disciplina: gerência de riscos i guia de estudo pa

CURSO DE ESPECIALIZAÇÃO EM ENGENHARIA
DE SEGURANÇA DO TRABALHO
M3 D4 – DISCIPLINA: GERÊNCIA DE RISCOS I
GUIA DE ESTUDO PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
AULA 38
PROFESSOR AUTOR: ENG. JOSEVAN URSINE FUDOLI
PROFESSOR TELEPRESENCIAL: GIOVANNI MORAES
COORDENADOR DE CONTEÚDO: ENG. JOSEVAN URSINE FUDOLI
DIRETORA PEDAGÓGICA: MARIA UMBELINA CAIAFA SALGADO
24 DE ABRIL DE 2012
1
DISCIPLINA “GERÊNCIA DE RISCOS I”
A Disciplina “Gerência de Riscos I” será desenvolvida em 4 partes, conforme abaixo:
Parte I - Conceitos básicos de Gestão de Riscos
Parte II - Sistema de Gestão de Riscos (ISO 31.00O)
Parte III - Técnicas de Análise de Riscos.
Parte IV - Percepção de Riscos e Comportamento Humano
CALENDÁRIO DA DISCIPLINA “GERÊNCIA DE RISCOS I”
2012
10abril
Guia de
Estudo
Parte I
Aula 36
Textos Complementares de Leitura Obrigatória
No Lista
Data
Data final
Exercícios Postagem Resposta
Análise de Riscos nos locais de Trabalho. Autor:
Marcelo Firpo de Souza. CUT 2000. Acesso no site
http://www.medicinaetrabalho.med.br/arquivos/An
alise%20%riscos%20nos%20locais%20de%20traba
lho.pdf
Informativo Suporte nº 3 – janeiro/2011 Acesso no
site:
17abril
http://www.portalsuporte.com.br/downloads/Informa
tivo_Suporte_3.pdf
METODOLOGIA PARA ANÁLISE PRELIMINAR DE
RISCOS DE UM NAVIO DE TRANSPORTE DE GÁS
Parte III NATURAL COMPRIMIDO. Marcelo Ramos Martins e
24 abril
Aula 38 Faustina Beatriz Natacci. Acesso no site:
http://www.ipen.org.br/downloads/XXI/062_RAMOS
_MARTINS_MARCELO.pdf
Parte II
Aula 37
08 maio
Parte IV
Aula 39
Prova do Módulo 3: 15 de maio de 2012
2
36
10 abril
24 abril
37
17 abril
30 abril
38
24 abril
08 maio
39
08 maio
22 maio
CONTEÚDO PROGRAMÁTICO DA PARTE III - aula 38
PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
1. CONSIDERAÇÕES PRELIMINARES
2. TÉCNICAS DE IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
2.1 Análise Preliminar de Riscos (APR/APP)
2.2 – Técnica What if
2.3 - Técnica de Incidentes Críticos (TIC)
2.4 - Análise de Modos de Falhas e Efeitos (AMFE)
2.5 - HAZard and OPerability Studies (HAZOP)
2.6 - Análise da Árvore de Eventos (AAE)
2.7 - Análise de Causas e Consequências (ACC)
2.8 - Análise da Árvore de Falhas (AAF)
3. REFERÊNCIAS BIBLIOGRAFICAS
3
PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
1. CONSIDERAÇÕES PRELIMINARES
Como já nos referimos nas aulas anteriores, a gerência de riscos pode
ser definida como a ciência, a arte e a função que visa à proteção dos recursos
humanos, materiais e financeiros de uma empresa, no que se refere à
eliminação, redução ou ainda financiamento dos riscos, caso seja
economicamente viável.
Este estudo teve seu início nos EUA e alguns países da Europa, logo
após a Segunda Guerra Mundial, quando se começou a estudar a possibilidade
de redução de prêmios de seguros e a necessidade de proteção da empresa
frente a riscos de acidentes. A gerência de riscos é tão antiga quanto o próprio
homem que, desde sempre, esteve envolvido com riscos e decisões na luta
pela sobrevivência.
Vimos também que, para se ter o gerenciamento de riscos eficaz, o
gerente de riscos e a empresa devem estar engajados em sistema de gestão
integrado, no qual se inclui a Qualidade, Meio Ambiente, Segurança, Saúde
Ocupacional e Responsabilidade Social.
É importante que, antes de qualquer ação de gerenciamento de riscos,
conheçam-se os tipos de riscos a que uma empresa está sujeita, por meio de
aplicação de técnicas específicas e reconhecidas tecnicamente.
Conforme já descrito nas aulas anteriores, o conforto e desenvolvimento
trazidos pela industrialização produziram também um aumento considerável no
número de acidentes, ou ainda de ocorrências, devido à obsolescência de
equipamentos ou máquinas cada vez mais sofisticadas, sem o devido
treinamento para operá-las.
Com a preocupação e a necessidade de dar maior atenção ao ser
humano, principal bem de uma Organização, além de buscar uma maior
eficiência, nasceram primeiramente o Controle de Danos, o Controle Total de
Perdas e, por último, a Engenharia de Segurança de Sistemas.
Esta última, surgida com o crescimento e necessidade de segurança
total em áreas como aeronáutica, aeroespacial e nuclear, a Engenharia de
Sistemas trouxe valiosos instrumentos para a solução de problemas ligados à
segurança. Com a difusão dos conceitos de perigo, risco e confiabilidade, as
metodologias e técnicas aplicadas pela segurança de sistemas, inicialmente
utilizadas somente nas áreas militar e espacial, tiveram, a partir da década de
70, uma aplicação quase que universal na solução de problemas de
engenharia em geral.
