultam de uma análise do sistema, ou de uma ampla descrição do contexto. Isto requer uma
boa compreensão de todas as fontes do risco, das possíveis vias de exposição e do que pode ser afetado.
Ferramentas como a análise por árvore de falhas, análise por árvore de eventos e a análise de decisão em
geral, podem ser utilizadas para apoiar o desenvolvimento dos índices do risco.
Uma vez que a escolha da escala ordinal é, em certa medida, arbitrária, são necessários dados suficientes
para validar o índice.
 NP
EN 31010
2016

p. 89 de 99

B.28.4 Processo
O primeiro passo é entender e descrever o sistema. Uma vez que o sistema tenha sido definido, as
pontuações são desenvolvidas para cada componente, de tal modo que possam ser combinadas para fornecer
um índice composto. Por exemplo, num contexto ambiental, as fontes, as vias de exposição e o(s) recetor(es)
serão pontuados, observando-se que, nalguns casos, poderão existir múltiplas vias e recetores para cada
fonte. As pontuações individuais são combinadas de acordo com um esquema que tem em conta as
realidades físicas do sistema. É importante que as pontuações de cada parte do sistema (fontes, vias de
exposição e recetores) sejam internamente consistentes e mantenham as suas relações corretas. Poderão ser
dadas pontuações para os componentes do risco (p. ex. probabilidade, exposição e consequência) ou para os
fatores que aumentam o risco.
As pontuações poderão ser adicionadas, subtraídas, multiplicadas e/ou divididas de acordo com este modelo
de alto nível. Os efeitos cumulativos podem ser tidos em conta pela adição de pontuações (p. ex. por adição
das pontuações das diferentes vias de exposição). Não é válido aplicar fórmulas matemáticas a escalas
ordinais. Por conseguinte, uma vez o sistema de pontuação desenvolvido, o modelo deverá ser validado pela
sua aplicação a um sistema conhecido. O desenvolvimento de um índice é uma abordagem iterativa e
poderão ser tentados vários sistemas diferentes para combinar as pontuações até que o analista esteja
confortável com a validação.
A incerteza pode ser abordada por uma análise de sensibilidade e pontuações variáveis para identificar os
parâmetros mais sen_síveis.

B.28.5 Saídas
A saída é uma série de números (índices compostos) relativos a uma fonte particular e que podem ser
comparados com os índices desenvolvidos para outras fontes dentro do mesmo sistema, ou que podem ser
modelados do mesmo modo.

B.28.6 Vantagens e limitações

Vantagens:
os índices podem fornecer uma boa ferramenta para a classificação de riscos diferentes;
permitem que múltiplos fatores que afetam o nível do risco sejam integrados numa única pontuação
numérica do nível do risco.
Limitações:
se o processo (modelo) e a sua saída não são bem validados, os resultados poderão ser desprovidos de
sentido. O facto de a saída ser um valor numérico para o risco poderá ser mal interpretado e mal
utilizado, p. ex. numa análise custo/benefício subsequente;
em muitas situações em que são utilizados índices, não existe um modelo fundamental para definir se as
escalas individuais de fatores do risco são lineares, logarítmicas ou de outro tipo, nem um modelo para
definir como deverão ser combinados os fatores. Nestas situações, a classificação é inerentemente não
fiável e a validação face a dados reais é particularmente importante.

B.29 Matriz consequência/probabilidade

B.29.1 Visão geral
A matriz consequência/probabilidade é um meio de combinar a classificação qualitativa ou semi-quantitativa
da consequência e da probabilidade para definir um nível do risco ou uma classificação do risco.
NP
EN 31010
2016

p. 90 de 99

O formato da matriz e as definições que se lhe aplicam dependem do contexto no qual é utilizada e é
importante que seja utilizada uma conceção apropriada para as circunstâncias.

