Ministério da Educação

Universidade Tecnológica Federal do Paraná

Campus de Cornélio Procópio

CURSO DE ESPECIALIZAÇÃO EM
ENGENHARIA DE SEGURANÇA DO TRABALHO

DISCIPLINA: GERÊCIA DE RISCOS

Prof. Me. Marco Antonio Ferreira Finocchio

CORNÉLIO PROCÓPIO – 2013

 SUMÁRIO

CAPÍTULO 1: OS RISCOS EMPRESARIAIS E A GERÊNCIA DE RISCOS

1.1) INTRODUÇÃO 04
1.2) EXPLICAÇÃO DA TERMINOLOGIA 04
1.3) NATUREZA DOS RISCOS EMPRESARIAIS 07
1.3.1) RISCOS ESPECULATIVOS 07
1.3.2) RISCOS PUROS 08
1.4) VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS 10

CAPÍTULO 2: INTRODUÇÃO A GERÊNCIA DE RISCOS

2.1) SISTEMA DE GESTÃO 14

2.1.1) SISTEMA DE GESTÃO HOLÍSTICO 15
2.1.2) CAMPO DE FORÇAS ORGANIZACIONAL 19
2.2) GESTÃO DE RISCOS 20
2.2.2) PRINCÍPIOS DA GESTÃO DE RISCOS 20
2.2.3) POLÍTICA DE GESTÃO DE RISCOS 21
2.2.3) ESTRATÉGIA DA GESTÃO DE RISCOS 21
2.2.4) METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS 21
2.2.5) PROGRAMAS DA GESTÃO DE RISCOS 23
2.3) ANÁLISE E CONTROLE DE RISCOS 25
2.3.1) MECANISMO DE PRODUÇÃO DE DANOS 25
2.3.2) IDENTIFICAÇÃO DE PERIGOS 27
2.3.3) AVALIAÇÃO DE RISCOS 27
2.3.4) ELEMENTOS DE CONTROLE DE PROCESSO 35
2.3.5) CONTROLE DE RISCOS 37

CAPÍTULO 3: A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS

3.1) INTRODUÇÃO 40
3.2) ANÁLISE PRELIMINAR DE RISCOS 41

CAPÍTULO 4: MÉTODOS DE ÁNALISE DE RISCOS

4.1) MÉTODOS TRADICIONAIS 46

4.2) MÉTODOS ATUAIS 46
4.3) TÉCNICA DE INCIDENTES CRÍTICOS – TIC 46
4.4) ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE) 48

2
CAPÍTULO 5: ANÁLISE DE ÁRVORES DE FALHAS

5.1) INTRODUÇÃO 52
5.2) CONSTRUÇÃO E DESENVOLVIMENTO 52
5.3) AVALIAÇÃO QUANTITATIVA 62
5.4) UM EXEMPLO SIMPLES DE APLICAÇÃO 68

CAPÍTULO 6: TÉCNICA DE IDENTIFICAÇÃO DE PERIGOS – E SE...?

6.1) INTRODUÇÃO 73
6.2) E SE...? COMBINADA COM LISTAS DE VERIFICAÇÃO 74
6.3) ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE 76
6.4) EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa 78

CAPÍTULO 7: FINANCIAMENTO DE RISCOS

7.1) INTRODUÇÃO 81
7.2) TRANSFERÊNCIA DE RISCOS 84
7.3) SEGURO OU AUTO-SEGURO 85
7.4) DEFINIÇÃO DE NÍVEIS DE FRANQUIA 87

CAPÍTULO 8: FINANCIAMENTO DE RISCOS

8.1) ÁLGEBRA BOOLEANA 90

8.2) CONFIABILIDADE 93

BIBLIOGRAFIA CONSULTADA 99

3
CAPITULO 1
OS RISCOS EMPRESARIAIS E A GERÊNCIA DE RISCOS
1.1) INTRODUÇÃO

A busca de instrumentos cada vez mais eficazes para a prevenção e o controle de

acidentes vem elevando o interesse pela Gerência de Riscos. Neste campo, profissional de
áreas como Engenharia de Segurança, Meio Ambiente e outras, buscam uma forma de tornar
mais abrangente e aprimorada suas atuações. E não se decepcionam, pois a Gerência de Riscos
oferece meios de se otimizar os resultados do próprio desenvolvimento tecnológico, a partir da
redução dos riscos apresentados pelas atividades sugeridas na moderna sociedade em que
vivemos.
Dado o seu alcance, muito há que se falar sobre Gerência de Riscos. Entretanto,
neste trabalho optou-se em reunir as informações fundamentais sobre o assunto. Dessa forma, o
material que segue nos próximos capítulos propiciará um adequado embasamento científico a
todos aqueles que querem se desenvolver neste vasto campo.
Segundo Willie Hammer:

Acidentes ocorrem desde tempos imemoriais, e as pessoas têm se preocupado

igualmente com sua prevenção há tanto tempo.
Lamentavelmente, apesar do assunto ser discutido com freqüência, a terminologia
relacionada ainda carece de clareza e precisão.
Do ponto de vista técnico, isto é particularmente frustrante, pois gera desvios e
vícios de comunicação e compreensão, que podem aumentar as dificuldades para a resolução
de problemas.
Qualquer discussão sobre riscos deve ser precedida de uma explicação da
terminologia, seu sentido preciso e inter-relacionamento.

Esta colocação nos obriga a refletir e a buscar uma proposição que preencha nossas
necessidades de uma terminologia consistente e que reflita a filosofia e o enfoque sobre
Gerência de Riscos que iremos abordar neste curso sobre o assunto.

1.2) EXPLICAÇÃO DA TERMINOLOGIA

Risco (Hazard):

Uma ou mais condições de uma variável com o potencial necessário para causar
danos. Esses danos podem ser estendidos como lesões a pessoas, danos a equipamentos e
instalações, danos ao meio ambiente, perda de material em processo, ou redução da capacidade
de produção. Havendo um risco, persistem as possibilidades de efeitos adversos.
Há quem traduza harzard como perigo, termo este mais adequado para a tradução
de danger. Isto vem demonstrar a necessidade daqueles que trabalham na área, de que
esforçarem para que chegue à melhor definição desses termos. Nossa posição também condiz

4
com a tradução adotada na Espanha, onde se traduz harzard como riesgo, assim também
ocorrendo com a palavra risk.

Risco (Risk)

Expressa uma probabilidade de possíveis danos dentro de um período específico de

tempo ou número de ciclos operacionais. Pode ser indicado pela probabilidade de um acidente
multiplicada pelo dano em reais, vidas ou unidades operacionais.
Pode significar ainda:

 Incerteza quanto à ocorrência de um determinado evento (acidente);

 Chance de perda que uma empresa pode sofrer por causa de um acidente ou
série de acidentes.

Segurança

É freqüentemente definida como isenção de riscos. Entretanto, é praticamente

impossível a eliminação completa de todos os riscos. Segurança é, portanto, um compromisso
acerca de uma relativa proteção da exposição a riscos. É o antônimo de perigo.

Perigo (Danger)

Expressa uma exposição relativa a um risco que favorece a sua materialização em

danos.

Dano

É a gravidade da perda:
 Humana;
 Material;
 Ambiental;
 Financeira.

A qual pode resultar, caso o controle sobre um risco seja perdido.

Causa

É a origem de caráter humano ou material relacionada com o evento catastrófico

(acidente ou falha), resultante da materialização de um risco, provocando danos.

Perda

É o prejuízo sofrido por uma organização, sem garantia de ressarcimento ou outros

meios.

5
 Obs.: Empregamos praticamente só o termo perda para designar o prejuízo, ou
eventual prejuízo, sofrido por uma empresa, independentemente da existência ou
não da garantia de ressarcimento.

Sinistro

É o prejuízo sofrido por uma organização, com garantia de ressarcimento por

seguro ou por outros meios.

Incidente

Qualquer evento ou fato negativo com potencial para provocar danos. É também
chamado quase-acidente: situação em que não há danos macroscópicos.

Exemplos:

Um risco pode estar presente, mas pode haver baixo nível de perigo, devido às
precauções tomadas. Assim, por exemplo, um banco de transformadores de alta voltagem
possui um risco inerente de eletrocussão, uma vez que esteja energizado. Há um alto nível de
perigo se o banco estiver desprotegido, no meio de uma área com pessoas. O mesmo risco
estará presente quando os transformadores estiverem trancados num cubículo sob o risco.
Entretanto, o perigo agora será mínimo para o pessoal. Vários outros exemplos poderiam, ser
citados, para mostrar como os níveis de perigo diferem, ainda que o risco se mantenha o
mesmo.

Um operário desprotegido pode cair de uma viga a três metros de altura, e sofrer um
dano físico, como por exemplo, uma fratura na perna. Se a viga estivesse colocada a 90 metros
de altura, ele, com certeza, estaria morto. O risco (possibilidade) e o perigo (exposição) de
queda são os mesmos. Entretanto, a diferença reside na gravidade do dano que poderia ocorrer
com a queda.

O seguinte esquema facilita o entendimento destes termos:

6
1.3) NATUREZA DOS RISCOS EMPRESARIAIS

Muitos estudiosos, principalmente os norte-americanos, da Gerência de Riscos,

digamos, tradicionais, têm classificado os riscos que podem atingir uma empresa, basicamente,
em:

 Riscos especulativos (dinâmicos);

 Riscos puros (estáticos).

A diferença principal entre essas duas categorias reside no fato de que os riscos
especulativos envolvem uma possibilidade de ganho ou uma chance de perda: ao passo que os
riscos puros envolvem somente uma chance de perda, não existindo nenhuma possibilidade de
ganho ou lucro.
Um exemplo clássico que mostra essa diferença é o do proprietário de um veículo,
cujo risco (puro) que está associado a ele é o da perda potencial por colisão. Se ocorrer
eventualmente uma colisão, o proprietário sofrerá, no mínimo, uma perda financeira. Se não
ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho.

1.3.1) RISCOS ESPECULATIVOS

Os riscos especulativos podem ser divididos em três tipos:

 Riscos administrativos;
 Riscos políticos;
 Riscos de inovação.

OS RISCOS ADMINISTRATIVOS:

Estão intimamente relacionados ao processo de tomada de decisões gerenciais: uma

decisão correta pode trazer lucros para a empresa. O problema maior está na dificuldade de se
prever, com exatidão, o resultado que advirá da decisão adotada. Essa incerteza nada mais é
que a própria definição de risco, conforme foi visto no item anterior.
Os riscos administrativos podem ainda ser subdividido em:

 Riscos de mercado: são fatores que tornam incerta a venda de um

determinado produto ou serviço, a um preço suficiente que traga resultados
satisfatórios em relação ao capital investido;
 Riscos financeiros: dizem respeito às incertezas em relação às decisões
tomadas sobre a política econômico-financeira da organização;
 Riscos de produção: envolvem questões e incertezas quanto a materiais,
equipamentos, mão-de-obra e tecnologia utilizados na fabricação de um
produto ou ainda na prestação de um determinado serviço.

7
 OS RISCOS POLÍTICOS:

Por sua vez, deriva-se de leis, decretos, portarias, resoluções, etc, emanados do
Governo Federal, Estadual e Municipal, os quais podem ameaçar os interesses e objetivos da
organização.

OS RISCOS DE INOVAÇÃO:

Referem-se às incertezas decorrentes, normalmente, da introdução (oferta) de novos

produtos no mercado e da sua aceitação (demanda) pelos consumidores.

1.3.2) RISCOS PUROS

Os riscos puros, como já mencionado, existem quando há somente uma chance de

perda e nenhuma possibilidade de ganho ou lucro.
As principais perdas acidentais (diretas e indiretas) resultantes da materialização
dos riscos puros que podem ocorrer numa empresa podem ser agrupadas em:
 Perdas decorrentes de morte ou invalidez de funcionários;
 Perdas por danos à propriedade e a bens em geral;
 Perdas decorrentes de fraudes ou atos criminosos;
 Perdas por danos causados a terceiros (responsabilidade da empresa por
poluir o meio ambiente, responsabilidade pela qualidade de segurança do
produto fabricado ou do serviço prestado, entre outras).

Para dar uma idéia do significado, por exemplo, das perdas para o fabricante de um
determinado produto resultante de um acidente com danos ao consumidor, vamos enumerar os
itens mais importantes que incidiriam sobre a empresa:

 Pagamento de indenizações por lesões ou morte, incluindo o pagamento de

pensões aos dependentes do reclamante e honorário advocatício;
 Pagamento de indenizações por danos materiais não cobertos por seguro.

Tais indenizações poderiam também incluir:

o Custos de reposição do produto e de outros itens danificados;

o Perda de rendimentos operacionais;
o Custos de recuperação do equipamento danificado;
o Custo com assistência emergencial;
o Custos administrativos;
o Honorários dos advogados do reclamante;
o Tempo e salários perdidos;
o Honorários dos advogados de defesa;
o Custos da investigação do acidente;

8
 o Ações corretivas para evitar repetição do acidente;
o Queda de produção durante a determinação das causas do acidente e durante
a adoção de ações corretivas;
o Penalidades por falhas na adoção de ações corretivas de riscos, defeitos ou
condições que violam preceitos legais;
o Tempo perdido do pessoal da empresa fabricante;
o Obsolescência do equipamento associado ao produto que deverá ser
modificado;
o Aumento das tarifas de seguro;
o Perda de confiança perante a opinião pública;
o Perda de prestígio;
o Degradação moral.

Ambos os casos, normalmente considera-se que a Gerência de Riscos trata apenas

das questões relativas à prevenção e ao financiamento dos riscos puros. Entretanto, vale
mencionar que muitas de suas técnicas podem ser igualmente aplicadas aos riscos
especulativos.
É importante lembrar também o papel fundamental que desempenha nos programas
de gerenciamento de riscos, o estudo dos incidentes (quase acidentes). Para melhor caracterizar
o que estamos afirmando, vamos considerar um estudo bastante representativo realizado nos
Estados Unidos, em 1969, pela Insurance Company of North América, o qual abrangeu
1.753.498 acidentes registrados por 297 organizações que representavam 21 diferentes setores
de atividades e empregavam 1.750.000 trabalhadores. O tempo de exposição aos riscos somou,
no período analisado, mais de três bilhões de horas-homem.

Esse estudo revelou que, para cada acidente com lesão grave (com afastamento),
havia 9,8 acidentes com lesão leve (sem afastamento) e 30,2 acidentes com danos à
propriedade.
Parte do estudo compreendeu 4.000 horas de entrevistas a trabalhadores sobre a
ocorrência de incidentes que, em circunstâncias ligeiramente diferentes, poderiam ter causado
lesões ou danos à propriedade. Como resultado dessas entrevistas, conclui-se que, para cada
lesão grave, ocorreram 600 incidentes (quase acidentes) que não apresentaram lesões ou danos
visíveis.
O estudo das proporções de acidentes é apresentado na Figura 1.

9
 FIGURA 1: Estudo das Proporções de acidentes.

(*) lesão pessoal que impede o acidentado de voltar ao trabalho no dia imediato ao
do acidente ou de que resulte incapacidade permanente.
(**) lesão pessoal que não impede o acidentado de voltar ao trabalho no dia
imediato ao acidente, desde que não haja incapacidade permanente.
Fonte: Insurance Company of North America – 1969.

Esta relação indica claramente que esforços de prevenção e controle de riscos

devem ser concentrados não só nos acidentes com lesões, mas também nos acidentes, pois
qualquer um destes últimos pode resultar ainda em uma lesão grave ou morte.

1.4) VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS

É extremamente difícil enumerar as razões que têm tornado a Gerência de Riscos o

assunto do momento. Entretanto, uma razão importante é que as empresas e o público em geral
tomaram uma nova consciência dos riscos potenciais decorrentes do contínuo progresso
tecnológico.
A percepção de que conseqüências irreversíveis podem afetar o meio ambiente, que
os recursos não são ilimitados e que, do ponto de vista da economia em geral, o dinheiro nunca
pode compensar vidas e valores destruídos, também merecem ser citados neste contexto. Além
disso, uma atitude mais crítica do consumidor de bens e de serviços, com relação ao fabricante
ou fornecedor, tem um efeito semelhante. Está-se exigindo maior responsabilidade dos
empresários.
Esses progressos, que também são refletidos na legislação, juntamente com um
clima difícil na economia, estão forçando as empresas a se responsabilizarem por todas as
perdas que, de um modo ou de outro, ameaçam seus objetivos: seja conseguir bom nível de

10
lucro seja manter os negócios em bom andamento ou, até mesmo, garantir a própria existência
da organização.
A rigor, a Gerência de Riscos, em termos de consciência do risco ou de vivência
com ele é tão antiga quando o próprio homem. Na verdade, o homem sempre esteve envolvido
com riscos e com muitas das decisões de Gerência de Riscos. Muito antes da existência do que
hoje denominamos gerentes de riscos, indivíduos dedicavam-se (e têm se dedicado) a tarefas e
funções específicas de segurança do trabalho, proteção contra incêndio, segurança patrimonial,
controle de qualidade, inspeções e análises de risco para fins de seguro e inúmeras outras
atividades semelhantes.
O que ocorreu com relação à Gerência de Riscos é que os americanos e europeus
aglutinaram o que inúmeras pessoas vinham fazendo de forma independente em um conjunto
de teorias lógicas e objetivas, e lhe deram o nome de Risk Management.
Entretanto, um cuidadoso exame de diversos estudos, trabalhos e publicações sobre
o assunto revelam que não existe concordância quanto à natureza, conceito e conteúdo da
Gerência de Riscos.

Conceito:

Várias têm sido tentativas para se definir o conceito de Gerência de Riscos. O

objetivo aqui não é levantar polêmicas a respeito dessa questão. No entanto, a visão que é
apresentada da Gerência de Riscos está intimamente ligada ao conceito e conteúdo que
atribuímos à mesma, os quais serão explanados a seguir.
Pode-se dizer que a Gerência de Riscos é a ciência, a arte e a função que visa a
proteção dos recursos humanos, materiais e financeiros de uma empresa, quer através da
eliminação ou redução de seus riscos, quer através do financiamento dos riscos remanescentes,
conforme seja economicamente mais viável.

11
 D fato, a Gerência de Riscos teve seu início efetivo nos Estados Unidos em alguns
paises da Europa, logo após à Segunda Guerra Mundial, tendo os responsáveis pela segurança
das grandes empresas, pelos seus seguros, começando a examinar a possibilidade de reduzir os
gastos com o prêmio de seguros e aumentar a proteção da empresa frente a riscos de acidentes.
Perceberam, então, que seria possível atingir tais objetivos por meio de uma análise
detalhada das situações de risco.
Além da avaliação das probabilidades de perda, tornou-se necessário determinar
quais os riscos inevitáveis e quais os que e poderiam ser diminuídos. Calculou-se o custo -
beneficio das medidas de proteção a serem adotadas, como também se levou em consideração a
situação financeira da empresa, para a escolha adequada do seu grau de proteção.
É este, basicamente, também o enfoque abordado, acrescido de técnicas modernas
oriundas de várias áreas, em especial, da Engenharia de Segurança de Sistemas.
O conteúdo especifico e os processos básicos da Gerência de Riscos são as técnicas
de gerenciamento de riscos serão discutidos em detalhe mais adiante.

Seguros:

Devem ficar aqui registrados também o fato de algumas pessoas confundirem

Gerência de Riscos com Administração de Seguros. Tais termos, absolutamente, não são
sinônimos. A Gerência de Riscos cobre um campo consideravelmente mais amplo que
Administração de Seguros. O seguro é apenas uma das formas que a empresa pode adotar para
tratar os seus riscos, ou seja, é um dos elementos a serem considerados no processo de decisão
a seus riscos. Somente a partir da decisão da organização de transferir seus riscos através do
seguro, é que se inicia efetivamente a Administração de Seguro.
O último aspecto a ser analisado diz respeito à implantação, em nosso país, da
Gerência de Riscos nas empresas.
Não é nosso objetivo, entretanto, discutir aqui esse aspecto em profundidade. Não
obstante, em virtude da Gerência de Riscos ainda ser incipiente nas organizações brasileiras,
gostaríamos de propor algumas ações básicas que a nosso ver, poderiam permitir o
desenvolvimento de programas eficazes de gerenciamento de risco nas empresas e, em
particular, eliminar uma série de problemas que têm atingido os profissionais da área de
Engenharia de Segurança.
Acreditamos que, num primeiro instante, é fundamental que haja uma integração
efetiva entre as áreas de Engenharia de Segurança e de Seguros das empresas, a fim de que
todos os assuntos relacionados com riscos sejam equacionados em conjunto pelas duas áreas e
tratados, como conseqüência, de forma mais racional e econômica.
Por outro lado, é de suma importância que as empresas ofereçam condições para
que os profissionais dessas áreas sejam devidamente treinados sobre os processos e técnicas
utilizadas no gerenciamento de riscos, para que assim possam conduzir, de maneira
geralmente cientifica, os programas atinentes ao assunto.

12
 Departamento:

O passo seguinte seria então a criação, na própria empresa, de um departamento que

assessorasse a organização em todas as questões relativas a risco e seguro: o Departamento de
Gerência de Riscos.
É evidente que essas idéias iniciais bem como as ações posteriores, em termos de
organização do referido departamento, posicionamento do mesmo organograma, formas de
atuação etc, dependerão da política, da cultura e das características e peculiaridades de cada
empresa.
Estamos certos que a implicação da Gerência de Riscos não acarretará maiores
despesas para a organização, uma vez que ela já dispõe praticamente de todo o pessoal
necessário (das áreas de Segurança e de Seguro) para o desenvolvimento dos trabalhos.
Julgamos, isto sim, que as despesas eventuais que venham a ocorrer são tão insignificantes, que
não se comparam aos benefícios reais que a empresa obterá, quer quanto à otimização de seus
custos de seguro, quer, principalmente, quanto à maior proteção de seus funcionários, de seus
recursos materiais e financeiros e do meio ambiente.
Não devem ser esquecidos também os benefícios que a Gerência de Riscos, à
medida que for sendo adotada pelas empresas, trará ao mercado segurador.
De passagem. E para finalizar, podemos citar dois deles:

 Maior produção de prêmios, pelos simples fato de as empresas identificarem

novas situações de riscos que até então não conheciam, aumentando assim a
possibilidade dos riscos que forem cientificamente analisados e avaliados
serem transferidos ao seguro;
 Seguros mais sadios e, conseqüentemente, menores riscos (para o mercado
segurador) de pagamento de indenizações.

13
CAPITULO 2

Introdução a Gerência de Riscos

2.1) SISTEMA DE GESTÃO

Gestão é o ato de coordenar esforços de pessoas para atingir os objetivos da

organização. A gestão eficiente e eficaz de forma que necessidades e objetivos das pessoas
sejam consistentes e complementares aos objetivos da organização a que estão ligadas.
Sistema de gestão é um objetivo de instrumentos inter-relacionados, interatuantes e
interdependentes que a organização utiliza para planejar, operar e controlar suas atividades
para atingir objetivos.
São instrumentos do sistema de gestão: princípios, objetivos, estratégias, política,
diretrizes, sistemas organizacionais e operacionais, programas (projeto, metas, planos),
atividades, métodos e procedimentos.
Na aplicação dos métodos utilizam-se diversas ferramentas como Projeto de
Experimentos, Análise do Valor, Análise de Risco, Controle Estatístico de Processo (CEP),
Método de Análise e Solução de Problemas (Masp).