4
As principais técnicas de identificação, análise e avaliação de riscos são:
 Análise Preliminar de Riscos (APR) = Análise Preliminar de Perigos
(APP)
 What If (WI)
 Técnica de Incidentes Críticos (TIC)
 Análise de Modos de Falhas e Efeitos (AMFE) = FMEA (Failure Modes
and Effects Analysis)
 Análise de Operabilidade de Perigos (HAZOP)
 Análise da Árvore de Eventos (AAE),
 Análise de Causas e Consequências (ACC),
 Análise da Árvore de Falhas (AAF)
O objetivo desta aula 38 é abordar um pouco cada uma das técnicas
supracitadas, de forma geral, dando o conhecimento básico, uma vez que, em
outras aulas, serão ministradas aulas mais específicas sobre algumas técnicas,
em particular.
2. TÉCNICAS DE IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
2.1 – Análise Preliminar de Riscos (APR/APP)
A Análise Preliminar de Riscos (APR), também conhecida como
Análise Preliminar de Perigos (APP), é uma técnica que tem por objetivo
identificar os perigos de uma instalação, durante a concepção das etapas de
projeto, bem como de suas alterações ou mudanças de processo, bem como
durante seu funcionamento operacional.
Segundo MORAES (2010), a Análise Preliminar de Riscos (APR) é
uma técnica estruturada voltada para a identificação dos perigos presentes em
uma Organização, com efeitos indesejáveis e pode ser aplicada em instalações
na fase inicial de obra, nas etapas de projeto ou mesmo em unidades em
operação.
É uma técnica qualitativa que consiste na identificação dos cenários
dos acidentes possíveis, classificando-os de acordo com as categorias
preestabelecidas de “frequência” de ocorrência e “severidade”, propondo
medidas para redução dos riscos da instalação, quando julgadas necessárias.
A APR permite identificar eventos indesejáveis baseada em eventos
possíveis e conhecidos a partir da análise histórica de acidentes e na
experiência dos profissionais que atuam nas áreas de segurança, manutenção
e produção da empresa.
5
Não existe um modelo padrão de APR. A título de exemplo,
apresentamos alguns modelos, não havendo nenhuma obrigatoriedade de
segui-los.
Um exemplo didático bem conhecido de APR é aplicado à mitologia
grega, em que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho
Ícaro, na ilha do mesmo nome. Com o objetivo de escapar da ilha, Dédalo
idealizou fabricar asas, o que fez habilidosamente com penas, linho e cera de
abelhas para seu filho Ícaro fugir da ilha. Antes da partida, Dédalo advertiu a
Ícaro que tomasse cuidado quanto ao curso da viagem, lembrando-lhe que se
voasse a um nível muito baixo, as ondas do mar molhariam suas penas; se
voasse muito alto, o sol derreteria a cera, desagregando as penas, e ele cairia
no mar.
O caso Ícaro poderia virar uma análise de risco simples, conforme se
mostra a seguir.
ANÁLISE PRELIMINAR DE RISCOS DE ÍCARO
RISCO
CAUSA
EFEITO
CAT.
RISCO
PREVENÇÃO
Prever
advertência
contra voo muito alto e
perto do sol.
Radiação Voar muito Calor pode
térmica do alto perto de derreter cera que
sol
radiação
une a as penas
IV (*)
Prover trela de linho
para evitar que o
jovem impetuoso voe
alto.
Restringir área
superfície
aerodinâmica
6
de
Umidade
Asas podem
absorver
Voar muito
baixo perto umidade,
aumentando o
da
peso.
superfície
do mar
Instabilidade
e
queda no mar
I V (*)
Advertir
aeronauta
para voar à meia
altura, onde o sol
manterá
as
asas
secas ou onde a taxa
de acumulação de
umidade é aceitável
para a duração da
missão.
(*) vide Tabela de Categoria de Risco, abaixo.
ANÁLISE PRELIMINAR DE RISCO
CATEGORIAS OU CLASSES DE RISCO
I. DESPREZÍVEL
A falha não irá resultar em degradação maior do
sistema, nem irá produzir danos funcionais ou
lesões ou contribuir com um risco ao sistema.
II. MARGINAL
A falha irá degradar o sistema em certa extensão,
porém sem envolver danos maiores ou lesões,
podendo ser compensada ou controlada
adequadamente.
III. CRÍTICA
A falha irá degradar o sistema causando lesões,
danos substanciais ou irá resultar em risco
inaceitável, necessitando de ações corretivas
imediatas.
IV. CATASTRÓFICA
A falha irá produzir severa degradação do
sistema, resultando em sua perda total, lesões ou
morte.
Nota: a tabela acima é apenas exemplificativa.
Os estudos de análise de risco levam em consideração as possibilidades
de falha em função do erro humano, falhas organizacionais e dos
equipamentos. São utilizados procedimentos para entender e justificar os
aspectos de segurança existentes ou a serem implementados. Os princípios
básicos têm como base o manual de normas internas, normas técnicas
brasileiras (ABNT) e internacionais aplicáveis. Todos os aspectos técnicos e de
segurança se aplicam ao processo e produtos químicos envolvidos.
7
A APR é uma técnica simples e bastante utilizada. Deve ser realizada
por uma equipe, na média de cinco a oito pessoas. Dentre os membros da
equipe deve-se dispor de um participante com experiência em segurança de
instalações e/ou outro conhecedor do processo envolvido. É recomendável que
a equipe tenha a composição, funções e atribuições específicas como
indicadas na tabela a seguir:
Tabela 1- Composição recomendável de uma equipe de APR
PERFIL/ATIVIDADES
FUNÇÃO
Pessoa responsável pelo evento que deverá:
Coordenador





definir a equipe
reunir informações atualizadas, tais como: fluxogramas de
engenharia, especificações técnicas do projeto etc.;
distribuir material para a equipe;
programar as reuniões;
encaminhar aos responsáveis as sugestões e modificações
oriundas da APR.