B.29.2 Utilização
Uma matriz consequência/probabilidade é utilizada para classificar riscos, fontes do risco ou tratamentos do
risco com base no nível do risco. É habitualmente utilizada como uma ferramenta de triagem quando foram
identificados muitos riscos, p. ex., para definir que riscos necessitam de análise posterior ou mais detalhada,
que riscos necessitam de tratamento prioritário, ou que necessitam de ser referenciados a um nível de gestão
superior. Também poderá ser utilizada para selecionar, nesta fase, que riscos não necessitam de ser
considerados mais detalhadamente. Este tipo de matriz do risco também é muito utilizado para determinar se
um dado risco é amplamente aceitável ou não aceitável (ver 5.4), de acordo com a zona da matriz em que se
localiza.
A matriz consequência/probab,ilidade também poderá ser utilizada para ajudar a comunicar um entendimento
comum para níveis qualitativos do risco em toda a organização. O modo como os níveis do risco são
definidos e as regras de decisão a eles atribuídas, deverão ser alinhados com o apetite da organização ao
risco.
Uma configuração de matriz consequência/probabilidade é utilizada para a análise da criticidade na FMECA
ou para estabelecer prioridades a seguir a uma análise HAZOP. Também poderá ser utilizada em situações
em que há dados insuficientes para uma análise detalhada ou quando a situação não justifica o tempo e
esforço para uma análise mais quantitativa.

B.29.3 Entradas
As entradas para o processo são escalas adequadas à consequência e à probabilidade e uma matriz que
combina as duas.
A(s) escala(s) da consequência deverá(ão) abranger a gama dos diferentes tipos de consequências a serem
considerados (p. ex., perda financeira, segurança, ambiente ou outros parâmetros, dependendo do contexto) e
deverá(ão) abranger desde a máxima consequência credível à menor consequência a considerar. Na Figura
B.13 é mostrado um exemplo parcial.
A escala poderá ter qualquer número de níveis. As escalas de 3, 4 ou 5 níveis são as mais comuns.
A escala da probabilidade também poderá ter qualquer número de níveis. As definições da probabilidade
precisam de ser selecionadas de forma menos ambígua possível. Se forem utilizadas referências numéricas
para definir diferentes probabilidades, deverão ser especificadas as unidades. A escala da probabilidade deve
abranger o domínio relevante para o estudo em causa, relembrando que a probabilidade mais baixa deve ser
aceitável para a consequência definida como mais alta, senão todas as atividades com as consequências mais
elevadas são definidas como intoleráveis. Na Figura B.14 é apresentado um exemplo parcial.
A matriz é desenhada com a consequência num eixo e a probabilidade no outro. A Figura B.15 mostra parte
de um exemplo de uma matriz com uma escala de consequência de 6 níveis e uma escala de probabilidade de
5 níveis.
Os níveis do risco atribuídos às células dependerão das definições das escalas probabilidade/consequência. A
matriz poderá ser configurada para dar peso extra às consequências (como representado) ou à probabilidade,
ou poderá ser simétrica, dependendo da aplicação. Os níveis do risco poderão estar ligados a regras de
decisão tais como o nível da atenção da gestão ou a escala de tempo, para os quais é necessário uma resposta.
 NP
EN 31010
2016

p. 91de99

lmp~to RPtorno ~
(IM1o1f1<01Ç.Kl fm..oc:t-uo l~H•mf'nto Secur•rn;•" 'Wud• Arnbr•nt• • {omurud~i! Rt-put.,,.,~ {umprm~nlo tec.i
E~~A AUS UPV

SlOOm-prtJUI» S300m · pfejuit0 • MUlt•plts hit!W•d.tdts.ou • 01nosamb1entH1rrft'«f'SIWtSa • Rtporta(t'lt d • irf11rtilsa • Prouumdehtciooud•

ou lucro ou lucro S50m

• Et•1tt1.s1rr•lifVljw-WS
s.1nificant•s•dtl'Wlas
d•~uoas
Sl0m-S99m- S30m· 299m- • 1Jm1 f1Ul•dfdt tlov
pr•Juia:o ou IUC!O Pr9jUIZOOU lucro • Et.nosJrra..9"1'119d
Mpnfkantts •um• ou
m1ttspeUC1.s
..,..
lanropra::o
• lndrpt~iodacomund.ci•c.am
potenc1a!pwaaç&l'SJudc.a.1d•I.,..
• lmptctoAmti •W'ltaf prolon11do
• Preocup~a.scomunit:•oll
r••tV.ntes- qu•requerern meddM
dt tHoluç:lotlp1if'tcatives:
intarn1eion•..:ttor..,dt
virfo1di.n
• Perdttotaldosupot1:9d::.
ICIOf\istts qu• lltam
dts.lflti'H1Jttdo.
• Sild1d0Ctoaad1rtçloà
rt1truturad•
• Rep0tt1r1ansd1 irf1:1ttnsa
nacional to IO t'ICOd• YirlOS
d""·
• lmp.te:tosunentadona
reputtÇlo dos.cioninn
IC\IAÇ:locom dW1os6•
+ custosasravidos
• P•n•d• prtdopW101
•1•cucitosd•t1T1>r. .
• P•apm prolo,_.ci•d11
oper.ç&.s !Mln Mrtaru:flde
• Granduproc.so1detJ\stç<
CúltosSlOm;
• !nt"ert ltÇ.Õ•par • "Ir..
reiulatoria1 rei
1t'l••irtupcl-