1. Princípio é a base sobre a qual o sistema de gestão é construído. Resulta da

filosofia, do paradigma dominante.
2. Objetivo é um estado futuro que se quer atingir.
3. Estratégia é um caminho para atingir o objetivo.
4. Política é um regra ou conjunto de regras comportamentais.
5. Diretriz é uma orientação. Pode restringir os caminhos possíveis ou dar
indicações de caráter geral. É mais especifica que a política e serve, inclusive, para
explicitá-la.
6. Sistemas organizacionais é um sistema no qual as relações entre pessoas
predominam sobre as relações entre equipamentos.
7. Sistema operacional é um sistema no qual as relações entre equipamentos
predominam sobre as relações entre pessoas. Por extensão, é operacional o sistema
que, mesmo tendo intensa rede de relações pessoais, apresente características
repetitivas e mecânicas de trabalho.
8. Programa é um conjunto de ação desenvolvida dentro de determinado campo de
ação. Ele promove a evolução da organização rumo aos objetivos. É constituído por
objetivos específicos, diretrizes, estratégias, metas, projetos, atividades e planos de
ação.
9. Meta é um ponto intermediário na trajetória que leva ao objetivo.
10. Projeto a menor unidade de ação ou atividade que se pode planejar e avaliar em
separado e, administrativamente, implantar. Tem característica não repetitiva de
trabalho.
11. Atividade é um conjunto de ação com características repetitivas, utilizadas para
atingir e/ou manter metas e objetivos.

14
 12. Plano de ação é um conjunto de ações integradas pra atingir determinada meta,
com indicação de quem, quando e aonde serão executadas. Pode incluir projetos e
implantações de atividades.
13. Método é um caminho geral para resolver problemas.
14. Norma é um conjunto de regras obrigatórias que disciplinam uma atividade.
Regra é uma restrição imposta a procedimentos, processos, operações ou
equipamentos.
15. Procedimento é a descrição detalhada de um processo que se realiza em
bateladas.

Pode ser organizacional ou operacional.

A organização adota o sistema de gestão escolhido entre os disponíveis ou cria um
próprio. São bastante difundidos: Gerencia por Objetivos (GPO), Gestão pela Qualidade Total
(GQT) e Gerência pelas Diretrizes. Apresentaremos os elementos básicos do sistema de gestão
que consideremos capaz de promover o bom desempenho da Função Segurança. Esse sistema
será chamado de Sistema de Gestão Holístico.

2.1.1 SISTEMA DE GESTÃO HOLÍSTICO

A integração dos esforços da organização depende de comunicação eficiente e esta

requer o compartilhamento de uma concepção holística e de uma estrutura conceitual comuns
(Cardella, 1999).

Metodologia de gestão

Cada função vital requer um sistema de gestão coerente com o sistema de gestão
holístico. Assim, podemos ter os sistemas de gestão da produtividade (SGP), sistema de gestão
da qualidade (SGQ), sistema de gestão da segurança (SGS) sistema de gestão ambiental (SGA)
e sistema do desenvolvimento de pessoas (SGP). O sistema de gestão dar função segurança
pode ser decomposto em sistema de gestão de risco e sistema de gestão de risco e sistema de
gestão de emergências.
A gestão holística utiliza duas abordagens. A gestão funcional otimiza o
desempenho de duas funções setoriais, ou seja, dos subsistemas da organização. A gestão
interfuncional otimiza o desempenho de funções de nível superior. Na gestão o enfoque é
reducionista. Na interfuncional é sistêmico. Os dois enfoques se complementavam na gestão
holística. Na prática, a gestão funcional é exercida pelos setores da estrutura formal e a
interfuncional por comitês compostos por representantes dos setores, podendo ser conduzida
por uma liderança de nível superior.
O método básico de gestão, cujo processo é composto pelas funções planejar,
executa e controlar aplica-se tanto a gestão funcional como a interfuncional.
O planejamento tem por produto o plano de ações. A execuções é a efetivação das
ações do plano. O controle é composto pelas funções: medir, comprar, decidir e intervir.
A medição é a determinação do valor assumido por uma ou mais variáveis. É feita
na atividade de monitoramento. A comparação requer a definição de padrões. A decisão é a
escolha de uma ou mais alternativas e é influenciada por diversos fatores, tais como: modelo de

15
controle adotado, política, diretrizes, recursos disponíveis e cenário. A intervenção é o
conjunto de ações que têm por finalidade promover modificações.

Estrutura de programas

Os programas são setoriais ou sistêmicos. Os sistêmicos estão voltados pra as

funções vitais e seu desenvolvimento requer equipes multidisciplinares e multifuncionais.
Pode-se criar programas sistêmicos para todas as funções vitais, como de desenvolvimento
cultural, programas da função produtividade, programas da função qualidade dos produtos,
programas da função segurança, programas da função preservação ambiental e programas da
função desenvolvimento de pessoas.

Clima organizacional

O estado emocional de uma pessoa é caracterizado pela emoção ou emoções

dominantes em determinado momento ou intervalo de tempo. Clima organizacional é o estado
emocional da organização. Um estado emocional é caracterizado da organização quando
predomina num número suficientemente elevado de pessoas, a ponto d prevalecer sobre o
estado emocional de qualquer indivíduo.
As emoções básicas: são prazer, tristeza, raiva e medo. A intensidade das emoções
varia numa faixa limitada por emoções extremas. Assim, o prazer varia da satisfação ao êxtase
estando dentro desses limites o amor e a alegria; a tristeza varia do desapontamento ao
desespero; o medo, da timidez ao horror; e a raiva do descontentamento ao ódio.
Podemos ter diversos tipos de clima, dependendo do estado emocional dominante.
Assim, temos clima de triste, medo, raiva ou prazer.
O clima resulta de fatores internos e externos. Entre eles podemos citar a visão de
futuro, ameaças externas, situação política, econômica e social do país, grau de satisfação das
necessidades das pessoas, ângulo de aderência organização/componentes, pólos da
organização, liderança, cultura organizacional, sistema de gestão e ângulos de aderência entre
sistema de gestão, cultura organizacional e liderança.
O termo clima deve ser utilizado para condições de longo prazo. No curto prazo é
melhor falar em tempo organizacional, pois da mesma forma que regiões de clima seco têm
dias chuvosos, organizações de clima alegre podem ter período de tristeza.

Recursos da organização

As organizações precisam de recursos pra produzir produtos. Vamos considerar 11

recursos 11 recursos (figura 2.4): tempo, espaço, energia, material, equipamento, e instalação,
conhecimento, informação, experiência, homem, habilidade e criatividade.
Alguns articulistas têm criticado o uso do termo recursos humanos por considerar
que ele coloca o ser humano na condição de simples recurso da empresa. Vamos empregá-lo
com outro significado. Recursos humanos são recursos que o ser humano possui e que pode
aplicar na organização. Homem, experiência, habilidade, conhecimento e criatividade são
recursos humanos. O homem pode ser desdobrado em homem físico, homem emocional e
homem racional. Experiência, habilidade, conhecimento e criatividade são analisados como
recursos independentes na abordagem reducionista. Na abordagem holística os recursos
humanos devem ser observados em conjunto, pois o homem é um todo integrado.

16
 Para desempenhar bem determinada função o individuo deve ser qualificado.
Qualificação é o cabedal de conhecimentos e atributos que o habilitam a desempenhar uma
função. Geralmente, e qualificação é atestada num processo de certificação, ao final do qual
alguém certifica que o candidato tem qualificação e lhe fornece um certificado.
A análise dos recursos envolvidos no exercício de função promove o entendimento
e a racionalização. Faremos alguns comentários para o caso da organização para controle de
emergências.

Figura 2.4 Recursos de uma organização

1.Tempo
Recurso inelástico! Na função resgatar vítimas não há como aumenta-lo. Quando uma pessoa
sofre parada cardíaca, o tempo disponível para salva-la é de três minutos.

2.Espaço
É essencial para a função evacuação. O espaço inclui localização. Muitas vezes dispomos do
espaço requerido, mas ele não se encontra no melhor local.

3.Energia
As energias elétrica e térmica acionam motores de bombas d’água, a energia química do óleo
diesel movimenta viaturas e os homens usam energia biológica (muscular) no manuseio de
equipamentos de combate a incêndio.

4.Material
Água, líquido gerador de espuma e pó químico são materiais utilizados no combate a incêndio.

5.Equipamento e instalação
Extintores e viaturas para combate a incêndio, contador geiger para controle de radiações
ionizantes, radio e telefone para comunicações e relações públicas.

6.Conhecimento
O conhecimento compreende ciência e tecnologia. Os conhecimentos estão na cabeça das
pessoas e em livros. O combate a incêndio requer conhecimento de química do fogo, de
Mecânica dos Fluidos e de eventos perigosos.

17
7.Informação
Informação é um dado relevante. A eficácia do combate a incêndio num tanque de óleo
combustível requer informações sobre o volume de óleo armazenado, ponto de fulgor,
diâmetro do tanque. As informações estão na memória das pessoas, livros e disquetes de
computador. Enquanto os conhecimentos permanecem válidos por períodos muito longos, anos
ou mesmo séculos, as informações podem mudar a cada minuto.

8.Homem
O homem compreende as pessoas e seus atributos físicos, emocionais racionais, como audição,
visão, força, muscular, peso, temperamento e inteligência. Não inclui conhecimento,
experiência, habilidade ou criatividade. Pode ser desdobrado em homem físico, homem
emocional e homem racional.
É um recurso humano básico sobre o qual se pode adicionar habilidade e experiência.
A combinação de homem e tempo é expressa em homem-hora (HH).
O controle de emergência requer um numero adequado de pessoas para cada cenário
acidental.Essas pessoas são selecionadas por critérios de altura, força muscular e outros
atributos físicos, emocionais e racionais.

9.Habilidade
Habilidade é a capacidade de fazer bem uma tarefa. A habilidade resulta de potencial próprio e
de treinamento. Exemplos: habilidade em dirigir veículo, soldar tomar decisões e falar em
público.O controle de emergência requer habilidade no uso de equipamentos e no resgate de
vítimas.

10.Experiência
Experiência é conhecer pela vivencia, acompanhamento e observação.É o Knowhow, aquilo
que se aprende fazendo, observando e testando. Esta na cabeça das pessoas, documentos, fotos
e filmes. Pode ser individual ou organizacional. É organizacional se estiver difundida de tal
maneira que não se perca com a saída de um ou alguns indivíduos. É importante fazer a
distinção entre conhecimento, experiência e habilidade.
Considere-se a atividade de soldagem. O engenheiro estuda em livros para adquirir
conhecimentos de resistência de materiais e técnicas de soldagem. Entretanto, só adquire
experiência após meses ou anos acompanhando serviços de solda, fazendo testes e qualificando
soldadores. Mesmo assim, não desenvolve habilidade para soldar, a menos que também exerça
a atividade de soldador.

11. Criatividade
Compreende energia psíquica, empenho, dedicação, cuidado, vontade de resolver, melhorar,
prazer em executar o trabalho. Não implica necessariamente a criação de algo novo. Tal é sua
importância que optamos por considerá-la um recurso à parte.
O homem pode ter atributos físicos, emocionais, racionais, conhecimento, experiência e
habilidade, mas seu trabalho não tem qualidade, produtividade e segurança se não coloca
criatividade no que faz.

18
2.1.2 CAMPO DE FORÇAS ORGANIZACIONAL

O campo de forças organizacional é a própria função reguladora da organização.

Resulta de três componentes: sistema de gestão, cultura organizacional e liderança. Esses
componentes interagem entre si modificando-se. A figura 2.5 ressalta a existência dessas
interações.
É interessante comparar as funções reguladoras que atuam nas organizações
japonesas e européias. Na Europa, o sistema de gestão adquiriu papel predominante coma às
normas ISO23. No Japão, o que se almeja comandar com normas já é comandado pela cultura,
ou seja, as normas não são tão necessárias para obter qualidade.
A orientação dos recursos também depende do meio no qual estão imersos. O meio
físico tem relutância magnética e o meio organizacional tem relutância organizacional. Esta
resulta de diversos fatores, como clima organizacional, complexidade de estrutura
organizacional, cultura, características das pessoas e pólos da organização. Os recursos têm
diferentes suscetibilidades a ação dos componentes do campo organizacional. A criatividade,
por exemplo, é muito susceptível á ação da liderança. A liderança incentiva criatividade e
iniciativa.

Figura 2.5 Interações entre elementos do campo de forças Organizacional

Além do campo organizacional, há campos individuais e externos.

O individual é interno em cada pessoa. Em alguns casos, prepondera no comando
das ações do individuo.
O externo resulta na cultura e leis da comunidade e pode exercer forte
influência.Vamos analisar um exemplo para esclarecer melhor essa influencia. Suponhamos
que as instruções de segurança de uma empresa dêem total prioridade aos pedestres no transito
interno. Mesmo sob comando das normas, o motorista tem dificuldade em desobedecer
comandos da cultura da sociedade em que vive: “Acelere e avance sobre pedestres que
atravessam a rua”.

19
2.2 GESTÃO DE RISCOS

A Função Segurança pode ser desdobrada em duas funções auxiliares. Controlar

Riscos e controlar Emergência. A Função Controle de Riscos ou simplesmente Controle de
Riscos tem por objetivo manter os riscos abaixo de valores tolerados. De certa forma ela
abrange a Função Controle de Emergência, pois quando projetamos um sistema de controle de
emergências também estamos controlando riscos. A Função Controle de Emergência só é
efetivamente exercida quando os fatores latentes começam a se manifestar como fatos reais.
Vamos designar abreviadamente por Gestão de Riscos a Gestão da Função Controle
de Riscos. O sistema de Gestão de Riscos é o conjunto de instrumento que a organização
utiliza para planejar, operar e controlar suas atividades no exercício da Função Controle de
Riscos. São instrumentos do sistema de gestão: princípios, política, diretrizes, objetivos,
estratégias, metodologia, programas, sistemas, organizacionais, sistemas operacionais.

2.2.1 PRINCÍPIOS DA GESTÃO DE RISCOS

A Função Controle de Riscos pode ser exercida por meio de sistemas altamente
sofisticados, como o de uma unidade industrial, ou muito simples, como o de um trabalhador
que controla os riscos de suas atividades. Em qualquer dos casos, adotaremos os seguintes
princípios.
I. Nas organizações e sociedades, o acidente é um fenômeno de natureza
multifacetada, que resulta de interações complexas entre fatores físicos, biológicos,
psicológicos, sociais e culturais.
II. Todos os acidentes podem ser evitados.
III. “Os acidentes ocorrem porque a mente se envolve com o trabalho e esquece do
corpo”.
IV. Um indivíduo não consegue, sozinho, controlar os riscos de sua atividade.

O segundo princípio tem validade dentro de determinados limites que abrangem a

quase totalidade dos casos que nos interessam estudar.Estão fora desses limites as situações nas
quais o homem não dispõe de conhecimento ou tecnologia suficientes para evitar o acidente. É
o caso do choque de grandes meteoros contra a Terra.Talvez no futuro seja possível detectá-los
e interceptá-los a tempo. O quarto princípio decorre do terceiro. O envolvimento com a missão
leva as pessoas a negligenciar a segurança. Portanto, é preciso contar com a atuação de outros
indivíduos ou organizações cuja missão seja promover a segurança.
O objetivo de Gestão de Riscos é manter os riscos associados á organização abaixo
de valores tolerados.

2.2.2 POLÍTICA DE GESTÃO DE RISCOS

A política estabelece as regras comportamentais da organização. Portanto, cada

organização, família, pessoa ou sociedade deve estabelecer sua própria política, que é sempre
um reflexo de seus valores. Propomos as regras básicas:

a. A apresentação de pessoas tem prioridade sobre a preservação de bens.

20
 b. Quem responde por um a atividade deve responder também pelos riscos
decorrentes dessa atividade.

2.2.3 ESTRATÉGIA DA GESTÃO DE RISCOS

Para estabelecer a estratégia é preciso considerar a natureza do fenômeno acidente,

um evento indesejável, incerto e remoto. As pessoas tendem a priorizar outras questões em
detrimento das ações que integram a função segurança. Portanto, a estratégia do sistema de
gestão deve ser estabelecida a de modo a reduzir o desequilíbrio das forças impulsoras do
comportamento. Apresentaremos uma estratégia para a gestão de riscos:

Criar eventos certos, desejáveis e imediatos dos quais as pessoas não possam esquivarse.

Explicitando: a liderança deve estabelecer uma agenda de reuniões de segurança

para ser rigidamente cumprida, de forma “sagrada”, “chova ou faça sol”. A razão entre
reuniões realizadas e programadas é um indicador de sistema do sistema de gestão. Indicadores
de desempenho para as ações desenvolvidas pelos integrantes da organização também devem
ser estabelecidos e acompanhados de forma sistemática. E só há duas alternativas: ou a
liderança mostra, investindo seu próprio tempo, que esta se envolvendo com a segurança, ou
mostra que seu envolvimento não vai além dos discursos.

2.2.4 METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS

O processo de gestão de riscos é composto pelas funções identificar perigos, avaliar

riscos comparar com risco tolerado e tratar riscos. Identificação de perigos e avaliação de
riscos constituem a análise de riscos. Identificação, avaliação e comparação constituem o
monitoramento.Monitoramento e intervenção constituem o controle. O tratamento dos riscos
inclui a intervenção para redução e/ou transferência (seguro).
O processo de gestão é aplicado ás áreas de ação e ás fases do ciclo de vida dos
elementos da organização (pessoas, instalações e produtos).

Áreas de ação da gestão de riscos

A Gestão de Riscos requer algum tipo de divisão da organização e das atividades

em áreas de ação. A pode ser por área geográfica ou funcional e cada unidade é uma área de
ação.É preciso levar em conta as particularidades de cada área e agir localmente, mas os
programas devem ser desenvolvidos de forma integrada, pensando globalmente. Assim,
podemos dividir a organização em: atividades da organização, atividades fora do trabalho,
transportes, atividades contratadas e uso dos produtos da organização.
O controle de riscos das atividades fora do trabalho é importante, porque o que
ocorre com os componentes fora da organização tem impacto negativo sobre ela. Um
empregado que se acidenta no jogo de futebol ou na pescaria é um empregado não apto para o
trabalho.
Os acidentes com familiares aumentam o absentismo. Os riscos associados ao
transporte de pessoas e produtos apresentam características especiais que requerem abordagem

21
também, especial. A contratação envolve a execução de serviços por pessoas de cultura e
conhecimentos diferentes dos existentes na organização. Além disso, essas pessoas não estão
familiarizadas com os riscos associados às instalações, embora devam conhecer os inerentes às
atividades que exercem. Essas características justificam uma abordagem especial.
Dentro de qualquer área de ação, podemos proceder a uma divisão por área física
em ruas, unidades industriais, almoxarifados; por área funcional: soldagem, manutenção
predial; por sistema: elétrico ar comprimido; e fase do ciclo de vida.
Um sistema de controle de riscos tem por objetivo manter determinado risco abaixo
do valor tolerado. Quando o sistema tem por finalidade controlar o risco introduzido, podemos
chamá-lo de filtro de risco. Uma vez introduzido um risco, pode ser difícil reduzi-lo.
Mais fácil e econômico é filtrá-lo, permitindo a introdução de um risco residual que
não eleve o total a valores que ultrapassem o tolerado. E há um filtro adequado para cada fase
do ciclo de vida.
Há três tipos de objeto:

a. Instalação e equipamentos

Quando o objeto é uma instalação ou equipamento, podemos identificar as

seguintes fases: implantação (projeto conceitual, projeto básico, projeto de detalhamento,
aquisição, construção e montagem, condicionamento), operação de desativação.
Cada fase requer técnicas especificas de controle de risco. A fase mais econômica
para efetuar o controle de risco é a de projeto.
A fase operacional pode ser subdividida em infantil, adulta e senil. Na fase infantil,
a taxa de falhas (falhas por hora, falhas por ano) é mais elevada por causa de falhas de
montagem, defeitos de fabricação ou inexperiência operacional. Na fase adulta, sanados os
problemas da fase infantil, reduz-se a taxa de falhas, mas alguns riscos são introduzidos pelo
desgaste decorrente da operação normal ou por sobrecargas e intervenções. Na fase senil, o
desgaste dos componentes eleva a taxa de falhas.
Na fase de desativação, o que resta das instalações transforma-se em resíduos que
podem provocar danos ao meio ambiente.

b. Produtos

Quando o objeto é um produto podemos identificar as seguintes fases no ciclo de

vida: implantação (desenvolvimento, produção, armazenagem, transporte, distribuição),
operação (uso) e desativação (disposição de resíduos).

c. Pessoas

Quando o “objeto” é uma pessoa, podemos identificar as seguintes fases:

implantação (seleção, formação, treinamento), operação (trabalho normal) e desativação
(prédesligamento e desligamento).

22
2.2.5 PROGRAMAS DA GESTÃO DE RISCOS

Nem toda intervenção para controle de ricos tem efeitos imediatos. Ao contrário, a
maioria tem tempo de reação elevado, podendo requerer anos em alguns casos, como as
crenças e valores.Por isso as alterações almejadas requerem planos de ação de longo prazo,
denominados programas. Podemos criar um programa para cada área de ação: programa de
segurança nas atividades da organização, programa de segurança nas atividades fora do
trabalho, programa de segurança no uso dos produtos da organização. Em função da natureza
multifacetada da segurança, os programas devem ser desenvolvidos por equipes
multidisciplinares. Essa é uma forma de executar na prática a gestão holística da organização.
Além dos programas por área de ação, podemos criar programas básicos para dar suporte ao
controle de riscos nas diversas áreas. Exemplo: programa de desenvolvimento cultural do tipo
SOL (Sinalização – Organização – Limpeza). Esse programa não deve ser especifico da
segurança, pois as questões culturais são comuns às demais funções vitais. A atividade de
monitoramento de segurança deve incluir programas permanentes de inspeções planejadas e de
auditorias.
Além desses, que se recomenda manter de forma permanente, há os de existência
restrita às fases de implantação e consolidação de algum método de controle de risco.
Exemplos: programas de desenvolvimento do sistema de autorização para trabalho,
de implantação do registro e análise de ocorrência anormais e de implantação de análise de
risco.

MONITORAMENTO DE SEGURANÇA

Monitoramento é a verificação periódica dos atributos de um objeto. Os atributos

são anatômicos ou fisiológicos. Alguns são verificados diretamente, enquanto outros requerem
aplicação de estímulos para serem revelados. Quanto á freqüência de verificação, são contínuos
ou descontínuos. Os descontínuos são aleatórios ou têm freqüência determinada.
O monitoramento requer o uso de instrumentos como diagnóstico, auditorias e
indicadores.
Para registrar a realidade que será retratada por indicadores no diagnóstico e na
auditoria, recorre-se a técnicas de análise de risco, como a Inspeção Planejada e o Registro e
Análise de Ocorrências. Essas ferramentas têm em comum a operação de verificação da
congruência da situação observada com um padrão, cujo produto são os desvios.
O monitoramento é atividade essencial ao exercício das funções operação e
manutenção. Tanto numa como noutra deve ser utilizado para focalizar o ambiente, insumos,
produtos, agentes de ruptura e sistemas de controle de emergência.