Pessoa conhecedora da metodologia, sendo responsável por:

Líder


explicar a metodologia a ser empregada aos demais
participantes;
conduzir as reuniões e definir o ritmo de andamento das
mesmas;
cobrar dos participantes pendências de reuniões anteriores.
Especialistas
Pessoas que estarão ou não ligadas ao evento, mas que detêm
informações sobre o sistema a ser analisado ou experiência
adquirida em sistemas similares;
Relator
Pessoa que tenha poder de síntese para fazer anotações,
preenchendo as colunas da planilha de APR de forma clara e
objetiva.
Na APR são levantadas as causas que podem promover a ocorrência de
cada um dos eventos e as suas respectivas consequências, sendo, então, feita
uma avaliação qualitativa da frequência de ocorrência do cenário de acidentes,
da severidade das consequências e do risco associado. Portanto, os
resultados obtidos são qualitativos, não fornecendo estimativas numéricas.
Normalmente uma APR fornece também uma ordenação qualitativa dos
cenários de acidentes identificados, a qual pode ser utilizada como um primeiro
8
elemento na priorização das medidas propostas para redução dos riscos da
instalação/sistema analisado.
A metodologia de APR compreende a execução das seguintes etapas:
1. definição dos objetivos e do escopo da análise;
2. definição das fronteiras do processo/instalação analisada;
3. coleta de informações sobre a região, a instalação e os perigos
envolvidos;
4. subdivisão do processo/instalação em módulos de análise;
5. realização da APR propriamente dita (preenchimento da planilha);
6. elaboração das estatísticas dos cenários identificados por Categorias
de Risco (frequência e severidade);
7.análise dos resultados e preparação do relatório.
Para a execução da análise, o processo/instalação em estudo deve ser
dividido em “módulos de análise”. A realização da análise propriamente dita é
feita através do preenchimento de uma planilha de APR para cada módulo.
A planilha adotada para a realização da APR, mostrada na Figura 2,
contém 7 colunas, as quais devem ser preenchidas conforme a descrição
respectiva de cada campo, conforme a Tabela a seguir.
9
Tabela 2 – Planilha de APR
Evento
Causa
Consequên
Frequência
Severidade
Risco
Recome
ndações
a frequência
é definida
conforme
descrito na
tabela 3
a severidade
é definida
conforme
descrito na
tabela 4
o risco é
definido
conforme
descrito
As
recomen
cia
evento é
todo o
acidente
com
potencial
para
causar
danos às
pessoas, às
instalações
ou ao meio
ambiente.
as causas
responsávei
s pelo
perigo
podem
envolver
tanto falhas
de
equipament
os como
falhas
humanas.
as
consequências
são os efeitos
dos acidentes
envolvendo:
radiação
térmica,
sobrepressão
ou dose tóxica.
dações
propostas
devem ser
de caráter
preventiv
o
e/ou
mitigador.
De acordo com a metodologia da APR, os cenários de acidente devem
ser classificados em categorias de frequência, as quais fornecem uma
indicação qualitativa da frequência esperada de ocorrência para cada um dos
cenários identificados.
A Tabela 3 a seguir mostra as categorias de frequências para a
realização de APR:
Tabela 3 – Categorias de frequência dos cenários.
CATEGORIA DENOMINAÇÃO
A
EXTREMAMENTE
REMOTA
B
REMOTA
C
IMPROVÁVEL
D
PROVÁVEL
E
FREQUENTE
DESCRIÇÃO
Conceitualmente possível, mas extremamente
improvável de ocorrer durante a vida útil do
processo/instalação;
Não esperado ocorrer durante a vida útil do
processo/instalação;
Pouco provável de ocorrer durante a vida útil do
processo/instalação;
Esperado ocorrer até uma vez durante a vida útil
do processo/instalação
Esperado de ocorrer várias vezes durante a vida
útil do processo/instalação;
Esta avaliação de frequência poderá ser determinada pela experiência
dos componentes do grupo ou por banco de dados de acidentes (próprio ou de
outras empresas similares).
10
Os cenários de acidente também devem ser classificados em
categorias de severidade, as quais fornecem uma indicação qualitativa da
severidade esperada de ocorrência, para cada um dos cenários identificados.
A Tabela 4 a seguir mostra as categorias de severidade em uso
atualmente para a realização de APR:
Tabela 4 – Categorias de severidade dos cenários
CATEGORIA
I
DENOMINAÇÃO
DESCRIÇÃO/CARACTERÍSTICAS
DESPREZÍVEL
Sem danos ou danos insignificantes aos equipamentos, à
propriedade e/ou ao meio ambiente;
Não ocorrem lesões/mortes de funcionários, de terceiros (não
funcionários) e/ou pessoas (indústrias e comunidade); o
máximo que pode ocorrer são casos de primeiros socorros ou
tratamento médico menor;
II
MARGINAL
III
CRÍTICA
IV
CATASTRÓ
FICA
Danos leves aos equipamentos, à propriedade e/ou ao meio
ambiente (os danos materiais são controláveis e/ou de baixo
custo de reparo);
Lesões leves em empregados, prestadores de serviço ou em
membros da comunidade;
Danos severos aos equipamentos, à propriedade e/ou ao meio
ambiente;
Lesões de gravidade moderada em empregados, prestadores
de serviço ou em membros da comunidade (probabilidade
remota de morte);
Exige ações corretivas imediatas para evitar seu
desdobramento em catástrofe;
Danos irreparáveis aos equipamentos, à propriedade e/ou ao
meio ambiente (reparação lenta ou impossível);
Provoca mortes ou lesões graves em várias pessoas
(empregados, prestadores de serviço ou em membros da
comunidade).