Strn-S9rn- S3m-S29rn- • le'°9se~eii1'tou • Conumi

.....
• Pardadosupo,.

pr•JU ?O ou luct0 prt1u1:oou lucro • Eftnr

>100t-S90"
pr•Jtumc

S!Ok
li"

Figura B.13 - Exemplo de parte de um quadro de critérios de consequência

De acordo com a probabilidade vai ocorrer

Provável
ocorrer dentro de algumas "semanas º"
Pode ocorrer em breve, mas existe
Possível
de ocorrer dentro de alguns nv
Pode ocorrer, mas o mai~
Improvável
dentro de alguns me•
A ocorrência é m1 ·
Raro
anos
Teoricamer
Remoto
imprr>· ' JEC2075/UJ

Figura B.14- Exemplo de parte de uma matriz de critérios de probabilidade

NP
EN 31010
2016

p. 92 de 99

E IV
"'
QJ
"C
ra
;g D IV
:era
.e
...oa.
"'
~
e V
"O
o
ira
....
G
;;::: B V
·;;;
"'ra
u
A V

1
Classificação das consequências _
IEC 20 76109

Figura B.15 - Exemplo de parte de uma matriz de classificação do risco

As escalas da classificação e uma matriz poderão ser definidas com escalas quantitativas. Por exemplo, num
contexto de fiabilidade a escala de probabilidade poderia representar taxas de falha indicativas e a escala de
consequência o custo da falha, em dólares *l.
A utilização da ferramenta necessita de pessoas (idealmente uma equipa) com conhecimento específico e
dados relacionados disponíveis para auxiliar nos julgamentos da consequência e da probabilidade.

B.29.4 Processo
Para ordenar os riscos, o utilizador escolhe primeiro o descritor de consequência que melhor se adapta à
situação, define então a probabilidade de ocorrência dessas consequências. O nível do risco é então lido na
matriz.
Muitos eventos do risco poderão ter uma gama de resultados com probabilidades associadas diferentes.
Normalmente problemas menores são mais comuns do que catástrofes. Há portanto uma esco lha, ordenar os
resultados mais comuns ou os mais graves ou alguma outra combinação. Em muitos casos, é apropriado
focar nos resultados mais graves credíveis dado que estes constituem a maior ameaça e são muitas vezes os
que suscitam maior preocupação. Nalguns casos, poderá ser apropriado ordenar os problemas comuns e as
catástrofes improváveis como riscos distintos. É importante que seja utilizada a probabilidade
correspondente à consequência selecionada e não a probabilidade do evento como um todo.
O nível do risco definido pela matriz poderá estar associado a uma regra de decisão como, por exemplo,
tratar ou não tratar o risco.

*>Unidade monetária (nota nacional).

 NP
EN 31010
2016

p. 93 de 99

B.29.5 Saídas
A saída é uma classificação para cada risco ou uma lista ordenada de riscos com níveis de significância
definidos.

B.29.6 Vantagens e limitações

Vantagens:
relativamente fácil de utilizar;
fornece uma ordenação rápida dos riscos em diferentes níveis de significância.
Limitações:
deverá ser concebida uma matriz apropriada às circunstâncias uma vez que poderá ser difícil ter um
sistema comum a aplicar a toda a gama de circunstâncias de. uma organização;
é difícil definir as escalas sem ambiguidades;
a utilização é muito subjetiva e há a tendência de ocorrerem variações significativas entre os
classificadores;
os riscos não podem ser agregados (não se pode definir que um dado número de riscos baixos ou um
risco baixo, identificado num certo número de vezes, é equivalente a um risco médio);
é difícil combinar ou comparar o nível do risco para diferentes categorias de consequências.
Os resultados dependerão do nível de detalhe da análise, isto é, quanto mais detalhada a análise, maior o
número de cenários, cada um com menor probabilidade. Isto subestimará o nível real do risco. O modo como
os cenários são agrupados ao descrever o risco deverá ser consistente e definido no início do estudo.