Indicadores de segurança

Indicador é um símbolo criado para representar uma realidade. O monitoramento

produz indicadores. Podem ser atributos do objeto monitorado ou derivados por fórmulas,
algoritmos ou correlações. O atributo de maior interesse nos estudos de segurança é o risco e
este não pode ser conhecido de forma direta, mas indireta, por meio de atributos e fenômenos
da realidade que possam ser observados. O risco resulta de duas forças contrárias, o perigo e a
função segurança. Portanto, o monitoramento deve ter indicadores de perigo, da função

23
segurança e do risco. Os indicadores de perigo incluem os de agressividade, capacidade
agressiva, mobilidade e expansividade, exposição e freqüência de demandas; os da função
segurança incluem os de liderança, cultura organizacional, sistemas de gestão e sistemas
operacional de controle de riscos e de emergências; e os indicadores de risco incluem os de
ocorrência anormais, acidentes, danos e perdas?
Se conhecermos as relações de causalidade entre os fatores do risco (estado físico
das instalações, agressividade dos agentes, comportamentos) e suas manifestações (ocorrência
anormais e acidentes) podemos obter inferências do risco. A relação de causalidade é
determinísticas quando um acontecimento necessariamente produz o outro; é probabilística
quando a ocorrência de um envolve a ocorrência do outro com determinada probabilidade; e é
de correlação observável entre causa e efeito. Nos sistemas mecânicos, as relações são
determinísticas e os comportamentos são previstos com exatidão. Nos sistemas de elevado grau
de complexidade, como os ecológicos, há predominância de relações probabilísticas e de
correlação. Qualquer que seja a causalidade, ela pode ser muito fraca, fraca, medianamente
forte, forte e muito forte.
Vamos apresentar algumas propriedades que devem ser consideradas na seleção dos
indicadores de monitoramento.
Fidelidade é a qualidade de não ser susceptível a distorção. O indicador fiel é
refratário a distorções. Distorção é a diferença entre o indicado e a realidade. A taxa de
freqüência de acidentes não é um indicador de alta fidelidade, pois fatores organizacionais e
culturais podem fazer com que acidentes deixem de ser relatados.
Sensibilidade é a qualidade de poder detectar pequenas variações da realidade.
Quanto mais sensível, menores as variações detectadas. Para pequenas variações da
realidade, o indicador deve apresentar grandes variações nas medidas. Por exemplo, o número
de acidentes de pequena gravidade é mais sensível que os dos acidentes de alta gravidade.
Tempo de resposta é o tempo que o indicador necessita para indicar uma variação
do estado da realidade.Um indicador pode ser fiel e sensível, mas muito lento.

Auditoria de segurança

Auditoria de segurança é a avaliação sistemática, documentada e periódica da

eficiência e eficácia da organização no exercício da função segurança. Geralmente, dá maior
ênfase ao sistema de gestão. Focaliza política, diretrizes, programas, planos de ação, normas e
procedimentos. A liderança é pouco analisada e a cultura, menos ainda. A razão parece estar no
fato de que é mais fácil avaliar ou modificar procedimentos do que crenças e valores. Portanto,
a maioria dos indicadores gerados pelas auditorias refere-se ao sistema de gestão. Há três tipos
de auditoria: a setorial é feita por equipe do próprio órgão; a corporativa, por equipe
multidepartamental; e a externa, por força de legislação ou certificação.

Diagnóstico de segurança

O diagnóstico de segurança consiste em abordar a organização, caracterizando-a do

ponto de vista de segurança. O diagnóstico é fundamental para elaborar o plano de ação de
melhorias. A auditoria focaliza mais intensamente a função segurança, enquanto o diagnóstico
focaliza também os perigos e riscos. Na função segurança, a auditoria focaliza fortemente o
sistema de gestão, enquanto o diagnóstico focaliza igualmente o sistema de gestão, a liderança
e cultura organizacional. A auditoria requer padrões específicos para o sistema auditado,

24
enquanto o diagnóstico utiliza conceitos e padrões mais amplos que se aplicam a qualquer tipo
de organização. Uma vez elaborado o plano de ação de melhorias, a variação da conformidade
com o plano é feita por auditoria.

2.3 ANÁLISE E CONTROLE DE RISCOS

Análise é a divisão de um todo em partes e o estudo minucioso dessas partes.

Análise de Risco é o estudo detalhado de um objeto com a finalidade de identificar
perigos a avaliar os riscos associados. O objeto pode ser organização, área, sistema, processo,
atividade, intervenção. O analista efetua a divisão segundo o critério que lhe parecer mais
conveniente. O todo pode ser o objeto cujo risco se pretende analisar ou o risco global
associado ao objeto. Portanto, pode-se dividir áreas em áreas menores, sistema em subsistemas,
processos em função, operação e atividade em etapas, e o risco global em riscos físicos,
químicos, biológicos e ergonômicos. Análise de Risco também é chamada de Análise de
Perigos. Os dois termos podem ser utilizados, pois a análise de riscos compreende identificação
de perigos e avaliação dos riscos associados, e a análise de perigos sempre implica numa
avaliação de risco, mesmo que essa avaliação seja qualitativa.
O método de análise de riscos consiste em dividir o objeto e identificar perigos e
analisar riscos em cada elemento. A identificação de perigos e a avaliação de riscos requerem o
uso de técnicas como a Análise Preliminar de Riscos e o Hazop.

2.3.1 MECANISMO DE PRODUÇÃO DE DANOS

Utilizaremos dois modelos de mecanismo de produção de danos. O primeiro

focaliza a relação agente agressivo X alvo e o segundo, as falhas dos sistemas que compões a
organização.

a. Os danos decorrem da relação agente agressivo X alvo

Três fatores concorrem para produzir o dano: agente agressivo, alvo e exposição.
Para facilitar a visualização, vamos utilizar a equação: D=Aa .E.Av (equação 6.1) e, que:D =
dano decorrente da ação do agente agressivo sobre alvo; Aa = agente produzido pela agente
agressivo mas isso só ocorre se existir um alvo e se esse alvo for exposto. O dano não ocorre
na ausência do agente, do alvo ou da exposição. Se um dos fatores for nulo, o produto (dano)
também será. O controle pode ser feito sobre um, dois ou três fatores.
Para exemplificar, considere-se um vaso de pressão contendo amônia. Para que a
amônia cause danos é preciso que: (a) seja liberada no meio ambiente;(b) haja pessoas no
campo de ação agressiva; (c) essas pessoas sejam expostas sem proteção.

b. Os danos e perdas decorrem de falhas nos sistemas que compõem organização

Uma organização é composta por sistemas organizacionais e sistemas operacionais.

A função reguladora do sistema organizacional é constituída por: sistema de gestão, cultura
organizacional e liderança. Os elementos desse sistema são as unidades organizacionais a as
pessoas. O sistema operacional tem por função reguladora o processo e por elementos, os

25
recursos. Exemplos de sistemas operacionais: sistema de usinagem, de armazenamento, de
transporte e elétrico. As falhas nos sistemas organizacionais são causas básicas a as falhas nos
operacionais são causas imediatas de danos.
O mecanismo da produção de danos obedece á seguinte lógica:

“Se ocorrer um demanda e falharem os sistemas do controle de emergência, então o dano

ou perda ocorrem.”

Demandas são eventos que demandam pela ação de sistemas de controle de

emergência para que a seqüência que leva aos danos não prospere. Freqüência de demandas é o
número de eventos na unidade de tempo. Essa variável tem por unidades ano-1, hora-1. Há
quatro tipos de demanda: inerentes ao sistema, decorrente de falhas humanas, decorrentes de
falhas de equipamento e decorrentes da ação de agentes externos.
Demandas e falhas de sistema de controle são fatores do risco. Uma descrição
completa do mecanismo de produção de danos é obtida respondendo às seguintes perguntas:
por que e com que freqüências ocorrem às demandas? Por que, como e com que probabilidade
falham os sistemas de controle de emergência?
Homens e equipamentos geralmente criam demandas quando falham no modo ação
estranha ou ato estranho. Exemplo: uma válvula de controle fecha ou é fechada indevidamente.
A demanda inerente na decorre de falhas. Está associada ao próprio funcionamento do sistema
e faz parte da atividade. A entrada do biólogo no viveiro de cobras é demanda inerente para a
qual não está previsto nenhum sistema de recomposição. O próprio evento perigoso-ataque da
cobra é inerente e o dano é evitado pelo uso de proteção.
A demanda gerada por agente externo resulta da instalação do sistema não tem
nenhum controle. É o caso dos agentes da Natureza, como vento, tufão, terremoto. Noutros
casos, é possível influir na freqüência e/ ou na intensidade.
O sistema de controle de emergência tem por finalidade evitar que a série de
eventos que levam ao evento perigoso prospere, ou, se ele ocorrer , reduzir as conseqüências.
Quando chamado a atuar, o sistema de controle de emergência pode estar no estado
falho.
A probabilidade de falhas de u sistema de controle de emergência pode ser
estimada: (a) pela fração de tempo morto, ou seja, a fração de tempo durante a qual o sistema
fica inoperante; (b) pela razão entre o número de vezes que o sistema opera de modo falho e o
número de vezes que é solicitado a operar.
As falhas dos sistemas de controle podem ter três causas: falhas humana, falha de
equipamento e inexistência de sistema de controle. Essa última ocorre quando em alguma fase
do empreendimento decidiu-se não implantar ou esqueceu-se de implantar o sistema de
controle.
Quando uma fase do empreendimento introduz um fator do risco (agente promotor
de falhas, ausência de sistema de proteção ou demanda inerente), há falha do sistema de
filtração de riscos.

26
2.3.2 IDENTIFICAÇÃO DE PERIGOS

Perigo é a qualidade (propriedade) daquilo que pode causar danos. Portanto,

identificar perigos e identificar substâncias perigosas, agentes perigosos, produtos perigosos,
situações perigosas, eventos perigosos, operações perigosas ou eventos danosos.
A escolha do tipo de perigo depende do método adotado e dos objetivos do estudo,
mas a análise dos riscos associados sempre requer a identificação de eventos perigosos, pois a
eles podemos associar freqüências e conseqüências. Para identificar eventos perigosos, pois a
eles podemos associar freqüência e conseqüência. Para identificar eventos perigosos identifica-
se agentes agressivos fontes possibilidades de liberação, alvos e possibilidades de exposição.
Em muitos casos, a identificação de perigos pode ser feita se técnicas especiais, e noutros
requer aplicação de técnicas que serão apresentadas ao longo da disciplina.

2.3.3 AVALIAÇÃO DE RISCOS

Fatores do risco

O risco associado ao evento perigoso resulta da freqüência e da conseqüência do

evento. Portanto, a avaliação do risco compreende a avaliação da freqüência e da conseqüência
do evento perigoso. Ambas podem ser qualitativas, semiquatitativas ou quantitativas. Análises
quantitativas requerem sofisticação técnicas de calculo e bancos de dados nem sempre
disponíveis ou confiáveis. A avaliação de freqüência requer Análise por Árvore de Falhas9 e
dados de freqüência e de probabilidade de eventos básicos. 10 A avaliação de conseqüências
requer modelos matemáticos para simulação dos fenômenos envolvidos.Antes de se lançar á
avaliação quantitativa, o analista deve responder ás seguintes perguntas:

a. O custo da avaliação se justifica? As medidas de controle recomendadas pela

avaliação quantitativa serão muito diferentes das recomendadas pela avaliação
qualitativa?
b. Considerando que a contribuição das falhas humanas e das Falhas de causa
comum (FCG)11 são difíceis de avaliar, pode-se afirmar que a avaliação
quantitativa tem a exatidão pretendida?

Grande parte das medidas de controle de risco não resulta de cálculos sofisticados,
mas de visão holística da segurança, conhecimento sobre falhas humanas, comportamento,
SOL (Sinalização, Organização e Limpeza) e BPT (Boas Práticas de Trabalho).

Avaliação de freqüência

Antes de tratar da avaliação de freqüências, vamos chamar a atenção para uma

questão que gera alguma confusão nos estudos de análise de risco: a diferença entre freqüência
e probabilidade. Freqüência é o numero de ocorrência na unidade de tempo e tem por unidades
ocorrência/ ano ou ano-1e ocorrência/hora ou hora-1.Probabilidade é um numero puro (não tem
unidades) que assume valores entre 0 e 1. Nas avaliações de freqüência, podem ocorrer
operações de multiplicação de probabilidade por probabilidade e freqüência por probabilidade.

27
Não tem sentido multiplicar freqüência, engano parar o qual devem estar atentos aa que não
têm prática em avaliação de risco.
A freqüência de um evento pode ser avaliada de duas maneiras. A primeira é direta.
A segunda é indireta e consiste em avaliar a freqüência do evento de interesse a partir de
freqüência e probabilidade de eventos que se combinam para produzi-lo.
Na avaliação quantitativa direta utilizam-se dados históricos. Há dois casos a
considerar.
No primeiro interessa conhecer a probabilidade de ocorrência do evento
indesejável, dado que outro evento, o evento suporte, ocorreu. Por exemplo, o evento partida
de motor gera a possibilidade de ocorrência do evento indesejado-motor falha em partir. A
freqüência do evento suporte (fs) é o numero de ocorrências num intervalo de tempo. A
freqüência do evento indesejável (f) é o número de ocorrência desse evento no mesmo
intervalo de tempo. Se dispusermos de dados experimentais ou históricos de fi e fs a
probabilidade de ocorrência do evento indesejável (pi) pode ser estimada pela expressão:

pi= f i / fs.

Essa probabilidade é utilizada na avaliação da freqüência do evento indesejável.

Conhecido o número de ocorrência do evento suporte, basta multiplicá-lo pela probabilidade de
ocorrência do evento indesejável.
Se fs muito elevada, pi deve ser muito baixa para que fi também seja baixa. Uma
probabilidade á primeira vista muito baixa não ser aceitável se a freqüência do evento suporte
for muito alta, pois a freqüência do evento indesejável pode resultar inaceitável. Um exemplo
ajudará a entender melhor essa questão. Considere-se a probabilidade de uma falha do correio
no envio de cartas. Seja 10-5 essa probabilidade, que equivale a um a folha para 100.000 cartas
enviadas.
Para a pessoa que envia uma carta a probabilidade é baixa. Entretanto, se 100
milhões de cartas são enviadas no natal, temos 1.000 cartas extraviadas, o que não parece
aceitável.
No segundo caso, interessa conhecer a freqüência do evento indesejável associado
ao exercício d uma atividade ou à operação continua de um equipamento. Essa freqüência é o
numero de vezes que o evento indesejável ocorre no intervalo de tempo (ano, hora). Exemplo:
número de vezes que rompe um vaso de pressão num ano de operação. No caso, o evento
suporte é a própria operação continua do equipamento ou o exercício da atividade.

28
Tabela 2.1 – Freqüência de Eventos Perigosos

A avaliação quantitativa indireta é utilizada quando as freqüências envolvidas são

muito baixas, da ordem de uma vez a cada 100, 1.000, ou 10.000 anos. Nesse caso, é
impraticável estimar a freqüência de falhas observando um único dispositivo. Mas dispondo de
dados de grande quantidade de dispositivos semelhantes, pode-se estimar a freqüência de falha
dividindo o total de falhas pelo tempo ou número de eventos-suporte e pelo número de
dispositivo. O número obtido tem unidades de falhas/ (dispositivo-ano).
Avaliação qualitativa direta de freqüência pode ser efetuada por comparação do
evento analisado com eventos-padrões cuja freqüência é conhecida ou com dados históricos ou
ainda com o que é esperado ocorrer na opinião de pessoas experientes. Para facilitar avaliação,
vamos definir a variável nível de freqüência, Nf = 10log (f /f0), em que Nf é expresso em
decibéis e f0 é a freqüência de referência. Adotando f0 = 1 ocorrência por ano, á formula é
simplificada para Nf é = 10 log f. Na Tabela 2.1 apresentamos freqüências e níveis de
freqüência de eventos de referência.
A Tabela 2.2 apresenta uma alternativa mais simples para categorizar freqüências.
A cada categoria associamos um número.

29
 Tabela 2.2 – Categorias de Freqüência

A avaliação quantitativa da freqüência de eventos que resultam de combinações de

outros eventos pode ser feita a partir das freqüências e probabilidades dos eventos que se
combinam para gerá-lo. O estudo desses casos é de grande interesse para os estudos dos
acidentes maiores na indústria e requer técnicas do tipo Análise por Árvore de Falhas. Um
exemplo facilitará a compreensão do método.
Considere um vaso de aço contendo gás pressurizado. Considere uma válvula de
alívio que atua caso a pressão interna atinja o valor de projeto. O vaso é o sistema de contenção
e a válvula de alivio é o sistema de recomposição que neutraliza o agente de ruptura (pressão
elevada). O vaso é submetido á pressão elevada se ocorrerem dois eventos simultâneos, ou
seja, guardando uma relação “e”: pressão se eleva e válvula de alívio falha de emergência; e o
terceiro, vaso submetido a pressão maior que a de projeto, que resulta dos anteriores, é um
evento perigoso de nível superior.
Suponhamos que a freqüência da demanda seja 0,2/ano (uma a cada cinco anos) e
que a freqüência de falhas de válvula de alívio seja 0,01/ano (uma a cada cem anos).
Se a válvula é testada uma vez por ano, será encontrada no estado falho uma vez a
cada 100 anos em média. Como não sabemos quando ocorreu a falha, vamos supor que foi no
meio do intervalo entre testes, ou seja, a válvula ficou seis meses no estado falho.
Assim, temos seis meses de estado falho em 100 anos, ou seja, uma fração de tempo
morto de 0,005. A fração de tempo morto é uma estimativa da probabilidade de falha de
válvula.Quando ocorre a demanda, a probabilidade do sistema d controle de emergência estar
no estado falho é 0,0005 ou 0,5% do tempo. A freqüência do evento perigoso de nível superior,
vaso submetido à pressão elevada, é calculada por (0,2/ ano) (0,005) – 0,001 ou uma vez em
1.000 anos.
No exemplo não nos deparemos com uma relação “ou”. Essa relação existe quando
a ocorrência de um dos eventos é suficiente para que o evento de nível superior ocorra. Por
exemplo, se três eventos podem produzir a demanda – pressão se eleva – deve-se somar as
freqüências desses eventos para obter a freqüência da demanda.
A avaliação quantitativa de freqüência ajuda a entender melhor o significado de
determinados termos, como estar em perigo, correndo perigo e correndo risco. Suponhamos o
evento danoso-homem é atacado por cão feroz. A situação normal é cão preso por corrente

30
dentro do quintal cercado por muro e portão fechado, e homem na rua. A partir desse estado
inicial, a freqüência de ataque é baixa, pois o evento danoso só ocorre na simultaneidade dos
eventos: homem esta no quintal “e” cão solta-se da corrente. Seja p1 a probabilidade do evento
e, p2,a do segundo. Se os eventos são independentes, a probabilidade do evento danoso, pd, é
igual ao produto p1.p2, que é muito menor que p1 ou p2, pois esses números são menores que
a unidade e geralmente muito pequenos. Entretanto, a partir do momento que o homem pula o
muro e entra no quintal, o primeiro evento já ocorreu, e a probabilidade do evento danoso
passa a ser p2, probabilidade do cão soltar-se, muito maior que o produto p1.p2. O perigo,
aquilo que tem potencial para causar danos, no caso o ataque do cão, esta muito mais próximo
de ocorrer e daí nascem às expressões: situação de perigo, em perigo e correndo perigo.Nesse
momento, o risco atinge valor muito maior que o esperado para um período maior, a partir da
situação normal. Daí surgem expressões do tipo: correndo risco, arriscar-se.

Avaliação de conseqüências

A análise de conseqüências tem por objetivo avaliar o campo de ação do agente

agressivo, calculando a capacidade agressiva em cada ponto. O estudo requer a utilização de
modelos matemáticos e as dificuldades para se obter resultados de alta fidelidade não são
poucas. Pra fazer a análise de conseqüências, devemos escolher o evento perigoso de nível
adequado. Nos vazamos de líquidos inflamáveis, por exemplo, interessam os eventos perigosos
incêndio e explosão. Os incêndios podem ser em poças jato de fogo, flash e bola de fogo; as
explosões podem ser deflagrações ou detonações. A radiação térmica provoca ema taxa de
incidência, medida em kcal/ (h . m2) que é reduzida á medida que aumenta a distância do
incêndio, e a explosão produz uma onda de pressão cuja intensidade é reduzida á medida que
aumenta a distancia do centro. Se o produto vazado é tóxico, interresa saber como ele se
comporta após o vazamento, principalmente quando à direção e concentração em cada ponto
do espaço. A concentração é reduzida à medida que aumenta a distancia do ponto de
vazamento.
Os efeitos da exposição aos campos de ação agressiva são estimados quantitativa
por estudos que utilizam modelos de vulnerabilidade. Esses modelos fornecem previsões de
danos para pessoas, ambiente e patrimônio expostos ao impacto (número de vitimas, número
de feridos). As equações matemáticas são desenvolvidas para cada tipo de evento. Deve-se
tomar cuidado na utilização dos resultados, principalmente no caso de substancias tóxicas, pois
as equações foram desenvolvidas a partir de danos muito limitados ou de experiências com
animais.

31
Tabela 2.3 – Categorias de Conseqüências

Ao evento danoso está associada uma conseqüência, o dano ou perda esperados. A

gravidade das conseqüências depende da capacidade agressiva do agente, nocividade do agente
nocivo inoculado, vulnerabilidade, susceptibilidade e capacidade de assimilação do alvo, e do
tempo de exposição. Se forem utilizados registros de ocorrência anormais para facilitar a
avaliação, deve –se trabalhar com conseqüências esperadas e não com as verificadas e nas

32
ocorrências relatadas. Isso porque alguns eventos podem ter provocado danos muito diferentes
do esperado. Por exemplo, a picada de abelha tem por dano esperado um inchaço
acompanhado de dor, ou seja, de pouca gravidade. Entretanto pessoas alérgicas podem morrer
em conseqüências da picada. O sistema de controle riscos não deve ser concebido com base
nessa conseqüência de baixa probabilidade. Se isso for feito. Teremos que projetar sistemas de
elevado custo para evitar que as abelhas e pessoas tenham qualquer contato. Por outro lado,
pessoas sabidamente sensíveis devem tomar alguns cuidados e o sistema de recuperação deve
prever o rápido atendimento.
A tabela 2.3 apresenta uma classificação qualitativa das conseqüências dos eventos
danosos. Nessas tabelas, focalizamos danos sofridos pelo homem, mas podem-se construir
tabelas semelhantes para danos ao meio ambiente e patrimônio. Também pode sr conveniente
elaborar tabelas especificas para cada caso em estudo, pois uma tabela para danos patrimoniais,
por exemplo, pode ter perdas da ordem de cem milhões de dólares no extremo da escala. Se
perdas de milhares de dólares significarem fracasso total para o sistema em estudo, ou seja,
forem catastróficas, a tabela padronizada não é adequada.

Avaliação de conseqüências

A avaliação final do risco se dá as cruzar as categorias de freqüências e

conseqüências na Tabela 2.4.
Assim encontra-se a categoria de risco, a qual pode ser qualitativamente definida na
Tabela 2.5, a qual apresenta o nível de controle desejado.