Para se estabelecer o nível de Risco, utiliza-se uma matriz (tabela 5),
indicando a frequência e a severidade dos eventos indesejáveis, conforme
indicado na figura adiante
11
Tabela 5 – Matriz de Classificação de risco ( FREQUÊNCIA X SEVERIDADE)
F R E Q U Ê N C IA
A
B
C
D
E
IV
2
3
4
5
5
III
1
2
3
4
5
II
1
1
2
3
4
I
1
1
1
2
3
S
E
V
E
R
I
D
A
D
E
A Tabela 6 a seguir mostra a legenda da matriz de classificação de risco.
SEVERIDADE
FREQUÊNCIA
RISCO
I
Desprezível
A
Extremamente
Remota
1
Desprezível
II
Marginal
B
Remota
2
Menor
III
Crítica
C
Improvável
3
Moderado
IV
Catastrófica
D
Provável
4
Sério
12
2.2 - Técnica What if
Segundo MORAES (2020), a técnica What If foi desenvolvida a partir de
check list, ferramenta da Qualidade, utilizada para controle de processo. A
principal ideia da técnica é desenvolver uma série de questionamentos sobre
uma ação operacional, mudança de processo ou projeto, sendo mais
apropriada na fase de conceituação do projeto (pela ausência de informações),
para levantamento dos riscos existentes.
A técnica consiste em enumerar vários questionamentos a respeito do
projeto, de forma direcionada, sendo necessária a inclusão de profissionais de
várias áreas para responder a tais questionamentos, durante as reuniões de
perguntas/respostas.
Para realização do What if, é necessário um líder que conheça a técnica
e possa coordenar a equipe; um auxiliar para anotar as perguntas e respostas;
e diversos profissionais de áreas afins, de interesse do empreendimento
analisado.
É importante a existência de equipe multidisciplinar, não havendo um
número exato, pois dependerá do grau de complexidade do projeto. Dessa
forma, é necessário que haja um número de participantes suficientes para
responder as perguntas dos diversos assuntos apresentados.
A análise é finalizada quando os participantes se dão por satisfeitos com
as respostas aos seus questionamentos.
Um exemplo de What If, realizado na forma acima descrita, para
instalação de um painel elétrico, com a participação de equipes de
manutenção, operação, SMS e empresas contratadas, é mostrado na figura a
seguir.
SISTEMA:
PERGUNTAS
De que maneira esta área será cercada?
Que equipamentos serão utilizados na etapa de
terraplenagem?
O tanque de reserva técnica de diesel já está
disponibilizado?
O tanque de reserva a ser disponibilizado tem qual
capacidade?
Sob o ponto de vista do tipo de ligação (estraladelta), como será feita a ligação entre o
transfornador elevador e o transformador 14?
O transformador do CENPES apresenta
aterramento por baixa resistência, tecnicamente
isto pode acarretar algum problema na
Como será feito o travamento dos acessórios
necessários para realização da etapa de TESTE
DE SINCRONISMO? *Verificar procedimento
Para a movimentação do painel há recomendações
de Segurança (provavelmente movimentação será
feita com roletes)?
VALIDAR
UO
PROCESSO
SIM
ENG
Terraplenagem
SIM
ENG
Terraplenagem
SIM
DPM
Reserva Diesel
SIM
DPM
Reserva Diesel
SIM
SIM
SUBSISTEMA:
RESPOSTA
Pelo tapume existente.
Pás,enchadas,picaretas e compactador vibratório(à
gasolina)
Até o momento nada formalizado, contudo espera-se que
seja o tanque n° 1006.
100.000 litros
Não existe nenhum problema. Na realidade este tipo de
ligação é considerado ideal, pois, a saída em estrela cria
MOS/MA Ligação cabos 13,2 kV
uma defasagem que compensa a entrada em delta,
evitando a circulação de corrente de terra entre os dois
MOS/MA e
Ligação cabos 13,2 kV MOS: Não existe nenhum tipo de problema.
SOTREQ
SIM
MOS/OI
Testes de
Sincronismo
SIM
SMS
Posicionamento
PAINEL
13
Será verificado no sistema 480V o sincronismo com o
sistema do CENPES
RECOMENDAÇÕES
Não se aplica
Não se aplica
Não se aplica
Não se aplica
Não é necessária nenhuma
recomendação.
MOS: Não existe nenhum tipo de
problema.
Verificar procedimento SOTREQ
A estratégia de movimentação do
A estratégia de movimentação do PN, é de
PN, é de responsabilidade da
responsabilidade da Contratada, desde que sejam
Contratada, desde que sejam
atendidos os critérios de dimensionamento, planejamento
atendidos os critérios de
e manuseio por profissional habilitado.
dimensionamento, planejamento e
2.3 - Técnica de Incidentes Críticos (TIC)
Segundo DE CICCO & FANTAZZINI (1981), entende-se por Incidente
Crítico qualquer evento ou fato negativo com potencialidade para provocar
dano. Trata-se, portanto, de uma situação ou condição que se apresenta, mas
não manifesta dano. O incidente crítico também é chamado de “quaseacidente” ou incidente.
A investigação de Incidentes críticos é realizada, entrevistando os
participantes a descrever o maior número possível de incidentes críticos, sem
se aterem ao fato de que estes resultaram ou não em danos à propriedade ou
lesões. Por isso é que esse método de obtenção dos incidentes críticos ficou
conhecido como “confessionário” e em inglês como "Incident Recall".
É um método para identificar falhas humanas que contribuam para evitar
a ocorrência de acidentes com lesão ou acidentes com potencial de lesão,
onde se utiliza uma amostra aleatória estratificada de observadoresparticipantes, selecionados na população.
Os observadores-participantes são selecionados dentre os principais
departamentos da empresa e procuram representar as diversas operações da
empresa, dentro das diferentes categorias de risco. Um entrevistador os
interroga e os incita a recordar e descrever os incidentes críticos, ou seja, as
falhas humanas cometidas ou observadas, e ainda as não conformidades
encontradas, que tenham lhes chamado a atenção.