B.30 Análise de custo/benefício (ACB)

B.30.1 Visão geral
A análise de custo/benefício pode ser realizada para avaliação do risco quando os custos totais esperados são
ponderados contra os benefícios totais esperados a fim de escolher a melhor ou a mais rentável opção. É uma
parte implícita de muitos sistemas de avaliação do risco. Pode ser qualitativa ou quantitativa, ou envolver
uma combinação de elementos quantitativos e qualitativos. A ACB quantitativa agrega o valor monetário de
todos os custos e todos os benefícios para todas as partes interessadas que estão incluídas no âmbito e faz o
ajuste para os diferentes períodos de tempo nos quais os custos e benefícios ocorrem. O valor atual líquido
(VAL) calculado toma-se uma entrada para as decisões sobre o risco. Um VAL positivo associado a uma
ação normalmente significa que a ação deve ocorrer. Contudo, para alguns riscos negativos, particularmente
para os que envolvem riscos para a vida humana ou danos ambientais, o princípio do ALARP pode ser
aplicado. Isto divide os riscos em três bandas: um nível acima do qual os riscos negativos são intoleráveis e
não devem ser aceites, exceto em circunstâncias extraordinárias; um nível abaixo do qual os riscos são
insignificantes e necessitam apenas monitorização para se assegurar que permanecem baixos, e uma banda
central onde os riscos são mantidos tão baixos quanto razoavelmente praticável (ALARP). De modo a obter
o menor risco possível desta banda, uma análise estrita de custo/benefício pode aplicar-se, porém quando os
riscos estiverem próximos do intolerável, a expectativa do princípio do ALARP é que o tratamento ocorrerá
a menos que os custos de tratamento sejam substancialmente desproporcionados face ao benefício obtido.

B.30.2 Utilização
A análise de custo/benefício pode ser utilizada para decidir entre opções que envolvam risco.
NP
EN 31010
2016

p. 94 de 99

Por exemplo:
como entrada numa decisão sobre se convém tratar um risco;
para diferenciar e decidir sobre a melhor forma de tratamento do risco;
decidir entre diferentes linhas de ação.

B.30.3 Entradas
As entradas incluem informação sobre custos e beneficias para as partes interessadas afetadas e sobre
incertezas nesses custos e beneficias. Convém que os custos e benefícios tangíveis e intangíveis sejam
considerados. Os custos incluem recursos gastos e resultados negativos. Os beneficias incluem resultados
positivos, resultados negativos evitados e recursos economizados.

B.30.4 Processo
As partes interessadas que podem estar sujeitas aos custos ou a receber os benefícios são identificadas. Numa
análise completa de custo/benefício, todas as partes interessadas são incluídas.
Os benefícios e custos diretos e indiretos das opções consideradas são identificados para todas as partes
interessadas afetadas. Os benefícios diretos são aqueles que decorrem diretamente da ação tomada, enquanto
os benefícios indiretos ou auxiliares são aqueles que são fortuitos, porém poderão ainda contribuir
significativamente para a decisão. Exemplos de benefícios indiretos incluem a melhoria de reputação,
satisfação do pessoal e "tranquilidade de espírito" (estes são muitas vezes ponderados consideravelmente na
tomada de decisões).
Os custos diretos são aqueles que estão diretamente associados com a ação. Os custos indiretos são aqueles
custos adicionais, auxiliares e "afundados", tais como a perda de utilidade, ocupação de tempo da gestão ou
desvio de capital de outros investimentos potenciais. Ao aplicar uma análise de custo/benefício a uma
decisão para se tratar ou não um risco, deverão ser incluídos os custos e benefícios associados quer ao
tratamento do risco quer à assunção do risco.
Na análise quantitativa de custo/beneficio, quando todos os custos e benefícios tangíveis e intangíveis forem
identificados, é atribuído um valor monetário a todos os custos e benefícios (custos e benefícios intangíveis
incluídos). Existem inúmeras formas padronizadas de fazer isto, incluindo a abordagem "disponibilidade
para pagar" e a utilização de alternativas. Se, como muitas vezes acontece, o custo ocorre durante um curto
período de tempo (por exemplo, um ano) e o fluxo de benefícios por um longo período, posteriormente é
normalmente necessário descontar os benefícios para transformá-los para o "valor corrente" de modo que
uma comparação válida possa ser obtida. Todos os custos e benefícios são expressos como valor atual. O
valor atual de todos os custos e benefícios para todas as partes interessadas pode ser combinado para
produzir um valor atual líquido (VAL). Um VAL positivo significa que a ação é benéfica. São também
utilizados rácios de custo/benefício. (Ver B.30.5).
Se houver incerteza sobre o nível de custos ou benefícios, um ou ambos os termos podem ser ponderados de
acordo com as respetivas probabilidades.
Na análise qualitativa de custo/benefício nenhuma tentativa é feita para encontrar um valor monetário para
custos e benefícios intangíveis e em vez de se fornecer um único número que resuma os custos e beneficias,
são consideradas qualitativamente as relações e os compromissos*) entre os diferentes custos e benefícios.
Uma técnica relacionada é uma análise de custo-eficácia. Pressupõe que um certo benefício ou resultado é
desejado, e que há diversas formas alternativas para atingi-lo. A análise olha somente os custos e qual é a
forma mais barata de alcançar o benefício.