Tabela 2.4 – Riscos Resultantes de Freqüências e Conseqüências

33
Tabela 2.5 – Categorias de Risco

Gravidade dos acidentes do trabalho

A gravidade dos acidentes do trabalho é expressa pela Taxa de Gravidade e pelos

Dias Computados. O calculo da Taxa de Gravidade é feito em dois passos, conforme ABNT-
NB 18.
No primeiro, calculam-se os Dois Computados somando-se os Dias Perdidos o os
Dias Debitados. Dias Perdidos são os dias de ausência do emprego ao trabalho. Os Dias
Debitados só são adicionados quando há incapacidade permanente e são obtidos de uma tabela
que fornece o número de dois dias em função da natureza da incapacidade. No segundo passo,
calculam-se quantos seriam os Dias Computados em um milhão de horas d exposição ao risco,
obtendo-se a Taxa de Gravidade. Portanto, os dias computados indicam a perda provocada pelo
acidente em dias de trabalho; a taxa de Gravidade, a perda relativa um milhão de horas de
exposição ao risco.
Consideremos dois acidentes que podem ocorrer numa indústria:
a. uma secretaria desce do ônibus ao chegar ao trabalho. Escorrega-torção no
tornozeloacidente do trabalho. Conseqüências: 25 dias de afastamento. Reflexo na
Taxa de Gravidade mensal:125.
b. um operador de processamento de petróleo inspeciona o maçarico de um forno. O
óleo combustível quente escorre-atinge seu rosto e braço-acidente em trabalho.

Conseqüência: 20 dias de afastamento. Reflexo na taxa de gravidade mensal: 100.

Serão os Dias Computados e a Taxa de Gravidade bons indicadores da gravidade
dos acidentes? Os dois casos descritos mostram que não. No segundo, os danos físicos são

34
mais graves e há danos psicológicos, não só para acidentado, mas também para os familiares e
colegas, atingindo também o moral da equipe.

O que se quer medir com os Dias Computados e a Taxa de Gravidade?

O calculo desses indicadores nos revela que eles medem a perda de capacidade
produtiva! Os números não retrataram o sofrimento físico e psicológico do acidentado, dos
familiares e colegas ou o impacto no moral da equipe e da organização. A tabela dos Dias
Debitados, conforme NR-5,21 revela o enfoque predominante. Se um trabalhador perde um
dedo do pé, que não o dedo grande, debitam-se zero dias. Nenhum, reflexo nos indicadores
porque a perda não interfere na capacidade produtiva (??). E o sofrimento decorrente da perda
dedo? E os danos psicológicos que se refletiram pelo resto da vida?
Por outro lado, os Dias Perdidos estão sujeitos á variabilidade da avaliação médica
que determina o tempo necessário á recuperação. Estão sujeitos também ao critério adotado
pela empresa para mudar temporariamente o emprego de função. Não somos contra esses
procedimentos, mas julgamos que devam influir nos indicadores de produtividade e não nos de
gravidade dos acidentes.

2.3.4 ELEMENTOS DE CONTROLE DE PROCESSO

O risco pode ser considerado uma variável de processo de um sistema. Portanto,

uma visão geral dos elementos de controle de processo é extremamente útil ao entendimento
do controle de riscos.
Variáveis controladas ou dependentes são as saídas do processo. O valor desejado
é o set point ou ponto de ajuste. No controle de riscos, o risco é a variável controlada e o ponto
de ajuste é o risco tolerado.
Variáveis manipuladas ou independentes são entradas do processo. São os graus de
liberdade disponíveis para variar o processo visando manter as saídas sob controle. No controle
de riscos são manipuladas horas de treinamento, qualidade do treinamento, confiabilidade dos
equipamentos, número de inspeções planejadas, qualidade das inspeções.
Variáveis perturbações também são entradas do processo, com a particularidade de
não estarem disponíveis para manipulação. As perturbações fazem o risco variar ao longo da
semana, do dia das horas. Algumas perturbações não produzam variações significativas.
Outras podem levar inclusive á perda do controle. Durante um dia de trabalho,
variam a disposição física e o humor das pessoas. Noticias, boatos, pessoas saindo ou voltando
de férias ou de folgas, mudanças de campanha, equipamento ou matéria-prima, e muitas outras
variáveis, incluindo os próprios acidentes, introduzem perturbações que tendem a alterar o
valor da variável controlada (risco).
O controle on-off ou liga-desliga caracteriza-se pela atuação do elemento final de
controle somente quando a variável controlada atinge valores limites. É o caso do controle de
nível de um vaso no qual a válvula da tubulação de saída é aberta quando o nível atinge o
limite superior do controle e é fechada quando o nível atinge o limite inferior. O controle on-
off, embora inadequado, é freqüentemente adotado no controle de riscos. Quando ocorrem
acidentes graves (limite superior do controle) são tomadas medidas corretivas.Com o passar do
tempo, na ausência de acidentes graves (limite inferior de controle), os controles são relaxados
e os riscos passam a crescer até que um novo acidente grave ocorra.

35
 No controle em cascata, a primeira variável controlada estabelece o ponto de ajuste
da segunda variável controlada. Por exemplo, no controle de nível de um tanque, o nível
(primeira variável controlada) estabelece o ponto de ajuste da vazão de saída (primeira variável
manipulada). A vazão de saída (segunda variável controlada) é controlada pela abertura da
válvula de saída (segundo variável manipulada). Analogamente, no controle de risco atua-se
nas horas de treinamento para controlar a habilidade, que por sua vez controla o risco.
Controle proporcional é o que tem o sinal do controlador (elemento final de
controle) proporcional ao erro ou desvio – diferença entre o valor atual da variável controla e o
set point (ponto de ajuste). Entretanto pode ser que a ação não emite totalmente o desvio. No
controle de riscos,a dimensão das medidas é proporcional ao desvio entre riscos atual e o risco
tolerado, mas não há a preocupação em continuar atuando para eliminar totalmente o desvio. O
controle integral ou reajuste age enquanto persistir qualquer desvio entre o valor da variável e o
ponto de ajuste. NO controle de riscos, corresponde ás ações de melhoria continua exercida de
forma permanente e com firmeza de propósitos, no sentido de manter o risco totalmente o
desvio.
O controle derivativo amplifica ação do controlador em função da velocidade da
variação do sinal de desvio. Quanto maior a velocidade, mais amplifica a ação derivativa. É
utilizado no controle de variáveis que respondem com algumas lentidões a uma variação na
entrada ou perturbação na variável de controle. A lentidão decorre da capacidade do sistema.
Exemplo: Considere-se o controle de temperatura de saída de um forno. Se a carga do forno
entra mais fria, a temperatura de saída não cai quase nada instantaneamente como aconteceria
com a vazão do liquido cuja pressão a montante fosse alterada. Pelo mesmo motivo, o efeito da
ação de controle também é retardado. A derivativa antecipa-se e atua em função da velocidade
de variação da temperatura de saída. No controle de risco, corresponde ás ações tomadas com
agilidade. Quando o número de acidente começa a crescer é porque as causas ganharam
intensidade e o aumento maior só não é imediato por causa da inércia do sistema. Portanto, a
ação derivativa visa deter o aumento dos acidentes.
A ação deve ser tanto mais energia quanto mais rápida a taxa de elevação do
número de acidentes.
Controle Poe retroalimentação (feedback) é o que atua no sentido de compensar o
sistema quando os efeitos de uma perturbação (p) já acontecem. Com base no erro (e) gerado
pelo efeito estufa da perturbação, o controlador atua na variável manipulada (m) para trazer o
sistema de volta á situação desejada ou set point (sp) (figura 2.2). No controle de riscos,
corresponde á adoção de medidas corretivas em função de ocorrência anormais, ou seja, dos
efeitos da manipulação do risco.
Controle antecipatório (feedforward) é o que atua de modo a corrigir o sistema
antes que os efeitos da perturbação se manifestam. Atuam na variável manipulada como
conseqüência da medida da perturbação em si ou de alguma variável mais próxima dela
(Figura 2.3). NO controle de risco, corresponde á adoção de medidas corretivas em função de
análise de riscos realizados antes do sistema ser colocado em operação ou sofrer intervenções.
O controle a partir de análises efetuadas após a introdução dos riscos não caracteriza um
controle antecipatório, mas feedback, pois o risco já está presente e só não se manifesta devido
a sua natureza probabilística.
Controle inferencial: na malha de controle clássico, mede-se a variável de saída ou
controlada,que é influenciada pela ação de controle (também medida) e por perturbações (nem
sempre mensuráveis). Freqüentemente, a dificuldade desse tipo de controle é a medição das
variáveis secundárias mensuráveis e da variável manipulada (também mensurável) para

36
estimar, o valor da variável controlada por meio de correlações matemáticas (Figura 6.4).
Portanto, trata-se de um trabalho de correlacionar e estimar, prever ou inferir o valor de uma
variável que se deseja controlar, mas que não se consegue medir. No controle de riscos,
corresponde de trabalho e comportamento inseguros. O risco é obtido por inferência.
Controle avançado: é um controle multivariável. Consiste em medir os valores de
diversas variáveis e, por meio de algoritmos de cálculo, estabelecer as alterações nas variáveis
manipuladas. Analogamente, o controle avançado de riscos utiliza muitas variáveis não
lineares. Esse controle requer visão holística.

2.3.5 CONTROLE DE RISCOS

A função Controlar Riscos pode ser desdobrada em Controlar Freqüência e

Controlar Conseqüências do evento perigoso. Esse desdobramento (Figura 2.1) é fundamental
para a concepção do sistema de controle de riscos que abranja tanto ações de controle de
freqüência como de controle de freqüência como de controle de conseqüências.
Pra construir um modelo de controle (Figura 2.5), vamos considerar um sistema exercendo sua
missão num meio ambiente. O risco é um dos produtos do sistema e resulta de interação
complexas entre diversos fatores associados a recursos, processos, sensores e controlador.
Como ocorrem danos reais, incorporamos ao modelo um gera ocorrência anormais segundo a
distribuição de probabilidades do risco introduzido na entrada.
Além dos riscos gerados pelo sistema, área ou atividade, há os introduzidos pelas
intervenções. O sistema de controle dos riscos das intervenções (Figura 6.6) trabalha sob
orientação do controlador geral.
Padrão é a referência para avaliar o desempenho do sistema. No caso, o padrão é
rico aceito ou tolerado. Segundo termo é mais recomendado, pois na realidade as pessoas não
aceitam o risco, o toleram. As pessoas toleram o risco associados a determinada atividade em
razão dos benefícios que essa atividade lhes proporciona. O risco de uma industria é mais
tolerado por seus empregados que pelas pessoas da comunidade vizinha, pois a atividade
industrial lhes garante salários e benefícios. O risco tolerado é um parâmetro fundamental para
os sistemas de gestão de riscos. É estabelecido por algum critério de tolerabilidade que sofre
influencias do cenário social e político e da situação econômica, financeira e cultural da
organização e da sociedade.
Sensor é o dispositivo que mede o desempenho do sistema. O primeiro sensor
avalia o risco e informa o controlador. É importante detectar a variação do risco no primeiro
sensor (sensor tipo 1) para que ações corretivas sejam tomadas antes das ocorrências anormais.
Alguns riscos não detectados no primeiro sensor são detectados no segundo. Em média, o
segundo sensor detecta grande número de ocorrências sem danos ou perdas ou com perdas
pouco significativas antes que um evento de conseqüências graves ocorra. Esperar por
ocorrências graves para tomar medidas corretivas não é uma boa política de segurança.
O sensor do tipo I utiliza técnicas de Identificação de perigos e Análise de Riscos,
tais como: APR (análise Preliminar de Riscos), What if? (e se?), Hazop (estudos de
identificação de Perigos e Operabilidade), Listas de verificação (check list), Análise
Quantitativa de riscos inspeções Planejada, AMFE (análise de Modas de Falha e Efeitos), Aaf
(Análise por Árvore de Falhas), Análise comparativa e Análise pela Matriz das Interações.
Os sensores do tipo II utilizam o Registro e a Análise de Ocorrência Anormais.
Geralmente, a analise é apresentada num Relatório de Análises de Ocorrências (RAO). Os

37
relatórios de analise de ocorrências de sistemas semelhantes ao analisando têm papel
semelhante aos dos sensores do tipo I.
O sensor do tipo 0 identifica riscos antes que sejam introduzidos no sistema. É um
componente do sistema de controle de risco das intervenções.
O controlador compara o desempenho do sistema com padrões e introduz ações
corretivas para anular o desvio. Essas ações constituem o plano de ação para controle de riscos.
Para defini-lo, controlador pode utilizar um dos diversos tipos de controle de riscos. Para
defini-lo, o controlador pode utilizar um dos diversos tipos de controle apresentados nos item
anterior e seu processo interno envolve ainda:modelo do mecanismo de produção de danos,
avaliação dos riscos, risco tolerado, desvios, orientações da liderança, do sistema de gestão e
da cultura da organização. Na prática o controlador não é uma pessoa, mas um conjunto de
pessoas ou mesmo órgãos da organização.
O controlador pode manipular diversas variáveis para efetuar a intervenção. A
escolha de variável manipulada obedece a algum critério. Todo critério envolve um parâmetro
e uma regra. O parâmetro pode ser o ganho da variável, de maior ganho. O ganho (K) é a
variação na variável controlada por unidade de variação da variável de controle: K= (variável
controlada)/(variável de controle).
A media de investimentos em determinada variável, o ganho tende a diminuir para
novos incrementos, até ser atingido o ponto de saturação, partir do qual não há alteração da
variável controlada ou o custo para obtê-la é muito elevado. Para cada variável há um ponto
ótimo, partir do qual é melhor investir em outra. Por exemplo, se aumentarmos a habilidade
dos operadores, reduziremos o risco. Entretanto, a partir de determinada habilidade não adianta
continuar investindo em treinamento alem, do necessário para mantê-la. Devem-se considerar
outras variáveis como confiabilidade de equipamento e o procedimento. É preciso considerar
também a possibilidade de existência de sinergia positiva entre duas ou mais variáveis.
Por outro lado, toda alteração tem um custo, (preço) associado. A relação
ganho/preço é o valor absoluto da alteração e o controlador deve optar pela alteração de maior
valor relativo.
Plano de Ação para Controle de Riscos ou simplesmente Plano de Controle de
Riscos (PCR) é um conjunto de ações que alteram valores de variáveis manipuladas. É
instrumento de intervenção e, dependendo da dimensão dos riscos, dos sistemas e das
organizações envolvidas, pode ser muito simples ou bastante complexo. Pode conter ações de
curto, médio e longo prazo.
O plano de ação para intervenção num sistema operacional atinge causas imediatas.
O plano de ação para intervenção num sistema organizacional atinge causa básicas.
A elaboração do plano de ação é facilitada pela utilização dos modelos do mecanismo
de produção de danos.

I – Os danos decorrem da relação agente agressivo x alvo

Para exemplificar consideremos um vaso de pressão contendo amônia. Para que

amônia cause danos 28 é preciso que: (a) seja liberada no meio ambiente; (b) haja pessoas no
campo de ação agressiva; (c) essas sejam pessoas expostas sem proteção. Para evitar danos, ou
não permitimos que a amônia vaze, ou impedimos a presença de pessoas (automaticamente
operações), ou eliminamos a exposição tipo IV por meio de proteção (máscara).

Controle no agente

38
(a) Eliminar a fonte ou reduzir a qualidade e/ a energia agressiva (substituindo substâncias
perigosas por inertes, reduzindo estoques de matérias primas).
(b) Reduzir a potencia das fontes contribuintes (reduzindo estoques, vazões ou pressões).
(c) Reduzir a nocividade dos agentes nocivos (substituir produtos não biodegradáveis por
biodegradáveis, produtos tóxicos por outros menos tóxicos).
(d) Reduzir a freqüência das falhas de contenção, aumentando confiabilidade (tubulação com
paredes de maior espessura, maior freqüência de testes) ou implantando sistemas adicionais de
contenção (bacias de contenção ao redor de tanques armazenando), de recomposição da
contenção (válvula especiais acionadas pelo próprio fluxo do fluido que vaza) e de combate
aos agentes de ruptura (proteção catódica, válvulas de alívio).
(e) Combater agentes agressivos (diluição de gases tóxicos por insuflação de ar no ambiente,
absorção de ruído por barreiras ou filtros).
(f) Reduzir a ação de agentes promotores de capacidade agressiva (trabalhando com baixas
voltagens, baixas temperaturas) e de nocividade (eliminando cloretos de soluções de ácido
nítrico em sistemas de aço inox).

Controle no alvo

a. Reduzir a susceptibilidade por seleção (pessoas de pele clara não devem trabalhar em
salinas).
b. Reduzir a vulnerabilidade por seleção, projeto ou construção (casas de controle resistentes a
explosões).
c. Aumentar a capacidade dos sistemas de defesa dos alvos (vacinas).

Controle na exposição

Reduzir probabilidade, tempo ou categoria da exposição por:

a. Distâncias adequadas para que alvos importantes sae situam em pontos onde a agressividade
do agente é reduzida por diluição.
b. Sistemas de proteção coletiva ou individual (cabines acústicas, protetores auriculares).
c. Sistemas de isolamento (barreiras, placas,normas, treinamento).
d. Alarmes sonoros (sirene, bip), visuais (placas, cores) e olfativos (odorização com produto de
odor desagradável). Incluir treinamento em detecção de alarmes.
e. Redução da freqüência de entrada de alvos no campo de ação dos agentes (rotinas, normas,
boas práticas de trabalho).

II – OS DANOS E PERDAS DECORREM DE FALHAS NOS SISTEMAS QUE

COMPÕEM A ORGANIZAÇÃO

Podemos conceder um sistema de controle de riscos no qual o controlador atua sobre

os sistemas de controle das variáveis organizacionais e operacionais. A habilidade, por
exemplo, e uma variável de controle de riscos que o sistema de treinamento controla por meio
do número de horas ou da qualidade do treinamento.

39
 Entre as variáveis organizacionais do sistema de gestão, temos: política, diretrizes,
programas, projetos, normas, procedimentos e boas práticas de trabalho; da cultura
organizacional: valores, crenças, afetos, rituais; e da liderança: postura, empenho,
comportamento.
Entre as variáveis operacionais relativas ao homem, temos: constituição e número,
habilidade, conhecimento, criatividade e experiência; relativas aos equipamentos: unções
desempenho e confiabilidade; relativas aos processos e procedimentos: relação entre funções e
tipos de matérias-primas (anatômicas), temperatura e pressão (fisiológicas).

40
CAPITULO 3

A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS

3.1) INTRODUÇÃO

Aqui iniciamos o tópico relativo às técnicas de identificação e analise de riscos,

apresentando as mais representativas e utilizadas. São metodologias oriundas das áreas:

- engenharia de segurança de sistemas;

- engenharia de processos.

As técnicas possuem grande generalidade e abrangência, podendo ser aplicadas a

quaisquer situações produtivas.

3.2) ANÁLISE PRELIMINAR DE RISCOS

A Análise Preliminar de Riscos (APR) consiste no estudo, durante a fase de

concepção ou desenvolvimento prematuro de um novo sistema, com o fim de se determinar os
riscos que poderão estar presentes na fase operacional.
Trata-se de um procedimento que tem especial importância nos casos em que o
sistema a ser analisado possui similaridade com quaisquer outros existentes, seja pela sua
característica de inovação, ou pioneirismo, o que vale dizer, quando a experiência em riscos na
sua operação é carente ou deficiente.
Na área militar, onde surgiu, a análise foi primeiramente requerida como uma
revisão a ser feita nos sistemas de mísseis. Nessa época, existiam mísseis cujos sistemas
continham características de alto risco, havendo um grande nível de perigo em sua operação.
Basta dizer que 72 silos de lançamento do míssil balístico intercontinental “Atlas”, quatro
foram destruídos em rápida sucessão, sendo seu custo unitário igual a 12 milhões de dólares.
Esses mísseis foram projetados para operarem com combustíveis líquidos, e a análise foi
desenvolvida numa tentativa de previsão contra o uso desnecessário de materiais, projetos e
procedimentos de alto risco; ou pelo menos, para que se assegurasse que medidas preventivas
fossem incorporadas, se essa utilização fosse inevitável.
A APR é normalmente uma revisão superficial de problemas gerais de segurança;
no estágio em que é desenvolvida, podem existir ainda poucos detalhes finais de projeto, sendo
ainda maior a carência de informação quanto aos procedimentos, normalmente definida mais
tarde. Para análises detalhadas ou específicas, necessárias posteriormente, deverão ser usados
os outros métodos de análise previstos.
Uma descrição sintética da técnica é dada no Quadro 1:

41
 Quadro 1 – TÉCNICAS DE ANÁLISE
NOME: Análise Preliminar de Riscos (APR)
TIPO: Análise inicial qualitativa.
APLICAÇÃO: Fase de projeto ou desenvolvimento de qualquer novo processo, produto ou
sistema.
PRINCÍPIO / METODOLOGIA: Revisão geral de aspectos de segurança através de um
formato padrão, levantando-se causas e efeitos de cada risco, medidas de prevenção ou correção e
categorização dos riscos para priorização de ações.
BENEFÍCIOS E RESULTADOS: Elenco de medidas de controle de riscos desde o início
operacional do sistema. Permite revisões de projeto em tempo hábil no sentido de dar maior
segurança. Definição de responsabilidade no controle de riscos.
OBSERVAÇÕES: De grande importância para novos sistemas de alta inovação. Apesar se seu
escopo básico de análise inicial, é muito útil como revisão geral de segurança em sistemas já
operacionais, revelando aspectos, às vezes, despercebidos.

EXEMPLO ILUSTATIVO:

O exemplo escolhido para ilustração da APR é bastante antigo. Conta a mitologia

grega que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho Ícaro, na ilha de
mesmo nome. Com o objetivo de escapar para a Grécia, Dédalo idealizou fabricar asas, o que
fez habilidosamente com penas, linho e cera de abelha. Antes da partida, Dédalo advertiu a
Ícaro que tomasse cuidado quanto a seu curso: se voasse em um nível baixo as ondas
molhariam suas penas, e ele cairia no mar. Essa advertência, uma das primeiras análises de
riscos que poderíamos citar, define o que hoje chamaríamos Análise Preliminar de Riscos.
Adotarmos esta situação para a ilustração do formato para a APR, mostrado no
Quadro 2. As categorias de risco usadas nesse modelo nos são apresentadas em seguida no
Quadro 3 e foram adaptadas pelos autores da norma militar americana MIL-STD-882, que
procura estimar uma medida grosseira do risco presente. A mesma classificação de risco é
usada na Análise de Modos de Falha e Efeitos (AMFE), no próximo tópico.
A propósito, como é de conhecimento do leitor, Ícaro voou muito alto, e pelos
motivos expostos por Dédalo, veio a cair no mar (Ícaro era um cabeça dura).

42
 Quadro 2 - ANÁLISE PRELIMINAR DE RISCOS

IDENTIFICAÇÃO: Sistema de vôo Ded I

SUBSITEMA: Asas PROJETISTA: Dédalo
IDENTIFICAÇÃO: Sistema de vôo Ded I
SUBSITEMA: Asas PROJETISTA: Dédalo
RISCO CAUSA EFEITO CAT
RISCO
Radiação térmica do sol Voar muito alto Calor pode
em presença de derreter a cera de abelhas
forte radiação que une as penas.
Separação e perda podem
causar má sustentação IV
aerodinâmica. Aeronauta
pode morrer no mar.
Umidade Voar muito Assas podem absorver a
perto da superfície umidade, aumentando de
do mar. peso e falhando.
O poder propulsivo
limitado pode não ser IV
adequado para compensar o
aumento de peso.
Resultado: perda da
função e afogamento
possível do aeronauta.
MEDIDAS
PREVENTIVAS
OU
CORRETIVAS
Prover advertência
contra vôo muito alto
perto do sol. Manter
rígida supervisão sobre
o aeronauta. Prover
trela de linho entre os
aeronautas para evitar
que jovem, impetuoso,
voe alto. Restringir área
da superfície aerodinâmica.
Advertir aeronauta para voar à
meia altura, ou onde o sol
manterá as asas secas, ou
onde a taxa de acumulação
de umidade é aceitável para
a duração da missão.