Os observadores-participantes devem ser estimulados a descrever
tantos incidentes críticos quantos possam recordar, sendo necessário para tal
colocar a pessoa à vontade procurando, entretanto, controlar as divagações. A
existência de um setor de apoio psicológico seria de grande utilidade durante a
aplicação da técnica.
Os incidentes pertinentes, descritos pelos entrevistados, devem ser
transcritos e classificados em categorias de risco, definindo a partir daí as
áreas-problema, bem como a priorização das ações para a posterior
distribuição dos recursos disponíveis, tanto para a correção das situações
existentes como para prevenção de problemas futuros.
A técnica deve ser aplicada periodicamente, reciclando os observadoresparticipantes a fim de detectar novas áreas-problema, e ainda para aferir a
eficiência das medidas já implementadas.
A TIC possui grande potencial, principalmente naquelas situações em
que se deseja identificar perigos sem a utilização de técnicas mais sofisticadas
e ainda, quando o tempo é restrito. A técnica tem como objetivo a detecção de
incidentes críticos e o consequente tratamento dos riscos que os mesmos
venham a representar.
14
2.4 - Análise de Modos de Falhas e Efeitos (AMFE) ou Failure Modes and
Effects Analysis (FMEA)
A Análise de Modos de Falha e Efeitos (AMFE), também conhecida
pela sigla FMEA (Failure Modes and Effects Analysis), é uma técnica de
análise de riscos de uso geral, detalhada, qualitativa ou quantitativa.
Segundo De Cicco (1994), esta técnica permite analisar as maneiras
pelas quais um equipamento, componente ou sistema podem falhar.
Permite também, estimar as taxas de falhas e os efeitos que poderão advir, e,
estabelecer as mudanças que deverão ser feitas para aumentar a
probabilidade de que o sistema ou equipamento funcione satisfatoriamente
(DE CICCO e FANTAZZINI, 1994).
Os principais objetivos da AMFE são: uma revisão sistemática dos
modos de falha de um componente para garantir danos mínimos ao sistema;
determinação dos efeitos que tais falhas terão em outros componentes do
sistema; determinação dos componentes cujas falhas teriam efeito crítico
na operação do sistema (falhas de efeito crítico); cálculo de probabilidade
de falha de componentes, montagem e subsistemas, através do uso de
componentes com confiabilidade alta, redundâncias no projeto ou ambos (DE
CICCO e FANTAZZINI, 1994).
A Análise de Modos de Falha e Efeitos (AMFE) é uma análise detalhada,
podendo ser qualitativa ou quantitativa, que permite analisar as maneiras pelas
quais um equipamento ou sistema pode falhar, e os efeitos que poderão advir,
estimando, ainda, as taxas de falha, e propiciando o estabelecimento de
mudanças e alternativas que possibilitem uma diminuição das probabilidades
de falha, aumentando a confiabilidade do sistema.
A AMFE é realizada primeiramente de forma qualitativa, quer na revisão
sistemática dos modos de falha do componente, na determinação de seus
efeitos em outros componentes e, ainda, na determinação dos componentes
cujas falhas têm efeito crítico na operação do sistema, sempre procurando
garantir danos mínimos ao sistema como um todo.
Posteriormente, pode-se proceder à análise quantitativa para
estabelecer a confiabilidade ou probabilidade de falha do sistema ou
subsistema, através do cálculo de probabilidades de falhas de montagens,
subsistemas e sistemas, a partir das probabilidades individuais de falha de
seus componentes, bem como na determinação de como poderiam ser
reduzidas estas probabilidades, inclusive pelo uso de componentes com
confiabilidade alta ou pela verificação de redundâncias de projeto.
A AMFE foi desenvolvida por engenheiros de confiabilidade para permitir
aos mesmos determinar a confiabilidade de produtos complexos. Para isto, é
necessário o estabelecimento de como e quão frequentemente os
componentes do produto podem falhar, sendo então a análise estendida para
avaliar os efeitos de tais falhas.
15
Apesar de sua utilização ser geral, a AMFE é mais aplicável às
indústrias de processo, principalmente quando o sistema em estudo possui
instrumentos de controle, levantando necessidades adicionais e defeitos de
projeto, definindo configurações seguras para os mesmos, quando ocorrem
falhas de componentes críticos ou suprimentos. A técnica auxilia, ainda, na
determinação e no encadeamento dos procedimentos para contingências
operacionais, quando o sistema é colocado em risco e a probabilidade de erro,
devido a ações não estruturadas, é alta, dependendo da ação correta dos
operadores.
Para proceder ao desenvolvimento da AMFE ou de qualquer outra
técnica, é primordial que se conheça e compreenda o sistema em que se está
atuando e qual a função e os objetivos do mesmo, as restrições sob as quais
irá operar, além dos limites que podem representar sucesso ou falha. O bom
conhecimento do sistema em que se atua é o primeiro passo para o sucesso
na aplicação de qualquer técnica, seja ela de identificação de perigos, análise
ou avaliação de riscos.
Conhecido o sistema e suas especificidades, pode-se dar seguimento a
análise, cabendo à empresa idealizar o modelo que melhor se adapte a ela. A
Tabela abaixo mostra esquematicamente um modelo para aplicação da AMFE.
16
2.5 - HAZard and OPerability Studies (HAZOP) = Análise de Operabilidade
de Perigos
Descrição da técnica
Segundo MORAES (2002), O método HAZOP foi introduzido
inicialmente pelos engenheiros da empresa inglesa ICI Chemicals, na metade
dos anos 70.
O que é o HAZOP
A técnica denominada HAZOP – Estudo de Perigos e Operabilidade –
visa identificar os perigos e os problemas de operabilidade de uma instalação
de processo. Esta metodologia é baseada em um procedimento que gera
perguntas de maneira estruturada e sistemática através do uso apropriado de
um conjunto de palavras-guias.
