Apostila Gerencia de Riscos

Prévia do material em texto

Ministério da Educação 
Universidade Tecnológica Federal do Paraná 
Campus de Cornélio Procópio 
 
 
 
 
CURSO DE ESPECIALIZAÇÃO EM 
ENGENHARIA DE SEGURANÇA DO TRABALHO 
 
DISCIPLINA: GERÊCIA DE RISCOS 
 
 
Prof. Me. Marco Antonio Ferreira Finocchio 
 
CORNÉLIO PROCÓPIO – 2013 
 
 2 
 
SUMÁRIO 
 
 
CAPÍTULO 1: OS RISCOS EMPRESARIAIS E A GERÊNCIA DE RISCOS 
 
1.1) INTRODUÇÃO 04 
1.2) EXPLICAÇÃO DA TERMINOLOGIA 04 
1.3) NATUREZA DOS RISCOS EMPRESARIAIS 07 
1.3.1) RISCOS ESPECULATIVOS 07 
1.3.2) RISCOS PUROS 08 
1.4) VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS 10 
 
 
CAPÍTULO 2: INTRODUÇÃO A GERÊNCIA DE RISCOS 
 
2.1) SISTEMA DE GESTÃO 14 
2.1.1) SISTEMA DE GESTÃO HOLÍSTICO 15 
2.1.2) CAMPO DE FORÇAS ORGANIZACIONAL 19 
2.2) GESTÃO DE RISCOS 20 
2.2.2) PRINCÍPIOS DA GESTÃO DE RISCOS 20 
2.2.3) POLÍTICA DE GESTÃO DE RISCOS 21 
2.2.3) ESTRATÉGIA DA GESTÃO DE RISCOS 21 
2.2.4) METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS 21 
2.2.5) PROGRAMAS DA GESTÃO DE RISCOS 23 
2.3) ANÁLISE E CONTROLE DE RISCOS 25 
2.3.1) MECANISMO DE PRODUÇÃO DE DANOS 25 
2.3.2) IDENTIFICAÇÃO DE PERIGOS 27 
2.3.3) AVALIAÇÃO DE RISCOS 27 
2.3.4) ELEMENTOS DE CONTROLE DE PROCESSO 35 
2.3.5) CONTROLE DE RISCOS 37 
 
 
CAPÍTULO 3: A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS 
 
3.1) INTRODUÇÃO 40 
3.2) ANÁLISE PRELIMINAR DE RISCOS 41 
 
 
CAPÍTULO 4: MÉTODOS DE ÁNALISE DE RISCOS 
 
4.1) MÉTODOS TRADICIONAIS 46 
4.2) MÉTODOS ATUAIS 46 
4.3) TÉCNICA DE INCIDENTES CRÍTICOS – TIC 46 
4.4) ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE) 48 
 
 
 3 
 
CAPÍTULO 5: ANÁLISE DE ÁRVORES DE FALHAS 
 
5.1) INTRODUÇÃO 52 
5.2) CONSTRUÇÃO E DESENVOLVIMENTO 52 
5.3) AVALIAÇÃO QUANTITATIVA 62 
5.4) UM EXEMPLO SIMPLES DE APLICAÇÃO 68 
 
 
CAPÍTULO 6: TÉCNICA DE IDENTIFICAÇÃO DE PERIGOS – E SE...? 
 
6.1) INTRODUÇÃO 73 
6.2) E SE...? COMBINADA COM LISTAS DE VERIFICAÇÃO 74 
6.3) ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE 76 
6.4) EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa 78 
 
 
CAPÍTULO 7: FINANCIAMENTO DE RISCOS 
 
7.1) INTRODUÇÃO 81 
7.2) TRANSFERÊNCIA DE RISCOS 84 
7.3) SEGURO OU AUTO-SEGURO 85 
7.4) DEFINIÇÃO DE NÍVEIS DE FRANQUIA 87 
 
 
CAPÍTULO 8: FINANCIAMENTO DE RISCOS 
 
8.1) ÁLGEBRA BOOLEANA 90 
8.2) CONFIABILIDADE 93 
 
 
BIBLIOGRAFIA CONSULTADA 99 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 4 
 
CAPITULO 1 
 
OS RISCOS EMPRESARIAIS E A GERÊNCIA DE RISCOS 
 
1.1) INTRODUÇÃO 
 
A busca de instrumentos cada vez mais eficazes para a prevenção e o controle de 
acidentes vem elevando o interesse pela Gerência de Riscos. Neste campo, profissional de 
áreas como Engenharia de Segurança, Meio Ambiente e outras, buscam uma forma de tornar 
mais abrangente e aprimorada suas atuações. E não se decepcionam, pois a Gerência de Riscos 
oferece meios de se otimizar os resultados do próprio desenvolvimento tecnológico, a partir da 
redução dos riscos apresentados pelas atividades sugeridas na moderna sociedade em que 
vivemos. 
Dado o seu alcance, muito há que se falar sobre Gerência de Riscos. Entretanto, 
neste trabalho optou-se em reunir as informações fundamentais sobre o assunto. Dessa forma, o 
material que segue nos próximos capítulos propiciará um adequado embasamento científico a 
todos aqueles que querem se desenvolver neste vasto campo. 
Segundo Willie Hammer: 
 
Acidentes ocorrem desde tempos imemoriais, e as pessoas têm se preocupado 
igualmente com sua prevenção há tanto tempo. 
Lamentavelmente, apesar do assunto ser discutido com freqüência, a terminologia 
relacionada ainda carece de clareza e precisão. 
Do ponto de vista técnico, isto é particularmente frustrante, pois gera desvios e 
vícios de comunicação e compreensão, que podem aumentar as dificuldades para a resolução 
de problemas. 
Qualquer discussão sobre riscos deve ser precedida de uma explicação da 
terminologia, seu sentido preciso e inter-relacionamento. 
 
Esta colocação nos obriga a refletir e a buscar uma proposição que preencha nossas 
necessidades de uma terminologia consistente e que reflita a filosofia e o enfoque sobre 
Gerência de Riscos que iremos abordar neste curso sobre o assunto. 
 
 
1.2) EXPLICAÇÃO DA TERMINOLOGIA 
 
Risco (Hazard): 
 
Uma ou mais condições de uma variável com o potencial necessário para causar 
danos. Esses danos podem ser estendidos como lesões a pessoas, danos a equipamentos e 
instalações, danos ao meio ambiente, perda de material em processo, ou redução da capacidade 
de produção. Havendo um risco, persistem as possibilidades de efeitos adversos. 
Há quem traduza harzard como perigo, termo este mais adequado para a tradução 
de danger. Isto vem demonstrar a necessidade daqueles que trabalham na área, de que 
esforçarem para que chegue à melhor definição desses termos. Nossa posição também condiz 
 5 
com a tradução adotada na Espanha, onde se traduz harzard como riesgo, assim também 
ocorrendo com a palavra risk. 
 
Risco (Risk) 
 
Expressa uma probabilidade de possíveis danos dentro de um período específico de 
tempo ou número de ciclos operacionais. Pode ser indicado pela probabilidade de um acidente 
multiplicada pelo dano em reais, vidas ou unidades operacionais. 
Pode significar ainda: 
 
 Incerteza quanto à ocorrência de um determinado evento (acidente); 
 
 Chance de perda que uma empresa pode sofrer por causa de um acidente ou 
série de acidentes. 
 
Segurança 
 
É freqüentemente definida como isenção de riscos. Entretanto, é praticamente 
impossível a eliminação completa de todos os riscos. Segurança é, portanto, um compromisso 
acerca de uma relativa proteção da exposição a riscos. É o antônimo de perigo. 
 
Perigo (Danger) 
 
Expressa uma exposição relativa a um risco que favorece a sua materialização em 
danos. 
 
Dano 
 
É a gravidade da perda: 
 Humana; 
 Material; 
 Ambiental; 
 Financeira. 
 
A qual pode resultar, caso o controle sobre um risco seja perdido. 
 
Causa 
 
É a origem de caráter humano ou material relacionada com o evento catastrófico 
(acidente ou falha), resultante da materialização de um risco, provocando danos. 
 
Perda 
 
É o prejuízo sofrido por uma organização, sem garantia de ressarcimento ou outros 
meios. 
 
 6 
Obs.: Empregamos praticamente só o termo perda para designar o prejuízo, ou 
eventual prejuízo, sofrido por uma empresa, independentemente da existência ou 
não da garantia de ressarcimento. 
 
Sinistro 
 
É o prejuízo sofrido por uma organização, com garantia de ressarcimento por 
seguro ou por outros meios. 
 
Incidente 
 
Qualquer evento ou fato negativo com potencial para provocar danos. É também 
chamado quase-acidente: situação em que não há danos macroscópicos. 
 
Exemplos: 
 
Um risco pode estar presente, mas pode haver baixo nível de perigo, devido às 
precauções tomadas. Assim, por exemplo, um banco de transformadores de alta voltagem 
possui um risco inerente de eletrocussão, uma vez que esteja energizado. Há um alto nível de 
perigo se o banco estiver desprotegido, no meio de uma área com pessoas. O mesmo risco 
estará presente quando os transformadores estiverem trancados num cubículo sob o risco. 
Entretanto, o perigo agora será mínimo para o pessoal. Vários outros exemplos poderiam, ser 
citados,para mostrar como os níveis de perigo diferem, ainda que o risco se mantenha o 
mesmo. 
 
Um operário desprotegido pode cair de uma viga a três metros de altura, e sofrer um 
dano físico, como por exemplo, uma fratura na perna. Se a viga estivesse colocada a 90 metros 
de altura, ele, com certeza, estaria morto. O risco (possibilidade) e o perigo (exposição) de 
queda são os mesmos. Entretanto, a diferença reside na gravidade do dano que poderia ocorrer 
com a queda. 
 
O seguinte esquema facilita o entendimento destes termos: 
 
 
 
 
 7 
 
1.3) NATUREZA DOS RISCOS EMPRESARIAIS 
 
Muitos estudiosos, principalmente os norte-americanos, da Gerência de Riscos, 
digamos, tradicionais, têm classificado os riscos que podem atingir uma empresa, basicamente, 
em: 
 
 Riscos especulativos (dinâmicos); 
 Riscos puros (estáticos). 
 
A diferença principal entre essas duas categorias reside no fato de que os riscos 
especulativos envolvem uma possibilidade de ganho ou uma chance de perda: ao passo que os 
riscos puros envolvem somente uma chance de perda, não existindo nenhuma possibilidade de 
ganho ou lucro. 
Um exemplo clássico que mostra essa diferença é o do proprietário de um veículo, 
cujo risco (puro) que está associado a ele é o da perda potencial por colisão. Se ocorrer 
eventualmente uma colisão, o proprietário sofrerá, no mínimo, uma perda financeira. Se não 
ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho. 
 
 
1.3.1) RISCOS ESPECULATIVOS 
 
Os riscos especulativos podem ser divididos em três tipos: 
 
 Riscos administrativos; 
 Riscos políticos; 
 Riscos de inovação. 
 
 
OS RISCOS ADMINISTRATIVOS: 
 
Estão intimamente relacionados ao processo de tomada de decisões gerenciais: uma 
decisão correta pode trazer lucros para a empresa. O problema maior está na dificuldade de se 
prever, com exatidão, o resultado que advirá da decisão adotada. Essa incerteza nada mais é 
que a própria definição de risco, conforme foi visto no item anterior. 
Os riscos administrativos podem ainda ser subdividido em: 
 
 Riscos de mercado: são fatores que tornam incerta a venda de um 
determinado produto ou serviço, a um preço suficiente que traga resultados 
satisfatórios em relação ao capital investido; 
 Riscos financeiros: dizem respeito às incertezas em relação às decisões 
tomadas sobre a política econômico-financeira da organização; 
 Riscos de produção: envolvem questões e incertezas quanto a materiais, 
equipamentos, mão-de-obra e tecnologia utilizados na fabricação de um 
produto ou ainda na prestação de um determinado serviço. 
 
 8 
 
OS RISCOS POLÍTICOS: 
 
Por sua vez, deriva-se de leis, decretos, portarias, resoluções, etc, emanados do 
Governo Federal, Estadual e Municipal, os quais podem ameaçar os interesses e objetivos da 
organização. 
 
 
OS RISCOS DE INOVAÇÃO: 
 
Referem-se às incertezas decorrentes, normalmente, da introdução (oferta) de novos 
produtos no mercado e da sua aceitação (demanda) pelos consumidores. 
 
 
1.3.2) RISCOS PUROS 
 
Os riscos puros, como já mencionado, existem quando há somente uma chance de 
perda e nenhuma possibilidade de ganho ou lucro. 
As principais perdas acidentais (diretas e indiretas) resultantes da materialização 
dos riscos puros que podem ocorrer numa empresa podem ser agrupadas em: 
 Perdas decorrentes de morte ou invalidez de funcionários; 
 Perdas por danos à propriedade e a bens em geral; 
 Perdas decorrentes de fraudes ou atos criminosos; 
 Perdas por danos causados a terceiros (responsabilidade da empresa por 
poluir o meio ambiente, responsabilidade pela qualidade de segurança do 
produto fabricado ou do serviço prestado, entre outras). 
 
Para dar uma idéia do significado, por exemplo, das perdas para o fabricante de um 
determinado produto resultante de um acidente com danos ao consumidor, vamos enumerar os 
itens mais importantes que incidiriam sobre a empresa: 
 
 Pagamento de indenizações por lesões ou morte, incluindo o pagamento de 
pensões aos dependentes do reclamante e honorário advocatício; 
 Pagamento de indenizações por danos materiais não cobertos por seguro. 
 
Tais indenizações poderiam também incluir: 
 
o Custos de reposição do produto e de outros itens danificados; 
o Perda de rendimentos operacionais; 
o Custos de recuperação do equipamento danificado; 
o Custo com assistência emergencial; 
o Custos administrativos; 
o Honorários dos advogados do reclamante; 
o Tempo e salários perdidos; 
o Honorários dos advogados de defesa; 
o Custos da investigação do acidente; 
 9 
o Ações corretivas para evitar repetição do acidente; 
o Queda de produção durante a determinação das causas do acidente e durante 
a adoção de ações corretivas; 
o Penalidades por falhas na adoção de ações corretivas de riscos, defeitos ou 
condições que violam preceitos legais; 
o Tempo perdido do pessoal da empresa fabricante; 
o Obsolescência do equipamento associado ao produto que deverá ser 
modificado; 
o Aumento das tarifas de seguro; 
o Perda de confiança perante a opinião pública; 
o Perda de prestígio; 
o Degradação moral. 
 
Ambos os casos, normalmente considera-se que a Gerência de Riscos trata apenas 
das questões relativas à prevenção e ao financiamento dos riscos puros. Entretanto, vale 
mencionar que muitas de suas técnicas podem ser igualmente aplicadas aos riscos 
especulativos. 
É importante lembrar também o papel fundamental que desempenha nos programas 
de gerenciamento de riscos, o estudo dos incidentes (quase acidentes). Para melhor caracterizar 
o que estamos afirmando, vamos considerar um estudo bastante representativo realizado nos 
Estados Unidos, em 1969, pela Insurance Company of North América, o qual abrangeu 
1.753.498 acidentes registrados por 297 organizações que representavam 21 diferentes setores 
de atividades e empregavam 1.750.000 trabalhadores. O tempo de exposição aos riscos somou, 
no período analisado, mais de três bilhões de horas-homem. 
 
Esse estudo revelou que, para cada acidente com lesão grave (com afastamento), 
havia 9,8 acidentes com lesão leve (sem afastamento) e 30,2 acidentes com danos à 
propriedade. 
Parte do estudo compreendeu 4.000 horas de entrevistas a trabalhadores sobre a 
ocorrência de incidentes que, em circunstâncias ligeiramente diferentes, poderiam ter causado 
lesões ou danos à propriedade. Como resultado dessas entrevistas, conclui-se que, para cada 
lesão grave, ocorreram 600 incidentes (quase acidentes) que não apresentaram lesões ou danos 
visíveis. 
O estudo das proporções de acidentes é apresentado na Figura 1. 
 
 10 
 
FIGURA 1: Estudo das Proporções de acidentes. 
 
(*) lesão pessoal que impede o acidentado de voltar ao trabalho no dia imediato ao 
do acidente ou de que resulte incapacidade permanente. 
(**) lesão pessoal que não impede o acidentado de voltar ao trabalho no dia 
imediato ao acidente, desde que não haja incapacidade permanente. 
Fonte: Insurance Company of North America – 1969. 
 
Esta relação indica claramente que esforços de prevenção e controle de riscos 
devem ser concentrados não só nos acidentes com lesões, mas também nos acidentes, pois 
qualquer um destes últimos pode resultar ainda em uma lesão grave ou morte. 
 
 
1.4) VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS 
 
É extremamente difícil enumerar as razões que têm tornado a Gerência de Riscos o 
assunto do momento. Entretanto, uma razão importante é que as empresas e o público em geral 
tomaram uma nova consciência dos riscos potenciais decorrentes do contínuo progresso 
tecnológico. 
A percepção de que conseqüências irreversíveispodem afetar o meio ambiente, que 
os recursos não são ilimitados e que, do ponto de vista da economia em geral, o dinheiro nunca 
pode compensar vidas e valores destruídos, também merecem ser citados neste contexto. Além 
disso, uma atitude mais crítica do consumidor de bens e de serviços, com relação ao fabricante 
ou fornecedor, tem um efeito semelhante. Está-se exigindo maior responsabilidade dos 
empresários. 
Esses progressos, que também são refletidos na legislação, juntamente com um 
clima difícil na economia, estão forçando as empresas a se responsabilizarem por todas as 
perdas que, de um modo ou de outro, ameaçam seus objetivos: seja conseguir bom nível de 
 11 
lucro seja manter os negócios em bom andamento ou, até mesmo, garantir a própria existência 
da organização. 
A rigor, a Gerência de Riscos, em termos de consciência do risco ou de vivência 
com ele é tão antiga quando o próprio homem. Na verdade, o homem sempre esteve envolvido 
com riscos e com muitas das decisões de Gerência de Riscos. Muito antes da existência do que 
hoje denominamos gerentes de riscos, indivíduos dedicavam-se (e têm se dedicado) a tarefas e 
funções específicas de segurança do trabalho, proteção contra incêndio, segurança patrimonial, 
controle de qualidade, inspeções e análises de risco para fins de seguro e inúmeras outras 
atividades semelhantes. 
O que ocorreu com relação à Gerência de Riscos é que os americanos e europeus 
aglutinaram o que inúmeras pessoas vinham fazendo de forma independente em um conjunto 
de teorias lógicas e objetivas, e lhe deram o nome de Risk Management. 
Entretanto, um cuidadoso exame de diversos estudos, trabalhos e publicações sobre 
o assunto revelam que não existe concordância quanto à natureza, conceito e conteúdo da 
Gerência de Riscos. 
 
 
 
 
Conceito: 
 
Várias têm sido tentativas para se definir o conceito de Gerência de Riscos. O 
objetivo aqui não é levantar polêmicas a respeito dessa questão. No entanto, a visão que é 
apresentada da Gerência de Riscos está intimamente ligada ao conceito e conteúdo que 
atribuímos à mesma, os quais serão explanados a seguir. 
Pode-se dizer que a Gerência de Riscos é a ciência, a arte e a função que visa a 
proteção dos recursos humanos, materiais e financeiros de uma empresa, quer através da 
eliminação ou redução de seus riscos, quer através do financiamento dos riscos remanescentes, 
conforme seja economicamente mais viável. 
 12 
D fato, a Gerência de Riscos teve seu início efetivo nos Estados Unidos em alguns 
paises da Europa, logo após à Segunda Guerra Mundial, tendo os responsáveis pela segurança 
das grandes empresas, pelos seus seguros, começando a examinar a possibilidade de reduzir os 
gastos com o prêmio de seguros e aumentar a proteção da empresa frente a riscos de acidentes. 
Perceberam, então, que seria possível atingir tais objetivos por meio de uma análise 
detalhada das situações de risco. 
Além da avaliação das probabilidades de perda, tornou-se necessário determinar 
quais os riscos inevitáveis e quais os que e poderiam ser diminuídos. Calculou-se o custo - 
beneficio das medidas de proteção a serem adotadas, como também se levou em consideração a 
situação financeira da empresa, para a escolha adequada do seu grau de proteção. 
É este, basicamente, também o enfoque abordado, acrescido de técnicas modernas 
oriundas de várias áreas, em especial, da Engenharia de Segurança de Sistemas. 
O conteúdo especifico e os processos básicos da Gerência de Riscos são as técnicas 
de gerenciamento de riscos serão discutidos em detalhe mais adiante. 
 
 
Seguros: 
 
Devem ficar aqui registrados também o fato de algumas pessoas confundirem 
Gerência de Riscos com Administração de Seguros. Tais termos, absolutamente, não são 
sinônimos. A Gerência de Riscos cobre um campo consideravelmente mais amplo que 
Administração de Seguros. O seguro é apenas uma das formas que a empresa pode adotar para 
tratar os seus riscos, ou seja, é um dos elementos a serem considerados no processo de decisão 
a seus riscos. Somente a partir da decisão da organização de transferir seus riscos através do 
seguro, é que se inicia efetivamente a Administração de Seguro. 
O último aspecto a ser analisado diz respeito à implantação, em nosso país, da 
Gerência de Riscos nas empresas. 
Não é nosso objetivo, entretanto, discutir aqui esse aspecto em profundidade. Não 
obstante, em virtude da Gerência de Riscos ainda ser incipiente nas organizações brasileiras, 
gostaríamos de propor algumas ações básicas que a nosso ver, poderiam permitir o 
desenvolvimento de programas eficazes de gerenciamento de risco nas empresas e, em 
particular, eliminar uma série de problemas que têm atingido os profissionais da área de 
Engenharia de Segurança. 
Acreditamos que, num primeiro instante, é fundamental que haja uma integração 
efetiva entre as áreas de Engenharia de Segurança e de Seguros das empresas, a fim de que 
todos os assuntos relacionados com riscos sejam equacionados em conjunto pelas duas áreas e 
tratados, como conseqüência, de forma mais racional e econômica. 
Por outro lado, é de suma importância que as empresas ofereçam condições para 
que os profissionais dessas áreas sejam devidamente treinados sobre os processos e técnicas 
utilizadas no gerenciamento de riscos, para que assim possam conduzir, de maneira 
geralmente cientifica, os programas atinentes ao assunto. 
 
 
 
 
 
 
 13 
 
Departamento: 
 
O passo seguinte seria então a criação, na própria empresa, de um departamento que 
assessorasse a organização em todas as questões relativas a risco e seguro: o Departamento de 
Gerência de Riscos. 
É evidente que essas idéias iniciais bem como as ações posteriores, em termos de 
organização do referido departamento, posicionamento do mesmo organograma, formas de 
atuação etc, dependerão da política, da cultura e das características e peculiaridades de cada 
empresa. 
Estamos certos que a implicação da Gerência de Riscos não acarretará maiores 
despesas para a organização, uma vez que ela já dispõe praticamente de todo o pessoal 
necessário (das áreas de Segurança e de Seguro) para o desenvolvimento dos trabalhos. 
Julgamos, isto sim, que as despesas eventuais que venham a ocorrer são tão insignificantes, que 
não se comparam aos benefícios reais que a empresa obterá, quer quanto à otimização de seus 
custos de seguro, quer, principalmente, quanto à maior proteção de seus funcionários, de seus 
recursos materiais e financeiros e do meio ambiente. 
Não devem ser esquecidos também os benefícios que a Gerência de Riscos, à 
medida que for sendo adotada pelas empresas, trará ao mercado segurador. 
De passagem. E para finalizar, podemos citar dois deles: 
 
 Maior produção de prêmios, pelos simples fato de as empresas identificarem 
novas situações de riscos que até então não conheciam, aumentando assim a 
possibilidade dos riscos que forem cientificamente analisados e avaliados 
serem transferidos ao seguro; 
 Seguros mais sadios e, conseqüentemente, menores riscos (para o mercado 
segurador) de pagamento de indenizações. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 14 
 
CAPITULO 2 
 
Introdução a Gerência de Riscos 
 
2.1) SISTEMA DE GESTÃO 
 
Gestão é o ato de coordenar esforços de pessoas para atingir os objetivos da 
organização. A gestão eficiente e eficaz de forma que necessidades e objetivos das pessoas 
sejam consistentes e complementares aos objetivos da organização a que estão ligadas. 
Sistema de gestão é um objetivo de instrumentos inter-relacionados, interatuantes e 
interdependentes que a organizaçãoutiliza para planejar, operar e controlar suas atividades 
para atingir objetivos. 
São instrumentos do sistema de gestão: princípios, objetivos, estratégias, política, 
diretrizes, sistemas organizacionais e operacionais, programas (projeto, metas, planos), 
atividades, métodos e procedimentos. 
Na aplicação dos métodos utilizam-se diversas ferramentas como Projeto de 
Experimentos, Análise do Valor, Análise de Risco, Controle Estatístico de Processo (CEP), 
Método de Análise e Solução de Problemas (Masp). 
 