ETAPAS BÁSICAS NA APR

Os seguintes passos podem ser seguidos no desenvolvimento de uma APR:

1. Rever problemas conhecidos – Revisar a experiência passada em sistemas

similares ou análogos, para determinação de riscos que poderão estar
presentes no sistema que está sendo desenvolvido.

2. Revisar a missão – Atentar para os objetivos, as exigências de desempenho,

as principais funções e procedimentos, os ambientes onde se darão as
operações.

3. Determinar os riscos principais – Quais serão os riscos principais com

potencialidade para causar direta e imediatamente lesões, perda de função,
danos a equipamentos, perda de material.

43
 4. Determinar os riscos iniciais e contribuintes – Para cada risco principal
detectado, elaborar as séries de riscos determinando os riscos iniciais e
contribuintes.

5. Revisar os meios de eliminação ou controle dos riscos – Elaborar uma

revisão dos meios possíveis, procurando as melhores opções compatíveis
com as exigências do sistema.

6. Analisar os métodos de restrição dos danos – Considerar os métodos

possíveis mais eficientes na restrição geral de danos, no caso de perda de
controle sobre os riscos.

7. Identificar quem levará a cabo as ações corretivas – Indicar claramente

os responsáveis pelas ações corretivas, designando as atividades que cada
unidade deverá desenvolver.

A Análise Preliminar de Riscos deverá ser sucedida por análises mais detalhadas ou
específicas logo assim que for possível. Deve ser lembrado que para os sistemas bem
conhecidos, nos quais há bastante experiência acumulada em riscos, a APR pouco adiciona.
Nesses casos, a APR pode ser colocada em by-pass, sendo indicadas às outras técnicas.
Ressalte-se, entretanto, sua reconhecida utilidade, no seu domínio de aplicação.

Quadro 3 – CATEGORIAS DE RISCO

(MIL-STD-882) ADAPTAÇÃO
CATEGORIA NOME CARACTERÍSTICAS
I Desprezível  Não degrada o sistema, nem seu funcionamento;
 Não ameaça os recursos humanos.
II Marginal/  Degradação moderada/ danos menores;
Limítrofe  Não causa lesões;
 É compensável ou controlável.
III Crítica  Degradação crítica;
 Lesões;
 Dano substancial;
 Coloca o sistema em risco e necessita de ações corretivas
imediatas para a sua continuidade e recursos humanos
envolvidos.
IV Catastrófica  Séria degradação do sistema;
 Perda do sistema;
 Mortes e lesões.

Exemplo de aplicação:

No quadro 4, temos um exemplo da APR a um sistema já operacional, onde se pode

ver sua utilidade como forma de revisão geral de riscos.

44
 Quadro 4 – ANÁLISE PRELIMINAR DE RISCOS (APR)
Serviço de Instalações telefônicas em altura e em caixas subterrâneas
RISCO CAUSA EFEITO CAT. MEDIDAS PREVENTIVAS
RISCO
Alta voltagem Contatos com Choque elétrico; IV Treinamento;
equipamentos de outra Supervisão;
concessionária; Uso de EPI;
Raios. Queimadura grave; IV Construir terra adequada.
Morte.
Queda pela Escada Falta de amarração da Lesão; IV Supervisão;
escada; Fratura; Uso de EPI;
Não utilização do EPI Morte. Treinamento.
(cinto).
Agentes químicos Animais em decomposição; Mal-estar; IV Uso de detectores de gases;
(entrada em caixas Vazamento de Lesão; Supervisão;
subterrâneas) concessionária de Morte. Ventilação.
gás/esgotos.
Explosão na caixa Presença de misturas Queimadura grave; IV Uso de detectores de explosividade;
subterrânea. explosivas e fontes de Fratura; Ventilação;
ignição. Morte. Supervisão.
Atropelamento Sinalização insuficiente; Lesão; IV Treinamento;
Falta de atenção Fratura; Sinalização adequada.
Morte.
Acidentes com Inabilidade; Lesão; IV Incentivo para reduzir acidentes
Veículos. Falta de atenção dos Fratura; com veículos;
motoristas. Morte. Manutenção preventiva;
Veículo em má Treinamento.
condição de
manutenção
Maçarico Inabilidade; Queimaduras nas II Treinamento;
Falta de atenção; mãos ou no corpo Manutenção.
Má condição de
manutenção.

45
CAPITULO 4

MÉTODOS DE ANÁLISE DE RISCOS

4.1) MÉTODOS TRADICIONAIS

São métodos baseados em:

 Avaliações pós-fato das causas produtoras de acidentes;

 Tentativas e erros;
 Levantamentos estatísticos somente de acidentes com lesões;
 Medições da falta de segurança ao invés da presença de segurança.

4.2) MÉTODOS ATUAIS

São métodos baseados na:

 Identificação dos fatores causadores de acidentes, com e sem lesão;

 Identificação de situações de incidentes que potencialmente possam resultar
em futuras lesões ou danos de naturezas diversas (físicos, materiais, etc...);
 Informação contínua da mudança do nível de segurança de um sistema e
avaliar rapidamente os esforços de prevenção de acidentes.

4.3) TÉCNICA DE INCIDENTES CRÍTICOS – TIC

O uso desta técnica é um método de identificar erros e condições inseguras, através

do depoimento de uma amostra aleatória estratificada de observadores participantes,
selecionados dentro de uma população. Os incidentes descritos por determinado número de
observadores participantes, são transcritos e classificados em categorias de risco, a partir das
quais definem-se as áreas problemas de incidentes.
É um método que contribui em identificar os acidentes com lesões tanto reais como
potenciais, através de amostragens de pessoas aleatoriamente e convenientemente selecionadas,
que sejam representativas das operações e das diferentes categorias de risco existentes na
empresa.

46
 Quadro 5 – TÉCNICA DE ANÁLISE
NOME: Técnica de Incidentes Críticos (TIC)
TIPO: Análise Operacional, Qualitativa.
APLICAÇÃO: Fase operacional de sistemas, cujos procedimentos envolvem o fator humano,
em qualquer grau.
OBJETIVOS: Detecção de incidentes críticos e tratamento dos riscos que representam.
PRINCÍPIO / METODOLOGIA: Obtenção de dados sobre os IC’s através de entrevistas
com observadores participantes de uma amostra aleatória estratificada.
BENEFÍCIOS E RESULTADOS: Elenco de incidentes críticos presentes no sistema.
Prevenção e correção dos riscos antes que os mesmos se manifestem através de eventos
catastróficos.
OBSERVAÇÕES: Relativa simplicidade de aplicação e flexibilidade;
Obtenção de informações sobre riscos que não seriam detectados por outras formas de
investigação.

É uma técnica utilizada pela Força Aérea Americana e a Westinghouse. Os

resultados da aplicação da técnica de incidentes críticos na Westinghouse apresentaram-se
satisfatória nos seguintes aspectos:

 Revelou com confiança os fatores causais, em termos de erros e condições

inseguras, que conduzem a acidentes industriais;
 Foi capaz de identificar fatores causais, associados tanto a acidentes com
lesão como acidentes sem lesão;
 Revelou uma quantidade maior deformação sobre causas de acidentes, do
que os métodos atualmente disponíveis para o estudo de acidentes e fornece
uma medida mais sensível de desempenho;
 As causas de acidentes sem lesão mostraram se que pode ser usada para
identificar as origens de acidentes potencialmente com lesão.

A Técnica de Incidentes Críticos permite identificar e examinar os problemas de

acidente antes do fato ao invés de depois do fato em termos de suas conseqüências com danos à
propriedade ou produção de lesões.

47
 Quadro 6 – NOÇÃO DE APLICAÇÃO
PARTICIPANTES
Incidentes;
Situações Potenciais de Acidentes e
Acidentes com ou sem lesão
Resultados Apurados
FORÇA AÉREA
AMERICANA
Um grande número de
pilotos
270 incidentes de erros de
pilotos, tanto na leitura dos
instrumentos como nas falhas
de comunicação (má
interpretação de sinais ou de
instruções).
Deficiências na leituras dos
instrumentos e falhas nas
comunicações (tanto humanas
como instrumentais).
WESTINGHOUSE
155 funcionários (1ª seleção)
389 incidentes, de 117 tipos diferentes;
dentre os quais 206 ocorrências de
lesões leves e 6 graves (fraturas,
ferimentos exigindo suturas e
corpos estranhos nos olhos).
-foram apurados 52,1% a mais de
ato e condições inseguras do que
em registros de 2 anos anteriores.
-67,52% dos diferentes incidentes
foram observados por pelo menos 1
pessoa e estavam ocorrendo todos
os dias durante o ano estudado.

4.4) ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE)

Esta técnica permite analisar como podem falhar os componentes de um

equipamento ou sistema, estimar as taxas de falha, determinar os efeitos que poderão advir, e
conseqüentemente, estabelecer as mudanças que deverão ser feitas para aumentar a
probabilidade de que o sistema ou equipamento funcione de maneira satisfatória. A melhor
forma de se efetuar a aplicação desta técnica é através de uma planilha que permita registrar
todas as informações e dados relativos aos sistemas e subsistemas em estudo, com os seguintes
procedimentos:

1. Divide-se o sistema em subsistemas que podem ser efetivamente controlados;

2. Traçam-se diagramas de blocos funcionais do sistema e de cada subsistema, a fim
de determinar seus inter-relacionamentos e de seus componentes;
3. Prepara-se uma listagem completa dos componentes de cada subsistema,
registrando-se ao mesmo tempo, a função específica de cada um deles;
4. Determinam-se, através da analise de projetos e diagramas, os quatro possíveis
modos de falha que poderiam ocorrer e afetar cada componente: operação
prematura, falha em operar num tempo prescrito, falha em cessar de operar num
tempo prescrito e falha durante a operação.
5. Indicam-se os efeitos de cada falha específica sobre outros componentes do
subsistema e, também, como cada falha específica afeta a missão do mesmo;
6. Estima-se a gravidade de cada falha específica, de acordo com as seguintes
categorias ou classes de risco:

I – Desprezível
II – Marginal

III – Crítica

48
 IV – Catastrófica

7. Indicam-se, finalmente, os métodos de detecção de cada falha específica e as

possíveis ações de compensação e reparos que deverão ser adotadas para eliminar
ou controlar cada falha específica e seus efeitos.

A Análise de Modo de Falha e Efeitos é muito eficiente quando aplicada a sistemas

mais simples ou falhas singelas. Suas inadequações levaram ao desenvolvimento de outros
métodos, tais como Análise de Árvores de Falhas (AAF), que a completa muito bem e que será
abordada logo mais.

Exemplos:

Para assimilação apresento a seguir dois exemplos de aplicação da AMFE: um

sobre uma caixa d’água residencial e outro sobre um reator exotérmico, mostrando a
generalidade da técnica e o seu potencial da análise na área de processos.

Quadro 7 – ANÁLISE DE MODOS DE FALHAS E EFEITOS – Caixa D’água

Componentes Modo Modo CAT. risco Métodos Ações de compensação
de Falha de Falha de detecção reparos observações
Em outros No subsistema
componentes como um todo
Flutuador (Bóia) Falha em Válvula Nenhum II Observar Excesso de água
flutuar de entrada saída do pelo ladrão
abre; ladrão, (válvula de alívio);
Recipiente consumo Reparar ou Substituir bóia;
pode ir ao excessivo. cortar suprimento.
nível máximo.
Válvula de entrada Emperra Flutuador Nenhum II Idem Idem; reparar ou substituir
aberta (falha fica submerso; válvula;
em fechar Recipiente cortar suprimento.
quando o pode ir ao
nível sobe) nível máximo
Válvula de entrada Emperra Flutuador Suprimento IV Falta de Reparar ou substituir
fechada fica suspenso; cessa água, havendo conseguir suprimento
(falha em Recipiente água na rede externo.
abrir quando pode ir ao de entrada.
o nível desce) nível máximo
Válvula de alívio Falha em Nenhum Nenhum I Inspeção Desentupir a menos
(bóia) Dar vazão periódica; que combinada com
(Entope) testes outras falhas, sem
importância.
Válvula de entrada Emperra Flutuador Operação IV Umidade; Cortar suprimentos
e abertar fica submerso; aparentemente Infiltração; (água, energia);
Válvula de alívio Recipiente normal; Choque Utilizar água (descarga);
(Entope) pode transbordar Risco e acidentes nos registros; desintupir ladrão;
elétricos no Consumo reparar ou substituir
recinto da caixa; excessivo válvula.
Tubulação
pode ficar
energizada.
Recipiente (caixa) Rachadura, Nenhum Suprimento IV Iguais ao Cortar suprimentos;
colapso cessa Item anterior Reparar ou substituir

49
 Quadro 8 – AMFE DO REATOR EXOTERMICO
Componentes Modo EFEITOS CAT. risco Métodos Ações
de Falha Em outros No de detecção de compensação
componentes sub-sistema reparos observações
como um
todo
Válvula TV1 Falha Vaso perde Operação de III RV1-Visual -Bypass manual em H1;
fechada Refrigeração Alto risco; TA1-Auditivo -Inerente (sistêmica)-RV1;
RV1 abre Perda de TC1-Visual -Presença do Operador CTE
Produto (risco
Externo)
Falha aberta Vaso refrigerado Reação lenta I
Válvulas Falha I Inspeção; Irrelevante a menos que
Bypass fechada Outras falhas combinada com outras falhas;
Manual H1 sistema perde meio de
proteção
Vazando (Falha Vaso refrigerado Reação lenta I
aberta)
Controlador De Falha com TV1 aberta Reação lenta I
Temperatura TC1 Saída baixa
Falha com TV1 fechada Operação de III RV1-Visual -Bypass manual em H1
Saída alta RV1 abre Alto risco; TA1-Auditivo inerente (sistêmica)- RV1
Vaso perde Perda de TC1-Visual
refrigeração produto
Sensor Transmissor Falha com Leitura falsa Operação de III RV1-Visual -RV1 manual em H1
de temperatura Saída baixa De baixa T; Alto risco; Comparação (TARDIO)
TT1 TV1 fecha; Perda de com TG1
Perda do alarme produto
Falha com TV1 aberta Reação lenta I
Saída alta Alarme soa
Interruptor Falha aberta Alarme soa Confusão I
De pressão TS1 Operacional
Falha fechada Perda do I Inspeção -Sistema perde meio de
alarme alaerta sistema operacional
Alarme TA1 Falha I Inspeção -Sistema perde meio de
alaerta sistema operacional
Indicador Falha em baixa Perda de I Inspeção Perda de redundância na
de temperatura Indicação de periódica do indicação de temperatura
TG1 campo operador
(cada 4 horas);
Comparação
com TC1
Indicador Falha em alta Confusão I Inspeção Perda de redundância na
de temperatura Operacional periódica do indicação de temperatura
TG1 operador
(cada 4 horas);
Comparação
com TC1
Válvula de alívio Abre abaixo Perda de produto II Visual/auditivo
RV1 do set point
Falha fechada I Inspeção Irrelevante a menos que
combinada com outras falhas;
Sistema perde sua proteção
básica e última
Água de refrigeração Falha de TV1 abre Operação de III RV1- Visual Inerente- RV1
suprimento Vaso alto risco; TA1- auditivo Atuação de H1
RV1 aquece Perda de produto TC1 visual Inútil
Posição da
válvula indicada
no controlador
Falha de
refrigeração
(temperatura
aumenta)
Ar de instrumento Perda de Pressão TV1 abre Reação lenta I Configuração Fail-safe

50
51
CAPITULO 5

Análise de Árvores de Falhas

5.1) INTRODUÇÃO

A Análise de Árvores de Falhas (AAF) foi desenvolvidas pelos laboratórios Bell

Telephone, em 1962, a pedido da Força Aérea a Americana, para uso no sistema do míssil
balístico intercontinental Minuteman. Os primeiros textos sobre as AAFs foram apresentados
em 1965, em um simpósio sobre segurança, patrocinado pela universidade de Washington e
pela Boeing company, empresa no qual um grupo de engenheiros aplicou e expandiu a AAF.
A partir daí, houve uma crescente disseminação, tanto da metodologia como da
literatura descrita da técnica, destacando-se os trabalhos de Haasl, Lambert, Fussell e Henley &
Kumamoto.
J. Fussell, por exemplo, assinala em sua obra que uma Árvore de Falhas:

 Direciona a análise para a investigação das falhas do sistema;

 Chama a atenção para os aspectos do sistema que são importantes para a falha
de interesse;
 Fornece auxilio gráfico, através de uma visibilidade ampla, aqueles que devem
administrar sistemas e que, por qualquer razão, não participam das mudanças nos
projetos desses sistemas;
 Fornece opções para a análise quantitativa e qualitativa da confiabilidade de
sistemas;
 Permite ao analista concentrar-se em uma particular falha do sistema num certo
instante;
 Permite uma compreensão do sistema.

De fato, a Análise de Árvores de Falhas (AAF) é uma técnica dedutiva para a

determinação tanto de causas potenciais de acidentes como de falhas de sistemas, e para a
estimação de probabilidades de falha. Em seu sentido mais restrito, como veremos mais
adiante, a AAF pode ser vista como uma forma alternativa para a determinação da
confiabilidade de sistemas, em substituição ao uso de Diagramas de blocos de Confiabilidade.

5.2) CONSTRUÇÃO E DESENVOLVIMENTO

A AAF consiste fundamentalmente na determinação das causas de um evento

indesejado, denominado evento-topo, assim chamado porque é colocado na parte mais alta da
árvore. A partir do evento-topo, o sistema é dissecado, de cima para baixo, num numero
crescente de detalhes, até se chegar à causa ou combinações de causas do evento indesejado (o
qual, na maioria das vezes, é uma falha de graves conseqüências não só para o sistema, como
também para o meio ambiente, a comunidade e terceiros, em ter4mos e danos humanos,
materiais e/ou financeiros).
A AAF pode ser desenvolvida tanto qualitativa como quantitativamente. Assim, ela
pode ser usada, na forma qualitativa, para analisar e determinar que combinações de falhas de

52
componentes,erros operacionais ou outros defeitos podem causar o evento-topo, e na forma
quantitativa, para calcular a probabilidade de falha, a não confiabilidade ou a indisponibilidade
do sistema em estudo.
A estrutura básica de um Arvore de falhas (AF) está demonstrada na figura 5.1.

FIGURA 5.1-Estrutura básica de uma AF

Tais elementos básicos podem ser mais bem explicados através de um exemplo
bastante simples. Vamos analisar uma falha de energia (blackout) num hospital (deixamos para
o eleitor a tarefa de imaginar as possíveis conseqüências que uma falha desse tipo pode
acarretar...)
Por simplicidade, vamos assumir que as situações a serem analisadas dizem respeito
basicamente a três componentes:

 Um sistema de energia externa, que fornece eletricidade para o hospital;

 Um gerador a diesel, que fornece eletricidade em caso de emergência;
 Um sistema controlador de voltagem, que monitora o fornecimento de energia
externa e, em caso de falhas, transmite um sinal que aciona um gerado a diesel.

Iniciaremos nossa análise controlando o blackout como evento-topo e buscando as

causas, ou combinações de causas, que podem levar à sua ocorrência. Para fazer isso, vamos
montar a arvore de falhas mostrada na figura 5.2.

53
 FIGURA 5.2 - AF de um blackout

Ao examinar as causas, verificamos que, para ocorrer o evento-topo, devem falhar o

sistema e o sistema de energia. Isto é representado por um comporta E (and) na Arvore de
Falhas.
Descendo para o segundo nível, vemos que o sistema de energia falha, se falhar o
monitor de voltagem ou gerador a diesel, que esta representado por uma comporta OU (or).
Assim, em resumo, a AF é ima estrutura de módulos ou comportas E e OU, com
retângulos contendo a descrição de eventos intermediários. Se tivermos os valores das
probabilidades de falha de cada componente, podemos então calcular a probabilidade de
ocorrência do evento-topo.
As Arvores de falhas mais simples e diretas são aquelas, como a deste exemplo, em
que todas as falhas de componentes. Nestes casos, podemos então obter a AF a partir do
diagrama de blocos de confiabilidade, e vice-versa.

Vejamos mais um exemplo. Consideramos o sistema de figura 5.3:

54
 FIGURA 5.3 – Diagrama de blocos de confiabilidade

Observa-se que, para o sistema falhar, deve falhar o componente c ou os dois

subsistemas (o superior e inferior) do diagrama. Assim, obtemos a seguinte Arvore de Falhas:

FIGURA 5.4 – Arvore de Falhas

55
 Simbologia lógica
A simbologia mais freqüentemente usada nas Análises de Arvore de falhas está
exposta na figura 5.5.

FIGURA 5.5 – Simbologia das AAFs

56
 Como exemplo podemos ter a situação abaixo:

Como já mencionamos anteriormente, uma AF é constituída de eventos, descritos

em retângulos, e de módulos ou comportas.
A comporta OU representa uma situação em que qual quer um dos eventos abaixo
da comporta (chamados eventos-entrada) levara ao evento acima da comporta (chamado
evento-saída). O evento-saída ocorrera se ocorrer somente um ou qualquer combinação dos
eventos-entrada. Representa, portanto, a união de conjuntos (eventos), como indicado na figura
5.6.

57
 FIGURA 5.6 – Comporta OU

Já a comporta E representa uma situação em que todos os eventos-entrada devem

estar presentes para que ocorra o evento-saída. Isto é, o evento-saída ocorrerá se todos eventos-
entrada existirem ao mesmo tempo. Representa, portanto, a intersecção de conjuntos (eventos),
conforme apresentado na figura 5.7.

FIGURA 5.7 – Comporta E

Um caso particular da comporta E é a chamada comporta de inibição (figura 5.8).

Ela representa uma situação que o vento-saída ocorre a partir de um único evento-entrada, mas
desde que antes seja satisfeita uma determinada condição. Esta condição é normalmente
representada por uma elipse localizada à direita da comporta.
Em outras palavras, o evento-entrada ocorre sob a condição especificada dentro da
elipse.

FIGURA 5.8 – Comporta de inibição

58
 Os retângulos, por sua vez, indicam o evento-topo e os eventos intermediários; eles
aparecem como evento-saída das comportas.
Já os eventos-entrada das comportas podem ser representados de várias formas.
O círculo representa um evento independente, isto é, um evento cuja ocorrência não
depende de outros componentes do sistema. Via de regra, indica uma falha primária ou
básica de um componente (também chamada evento básico), significando que foi alcançado
um limite de resolução adequando a AF.
O diamante/losango identifica um evento não-desenvolvido, isto é, um evento não
analisado em detalhes, devido à falta de informação ou recursos para prosseguir a análise, ou
por não ser considerado um evento suficientemente importante. Representa as chamadas falhas
secundárias de componentes (ver o item classificação da falhas).
Pode também ser usado para indicar a necessidade de ser realizada uma nova
investigação, quando se puder dispor de informação adicional. Qualquer ramo de uma AF
pode, portanto, também ser encerrado com o diamante.
A figura da casa é usada p-ara descrever um evento normal, isto é, um evento que
se espera que ocorra normalmente durante a operação de um sistema. Não representada,
portanto, uma falha, mas é um evento que deve ser analisado posteriormente em detalhes. A
casa também pode ser usada para encerar qualquer ramo da AF.
Finalmente, o triângulo é um símbolo de transferência de um ramo da AF a outro
local dentro da Arvore. Com o uso deste símbolo, não a necessidade de repetir uma seqüência
de eventos iguais e diferentes áreas da AF.
É usada também quando necessitamos de mais de uma pagina para desenhar a
arvore de famílias.
Quando a triangulo é conectado a arvore com uma linha horizontal. Tudo que é
mostrado abaixo do ponto de conexão é transferido para a outra área da AF. Essa área é então
identificada por outro triângulo, o qual é conectado a arvore com uma linha vertical.
Sempre que for necessário utilizar mais que um conjunto de símbolos de
transferência, deve-se identificar cada um deles com uma letra ou qualquer outra figura dentro
dos triângulos.