O HAZOP enfoca tanto os problemas de segurança, buscando identificar
os perigos que possam colocar em risco os operadores e aos equipamentos da
instalação, como também os problemas de operabilidade que embora não
sejam perigosos, podem causar perda de produção ou que possam afetar a
qualidade do produto ou a eficiência do processo. Portanto o HAZOP
identifica tanto problemas que possam comprometer a segurança da instalação
como aqueles que possam causar perda de continuidade operacional da
instalação ou perda de especificação do produto.
Objetivos do HAZOP
Segundo BRASIL (Notas de Aula, 2002), o HAZOP enfoca tanto os
problemas de segurança, buscando identificar os perigos que possam colocar
em risco os operadores e os equipamentos da instalação, assim como
problemas de operabilidade que, embora não sejam perigosos, podem
ocasionar perdas de produção ou afetar a qualidade do produto ou ainda a
eficiência do processo.
Assim os principais objetivos da técnica ou metodologia HAZOP são:

Identificação de perigos e desvios operacionais;

Causas geradoras de cada desvio;

Meios de detecção;

Consequências de cada desvio;

Recomendações.
O principal objetivo de um Estudo de Perigos e Operabilidade (HAZOP)
é investigar de forma minuciosa e metódica cada segmento de um processo,
visando descobrir todos os possíveis desvios das condições normais de
17
operação, identificando as causas responsáveis por tais desvios e as
respectivas consequências.
Aplicação do HAZOP
A técnica de HAZOP, como é uma metodologia estruturada para
identificar desvios operacionais, pode ser usada na fase de projeto de novos
sistemas/unidades de processo quando já se dispõe dos fluxogramas de
engenharia e de processo da instalação, ou durante modificações ou
ampliações de sistemas/unidades de processo já em operação. Pode também
ser usada como revisão geral de segurança de unidades de processos já em
operação. Portanto, esta técnica pode ser utilizada em qualquer estágio da
vida de uma instalação. A análise por HAZOP foi desenvolvida originalmente
para ser aplicada a processos de operação contínua, podendo, com algumas
modificações ser empregada para processos que operam por bateladas.
Não se pode executar um HAZOP de uma planta em fase de projeto,
antes de se dispor do P&ID da mesma. Deve-se, entretanto, executá-lo logo
após o término do P&ID a fim de que as possíveis modificações oriundas da
análise possam ser incorporadas ao projeto sem maiores custos. No caso de
HAZOP de uma planta existente, o primeiro passo é verificar se o P&ID está
realmente atualizado. A execução de um HAZOP com base em um P&ID
incorreto é simplesmente inútil.
A construção do Hazop
A execução de um HAZOP de boa qualidade exige, além da participação
de especialistas experientes, informações precisas, detalhadas e atualizadas a
respeito do projeto e operação da instalação analisada. Para execução do
HAZOP deve-se dispor de P&ID’s atualizados, informações sobre o processo, a
instrumentação e a operação da instalação. Estas informações podem ser
obtidas através de documentação, tais como, especificações técnicas,
procedimentos de operação e de manutenção ou por pessoas com qualificação
técnica e experiência. A documentação, devidamente atualizada, que pode ser
necessária para execução do HAZOP está indicada abaixo:
1. Fluxogramas de engenharia (Diagramas de Tubulação e Instrumentação
– P&ID’s).
2. Fluxogramas de processo e balanço de materiais.
3. Memorial descritivo, incluindo a filosofia de projeto.
4. Folhas de dados de todos os equipamentos da instalação.
5. Dados de projeto de instrumentos, válvulas de controle etc.
6. Dados de projeto e setpoints de todas as válvulas de alívio, discos de
ruptura etc.
7. Especificações e padrões dos materiais das tubulações.
8. Diagrama lógico de intertravamento, juntamente com descrição
completa.
9. Matrizes de causa e efeito.
10. Diagrama unificar elétrico.
11. Especificações das utilidades, tais como vapor, água de refrigeração, ar
comprimido etc.
18
12. Desenhos mostrando interfaces e conexões com outros equipamentos
na fronteira da unidade/sistema analisado.
De forma geral, o método assume que um problema de segurança ou de
operação somente pode ocorrer quando há um desvio dos propósitos do
projeto ou operação. A técnica é baseada em um procedimento que gera
perguntas de uma maneira sistemática através da determinação de pontos
específicos do sistema (nós de estudo) e exame dos desvios dos parâmetros
nesses “nós” através de palavras-guia, ou seja, no HAZOP de palavras-guia, o
grupo focaliza pontos específicos do sistema que são pontos onde os
parâmetros são investigados quanto aos desvios, um de cada vez. Os
parâmetros envolvidos podem ser vários: temperatura, pressão, nível etc.
As palavras-guia são aplicáveis tanto aos parâmetros mais gerais (ex;
reação, transferência etc.), quanto aos mais específicos (ex: pressão,
temperatura, etc.). Essas palavras são usadas para garantir que o projeto ou o
sistema seja explorado de todas as maneiras possíveis.
Com a aplicação do procedimento operacional, o grupo identifica um
número razoavelmente grande de desvios, cada um dos quais deve então ser
considerado de maneira tal que as causas e consequências potenciais possam
ser identificadas.
Uma vez verificadas as causas e as consequências de cada tipo de
desvios, esta técnica procura propor medidas para eliminar, mitigar ou controlar
em níveis aceitáveis o risco ou quem sabe até sanar o problema de
operabilidade da instalação.
É importante no HAZOP possuir um líder, cuja função principal é a de
conduzir o estudo, orientando o questionamento de forma sistemática: definir
filosofias e escopo e controlar a discussão mantendo um alto nível de energia.
Com esse intuito, não é necessário que o líder seja um profundo conhecedor
do sistema estudado.