1. Princípio é a base sobre a qual o sistema de gestão é construído. Resulta da 
filosofia, do paradigma dominante. 
2. Objetivo é um estado futuro que se quer atingir. 
3. Estratégia é um caminho para atingir o objetivo. 
4. Política é um regra ou conjunto de regras comportamentais. 
5. Diretriz é uma orientação. Pode restringir os caminhos possíveis ou dar 
indicações de caráter geral. É mais especifica que a política e serve, inclusive, para 
explicitá-la. 
6. Sistemas organizacionais é um sistema no qual as relações entre pessoas 
predominam sobre as relações entre equipamentos. 
7. Sistema operacional é um sistema no qual as relações entre equipamentos 
predominam sobre as relações entre pessoas. Por extensão, é operacional o sistema 
que, mesmo tendo intensa rede de relações pessoais, apresente características 
repetitivas e mecânicas de trabalho. 
8. Programa é um conjunto de ação desenvolvida dentro de determinado campo de 
ação. Ele promove a evolução da organização rumo aos objetivos. É constituído por 
objetivos específicos, diretrizes, estratégias, metas, projetos, atividades e planos de 
ação. 
9. Meta é um ponto intermediário na trajetória que leva ao objetivo. 
10. Projeto a menor unidade de ação ou atividade que se pode planejar e avaliar em 
separado e, administrativamente, implantar. Tem característica não repetitiva de 
trabalho. 
11. Atividade é um conjunto de ação com características repetitivas, utilizadas para 
atingir e/ou manter metas e objetivos. 
 15 
12. Plano de ação é um conjunto de ações integradas pra atingir determinada meta, 
com indicação de quem, quando e aonde serão executadas. Pode incluir projetos e 
implantações de atividades. 
13. Método é um caminho geral para resolver problemas. 
14. Norma é um conjunto de regras obrigatórias que disciplinam uma atividade. 
Regra é uma restrição imposta a procedimentos, processos, operações ou 
equipamentos. 
15. Procedimento é a descrição detalhada de um processo que se realiza em 
bateladas. 
 
Pode ser organizacional ou operacional. 
A organização adota o sistema de gestão escolhido entre os disponíveis ou cria um 
próprio. São bastante difundidos: Gerencia por Objetivos (GPO), Gestão pela Qualidade Total 
(GQT) e Gerência pelas Diretrizes. Apresentaremos os elementos básicos do sistema de gestão 
que consideremos capaz de promover o bom desempenho da Função Segurança. Esse sistema 
será chamado de Sistema de Gestão Holístico. 
 
 
2.1.1 SISTEMA DE GESTÃO HOLÍSTICO 
 
A integração dos esforços da organização depende de comunicação eficiente e esta 
requer o compartilhamento de uma concepção holística e de uma estrutura conceitual comuns 
(Cardella, 1999). 
 
 
Metodologia de gestão 
 
Cada função vital requer um sistema de gestão coerente com o sistema de gestão 
holístico. Assim, podemos ter os sistemas de gestão da produtividade (SGP), sistema de gestão 
da qualidade (SGQ), sistema de gestão da segurança (SGS) sistema de gestão ambiental (SGA) 
e sistema do desenvolvimento de pessoas (SGP). O sistema de gestão dar função segurança 
pode ser decomposto em sistema de gestão de risco e sistema de gestão de risco e sistema de 
gestão de emergências. 
A gestão holística utiliza duas abordagens. A gestão funcional otimiza o 
desempenho de duas funções setoriais, ou seja, dos subsistemas da organização. A gestão 
interfuncional otimiza o desempenho de funções de nível superior. Na gestão o enfoque é 
reducionista. Na interfuncional é sistêmico. Os dois enfoques se complementavam na gestão 
holística. Na prática, a gestão funcional é exercida pelos setores da estrutura formal e a 
interfuncional por comitês compostos por representantes dos setores, podendo ser conduzida 
por uma liderança de nível superior. 
O método básico de gestão, cujo processo é composto pelas funções planejar, 
executa e controlar aplica-se tanto a gestão funcional como a interfuncional. 
O planejamento tem por produto o plano de ações. A execuções é a efetivação das 
ações do plano. O controle é composto pelas funções: medir, comprar, decidir e intervir. 
A medição é a determinação do valor assumido por uma ou mais variáveis. É feita 
na atividade de monitoramento. A comparação requer a definição de padrões. A decisão é a 
escolha de uma ou mais alternativas e é influenciada por diversos fatores, tais como: modelo de 
 16 
controle adotado, política, diretrizes, recursos disponíveis e cenário. A intervenção é o 
conjunto de ações que têm por finalidade promover modificações. 
 
Estrutura de programas 
 
Os programas são setoriais ou sistêmicos. Os sistêmicos estão voltados pra as 
funções vitais e seu desenvolvimento requer equipes multidisciplinares e multifuncionais. 
Pode-se criar programas sistêmicos para todas as funções vitais, como de desenvolvimento 
cultural, programas da função produtividade, programas da função qualidade dos produtos, 
programas da função segurança, programas da função preservação ambiental e programas da 
função desenvolvimento de pessoas. 
 
Clima organizacional 
 
O estado emocional de uma pessoa é caracterizado pela emoção ou emoções 
dominantes em determinado momento ou intervalo de tempo. Clima organizacional é o estado 
emocional da organização. Um estado emocional é caracterizado da organização quando 
predomina num número suficientemente elevado de pessoas, a ponto d prevalecer sobre o 
estado emocional de qualquer indivíduo. 
As emoções básicas: são prazer, tristeza, raiva e medo. A intensidade das emoções 
varia numa faixa limitada por emoções extremas. Assim, o prazer varia da satisfação ao êxtase 
estando dentro desses limites o amor e a alegria; a tristeza varia do desapontamento ao 
desespero; o medo, da timidez ao horror; e a raiva do descontentamento ao ódio. 
Podemos ter diversos tipos de clima, dependendo do estado emocional dominante. 
Assim, temos clima de triste, medo, raiva ou prazer. 
O clima resulta de fatores internos e externos. Entre eles podemos citar a visão de 
futuro, ameaças externas, situação política, econômica e social do país, grau de satisfação das 
necessidades das pessoas, ângulo de aderência organização/componentes, pólos da 
organização, liderança, cultura organizacional, sistema de gestão e ângulos de aderência entre 
sistema de gestão, cultura organizacional e liderança. 
O termo clima deve ser utilizado para condições de longo prazo. No curto prazo é 
melhor falar em tempo organizacional, pois da mesma forma que regiões de clima seco têm 
dias chuvosos, organizações de clima alegre podem ter período de tristeza. 
 
Recursos da organização 
 
As organizações precisam de recursos pra produzir produtos. Vamos considerar 11 
recursos 11 recursos (figura 2.4): tempo, espaço, energia, material, equipamento, e instalação, 
conhecimento, informação, experiência, homem, habilidade e criatividade. 
Alguns articulistas têm criticado o uso do termo recursos humanos por considerar 
que ele coloca o ser humano na condição de simples recurso da empresa. Vamos empregá-lo 
com outro significado. Recursos humanos são recursos que o ser humano possui e que pode 
aplicar na organização. Homem, experiência, habilidade,conhecimento e criatividade são 
recursos humanos. O homem pode ser desdobrado em homem físico, homem emocional e 
homem racional. Experiência, habilidade, conhecimento e criatividade são analisados como 
recursos independentes na abordagem reducionista. Na abordagem holística os recursos 
humanos devem ser observados em conjunto, pois o homem é um todo integrado. 
 17 
Para desempenhar bem determinada função o individuo deve ser qualificado. 
Qualificação é o cabedal de conhecimentos e atributos que o habilitam a desempenhar uma 
função. Geralmente, e qualificação é atestada num processo de certificação, ao final do qual 
alguém certifica que o candidato tem qualificação e lhe fornece um certificado. 
A análise dos recursos envolvidos no exercício de função promove o entendimento 
e a racionalização. Faremos alguns comentários para o caso da organização para controle de 
emergências. 
 
 
Figura 2.4 Recursos de uma organização 
 
1.Tempo 
Recurso inelástico! Na função resgatar vítimas não há como aumenta-lo. Quando uma pessoa 
sofre parada cardíaca, o tempo disponível para salva-la é de três minutos. 
 
2.Espaço 
É essencial para a função evacuação. O espaço inclui localização. Muitas vezes dispomos do 
espaço requerido, mas ele não se encontra no melhor local. 
 
3.Energia 
As energias elétrica e térmica acionam motores de bombas d’água, a energia química do óleo 
diesel movimenta viaturas e os homens usam energia biológica (muscular) no manuseio de 
equipamentos de combate a incêndio. 
 
4.Material 
Água, líquido gerador de espuma e pó químico são materiais utilizados no combate a incêndio. 
 
5.Equipamento e instalação 
Extintores e viaturas para combate a incêndio, contador geiger para controle de radiações 
ionizantes, radio e telefone para comunicações e relações públicas. 
 
6.Conhecimento 
O conhecimento compreende ciência e tecnologia. Os conhecimentos estão na cabeça das 
pessoas e em livros. O combate a incêndio requer conhecimento de química do fogo, de 
Mecânica dos Fluidos e de eventos perigosos. 
 18 
 
7.Informação 
Informação é um dado relevante. A eficácia do combate a incêndio num tanque de óleo 
combustível requer informações sobre o volume de óleo armazenado, ponto de fulgor, 
diâmetro do tanque. As informações estão na memória das pessoas, livros e disquetes de 
computador. Enquanto os conhecimentos permanecem válidos por períodos muito longos, anos 
ou mesmo séculos, as informações podem mudar a cada minuto. 
 
8.Homem 
O homem compreende as pessoas e seus atributos físicos, emocionais racionais, como audição, 
visão, força, muscular, peso, temperamento e inteligência. Não inclui conhecimento, 
experiência, habilidade ou criatividade. Pode ser desdobrado em homem físico, homem 
emocional e homem racional. 
É um recurso humano básico sobre o qual se pode adicionar habilidade e experiência. 
A combinação de homem e tempo é expressa em homem-hora (HH). 
O controle de emergência requer um numero adequado de pessoas para cada cenário 
acidental.Essas pessoas são selecionadas por critérios de altura, força muscular e outros 
atributos físicos, emocionais e racionais. 
 
9.Habilidade 
Habilidade é a capacidade de fazer bem uma tarefa. A habilidade resulta de potencial próprio e 
de treinamento. Exemplos: habilidade em dirigir veículo, soldar tomar decisões e falar em 
público.O controle de emergência requer habilidade no uso de equipamentos e no resgate de 
vítimas. 
 
10.Experiência 
Experiência é conhecer pela vivencia, acompanhamento e observação.É o Knowhow, aquilo 
que se aprende fazendo, observando e testando. Esta na cabeça das pessoas, documentos, fotos 
e filmes. Pode ser individual ou organizacional. É organizacional se estiver difundida de tal 
maneira que não se perca com a saída de um ou alguns indivíduos. É importante fazer a 
distinção entre conhecimento, experiência e habilidade. 
Considere-se a atividade de soldagem. O engenheiro estuda em livros para adquirir 
conhecimentos de resistência de materiais e técnicas de soldagem. Entretanto, só adquire 
experiência após meses ou anos acompanhando serviços de solda, fazendo testes e qualificando 
soldadores. Mesmo assim, não desenvolve habilidade para soldar, a menos que também exerça 
a atividade de soldador. 
 
11. Criatividade 
Compreende energia psíquica, empenho, dedicação, cuidado, vontade de resolver, melhorar, 
prazer em executar o trabalho. Não implica necessariamente a criação de algo novo. Tal é sua 
importância que optamos por considerá-la um recurso à parte. 
O homem pode ter atributos físicos, emocionais, racionais, conhecimento, experiência e 
habilidade, mas seu trabalho não tem qualidade, produtividade e segurança se não coloca 
criatividade no que faz. 
 
 
 
 19 
2.1.2 CAMPO DE FORÇAS ORGANIZACIONAL 
 
O campo de forças organizacional é a própria função reguladora da organização. 
Resulta de três componentes: sistema de gestão, cultura organizacional e liderança. Esses 
componentes interagem entre si modificando-se. A figura 2.5 ressalta a existência dessas 
interações. 
É interessante comparar as funções reguladoras que atuam nas organizações 
japonesas e européias. Na Europa, o sistema de gestão adquiriu papel predominante coma às 
normas ISO23. No Japão, o que se almeja comandar com normas já é comandado pela cultura, 
ou seja, as normas não são tão necessárias para obter qualidade. 
A orientação dos recursos também depende do meio no qual estão imersos. O meio 
físico tem relutância magnética e o meio organizacional tem relutância organizacional. Esta 
resulta de diversos fatores, como clima organizacional, complexidade de estrutura 
organizacional, cultura, características das pessoas e pólos da organização. Os recursos têm 
diferentes suscetibilidades a ação dos componentes do campo organizacional. A criatividade, 
por exemplo, é muito susceptível á ação da liderança. A liderança incentiva criatividade e 
iniciativa. 
 
 
Figura 2.5 Interações entre elementos do campo de forças Organizacional 
 
Além do campo organizacional, há campos individuais e externos. 
O individual é interno em cada pessoa. Em alguns casos, prepondera no comando 
das ações do individuo. 
O externo resulta na cultura e leis da comunidade e pode exercer forte 
influência.Vamos analisar um exemplo para esclarecer melhor essa influencia. Suponhamos 
que as instruções de segurança de uma empresa dêem total prioridade aos pedestres no transito 
interno. Mesmo sob comando das normas, o motorista tem dificuldade em desobedecer 
comandos da cultura da sociedade em que vive: “Acelere e avance sobre pedestres que 
atravessam a rua”. 
 
 
 
 
 20 
2.2 GESTÃO DE RISCOS 
 
A Função Segurança pode ser desdobrada em duas funções auxiliares. Controlar 
Riscos e controlar Emergência. A Função Controle de Riscos ou simplesmente Controle de 
Riscos tem por objetivo manter os riscos abaixo de valores tolerados. De certa forma ela 
abrange a Função Controle de Emergência, pois quando projetamos um sistema de controle de 
emergências também estamos controlando riscos. A Função Controle de Emergência só é 
efetivamente exercida quando os fatores latentes começam a se manifestar como fatos reais. 
Vamos designar abreviadamente por Gestão de Riscos a Gestão da Função Controle 
de Riscos. O sistema de Gestão de Riscos é o conjunto de instrumento que a organização 
utiliza para planejar, operar e controlar suas atividades no exercício da Função Controle de 
Riscos. São instrumentos do sistema de gestão: princípios, política, diretrizes, objetivos, 
estratégias, metodologia, programas, sistemas, organizacionais, sistemas operacionais.2.2.1 PRINCÍPIOS DA GESTÃO DE RISCOS 
 
A Função Controle de Riscos pode ser exercida por meio de sistemas altamente 
sofisticados, como o de uma unidade industrial, ou muito simples, como o de um trabalhador 
que controla os riscos de suas atividades. Em qualquer dos casos, adotaremos os seguintes 
princípios. 
I. Nas organizações e sociedades, o acidente é um fenômeno de natureza 
multifacetada, que resulta de interações complexas entre fatores físicos, biológicos, 
psicológicos, sociais e culturais. 
II. Todos os acidentes podem ser evitados. 
III. “Os acidentes ocorrem porque a mente se envolve com o trabalho e esquece do 
corpo”. 
IV. Um indivíduo não consegue, sozinho, controlar os riscos de sua atividade. 
 
O segundo princípio tem validade dentro de determinados limites que abrangem a 
quase totalidade dos casos que nos interessam estudar.Estão fora desses limites as situações nas 
quais o homem não dispõe de conhecimento ou tecnologia suficientes para evitar o acidente. É 
o caso do choque de grandes meteoros contra a Terra.Talvez no futuro seja possível detectá-los 
e interceptá-los a tempo. O quarto princípio decorre do terceiro. O envolvimento com a missão 
leva as pessoas a negligenciar a segurança. Portanto, é preciso contar com a atuação de outros 
indivíduos ou organizações cuja missão seja promover a segurança. 
O objetivo de Gestão de Riscos é manter os riscos associados á organização abaixo 
de valores tolerados. 
 
 
2.2.2 POLÍTICA DE GESTÃO DE RISCOS 
 
A política estabelece as regras comportamentais da organização. Portanto, cada 
organização, família, pessoa ou sociedade deve estabelecer sua própria política, que é sempre 
um reflexo de seus valores. Propomos as regras básicas: 
 
a. A apresentação de pessoas tem prioridade sobre a preservação de bens. 
 21 
b. Quem responde por um a atividade deve responder também pelos riscos 
decorrentes dessa atividade. 
 
 
2.2.3 ESTRATÉGIA DA GESTÃO DE RISCOS 
 
Para estabelecer a estratégia é preciso considerar a natureza do fenômeno acidente, 
um evento indesejável, incerto e remoto. As pessoas tendem a priorizar outras questões em 
detrimento das ações que integram a função segurança. Portanto, a estratégia do sistema de 
gestão deve ser estabelecida a de modo a reduzir o desequilíbrio das forças impulsoras do 
comportamento. Apresentaremos uma estratégia para a gestão de riscos: 
 
Criar eventos certos, desejáveis e imediatos dos quais as pessoas não possam esquivarse. 
 
Explicitando: a liderança deve estabelecer uma agenda de reuniões de segurança 
para ser rigidamente cumprida, de forma “sagrada”, “chova ou faça sol”. A razão entre 
reuniões realizadas e programadas é um indicador de sistema do sistema de gestão. Indicadores 
de desempenho para as ações desenvolvidas pelos integrantes da organização também devem 
ser estabelecidos e acompanhados de forma sistemática. E só há duas alternativas: ou a 
liderança mostra, investindo seu próprio tempo, que esta se envolvendo com a segurança, ou 
mostra que seu envolvimento não vai além dos discursos. 
 
 
2.2.4 METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS 
 
O processo de gestão de riscos é composto pelas funções identificar perigos, avaliar 
riscos comparar com risco tolerado e tratar riscos. Identificação de perigos e avaliação de 
riscos constituem a análise de riscos. Identificação, avaliação e comparação constituem o 
monitoramento.Monitoramento e intervenção constituem o controle. O tratamento dos riscos 
inclui a intervenção para redução e/ou transferência (seguro). 
O processo de gestão é aplicado ás áreas de ação e ás fases do ciclo de vida dos 
elementos da organização (pessoas, instalações e produtos). 
 
Áreas de ação da gestão de riscos 
 
A Gestão de Riscos requer algum tipo de divisão da organização e das atividades 
em áreas de ação. A pode ser por área geográfica ou funcional e cada unidade é uma área de 
ação.É preciso levar em conta as particularidades de cada área e agir localmente, mas os 
programas devem ser desenvolvidos de forma integrada, pensando globalmente. Assim, 
podemos dividir a organização em: atividades da organização, atividades fora do trabalho, 
transportes, atividades contratadas e uso dos produtos da organização. 
O controle de riscos das atividades fora do trabalho é importante, porque o que 
ocorre com os componentes fora da organização tem impacto negativo sobre ela. Um 
empregado que se acidenta no jogo de futebol ou na pescaria é um empregado não apto para o 
trabalho. 
Os acidentes com familiares aumentam o absentismo. Os riscos associados ao 
transporte de pessoas e produtos apresentam características especiais que requerem abordagem 
 22 
também, especial. A contratação envolve a execução de serviços por pessoas de cultura e 
conhecimentos diferentes dos existentes na organização. Além disso, essas pessoas não estão 
familiarizadas com os riscos associados às instalações, embora devam conhecer os inerentes às 
atividades que exercem. Essas características justificam uma abordagem especial. 
Dentro de qualquer área de ação, podemos proceder a uma divisão por área física 
em ruas, unidades industriais, almoxarifados; por área funcional: soldagem, manutenção 
predial; por sistema: elétrico ar comprimido; e fase do ciclo de vida. 
Um sistema de controle de riscos tem por objetivo manter determinado risco abaixo 
do valor tolerado. Quando o sistema tem por finalidade controlar o risco introduzido, podemos 
chamá-lo de filtro de risco. Uma vez introduzido um risco, pode ser difícil reduzi-lo. 
Mais fácil e econômico é filtrá-lo, permitindo a introdução de um risco residual que 
não eleve o total a valores que ultrapassem o tolerado. E há um filtro adequado para cada fase 
do ciclo de vida. 
Há três tipos de objeto: 
 
a. Instalação e equipamentos 
 
Quando o objeto é uma instalação ou equipamento, podemos identificar as 
seguintes fases: implantação (projeto conceitual, projeto básico, projeto de detalhamento, 
aquisição, construção e montagem, condicionamento), operação de desativação. 
Cada fase requer técnicas especificas de controle de risco. A fase mais econômica 
para efetuar o controle de risco é a de projeto. 
A fase operacional pode ser subdividida em infantil, adulta e senil. Na fase infantil, 
a taxa de falhas (falhas por hora, falhas por ano) é mais elevada por causa de falhas de 
montagem, defeitos de fabricação ou inexperiência operacional. Na fase adulta, sanados os 
problemas da fase infantil, reduz-se a taxa de falhas, mas alguns riscos são introduzidos pelo 
desgaste decorrente da operação normal ou por sobrecargas e intervenções. Na fase senil, o 
desgaste dos componentes eleva a taxa de falhas. 
Na fase de desativação, o que resta das instalações transforma-se em resíduos que 
podem provocar danos ao meio ambiente. 
 
b. Produtos 
 
Quando o objeto é um produto podemos identificar as seguintes fases no ciclo de 
vida: implantação (desenvolvimento, produção, armazenagem, transporte, distribuição), 
operação (uso) e desativação (disposição de resíduos). 
 
c. Pessoas 
 
Quando o “objeto” é uma pessoa, podemos identificar as seguintes fases: 
implantação (seleção, formação, treinamento), operação (trabalho normal) e desativação 
(prédesligamento e desligamento). 
 
 
 
 
 
 23 
2.2.5 PROGRAMAS DA GESTÃO DE RISCOS 
 
Nem toda intervenção para controle de ricos tem efeitos imediatos. Ao contrário, a 
maioria tem tempo de reação elevado, podendo requerer anos em alguns casos, como as 
crenças e valores.Por isso as alterações almejadas requerem planos de ação de longo prazo, 
denominados programas. Podemos criar um programa para cadaárea de ação: programa de 
segurança nas atividades da organização, programa de segurança nas atividades fora do 
trabalho, programa de segurança no uso dos produtos da organização. Em função da natureza 
multifacetada da segurança, os programas devem ser desenvolvidos por equipes 
multidisciplinares. Essa é uma forma de executar na prática a gestão holística da organização. 
Além dos programas por área de ação, podemos criar programas básicos para dar suporte ao 
controle de riscos nas diversas áreas. Exemplo: programa de desenvolvimento cultural do tipo 
SOL (Sinalização – Organização – Limpeza). Esse programa não deve ser especifico da 
segurança, pois as questões culturais são comuns às demais funções vitais. A atividade de 
monitoramento de segurança deve incluir programas permanentes de inspeções planejadas e de 
auditorias. 
Além desses, que se recomenda manter de forma permanente, há os de existência 
restrita às fases de implantação e consolidação de algum método de controle de risco. 
Exemplos: programas de desenvolvimento do sistema de autorização para trabalho, 
de implantação do registro e análise de ocorrência anormais e de implantação de análise de 
risco. 
 
MONITORAMENTO DE SEGURANÇA 
 
Monitoramento é a verificação periódica dos atributos de um objeto. Os atributos 
são anatômicos ou fisiológicos. Alguns são verificados diretamente, enquanto outros requerem 
aplicação de estímulos para serem revelados. Quanto á freqüência de verificação, são contínuos 
ou descontínuos. Os descontínuos são aleatórios ou têm freqüência determinada. 
O monitoramento requer o uso de instrumentos como diagnóstico, auditorias e 
indicadores. 
Para registrar a realidade que será retratada por indicadores no diagnóstico e na 
auditoria, recorre-se a técnicas de análise de risco, como a Inspeção Planejada e o Registro e 
Análise de Ocorrências. Essas ferramentas têm em comum a operação de verificação da 
congruência da situação observada com um padrão, cujo produto são os desvios. 
O monitoramento é atividade essencial ao exercício das funções operação e 
manutenção. Tanto numa como noutra deve ser utilizado para focalizar o ambiente, insumos, 
produtos, agentes de ruptura e sistemas de controle de emergência. 
 