SIMBOLOGIA MATÉMÁTICA DESIGNAÇÃO

X Y  Y  X Leis Comutativas
X Y  Y  X
X  (Y  Z )  ( X Y ) Z Leis Associativas
X  (Y  Z )  ( X Y ) Z
X  (Y  Z )  ( X Y ) ( X  Z ) Leis Distributivas
X  (Y  Z )  ( X Y ) ( X  Z )
XX  X Leis Idempotentes
XX  X
X  ( X Y )  X Leis de Absorção
X  ( X Y )  X

59
XX   Complementação

XX 1
(X )  X
( X Y )  X Y Teorema de Morgan

( X Y )  X Y
 X   Outras Relações
 X  X
I X  X
I X  I
X  ( X Y )  X Y
X  ( X Y )  X Y  ( X Y )
Obs: ( = conjunto vazio; I = conjunto universo)

FIGURA 5.9 - Regras da Álgebra Booleana

Como sabemos, um sistema consiste basicamente em vários componentes, tais

como equipamentos, materiais e pessoas. Aliás, o termo componente não deve ser aqui
entendido como sendo necessariamente o menor constituinte do sistema; ele pode ser
perfeitamente uma unidade ou até mesmo um subsistema.
No desenvolvimento de uma AAF, é fundamental, conhecer-se os diversos inter-
relacionamentos e características de cada componente do sistema.
Usualmente, as falhas (ou defeitos) de componentes são classificadas em; falhas
primarias ou básicas, falhas secundarias e falhas de comando.
Por definição, uma falha primária ocorre num ambiente e sob condições nos quais
os componentes foram projetados.
Por exemplo, a ruptura de um vaso numa pressão menor que a especificada no
projeto seria classificada nessa categoria.
As falhas primárias (ou básicas) são, portanto causadas por defeitos de projeto,
fabricação e montagem, uso inadequado ou excessivo, ou quando não é feita a necessária ou
apropriada manutenção do sistema.
Em linhas gerais, pode-se dizer que elas decorem do envelhecimento natural dos
componentes, e são representadas nas AAFs – como vimos – pelo circuito.
As falhas secundárias ocorrem num ambiente e sob condições em que o
componente não foi projetado. Por exemplo, se a ruptura do vaso ocorresse devido a uma
pressão excessiva, para a qual ele não foi projetado, essa falha seria classificada como
secundária.
Como o próprio nome indica, a falha não é exatamente do componente, mas esta na
solicitação excessiva ou no ambiente que ele opera.
São representadas nas AAFs pela figura do diamante.

60
 A falha ou defeito de comando é devido a sinais de controle incorretos ou
impróprios e ruído. Na maioria das vezes, ela não exige ações de reparo para que o
componente volte a funcionar.
Assim, o nosso vaso poderia perder pressão pela abertura desnecessária da válvula
de segurança (abertura da válvula sem existência de pressão excessiva), o que seria classificado
como falha de comando e representado na AAF pelo retângulo (implicando assim o
prosseguimento da analise, com a busca e detalhamento da(s) fonte(s) do comando incorreto).

A B A B A B
0 0 0 0
1 0 0 1
0 1 0 1
1 1 1 1

FIGURA 5.10 – Lógica Booleana

A avaliação de uma AF é sempre feita em duas etapas. Na primeira, desenvolvida

de forma qualitativa, e montada uma expressão lógica para o evento-topo, em termos de
combinações (uniões e intersecções) de eventos básicos.
Torna-se importante para o leitor rever (ou conhecer) as leis, identidades e
operações da chamada Álgebra Booleana, que será aqui utilizada especialmente para
simplificar a expressão lógica da AF.
As figuras 9 e 10 mostram as principais regras e operações da lógica Booleana.
Na segunda etapa, desenvolve-se finalmente a avaliação quantitativa da AF. Após a
simplificação Booleana, utiliza-se a expressão lógica para o cálculo da probabilidade do
evento-topo, a partir das probabilidades de ocorrência das falhas básicas (ou primarias) de cada
componente, como veremos com maiores detalhes no item avaliação quantitativa.

5.3) AVALIAÇÃO QUANTITATIVA

Vamos considerar a Arvore de falhas da figura 5.11, na qual as falhas primárias

estão designadas genericamente por letras de A a C, os eventos intermediários por E, e o
evento-topo pela letra T.

61
 FIGURA 5.11 – Exemplo de uma AF

Para avaliar qualitativamente a AF, normalmente começamos pelo evento-topo e

vamos descendo pelos vários níveis da arvore, substituindo as comportas pelos símbolos OU
ou E correspondentes.
Assim, obtemos de inicio:

T= E1 ∩ E2 (1)

E1= A U E3; E2= C U E4 (2)

Substituindo as equações (2) em (1), temos

T= (A U E3) U (C U E4) (3)

Prosseguindo, verificamos que:

E3 = B U C e E4 = A ∩ B (4)

Finalmente, substituindo as expressões (4) em (3),chegamos a:

62
 T= [A U (B U C)] ∩ [C U (A U B)] (5)

Para a maioria das AFs, particularmente, para aquelas com uma ou mais falhas
primarias que ocorrem em mais de um ramo da Arvore devem ser usadas, como já dissemos
anteriormente, as regras da Álgebra de Booleana para simplificar a expressão lógica relativa ao
evento-topo.
Partido das leis e identidades apresentadas na figura 5.9 podemos então simplificar
a nossa expressão (5). Vejamos:
Aplicando a lei associativa e logo em seguida a lei cumulativa, temos:

T= [C U (A U B)] ∩ [C U (A ∩ B)] (6)

Agora, aplicando a lei distributiva com

X=˜ C, Y=˜ A U B e Z=˜ A ∩ B, obtemos:

T= C U [(A U B) ∩ (A ∩ B)] (7)

Por causa da lei associativa, nós podemos eliminar os parênteses da direita; e, uma
vez que A ∩ B = B ∩ A, reescrevemos nossa expressão:

T= C U [(A U B) ∩ B ∩ A] (8)

Finalmente, aplicando a lei de absorção (A U B) ∩ B = B, obtemos:

T = C U (B ∩ A) (9)

Verificamos com esta expressão (9) que:

- chegamos ao limite máximo de simplificação;

- a falha do sistema, que corresponde ao evento-topo T, é causada pela falha C ou
pela ocorrência simultânea das falhas A e B.

Portanto, o evento-topo pode ocorrer por meio de dois modos de falha: M = C ou

M2 = A ∩ B podemos traçar então a nossa AF simplificada, conforme o exposto na figura 5.12
a seguir.

63
 FIGURA 5.12 – AF Simplificada equivalente a figura 11

Avaliação quantitativa

Tendo obtido, na sua forma mais simplificada, a expressão lógica para o evento-
topo T, em termos de falhas básicas, estamos agora preparados para calcular a probabilidade de
ocorrência do evento-topo.
Neste ponto, sugerimos ao leitor rever (ou conhecer) princípios básicos do Cálculo
de Probabilidade (*), para melhor acompanhar os nossos próximos passos.
Observando a expressão simplificada T=C U (B ∩ A), verificamos que temos de
aplicar primeiramente o principio da probabilidade da união (**), para calcular a
probabilidade de ocorrência do evento-topo T, que designaremos por P(T).

Assim, obtemos:

P(T)=P(C)+P(BUA)–P(AUBC) (10)

Se os eventos básicos (falhas primarias) forem independentes, as intersecções

podem ser traduzidas pelo produto das respectivas probabilidades individuais. Desta forma,
teremos:

P(T)=P(C)+P(B).P(A)–P(A).P(B).P(C) (11)

Entretanto, se houver dependência entre eventos, devemos determinar os valore de

P(B∩A) e P(A∩B∩C), utilizando tratamentos mais sofisticados como, por exemplo, os
chamados Modelos de Markov.
Mesmo quando assumimos que as falhas são independentes, podemos nos defrontar
com outro tipo de problema: Arvores de falhas muito extensas, com inúmeras falhas de

64
componentes, em que há dezenas ou até centenas de termos de diferentes magnitudes a serem
considerados.
É muito importante, neste caso, adotar uma forma sistematizada que nos dê
aproximações aceitáveis, sem necessidade de avaliamos todos os termos.
Uma vez que as probabilidades de falha dificilmente são conhecidas com uma
precisão maior do que duas ou três casas após a virgula, somente poucos termos têm
significância efetiva. Por exemplo, suponhamos que na equação (11) as probabilidades A, B e
C fossem, respectivamente, 10-2, 10-4 e 10-6 . Cada um dos dois primeiros termos da (11) seria
então da ordem de 10-6, o ultimo ermo seria de ordem de 10-2, o qual poderia ser considerado
desprezível, quando comparado aos dois primeiros.
Outra abordagem bastante utilizada na pratica é chamada aproximação pelo evento
raro, a qual também nos dá aproximação aceitáveis para valores de probabilidades inferiores a
0, 10.
Assim,nessa abordagem, quando tivermos a equação básica para P(XUY), ou seja,
P(XUY)=P(X)+P(Y) – P(X∩Y), poderemos assumir que a probabilidade da intersecção
(X∩Y), isto é, a probabilidade de ocorrência simultânea dos eventos X e Y é,
aproximadamente, zero. Desta forma, estaremos adotando:

P(XUY)≈P(X)=P(Y), (12)

Que nos da uma aproximação conservadora (pessimista) de probabilidade de falha

do sistema.
Mais, voltando o nosso exemplo, se adotarmos a aproximação pelo evento raro, a
equação (11) poderá então ser reescrita como:

P(T) ≈P(C)+P(B).P(A) (13)

A combinação dessa forma aproximada com a assunção de independência dos

eventos, freqüentemente, nos permite obter resultados aceitáveis para a probabilidade de
ocorrência do evento-topo. Para tanto; fazemos a avaliação de baixo para cima da AF, e vamos
simplesmente multiplicado as probabilidades relativas as ocorrências E e somando as
probabilidades relativas às comportas OU.
Todavia, muito cuidado deve ser tomado quando tomado esse procedimento, porque
o mesmo só se aplica a arvores nas quais não a repetição de eventos básicos (uma vez que
eventos repetidos não são independentes) ou a arvore que forma logicamente reduzida a uma
forma em que cada falha primaria aparece uma única vez.
No tópico seguinte, mostramos outra sistemática para truncar expressões longas (e
proibitivas) que aparecem em arvores de falhas extensas, as quais, alias, são as que mais
ocorrem na pratica.

Avaliação da Arvores de Falhas

Os procedimentos que acabamos de discutir no item anterior nos permitam avaliar

AF s com relativamente com poucos ramos e eventos básicos. Quando temos arvores de falhas
maiores, digamos com mais de 20 falhas primárias, tanto a avaliação como a interpretação dos
resultados torna-se consideravelmente mais difíceis, sendo então recomendável o emprego de
códigos de computadores.

65
 Tais códigos ou algarismos são normalmente formulados em termos dos chamados
conjuntos mínimos catastróficos (CMCs) que discutimos nesse item.
Um CMC (ou Minimal Cut Set, em inglês) é definido como sendo a menor
combinação de falhas primarias que causara a ocorrência do evento-topo, se todas elas
ocorrerem. É, portanto, uma combinação (isto é, intersecção) de falhas básicas suficientes para
causa evento-topo.Todas elas têm que ocorrer no CMC; mesmo se apenas uma delas não
acontecer, não ocorrera o evento-topo.
A origem do termo em inglês, cut set (ou conjunto de corte) pode ser ilustrada
graficamente, utilizando a AF simplificada na figura 5.12.
O diagrama de blocos de confiabilidade correspondente a essa AF está mostrado na
figura 5.13 a seguir.

FIGURA 5.13 – CMCs, a partir de um diagrama de blocos de confiabilidade

A idéia de cut set surgiu originalmente do uso desse tipo de diagrama para itens
elétricos, nos quais o sinal entra à esquerda e sai a direita. Um minimal cut set corresponde
então ao numero mínimo de componentes que deve ser cortado para evitar o fluxo de sinal. Na
figura 5.13 temos dois conjuntos mínimos catastróficos: CMC1 = componentes A e B, e
CMC2= componente C.
A titulo de exercício, convidamos o leitor a verificar como foram obtidos os CMCs
do diagrama, a seguir, que é a forma equivalente da AF da figura 5.14.

FIGURA 514 – CMC8 de um sistema de 7 componentes

66
 É fácil entender que cada CMC consiste na intersecção do numero mínimo de falhas
primarias necessárias para causar o evento-topo. Por sua vez o evento-topo consiste na união
de todos os CMCs.
No diagrama da figura 14 temos:

CMC1 = C
CMC2 = b1 ∩ b2
CMC3 = a1 ∩ a2 ∩ b2
CMC4 = a3 ∩ a4 ∩ b1
CMC5 = a1 ∩ a2 ∩ a3 ∩ a4

Deve-se também observar que há outros cut sets que podem causar evento-topo
(fala do sistema), os quais, entretanto não correspondem aos mínimos. Não devem, portanto ser
considerados, uma vez que eles não entram na lógica na arvore de falhas.
Em outras palavras esse outro cut sets são absorvidos pelos CMCs, pela aplicação
da álgebra booleana.
Isto pode ser exemplificado através da própria configuração do sistema da figura
5.14.
Suponhamos que estamos examinando o cut set M0 = b1 ∩ C, que também pode
causar a falha do sistema.
Se considerarmos, por exemplo, a união M0UCMC1, pela lei de absorção da figura
9, teremos:

M0 U CMC1 = (b1 ∩ c) U c = c

Assim, esses outro não-CMCs são eliminados da expressão lógica do evento-topo

T, a qual pode ser então generalizada como:

T = CMC1 U CMC2 U ... U CMCn (14)

Para pequenas arvores de falhas, a determinação dos CMCs pode ser feita
manualmente, utilizando-se, como nesse exemplo, as leis e operações booleanas. Entretanto,
para AFs extensas esse procedimento torna-se extremamente trabalhoso e, dependendo do
numero de falhas básicas, até impraticável. Devemos então lançar mão de computadores e
softwares especiais para que nos auxiliem nessa tarefa. Mas, afinal, para que serve tudo isso?
A determinação dos Conjuntos Mínimos Catastróficos podem fornecer informações
valiosas sobre pontos potencialmente fracos de sistemas complexos, mesmo quando não é
possível calcular a probabilidade de ocorrência de um CMC particular ou de evento-topo.
Os CMCs são normalmente classificados em : simples, duplos, triplos etc.,
dependendo do numero de falhas primarias que contêm.
Obviamente, toda ênfase deve ser dada à eliminação ou minimização dos CMCs
que possuem pequeno numero de falhas, dos quais pode-se certamente esperar a maior
contribuição para a ocorrência da falha do sistema. De fato, se a probabilidade de falha de
componentes são pequena e independentes, e da mesma ordem de grandeza, CMCs duplos
ocorrerão menos freqüentemente que os CMCs simples; CMCs triplos menos freqüentemente
que os duplos e assim por diante.

67
 Outra informação que os CMCs nos fornecem diz respeito à avaliação qualitativa da
importância de um determinado componente.
Vamos supor que queremos avaliar o efeito no sistema do aumento da
confiabilidade de um dado correspondente. Se esse componente aparecer em um ou mais
CMCs de baixa ordem, digamos, em CMCs simples ou duplos, é provável que sua
confiabilidade tenha um efeito considerável no sistema.
Por outro lado, se o referido componente aparecer somente em CMCs que requerem
varias falhas independentes, sua importância em relação a falha do sistema, provavelmente,
será bem pequena.
Essas considerações permitem priorizar de CMCs e de componentes específicos,
considerando que as falhas básicas são independentes. Se não forem, isto é, se elas forem
suscetíveis às chamadas de falhas de modo comum (*), essa priorização pode ser alterada
profundamente. Por exemplo, se um CMC que contém 6 falhas, 5 puderem ocorrer devido a
uma causa comum, a probabilidade de ocorrência do CMC poderia ser comparada talvez a um
CMC duplo.
Com freqüência, são também realizadas análises para determinar a suscetibilidade
de conjuntos mínimos catastróficos às falhas de modo comum. Esse tipo de analise tem um
papel fundamental na determinação do layout uma planta industrial que melhor ofereça
proteção contra uma série de fontes de danos: incêndios, inundação, colisões, falha de energia
etc.
A avaliação quantitativa de arvores de falhas através dos CMCs deve ser realizada a
partir da expressão (14), aplicando-se nos menos procedimentos já discutidos anteriormente.
Neste ponto, o leitor poderá indagar sobre a substancial incerteza que poderá haver
em relação aos parâmetros básicos, como taxas de falhas de componentes, que são os inputs
para calcular as probabilidades.
De fato, as consideráveis incertezas que podem existir na adoção de valores
pontuais acarretam a necessidade de se julgar à precisão dos resultados por meio da obtenção
do correspondente intervalo de confiança. Pra se fazer isso, as taxas de falhas dos componentes
e outros dados devem ser considerados como variáveis aleatórias, com uma média de um
desvio-padrão para caracterizar a incerteza. A distribuição lognormal tem tido bastante
aplicação para representar dados de falhas desta maneira.
Para pequena arvores de falhas, varias técnicas analíticas podem ser usadas com fim
de determinar a variabilidade dos resultados frente a incerteza dos dados. Para AFs mais
extensas, os métodos de Monte Carlo têm sido freqüentemente utilizados (ver observação sobre
softwares disponíveis,nos comentários finais).

5.4) UM EXEMPLO SIMPLES DE APLICAÇÃO

Para dar uma idéia ao leitor do desenvolvimento de uma arvore de falhas – AAF –
qualitativa, vamos considerar um sistema domiciliar de alarme contra fogo. Conforme o
exposto no diagrama esquemático da figura 5.15, existem sensores no primeiro e segundo piso,
com fiação conectada ao alarme, o qual é energizado pela potência domestica (110V).
O evento-topo selecionado é: incêndio sem alarme.
Examinado a arvore da figura 16 vemos que:

68
 a) O evento poderá sobrevir se houver um incêndio no primeiro piso sem
alarme OU um incêndio no segundo piso sem alarme;
b) Um incêndio no primeiro piso sem alarme significa ter-se um incêndio
no primeiro piso E o alarme incapaz de responder à existência de fogo;
c) O alarme poderá falhar em responder ao fogo, se o sensor do primeiro
piso falhar OU se o sistema estiver inoperante;
d) o alarme torna-se-á inoperante, se o mesmo falhar, ou seja, OU se não
houver potência a ele fornecida, OU ainda, se as linhas do sensores falharem;
e) Não haverá potencia para o alarme, se a linha de potencia falhar OU se
houver potencia elétrica domiciliar.

Similarmente, o ramo que envolve o segundo piso pode ser desenvolvido com as
mesmas considerações. O símbolo de transferência é então aposto no local apropriado,
mostrando que existe uma repetição de condições, a partir do ponto assinalado, análogo às do
primeiro piso.

FIGURA 5.15 – Sistema de alarme contra fogo

69
 FIGURA 5.16 – AF par sistema de alarme de fogo domiciliar

O segundo nível de abordagem nas AAFs é o de introdução dos cálculos para a

determinação da probabilidade do evento-topo. Como já foi notado na descrição do método, é
preciso, após a diagramação lógica em equação e, por intermédio da álgebra booleana,
simplificar as expressões, introduzindo por fim os valores das probabilidades de ocorrência de
cada evento específico ou falha de componente.
Vejamos como podemos aplicar as equações e, com as possíveis simplificações,
chega até a expressão final.
Notação:

 As comporta OU são representadas por variáveis Ai, e implicam uma

adição das diversas entradas,
 As comporta E são representadas por variáveis Bi, e implicam um
produto das diversas entradas;
 As falhas primarias e outros eventos-entrada da arvore são representadas
por variáveis Xi.

A partir desta notação, podemos escrever.

Evento-topo A1

A1 = B1 + B2
B1 = X1 . A3
A3 = A5 + X3

70
 A5 = X5 + A6 + X6
A6 = X7 + X8

sendo então: B1 = X1 (X3 + X5 + X6 + X7 + X8)

e portanto: B2 = X2 (X4 + X5 + X6 + X7 + X8)

sendo A1 = B1 + B2 temos

A1 = (X1 + X2)( X3 + X5 + X6 + X7 + X8) + X1X3 + X2X4 que é a pressão final.

A partir da equação simplificada, pode-se traçar uma arvore de falhas simplificadas,

como a que vemos na figura 5.17. Se tivéssemos valores probabilísticos para os diversos
eventos anotados, poderíamos então calcular a probabilidade do evento fogo sem alarme,
utilizando os mesmos procedimentos descritos no item avaliação quantitativa.

FIGURA 5.17 – Sistema de Alarme de Fogo Domiciliar – Árvore Simplificada

Comentários finais
Métodos quantitativos simplificados são aplicados com bastante freqüência na
pratica. Entretanto, há uma serie de situações em que, em função da complexidade do sistema
e de sua variabilidade no tempo devem ser aplicados conhecimentos de informática superior,

71
especialmente de estatística e calculo de probabilidade, para se equacionar corretamente os
problemas de quantificação de riscos.
Felizmente, já temos um bom elenco de softwares (programa de computador) que
facilitam consideravelmente os trabalhos de analise de confiabilidade de riscos. Para dar uma
rápida idéia ao leitor, relacionamos a seguir alguns deles:

 SCHE: converte diagramas de blocos de confiabilidade em arvore de falhas.

 MOCUS: obtém os CMCs de arvore de falhas.
 BACFIRE: auxilia na analise de falha de modo comum
 SAMPLE: usa métodos de Monte Carlos para obter intervalos de confiança para
probabilidades de falhas.
 HEUR: calcula a confiabilidade otimizada de sistemas com restrições de custo,
peso etc.
 MARKOV: calcula paramentos de confiabilidade de sistemas, baseados em
diagramas de transição de Markov.
 RELICS: calcula a disponibilidade (ou confiabilidade) de sistema em estado
estacionário; o tempo médio até falhar (TMAF) e o tempo médio ate reparo (TMAR)
do sistema: e a importância relativa de cada componente.

Exemplo Simulado: Análise por Árvores de Falhas - FTA para o Retroprojetor

72
CAPITULO 6

TÉCNICA DE IDENTIFICAÇÃO DE PERIGOS – E SE...? (What if?)

6.1) INTRODUÇÃO

É uma técnica de identificação de perigos, cujo foco é “tudo que pode sair errado”.
A análise de riscos é qualitativa.