*) '"trade offs ·· no original (nota nacionalj.

 NP
EN 31010
2016

p. 95 de 99

B.30.5 Saídas
A saída de uma análise custo/benefício é a informação sobre os custos e benefícios de diferentes opções ou
ações. Isto pode ser expresso quantitativamente como um valor atual líquido (V AL), uma taxa interna de
retomo (TIR) ou como um rácio entre o valor atual dos benefícios e o valor atual dos custos.
Qualitativamente os resultados são geralmente um quadro que compara os diferentes tipos de custos e de
benefícios considerados, chamando a atenção para os compromissos.

B.30.6 Vantagens e limitações

Vantagens da análise de custo/benefício:
permite que os custos e benefícios sejam comparados usando uma métrica única (monetária);
fornece transparência na tomada de decisão;
requer informação detalhada a ser recolhida em todos os aspetos possíveis da decisão. ISto pode ser
valioso tanto para revelar ignorância, como para comunicar conhecimento.
Limitações:
a ACB quantitativa pode gerar números dramaticamente diferentes, dependendo dos métodos utilizados
para atribuir valores económicos a benefícios não económicos;
em algumas aplicações é difícil definir uma taxa de desconto válida para custos e benefícios futuros;
os benefícios que alcançam uma grande população são difíceis de estimar, particularmente aqueles
relativos ao bem público, o qual não é transacionado em mercados;
a prática do desconto significa que os benefícios obtidos no futuro a longo prazo têm influência
insignificante na decisão dependendo da taxa de desconto escolhida. O método toma-se inadequado para
consideração dos riscos que afetam as gerações futuras, a menos que sejam estabelecidas taxas de
desconto muito baixas ou nulas .

B.31 Análise de decisão multi-critérios (MCDA *»

B.31.1 Visão geral
O objetivo é usar um conjunto de critérios para, com objetividade e transparência, apreciar a valia global de
um conjunto de opções. Em geral, o objetivo global é estabelecer uma ordem de preferência das opções
disponíveis. A análise envolve o desenvolvimento de uma matriz de opções e critérios que são classificados e
agregados para fornecer uma pontuação global para cada opção.

B.31.2 Utilização
A MCDA pode ser utilizada para:
numa primeira etapa, comparar várias opções para determinar as opções preferidas e com potencial e as
opções inadequadas;
comparar opções com critérios múltiplos e, por vezes, em conflito;
alcançar o consenso numa decisão em que as diferentes partes interessadas têm objetivos ou valores
conflituosos.

*)Acrónimo de "Multi-Criteria Decision Analvsis" (nota nacional!

NP
EN 31010
2016

p. 96 de 99

B.31.3 Entradas
Um conjunto de opções para análise. Critérios, suportados em objetivos que podem ser usados igualmente
para todas as opções para as diferenciar.