 
Indicadores de segurança 
 
Indicador é um símbolo criado para representar uma realidade. O monitoramento 
produz indicadores. Podem ser atributos do objeto monitorado ou derivados por fórmulas, 
algoritmos ou correlações. O atributo de maior interesse nos estudos de segurança é o risco e 
este não pode ser conhecido de forma direta, mas indireta, por meio de atributos e fenômenos 
da realidade que possam ser observados. O risco resulta de duas forças contrárias, o perigo e a 
função segurança. Portanto, o monitoramento deve ter indicadores de perigo, da função 
 24 
segurança e do risco. Os indicadores de perigo incluem os de agressividade, capacidade 
agressiva, mobilidade e expansividade, exposição e freqüência de demandas; os da função 
segurança incluem os de liderança, cultura organizacional, sistemas de gestão e sistemas 
operacional de controle de riscos e de emergências; e os indicadores de risco incluem os de 
ocorrência anormais, acidentes, danos e perdas? 
Se conhecermos as relações de causalidade entre os fatores do risco (estado físico 
das instalações, agressividade dos agentes, comportamentos) e suas manifestações (ocorrência 
anormais e acidentes) podemos obter inferências do risco. A relação de causalidade é 
determinísticas quando um acontecimento necessariamente produz o outro; é probabilística 
quando a ocorrência de um envolve a ocorrência do outro com determinada probabilidade; e é 
de correlação observável entre causa e efeito. Nos sistemas mecânicos, as relações são 
determinísticas e os comportamentos são previstos com exatidão. Nos sistemas de elevado grau 
de complexidade, como os ecológicos, há predominância de relações probabilísticas e de 
correlação. Qualquer que seja a causalidade, ela pode ser muito fraca, fraca, medianamente 
forte, forte e muito forte. 
Vamos apresentar algumas propriedades que devem ser consideradas na seleção dos 
indicadores de monitoramento. 
Fidelidade é a qualidade de não ser susceptível a distorção. O indicador fiel é 
refratário a distorções. Distorção é a diferença entre o indicado e a realidade. A taxa de 
freqüência de acidentes não é um indicador de alta fidelidade, pois fatores organizacionais e 
culturais podem fazer com que acidentes deixem de ser relatados. 
Sensibilidade é a qualidade de poder detectar pequenas variações da realidade. 
Quanto mais sensível, menores as variações detectadas. Para pequenas variações da 
realidade, o indicador deve apresentar grandes variações nas medidas. Por exemplo, o número 
de acidentes de pequena gravidade é mais sensível que os dos acidentes de alta gravidade. 
Tempo de resposta é o tempo que o indicador necessita para indicar uma variação 
do estado da realidade.Um indicador pode ser fiel e sensível, mas muito lento. 
 
Auditoria de segurança 
 
Auditoria de segurança é a avaliação sistemática, documentada e periódica da 
eficiência e eficácia da organização no exercício da função segurança. Geralmente, dá maior 
ênfase ao sistema de gestão. Focaliza política, diretrizes, programas, planos de ação, normas e 
procedimentos. A liderança é pouco analisada e a cultura, menos ainda. A razão parece estar no 
fato de que é mais fácil avaliar ou modificar procedimentos do que crenças e valores. Portanto, 
a maioria dos indicadores gerados pelas auditorias refere-se ao sistema de gestão. Há três tipos 
de auditoria: a setorial é feita por equipe do próprio órgão; a corporativa, por equipe 
multidepartamental; e a externa, por força de legislação ou certificação. 
 
Diagnóstico de segurança 
 
O diagnóstico de segurança consiste em abordar a organização, caracterizando-a do 
ponto de vista de segurança. O diagnóstico é fundamental para elaborar o plano de ação de 
melhorias. A auditoria focaliza mais intensamente a função segurança, enquanto o diagnóstico 
focaliza também os perigos e riscos. Na função segurança, a auditoria focaliza fortemente o 
sistema de gestão, enquanto o diagnóstico focaliza igualmente o sistema de gestão, a liderança 
e cultura organizacional. A auditoria requer padrões específicos para o sistema auditado, 
 25 
enquanto o diagnóstico utiliza conceitos e padrões mais amplos que se aplicam a qualquer tipo 
de organização. Uma vez elaborado o plano de ação de melhorias, a variação da conformidade 
com o plano é feita por auditoria. 
 
 
2.3 ANÁLISE E CONTROLE DE RISCOS 
 
Análise é a divisão de um todo em partes e o estudo minucioso dessas partes. 
Análise de Risco é o estudo detalhado de um objeto com a finalidade de identificar 
perigos a avaliar os riscos associados. O objeto pode ser organização, área, sistema, processo, 
atividade, intervenção. O analista efetua a divisão segundo o critério que lhe parecer mais 
conveniente. O todo pode ser o objeto cujo risco se pretende analisar ou o risco global 
associado ao objeto. Portanto, pode-se dividir áreas em áreas menores, sistema em subsistemas, 
processos em função, operação e atividade em etapas, e o risco global em riscos físicos, 
químicos, biológicos e ergonômicos. Análise de Risco também é chamada de Análise de 
Perigos. Os dois termos podem ser utilizados, pois a análise de riscos compreende identificação 
de perigos e avaliação dos riscos associados, e a análise de perigos sempre implica numa 
avaliação de risco, mesmo que essa avaliação seja qualitativa. 
O método de análise de riscos consiste em dividir o objeto e identificar perigos e 
analisar riscos em cada elemento. A identificaçãode perigos e a avaliação de riscos requerem o 
uso de técnicas como a Análise Preliminar de Riscos e o Hazop. 
 
 
2.3.1 MECANISMO DE PRODUÇÃO DE DANOS 
 
Utilizaremos dois modelos de mecanismo de produção de danos. O primeiro 
focaliza a relação agente agressivo X alvo e o segundo, as falhas dos sistemas que compões a 
organização. 
 
a. Os danos decorrem da relação agente agressivo X alvo 
 
Três fatores concorrem para produzir o dano: agente agressivo, alvo e exposição. 
Para facilitar a visualização, vamos utilizar a equação: D=Aa .E.Av (equação 6.1) e, que:D = 
dano decorrente da ação do agente agressivo sobre alvo; Aa = agente produzido pela agente 
agressivo mas isso só ocorre se existir um alvo e se esse alvo for exposto. O dano não ocorre 
na ausência do agente, do alvo ou da exposição. Se um dos fatores for nulo, o produto (dano) 
também será. O controle pode ser feito sobre um, dois ou três fatores. 
Para exemplificar, considere-se um vaso de pressão contendo amônia. Para que a 
amônia cause danos é preciso que: (a) seja liberada no meio ambiente;(b) haja pessoas no 
campo de ação agressiva; (c) essas pessoas sejam expostas sem proteção. 
 
b. Os danos e perdas decorrem de falhas nos sistemas que compõem organização 
 
Uma organização é composta por sistemas organizacionais e sistemas operacionais. 
A função reguladora do sistema organizacional é constituída por: sistema de gestão, cultura 
organizacional e liderança. Os elementos desse sistema são as unidades organizacionais a as 
pessoas. O sistema operacional tem por função reguladora o processo e por elementos, os 
 26 
recursos. Exemplos de sistemas operacionais: sistema de usinagem, de armazenamento, de 
transporte e elétrico. As falhas nos sistemas organizacionais são causas básicas a as falhas nos 
operacionais são causas imediatas de danos. 
O mecanismo da produção de danos obedece á seguinte lógica: 
 
“Se ocorrer um demanda e falharem os sistemas do controle de emergência, então o dano 
ou perda ocorrem.” 
 
Demandas são eventos que demandam pela ação de sistemas de controle de 
emergência para que a seqüência que leva aos danos não prospere. Freqüência de demandas é o 
número de eventos na unidade de tempo. Essa variável tem por unidades ano-1, hora-1. Há 
quatro tipos de demanda: inerentes ao sistema, decorrente de falhas humanas, decorrentes de 
falhas de equipamento e decorrentes da ação de agentes externos. 
Demandas e falhas de sistema de controle são fatores do risco. Uma descrição 
completa do mecanismo de produção de danos é obtida respondendo às seguintes perguntas: 
por que e com que freqüências ocorrem às demandas? Por que, como e com que probabilidade 
falham os sistemas de controle de emergência? 
Homens e equipamentos geralmente criam demandas quando falham no modo ação 
estranha ou ato estranho. Exemplo: uma válvula de controle fecha ou é fechada indevidamente. 
A demanda inerente na decorre de falhas. Está associada ao próprio funcionamento do sistema 
e faz parte da atividade. A entrada do biólogo no viveiro de cobras é demanda inerente para a 
qual não está previsto nenhum sistema de recomposição. O próprio evento perigoso-ataque da 
cobra é inerente e o dano é evitado pelo uso de proteção. 
A demanda gerada por agente externo resulta da instalação do sistema não tem 
nenhum controle. É o caso dos agentes da Natureza, como vento, tufão, terremoto. Noutros 
casos, é possível influir na freqüência e/ ou na intensidade. 
O sistema de controle de emergência tem por finalidade evitar que a série de 
eventos que levam ao evento perigoso prospere, ou, se ele ocorrer , reduzir as conseqüências. 
Quando chamado a atuar, o sistema de controle de emergência pode estar no estado 
falho. 
A probabilidade de falhas de u sistema de controle de emergência pode ser 
estimada: (a) pela fração de tempo morto, ou seja, a fração de tempo durante a qual o sistema 
fica inoperante; (b) pela razão entre o número de vezes que o sistema opera de modo falho e o 
número de vezes que é solicitado a operar. 
As falhas dos sistemas de controle podem ter três causas: falhas humana, falha de 
equipamento e inexistência de sistema de controle. Essa última ocorre quando em alguma fase 
do empreendimento decidiu-se não implantar ou esqueceu-se de implantar o sistema de 
controle. 
Quando uma fase do empreendimento introduz um fator do risco (agente promotor 
de falhas, ausência de sistema de proteção ou demanda inerente), há falha do sistema de 
filtração de riscos. 
 
 
 
 
 
 
 27 
2.3.2 IDENTIFICAÇÃO DE PERIGOS 
 
Perigo é a qualidade (propriedade) daquilo que pode causar danos. Portanto, 
identificar perigos e identificar substâncias perigosas, agentes perigosos, produtos perigosos, 
situações perigosas, eventos perigosos, operações perigosas ou eventos danosos. 
A escolha do tipo de perigo depende do método adotado e dos objetivos do estudo, 
mas a análise dos riscos associados sempre requer a identificação de eventos perigosos, pois a 
eles podemos associar freqüências e conseqüências. Para identificar eventos perigosos, pois a 
eles podemos associar freqüência e conseqüência. Para identificar eventos perigosos identifica-
se agentes agressivos fontes possibilidades de liberação, alvos e possibilidades de exposição. 
Em muitos casos, a identificação de perigos pode ser feita se técnicas especiais, e noutros 
requer aplicação de técnicas que serão apresentadas ao longo da disciplina. 
 
 
2.3.3 AVALIAÇÃO DE RISCOS 
 
Fatores do risco 
 
O risco associado ao evento perigoso resulta da freqüência e da conseqüência do 
evento. Portanto, a avaliação do risco compreende a avaliação da freqüência e da conseqüência 
do evento perigoso. Ambas podem ser qualitativas, semiquatitativas ou quantitativas. Análises 
quantitativas requerem sofisticação técnicas de calculo e bancos de dados nem sempre 
disponíveis ou confiáveis. A avaliação de freqüência requer Análise por Árvore de Falhas9 e 
dados de freqüência e de probabilidade de eventos básicos. 10 A avaliação de conseqüências 
requer modelos matemáticos para simulação dos fenômenos envolvidos.Antes de se lançar á 
avaliação quantitativa, o analista deve responder ás seguintes perguntas: 
 
a. O custo da avaliação se justifica? As medidas de controle recomendadas pela 
avaliação quantitativa serão muito diferentes das recomendadas pela avaliação 
qualitativa? 
b. Considerando que a contribuição das falhas humanas e das Falhas de causa 
comum (FCG)11 são difíceis de avaliar, pode-se afirmar que a avaliação 
quantitativa tem a exatidão pretendida? 
 
Grande parte das medidas de controle de risco não resulta de cálculos sofisticados, 
mas de visão holística da segurança, conhecimento sobre falhas humanas, comportamento, 
SOL (Sinalização, Organização e Limpeza) e BPT (Boas Práticas de Trabalho). 
 
 
Avaliação de freqüência 
 
Antes de tratar da avaliação de freqüências, vamos chamar a atenção para uma 
questão que gera alguma confusão nos estudos de análise de risco: a diferença entre freqüência 
e probabilidade. Freqüência é o numero de ocorrência na unidade de tempo e tem por unidades 
ocorrência/ ano ou ano-1e ocorrência/hora ou hora-1.Probabilidade é um numero puro (não tem 
unidades) que assume valores entre 0 e 1. Nas avaliações de freqüência, podem ocorrer 
operações de multiplicação de probabilidade por probabilidade e freqüência por probabilidade. 
 28 
Não tem sentido multiplicar freqüência, engano parar o qual devem estar atentos aa que não 
têm prática em avaliação de risco. 
A freqüência de um evento pode ser avaliada de duas maneiras. A primeira é direta. 
A segunda é indireta e consiste em avaliara freqüência do evento de interesse a partir de 
freqüência e probabilidade de eventos que se combinam para produzi-lo. 
Na avaliação quantitativa direta utilizam-se dados históricos. Há dois casos a 
considerar. 
No primeiro interessa conhecer a probabilidade de ocorrência do evento 
indesejável, dado que outro evento, o evento suporte, ocorreu. Por exemplo, o evento partida 
de motor gera a possibilidade de ocorrência do evento indesejado-motor falha em partir. A 
freqüência do evento suporte (fs) é o numero de ocorrências num intervalo de tempo. A 
freqüência do evento indesejável (f) é o número de ocorrência desse evento no mesmo 
intervalo de tempo. Se dispusermos de dados experimentais ou históricos de fi e fs a 
probabilidade de ocorrência do evento indesejável (pi) pode ser estimada pela expressão: 
 
pi= f i / fs. 
 
Essa probabilidade é utilizada na avaliação da freqüência do evento indesejável. 
Conhecido o número de ocorrência do evento suporte, basta multiplicá-lo pela probabilidade de 
ocorrência do evento indesejável. 
Se fs muito elevada, pi deve ser muito baixa para que fi também seja baixa. Uma 
probabilidade á primeira vista muito baixa não ser aceitável se a freqüência do evento suporte 
for muito alta, pois a freqüência do evento indesejável pode resultar inaceitável. Um exemplo 
ajudará a entender melhor essa questão. Considere-se a probabilidade de uma falha do correio 
no envio de cartas. Seja 10-5 essa probabilidade, que equivale a um a folha para 100.000 cartas 
enviadas. 
Para a pessoa que envia uma carta a probabilidade é baixa. Entretanto, se 100 
milhões de cartas são enviadas no natal, temos 1.000 cartas extraviadas, o que não parece 
aceitável. 
No segundo caso, interessa conhecer a freqüência do evento indesejável associado 
ao exercício d uma atividade ou à operação continua de um equipamento. Essa freqüência é o 
numero de vezes que o evento indesejável ocorre no intervalo de tempo (ano, hora). Exemplo: 
número de vezes que rompe um vaso de pressão num ano de operação. No caso, o evento 
suporte é a própria operação continua do equipamento ou o exercício da atividade. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 29 
Tabela 2.1 – Freqüência de Eventos Perigosos 
 
 
A avaliação quantitativa indireta é utilizada quando as freqüências envolvidas são 
muito baixas, da ordem de uma vez a cada 100, 1.000, ou 10.000 anos. Nesse caso, é 
impraticável estimar a freqüência de falhas observando um único dispositivo. Mas dispondo de 
dados de grande quantidade de dispositivos semelhantes, pode-se estimar a freqüência de falha 
dividindo o total de falhas pelo tempo ou número de eventos-suporte e pelo número de 
dispositivo. O número obtido tem unidades de falhas/ (dispositivo-ano). 
Avaliação qualitativa direta de freqüência pode ser efetuada por comparação do 
evento analisado com eventos-padrões cuja freqüência é conhecida ou com dados históricos ou 
ainda com o que é esperado ocorrer na opinião de pessoas experientes. Para facilitar avaliação, 
vamos definir a variável nível de freqüência, Nf = 10log (f /f0), em que Nf é expresso em 
decibéis e f0 é a freqüência de referência. Adotando f0 = 1 ocorrência por ano, á formula é 
simplificada para Nf é = 10 log f. Na Tabela 2.1 apresentamos freqüências e níveis de 
freqüência de eventos de referência. 
A Tabela 2.2 apresenta uma alternativa mais simples para categorizar freqüências. 
A cada categoria associamos um número. 
 
 
 
 30 
Tabela 2.2 – Categorias de Freqüência 
 
 
A avaliação quantitativa da freqüência de eventos que resultam de combinações de 
outros eventos pode ser feita a partir das freqüências e probabilidades dos eventos que se 
combinam para gerá-lo. O estudo desses casos é de grande interesse para os estudos dos 
acidentes maiores na indústria e requer técnicas do tipo Análise por Árvore de Falhas. Um 
exemplo facilitará a compreensão do método. 
Considere um vaso de aço contendo gás pressurizado. Considere uma válvula de 
alívio que atua caso a pressão interna atinja o valor de projeto. O vaso é o sistema de contenção 
e a válvula de alivio é o sistema de recomposição que neutraliza o agente de ruptura (pressão 
elevada). O vaso é submetido á pressão elevada se ocorrerem dois eventos simultâneos, ou 
seja, guardando uma relação “e”: pressão se eleva e válvula de alívio falha de emergência; e o 
terceiro, vaso submetido a pressão maior que a de projeto, que resulta dos anteriores, é um 
evento perigoso de nível superior. 
Suponhamos que a freqüência da demanda seja 0,2/ano (uma a cada cinco anos) e 
que a freqüência de falhas de válvula de alívio seja 0,01/ano (uma a cada cem anos). 
Se a válvula é testada uma vez por ano, será encontrada no estado falho uma vez a 
cada 100 anos em média. Como não sabemos quando ocorreu a falha, vamos supor que foi no 
meio do intervalo entre testes, ou seja, a válvula ficou seis meses no estado falho. 
Assim, temos seis meses de estado falho em 100 anos, ou seja, uma fração de tempo 
morto de 0,005. A fração de tempo morto é uma estimativa da probabilidade de falha de 
válvula.Quando ocorre a demanda, a probabilidade do sistema d controle de emergência estar 
no estado falho é 0,0005 ou 0,5% do tempo. A freqüência do evento perigoso de nível superior, 
vaso submetido à pressão elevada, é calculada por (0,2/ ano) (0,005) – 0,001 ou uma vez em 
1.000 anos. 
No exemplo não nos deparemos com uma relação “ou”. Essa relação existe quando 
a ocorrência de um dos eventos é suficiente para que o evento de nível superior ocorra. Por 
exemplo, se três eventos podem produzir a demanda – pressão se eleva – deve-se somar as 
freqüências desses eventos para obter a freqüência da demanda. 
A avaliação quantitativa de freqüência ajuda a entender melhor o significado de 
determinados termos, como estar em perigo, correndo perigo e correndo risco. Suponhamos o 
evento danoso-homem é atacado por cão feroz. A situação normal é cão preso por corrente 
 31 
dentro do quintal cercado por muro e portão fechado, e homem na rua. A partir desse estado 
inicial, a freqüência de ataque é baixa, pois o evento danoso só ocorre na simultaneidade dos 
eventos: homem esta no quintal “e” cão solta-se da corrente. Seja p1 a probabilidade do evento 
e, p2,a do segundo. Se os eventos são independentes, a probabilidade do evento danoso, pd, é 
igual ao produto p1.p2, que é muito menor que p1 ou p2, pois esses números são menores que 
a unidade e geralmente muito pequenos. Entretanto, a partir do momento que o homem pula o 
muro e entra no quintal, o primeiro evento já ocorreu, e a probabilidade do evento danoso 
passa a ser p2, probabilidade do cão soltar-se, muito maior que o produto p1.p2. O perigo, 
aquilo que tem potencial para causar danos, no caso o ataque do cão, esta muito mais próximo 
de ocorrer e daí nascem às expressões: situação de perigo, em perigo e correndo perigo.Nesse 
momento, o risco atinge valor muito maior que o esperado para um período maior, a partir da 
situação normal. Daí surgem expressões do tipo: correndo risco, arriscar-se. 
 
Avaliação de conseqüências 
 
A análise de conseqüências tem por objetivo avaliar o campo de ação do agente 
agressivo, calculando a capacidade agressiva em cada ponto. O estudo requer a utilização de 
modelos matemáticos e as dificuldades para se obter resultados de alta fidelidade não são 
poucas. Pra fazer a análise de conseqüências, devemos escolher o evento perigoso de nível 
adequado. Nos vazamos de líquidos inflamáveis, por exemplo, interessam os eventos perigosos 
incêndio e explosão. Os incêndios podem ser em poças jato de fogo, flash e bola de fogo; as 
explosões podem ser deflagrações ou detonações. A radiaçãotérmica provoca ema taxa de 
incidência, medida em kcal/ (h . m
2
) que é reduzida á medida que aumenta a distância do 
incêndio, e a explosão produz uma onda de pressão cuja intensidade é reduzida á medida que 
aumenta a distancia do centro. Se o produto vazado é tóxico, interresa saber como ele se 
comporta após o vazamento, principalmente quando à direção e concentração em cada ponto 
do espaço. A concentração é reduzida à medida que aumenta a distancia do ponto de 
vazamento. 
Os efeitos da exposição aos campos de ação agressiva são estimados quantitativa 
por estudos que utilizam modelos de vulnerabilidade. Esses modelos fornecem previsões de 
danos para pessoas, ambiente e patrimônio expostos ao impacto (número de vitimas, número 
de feridos). As equações matemáticas são desenvolvidas para cada tipo de evento. Deve-se 
tomar cuidado na utilização dos resultados, principalmente no caso de substancias tóxicas, pois 
as equações foram desenvolvidas a partir de danos muito limitados ou de experiências com 
animais. 
 
 
 
 
 
 
 
 
 
 
 
 
 32 
Tabela 2.3 – Categorias de Conseqüências 
 
 
Ao evento danoso está associada uma conseqüência, o dano ou perda esperados. A 
gravidade das conseqüências depende da capacidade agressiva do agente, nocividade do agente 
nocivo inoculado, vulnerabilidade, susceptibilidade e capacidade de assimilação do alvo, e do 
tempo de exposição. Se forem utilizados registros de ocorrência anormais para facilitar a 
avaliação, deve –se trabalhar com conseqüências esperadas e não com as verificadas e nas 
 33 
ocorrências relatadas. Isso porque alguns eventos podem ter provocado danos muito diferentes 
do esperado. Por exemplo, a picada de abelha tem por dano esperado um inchaço 
acompanhado de dor, ou seja, de pouca gravidade. Entretanto pessoas alérgicas podem morrer 
em conseqüências da picada. O sistema de controle riscos não deve ser concebido com base 
nessa conseqüência de baixa probabilidade. Se isso for feito. Teremos que projetar sistemas de 
elevado custo para evitar que as abelhas e pessoas tenham qualquer contato. Por outro lado, 
pessoas sabidamente sensíveis devem tomar alguns cuidados e o sistema de recuperação deve 
prever o rápido atendimento. 
A tabela 2.3 apresenta uma classificação qualitativa das conseqüências dos eventos 
danosos. Nessas tabelas, focalizamos danos sofridos pelo homem, mas podem-se construir 
tabelas semelhantes para danos ao meio ambiente e patrimônio. Também pode sr conveniente 
elaborar tabelas especificas para cada caso em estudo, pois uma tabela para danos patrimoniais, 
por exemplo, pode ter perdas da ordem de cem milhões de dólares no extremo da escala. Se 
perdas de milhares de dólares significarem fracasso total para o sistema em estudo, ou seja, 
forem catastróficas, a tabela padronizada não é adequada. 
 
 
Avaliação de conseqüências 
 
A avaliação final do risco se dá as cruzar as categorias de freqüências e 
conseqüências na Tabela 2.4. 
Assim encontra-se a categoria de risco, a qual pode ser qualitativamente definida na 
Tabela 2.5, a qual apresenta o nível de controle desejado. 
 
 
Tabela 2.4 – Riscos Resultantes de Freqüências e Conseqüências 
 
 
 
 
 
 
 
 
 
 
 
 
 
 34 
Tabela 2.5 – Categorias de Risco 
 
 
 
Gravidade dos acidentes do trabalho 
 
A gravidade dos acidentes do trabalho é expressa pela Taxa de Gravidade e pelos 
Dias Computados. O calculo da Taxa de Gravidade é feito em dois passos, conforme ABNT-
NB 18. 
No primeiro, calculam-se os Dois Computados somando-se os Dias Perdidos o os 
Dias Debitados. Dias Perdidos são os dias de ausência do emprego ao trabalho. Os Dias 
Debitados só são adicionados quando há incapacidade permanente e são obtidos de uma tabela 
que fornece o número de dois dias em função da natureza da incapacidade. No segundo passo, 
calculam-se quantos seriam os Dias Computados em um milhão de horas d exposição ao risco, 
obtendo-se a Taxa de Gravidade. Portanto, os dias computados indicam a perda provocada pelo 
acidente em dias de trabalho; a taxa de Gravidade, a perda relativa um milhão de horas de 
exposição ao risco. 
Consideremos dois acidentes que podem ocorrer numa indústria: 
a. uma secretaria desce do ônibus ao chegar ao trabalho. Escorrega-torção no 
tornozeloacidente do trabalho. Conseqüências: 25 dias de afastamento. Reflexo na 
Taxa de Gravidade mensal:125. 
b. um operador de processamento de petróleo inspeciona o maçarico de um forno. O 
óleo combustível quente escorre-atinge seu rosto e braço-acidente em trabalho. 
 