A melhor ocasião para se conduzir um HAZOP é quando o projeto está
bem consolidado. Nesse momento, o projeto estará suficientemente bem
definido para permitir respostas compreensivas às perguntas levantadas.
Também nesse período é ainda possível mudar-se o projeto sem um
custo maior. Entretanto, o HAZOP pode ser feito em qualquer estágio da vida
da instalação. Muitas instalações antigas estão melhorando seus sistemas de
instrumentação e controle baseando-se em resultados obtidos com a aplicação
do HAZOP.
2.6 - Análise da Árvore de Eventos (AAE) - Event Tree Analysis
Segundo MORAES (2010), a Análise da Árvore de Eventos (AAE) é um
método lógico-indutivo para identificar as várias e possíveis consequências
resultantes de certo evento inicial. A técnica busca determinar as frequências
das consequências decorrentes dos eventos indesejáveis, utilizando
encadeamentos lógicos a cada etapa de atuação do sistema.
19
Nas aplicações de análise de risco, o evento inicial da árvore de eventos
é, em geral, a falha de um componente ou subsistema, sendo os eventos
subsequentes determinados pelas características do sistema.
Para o traçado da árvore de eventos as seguintes etapas devem ser
seguidas:
a) definir o evento inicial que pode conduzir ao acidente;
b) definir os sistemas de segurança (ações) que podem amortecer o
efeito do evento inicial;
c) combinar, em uma árvore lógica de decisões, as várias sequências de
acontecimentos que podem surgir a partir do evento inicial;
d) uma vez construída a árvore de eventos, calcular as probabilidades
associadas a cada ramo do sistema que conduz a alguma falha (acidente).
A árvore de eventos deve ser lida da esquerda para a direita. Na
esquerda começa-se com o evento inicial e segue-se com os demais eventos
sequenciais. A linha superior é NÃO e significa que o evento não ocorre, a
linha inferior é SIM e significa que o evento realmente ocorre.
Um exemplo fictício, para proceder à análise quantitativa, pode ser
tomado como no esquema do quadro a seguir, que investiga a probabilidade de
descarrilhamento de vagões ou locomotivas, visto que existe um defeito nos
trilhos.
Esquema de funcionamento da AAE
Exemplo fictício da aplicação da AAE
20
Como se pode observar no quadro anterior, o descarrilhamento pode ser
causado por qualquer uma das três falhas assinaladas e, portanto, a
probabilidade de que um defeito nos trilhos produza descarrilhamento é a soma
simples das três possibilidades, ou seja, 0,6%.
De acordo com BRASIL (Notas de Aula, 2002), quando ocorre um
evento iniciador de acidente em uma determinada instalação, este pode,
dependendo dos eventos subsequentes, evoluir de diversas maneiras, dando
origem a vários cenários de acidentes.
Esta evolução depende dos sistemas de segurança e procedimentos de
emergência existentes. Os sistemas de segurança e os procedimentos são
associados a fim de evitar a propagação do acidente, podendo-se ter falha ou
sucesso na atuação destes sistemas ou na execução dos procedimentos.
Para cada uma destas situações tem-se uma evolução subsequente do
acidente, que determina, no final, um conjunto de cenários de acidentes
possíveis de ocorrer para aquele evento iniciador.
Árvores de eventos é o método mais apropriado para identificar esses
cenários e de quantificar as suas respectivas frequências de ocorrências. Esse
método surgiu como uma adaptação da técnica de árvores de decisões, muito
utilizada nas áreas de economia e administração.
2.7 - Análise de Causas e Consequências (ACC)
A Análise das Causas e Consequências (AAC) se utiliza das mesmas
técnicas de construção da Análise da Árvore de Eventos (AAE) e da Análise
da Árvore de Falhas (AAF) que serão explicadas mais adiante.
O procedimento para construção de um diagrama de causas e
consequências inicia-se por um evento inicial. Posteriormente, cada evento
desenvolvido é questionado, conforme mostrado a seguir:
21
- Em que condições o evento induz a outros eventos?
- Quais as alternativas ou condições que levam a diferentes eventos?
- Que outro componente o evento afeta?
- Ele afeta mais do que um componente?;
- Quais outros eventos este evento causa?.
De acordo com os autores (DE CICCO & FANTAZZINI, 1994), o binômio
“causa-consequência” é um casamento da árvore de falhas (mostra as causas)
e da árvore de eventos (mostra as consequências), todas elas com sua
sequência natural de ocorrência.
Conforme DE CICCO (2004), trata-se de uma técnica que permite
avaliar qualitativa e quantitativamente as consequências dos eventos
catastróficos de ampla repercussão e verificar a vulnerabilidade do meio
ambiente, da comunidade e de terceiros em geral.
O processo consiste, sucintamente, em escolher um evento crítico,
partindo-se, para um lado, com a discretização das consequências e para
outro, determinando as causas. A estruturação, a exemplo da árvore de falhas,
também é feita através de símbolos e da álgebra booleana.
2.8 - Análise da Árvore de Falhas (AAF)
A técnica de Análise por Árvore de falhas é uma ferramenta versátil que
permite a avaliação quantitativa de parâmetros de confiabilidade.
A análise de um sistema através da Análise da Árvore de Falhas (AAF)
tem como objetivo determinar as possíveis combinações de falhas de
componentes de um sistema ou de erros humanos que possam acarretar a
ocorrência de um evento indesejado e quais destas combinações são as que
mais contribuem para a ocorrência deste evento.
O evento indesejado, que pode ser um acidente ou uma determinada
falha do sistema, é comumente chamado de “evento topo” da técnica de
Árvore de Falhas.
O conceito fundamental da análise por árvore de falhas consiste na
tradução de um sistema físico em um diagrama lógico estruturado (árvore de
falhas), que mostra como certas causas específicas podem conduzir ao evento
topo de interesse.