O elemento fundamental é a criatividade, pois o método consiste no questionamento

aberto promovido pela pergunta “E se...?”. O objeto de estudo, que pode ser um sistema,
processo, equipamento, operação, evento ou atividade, é questionado sobre qualquer aspecto
que julgar conveniente ou vier à cabeça no momento. Assim, são formuladas perguntas do tipo:
E se... for colocado mais produto? E se... a matéria-prima estiver contaminada? E se... ocorrer
um vendaval? Portanto, trata-se de um brainstorming (termo que pode ser traduzido por
tempestade cerebral; técnica utilizada para geração de idéias, cuja estratégica básica é a
ausência de censura) estruturado e dirigido à identificação de eventos perigosos ou
indesejáveis.
Num processo industrial para produção de cloreto de vinila por reação de cloro com
etileno, as perguntas seriam do tipo:

E se...
......a corrente de etileno estiver contaminada?
......a corrente de cloro estiver contaminada?
......a reação de cloração for muito rápida?
......etileno sair na corrente de subproduto ácido clorídrico?
......a tubulação romper?
......grande quantidade de cloro for arrastada com o cloreto de vinila?
......ocorrer uma explosão na fornalha?
......subprodutos forem arrastados para o armazenamento de cloreto de vinila?

73
 Exemplo didático:

E se...?
Identificação de perigos

Objeto da análise: festa de aniversário Órgão: Folha:

Executando por: fulano, beltrano, cicrano Número: Data:
E se...? Perigo/ Conseqüência Medidas de controle de risco
e de controle de emergência
Vierem mais pessoas que o Falta de espaço, falta de Avaliar a possibilidade de
esperado? bebidas. comparecerem mais
convidados e prever
alimentos e bebidas com
folga
As pessoas não encontrarem Desagradar amigos, criar Anexar mapa aos convites,
o local da festa? clima de insatisfação, não acrescentando número do
receber presentes, perda telefone.
de alimentos.
Chover? Dificuldade na chegada , Adquirir guarda-chuva
pessoas com roupas grande para ajudar as
molhadas. pessoas a deslocar-se do
carro à porta da casa

6.2) E SE...? COMBINADA COM LISTAS DE VERIFICAÇÃO

Listas de Verificação conferem sistematização à E se..., pois as perguntas são

formuladas e a lembrança é garantida por listas de verificação elaboradas para área específicas
de investigação, como proteção contra incêndios, segurança elétrica, preservação ambiental,
higiene ocupacional. Entretanto, o questionamento continua livre. Nesse processo, o objeto de
estudo é submetido ao questionamento na óptica de diversos especialistas. Peritos de cada área
devem ser convidados a participar e assumem a responsabilidade de analisar, posteriormente,
as questões levantadas.

Quando aplicar?

A E se... é particularmente útil na fase de pesquisa e desenvolvimento de processos

e produtos, pois nessa etapa dos empreendimentos não há informações suficientes para a
aplicação de Hazop, AMFE, Árvore de Falhas ou Árvore de Eventos. Essas técnicas têm maior
poder nas fases posteriores, quando informações detalhadas sobre processos, equipamentos e
procedimentos já estão disponíveis. Entretanto, a E se...continua presente, na forma não
explicita, mesmo no Hazop, quando causas de desvios perigosos, revelados pela aplicação das
palavras-guia às variáveis de processo, são pesquisadas com a pergunta E se...
Apesar do forte incentivo à criatividade inerente ao Hazop, é natural que surjam
bloqueios que levem a modificações radicais do processo. Isso ocorre porque os participantes

74
resistem, inconscientemente, à possibilidade de destruir seu principal instrumento de trabalho,
fluxograma. Já a E se não tem compromisso com o que foi elaborado e tende a surgir grandes
alterações. Entretanto, não é boa política de produtividade deixar um projeto avançar,
consumindo recursos, para só então proceder a questionamentos profundos. Por isso, A E se..
deve ser aplicada na fase mais primitiva dos empreendimentos.
A E se... é subjetiva que o Hazop. Tem abordagem menos formal e sistematizada e
depende fortemente da experiência e intuição da equipe. Se as perguntas adequadas não forem
formuladas, perigos importantes podem deixar de serem revelados. Por isso, é recomendável
que as seções mais perigosas de um sistema sejam analisadas por uma técnica mais rigorosa
como Hazop.

A equipe de análise

A equipe de análise deve contar com um mínimo de 3 e um máximo 7

componentes. Como toda técnica criativa, requer preparação das pessoas com o objetivo de
remover bloqueios e estabelecer regras que garantam a livre expressão de idéias.
Para garantir os benefícios do livre questionamento, as reuniões devem ser
conduzidas sob determinadas regras:

1. Todos os componentes têm igual direito de falar.

2. Toda preocupação merece ser analisada.
3. Espera-se que todos os componentes contribuam com idéias.
4. Não é permitido censurar.
5. O objetivo é a identificação de perigos, não o desenvolvimento de soluções
específicas.

Os componentes devem resistir ao impulso de tentar resolver os problemas à

medida que vão surgindo. Se isso ocorrer, o desempenho é prejudicado. O principal objetivo é
identificar perigos. As soluções serão estudadas à parte da reunião. Por isso, o formulário deve
prever uma coluna para apontar os responsáveis pelas verificações. Na produção de cloreto de
vinila, a primeira questão levantada teria por recomendação verificar se há disponibilidade de
etileno de alta pureza e confiabilidade no suprimento, pois um perigo é a presença de óleo e
este reage violentamente com cloro.
Os participantes não precisam ser especialistas em análise de riscos, mas devem ter
conhecimento e experiência em suas especialidades para que bons resultados sejam alcançados.
Por outro lado, a participação de novos projetistas e operadores deve ser encarada como uma
excelente oportunidade de treinamento em assuntos que não são aprendidos em sala de aula.
O líder deve ter habilidade e experiência na condução de reuniões, além de bom
conhecimento em análise de riscos. Dele dependem, em grande parte, a produtividade, o clima
organizacional da equipe e a manutenção do foco do trabalho.

O relatório

A E se... requer formulário próprio com campos para registro do que pode sair
errado, causas, conseqüências e medidas de controle de risco e de emergências. Os eventos
perigosos, perigos revelados pelas perguntas E se... devem ser analisados quanto à freqüência
ou probabilidade de ocorrência e também quanto às conseqüências. Freqüência ou

75
probabilidade e conseqüência definem o risco for inaceitável, então devem ser feitas
recomendações para que ações sejam tomadas no sentido de reduzi-lo. A análise completa
requer priorização e indicação de responsabilidades.
No exemplo da tabela o objeto de estudo é uma festa de aniversário. Simplificamos
o formulário porque o caso é simples, omitindo a coluna de registro dos responsáveis pelos
estudos e verificações. Entretanto, podem ser necessárias verificações à parte da reunião.
Também, para simplificar, limitamos o número de questionamentos, mas um grupo de pessoas
certamente levaria muito outros, como: se ocorrer um assalto, aparecerem pessoas não
convidadas, ocorrer intoxicação alimentar?

6.3) ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE

O texto a seguir é um método que pode auxiliar o profissional da área de Segurança

do Trabalho no momento da análise do acidente seja ele com ou sem perda, utilizando e
valorizando em muito o trabalho em equipe, deixando de ser uma tarefa exclusiva do setor de
Segurança do Trabalho.
Após a ocorrência de um acidente a primeira coisa que se pensa é ir logo ao local da
ocorrência e levantarmos todos os dados possíveis para a análise das causas do acidente, tirar
fotos, filmar, isolar área, etc; E na maioria das vezes a conclusão destas análises é sempre a
mesma, ato insegura, falta de atenção, descuido, etc, e fica por aí. Muita das vezes se deixa de
ir mais fundo nas análises dos acidentes e se conclui uma análise somente com os fatos visto no
momento após a ocorrência, ou seja, se perde o fio da meada, ou melhor, se deixa ir o fio da
meada, na maioria das vezes por falta de apoio da administração, pela falta de liberdade para se
trabalhar entre outras dificuldades que enfrentamos. Devemos ir mais profundo nestes
acontecimentos utilizando o trabalho em equipe que podemos fazer da seguinte forma.
Após o acidente deve-se reunir os colaboradores do setor envolvido, o supervisor e
o encarregado e se possível o acidentado comunicar e explicar a todos o fato ocorrido e fazer
juntamente com eles um BRAINSTORMING (Tempestade de Idéias) do fato levantando-se
todas as possíveis causas que gerou o acidente, é muito importante não desprezar nenhuma
causa levantada por menor que seja. Depois de levantar e anotar as possíveis causas fazer a
montagem do Diagrama de Yshikawa ou Espinha de Peixe (Anexo 1) para um melhor
agrupamento das causas. Depois devemos montar um relatório que podemos chamar de
RELATÓRIO DE CAUSAS (Anexo 2) onde iremos descrever o acidente e todas as possíveis
causas relatadas durante o BRAINSTORMING. A partir deste relatório montaremos um plano
de ação (Anexo 3) juntamente com os participantes do BRAINSTORMING, determinando as
medidas a serem tomadas, os responsáveis pela execução das medidas, onde as medidas serão
implantadas (geralmente na área do acidente), como se implantar estas medidas e o prazo para
implantação das medidas para eliminar as causas que gerou o acidente. É muito importante
também, durante este trabalho procurar outros possíveis riscos que possam causar problemas
futuros agindo preventivamente em outros possíveis acidentes naquele setor. Logo após a
elaboração e aprovação do plano de ação deve-se procurar divulgar este plano de ação no setor
(quadros de aviso, reuniões de segurança, etc) para se buscar um maior envolvimento de todos
colabores e demonstrar que se está trabalhando sobre o fato, fazer um acompanhamento
rigoroso do cumprimento das medidas dentro dos prazos. Para se executar um trabalho de
análise bem feito é fundamental o comprometimento de toda a equipe, supervisor de produção,
encarregado de produção, gerente de produção e principalmente dos colaboradores.

76
 Diagrama de Yshikawa ou Espinha de Peixe

Mão de obra Material Método

causa causa causa

ANOMALIA
causa
causa causa

Máquina Medida Meio

Ambiente

Mão de obra: Toda causa que envolve uma atitude do colaborador (ex: Procedimento
Inadequado, Pressa, Imprudência, Ato Inseguro, etc.)

Material: Toda causa que envolve o material que estava sendo trabalho.

Método: Toda causa envolvendo o método que estava sendo executado o trabalho.

Máquina: Toda causa envolvendo á máquina que estava sendo operada.

Medida: Toda causa que envolve uma medida tomada anteriormente para modificar processo,
etc.

Meio Ambiente: Toda causa que envolve o meio ambiente em si (poluição, calor, poeira, etc.)
e o ambiente de trabalho (Lay Out, falta de espaço, dimensionamento inadequado dos
equipamentos, etc.)

Relatório de Causas - Modelo Básico

RELATÓRIO DE CAUSAS
1 – (RELATO DO ACIDENTE)

2 – (CAUSAS LEVANTADAS DURANTE O BRAINSTORMING)

3 – (CONCLUSÃO)

4- (PARTICIPANTES DO BRAINSTORMING)

77
 Plano de Ação - Modelo Básico
O QUE Quem Onde Porque Como Quando
Nº (Tarefas)
Ação a ser tomada Responsável Local onde O porque Como será Prazo para
1 pela ação a ação será da ação tomada a execução da
tomada ação ação

OBS: Em um único plano de ação pode se ter várias ações, medidas ou modificações a serem
feitas sendo desta forma se utiliza uma linha para cada ação, podendo um plano de ação ter
várias linhas de ações a serem tomadas.

Este método de análise de acidentes contribui e muito para solucionar as causas

que influenciaram no acidente e causas que poderiam causar outros acidentes e acima de tudo
envolve todos os colaboradores do setor fazendo com que eles se sintam envolvidos no
trabalho do Setor de Segurança, dando a eles liberdade para se expressarem sobre condições
e atos inseguros no setor.

6.4) EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa

O diagrama de Yshikawa é uma metodologia muito empregada em qualidade total,

e em outras áreas do conhecimento humano. Ele possibilita uma avaliação rápida de causas e
soluções aos problemas.

Figura 6.1 - Diagrama de Yshikawa ou Espinha de peixe

78
 Quando se fala no diagrama de Yshikawa, não devemos esquecer-nos da
metodologia do PDCA, o qual é apresentado na figura 6.2.

Figura 6.2 – PDCA uma ferramenta da segurança no trabalho

Na figura 6.3, apresenta uma aplicação do citado diagrama, para levantar as causas
do alto custo operacional de um escritório.

Figura 6.3 – Levantamento do alto custo operacional de escritório

79
CAPITULO 7

Financiamento de riscos
7.1) INTRODUÇÃO

As ações básicas de financiamento de riscos, que serão abordadas a seguir

compreendem: a retenção de riscos (auto-adoção e auto-seguro) e transferências de risco a
terceiros (sem seguro e através de seguro)

Retenção de riscos

A retenção de riscos pode ser definida, genericamente, como um plano financeiro

da própria empresa para enfrentar perdas acidentais. As formas de retenção de riscos podem
ser classificadas em: auto-adoção (intencional e não-intencional) e auto-seguro (parcial e
total).
O auto-seguro pode ser diferenciado da auto-adoção de riscos pelo fato de que
esta última não exige ou não envolve um planejamento formal, um fundo (financeiro) de
reserva para perdas. Empresas adotam, normalmente, a retenção de riscos de varias maneiras:
decidindo assumir as perdas até um determinado valor e transferido ao seguro o excedente: e
decidindo estabelecer fundos de reserva antes e depois da ocorrência das perdas.
A auto-adoção de riscos, por sua vez, apresenta-se de duas formas:

 Como um plano intencional de financiamento de riscos;

 Como uma ação não intencional, isto é, sem nenhum plano organizado,
conseqüente da não identificação dos riscos, da ignorância e, até mesmo, da
incompetência técnica e administrativa de algumas pessoas.

A auto-adoção intencional de risco implica a aceitação de liberada das perdas

que são inconseqüentes para a empresa, ou seja, que são perfeitamente suportáveis no seu
contexto econômico e financeiro. Como exemplo, podemos citar riscos de roubo e colisão de
veículos usados, acima de cinco anos; perdas decorrentes de maus pagadores até um limite
pré-fixado; máquinas e equipamentos etc. Essas despesas, usualmente previstas no capital de
giro da empresa, não são inúmeras vezes, fortuitas em sua natureza e, portanto podem ser
consideráveis inevitáveis e inerentes ao próprio tipo de negócio ou atividade da empresa.
Se a empresa decidisse transferir esses riscos, o segurador teria que cobrar um prêmio que,
provavelmente, seria considerado excessivo, uma vez que teria de ser suficientemente alto
para cobrir as perdas esperadas e conceder uma margem, decorrente da efetivação do
negócio. O prêmio seria, portanto, bem superior à quase-certeza das perdas esperadas.
Muitas vezes, no entanto, a auto-adoção de riscos não é intencional e, portanto, não é
planejada.
Desnecessário dizer que este tipo de auto-adoção pode resultar, até mesmo em
catastrófica situação econômico-financeira para empresa.

80
 As circunstancias sujeitas à auto-seguro são as mesmas, na maioria dos casos, do
que aquelas para as quais o seguro pode ser adotado. Esses exigem um grau definido de
planejamento financeiro, tais como a constituição de fundos de reserva para e medidas
adicionais de controle financeiro interno. Se não existir um plano financeiro para fazer face
às perdas, a empresa estará utilizando, consciente ou inconscientemente, o método de auto-
adoção de riscos já comentado. É muito comum ouvir que o auto-seguro vem sendo adotado
por uma empresa, quando é evidente que se trata exclusivamente de auto- adoção de riscos.
Não se deve considerar que o método de auto-seguro, conforme delineado acima, é uma
forma exclusiva de financiamento de riscos. A regra geral que deve ser adotado,
simultaneamente, mais de um método de financiamento. Por exemplo, uma empresa pode
assumir os riscos de colisão e roubos de veículos, com uma franquia máxima, e transferir o
excedente ao seguro. Pode, ainda, adotar o auto-seguro para as perdas fiscais e transferir o
risco de responsabilidade civil ao seguro.

Outro exemplo de auto-seguro parcial é encontrado no sistema de taxação

retrospectiva que, infelizmente, pelo menos no momento, dificilmente pode ser adotado no
Brasil.
Alias, diga-se taxação retrospectiva seria, em termos de seguro de acidentes do
trabalho, por exemplo, ma excelente opção para incentivar as empresas a ampliar (ou, como
é na maioria das vezes, a iniciar) de forma efetiva as suas ações de prevenção e controle de
riscos.
De uma maneira geral, a taxação retrospectiva consiste em a empresa segurada
compartilhar com o segurador uma parte das perdas totais.
Basicamente aloca-se o custo total da garantia em função do coeficiente de perdas sofridas
pela empresa. Existe um prêmio mínimo básico e um prêmio máximo. O prêmio real só é
definido no final do período de vigência da apólice e das contas da experiência, quando as
perdas são conhecidas. Quanto maior o coeficiente de perdas, maior será o premio a ser
cobrado e vice-versa. Da mesma forma que a franquia, a taxação retrospectiva concede a
empresa uma taxa reduzida e, conseqüentemente, um menor custo, ao assumir partes das
perdas. É importante que o montante dessa economia dependa da eficiência das medidas de
prevenção e controle adotadas pela organização.
As razões principais que pode levar a uma empresa a adotar o auto-seguro são as
seguintes:

 Redução de despesas em excesso decorrentes da transferência de riscos,

notadamente através do seguro;
 Necessidade de a organização incrementar suas ações de prevenção e
controle de perdas (é obvio que, pela implantação do auto-seguro, haverá
interesse da empresa em adotar ou ampliar os sistemas de segurança, nem
sempre considerados pelos seguradores com fatores de redução do custo do
seguro);
 Possibilidade de se obter uma melhor e mais rápida maneira de liquidação
dos sinistros que venham a ocorrer;
 Necessidade de a organização tornar mais eficazes os serviços relativos a
identificação, analise e avaliação de riscos normalmente prestados por
corretores e seguradores;

81
  Não-existência no mercado segurador da garantia necessária para cobrir um
determinado risco (risco não-segurável).

Antes que a empresa decida adotar efetivamente o auto-seguro, é importante que

ela observe alguns aspectos e requisitos básicos, que são os seguintes:

 O risco de perda deve envolver um conjunto homogêneo de objetos

suficientemente grande e de tal forma situado, que as perdas médias podem
ser previstas dentro de intervalos de segurança razoavelmente estreitos. Os
bens, objetos de risco, devem estar geograficamente dispersos, de forma a
não estarem sujeitos à destruição simultânea por um único risco.
 A organização deve ter suficiente vigor financeiro que lhe permita a criação
de fundos de reserva para perdas, sem que disso resultem em dificuldades
econômicas às suas operações normais. Portanto, o tipo de exposição a risco
a ser auto-segurado deve envolver bens de valor financeiro relativamente
baixo e de tal forma situados, e que não seja possível a ocorrência de perdas
catastróficas.
 A empresa deve estar consciente de que a administração de seu programa de
auto-seguro compreende, além dos trabalhos permanentes e contínuos de
identificação, analise de riscos: o investimento dos fundos de reserva, a
manutenção de arquivos estatísticos, a liquidação e administração das perdas
e, o que é mais importante, a adoção de medidas concretas de segurança e
prevenção.

A maioria dos programas de auto-seguro é indicado por razões econômicas.

Dentre essas razões, podemos destacar o fato de que, como as despesas dos seguradores
comerciais podem atingir 45% do mais bruto, variando em função do tipo de seguro e da
própria seguradora, a economia resultante da diferença o premio puro e o premio bruto pode
ser, em algumas circunstancias, por si só, um sério motivo para adoção do auto-seguro.
Obviamente, seve ser considerado também que a empresa terá suas próprias
despesas com a administração do programa de auto-seguro, as quais podem igualar, ou até
mesmo exceder, as despesas atribuídas pelos seguradores. No entanto, o montante desta
economia pode ser bastante significativo, dependendo da eficiência e eficácia do programa
de auto-seguro desenvolvido.
Apesar de que riscos podem ser transferidos ao seguro, não é necessário, nem
mesmo conveniente, que todos sejam transferidos. Uma regra geral que parte das seguintes
possibilidades:

I. Baixa freqüência, alta gravidade;

II. Baixa freqüência, baixa gravidade;
III. Alta freqüência, alta gravidade;
IV. Alta freqüência, baixa gravidade;

Estabelece que somente os riscos que recaem na categoria (I) devem ser
seriamente considerados sujeitos a transferência.

82
 Os riscos aplicados as demais categorias, provavelmente, devem ser retidos
mediante auto-adoção ou auto-seguro.

7.2) TRANSFERÊNCIA DE RISCOS

Basicamente existem duas formas para uma organização transferir seus riscos:

a) Sem seguro, através de contatos, acordos e outras ações;

b) Através do seguro.

No primeiro caso, a transferência normalmente é feita através de contratos

específicos, em que ficam definidas as responsabilidades, garantias e obrigações de cada uma
das partes. Isto é comum ocorre com contrastes importantes que, ao definirem as suas
condições, determinaram a transferência à contratada dos riscos inerentes ao contrato.
Este tipo de transferência aplica-se. Geralmente, a contratos de serviço de construção,
montagens, projetos, transportes e outros. Na verdade, a maioria dos contatos contém, de
alguma forma; a transferência de riscos de uma parte a outra, seja esta transferência
consciente ou não.
Nos casos de transferências conscientes, no entanto, é de suma importância que o
gerente de riscos participe da elaboração de termos contratuais, de forma a analisar e definir
se o custo-benefício da transferência é favorável a empresa. Por sua vez, o seguro é, com
toda certeza, o método mais comum para a transferência dos chamados riscos puros e, em
alguns casos, até dos riscos especulativos.
Como já mencionamos anteriormente, no contexto da Gerência de Riscos, o
seguro é um dos mais importantes instrumentos que a empresa tem disponível pra tratar os
seus riscos.
A partir do instante em que a organização decide transferir ao seguro
determinados riscos, é que se inicia efetivamente a Administração de Seguros, a qual, como
já discutimos anteriormente, tem na empresa uma função por si só distinta da função de
gerenciamento de riscos.
Para que o leitor (obviamente, aquele não familiarizado com o assunto) conheça
os principais aspectos relativos ao seguro (como contrato, condições e tipos de seguros;
condições para os riscos a serem seguráveis etc.), sugerimos que consulte as publicações da
funenseg sobre o tema.
A seguir, vamos tecer algumas considerações de ordem pratica a serem
observadas quando da transferência de risco ao mercado segurador.
A aquisição de seguros deve ser cuidadosamente preparada, em conjunto com o
corretor de seguros, conforme segue:

 Deverão ser efetuados os levantamentos e inspeções técnicas necessários para

classificar os riscos que serão transferidos, e colhidas todas as informações
que permitam a correta emissão das apólices respectivas junto a
seguradora;
 Deverão ser analisadas as condições dos seguros aplicáveis a cada risco a ser
transferido, e definida a aplicação das franquias ideais, as quais deverão

83
 obedecer aos requisitos do programa de auto-seguro, já discutidos no item
anterior;
 A partir dessa análise, deve-se verificar quais as alterações que deverão ser
feitas para melhor adaptar as condições do seguro ao risco especifico a ser
transferido. Nem sempre tais alterações são possíveis, pois certas condições
básicas do seguro são imutáveis. Nestes casos, a empresa devera adaptar-se às
obrigações contratuais do seguro;
 Deverão ser definidas corretamente, e de acordo com as condições contratuais,
as importâncias seguradoras de cada seguro a ser realizado,assim como
critério de atualização dessas importâncias seguradas durante o período de
vigência previsto para o seguro. A definição correta das importâncias
seguradas é um dos fatores mais importantes na realização de um seguro
correto, sem o que objetivo que levou a empresa a contratá-lo não será
atingido;
 Por intermédio do corretor e da seguradora escolhida, deverá ser solicitada ao
Instituto de Resseguros do Brasil – IRB – aprovação para as alterações
possíveis, mediante aplicações de condições especiais e/ou particulares.
Baseadas nas informações técnicas fornecidas, o IRB analisa o pedido e
concede ou não a aprovação para as condições especiais pretendidas, e efetua
a cotação de taxa ou premio adicional que julgar necessário para a sua
aceitação;
 Com base nas cotações de taxas e prêmios aplicáveis, deverá ser estabelecido
o orçamento final dos seguros, bem como deverão ser analisados os eventuais
financiamentos e parcelamento de prêmios;
 Uma vez adaptados os seguros aos riscos, devidamente preparada para assumir
suas obrigações previstas nos contratos de seguro e definido o orçamento do
programa, as apólices deverão ser emitidas pelas seguradoras-líderes,
previamente escolhidas. Devemos lembrar que é de grande importância que as
apólices minuciosamente conferidas, para evitar qualquer problema numa
eventual liquidação de sinistro.