Conseqüência: 20 dias de afastamento. Reflexo na taxa de gravidade mensal: 100. 
Serão os Dias Computados e a Taxa de Gravidade bons indicadores da gravidade 
dos acidentes? Os dois casos descritos mostram que não. No segundo, os danos físicos são 
 35 
mais graves e há danos psicológicos, não só para acidentado, mas também para os familiares e 
colegas, atingindo também o moral da equipe. 
 
O que se quer medir com os Dias Computados e a Taxa de Gravidade? 
 
O calculo desses indicadores nos revela que eles medem a perda de capacidade 
produtiva! Os números não retrataram o sofrimento físico e psicológico do acidentado, dos 
familiares e colegas ou o impacto no moral da equipe e da organização. A tabela dos Dias 
Debitados, conforme NR-5,21 revela o enfoque predominante. Se um trabalhador perde um 
dedo do pé, que não o dedo grande, debitam-se zero dias. Nenhum, reflexo nos indicadores 
porque a perda não interfere na capacidade produtiva (??). E o sofrimento decorrente da perda 
dedo? E os danos psicológicos que se refletiram pelo resto da vida? 
Por outro lado, os Dias Perdidos estão sujeitos á variabilidade da avaliação médica 
que determina o tempo necessário á recuperação. Estão sujeitos também ao critério adotado 
pela empresa para mudar temporariamente o emprego de função. Não somos contra esses 
procedimentos, mas julgamos que devam influir nos indicadores de produtividade e não nos de 
gravidade dos acidentes. 
 
 
2.3.4 ELEMENTOS DE CONTROLE DE PROCESSO 
 
O risco pode ser considerado uma variável de processo de um sistema. Portanto, 
uma visão geral dos elementos de controle de processo é extremamente útil ao entendimento 
do controle de riscos. 
Variáveis controladas ou dependentes são as saídas do processo. O valor desejado 
é o set point ou ponto de ajuste. No controle de riscos, o risco é a variável controlada e o ponto 
de ajuste é o risco tolerado. 
Variáveis manipuladas ou independentes são entradas do processo. São os graus de 
liberdade disponíveis para variar o processo visando manter as saídas sob controle. No controle 
de riscos são manipuladas horas de treinamento, qualidade do treinamento, confiabilidade dos 
equipamentos, número de inspeções planejadas, qualidade das inspeções. 
Variáveis perturbações também são entradas do processo, com a particularidade de 
não estarem disponíveis para manipulação. As perturbações fazem o risco variar ao longo da 
semana, do dia das horas. Algumas perturbações não produzam variações significativas. 
Outras podem levar inclusive á perda do controle. Durante um dia de trabalho, 
variam a disposição física e o humor das pessoas. Noticias, boatos, pessoas saindo ou voltando 
de férias ou de folgas, mudanças de campanha, equipamento ou matéria-prima, e muitas outras 
variáveis, incluindo os próprios acidentes, introduzem perturbações que tendem a alterar o 
valor da variável controlada (risco). 
O controle on-off ou liga-desliga caracteriza-se pela atuação do elemento final de 
controle somente quando a variável controlada atinge valores limites. É o caso docontrole de 
nível de um vaso no qual a válvula da tubulação de saída é aberta quando o nível atinge o 
limite superior do controle e é fechada quando o nível atinge o limite inferior. O controle on-
off, embora inadequado, é freqüentemente adotado no controle de riscos. Quando ocorrem 
acidentes graves (limite superior do controle) são tomadas medidas corretivas.Com o passar do 
tempo, na ausência de acidentes graves (limite inferior de controle), os controles são relaxados 
e os riscos passam a crescer até que um novo acidente grave ocorra. 
 36 
No controle em cascata, a primeira variável controlada estabelece o ponto de ajuste 
da segunda variável controlada. Por exemplo, no controle de nível de um tanque, o nível 
(primeira variável controlada) estabelece o ponto de ajuste da vazão de saída (primeira variável 
manipulada). A vazão de saída (segunda variável controlada) é controlada pela abertura da 
válvula de saída (segundo variável manipulada). Analogamente, no controle de risco atua-se 
nas horas de treinamento para controlar a habilidade, que por sua vez controla o risco. 
Controle proporcional é o que tem o sinal do controlador (elemento final de 
controle) proporcional ao erro ou desvio – diferença entre o valor atual da variável controla e o 
set point (ponto de ajuste). Entretanto pode ser que a ação não emite totalmente o desvio. No 
controle de riscos,a dimensão das medidas é proporcional ao desvio entre riscos atual e o risco 
tolerado, mas não há a preocupação em continuar atuando para eliminar totalmente o desvio. O 
controle integral ou reajuste age enquanto persistir qualquer desvio entre o valor da variável e o 
ponto de ajuste. NO controle de riscos, corresponde ás ações de melhoria continua exercida de 
forma permanente e com firmeza de propósitos, no sentido de manter o risco totalmente o 
desvio. 
O controle derivativo amplifica ação do controlador em função da velocidade da 
variação do sinal de desvio. Quanto maior a velocidade, mais amplifica a ação derivativa. É 
utilizado no controle de variáveis que respondem com algumas lentidões a uma variação na 
entrada ou perturbação na variável de controle. A lentidão decorre da capacidade do sistema. 
Exemplo: Considere-se o controle de temperatura de saída de um forno. Se a carga do forno 
entra mais fria, a temperatura de saída não cai quase nada instantaneamente como aconteceria 
com a vazão do liquido cuja pressão a montante fosse alterada. Pelo mesmo motivo, o efeito da 
ação de controle também é retardado. A derivativa antecipa-se e atua em função da velocidade 
de variação da temperatura de saída. No controle de risco, corresponde ás ações tomadas com 
agilidade. Quando o número de acidente começa a crescer é porque as causas ganharam 
intensidade e o aumento maior só não é imediato por causa da inércia do sistema. Portanto, a 
ação derivativa visa deter o aumento dos acidentes. 
A ação deve ser tanto mais energia quanto mais rápida a taxa de elevação do 
número de acidentes. 
Controle Poe retroalimentação (feedback) é o que atua no sentido de compensar o 
sistema quando os efeitos de uma perturbação (p) já acontecem. Com base no erro (e) gerado 
pelo efeito estufa da perturbação, o controlador atua na variável manipulada (m) para trazer o 
sistema de volta á situação desejada ou set point (sp) (figura 2.2). No controle de riscos, 
corresponde á adoção de medidas corretivas em função de ocorrência anormais, ou seja, dos 
efeitos da manipulação do risco. 
Controle antecipatório (feedforward) é o que atua de modo a corrigir o sistema 
antes que os efeitos da perturbação se manifestam. Atuam na variável manipulada como 
conseqüência da medida da perturbação em si ou de alguma variável mais próxima dela 
(Figura 2.3). NO controle de risco, corresponde á adoção de medidas corretivas em função de 
análise de riscos realizados antes do sistema ser colocado em operação ou sofrer intervenções. 
O controle a partir de análises efetuadas após a introdução dos riscos não caracteriza um 
controle antecipatório, mas feedback, pois o risco já está presente e só não se manifesta devido 
a sua natureza probabilística. 
Controle inferencial: na malha de controle clássico, mede-se a variável de saída ou 
controlada,que é influenciada pela ação de controle (também medida) e por perturbações (nem 
sempre mensuráveis). Freqüentemente, a dificuldade desse tipo de controle é a medição das 
variáveis secundárias mensuráveis e da variável manipulada (também mensurável) para 
 37 
estimar, o valor da variável controlada por meio de correlações matemáticas (Figura 6.4). 
Portanto, trata-se de um trabalho de correlacionar e estimar, prever ou inferir o valor de uma 
variável que se deseja controlar, mas que não se consegue medir. No controle de riscos, 
corresponde de trabalho e comportamento inseguros. O risco é obtido por inferência. 
Controle avançado: é um controle multivariável. Consiste em medir os valores de 
diversas variáveis e, por meio de algoritmos de cálculo, estabelecer as alterações nas variáveis 
manipuladas. Analogamente, o controle avançado de riscos utiliza muitas variáveis não 
lineares. Esse controle requer visão holística. 
 
 
2.3.5 CONTROLE DE RISCOS 
 
A função Controlar Riscos pode ser desdobrada em Controlar Freqüência e 
Controlar Conseqüências do evento perigoso. Esse desdobramento (Figura 2.1) é fundamental 
para a concepção do sistema de controle de riscos que abranja tanto ações de controle de 
freqüência como de controle de freqüência como de controle de conseqüências. 
Pra construir um modelo de controle (Figura 2.5), vamos considerar um sistema exercendo sua 
missão num meio ambiente. O risco é um dos produtos do sistema e resulta de interação 
complexas entre diversos fatores associados a recursos, processos, sensores e controlador. 
Como ocorrem danos reais, incorporamos ao modelo um gera ocorrência anormais segundo a 
distribuição de probabilidades do risco introduzido na entrada. 
Além dos riscos gerados pelo sistema, área ou atividade, há os introduzidos pelas 
intervenções. O sistema de controle dos riscos das intervenções (Figura 6.6) trabalha sob 
orientação do controlador geral. 
Padrão é a referência para avaliar o desempenho do sistema. No caso, o padrão é 
rico aceito ou tolerado. Segundo termo é mais recomendado, pois na realidade as pessoas não 
aceitam o risco, o toleram. As pessoas toleram o risco associados a determinada atividade em 
razão dos benefícios que essa atividade lhes proporciona. O risco de uma industria é mais 
tolerado por seus empregados que pelas pessoas da comunidade vizinha, pois a atividade 
industrial lhes garante salários e benefícios. O risco tolerado é um parâmetro fundamental para 
os sistemas de gestão de riscos. É estabelecido por algum critério de tolerabilidade que sofre 
influencias do cenário social e político e da situação econômica, financeira e cultural da 
organização e da sociedade. 
Sensor é o dispositivo que mede o desempenho do sistema. O primeiro sensor 
avalia o risco e informa o controlador. É importante detectar a variação do risco no primeiro 
sensor (sensor tipo 1) para que ações corretivas sejam tomadas antes das ocorrências anormais. 
Alguns riscos não detectados no primeiro sensor são detectados no segundo. Em média, o 
segundo sensor detecta grande número de ocorrências sem danos ou perdas ou com perdas 
pouco significativas antes que um evento de conseqüências graves ocorra. Esperar por 
ocorrências graves para tomar medidas corretivas não é uma boa política de segurança. 
O sensor do tipo I utiliza técnicas de Identificação de perigos e Análise de Riscos, 
tais como: APR (análise Preliminar de Riscos), What if? (e se?), Hazop (estudos de 
identificaçãode Perigos e Operabilidade), Listas de verificação (check list), Análise 
Quantitativa de riscos inspeções Planejada, AMFE (análise de Modas de Falha e Efeitos), Aaf 
(Análise por Árvore de Falhas), Análise comparativa e Análise pela Matriz das Interações. 
Os sensores do tipo II utilizam o Registro e a Análise de Ocorrência Anormais. 
Geralmente, a analise é apresentada num Relatório de Análises de Ocorrências (RAO). Os 
 38 
relatórios de analise de ocorrências de sistemas semelhantes ao analisando têm papel 
semelhante aos dos sensores do tipo I. 
O sensor do tipo 0 identifica riscos antes que sejam introduzidos no sistema. É um 
componente do sistema de controle de risco das intervenções. 
O controlador compara o desempenho do sistema com padrões e introduz ações 
corretivas para anular o desvio. Essas ações constituem o plano de ação para controle de riscos. 
Para defini-lo, controlador pode utilizar um dos diversos tipos de controle de riscos. Para 
defini-lo, o controlador pode utilizar um dos diversos tipos de controle apresentados nos item 
anterior e seu processo interno envolve ainda:modelo do mecanismo de produção de danos, 
avaliação dos riscos, risco tolerado, desvios, orientações da liderança, do sistema de gestão e 
da cultura da organização. Na prática o controlador não é uma pessoa, mas um conjunto de 
pessoas ou mesmo órgãos da organização. 
O controlador pode manipular diversas variáveis para efetuar a intervenção. A 
escolha de variável manipulada obedece a algum critério. Todo critério envolve um parâmetro 
e uma regra. O parâmetro pode ser o ganho da variável, de maior ganho. O ganho (K) é a 
variação na variável controlada por unidade de variação da variável de controle: K= (variável 
controlada)/(variável de controle). 
A media de investimentos em determinada variável, o ganho tende a diminuir para 
novos incrementos, até ser atingido o ponto de saturação, partir do qual não há alteração da 
variável controlada ou o custo para obtê-la é muito elevado. Para cada variável há um ponto 
ótimo, partir do qual é melhor investir em outra. Por exemplo, se aumentarmos a habilidade 
dos operadores, reduziremos o risco. Entretanto, a partir de determinada habilidade não adianta 
continuar investindo em treinamento alem, do necessário para mantê-la. Devem-se considerar 
outras variáveis como confiabilidade de equipamento e o procedimento. É preciso considerar 
também a possibilidade de existência de sinergia positiva entre duas ou mais variáveis. 
Por outro lado, toda alteração tem um custo, (preço) associado. A relação 
ganho/preço é o valor absoluto da alteração e o controlador deve optar pela alteração de maior 
valor relativo. 
Plano de Ação para Controle de Riscos ou simplesmente Plano de Controle de 
Riscos (PCR) é um conjunto de ações que alteram valores de variáveis manipuladas. É 
instrumento de intervenção e, dependendo da dimensão dos riscos, dos sistemas e das 
organizações envolvidas, pode ser muito simples ou bastante complexo. Pode conter ações de 
curto, médio e longo prazo. 
O plano de ação para intervenção num sistema operacional atinge causas imediatas. 
O plano de ação para intervenção num sistema organizacional atinge causa básicas. 
A elaboração do plano de ação é facilitada pela utilização dos modelos do mecanismo 
de produção de danos. 
 
I – Os danos decorrem da relação agente agressivo x alvo 
 
Para exemplificar consideremos um vaso de pressão contendo amônia. Para que 
amônia cause danos 28 é preciso que: (a) seja liberada no meio ambiente; (b) haja pessoas no 
campo de ação agressiva; (c) essas sejam pessoas expostas sem proteção. Para evitar danos, ou 
não permitimos que a amônia vaze, ou impedimos a presença de pessoas (automaticamente 
operações), ou eliminamos a exposição tipo IV por meio de proteção (máscara). 
 
Controle no agente 
 39 
 
(a) Eliminar a fonte ou reduzir a qualidade e/ a energia agressiva (substituindo substâncias 
perigosas por inertes, reduzindo estoques de matérias primas). 
(b) Reduzir a potencia das fontes contribuintes (reduzindo estoques, vazões ou pressões). 
(c) Reduzir a nocividade dos agentes nocivos (substituir produtos não biodegradáveis por 
biodegradáveis, produtos tóxicos por outros menos tóxicos). 
(d) Reduzir a freqüência das falhas de contenção, aumentando confiabilidade (tubulação com 
paredes de maior espessura, maior freqüência de testes) ou implantando sistemas adicionais de 
contenção (bacias de contenção ao redor de tanques armazenando), de recomposição da 
contenção (válvula especiais acionadas pelo próprio fluxo do fluido que vaza) e de combate 
aos agentes de ruptura (proteção catódica, válvulas de alívio). 
(e) Combater agentes agressivos (diluição de gases tóxicos por insuflação de ar no ambiente, 
absorção de ruído por barreiras ou filtros). 
(f) Reduzir a ação de agentes promotores de capacidade agressiva (trabalhando com baixas 
voltagens, baixas temperaturas) e de nocividade (eliminando cloretos de soluções de ácido 
nítrico em sistemas de aço inox). 
 
Controle no alvo 
 
a. Reduzir a susceptibilidade por seleção (pessoas de pele clara não devem trabalhar em 
salinas). 
b. Reduzir a vulnerabilidade por seleção, projeto ou construção (casas de controle resistentes a 
explosões). 
c. Aumentar a capacidade dos sistemas de defesa dos alvos (vacinas). 
 
Controle na exposição 
 
Reduzir probabilidade, tempo ou categoria da exposição por: 
 
a. Distâncias adequadas para que alvos importantes sae situam em pontos onde a agressividade 
do agente é reduzida por diluição. 
b. Sistemas de proteção coletiva ou individual (cabines acústicas, protetores auriculares). 
c. Sistemas de isolamento (barreiras, placas,normas, treinamento). 
d. Alarmes sonoros (sirene, bip), visuais (placas, cores) e olfativos (odorização com produto de 
odor desagradável). Incluir treinamento em detecção de alarmes. 
e. Redução da freqüência de entrada de alvos no campo de ação dos agentes (rotinas, normas, 
boas práticas de trabalho). 
 
 
II – OS DANOS E PERDAS DECORREM DE FALHAS NOS SISTEMAS QUE 
COMPÕEM A ORGANIZAÇÃO 
 
Podemos conceder um sistema de controle de riscos no qual o controlador atua sobre 
os sistemas de controle das variáveis organizacionais e operacionais. A habilidade, por 
exemplo, e uma variável de controle de riscos que o sistema de treinamento controla por meio 
do número de horas ou da qualidade do treinamento. 
 40 
Entre as variáveis organizacionais do sistema de gestão, temos: política, diretrizes, 
programas, projetos, normas, procedimentos e boas práticas de trabalho; da cultura 
organizacional: valores, crenças, afetos, rituais; e da liderança: postura, empenho, 
comportamento. 
Entre as variáveis operacionais relativas ao homem, temos: constituição e número, 
habilidade, conhecimento, criatividade e experiência; relativas aos equipamentos: unções 
desempenho e confiabilidade; relativas aos processos e procedimentos: relação entre funções e 
tipos de matérias-primas (anatômicas), temperatura e pressão (fisiológicas). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 41 
CAPITULO 3 
 
 
A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS 
 
 
3.1) INTRODUÇÃO 
 
 
Aqui iniciamos o tópico relativo às técnicas de identificação e analise de riscos, 
apresentando as mais representativas e utilizadas. São metodologias oriundas das áreas: 
 
- engenharia de segurança de sistemas; 
- engenharia de processos. 
 
As técnicas possuem grande generalidade e abrangência, podendo ser aplicadas a 
quaisquer situaçõesprodutivas. 
 
 
3.2) ANÁLISE PRELIMINAR DE RISCOS 
 
A Análise Preliminar de Riscos (APR) consiste no estudo, durante a fase de 
concepção ou desenvolvimento prematuro de um novo sistema, com o fim de se determinar os 
riscos que poderão estar presentes na fase operacional. 
Trata-se de um procedimento que tem especial importância nos casos em que o 
sistema a ser analisado possui similaridade com quaisquer outros existentes, seja pela sua 
característica de inovação, ou pioneirismo, o que vale dizer, quando a experiência em riscos na 
sua operação é carente ou deficiente. 
Na área militar, onde surgiu, a análise foi primeiramente requerida como uma 
revisão a ser feita nos sistemas de mísseis. Nessa época, existiam mísseis cujos sistemas 
continham características de alto risco, havendo um grande nível de perigo em sua operação. 
Basta dizer que 72 silos de lançamento do míssil balístico intercontinental “Atlas”, quatro 
foram destruídos em rápida sucessão, sendo seu custo unitário igual a 12 milhões de dólares. 
Esses mísseis foram projetados para operarem com combustíveis líquidos, e a análise foi 
desenvolvida numa tentativa de previsão contra o uso desnecessário de materiais, projetos e 
procedimentos de alto risco; ou pelo menos, para que se assegurasse que medidas preventivas 
fossem incorporadas, se essa utilização fosse inevitável. 
A APR é normalmente uma revisão superficial de problemas gerais de segurança; 
no estágio em que é desenvolvida, podem existir ainda poucos detalhes finais de projeto, sendo 
ainda maior a carência de informação quanto aos procedimentos, normalmente definida mais 
tarde. Para análises detalhadas ou específicas, necessárias posteriormente, deverão ser usados 
os outros métodos de análise previstos. 
Uma descrição sintética da técnica é dada no Quadro 1: 
 
 
 
 42 
Quadro 1 – TÉCNICAS DE ANÁLISE 
NOME: Análise Preliminar de Riscos (APR) 
TIPO: Análise inicial qualitativa. 
APLICAÇÃO: Fase de projeto ou desenvolvimento de qualquer novo processo, produto ou 
sistema. 
PRINCÍPIO / METODOLOGIA: Revisão geral de aspectos de segurança através de um 
formato padrão, levantando-se causas e efeitos de cada risco, medidas de prevenção ou correção e 
categorização dos riscos para priorização de ações. 
BENEFÍCIOS E RESULTADOS: Elenco de medidas de controle de riscos desde o início 
operacional do sistema. Permite revisões de projeto em tempo hábil no sentido de dar maior 
segurança. Definição de responsabilidade no controle de riscos. 
OBSERVAÇÕES: De grande importância para novos sistemas de alta inovação. Apesar se seu 
escopo básico de análise inicial, é muito útil como revisão geral de segurança em sistemas já 
operacionais, revelando aspectos, às vezes, despercebidos. 
 
EXEMPLO ILUSTATIVO: 
 
O exemplo escolhido para ilustração da APR é bastante antigo. Conta a mitologia 
grega que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho Ícaro, na ilha de 
mesmo nome. Com o objetivo de escapar para a Grécia, Dédalo idealizou fabricar asas, o que 
fez habilidosamente com penas, linho e cera de abelha. Antes da partida, Dédalo advertiu a 
Ícaro que tomasse cuidado quanto a seu curso: se voasse em um nível baixo as ondas 
molhariam suas penas, e ele cairia no mar. Essa advertência, uma das primeiras análises de 
riscos que poderíamos citar, define o que hoje chamaríamos Análise Preliminar de Riscos. 
Adotarmos esta situação para a ilustração do formato para a APR, mostrado no 
Quadro 2. As categorias de risco usadas nesse modelo nos são apresentadas em seguida no 
Quadro 3 e foram adaptadas pelos autores da norma militar americana MIL-STD-882, que 
procura estimar uma medida grosseira do risco presente. A mesma classificação de risco é 
usada na Análise de Modos de Falha e Efeitos (AMFE), no próximo tópico. 
A propósito, como é de conhecimento do leitor, Ícaro voou muito alto, e pelos 
motivos expostos por Dédalo, veio a cair no mar (Ícaro era um cabeça dura). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 43 
Quadro 2 - ANÁLISE PRELIMINAR DE RISCOS 
 
IDENTIFICAÇÃO: Sistema de vôo Ded I 
SUBSITEMA: Asas PROJETISTA: Dédalo 
IDENTIFICAÇÃO: Sistema de vôo Ded I 
SUBSITEMA: Asas PROJETISTA: Dédalo 
RISCO CAUSA EFEITO CAT 
RISCO 
MEDIDAS 
PREVENTIVAS 
OU 
CORRETIVAS 
Radiação térmica do sol Voar muito alto 
em presença de 
forte radiação 
Calor pode 
derreter a cera de abelhas 
que une as penas. 
Separação e perda podem 
causar má sustentação 
aerodinâmica. Aeronauta 
pode morrer no mar. 
 
 
 
 
IV 
Prover advertência 
contra vôo muito alto 
perto do sol. Manter 
rígida supervisão sobre 
o aeronauta. Prover 
trela de linho entre os 
aeronautas para evitar 
que jovem, impetuoso, 
voe alto. Restringir área 
da superfície aerodinâmica. 
Umidade Voar muito 
perto da superfície 
 do mar. 
Assas podem absorver a 
umidade, aumentando de 
peso e falhando. 
O poder propulsivo 
limitado pode não ser 
adequado para compensar o 
aumento de peso. 
Resultado: perda da 
função e afogamento 
possível do aeronauta. 
 
 
 
 
IV 
Advertir aeronauta para voar à 
meia altura, ou onde o sol 
manterá as asas secas, ou 
onde a taxa de acumulação 
de umidade é aceitável para 
a duração da missão. 
 
 
ETAPAS BÁSICAS NA APR 
 
Os seguintes passos podem ser seguidos no desenvolvimento de uma APR: 
 
1. Rever problemas conhecidos – Revisar a experiência passada em sistemas 
similares ou análogos, para determinação de riscos que poderão estar 
presentes no sistema que está sendo desenvolvido. 
 
2. Revisar a missão – Atentar para os objetivos, as exigências de desempenho, 
as principais funções e procedimentos, os ambientes onde se darão as 
operações. 
 