B.31.4 Processo
Em geral, um grupo de partes interessadas bem informadas executa o seguinte processo:
a) define o(s) objetivo(s);
b) determina os atributos (critérios ou medidas de desempenho) relacionados com cada objetivo;
c) hierarquiza os atributos;
d) desenvolve as opções para avaliação segundo os critérios;
e) -determina a importância dos critérios e atribui-lhes pesos;
f) avalia as alternativas com base nos critérios. Esta avaliação poderá ser representada através de uma
matriz de pontuações;
g) combina a pontuação de múltiplos atributos simples, numa única pontuação multiatributo;
h) avalia os resultados.
Existem diferentes métodos para obtenção da ponderação de cada critério e diferentes formas de agregação
da pontuação dos critérios de cada opção numa única pontuação multiatributo. As pontuações poderão, por
exemplo, ser agregadas como uma soma ponderada, ou um produto ponderado, utilizando o processo da
hierarquia analítica, ou seja uma técnica de obtenção dos pesos e pontuações baseada na comparação por
pares. Todos estes métodos pressupõem que a preferência por qualquer um dos critérios não depende dos
valores dos restantes critérios. Quando este pressuposto não é válido são utilizados outros modelos.
Sendo as pontuações subjetivas, a análise de sensibilidades é útil para examinar em que medida os pesos e as
pontuações influenciam as preferências gerais entre opções.

B.31.5 Saídas
A apresentação ordenada das opções vai da melhor para a de menor preferência. Se o processo gera uma
matriz em que os seus eixos são os critérios ponderados e a pontuação dos critérios para cada opção, então as
opções que falham critérios de peso elevado podem também ser eliminadas.

B.31.6 Vantagens e limitações

Vantagens:
fornece uma estrutura simples para uma tomada de decisão eficiente e para a apresentação de
pressupostos e conclusões;
pode tornar mais geríveis problemas de decisão complexos, que não são passíveis de análises
custo/benefício;
pode ajudar a considerar-se racionalmente problemas em que seja necessário fazerem-se concessões;
pode ajudar a alcançar consensos quando as partes interessadas têm objetivos diferentes e,
consequentemente, critérios diversos.
Limitações:
- pode ser afetada por falta de imparcialidade e por uma escolha deficiente dos critérios de decisão;
 NP
EN 31010
2016

p. 97 de 99

a maioria dos problemas de MCDA não tem uma solução conclusiva ou única;
os algoritmos de agregação que calculam os pesos dos critérios a partir de preferências declaradas ou da
agregação de diferentes perspetivas podem ocultar a verdadeira base de suporte da decisão.
NP
EN 31010
2016

p. 98 de 99

Bibliografia

IEC 61511 Functional safety - Safety instrumented systems for the process industry sector
1 NOTA: Harmonizada na serie EN 61511 (não modificada).

IEC 61508 (todas Functional safety of electricallelectronic/programmable electronic safety-related systems

as partes)
1NOTA: Harmonizada na serie EN 61508 (não modificada).

IEC 61882 Hazard and operability studies (HAZOP studies) -App/ication guide
ISO 22000 Food safety management systems - Requirements for any organization in the food chain
1NOTA: Harmonizada como EN ISO 22000.

ISO/IEC Guide 51 Safety aspects - Guidelines for their inclusion instandards

IEC 60300-3-11 Dependability management - Part 3-11: Application guide - Reliability centred
maintenance
1 NOTA: Harmonizada como EN 60300-3-11.

IEC 61649 Weibu// analysis

NOTA: Harmonizada como EN 61649.

IIEC 61078 Analysis techniques for dependability - Reliability block diagram and Boolean methods
NOTA: Harmonizada como EN 61078.

1IEC61165 Application ofMarkov techniques

1NOTA: Harmonizada como EN 61165.

ISO/IEC 15909 Software and systems engineering- High-level Petri nets

(todas as partes)
IEC 62551 Analysis techniques for dependability - Petri net techniques2l
IEC 61882 Hazard and operability studies (HAZOP studies) - Application guide

2> Em consideração atualmente.

 NP
EN 31010
2016

p. 99 de 99

AnexoZA
(normativo)

Referências normativas a documentos internacionais e a sua correspondência a

documentos europeus

Os documentos a seguir referenciados são indispensáveis à aplicação deste documento. Para referências
datadas, apenas se aplica a edição citada. Para as referências não datadas, aplica-se a última edição do
documento referenciado (incluindo as emendas).
NOTA: Quando um documento internacional foi modificado por modificações comuns, indicadas por (mod), a correspondente
ENIHD aplica-se.

Publica~ão Ano Título EN/HD Ano

ISO/IEC Guide 73 - Risk management - Vocabulary - Guidelines - -
for use in standards
ISO 31000 - Risk management - Principies and guidelines - -