Este diagrama lógico é construído, usando-se lógicos (portões E e OU) e
os eventos.
A Árvore de Falhas permite:
22
 revelar os pontos mais susceptíveis às falhas;
 ajudar na escolha entre várias alternativas de um projeto;
 considerar erros humanos, testes e manutenção.
A principal utilidade desta técnica reside no fato de que a identificação
dos pontos fracos do sistema permite a sugestão e implementação de medidas
que atuem diretamente sobre estes pontos. Além disso, esta técnica é de
extrema utilidade na tomada de decisão quando se dispõe de várias
alternativas para um determinado projeto.
A grande vantagem da análise por Árvore de Falhas está no fato desta
técnica permitir a incorporação de contribuições para a indisponibilidade devida
a erros humanos, realização e manutenção preventiva.
Esta técnica consiste na construção de um diagrama lógico, através de
um processo dedutivo que, partindo de um evento indesejado pré-definido
(normalmente um determinado modo de falha do sistema), busca as possíveis
causas de tal evento.
O processo segue investigando as sucessivas combinações de falhas
dos componentes até atingir as chamadas falhas básicas (ou “eventos básicos
da árvore de falhas”), as quais constituem o limite de resolução da análise. O
processo é dedutivo, pois parte de eventos no nível do sistema e procura
deduzir as causas possíveis até chegar à identificação dos eventos que podem
ocorrer com os componentes do sistema.
Segundo BRASIL (Notas de Aula, 2002), o método de AAF pode ser
desenvolvido através das seguintes etapas:
a) seleção do evento indesejável ou falha, cuja probabilidade de
ocorrência deve ser determinada;
b) revisão dos fatores intervenientes: ambiente, dados do projeto,
exigências do sistema etc., determinando as condições, eventos particulares ou
falhas que possam vir a contribuir para ocorrência do evento topo selecionado;
c) montagem, através da diagramação sistemática, dos eventos
contribuintes e falhas levantados na etapa anterior, mostrando o interrelacionamento entre estes eventos e falhas, em relação ao evento topo. O
processo inicia com os eventos que poderiam, diretamente, causar tal fato,
formando o primeiro nível - o nível básico. À medida que se retrocede, passo a
passo, até o evento topo, são adicionadas as combinações de eventos e falhas
contribuintes. Desenhada a árvore de falhas, o relacionamento entre os
eventos é feito através das comportas lógicas;
d) através de Álgebra Booleana são desenvolvidas as expressões
matemáticas adequadas, que representam as entradas da árvore de falhas.
Cada comporta lógica tem implícita uma operação matemática, podendo ser
traduzida, em última análise, por ações de adição ou multiplicação;
e) determinação da probabilidade de falha de cada componente, ou seja,
a probabilidade de ocorrência do evento topo será investigada pela
23
combinação das probabilidades de ocorrência dos eventos que lhe deram
origem.
A construção de uma árvore de falhas é feita partindo-se do evento topo
e investigando-se todas as causas imediatas que podem levar diretamente à
ocorrência do evento topo e como estas causas devem ser combinadas.
Estas causas constituem os ramos principais da árvore de falhas, e são
geralmente representadas por eventos intermediários associados com portões
lógicos, podendo, algumas delas, serem representadas por eventos básicos ou
não desenvolvidos.
A combinação entre as diversas causas que acarretam um determinado
tipo de efeito é feita normalmente através de portões lógicos “E” ou “OU”, que
são operadores booleanos. Assim, caso todas as causas tenham que ocorrer
simultaneamente para que o evento topo exista, elas devem ser conectadas a
este evento topo por meio de um portão lógico “E”.
Caso qualquer uma das causas possa acarretar a ocorrência do evento
topo, elas devem ser conectadas ao evento topo através de um portão lógico
“OU”.
Caso as causas não possam ser combinadas utilizando-se apenas um
único portão lógico, isto significa que algumas delas foram definidas
inadequadamente, devendo ser redefinidas.
A construção e a quantificação de árvores de falhas geralmente
requerem o uso de programa de computador e os seguintes documentos:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
fluxogramas de engenharia do sistema (diagramas de tubulação e
instrumentação);
fluxogramas de processo;
memorial descritivo do sistema, incluindo a filosofia de projeto;
manuais de operação, incluindo procedimentos de operação,
manutenção e testes;
desenhos de engenharia dos equipamentos, incluindo detalhes de
projeto;
folhas de dados de todos os equipamentos da instalação;
dados de projeto de instrumentos, válvulas de controle, etc.;
dados de projeto e “setpoints”de todas as válvulas de alívio,
discos de ruptura, etc.;
especificações e padrões dos materiais das tubulações;
diagrama lógico de intertravamento, juntamente com a descrição
completa;
desenhos mostrando interfaces e conexões com outros
equipamentos na fronteira do sistema analisado;
relatórios de ocorrências de falhas dos componentes envolvidos na
análise;
24
3. REFERÊNCIAS BIBLIOGRÁFICAS
1. MORAES, Giovanni de Araújo. Sistema de Gestão de Segurança e Saúde
Ocupacional – OHSAS 18.001 comentada. Brasil, RJ. 2006. Gerenciamento Verde
Editora e Livraria Virtual.
2. Norma ABNT ISO 31.001:2009 (Sistema de Gestão de Riscos). ABNT – Brasil, RJ,
2009.
3. Norma ABNT ISO Guia 73:2009 (Guia de Sistema de Gestão de Riscos). ABNT, RJ.
4. DE CICCO & FANTAZINNI, Introdução à Engenharia de Segurança de Sistemas,
FUNDACENTRO, SP-Brasil, 1994, 3ª edição.
5. BRASIL, Fernando, Notas de Aula, Curso de Técnicas de Análise de Riscos, 2002,
RJ.
25