3. Determinar os riscos principais – Quais serão os riscos principais com 
potencialidade para causar direta e imediatamente lesões, perda de função, 
danos a equipamentos, perda de material. 
 
 44 
4. Determinar os riscos iniciais e contribuintes – Para cada risco principal 
detectado, elaborar as séries de riscos determinando os riscos iniciais e 
contribuintes. 
 
5. Revisar os meios de eliminação ou controle dos riscos – Elaborar uma 
revisão dos meios possíveis, procurando as melhores opções compatíveis 
com as exigências do sistema. 
 
6. Analisar os métodos de restrição dos danos – Considerar os métodos 
possíveis mais eficientes na restrição geral de danos, no caso de perda de 
controle sobre os riscos. 
 
7. Identificar quem levará a cabo as ações corretivas – Indicar claramente 
os responsáveis pelas ações corretivas, designando as atividades que cada 
unidade deverá desenvolver. 
 
A Análise Preliminar de Riscos deverá ser sucedida por análises mais detalhadas ou 
específicas logo assim que for possível. Deve ser lembrado que para os sistemas bem 
conhecidos, nos quais há bastante experiência acumulada em riscos, a APR pouco adiciona. 
Nesses casos, a APR pode ser colocada em by-pass, sendo indicadas às outras técnicas. 
Ressalte-se, entretanto, sua reconhecida utilidade, no seu domínio de aplicação. 
 
Quadro 3 – CATEGORIAS DE RISCO 
(MIL-STD-882) ADAPTAÇÃO 
CATEGORIA NOME CARACTERÍSTICAS 
I Desprezível  Não degrada o sistema, nem seu funcionamento; 
 Não ameaça os recursos humanos. 
II Marginal/ 
Limítrofe 
 Degradação moderada/ danos menores; 
 Não causa lesões; 
 É compensável ou controlável. 
III Crítica  Degradação crítica; 
 Lesões; 
 Dano substancial; 
 Coloca o sistema em risco e necessita de ações corretivas 
imediataspara a sua continuidade e recursos humanos 
envolvidos. 
IV Catastrófica  Séria degradação do sistema; 
 Perda do sistema; 
 Mortes e lesões. 
 
 
Exemplo de aplicação: 
 
No quadro 4, temos um exemplo da APR a um sistema já operacional, onde se pode 
ver sua utilidade como forma de revisão geral de riscos. 
 
 45 
Quadro 4 – ANÁLISE PRELIMINAR DE RISCOS (APR) 
Serviço de Instalações telefônicas em altura e em caixas subterrâneas 
RISCO CAUSA EFEITO CAT. 
 RISCO 
MEDIDAS PREVENTIVAS 
Alta voltagem Contatos com 
equipamentos de outra 
concessionária; 
Raios. 
Choque elétrico; 
 
 
Queimadura grave; 
Morte. 
IV 
 
 
IV 
Treinamento; 
Supervisão; 
Uso de EPI; 
Construir terra adequada. 
Queda pela Escada Falta de amarração da 
escada; 
Não utilização do EPI 
(cinto). 
Lesão; 
Fratura; 
Morte. 
IV Supervisão; 
Uso de EPI; 
Treinamento. 
Agentes químicos 
(entrada em caixas 
subterrâneas) 
Animais em decomposição; 
Vazamento de 
concessionária de 
gás/esgotos. 
Mal-estar; 
Lesão; 
Morte. 
IV Uso de detectores de gases; 
Supervisão; 
Ventilação. 
Explosão na caixa 
subterrânea. 
Presença de misturas 
explosivas e fontes de 
ignição. 
Queimadura grave; 
Fratura; 
Morte. 
IV Uso de detectores de explosividade; 
Ventilação; 
Supervisão. 
Atropelamento Sinalização insuficiente; 
Falta de atenção 
 
Lesão; 
Fratura; 
Morte. 
IV Treinamento; 
Sinalização adequada. 
Acidentes com 
Veículos. 
Inabilidade; 
Falta de atenção dos 
motoristas. 
Veículo em má 
condição de 
manutenção 
Lesão; 
Fratura; 
Morte. 
IV Incentivo para reduzir acidentes 
 com veículos; 
Manutenção preventiva; 
Treinamento. 
Maçarico Inabilidade; 
Falta de atenção; 
Má condição de 
manutenção. 
Queimaduras nas 
 mãos ou no corpo 
II Treinamento; 
Manutenção. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 46 
CAPITULO 4 
 
 
MÉTODOS DE ANÁLISE DE RISCOS 
 
 
4.1) MÉTODOS TRADICIONAIS 
 
São métodos baseados em: 
 
 Avaliações pós-fato das causas produtoras de acidentes; 
 Tentativas e erros; 
 Levantamentos estatísticos somente de acidentes com lesões; 
 Medições da falta de segurança ao invés da presença de segurança. 
 
 
4.2) MÉTODOS ATUAIS 
 
São métodos baseados na: 
 
 Identificação dos fatores causadores de acidentes, com e sem lesão; 
 Identificação de situações de incidentes que potencialmente possam resultar 
em futuras lesões ou danos de naturezas diversas (físicos, materiais, etc...); 
 Informação contínua da mudança do nível de segurança de um sistema e 
avaliar rapidamente os esforços de prevenção de acidentes. 
 
 
4.3) TÉCNICA DE INCIDENTES CRÍTICOS – TIC 
 
O uso desta técnica é um método de identificar erros e condições inseguras, através 
do depoimento de uma amostra aleatória estratificada de observadores participantes, 
selecionados dentro de uma população. Os incidentes descritos por determinado número de 
observadores participantes, são transcritos e classificados em categorias de risco, a partir das 
quais definem-se as áreas problemas de incidentes. 
É um método que contribui em identificar os acidentes com lesões tanto reais como 
potenciais, através de amostragens de pessoas aleatoriamente e convenientemente selecionadas, 
que sejam representativas das operações e das diferentes categorias de risco existentes na 
empresa. 
 
 
 
 
 
 
 
 
 47 
Quadro 5 – TÉCNICA DE ANÁLISE 
NOME: Técnica de Incidentes Críticos (TIC) 
TIPO: Análise Operacional, Qualitativa. 
APLICAÇÃO: Fase operacional de sistemas, cujos procedimentos envolvem o fator humano, 
em qualquer grau. 
OBJETIVOS: Detecção de incidentes críticos e tratamento dos riscos que representam. 
PRINCÍPIO / METODOLOGIA: Obtenção de dados sobre os IC’s através de entrevistas 
com observadores participantes de uma amostra aleatória estratificada. 
BENEFÍCIOS E RESULTADOS: Elenco de incidentes críticos presentes no sistema. 
Prevenção e correção dos riscos antes que os mesmos se manifestem através de eventos 
catastróficos. 
OBSERVAÇÕES: Relativa simplicidade de aplicação e flexibilidade; 
Obtenção de informações sobre riscos que não seriam detectados por outras formas de 
investigação. 
 
É uma técnica utilizada pela Força Aérea Americana e a Westinghouse. Os 
resultados da aplicação da técnica de incidentes críticos na Westinghouse apresentaram-se 
satisfatória nos seguintes aspectos: 
 
 Revelou com confiança os fatores causais, em termos de erros e condições 
inseguras, que conduzem a acidentes industriais; 
 Foi capaz de identificar fatores causais, associados tanto a acidentes com 
lesão como acidentes sem lesão; 
 Revelou uma quantidade maior deformação sobre causas de acidentes, do 
que os métodos atualmente disponíveis para o estudo de acidentes e fornece 
uma medida mais sensível de desempenho; 
 As causas de acidentes sem lesão mostraram se que pode ser usada para 
identificar as origens de acidentes potencialmente com lesão. 
 
A Técnica de Incidentes Críticos permite identificar e examinar os problemas de 
acidente antes do fato ao invés de depois do fato em termos de suas conseqüências com danos à 
propriedade ou produção de lesões. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 48 
Quadro 6 – NOÇÃO DE APLICAÇÃO 
 FORÇA AÉREA 
 AMERICANA 
WESTINGHOUSE 
PARTICIPANTES Um grande número de 
 pilotos 
155 funcionários (1ª seleção) 
Incidentes; 
Situações Potenciais de Acidentes e 
Acidentes com ou sem lesão 
270 incidentes de erros de 
pilotos, tanto na leitura dos 
instrumentos como nas falhas 
de comunicação (má 
interpretação de sinais ou de 
instruções). 
389 incidentes, de 117 tipos diferentes; 
dentre os quais 206 ocorrências de 
lesões leves e 6 graves (fraturas, 
ferimentos exigindo suturas e 
corpos estranhos nos olhos). 
Resultados Apurados Deficiências na leituras dos 
instrumentos e falhas nas 
comunicações (tanto humanas 
como instrumentais). 
-foram apurados 52,1% a mais de 
ato e condições inseguras do que 
em registros de 2 anos anteriores. 
-67,52% dos diferentes incidentes 
 foram observados por pelo menos 1 
pessoa e estavam ocorrendo todos 
os dias durante o ano estudado. 
 
 
4.4) ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE) 
 
Esta técnica permite analisar como podem falhar os componentes de um 
equipamento ou sistema, estimar as taxas de falha, determinar os efeitos que poderão advir, e 
conseqüentemente, estabelecer as mudanças que deverão ser feitas para aumentar a 
probabilidade de que o sistema ou equipamento funcione de maneira satisfatória. A melhor 
forma de se efetuar a aplicação desta técnica é através de uma planilha que permita registrar 
todas as informações e dados relativos aos sistemas e subsistemas em estudo, com os seguintes 
procedimentos: 
 
1. Divide-se o sistema em subsistemas que podem ser efetivamente controlados; 
2. Traçam-se diagramas de blocos funcionais do sistema e de cada subsistema, a fim 
de determinar seus inter-relacionamentos e de seus componentes; 
3. Prepara-se uma listagem completa dos componentes de cada subsistema, 
registrando-se ao mesmo tempo, a função específica de cada um deles; 
4. Determinam-se, através da analise de projetos e diagramas, os quatro possíveis 
modos de falha que poderiam ocorrer e afetar cada componente: operação 
prematura, falha em operar num tempo prescrito, falha em cessar de operar num 
tempo prescrito e falhadurante a operação. 
5. Indicam-se os efeitos de cada falha específica sobre outros componentes do 
subsistema e, também, como cada falha específica afeta a missão do mesmo; 
6. Estima-se a gravidade de cada falha específica, de acordo com as seguintes 
categorias ou classes de risco: 
 
 I – Desprezível 
 II – Marginal 
 
 III – Crítica 
 49 
 IV – Catastrófica 
 
7. Indicam-se, finalmente, os métodos de detecção de cada falha específica e as 
possíveis ações de compensação e reparos que deverão ser adotadas para eliminar 
ou controlar cada falha específica e seus efeitos. 
 
A Análise de Modo de Falha e Efeitos é muito eficiente quando aplicada a sistemas 
mais simples ou falhas singelas. Suas inadequações levaram ao desenvolvimento de outros 
métodos, tais como Análise de Árvores de Falhas (AAF), que a completa muito bem e que será 
abordada logo mais. 
 
Exemplos: 
 
Para assimilação apresento a seguir dois exemplos de aplicação da AMFE: um 
sobre uma caixa d’água residencial e outro sobre um reator exotérmico, mostrando a 
generalidade da técnica e o seu potencial da análise na área de processos. 
 
Quadro 7 – ANÁLISE DE MODOS DE FALHAS E EFEITOS – Caixa D’água 
Componentes Modo 
 de Falha 
Modo 
 de Falha 
CAT. risco Métodos 
 de detecção 
Ações de compensação 
reparos observações 
Em outros 
componentes 
No subsistema 
como um todo 
Flutuador (Bóia) Falha em 
flutuar 
Válvula 
de entrada 
abre; 
Recipiente 
pode ir ao 
nível máximo. 
Nenhum II Observar 
saída do 
ladrão, 
consumo 
excessivo. 
Excesso de água 
pelo ladrão 
(válvula de alívio); 
Reparar ou Substituir bóia; 
cortar suprimento. 
Válvula de entrada Emperra 
aberta (falha 
em fechar 
quando o 
nível sobe) 
Flutuador 
fica submerso; 
Recipiente 
pode ir ao 
 nível máximo 
Nenhum II Idem Idem; reparar ou substituir 
válvula; 
cortar suprimento. 
Válvula de entrada Emperra 
fechada 
(falha em 
abrir quando 
o nível desce) 
Flutuador 
fica suspenso; 
Recipiente 
pode ir ao 
nível máximo 
Suprimento 
cessa 
IV Falta de 
água, havendo 
água na rede 
de entrada. 
Reparar ou substituir 
conseguir suprimento 
externo. 
Válvula de alívio 
(bóia) 
Falha em 
Dar vazão 
(Entope) 
Nenhum Nenhum I Inspeção 
periódica; 
testes 
Desentupir a menos 
que combinada com 
outras falhas, sem 
importância. 
Válvula de entrada 
e 
Válvula de alívio 
 
Emperra 
abertar 
 
(Entope) 
Flutuador 
fica submerso; 
Recipiente 
pode transbordar 
Operação 
aparentemente 
normal; 
Risco e acidentes 
elétricos no 
recinto da caixa; 
Tubulação 
pode ficar 
energizada. 
IV Umidade; 
Infiltração; 
Choque 
nos registros; 
Consumo 
excessivo 
Cortar suprimentos 
(água, energia); 
Utilizar água (descarga); 
 desintupir ladrão; 
 reparar ou substituir 
válvula. 
Recipiente (caixa) Rachadura, 
colapso 
Nenhum Suprimento 
cessa 
IV Iguais ao 
Item anterior 
Cortar suprimentos; 
Reparar ou substituir 
 
 
 50 
 
Quadro 8 – AMFE DO REATOR EXOTERMICO 
Componentes Modo 
 de Falha 
EFEITOS CAT. risco Métodos 
 de detecção 
Ações 
de compensação 
reparos observações 
Em outros 
componentes 
No 
sub-sistema 
como um 
todo 
Válvula TV1 Falha 
fechada 
Vaso perde 
Refrigeração 
RV1 abre 
Operação de 
Alto risco; 
Perda de 
Produto (risco 
Externo) 
III RV1-Visual 
TA1-Auditivo 
TC1-Visual 
-Bypass manual em H1; 
-Inerente (sistêmica)-RV1; 
-Presença do Operador CTE 
Falha aberta Vaso refrigerado Reação lenta I 
Válvulas 
Bypass 
Manual H1 
Falha 
fechada 
 I Inspeção; 
Outras falhas 
Irrelevante a menos que 
combinada com outras falhas; 
 sistema perde meio de 
proteção 
Vazando (Falha 
aberta) 
Vaso refrigerado Reação lenta I 
Controlador De 
Temperatura TC1 
Falha com 
Saída baixa 
TV1 aberta Reação lenta I 
Falha com 
Saída alta 
TV1 fechada 
RV1 abre 
Vaso perde 
refrigeração 
Operação de 
Alto risco; 
Perda de 
produto 
III RV1-Visual 
TA1-Auditivo 
TC1-Visual 
-Bypass manual em H1 
inerente (sistêmica)- RV1 
Sensor Transmissor 
de temperatura 
TT1 
Falha com 
Saída baixa 
Leitura falsa 
De baixa T; 
TV1 fecha; 
Perda do alarme 
Operação de 
Alto risco; 
Perda de 
produto 
III RV1-Visual 
Comparação 
com TG1 
 
-RV1 manual em H1 
(TARDIO) 
Falha com 
Saída alta 
TV1 aberta 
Alarme soa 
Reação lenta I 
Interruptor 
De pressão TS1 
Falha aberta Alarme soa Confusão 
Operacional 
I 
Falha fechada Perda do 
alarme 
 I Inspeção -Sistema perde meio de 
alaerta sistema operacional 
Alarme TA1 Falha I Inspeção -Sistema perde meio de 
alaerta sistema operacional 
Indicador 
de temperatura 
TG1 
Falha em baixa Perda de 
Indicação de 
campo 
I Inspeção 
periódica do 
operador 
(cada 4 horas); 
 Comparação 
com TC1 
Perda de redundância na 
indicação de temperatura 
Indicador 
de temperatura 
TG1 
Falha em alta Confusão 
Operacional 
I Inspeção 
periódica do 
operador 
(cada 4 horas); 
 Comparação 
com TC1 
Perda de redundância na 
indicação de temperatura 
Válvula de alívio 
RV1 
Abre abaixo 
do set point 
 Perda de produto II Visual/auditivo 
Falha fechada I Inspeção Irrelevante a menos que 
combinada com outras falhas; 
Sistema perde sua proteção 
básica e última 
Água de refrigeração Falha de 
suprimento 
TV1 abre 
Vaso 
RV1 aquece 
Operação de 
alto risco; 
Perda de produto 
III RV1- Visual 
TA1- auditivo 
TC1 visual 
Posição da 
válvula indicada 
no controlador 
Inerente- RV1 
Atuação de H1 
Inútil 
Falha de 
refrigeração 
(temperatura 
aumenta) 
 
Ar de instrumento Perda de Pressão TV1 abre Reação lenta I Configuração Fail-safe 
 
 51 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 52 
CAPITULO 5 
 
Análise de Árvores de Falhas 
 
5.1) INTRODUÇÃO 
 
A Análise de Árvores de Falhas (AAF) foi desenvolvidas pelos laboratórios Bell 
Telephone, em 1962, a pedido da Força Aérea a Americana, para uso no sistema do míssil 
balístico intercontinental Minuteman. Os primeiros textos sobre as AAFs foram apresentados 
em 1965, em um simpósio sobre segurança, patrocinado pela universidade de Washington e 
pela Boeing company, empresa no qual um grupo de engenheiros aplicou e expandiu a AAF. 
A partir daí, houve uma crescente disseminação, tanto da metodologia como da 
literatura descrita da técnica, destacando-se os trabalhos de Haasl, Lambert, Fussell e Henley & 
Kumamoto. 
J. Fussell, por exemplo, assinala em sua obra que uma Árvore de Falhas: 
 
 Direciona a análise para a investigação das falhas do sistema; 
 Chama a atenção para os aspectos do sistema que são importantes para a falha 
de interesse; 
 Fornece auxilio gráfico, através de uma visibilidade ampla, aqueles que devem 
administrar sistemas e que, por qualquer razão, não participam das mudanças nos 
projetos desses sistemas; 
 Fornece opções para a análise quantitativa e qualitativa da confiabilidade de 
sistemas; 
 Permite ao analista concentrar-se em uma particular falha do sistema num certo 
instante; 
 Permite uma compreensão do sistema. 
 
De fato, a Análise de Árvoresde Falhas (AAF) é uma técnica dedutiva para a 
determinação tanto de causas potenciais de acidentes como de falhas de sistemas, e para a 
estimação de probabilidades de falha. Em seu sentido mais restrito, como veremos mais 
adiante, a AAF pode ser vista como uma forma alternativa para a determinação da 
confiabilidade de sistemas, em substituição ao uso de Diagramas de blocos de Confiabilidade. 
 
 
5.2) CONSTRUÇÃO E DESENVOLVIMENTO 
 
A AAF consiste fundamentalmente na determinação das causas de um evento 
indesejado, denominado evento-topo, assim chamado porque é colocado na parte mais alta da 
árvore. A partir do evento-topo, o sistema é dissecado, de cima para baixo, num numero 
crescente de detalhes, até se chegar à causa ou combinações de causas do evento indesejado (o 
qual, na maioria das vezes, é uma falha de graves conseqüências não só para o sistema, como 
também para o meio ambiente, a comunidade e terceiros, em ter4mos e danos humanos, 
materiais e/ou financeiros). 
A AAF pode ser desenvolvida tanto qualitativa como quantitativamente. Assim, ela 
pode ser usada, na forma qualitativa, para analisar e determinar que combinações de falhas de 
 53 
componentes,erros operacionais ou outros defeitos podem causar o evento-topo, e na forma 
quantitativa, para calcular a probabilidade de falha, a não confiabilidade ou a indisponibilidade 
do sistema em estudo. 
A estrutura básica de um Arvore de falhas (AF) está demonstrada na figura 5.1. 
 
 
 
FIGURA 5.1-Estrutura básica de uma AF 
 
Tais elementos básicos podem ser mais bem explicados através de um exemplo 
bastante simples. Vamos analisar uma falha de energia (blackout) num hospital (deixamos para 
o eleitor a tarefa de imaginar as possíveis conseqüências que uma falha desse tipo pode 
acarretar...) 
Por simplicidade, vamos assumir que as situações a serem analisadas dizem respeito 
basicamente a três componentes: 
 
 Um sistema de energia externa, que fornece eletricidade para o hospital; 
 Um gerador a diesel, que fornece eletricidade em caso de emergência; 
 Um sistema controlador de voltagem, que monitora o fornecimento de energia 
externa e, em caso de falhas, transmite um sinal que aciona um gerado a diesel. 
 
Iniciaremos nossa análise controlando o blackout como evento-topo e buscando as 
causas, ou combinações de causas, que podem levar à sua ocorrência. Para fazer isso, vamos 
montar a arvore de falhas mostrada na figura 5.2. 
 
 
 
 
 
 54 
 
 
FIGURA 5.2 - AF de um blackout 
 
Ao examinar as causas, verificamos que, para ocorrer o evento-topo, devem falhar o 
sistema e o sistema de energia. Isto é representado por um comporta E (and) na Arvore de 
Falhas. 
Descendo para o segundo nível, vemos que o sistema de energia falha, se falhar o 
monitor de voltagem ou gerador a diesel, que esta representado por uma comporta OU (or). 
Assim, em resumo, a AF é ima estrutura de módulos ou comportas E e OU, com 
retângulos contendo a descrição de eventos intermediários. Se tivermos os valores das 
probabilidades de falha de cada componente, podemos então calcular a probabilidade de 
ocorrência do evento-topo. 
As Arvores de falhas mais simples e diretas são aquelas, como a deste exemplo, em 
que todas as falhas de componentes. Nestes casos, podemos então obter a AF a partir do 
diagrama de blocos de confiabilidade, e vice-versa. 
 
Vejamos mais um exemplo. Consideramos o sistema de figura 5.3: 
 
 
 
 
 
 
 
 
 
 
 55 
 
 
FIGURA 5.3 – Diagrama de blocos de confiabilidade 
 
Observa-se que, para o sistema falhar, deve falhar o componente c ou os dois 
subsistemas (o superior e inferior) do diagrama. Assim, obtemos a seguinte Arvore de Falhas: 
 
 
FIGURA 5.4 – Arvore de Falhas 
 
 
 
 
 56 
Simbologia lógica 
 
A simbologia mais freqüentemente usada nas Análises de Arvore de falhas está 
exposta na figura 5.5. 
 
 
FIGURA 5.5 – Simbologia das AAFs 
 
 
 
 57 
Como exemplo podemos ter a situação abaixo: 
 
 
Como já mencionamos anteriormente, uma AF é constituída de eventos, descritos 
em retângulos, e de módulos ou comportas. 
A comporta OU representa uma situação em que qual quer um dos eventos abaixo 
da comporta (chamados eventos-entrada) levara ao evento acima da comporta (chamado 
evento-saída). O evento-saída ocorrera se ocorrer somente um ou qualquer combinação dos 
eventos-entrada. Representa, portanto, a união de conjuntos (eventos), como indicado na figura 
5.6. 
 58 
 
 
FIGURA 5.6 – Comporta OU 
 
Já a comporta E representa uma situação em que todos os eventos-entrada devem 
estar presentes para que ocorra o evento-saída. Isto é, o evento-saída ocorrerá se todos eventos-
entrada existirem ao mesmo tempo. Representa, portanto, a intersecção de conjuntos (eventos), 
conforme apresentado na figura 5.7. 
 
 
FIGURA 5.7 – Comporta E 
 
Um caso particular da comporta E é a chamada comporta de inibição (figura 5.8). 
Ela representa uma situação que o vento-saída ocorre a partir de um único evento-entrada, mas 
desde que antes seja satisfeita uma determinada condição. Esta condição é normalmente 
representada por uma elipse localizada à direita da comporta. 
Em outras palavras, o evento-entrada ocorre sob a condição especificada dentro da 
elipse. 
 