7.3) SEGURO OU AUTO-SEGURO

Um problema freqüente para o gerente de riscos é justificar sua posição sobre o

melhor caminho a ser seguido pela empresa para tratar os riscos que afetam, tanto em termos
de medidas preventivas como em termos de financiamentos de riscos.
Nos itens anteriores, foram apresentados alguns elementos que podem servir de
subsídios e facilitar o processo de tomada de decisões, principalmente no que tange a ações
de prevenção e controle.
Neste item, discutiremos mais alguns desses elementos, só que voltados para os
aspectos referentes às decisões sobre transferir para o seguro ou auto-segurar um
determinado risco.
Um modelo que vem sendo utilizado em vários países, com esse fim é chamado
Modelo de Houston, apresentado a seguir.

84
 Para melhor entender a proposta do norte-americano David Houston, é
importante falar primeiramente sobre o conceito de perda de oportunidade. Uma perda
de oportunidade (ou custo de oportunidade) pode ser definida como um possível ganho
financeiro não obtido devido à decisão de não participar de um determinado negócio.
Consideramos a seguinte situação: uma sertã quantidade de dinheiro é aplicada num
investimento de baixo risco (caderneta de poupança, por exemplo), o qual para uma pequena
taxa de juros, ao invés de ser aplicada, digamos, na própria empresa, com taxas de retorna
maiores, porém, também com maiores riscos.
Vamos designar por (i) a porcentagem de retorno do investimento interno externo
a empresa, e por (r) a porcentagem de retorno do capital aplicado na própria empresa.
A diferença entre r e i representa, portanto, o custo de oportunidade do dinheiro em termos
de ativos líquidos. Pode significar também um premio (ganho) pelo risco corrido.
O Modelo de Houston é exatamente uma aplicação desse conceito e tem por
objetivo auxiliar a tomada de decisões sobre a compra ou não de seguro.
Suponhamos que um gerente de riscos deva decidir entre adoção de um alto-seguro e
aquisição de seguro, para um período de um ano, em relação de um certo risco. Se ele optar
pelo auto-seguro, necessitará de um fundo de reserva para perdas (F) no montante de
$8000.000. Se, entretanto, ele adquirir seguro, o fundo será aplicado na própria empresa. O
prêmio de seguro (P) é de $8.000. Os aqui adotados são meramente a título de exemplo.
Suponhamos ainda que, se o fundo for aplicado na empresa, dará uma porcentagem de
retorno (r) de 30% e, se for aplicado no mercado financeiro, o retorno (i) será de 15%. Com
esses dados, o que deve fazer o gerente de riscos?
O modelo proposto por Houston pode ser resumido no seguinte:

 Se o gerente de riscos comprar o seguro, a posição financeira da empresa, no

final do ano considerado, será designada por PFs e igual a:

PFS  VL  P  r  VL  P  (1)

Expressão em que VL é o valor líquido no início do ano, e os demais termos são

os apresentados no enunciado do problema.
 Se o gerente de riscos optar pelo auto-seguro, a posição financeira da
empresa, nesse caso, será designado por PFAS e igual a:

P  P 
PFAS  VL   r * VL   F   i * F (2)
2  2 

Onde a parcela P/2 representa a parcela média esperada no período (assumiu-se

que a empresa poderá sofrer, a longo prazo, uma perda igual a 50% do prêmio do seguro).
A diferença entre PFs e PFAS representa o que denomina valor econômico do
seguro (V).
Assim, se V = PFs – PFAS > 0, o gerente de riscos deverá adquirir o seguro.
Caso contrário, isto é, se V < 0, ele deverá adotar o auto-seguro.
Fazendo a diferença PFs – PFAS a partir das expressão (1) e (2), resulta que:

85
 V  F * r  i   * 1  r 
P
(3)
2

Voltando ao problema proposto e substituindo os termos da expressão (3) temos

que:

V  $800.000 * 0,30  0,15  * 1  0,30  114.800

8.000
2

Portanto, neste caso V > 0, o gerente de riscos pode julgar ser mais interessante
para empresa pagar o prêmio de $8.000 e investir o fundo de $800.000 no próprio negócio da
organização.
Deve-se ressaltar que o modelo aqui representado é bastante útil para auxiliar uma
organização a tomar decisões sobre o financiamento de seus riscos. No entanto, não é o único
parâmetro a ser considerado para a retenção de riscos. Se as condições para o auto-seguro
mencionadas anteriormente não forem satisfeitas, uma grande perda poderá liquidar o fundo
de reserva e deixar a empresa expostas a outras perdas futuras.

7.4) DEFINIÇÃO DE NÍVEIS DE FRANQUIA

O problema de determinar níveis de franquia é a grande importância nos planos de

auto-seguro (neste coso, auto-seguro parcial), uma vez que a empresa deve correr um
determinado risco até o limite da franquia adotada.
Normalmente, a perda a ser assumida pela empresa é igual ao montante da
franquia vezes o número de perdas, em um dado ano, que a franquia foi assumida. Por
exemplo, se a franquia é de $ 1.000 por ocorrência ou evento e o número médio de eventos
por ano é cinco, a franquia total a ser adotada pela empresa deverá ser de $ 5.000.
Basicamente, o nível de franquia deve refletir o montante de exposição que a
empresa está propensa a aceitar, no seu plano de auto-seguro.
Para a determinação e seleção de franquias, podem ser adotados, respectivamente,
dois métodos: o Modelo de Houston e a Regra do Menor Custo.
Se a empresa decidir transferir suas perdas excedentes ao seguro, o Modelo de
Houston também pode ser utilizado para a determinação do montante ótimo de franquia a ser
empregada.
Na verdade, o valor da franquia corresponde ao fundo de reserva a ser adotado
pela empresa, conforme definido no tópico anterior.
Assim, considerado os mesmos valores do exemplo dado e supondo que a
empresa decidiu auto-segurar os primeiros $ 30.000 e que em decorrência disso, o prêmio de
seguro fui reduzido para $2.000, a opção pelo seguro continuará a ser mais econômico para
empresa? Vejamos.
i = 0,15 e, pela nova situação, F = $ 30.000 e P = 2.000.
Daí decorre que:

86
 V  $30.000 * 0,30  015  * 1  0,30  $3.200
2.000
2

Uma vez que o valor econômico do seguro resulta positivo (>0), a nova situação
ainda é mais vantajosa para a empresa.
Com a aplicação deste modelo, pode também se determinar à franquia mínima a
ser adotada pela empresa; para isso, basta fazer V = 0 e obter o novo valor de F, mantendo os
demais valores inalterados.
No exemplo, teríamos então que a franquia (fundo de reserva) mínima é igual a:

F * 0,30  0,15  * 1  0,30  0

2.000
2

1.300
F  $8.667
0,15

Concluímos assim, para este caso, que o seguro deve ser adquirido, mesmo se a
franquia for reduzida a um mínimo de $ 8.667.
As análises aqui feitas permitem que os planos de auto-seguro não tenderão a ser lucrativos,
sob as seguintes condições:

 Quando as taxas de retorno de retorno de investimento na própria empresa

são altas;
 Quando as taxas de juros e de retorno dos investimentos, com alta liquidez,
dos fundos de re serva, são relativamente baixas;

Por outro lado, os planos de auto-seguro tenderão a ser lucrativos, quando as

condições forem diametralmente oposta às acima enumeradas.
A Regra do Menor Custo baseia-se na premissa de que o custo do risco é igual
ao premio do seguro mais a perda se assumida pelo segurado em função da franquia.
Evidentemente que o valor correspondente à franquia não será devido ao segurado, se não
ocorrer uma perda.
A perda possível, até o valor da franquia, portanto, necessita ser estimada, de
forma a se conhecer o custo total.
A regra, em termos práticos, é a de selecionar a franquia que resulte no menor
custo total esperado (CTE), o qual é obtido da seguinte expressão:

CTE  P  q * F (4)

Onde:

P = valor do premio cotado para um certo nível de franquia;

q = freqüência esperada de eventos que ocorram em um dado ano;

87
F = valor da franquia.

Consideramos seguinte exemplo:

Uma seguradora apresenta, para o seguro de veículos (colisão) de uma empresa,

cotações de prêmio para várias franquias. O gerente de riscos estima que o número de
colisões é de 25% do numero de veículos da empresa. Neste caso qual a franquia a ser
adotada?
Aplicando a expressão (4) para cada franquia, temos:

P Q x Fi CTE
$2.000 0,25 x $2.500 $2.625
1.200 0,25 x 4.500 2.325
800 0,25 x 6.500 2.425
600 0,25 x 9.000 2.850

Portanto deve ser adotada a franquia de $4.500, que corresponde ao menor CTE,
ou seja:

CTE = $ 2.325 F = $4.500.

A regra pode ser aplicada igualmente para seleção de outros valores de franquia,
se as premissas ou proposições forem modificadas. O gerente de riscos pode testar a formula
para diferentes de q, de modo a verificar qual a diferença que obterá na franquia selecionada.
Devemos salientar que a regra que estamos aqui abordando foi, originalmente, proposta para
seleção de franquia para o seguro de automóveis, sendo posteriormente aplicada também
para outras modalidades de seguro.
Para finalizar, gostaríamos de propor ao leitor o seguinte problema: uma empresa
efetuar seguro com franquia para sua frota de veículos, recebendo do mercado segurador a
cotação constante do quadro abaixo.

FRANQUIA PRÊMIO
$ 140 $90
200 80
300 70
400 60

O gerente de riscos estima que o número de colisões é igual a 30% do número de

veículos da empresa, e que a porcentagem de perdas que atinge cada franquia é,
respectivamente, de 100%, 90%, 70% e 60%. Considerando a regra do menor custo, qual a
franquia a ser adotada? (resposta: deve ser adotada, a principio, a franquia de $140 ou a de
$400).

88
CAPITULO 8

Fundamentos Matemáticos de Confiabilidade

8.1) ÁLGEBRA BOOLEANA

A álgebra Booleana foi desenvolvida pelo matemático George Boole para o

estudo da lógica. Suas regras e expressões em símbolos matemáticos permitem aclarar e
simplificar problemas complexos. Ela é especialmente útil onde condições podem ser
expressas em não mais do que dois valores, tais como “”sim” ou “não”, “falso” ou
“verdadeiro”, “alto” ou “baixo”, “0 (zero)” ou “1 (um)”, etc.
A lógica Booleana é largamente aplicada em diversas áreas como, por exemplo, a
de computadores e outras montagens eletromecânicas, que incorporam um grande número de
circuitos “liga-desliga”. É também utilizada em análises de probabilidade, em estudos que
envolvem decisões, e mais recentemente, em Segurança de Sistemas.
A principal diferença entre as várias disciplinas que se utilizam à Álgebra
Booleana está na notação e na simbologia. Neste capítulo, apresentaremos somente os
elementos básicos e as expressões comumente encontradas nas análises de segurança.
Da chamada “Matemática Moderna” temos que um conjunto pode ser uma
coleção de elementos, condições, eventos, símbolos, idéias ou identidades matemáticas. A
totalidade de um conjunto será aqui expressa pelo número 1 (um), e um conjunto vazio pelo
número 0 (zero).
Os números 1 e 0 não são valores quantitativos: 1 + 1 não é igual a 2. Eles são
meramente símbolos. Não há valores intermediários entre os dois como nos cálculos de
probabilidade.
Com o desenvolvimento da lógica Booleana para sistemas eletrônicos, foi
introduzido o conceito de módulos ou comportas. Seus símbolos são usados em diagramas
lógicos para indicar os inter-relacionamentos em circuitos. Estes circuitos empregam
numerosos dispositivos bi-estáveis ou de dois estados, que podem ser considerados abertos
ou fechados, ligados ou desligados.
As tabelas de verdades são recursos para indicar quando uma condição
específica resultará uma saída, quando qualquer combinação de entradas estará presente.
Como vimos até aqui, o símbolo 1 indica que uma entrada ou saída está ou estará presente, e
o 0 indica que não está ou não estará presente. As tabelas de verdades, mostradas a seguir,
são para um módulo de duas entradas. Módulos com mais entradas são mais freqüentes,
diferindo apenas em complexidade.

89
Resumo das portas lógicas

90
91
8.2) CONFIABILIDADE

Confiabilidade (R) é a probabilidade de um equipamento ou sistema desempenhar

satisfatoriamente suas funções específicas, por um período de tempo, sob um dado conjunto
de condições de operação. A confiabilidade difere do controle de qualidade no sentido de que
este independe do tempo, enquanto que ela é uma medida da qualidade dependente do tempo.
A confiabilidade pode ser considerada como controle de qualidade mais tempo.
A probabilidade de falha (Q), até certa data t, é denominada “não confiabilidade”,
e é o complemento de R (expresso em decimal); isto é:

Q=1–R

Por exemplo:

Se a probabilidade de falha de um sistema é de 5%, ou seja, Q = 0,05 a

probabilidade de não haver falha (confiabilidade) será: R = 1 – 0,05 = 0,95 ou 95%.
A freqüência com que as falhas ocorrem, num certo intervalo de tempo, é
chamado taxa de falha ( _ ) e é medida pelo número de falhas para cada hora de operação ou
número de operações do sistema. Por exemplo: quatro falhas em 1.000 horas de operação
representa uma taxa de falha de 0,004 por hora. O recíproco da taxa de falha, ou seja, 1/ λ,

92
denomina se Tempo Médio Entre Falhas (TMEF). No exemplo anterior, TMEF = 250
horas.
As falhas que ocorrem em equipamentos e sistemas são de três tipos:

A) Falhas prematuras: ocorrem durante o período de depuração ou “queima”

devido a montagens pobres ou fracas, ou componentes abaixo do padrão, que
falham logo depois de postos em funcionamento. Esses componentes vão sendo
substituídos gradualmente, verificando-se a diminuição da taxa de falha
prematura, até a taxa de falha total atingir um nível praticamente constante. Este
nível é atribuído às falhas casuais.

B) Falhas casuais: resultam de causas complexas, incontroláveis e, algumas

vezes, desconhecidas. O período durante o qual as falhas são devidas
principalmente a falhas causais, é a vida útil do componente ou sistema.

C) Falhas por desgaste: inicia-se quando os componentes tenham ultrapassado

seus períodos de vida útil. A taxa de falha aumenta rapidamente devido ao tempo
e a algumas falhas causais.

Tracemos agora a curva da taxa de falha em função do tempo, de um grande

número de componentes similares. Obtemos a chamada “Curva da Banheira”, que está
representada a seguir:

Geralmente as falhas prematuras não são consideradas na análise de

confiabilidade, porque se admite que o equipamento foi “depurado”, e que as peças iniciais
defeituosos foram substituídas. Para a maioria dos equipamentos, de qualquer complexidade,
200 horas é um período considerado seguro para que haja a depuração. As falhas casuais são
distribuídas exponencialmente, com taxa de falha e reposição constantes. As falhas por
desgaste distribuem-se normalmente ou log-normalmente, com um crescimento súbito da
taxa de falha nesse período.

93
Cálculo da Confiabilidade

Verificou-se que um número relativamente pequeno de funções satisfaz à maioria

das necessidades na determinação da confiabilidade. As distribuições normais (taxa de falha
crescente) e exponencial (taxa de falha constante) são as de mais ampla aplicabilidade.
Nesse tópico, trataremos somente da distribuição exponencial, por ser ela
aplicável a sistemas e equipamentos complexos, e a sistemas onde há reposição dos
componentes que falharam. Entretanto, lembramos ao leitor que, apesar das distribuições
mencionadas terem aplicabilidade universal, não devem ser aplicadas em todos os casos.
Quando em dúvida, deve-se empregar os processos padrões da Estatística para determinar a
distribuição.
De acordo com o conceito de taxa de falha constante, durante a vida útil de um
grande número de componentes similares, aproximadamente o mesmo número de falhas
continuará a ocorrer, em iguais intervalos de tempo, se as peças que falham são respostas
continuamente. A expressão matemática indica a probabilidade (ou confiabilidade) com que
os componentes operarão, num sistema de taxa de falha constante, até a data t, sem falhas, é
a Lei Exponencial de Confiabilidade, dada por:

t

R  e  .t  e T

Onde:
e = 2,718
λ = taxa de falha
t = tempo de operação
T = tempo médio entre falhas (TMEF)

A proporção t/T é de extrema importância: quando t = T (seja para 1 minuto,

como para 10.000 horas, por exemplo) a confiabilidade será: R = e-1 = 0,368 (36,8%). Para
aumentá-la é necessário que a proporção t/T seja diminuída. Quando o TMEF for aumentado,
a taxa de falha (que é recíproco) será reduzida.

Consideramos, por exemplo:

TMEF = T = 0,25 x 105 horas

t = 1.000 horas
e = 2,718

temos:

94
Sistemas de componentes em série

Consideremos agora um equipamento ou sistema composto de n componentes em

série, ou seja, a falha de qualquer um dos componentes significa a quebra do equipamento do
sistema. Admitimos que a falha de um componente seja independente da falha de qualquer
outro.
Sejam: ri (i= 1,2,3, ...n), as funções de confiabilidade dos componentes; e, R, a
função de confiabilidade do equipamento.
Demonstra-se que:

R  r1 * r2 * r3 * r4 * ........ * rn

Esta expressão é chamada Lei do Produto de Confiabilidade.

Vejamos a seguir, através de um exemplo, o efeito da Lei do Produto:

Seja um sistema de 5 componentes em série, e cada um deles com confiabilidade

de 90% (ri = 0,90). A confiabilidade total desse sistema será:

R = 0,905 = 0,59 (59%)

Outro sistema, de 25 componentes em série, e cada componente também com

confiabilidade igual a 90% (ri = 0,90), teria uma confiabilidade total de apenas 7%
(R=0,9025 = 0,07).
Em resumo, a confiabilidade de um sistema depende das confiabilidades
individuais de seus componentes. Se a operação de um sistema requer que todos os
componentes funcionem satisfatoriamente ao mesmo tempo, temos um sistema em série.
Nesse sistema, a confiabilidade total é igual ao produto das confiabilidades individuais dos
componentes.

95
 Sistemas eletrônicos complexos são constituídos de milhares de componentes.
Para manter a confiabilidade tão alta quanto possível, e para minimizar o efeito da Lei do
Produto, são empregados recursos, tais como: o uso de componentes com confiabilidade
extremamente alta e sistemas de redundância paralela, entre outros.
O aumento, mesmo pequeno, das confiabilidades individuais, em sistemas onde
há numerosos componentes, pode aumentar consideravelmente a confiabilidade total. Por
exemplo: uma parte de um equipamento tem 40 componentes em série, cada um tendo uma
confiabilidade de 0,97; a confiabilidade total é: R = 0,9740 = 0,29. Aumentando-se cada
confiabilidade individual para 0,98, a confiabilidade total eleva-se a: R = 0,9840 = 0,45
(acréscimo de 55,2%). Entretanto, o custo de cada peça com confiabilidade mais alta pode
ser de 600 a 1.500 por cento maior.

Sistemas de redundância paralela

Redundância é a existência de mais de um meio de execução de uma determinada

tarefa. De modo geral, todos os meios precisam falhar, antes da quebra do sistema. Por
exemplo, consideremos um sistema simples de 2 componentes em paralelo:

A1 com confiabilidade r1 = 0,90; e,

A2 com confiabilidade r2 = 0,80.

As respectivas probabilidades de falha são:

A1 : q1 = 1 – r1 = 1 – 0,90 = 0,10
A2 : q2 = 1 – r2 = 1 – 0,80 = 0,20

A probabilidade de falha total do sistema será:

Q  q1 * q2

Portanto, Q = 0,10 x 0,20 = 0,02; e a confiabilidade total, ou probabilidade de não haver

falha, é:

R = 1 - Q = 0,98

que é maior do que as confiabilidades individuais dos componentes (r1 = 0,90 e r2 =0,80)
agindo sozinhos.
De uma maneira geral, se tivermos m componentes em paralelo, a probabilidade
de falha total de um sistema, até a data t, será:

96
 Q=q1* q2 *q3*qm

a probabilidade de não falhar (confiabilidade), até t, é:

R= 1- Q = 1 – (q1* q2 *q3*qm)

Portanto, a redundância paralela é uma ferramenta de projeto para aumentar a

confiabilidade de um sistema ou equipamento. Para se conservar suas vantagens, devem
existir recursos que detectem os componentes que falham, e os meios que garantam a
substituição desses componentes o mais breve possível. Os sistemas de redundância paralela
apresentam, entretanto, algumas desvantagens: aumentam o custo, peso, volume,
complexidade e manutenção.

Exercícios de grupamentos em série e paralelo:

1) Calcular a confiabilidade RAC do sistema:

2) Verificar que a confiabilidade do sistema abaixo aumenta utilizando-se a redundância

paralela:

97
BIBLIOGRAFIA CONSULTADA
AGUIAR, Silvio. Integração das Ferramentas da Qualidade ao PDCA e ao Programa Seis
Sigma. Belo Horizonte: Editora de Desenvolvimento Gerencial, 2002.

CAMARGO, C. Celso de Brasil. Métodos probabilísticos de Energia Elétrica: algumas

aplicações. Florianópolis: Ed. Da UFSC, 1987.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 27, 1994.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 28, 1994.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 29, 1994.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 30, 1994.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 31, 1994.

DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo:

Suplemento especial da Revista Proteção, vol 32, 1994.

BASSETTO, Edson Luis. FINOCCHIO, Marco Antonio Ferreira. Apostila: Gerência de

Riscos. Cornélio Procópio: Publicação Interna UTFPR, 2006.

FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. Cornélio

Procópio: Publicação Interna CEFET – PR/CP, 1999.

FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. Cornélio

Procópio: Publicação Interna UTFPR, 2005.

GREENE, Mark R. Decision analysis for risk management, a primer on quantitatve methods.
New York: Risk and insurance Managemente Society, 1977.

HEAD, George L. El proceso del manejo de riesgo. New York: Risk and insurance
Managemente Society, 1984.

98