 
FIGURA 5.8 – Comporta de inibição 
 59 
 
Os retângulos, por sua vez, indicam o evento-topo e os eventos intermediários; eles 
aparecem como evento-saída das comportas. 
Já os eventos-entrada das comportas podem ser representados de várias formas. 
O círculo representa um evento independente, isto é, um evento cuja ocorrência não 
depende de outros componentes do sistema. Via de regra, indica uma falha primária ou 
básica de um componente (também chamada evento básico), significando que foi alcançado 
um limite de resolução adequando a AF. 
O diamante/losango identifica um evento não-desenvolvido, isto é, um evento não 
analisado em detalhes, devido à falta de informação ou recursos para prosseguir a análise, ou 
por não ser considerado um evento suficientemente importante. Representa as chamadas falhas 
secundárias de componentes (ver o item classificação da falhas). 
Pode também ser usado para indicar a necessidade de ser realizada uma nova 
investigação, quando se puder dispor de informação adicional. Qualquer ramo de uma AF 
pode, portanto, também ser encerrado com o diamante. 
A figura da casa é usada p-ara descrever um evento normal, isto é, um evento que 
se espera que ocorra normalmente durante a operação de um sistema. Não representada, 
portanto, uma falha, mas é um evento que deve ser analisado posteriormente em detalhes. A 
casa também pode ser usada para encerar qualquer ramo da AF. 
Finalmente, o triângulo é um símbolo de transferência de um ramo da AF a outro 
local dentro da Arvore. Com o uso deste símbolo, não a necessidade de repetir uma seqüência 
de eventos iguais e diferentes áreas da AF. 
É usada também quando necessitamos de mais de uma pagina para desenhar a 
arvore de famílias. 
Quando a triangulo é conectado a arvore com uma linha horizontal. Tudo que é 
mostrado abaixo do ponto de conexão é transferido para a outra área da AF. Essa área é então 
identificada por outro triângulo, o qual é conectado a arvore com uma linha vertical. 
Sempre que for necessário utilizar mais que um conjunto de símbolos de 
transferência, deve-se identificar cada um deles com uma letra ou qualquer outra figura dentro 
dos triângulos. 
 
SIMBOLOGIA MATÉMÁTICA DESIGNAÇÃO 
 XYYX 
 Leis Comutativas 
 XYYX 
 
   ZYXZYX )()( 
 Leis Associativas 
   ZYXZYX)()( 
 
     )()()( ZXYXZYX 
 Leis Distributivas 
     )()()( ZXYXZYX 
 
 XXX 
 Leis Idempotentes 
 XXX 
 
  XYXX )(
 Leis de Absorção 
  XYXX )(
 
 60 
 XX
 Complementação 
 1XX
 
XX )(
 
 YXYX )(
 Teorema de Morgan 
 YXYX )(
 
  X
 Outras Relações 
 XX 
 
 XXI 
 
 IXI 
 
  YXYXX )(
 
    )()( YXYXYXX 
 
Obs: ( = conjunto vazio; I = conjunto universo) 
FIGURA 5.9 - Regras da Álgebra Booleana 
 
Como sabemos, um sistema consiste basicamente em vários componentes, tais 
como equipamentos, materiais e pessoas. Aliás, o termo componente não deve ser aqui 
entendido como sendo necessariamente o menor constituinte do sistema; ele pode ser 
perfeitamente uma unidade ou até mesmo um subsistema. 
No desenvolvimento de uma AAF, é fundamental, conhecer-se os diversos inter-
relacionamentos e características de cada componente do sistema. 
Usualmente, as falhas (ou defeitos) de componentes são classificadas em; falhas 
primarias ou básicas, falhas secundarias e falhas de comando. 
Por definição, uma falha primária ocorre num ambiente e sob condições nos quais 
os componentes foram projetados. 
Por exemplo, a ruptura de um vaso numa pressão menor que a especificada no 
projeto seria classificada nessa categoria. 
As falhas primárias (ou básicas) são, portanto causadas por defeitos de projeto, 
fabricação e montagem, uso inadequado ou excessivo, ou quando não é feita a necessária ou 
apropriada manutenção do sistema. 
Em linhas gerais, pode-se dizer que elas decorem do envelhecimento natural dos 
componentes, e são representadas nas AAFs – como vimos – pelo circuito. 
As falhas secundárias ocorrem num ambiente e sob condições em que o 
componente não foi projetado. Por exemplo, se a ruptura do vaso ocorresse devido a uma 
pressão excessiva, para a qual ele não foi projetado, essa falha seria classificada como 
secundária. 
Como o próprio nome indica, a falha não é exatamente do componente, mas esta na 
solicitação excessiva ou no ambiente que ele opera. 
São representadas nas AAFs pela figura do diamante. 
 61 
A falha ou defeito de comando é devido a sinais de controle incorretos ou 
impróprios e ruído. Na maioria das vezes, ela não exige ações de reparo para que o 
componente volte a funcionar. 
Assim, o nosso vaso poderia perder pressão pela abertura desnecessária da válvula 
de segurança (abertura da válvula sem existência de pressão excessiva), o que seria classificado 
como falha de comando e representado na AAF pelo retângulo (implicando assim o 
prosseguimento da analise, com a busca e detalhamento da(s) fonte(s) do comando incorreto). 
 
A B 
BA
 
BA
 
0 0 0 0 
1 0 0 1 
0 1 0 1 
1 1 1 1 
FIGURA 5.10 – Lógica Booleana 
 
A avaliação de uma AF é sempre feita em duas etapas. Na primeira, desenvolvida 
de forma qualitativa, e montada uma expressão lógica para o evento-topo, em termos de 
combinações (uniões e intersecções) de eventos básicos. 
Torna-se importante para o leitor rever (ou conhecer) as leis, identidades e 
operações da chamada Álgebra Booleana, que será aqui utilizada especialmente para 
simplificar a expressão lógica da AF. 
As figuras 9 e 10 mostram as principais regras e operações da lógica Booleana. 
Na segunda etapa, desenvolve-se finalmente a avaliação quantitativa da AF. Após a 
simplificação Booleana, utiliza-se a expressão lógica para o cálculo da probabilidade do 
evento-topo, a partir das probabilidades de ocorrência das falhas básicas (ou primarias) de cada 
componente, como veremos com maiores detalhes no item avaliação quantitativa. 
 
 
5.3) AVALIAÇÃO QUANTITATIVA 
 
Vamos considerar a Arvore de falhas da figura 5.11, na qual as falhas primárias 
estão designadas genericamente por letras de A a C, os eventos intermediários por E, e o 
evento-topo pela letra T. 
 
 62 
 
FIGURA 5.11 – Exemplo de uma AF 
 
Para avaliar qualitativamente a AF, normalmente começamos pelo evento-topo e 
vamos descendo pelos vários níveis da arvore, substituindo as comportas pelos símbolos OU 
ou E correspondentes. 
Assim, obtemos de inicio: 
 
T= E1 ∩ E2 (1) 
 
e 
 
E1= A U E3; E2= C U E4 (2) 
 
Substituindo as equações (2) em (1), temos 
 
T= (A U E3) U (C U E4) (3) 
 
Prosseguindo, verificamos que: 
 
E3 = B U C e E4 = A ∩ B (4) 
 
Finalmente, substituindo as expressões (4) em (3),chegamos a: 
 63 
 
T= [A U (B U C)] ∩ [C U (A U B)] (5) 
 
Para a maioria das AFs, particularmente, para aquelas com uma ou mais falhas 
primarias que ocorrem em mais de um ramo da Arvore devem ser usadas, como já dissemos 
anteriormente, as regras da Álgebra de Booleana para simplificar a expressão lógica relativa ao 
evento-topo. 
Partido das leis e identidades apresentadas na figura 5.9 podemos então simplificar 
a nossa expressão (5). Vejamos: 
Aplicando a lei associativa e logo em seguida a lei cumulativa, temos: 
 
T= [C U (A U B)] ∩ [C U (A ∩ B)] (6) 
 
Agora, aplicando a lei distributiva com 
 
X=˜ C, Y=˜ A U B e Z=˜ A ∩ B, obtemos: 
 
T= C U [(A U B) ∩ (A ∩ B)] (7) 
 
Por causa da lei associativa, nós podemos eliminar os parênteses da direita; e, uma 
vez que A ∩ B = B ∩ A, reescrevemos nossa expressão: 
 
T= C U [(A U B) ∩ B ∩ A] (8) 
 
Finalmente, aplicando a lei de absorção (A U B) ∩ B = B, obtemos: 
 
T = C U (B ∩ A) (9) 
 
Verificamos com esta expressão (9) que: 
 
- chegamos ao limite máximo de simplificação; 
- a falha do sistema, que corresponde ao evento-topo T, é causada pela falha C ou 
pela ocorrência simultânea das falhas A e B. 
 
Portanto, o evento-topo pode ocorrer por meio de dois modos de falha: M = C ou 
M2 = A ∩ B podemos traçar então a nossa AF simplificada, conforme o exposto na figura 5.12 
a seguir. 
 
 
 
 64 
 
FIGURA 5.12 – AF Simplificada equivalente a figura 11 
 
 
Avaliação quantitativa 
 
Tendo obtido, na sua forma mais simplificada, a expressão lógica para o evento-
topo T, em termos de falhas básicas, estamos agora preparados para calcular a probabilidade de 
ocorrência do evento-topo. 
Neste ponto, sugerimos ao leitor rever (ou conhecer) princípios básicos do Cálculo 
de Probabilidade (*), para melhor acompanhar os nossos próximos passos. 
Observando a expressão simplificada T=C U (B ∩ A), verificamos que temos de 
aplicar primeiramente o principio da probabilidade da união (**), para calcular a 
probabilidade de ocorrência do evento-topo T, que designaremos por P(T). 
 
Assim, obtemos: 
 
P(T)=P(C)+P(BUA)–P(AUBC) (10) 
 
Se os eventos básicos (falhas primarias) forem independentes, as intersecções 
podem ser traduzidas pelo produto das respectivas probabilidades individuais. Desta forma, 
teremos: 
 
P(T)=P(C)+P(B).P(A)–P(A).P(B).P(C)(11) 
 
Entretanto, se houver dependência entre eventos, devemos determinar os valore de 
P(B∩A) e P(A∩B∩C), utilizando tratamentos mais sofisticados como, por exemplo, os 
chamados Modelos de Markov. 
Mesmo quando assumimos que as falhas são independentes, podemos nos defrontar 
com outro tipo de problema: Arvores de falhas muito extensas, com inúmeras falhas de 
 65 
componentes, em que há dezenas ou até centenas de termos de diferentes magnitudes a serem 
considerados. 
É muito importante, neste caso, adotar uma forma sistematizada que nos dê 
aproximações aceitáveis, sem necessidade de avaliamos todos os termos. 
Uma vez que as probabilidades de falha dificilmente são conhecidas com uma 
precisão maior do que duas ou três casas após a virgula, somente poucos termos têm 
significância efetiva. Por exemplo, suponhamos que na equação (11) as probabilidades A, B e 
C fossem, respectivamente, 10
-2
, 10
-4 
e 10
-6 
. Cada um dos dois primeiros termos da (11) seria 
então da ordem de 10
-6
, o ultimo ermo seria de ordem de 10
-2
, o qual poderia ser considerado 
desprezível, quando comparado aos dois primeiros. 
Outra abordagem bastante utilizada na pratica é chamada aproximação pelo evento 
raro, a qual também nos dá aproximação aceitáveis para valores de probabilidades inferiores a 
0, 10. 
Assim,nessa abordagem, quando tivermos a equação básica para P(XUY), ou seja, 
P(XUY)=P(X)+P(Y) – P(X∩Y), poderemos assumir que a probabilidade da intersecção 
(X∩Y), isto é, a probabilidade de ocorrência simultânea dos eventos X e Y é, 
aproximadamente, zero. Desta forma, estaremos adotando: 
 
P(XUY)≈P(X)=P(Y), (12) 
 
Que nos da uma aproximação conservadora (pessimista) de probabilidade de falha 
do sistema. 
Mais, voltando o nosso exemplo, se adotarmos a aproximação pelo evento raro, a 
equação (11) poderá então ser reescrita como: 
 
P(T) ≈P(C)+P(B).P(A) (13) 
 
A combinação dessa forma aproximada com a assunção de independência dos 
eventos, freqüentemente, nos permite obter resultados aceitáveis para a probabilidade de 
ocorrência do evento-topo. Para tanto; fazemos a avaliação de baixo para cima da AF, e vamos 
simplesmente multiplicado as probabilidades relativas as ocorrências E e somando as 
probabilidades relativas às comportas OU. 
Todavia, muito cuidado deve ser tomado quando tomado esse procedimento, porque 
o mesmo só se aplica a arvores nas quais não a repetição de eventos básicos (uma vez que 
eventos repetidos não são independentes) ou a arvore que forma logicamente reduzida a uma 
forma em que cada falha primaria aparece uma única vez. 
No tópico seguinte, mostramos outra sistemática para truncar expressões longas (e 
proibitivas) que aparecem em arvores de falhas extensas, as quais, alias, são as que mais 
ocorrem na pratica. 
 
Avaliação da Arvores de Falhas 
 
Os procedimentos que acabamos de discutir no item anterior nos permitam avaliar 
AF s com relativamente com poucos ramos e eventos básicos. Quando temos arvores de falhas 
maiores, digamos com mais de 20 falhas primárias, tanto a avaliação como a interpretação dos 
resultados torna-se consideravelmente mais difíceis, sendo então recomendável o emprego de 
códigos de computadores. 
 66 
Tais códigos ou algarismos são normalmente formulados em termos dos chamados 
conjuntos mínimos catastróficos (CMCs) que discutimos nesse item. 
Um CMC (ou Minimal Cut Set, em inglês) é definido como sendo a menor 
combinação de falhas primarias que causara a ocorrência do evento-topo, se todas elas 
ocorrerem. É, portanto, uma combinação (isto é, intersecção) de falhas básicas suficientes para 
causa evento-topo.Todas elas têm que ocorrer no CMC; mesmo se apenas uma delas não 
acontecer, não ocorrera o evento-topo. 
A origem do termo em inglês, cut set (ou conjunto de corte) pode ser ilustrada 
graficamente, utilizando a AF simplificada na figura 5.12. 
O diagrama de blocos de confiabilidade correspondente a essa AF está mostrado na 
figura 5.13 a seguir. 
 
 
FIGURA 5.13 – CMCs, a partir de um diagrama de blocos de confiabilidade 
 
A idéia de cut set surgiu originalmente do uso desse tipo de diagrama para itens 
elétricos, nos quais o sinal entra à esquerda e sai a direita. Um minimal cut set corresponde 
então ao numero mínimo de componentes que deve ser cortado para evitar o fluxo de sinal. Na 
figura 5.13 temos dois conjuntos mínimos catastróficos: CMC1 = componentes A e B, e 
CMC2= componente C. 
A titulo de exercício, convidamos o leitor a verificar como foram obtidos os CMCs 
do diagrama, a seguir, que é a forma equivalente da AF da figura 5.14. 
 
 
FIGURA 514 – CMC8 de um sistema de 7 componentes 
 
 
 67 
É fácil entender que cada CMC consiste na intersecção do numero mínimo de falhas 
primarias necessárias para causar o evento-topo. Por sua vez o evento-topo consiste na união 
de todos os CMCs. 
No diagrama da figura 14 temos: 
 
CMC1 = C 
CMC2 = b1 ∩ b2 
CMC3 = a1 ∩ a2 ∩ b2 
CMC4 = a3 ∩ a4 ∩ b1 
CMC5 = a1 ∩ a2 ∩ a3 ∩ a4 
 
Deve-se também observar que há outros cut sets que podem causar evento-topo 
(fala do sistema), os quais, entretanto não correspondem aos mínimos. Não devem, portanto ser 
considerados, uma vez que eles não entram na lógica na arvore de falhas. 
Em outras palavras esse outro cut sets são absorvidos pelos CMCs, pela aplicação 
da álgebra booleana. 
Isto pode ser exemplificado através da própria configuração do sistema da figura 
5.14. 
Suponhamos que estamos examinando o cut set M0 = b1 ∩ C, que também pode 
causar a falha do sistema. 
Se considerarmos, por exemplo, a união M0UCMC1, pela lei de absorção da figura 
9, teremos: 
 
M0 U CMC1 = (b1 ∩ c) U c = c 
 
Assim, esses outro não-CMCs são eliminados da expressão lógica do evento-topo 
T, a qual pode ser então generalizada como: 
 
T = CMC1 U CMC2 U ... U CMCn (14) 
 
Para pequenas arvores de falhas, a determinação dos CMCs pode ser feita 
manualmente, utilizando-se, como nesse exemplo, as leis e operações booleanas. Entretanto, 
para AFs extensas esse procedimento torna-se extremamente trabalhoso e, dependendo do 
numero de falhas básicas, até impraticável. Devemos então lançar mão de computadores e 
softwares especiais para que nos auxiliem nessa tarefa. Mas, afinal, para que serve tudo isso? 
A determinação dos Conjuntos Mínimos Catastróficos podem fornecer informações 
valiosas sobre pontos potencialmente fracos de sistemas complexos, mesmo quando não é 
possível calcular a probabilidade de ocorrência de um CMC particular ou de evento-topo. 
Os CMCs são normalmente classificados em : simples, duplos, triplos etc., 
dependendo do numero de falhas primarias que contêm. 
Obviamente, toda ênfase deve ser dada à eliminação ou minimização dos CMCs 
que possuem pequeno numero de falhas, dos quais pode-se certamente esperar a maior 
contribuição para a ocorrência da falha do sistema. De fato, se a probabilidade de falha de 
componentes são pequena e independentes, e da mesma ordem de grandeza, CMCs duplos 
ocorrerão menos freqüentemente que os CMCs simples; CMCs triplos menos freqüentemente 
que os duplos e assim por diante. 
 68 
Outra informação que os CMCs nos fornecem diz respeito à avaliação qualitativa da 
importância de um determinado componente. 
Vamos supor que queremos avaliar o efeito no sistema do aumento da 
confiabilidade de um dado correspondente. Se esse componente aparecer em um ou mais 
CMCsde baixa ordem, digamos, em CMCs simples ou duplos, é provável que sua 
confiabilidade tenha um efeito considerável no sistema. 
Por outro lado, se o referido componente aparecer somente em CMCs que requerem 
varias falhas independentes, sua importância em relação a falha do sistema, provavelmente, 
será bem pequena. 
Essas considerações permitem priorizar de CMCs e de componentes específicos, 
considerando que as falhas básicas são independentes. Se não forem, isto é, se elas forem 
suscetíveis às chamadas de falhas de modo comum (*), essa priorização pode ser alterada 
profundamente. Por exemplo, se um CMC que contém 6 falhas, 5 puderem ocorrer devido a 
uma causa comum, a probabilidade de ocorrência do CMC poderia ser comparada talvez a um 
CMC duplo. 
Com freqüência, são também realizadas análises para determinar a suscetibilidade 
de conjuntos mínimos catastróficos às falhas de modo comum. Esse tipo de analise tem um 
papel fundamental na determinação do layout uma planta industrial que melhor ofereça 
proteção contra uma série de fontes de danos: incêndios, inundação, colisões, falha de energia 
etc. 
A avaliação quantitativa de arvores de falhas através dos CMCs deve ser realizada a 
partir da expressão (14), aplicando-se nos menos procedimentos já discutidos anteriormente. 
Neste ponto, o leitor poderá indagar sobre a substancial incerteza que poderá haver 
em relação aos parâmetros básicos, como taxas de falhas de componentes, que são os inputs 
para calcular as probabilidades. 
De fato, as consideráveis incertezas que podem existir na adoção de valores 
pontuais acarretam a necessidade de se julgar à precisão dos resultados por meio da obtenção 
do correspondente intervalo de confiança. Pra se fazer isso, as taxas de falhas dos componentes 
e outros dados devem ser considerados como variáveis aleatórias, com uma média de um 
desvio-padrão para caracterizar a incerteza. A distribuição lognormal tem tido bastante 
aplicação para representar dados de falhas desta maneira. 
Para pequena arvores de falhas, varias técnicas analíticas podem ser usadas com fim 
de determinar a variabilidade dos resultados frente a incerteza dos dados. Para AFs mais 
extensas, os métodos de Monte Carlo têm sido freqüentemente utilizados (ver observação sobre 
softwares disponíveis,nos comentários finais). 
 
 
5.4) UM EXEMPLO SIMPLES DE APLICAÇÃO 
 
Para dar uma idéia ao leitor do desenvolvimento de uma arvore de falhas – AAF – 
qualitativa, vamos considerar um sistema domiciliar de alarme contra fogo. Conforme o 
exposto no diagrama esquemático da figura 5.15, existem sensores no primeiro e segundo piso, 
com fiação conectada ao alarme, o qual é energizado pela potência domestica (110V). 
O evento-topo selecionado é: incêndio sem alarme. 
Examinado a arvore da figura 16 vemos que: 
 
 69 
a) O evento poderá sobrevir se houver um incêndio no primeiro piso sem 
alarme OU um incêndio no segundo piso sem alarme; 
b) Um incêndio no primeiro piso sem alarme significa ter-se um incêndio 
no primeiro piso E o alarme incapaz de responder à existência de fogo; 
c) O alarme poderá falhar em responder ao fogo, se o sensor do primeiro 
piso falhar OU se o sistema estiver inoperante; 
d) o alarme torna-se-á inoperante, se o mesmo falhar, ou seja, OU se não 
houver potência a ele fornecida, OU ainda, se as linhas do sensores falharem; 
e) Não haverá potencia para o alarme, se a linha de potencia falhar OU se 
houver potencia elétrica domiciliar. 
 
Similarmente, o ramo que envolve o segundo piso pode ser desenvolvido com as 
mesmas considerações. O símbolo de transferência é então aposto no local apropriado, 
mostrando que existe uma repetição de condições, a partir do ponto assinalado, análogo às do 
primeiro piso. 
 
 
FIGURA 5.15 – Sistema de alarme contra fogo 
 
 70 
 
FIGURA 5.16 – AF par sistema de alarme de fogo domiciliar 
 
O segundo nível de abordagem nas AAFs é o de introdução dos cálculos para a 
determinação da probabilidade do evento-topo. Como já foi notado na descrição do método, é 
preciso, após a diagramação lógica em equação e, por intermédio da álgebra booleana, 
simplificar as expressões, introduzindo por fim os valores das probabilidades de ocorrência de 
cada evento específico ou falha de componente. 
Vejamos como podemos aplicar as equações e, com as possíveis simplificações, 
chega até a expressão final. 
Notação: 
 
 As comporta OU são representadas por variáveis Ai, e implicam uma 
adição das diversas entradas, 
 As comporta E são representadas por variáveis Bi, e implicam um 
produto das diversas entradas; 
 As falhas primarias e outros eventos-entrada da arvore são representadas 
por variáveis Xi. 
 
A partir desta notação, podemos escrever. 
 
Evento-topo A1 
 
A1 = B1 + B2 
B1 = X1 . A3 
A3 = A5 + X3 
 71 
A5 = X5 + A6 + X6 
A6 = X7 + X8 
 
sendo então: B1 = X1 (X3 + X5 + X6 + X7 + X8) 
 
e portanto: B2 = X2 (X4 + X5 + X6 + X7 + X8) 
 
sendo A1 = B1 + B2 temos 
 
A1 = (X1 + X2)( X3 + X5 + X6 + X7 + X8) + X1X3 + X2X4 que é a pressão final. 
 
A partir da equação simplificada, pode-se traçar uma arvore de falhas simplificadas, 
como a que vemos na figura 5.17. Se tivéssemos valores probabilísticos para os diversos 
eventos anotados, poderíamos então calcular a probabilidade do evento fogo sem alarme, 
utilizando os mesmos procedimentos descritos no item avaliação quantitativa. 
 
 
FIGURA 5.17 – Sistema de Alarme de Fogo Domiciliar – Árvore Simplificada 
 
 
Comentários finais 
 
Métodos quantitativos simplificados são aplicados com bastante freqüência na 
pratica. Entretanto, há uma serie de situações em que, em função da complexidade do sistema 
e de sua variabilidade no tempo devem ser aplicados conhecimentos de informática superior, 
 72 
especialmente de estatística e calculo de probabilidade, para se equacionar corretamente os 
problemas de quantificação de riscos. 
Felizmente, já temos um bom elenco de softwares (programa de computador) que 
facilitam consideravelmente os trabalhos de analise de confiabilidade de riscos. Para dar uma 
rápida idéia ao leitor, relacionamos a seguir alguns deles: 
 
 SCHE: converte diagramas de blocos de confiabilidade em arvore de falhas. 
 MOCUS: obtém os CMCs de arvore de falhas. 
 BACFIRE: auxilia na analise de falha de modo comum 
 SAMPLE: usa métodos de Monte Carlos para obter intervalos de confiança para 
probabilidades de falhas. 
 HEUR: calcula a confiabilidade otimizada de sistemas com restrições de custo, 
peso etc. 
 MARKOV: calcula paramentos de confiabilidade de sistemas, baseados em 
diagramas de transição de Markov. 
 RELICS: calcula a disponibilidade (ou confiabilidade) de sistema em estado 
estacionário; o tempo médio até falhar (TMAF) e o tempo médio ate reparo (TMAR) 
do sistema: e a importância relativa de cada componente. 
 
Exemplo Simulado: Análise por Árvores de Falhas - FTA para o Retroprojetor 
 
 
 
 
 
 
 
 
 
 73 
 
CAPITULO 6 
 
 
TÉCNICA DE IDENTIFICAÇÃO DE PERIGOS – E SE...? (What if?) 
 
 
6.1) INTRODUÇÃO 
 
É uma técnica de identificação de perigos, cujo foco é “tudo que pode sair errado”. 
A análise de riscos é qualitativa. 
 
O elemento fundamental é a criatividade, pois o método consiste no questionamento 
aberto promovido pela pergunta “E se...?”. O objeto de estudo, que pode ser um sistema, 
processo, equipamento, operação, evento ou atividade, é questionado sobre qualquer aspecto 
que julgar conveniente ou vier à cabeça no momento. Assim, são formuladas perguntas do tipo: 
E se... for colocado mais produto? E se... a matéria-prima estiver contaminada?E se... ocorrer 
um vendaval? Portanto, trata-se de um brainstorming (termo que pode ser traduzido por 
tempestade cerebral; técnica utilizada para geração de idéias, cuja estratégica básica é a 
ausência de censura) estruturado e dirigido à identificação de eventos perigosos ou 
indesejáveis. 
Num processo industrial para produção de cloreto de vinila por reação de cloro com 
etileno, as perguntas seriam do tipo: 
 
 
E se... 
......a corrente de etileno estiver contaminada? 
......a corrente de cloro estiver contaminada? 
......a reação de cloração for muito rápida? 
......etileno sair na corrente de subproduto ácido clorídrico? 
......a tubulação romper? 
......grande quantidade de cloro for arrastada com o cloreto de vinila? 
......ocorrer uma explosão na fornalha? 
......subprodutos forem arrastados para o armazenamento de cloreto de vinila? 
 
 
 
 
 
 
 
 
 
 
 
 
 74 
 
Exemplo didático: 
 
E se...? 
Identificação de perigos 
 
Objeto da análise: festa de aniversário Órgão: Folha: 
Executando por: fulano, beltrano, cicrano Número: Data: 
E se...? Perigo/ Conseqüência Medidas de controle de risco 
e de controle de emergência 
Vierem mais pessoas que o 
esperado? 
Falta de espaço, falta de 
bebidas. 
Avaliar a possibilidade de 
comparecerem mais 
convidados e prever 
alimentos e bebidas com 
folga 
As pessoas não encontrarem 
o local da festa? 
Desagradar amigos, criar 
clima de insatisfação, não 
receber presentes, perda 
de alimentos. 
Anexar mapa aos convites, 
acrescentando número do 
telefone. 
Chover? Dificuldade na chegada , 
pessoas com roupas 
molhadas. 
Adquirir guarda-chuva 
grande para ajudar as 
pessoas a deslocar-se do 
carro à porta da casa 
 
 
6.2) E SE...? COMBINADA COM LISTAS DE VERIFICAÇÃO 
 
Listas de Verificação conferem sistematização à E se..., pois as perguntas são 
formuladas e a lembrança é garantida por listas de verificação elaboradas para área específicas 
de investigação, como proteção contra incêndios, segurança elétrica, preservação ambiental, 
higiene ocupacional. Entretanto, o questionamento continua livre. Nesse processo, o objeto de 
estudo é submetido ao questionamento na óptica de diversos especialistas. Peritos de cada área 
devem ser convidados a participar e assumem a responsabilidade de analisar, posteriormente, 
as questões levantadas. 
 
Quando aplicar? 
 
A E se... é particularmente útil na fase de pesquisa e desenvolvimento de processos 
e produtos, pois nessa etapa dos empreendimentos não há informações suficientes para a 
aplicação de Hazop, AMFE, Árvore de Falhas ou Árvore de Eventos. Essas técnicas têm maior 
poder nas fases posteriores, quando informações detalhadas sobre processos, equipamentos e 
procedimentos já estão disponíveis. Entretanto, a E se...continua presente, na forma não 
explicita, mesmo no Hazop, quando causas de desvios perigosos, revelados pela aplicação das 
palavras-guia às variáveis de processo, são pesquisadas com a pergunta E se... 
Apesar do forte incentivo à criatividade inerente ao Hazop, é natural que surjam 
bloqueios que levem a modificações radicais do processo. Isso ocorre porque os participantes 
 75 
resistem, inconscientemente, à possibilidade de destruir seu principal instrumento de trabalho, 
fluxograma. Já a E se não tem compromisso com o que foi elaborado e tende a surgir grandes 
alterações. Entretanto, não é boa política de produtividade deixar um projeto avançar, 
consumindo recursos, para só então proceder a questionamentos profundos. Por isso, A E se.. 
deve ser aplicada na fase mais primitiva dos empreendimentos. 
A E se... é subjetiva que o Hazop. Tem abordagem menos formal e sistematizada e 
depende fortemente da experiência e intuição da equipe. Se as perguntas adequadas não forem 
formuladas, perigos importantes podem deixar de serem revelados. Por isso, é recomendável 
que as seções mais perigosas de um sistema sejam analisadas por uma técnica mais rigorosa 
como Hazop. 
 
A equipe de análise 
 
A equipe de análise deve contar com um mínimo de 3 e um máximo 7 
componentes. Como toda técnica criativa, requer preparação das pessoas com o objetivo de 
remover bloqueios e estabelecer regras que garantam a livre expressão de idéias. 
Para garantir os benefícios do livre questionamento, as reuniões devem ser 
conduzidas sob determinadas regras: 
 
1. Todos os componentes têm igual direito de falar. 
2. Toda preocupação merece ser analisada. 
3. Espera-se que todos os componentes contribuam com idéias. 
4. Não é permitido censurar. 
5. O objetivo é a identificação de perigos, não o desenvolvimento de soluções 
específicas. 
 
Os componentes devem resistir ao impulso de tentar resolver os problemas à 
medida que vão surgindo. Se isso ocorrer, o desempenho é prejudicado. O principal objetivo é 
identificar perigos. As soluções serão estudadas à parte da reunião. Por isso, o formulário deve 
prever uma coluna para apontar os responsáveis pelas verificações. Na produção de cloreto de 
vinila, a primeira questão levantada teria por recomendação verificar se há disponibilidade de 
etileno de alta pureza e confiabilidade no suprimento, pois um perigo é a presença de óleo e 
este reage violentamente com cloro. 
Os participantes não precisam ser especialistas em análise de riscos, mas devem ter 
conhecimento e experiência em suas especialidades para que bons resultados sejam alcançados. 
Por outro lado, a participação de novos projetistas e operadores deve ser encarada como uma 
excelente oportunidade de treinamento em assuntos que não são aprendidos em sala de aula. 
O líder deve ter habilidade e experiência na condução de reuniões, além de bom 
conhecimento em análise de riscos. Dele dependem, em grande parte, a produtividade, o clima 
organizacional da equipe e a manutenção do foco do trabalho. 
 
O relatório 
 
A E se... requer formulário próprio com campos para registro do que pode sair 
errado, causas, conseqüências e medidas de controle de risco e de emergências. Os eventos 
perigosos, perigos revelados pelas perguntas E se... devem ser analisados quanto à freqüência 
ou probabilidade de ocorrência e também quanto às conseqüências. Freqüência ou 
 76 
probabilidade e conseqüência definem o risco for inaceitável, então devem ser feitas 
recomendações para que ações sejam tomadas no sentido de reduzi-lo. A análise completa 
requer priorização e indicação de responsabilidades. 
No exemplo da tabela o objeto de estudo é uma festa de aniversário. Simplificamos 
o formulário porque o caso é simples, omitindo a coluna de registro dos responsáveis pelos 
estudos e verificações. Entretanto, podem ser necessárias verificações à parte da reunião. 
Também, para simplificar, limitamos o número de questionamentos, mas um grupo de pessoas 
certamente levaria muito outros, como: se ocorrer um assalto, aparecerem pessoas não 
convidadas, ocorrer intoxicação alimentar? 
 
 
6.3) ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE 
 
O texto a seguir é um método que pode auxiliar o profissional da área de Segurança 
do Trabalho no momento da análise do acidente seja ele com ou sem perda, utilizando e 
valorizando em muito o trabalho em equipe, deixando de ser uma tarefa exclusiva do setor de 
Segurança do Trabalho. 
Após a ocorrência de um acidente a primeira coisa que se pensa é ir logo ao local da 
ocorrência e levantarmos todos os dados possíveis para a análise das causas do acidente, tirar 
fotos, filmar, isolar área, etc; E na maioria das vezes a conclusão destas análises é sempre a 
mesma, ato insegura,falta de atenção, descuido, etc, e fica por aí. Muita das vezes se deixa de 
ir mais fundo nas análises dos acidentes e se conclui uma análise somente com os fatos visto no 
momento após a ocorrência, ou seja, se perde o fio da meada, ou melhor, se deixa ir o fio da 
meada, na maioria das vezes por falta de apoio da administração, pela falta de liberdade para se 
trabalhar entre outras dificuldades que enfrentamos. Devemos ir mais profundo nestes 
acontecimentos utilizando o trabalho em equipe que podemos fazer da seguinte forma. 
Após o acidente deve-se reunir os colaboradores do setor envolvido, o supervisor e 
o encarregado e se possível o acidentado comunicar e explicar a todos o fato ocorrido e fazer 
juntamente com eles um BRAINSTORMING (Tempestade de Idéias) do fato levantando-se 
todas as possíveis causas que gerou o acidente, é muito importante não desprezar nenhuma 
causa levantada por menor que seja. Depois de levantar e anotar as possíveis causas fazer a 
montagem do Diagrama de Yshikawa ou Espinha de Peixe (Anexo 1) para um melhor 
agrupamento das causas. Depois devemos montar um relatório que podemos chamar de 
RELATÓRIO DE CAUSAS (Anexo 2) onde iremos descrever o acidente e todas as possíveis 
causas relatadas durante o BRAINSTORMING. A partir deste relatório montaremos um plano 
de ação (Anexo 3) juntamente com os participantes do BRAINSTORMING, determinando as 
medidas a serem tomadas, os responsáveis pela execução das medidas, onde as medidas serão 
implantadas (geralmente na área do acidente), como se implantar estas medidas e o prazo para 
implantação das medidas para eliminar as causas que gerou o acidente. É muito importante 
também, durante este trabalho procurar outros possíveis riscos que possam causar problemas 
futuros agindo preventivamente em outros possíveis acidentes naquele setor. Logo após a 
elaboração e aprovação do plano de ação deve-se procurar divulgar este plano de ação no setor 
(quadros de aviso, reuniões de segurança, etc) para se buscar um maior envolvimento de todos 
colabores e demonstrar que se está trabalhando sobre o fato, fazer um acompanhamento 
rigoroso do cumprimento das medidas dentro dos prazos. Para se executar um trabalho de 
análise bem feito é fundamental o comprometimento de toda a equipe, supervisor de produção, 
encarregado de produção, gerente de produção e principalmente dos colaboradores. 
 77 
 
Diagrama de Yshikawa ou Espinha de Peixe 
 
 
 
 
 
 
 
 
 
 
 
Mão de obra: Toda causa que envolve uma atitude do colaborador (ex: Procedimento 
Inadequado, Pressa, Imprudência, Ato Inseguro, etc.) 
 
Material: Toda causa que envolve o material que estava sendo trabalho. 
 
Método: Toda causa envolvendo o método que estava sendo executado o trabalho. 
 
Máquina: Toda causa envolvendo á máquina que estava sendo operada. 
 
Medida: Toda causa que envolve uma medida tomada anteriormente para modificar processo, 
etc. 
 
Meio Ambiente: Toda causa que envolve o meio ambiente em si (poluição, calor, poeira, etc.) 
e o ambiente de trabalho (Lay Out, falta de espaço, dimensionamento inadequado dos 
equipamentos, etc.) 
 
Relatório de Causas - Modelo Básico 
RELATÓRIO DE CAUSAS 
1 – (RELATO DO ACIDENTE) 
 
2 – (CAUSAS LEVANTADAS DURANTE O BRAINSTORMING) 
 
3 – (CONCLUSÃO) 
 
4- (PARTICIPANTES DO BRAINSTORMING) 
 
ANOMALIA 
 
 
 
 
 
 
 
 
 
 
Mão de obra Material Método 
 
Máquina 
 
Medida 
 
Meio 
Ambiente 
causa causa 
causa 
causa causa causa 
 78 
 
Plano de Ação - Modelo Básico 
Nº 
O QUE 
(Tarefas) 
Quem Onde Porque Como Quando 
 
1 
Ação a ser tomada 
 
Responsável 
pela ação 
Local onde 
a ação será 
tomada 
O porque 
da ação 
Como será 
tomada a 
ação 
Prazo para 
execução da 
ação 
 
2 
 
 
3 
 
 
 
OBS: Em um único plano de ação pode se ter várias ações, medidas ou modificações a serem 
feitas sendo desta forma se utiliza uma linha para cada ação, podendo um plano de ação ter 
várias linhas de ações a serem tomadas. 
 
Este método de análise de acidentes contribui e muito para solucionar as causas 
que influenciaram no acidente e causas que poderiam causar outros acidentes e acima de tudo 
envolve todos os colaboradores do setor fazendo com que eles se sintam envolvidos no 
trabalho do Setor de Segurança, dando a eles liberdade para se expressarem sobre condições 
e atos inseguros no setor. 
 
 
6.4) EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa 
 
O diagrama de Yshikawa é uma metodologia muito empregada em qualidade total, 
e em outras áreas do conhecimento humano. Ele possibilita uma avaliação rápida de causas e 
soluções aos problemas. 
 
 
Figura 6.1 - Diagrama de Yshikawa ou Espinha de peixe 
 79 
 
Quando se fala no diagrama de Yshikawa, não devemos esquecer-nos da 
metodologia do PDCA, o qual é apresentado na figura 6.2. 
 
 
Figura 6.2 – PDCA uma ferramenta da segurança no trabalho 
 
Na figura 6.3, apresenta uma aplicação do citado diagrama, para levantar as causas 
do alto custo operacional de um escritório. 
 
 
 
Figura 6.3 – Levantamento do alto custo operacional de escritório 
 80 
 
CAPITULO 7 
 
 
Financiamento de riscos 
 
7.1) INTRODUÇÃO 
 
As ações básicas de financiamento de riscos, que serão abordadas a seguir 
compreendem: a retenção de riscos (auto-adoção e auto-seguro) e transferências de risco a 
terceiros (sem seguro e através de seguro) 
 
 
Retenção de riscos 
 
A retenção de riscos pode ser definida, genericamente, como um plano financeiro 
da própria empresa para enfrentar perdas acidentais. As formas de retenção de riscos podem 
ser classificadas em: auto-adoção (intencional e não-intencional) e auto-seguro (parcial e 
total). 
O auto-seguro pode ser diferenciado da auto-adoção de riscos pelo fato de que 
esta última não exige ou não envolve um planejamento formal, um fundo (financeiro) de 
reserva para perdas. Empresas adotam, normalmente, a retenção de riscos de varias maneiras: 
decidindo assumir as perdas até um determinado valor e transferido ao seguro o excedente: e 
decidindo estabelecer fundos de reserva antes e depois da ocorrência das perdas. 
A auto-adoção de riscos, por sua vez, apresenta-se de duas formas: 
 
 Como um plano intencional de financiamento de riscos; 
 Como uma ação não intencional, isto é, sem nenhum plano organizado, 
conseqüente da não identificação dos riscos, da ignorância e, até mesmo, da 
incompetência técnica e administrativa de algumas pessoas. 
 
A auto-adoção intencional de risco implica a aceitação de liberada das perdas 
que são inconseqüentes para a empresa, ou seja, que são perfeitamente suportáveis no seu 
contexto econômico e financeiro. Como exemplo, podemos citar riscos de roubo e colisão de 
veículos usados, acima de cinco anos; perdas decorrentes de maus pagadores até um limite 
pré-fixado; máquinas e equipamentos etc. Essas despesas, usualmente previstas no capital de 
giro da empresa, não são inúmeras vezes, fortuitas em sua natureza e, portanto podem ser 
consideráveis inevitáveis e inerentes ao próprio tipo de negócio ou atividade da empresa. 
Se a empresa decidisse transferir esses riscos, o segurador teria que cobrar um prêmio que, 
provavelmente, seria considerado excessivo, uma vez que teria de ser suficientemente alto 
para cobrir as perdas esperadas e conceder uma margem, decorrente da efetivação do 
negócio. O prêmio seria, portanto, bem superior à quase-certeza das perdas esperadas. 
Muitas vezes, no entanto, a auto-adoção de riscos não é intencional e, portanto, nãoé 
planejada. 
Desnecessário dizer que este tipo de auto-adoção pode resultar, até mesmo em 
catastrófica situação econômico-financeira para empresa. 
 81 
As circunstancias sujeitas à auto-seguro são as mesmas, na maioria dos casos, do 
que aquelas para as quais o seguro pode ser adotado. Esses exigem um grau definido de 
planejamento financeiro, tais como a constituição de fundos de reserva para e medidas 
adicionais de controle financeiro interno. Se não existir um plano financeiro para fazer face 
às perdas, a empresa estará utilizando, consciente ou inconscientemente, o método de auto-
adoção de riscos já comentado. É muito comum ouvir que o auto-seguro vem sendo adotado 
por uma empresa, quando é evidente que se trata exclusivamente de auto- adoção de riscos. 
Não se deve considerar que o método de auto-seguro, conforme delineado acima, é uma 
forma exclusiva de financiamento de riscos. A regra geral que deve ser adotado, 
simultaneamente, mais de um método de financiamento. Por exemplo, uma empresa pode 
assumir os riscos de colisão e roubos de veículos, com uma franquia máxima, e transferir o 
excedente ao seguro. Pode, ainda, adotar o auto-seguro para as perdas fiscais e transferir o 
risco de responsabilidade civil ao seguro. 
 
Outro exemplo de auto-seguro parcial é encontrado no sistema de taxação 
retrospectiva que, infelizmente, pelo menos no momento, dificilmente pode ser adotado no 
Brasil. 
Alias, diga-se taxação retrospectiva seria, em termos de seguro de acidentes do 
trabalho, por exemplo, ma excelente opção para incentivar as empresas a ampliar (ou, como 
é na maioria das vezes, a iniciar) de forma efetiva as suas ações de prevenção e controle de 
riscos. 
De uma maneira geral, a taxação retrospectiva consiste em a empresa segurada 
compartilhar com o segurador uma parte das perdas totais. 
Basicamente aloca-se o custo total da garantia em função do coeficiente de perdas sofridas 
pela empresa. Existe um prêmio mínimo básico e um prêmio máximo. O prêmio real só é 
definido no final do período de vigência da apólice e das contas da experiência, quando as 
perdas são conhecidas. Quanto maior o coeficiente de perdas, maior será o premio a ser 
cobrado e vice-versa. Da mesma forma que a franquia, a taxação retrospectiva concede a 
empresa uma taxa reduzida e, conseqüentemente, um menor custo, ao assumir partes das 
perdas. É importante que o montante dessa economia dependa da eficiência das medidas de 
prevenção e controle adotadas pela organização. 
As razões principais que pode levar a uma empresa a adotar o auto-seguro são as 
seguintes: 
 
 Redução de despesas em excesso decorrentes da transferência de riscos, 
notadamente através do seguro; 
 Necessidade de a organização incrementar suas ações de prevenção e 
controle de perdas (é obvio que, pela implantação do auto-seguro, haverá 
interesse da empresa em adotar ou ampliar os sistemas de segurança, nem 
sempre considerados pelos seguradores com fatores de redução do custo do 
seguro); 
 Possibilidade de se obter uma melhor e mais rápida maneira de liquidação 
dos sinistros que venham a ocorrer; 
 Necessidade de a organização tornar mais eficazes os serviços relativos a 
identificação, analise e avaliação de riscos normalmente prestados por 
corretores e seguradores; 
 82 
 Não-existência no mercado segurador da garantia necessária para cobrir um 
determinado risco (risco não-segurável). 
 
Antes que a empresa decida adotar efetivamente o auto-seguro, é importante que 
ela observe alguns aspectos e requisitos básicos, que são os seguintes: 
 
 O risco de perda deve envolver um conjunto homogêneo de objetos 
suficientemente grande e de tal forma situado, que as perdas médias podem 
ser previstas dentro de intervalos de segurança razoavelmente estreitos. Os 
bens, objetos de risco, devem estar geograficamente dispersos, de forma a 
não estarem sujeitos à destruição simultânea por um único risco. 
 A organização deve ter suficiente vigor financeiro que lhe permita a criação 
de fundos de reserva para perdas, sem que disso resultem em dificuldades 
econômicas às suas operações normais. Portanto, o tipo de exposição a risco 
a ser auto-segurado deve envolver bens de valor financeiro relativamente 
baixo e de tal forma situados, e que não seja possível a ocorrência de perdas 
catastróficas. 
 A empresa deve estar consciente de que a administração de seu programa de 
auto-seguro compreende, além dos trabalhos permanentes e contínuos de 
identificação, analise de riscos: o investimento dos fundos de reserva, a 
manutenção de arquivos estatísticos, a liquidação e administração das perdas 
e, o que é mais importante, a adoção de medidas concretas de segurança e 
prevenção. 
 
A maioria dos programas de auto-seguro é indicado por razões econômicas. 
Dentre essas razões, podemos destacar o fato de que, como as despesas dos seguradores 
comerciais podem atingir 45% do mais bruto, variando em função do tipo de seguro e da 
própria seguradora, a economia resultante da diferença o premio puro e o premio bruto pode 
ser, em algumas circunstancias, por si só, um sério motivo para adoção do auto-seguro. 
Obviamente, seve ser considerado também que a empresa terá suas próprias 
despesas com a administração do programa de auto-seguro, as quais podem igualar, ou até 
mesmo exceder, as despesas atribuídas pelos seguradores. No entanto, o montante desta 
economia pode ser bastante significativo, dependendo da eficiência e eficácia do programa 
de auto-seguro desenvolvido. 
Apesar de que riscos podem ser transferidos ao seguro, não é necessário, nem 
mesmo conveniente, que todos sejam transferidos. Uma regra geral que parte das seguintes 
possibilidades: 
 
I. Baixa freqüência, alta gravidade; 
II. Baixa freqüência, baixa gravidade; 
III. Alta freqüência, alta gravidade; 
IV. Alta freqüência, baixa gravidade; 
 
Estabelece que somente os riscos que recaem na categoria (I) devem ser 
seriamente considerados sujeitos a transferência. 
 83 
Os riscos aplicados as demais categorias, provavelmente, devem ser retidos 
mediante auto-adoção ou auto-seguro. 
 
 
7.2) TRANSFERÊNCIA DE RISCOS 
 
Basicamente existem duas formas para uma organização transferir seus riscos: 
 
a) Sem seguro, através de contatos, acordos e outras ações; 
b) Através do seguro. 
 
No primeiro caso, a transferência normalmente é feita através de contratos 
específicos, em que ficam definidas as responsabilidades, garantias e obrigações de cada uma 
das partes. Isto é comum ocorre com contrastes importantes que, ao definirem as suas 
condições, determinaram a transferência à contratada dos riscos inerentes ao contrato. 
Este tipo de transferência aplica-se. Geralmente, a contratos de serviço de construção, 
montagens, projetos, transportes e outros. Na verdade, a maioria dos contatos contém, de 
alguma forma; a transferência de riscos de uma parte a outra, seja esta transferência 
consciente ou não. 
Nos casos de transferências conscientes, no entanto, é de suma importância que o 
gerente de riscos participe da elaboração de termos contratuais, de forma a analisar e definir 
se o custo-benefício da transferência é favorável a empresa. Por sua vez, o seguro é, com 
toda certeza, o método mais comum para a transferência dos chamados riscos puros e, em 
alguns casos, até dos riscos especulativos. 
Como já mencionamos anteriormente, no contexto da Gerência de Riscos, o 
seguro é um dos mais importantes instrumentos que a empresa tem disponível pra tratar os 
seus riscos. 
A partir do instante em que a organização decide transferir ao seguro 
determinados riscos, é que se inicia efetivamente a Administração de Seguros,a qual, como 
já discutimos anteriormente, tem na empresa uma função por si só distinta da função de 
gerenciamento de riscos. 
Para que o leitor (obviamente, aquele não familiarizado com o assunto) conheça 
os principais aspectos relativos ao seguro (como contrato, condições e tipos de seguros; 
condições para os riscos a serem seguráveis etc.), sugerimos que consulte as publicações da 
funenseg sobre o tema. 
A seguir, vamos tecer algumas considerações de ordem pratica a serem 
observadas quando da transferência de risco ao mercado segurador. 
A aquisição de seguros deve ser cuidadosamente preparada, em conjunto com o 
corretor de seguros, conforme segue: 
 
 Deverão ser efetuados os levantamentos e inspeções técnicas necessários para 
classificar os riscos que serão transferidos, e colhidas todas as informações 
que permitam a correta emissão das apólices respectivas junto a 
seguradora; 
 Deverão ser analisadas as condições dos seguros aplicáveis a cada risco a ser 
transferido, e definida a aplicação das franquias ideais, as quais deverão 
 84 
obedecer aos requisitos do programa de auto-seguro, já discutidos no item 
anterior; 
 A partir dessa análise, deve-se verificar quais as alterações que deverão ser 
feitas para melhor adaptar as condições do seguro ao risco especifico a ser 
transferido. Nem sempre tais alterações são possíveis, pois certas condições 
básicas do seguro são imutáveis. Nestes casos, a empresa devera adaptar-se às 
obrigações contratuais do seguro; 
 Deverão ser definidas corretamente, e de acordo com as condições contratuais, 
as importâncias seguradoras de cada seguro a ser realizado,assim como 
critério de atualização dessas importâncias seguradas durante o período de 
vigência previsto para o seguro. A definição correta das importâncias 
seguradas é um dos fatores mais importantes na realização de um seguro 
correto, sem o que objetivo que levou a empresa a contratá-lo não será 
atingido; 
 Por intermédio do corretor e da seguradora escolhida, deverá ser solicitada ao 
Instituto de Resseguros do Brasil – IRB – aprovação para as alterações 
possíveis, mediante aplicações de condições especiais e/ou particulares. 
Baseadas nas informações técnicas fornecidas, o IRB analisa o pedido e 
concede ou não a aprovação para as condições especiais pretendidas, e efetua 
a cotação de taxa ou premio adicional que julgar necessário para a sua 
aceitação; 
 Com base nas cotações de taxas e prêmios aplicáveis, deverá ser estabelecido 
o orçamento final dos seguros, bem como deverão ser analisados os eventuais 
financiamentos e parcelamento de prêmios; 
 Uma vez adaptados os seguros aos riscos, devidamente preparada para assumir 
suas obrigações previstas nos contratos de seguro e definido o orçamento do 
programa, as apólices deverão ser emitidas pelas seguradoras-líderes, 
previamente escolhidas. Devemos lembrar que é de grande importância que as 
apólices minuciosamente conferidas, para evitar qualquer problema numa 
eventual liquidação de sinistro. 
 
 
7.3) SEGURO OU AUTO-SEGURO 
 
Um problema freqüente para o gerente de riscos é justificar sua posição sobre o 
melhor caminho a ser seguido pela empresa para tratar os riscos que afetam, tanto em termos 
de medidas preventivas como em termos de financiamentos de riscos. 
Nos itens anteriores, foram apresentados alguns elementos que podem servir de 
subsídios e facilitar o processo de tomada de decisões, principalmente no que tange a ações 
de prevenção e controle. 
Neste item, discutiremos mais alguns desses elementos, só que voltados para os 
aspectos referentes às decisões sobre transferir para o seguro ou auto-segurar um 
determinado risco. 
Um modelo que vem sendo utilizado em vários países, com esse fim é chamado 
Modelo de Houston, apresentado a seguir. 
 
 85 
 
Para melhor entender a proposta do norte-americano David Houston, é 
importante falar primeiramente sobre o conceito de perda de oportunidade. Uma perda 
de oportunidade (ou custo de oportunidade) pode ser definida como um possível ganho 
financeiro não obtido devido à decisão de não participar de um determinado negócio. 
Consideramos a seguinte situação: uma sertã quantidade de dinheiro é aplicada num 
investimento de baixo risco (caderneta de poupança, por exemplo), o qual para uma pequena 
taxa de juros, ao invés de ser aplicada, digamos, na própria empresa, com taxas de retorna 
maiores, porém, também com maiores riscos. 
Vamos designar por (i) a porcentagem de retorno do investimento interno externo 
a empresa, e por (r) a porcentagem de retorno do capital aplicado na própria empresa. 
A diferença entre r e i representa, portanto, o custo de oportunidade do dinheiro em termos 
de ativos líquidos. Pode significar também um premio (ganho) pelo risco corrido. 
O Modelo de Houston é exatamente uma aplicação desse conceito e tem por 
objetivo auxiliar a tomada de decisões sobre a compra ou não de seguro. 
Suponhamos que um gerente de riscos deva decidir entre adoção de um alto-seguro e 
aquisição de seguro, para um período de um ano, em relação de um certo risco. Se ele optar 
pelo auto-seguro, necessitará de um fundo de reserva para perdas (F) no montante de 
$8000.000. Se, entretanto, ele adquirir seguro, o fundo será aplicado na própria empresa. O 
prêmio de seguro (P) é de $8.000. Os aqui adotados são meramente a título de exemplo. 
Suponhamos ainda que, se o fundo for aplicado na empresa, dará uma porcentagem de 
retorno (r) de 30% e, se for aplicado no mercado financeiro, o retorno (i) será de 15%. Com 
esses dados, o que deve fazer o gerente de riscos? 
O modelo proposto por Houston pode ser resumido no seguinte: 
 
 Se o gerente de riscos comprar o seguro, a posição financeira da empresa, no 
final do ano considerado, será designada por PFs e igual a: 
 
 PVLrPVLPFS 
 (1) 
 
Expressão em que VL é o valor líquido no início do ano, e os demais termos são 
os apresentados no enunciado do problema. 
 Se o gerente de riscos optar pelo auto-seguro, a posição financeira da 
empresa, nesse caso, será designado por PFAS e igual a: 
 
FiF
P
VLr
P
VLPFAS *
2
*
2







 (2) 
 
Onde a parcela P/2 representa a parcela média esperada no período (assumiu-se 
que a empresa poderá sofrer, a longo prazo, uma perda igual a 50% do prêmio do seguro). 
A diferença entre PFs e PFAS representa o que denomina valor econômico do 
seguro (V). 
Assim, se V = PFs – PFAS > 0, o gerente de riscos deverá adquirir o seguro. 
Caso contrário, isto é, se V < 0, ele deverá adotar o auto-seguro. 
Fazendo a diferença PFs – PFAS a partir das expressão (1) e (2), resulta que: 
 
 86 
 
   r
P
irFV  1*
2
*
 (3) 
 
Voltando ao problema proposto e substituindo os termos da expressão (3) temos 
que: 
 
    800.11430,01*
2
000.8
15,030,0*000.800$ V
 
 
Portanto, neste caso V > 0, o gerente de riscos pode julgar ser mais interessante 
para empresa pagar o prêmio de $8.000 e investir o fundo de $800.000 no próprio negócio da 
organização. 
Deve-se ressaltar que o modelo aqui representado é bastante útil para auxiliar uma 
organização a tomar decisões sobre o financiamento de seus riscos. No entanto, não é o único 
parâmetro a ser considerado para a retenção de riscos. Se as condições para o auto-seguro 
mencionadas anteriormente não forem satisfeitas, uma grande perda poderá liquidar o fundo 
de reserva e deixar a empresa expostas a outras perdas futuras. 
 
 
7.4) DEFINIÇÃO DENÍVEIS DE FRANQUIA 
 
O problema de determinar níveis de franquia é a grande importância nos planos de 
auto-seguro (neste coso, auto-seguro parcial), uma vez que a empresa deve correr um 
determinado risco até o limite da franquia adotada. 
Normalmente, a perda a ser assumida pela empresa é igual ao montante da 
franquia vezes o número de perdas, em um dado ano, que a franquia foi assumida. Por 
exemplo, se a franquia é de $ 1.000 por ocorrência ou evento e o número médio de eventos 
por ano é cinco, a franquia total a ser adotada pela empresa deverá ser de $ 5.000. 
Basicamente, o nível de franquia deve refletir o montante de exposição que a 
empresa está propensa a aceitar, no seu plano de auto-seguro. 
Para a determinação e seleção de franquias, podem ser adotados, respectivamente, 
dois métodos: o Modelo de Houston e a Regra do Menor Custo. 
Se a empresa decidir transferir suas perdas excedentes ao seguro, o Modelo de 
Houston também pode ser utilizado para a determinação do montante ótimo de franquia a ser 
empregada. 
Na verdade, o valor da franquia corresponde ao fundo de reserva a ser adotado 
pela empresa, conforme definido no tópico anterior. 
Assim, considerado os mesmos valores do exemplo dado e supondo que a 
empresa decidiu auto-segurar os primeiros $ 30.000 e que em decorrência disso, o prêmio de 
seguro fui reduzido para $2.000, a opção pelo seguro continuará a ser mais econômico para 
empresa? Vejamos. 
i = 0,15 e, pela nova situação, F = $ 30.000 e P = 2.000. 
Daí decorre que: 
 
 87 
 
 
    200.3$30,01*
2
000.2
01530,0*000.30$ V
 
 
Uma vez que o valor econômico do seguro resulta positivo (>0), a nova situação 
ainda é mais vantajosa para a empresa. 
Com a aplicação deste modelo, pode também se determinar à franquia mínima a 
ser adotada pela empresa; para isso, basta fazer V = 0 e obter o novo valor de F, mantendo os 
demais valores inalterados. 
No exemplo, teríamos então que a franquia (fundo de reserva) mínima é igual a: 
 
    030,01*
2
000.2
15,030,0* F
 
 
667.8$
15,0
300.1
F
 
 
Concluímos assim, para este caso, que o seguro deve ser adquirido, mesmo se a 
franquia for reduzida a um mínimo de $ 8.667. 
As análises aqui feitas permitem que os planos de auto-seguro não tenderão a ser lucrativos, 
sob as seguintes condições: 
 
 Quando as taxas de retorno de retorno de investimento na própria empresa 
são altas; 
 Quando as taxas de juros e de retorno dos investimentos, com alta liquidez, 
dos fundos de re serva, são relativamente baixas; 
 
Por outro lado, os planos de auto-seguro tenderão a ser lucrativos, quando as 
condições forem diametralmente oposta às acima enumeradas. 
A Regra do Menor Custo baseia-se na premissa de que o custo do risco é igual 
ao premio do seguro mais a perda se assumida pelo segurado em função da franquia. 
Evidentemente que o valor correspondente à franquia não será devido ao segurado, se não 
ocorrer uma perda. 
A perda possível, até o valor da franquia, portanto, necessita ser estimada, de 
forma a se conhecer o custo total. 
A regra, em termos práticos, é a de selecionar a franquia que resulte no menor 
custo total esperado (CTE), o qual é obtido da seguinte expressão: 
 
FqPCTE *
 (4) 
 
Onde: 
P = valor do premio cotado para um certo nível de franquia; 
q = freqüência esperada de eventos que ocorram em um dado ano; 
 88 
F = valor da franquia. 
 
Consideramos seguinte exemplo: 
 
Uma seguradora apresenta, para o seguro de veículos (colisão) de uma empresa, 
cotações de prêmio para várias franquias. O gerente de riscos estima que o número de 
colisões é de 25% do numero de veículos da empresa. Neste caso qual a franquia a ser 
adotada? 
Aplicando a expressão (4) para cada franquia, temos: 
 
P Q x Fi CTE 
$2.000 0,25 x $2.500 $2.625 
1.200 0,25 x 4.500 2.325 
800 0,25 x 6.500 2.425 
600 0,25 x 9.000 2.850 
 
Portanto deve ser adotada a franquia de $4.500, que corresponde ao menor CTE, 
ou seja: 
 
 CTE = $ 2.325 F = $4.500. 
A regra pode ser aplicada igualmente para seleção de outros valores de franquia, 
se as premissas ou proposições forem modificadas. O gerente de riscos pode testar a formula 
para diferentes de q, de modo a verificar qual a diferença que obterá na franquia selecionada. 
Devemos salientar que a regra que estamos aqui abordando foi, originalmente, proposta para 
seleção de franquia para o seguro de automóveis, sendo posteriormente aplicada também 
para outras modalidades de seguro. 
Para finalizar, gostaríamos de propor ao leitor o seguinte problema: uma empresa 
efetuar seguro com franquia para sua frota de veículos, recebendo do mercado segurador a 
cotação constante do quadro abaixo. 
 
FRANQUIA PRÊMIO 
$ 140 $90 
200 80 
300 70 
400 60 
 
O gerente de riscos estima que o número de colisões é igual a 30% do número de 
veículos da empresa, e que a porcentagem de perdas que atinge cada franquia é, 
respectivamente, de 100%, 90%, 70% e 60%. Considerando a regra do menor custo, qual a 
franquia a ser adotada? (resposta: deve ser adotada, a principio, a franquia de $140 ou a de 
$400). 
 
 89 
 
CAPITULO 8 
 
Fundamentos Matemáticos de Confiabilidade 
 
8.1) ÁLGEBRA BOOLEANA 
 
A álgebra Booleana foi desenvolvida pelo matemático George Boole para o 
estudo da lógica. Suas regras e expressões em símbolos matemáticos permitem aclarar e 
simplificar problemas complexos. Ela é especialmente útil onde condições podem ser 
expressas em não mais do que dois valores, tais como “”sim” ou “não”, “falso” ou 
“verdadeiro”, “alto” ou “baixo”, “0 (zero)” ou “1 (um)”, etc. 
A lógica Booleana é largamente aplicada em diversas áreas como, por exemplo, a 
de computadores e outras montagens eletromecânicas, que incorporam um grande número de 
circuitos “liga-desliga”. É também utilizada em análises de probabilidade, em estudos que 
envolvem decisões, e mais recentemente, em Segurança de Sistemas. 
A principal diferença entre as várias disciplinas que se utilizam à Álgebra 
Booleana está na notação e na simbologia. Neste capítulo, apresentaremos somente os 
elementos básicos e as expressões comumente encontradas nas análises de segurança. 
Da chamada “Matemática Moderna” temos que um conjunto pode ser uma 
coleção de elementos, condições, eventos, símbolos, idéias ou identidades matemáticas. A 
totalidade de um conjunto será aqui expressa pelo número 1 (um), e um conjunto vazio pelo 
número 0 (zero). 
Os números 1 e 0 não são valores quantitativos: 1 + 1 não é igual a 2. Eles são 
meramente símbolos. Não há valores intermediários entre os dois como nos cálculos de 
probabilidade. 
Com o desenvolvimento da lógica Booleana para sistemas eletrônicos, foi 
introduzido o conceito de módulos ou comportas. Seus símbolos são usados em diagramas 
lógicos para indicar os inter-relacionamentos em circuitos. Estes circuitos empregam 
numerosos dispositivos bi-estáveis ou de dois estados, que podem ser considerados abertos 
ou fechados, ligados ou desligados. 
As tabelas de verdades são recursos para indicar quando uma condição 
específica resultará uma saída, quando qualquer combinação de entradas estará presente. 
Como vimos até aqui, o símbolo 1 indica que uma entrada ou saída está ou estará presente, e 
o 0 indica que não está ou não estará presente. As tabelas de verdades, mostradas a seguir, 
são para um módulo de duas entradas. Módulos com mais entradas são mais freqüentes, 
diferindo apenas em complexidade. 
 
 
 
 
 
 
 
 
 
 90 
 
 
 
 
Resumo das portas lógicas91 
 
 
 
 
 
 
 92 
 
 
 
 
 
8.2) CONFIABILIDADE 
 
Confiabilidade (R) é a probabilidade de um equipamento ou sistema desempenhar 
satisfatoriamente suas funções específicas, por um período de tempo, sob um dado conjunto 
de condições de operação. A confiabilidade difere do controle de qualidade no sentido de que 
este independe do tempo, enquanto que ela é uma medida da qualidade dependente do tempo. 
A confiabilidade pode ser considerada como controle de qualidade mais tempo. 
A probabilidade de falha (Q), até certa data t, é denominada “não confiabilidade”, 
e é o complemento de R (expresso em decimal); isto é: 
 
Q = 1 – R 
 
Por exemplo: 
 
Se a probabilidade de falha de um sistema é de 5%, ou seja, Q = 0,05 a 
probabilidade de não haver falha (confiabilidade) será: R = 1 – 0,05 = 0,95 ou 95%. 
A freqüência com que as falhas ocorrem, num certo intervalo de tempo, é 
chamado taxa de falha ( _ ) e é medida pelo número de falhas para cada hora de operação ou 
número de operações do sistema. Por exemplo: quatro falhas em 1.000 horas de operação 
representa uma taxa de falha de 0,004 por hora. O recíproco da taxa de falha, ou seja, 1/ λ, 
 93 
denomina se Tempo Médio Entre Falhas (TMEF). No exemplo anterior, TMEF = 250 
horas. 
As falhas que ocorrem em equipamentos e sistemas são de três tipos: 
 
A) Falhas prematuras: ocorrem durante o período de depuração ou “queima” 
devido a montagens pobres ou fracas, ou componentes abaixo do padrão, que 
falham logo depois de postos em funcionamento. Esses componentes vão sendo 
substituídos gradualmente, verificando-se a diminuição da taxa de falha 
prematura, até a taxa de falha total atingir um nível praticamente constante. Este 
nível é atribuído às falhas casuais. 
 
B) Falhas casuais: resultam de causas complexas, incontroláveis e, algumas 
vezes, desconhecidas. O período durante o qual as falhas são devidas 
principalmente a falhas causais, é a vida útil do componente ou sistema. 
 
C) Falhas por desgaste: inicia-se quando os componentes tenham ultrapassado 
seus períodos de vida útil. A taxa de falha aumenta rapidamente devido ao tempo 
e a algumas falhas causais. 
 
Tracemos agora a curva da taxa de falha em função do tempo, de um grande 
número de componentes similares. Obtemos a chamada “Curva da Banheira”, que está 
representada a seguir: 
 
 
 
Geralmente as falhas prematuras não são consideradas na análise de 
confiabilidade, porque se admite que o equipamento foi “depurado”, e que as peças iniciais 
defeituosos foram substituídas. Para a maioria dos equipamentos, de qualquer complexidade, 
200 horas é um período considerado seguro para que haja a depuração. As falhas casuais são 
distribuídas exponencialmente, com taxa de falha e reposição constantes. As falhas por 
desgaste distribuem-se normalmente ou log-normalmente, com um crescimento súbito da 
taxa de falha nesse período. 
 
 94 
 
Cálculo da Confiabilidade 
 
Verificou-se que um número relativamente pequeno de funções satisfaz à maioria 
das necessidades na determinação da confiabilidade. As distribuições normais (taxa de falha 
crescente) e exponencial (taxa de falha constante) são as de mais ampla aplicabilidade. 
Nesse tópico, trataremos somente da distribuição exponencial, por ser ela 
aplicável a sistemas e equipamentos complexos, e a sistemas onde há reposição dos 
componentes que falharam. Entretanto, lembramos ao leitor que, apesar das distribuições 
mencionadas terem aplicabilidade universal, não devem ser aplicadas em todos os casos. 
Quando em dúvida, deve-se empregar os processos padrões da Estatística para determinar a 
distribuição. 
De acordo com o conceito de taxa de falha constante, durante a vida útil de um 
grande número de componentes similares, aproximadamente o mesmo número de falhas 
continuará a ocorrer, em iguais intervalos de tempo, se as peças que falham são respostas 
continuamente. A expressão matemática indica a probabilidade (ou confiabilidade) com que 
os componentes operarão, num sistema de taxa de falha constante, até a data t, sem falhas, é 
a Lei Exponencial de Confiabilidade, dada por: 
 
T
t
t eeR

  . 
 
Onde: 
e = 2,718 
λ = taxa de falha 
t = tempo de operação 
T = tempo médio entre falhas (TMEF) 
 
A proporção t/T é de extrema importância: quando t = T (seja para 1 minuto, 
como para 10.000 horas, por exemplo) a confiabilidade será: R = e
-1
 = 0,368 (36,8%). Para 
aumentá-la é necessário que a proporção t/T seja diminuída. Quando o TMEF for aumentado, 
a taxa de falha (que é recíproco) será reduzida. 
 
Consideramos, por exemplo: 
 
TMEF = T = 0,25 x 10
5
 horas 
t = 1.000 horas 
e = 2,718 
 
temos: 
 
 95 
 
 
Sistemas de componentes em série 
 
Consideremos agora um equipamento ou sistema composto de n componentes em 
série, ou seja, a falha de qualquer um dos componentes significa a quebra do equipamento do 
sistema. Admitimos que a falha de um componente seja independente da falha de qualquer 
outro. 
Sejam: ri (i= 1,2,3, ...n), as funções de confiabilidade dos componentes; e, R, a 
função de confiabilidade do equipamento. 
Demonstra-se que: 
 
nrrrrrR *........**** 4321
 
 
Esta expressão é chamada Lei do Produto de Confiabilidade. 
Vejamos a seguir, através de um exemplo, o efeito da Lei do Produto: 
 
Seja um sistema de 5 componentes em série, e cada um deles com confiabilidade 
de 90% (ri = 0,90). A confiabilidade total desse sistema será: 
 
R = 0,90
5
 = 0,59 (59%) 
 
 
 
Outro sistema, de 25 componentes em série, e cada componente também com 
confiabilidade igual a 90% (ri = 0,90), teria uma confiabilidade total de apenas 7% 
(R=0,9025 = 0,07). 
Em resumo, a confiabilidade de um sistema depende das confiabilidades 
individuais de seus componentes. Se a operação de um sistema requer que todos os 
componentes funcionem satisfatoriamente ao mesmo tempo, temos um sistema em série. 
Nesse sistema, a confiabilidade total é igual ao produto das confiabilidades individuais dos 
componentes. 
 96 
Sistemas eletrônicos complexos são constituídos de milhares de componentes. 
Para manter a confiabilidade tão alta quanto possível, e para minimizar o efeito da Lei do 
Produto, são empregados recursos, tais como: o uso de componentes com confiabilidade 
extremamente alta e sistemas de redundância paralela, entre outros. 
O aumento, mesmo pequeno, das confiabilidades individuais, em sistemas onde 
há numerosos componentes, pode aumentar consideravelmente a confiabilidade total. Por 
exemplo: uma parte de um equipamento tem 40 componentes em série, cada um tendo uma 
confiabilidade de 0,97; a confiabilidade total é: R = 0,97
40
 = 0,29. Aumentando-se cada 
confiabilidade individual para 0,98, a confiabilidade total eleva-se a: R = 0,98
40
 = 0,45 
(acréscimo de 55,2%). Entretanto, o custo de cada peça com confiabilidade mais alta pode 
ser de 600 a 1.500 por cento maior. 
 
Sistemas de redundância paralela 
 
Redundância é a existência de mais de um meio de execução de uma determinada 
tarefa. De modo geral, todos os meios precisam falhar, antes da quebra do sistema. Por 
exemplo, consideremos um sistema simples de 2 componentes em paralelo: 
 
 
 
A1 com confiabilidade r1 = 0,90; e, 
A2 com confiabilidade r2 = 0,80. 
 
As respectivas probabilidades de falha são: 
 
A1 : q1 = 1 – r1 = 1 – 0,90 = 0,10 
A2 : q2 = 1 – r2 = 1 – 0,80 = 0,20 
 
A probabilidade de falha total do sistema será: 
 
21 *qqQ 
 
 
Portanto, Q = 0,10 x 0,20 = 0,02; e a confiabilidade total, ou probabilidade de não haver 
falha, é:R = 1 - Q = 0,98 
 
que é maior do que as confiabilidades individuais dos componentes (r1 = 0,90 e r2 =0,80) 
agindo sozinhos. 
De uma maneira geral, se tivermos m componentes em paralelo, a probabilidade 
de falha total de um sistema, até a data t, será: 
 
 97 
Q=q1* q2 *q3*qm 
 
a probabilidade de não falhar (confiabilidade), até t, é: 
 
R= 1- Q = 1 – (q1* q2 *q3*qm) 
 
Portanto, a redundância paralela é uma ferramenta de projeto para aumentar a 
confiabilidade de um sistema ou equipamento. Para se conservar suas vantagens, devem 
existir recursos que detectem os componentes que falham, e os meios que garantam a 
substituição desses componentes o mais breve possível. Os sistemas de redundância paralela 
apresentam, entretanto, algumas desvantagens: aumentam o custo, peso, volume, 
complexidade e manutenção. 
 
Exercícios de grupamentos em série e paralelo: 
 
1) Calcular a confiabilidade RAC do sistema: 
 
 
 
2) Verificar que a confiabilidade do sistema abaixo aumenta utilizando-se a redundância 
paralela: 
 
 
 98 
 
BIBLIOGRAFIA CONSULTADA 
 
AGUIAR, Silvio. Integração das Ferramentas da Qualidade ao PDCA e ao Programa Seis 
Sigma. Belo Horizonte: Editora de Desenvolvimento Gerencial, 2002. 
 
CAMARGO, C. Celso de Brasil. Métodos probabilísticos de Energia Elétrica: algumas 
aplicações. Florianópolis: Ed. Da UFSC, 1987. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 27, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 28, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 29, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 30, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 31, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 32, 1994. 
 
BASSETTO, Edson Luis. FINOCCHIO, Marco Antonio Ferreira. Apostila: Gerência de 
Riscos. Cornélio Procópio: Publicação Interna UTFPR, 2006. 
 
FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. Cornélio 
Procópio: Publicação Interna CEFET – PR/CP, 1999. 
 
FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. Cornélio 
Procópio: Publicação Interna UTFPR, 2005. 
 
GREENE, Mark R. Decision analysis for risk management, a primer on quantitatve methods. 
New York: Risk and insurance Managemente Society, 1977. 
 
HEAD, George L. El proceso del manejo de riesgo. New York: Risk and insurance 
Managemente Society, 1984.