Embed Size (px)
Citation preview
UNIC - AEROPORTO
CURSO DE ESPECIALIZAÇÃO EM ENGENHARIA DE SEGURANÇA DO TRABALHO
PROF. ENG. ESP. ALEXANDRE VOLKMANN ULTRAMARI
GERÊNCIA DE RISCOS
SINOP – MT
Definição
É a ciência, a arte e a função que visa a proteção
dos recursos humanos, materiais e financeiros de uma
empresa quer através da eliminação ou redução de
seus riscos, quer através do financiamento dos riscos
remanescentes, conforme seja economicamente mais
viável.
Capítulo 1 – Natureza dos Riscos empresariais, Riscos Puros e
Riscos Especulativos.
1.1. Definição de Risco
Risco é a incerteza de ocorrência de um evento.
1.2. Os Riscos Empresariais e a Gerência de Riscos
“Acidentes ocorrem desde tempos imemoriais, e as pessoas têm se envolvido,
tendo em vista a sua prevenção por períodos comparavelmente extensos.
Lamentavelmente, apesar do assunto ter sido discutido continuamente, a terminologia
relacionada ainda carece de clareza e precisão. Do ponto de vista técnico, é
particularmente frustrante tal condição, pois da mesma resultam desvios e vícios de
comunicação e compreensão, que podem se adicionar às dificuldades, na resolução de
problemas. Qualquer discussão sobre Riscos deve ser precedida de uma explicação da
terminologia, seu sentido preciso e inter-relacionamento” (Willie Hammer).
A colocação de Hammer nos obriga a refletir e a buscar uma proposição que
preencha nossas necessidades de uma terminologia consistente e que reflita a filosofia e
o enfoque sobre Gerência de Riscos que iremos adotar ao longo deste curso.
É conveniente ressaltar alguns termos fundamentais, comumente empregados na
Gerência de Riscos:
1. Explicação dos temos fundamentais.
Risk (Hazard) – uma ou mais condições de uma variável com o potencial
necessário para causar danos. Esses danos podem ser entendidos como
lesões a pessoas, danos a equipamentos ou estruturas, perda de material em
processo, ou redução da capacidade de desempenho de uma função pré-
determinada. Havendo um risco, persistem as possibilidades de efeitos
adversos.
Risco (Risk) – expressa uma probabilidade de possíveis danos dentro de
um período específico de tempo ou número de ciclos operacionais. Pode
ser indicado pela probabilidade de um acidente multiplicada pelo dano em
dinheiro, vidas ou unidades operacionais.
Risco (Risk) – pode significar ainda:
- a incerteza quanto à ocorrência de um determinado evento
(acidente);
- a chance de perda ou perdas que uma empresa pode sofrer por
causa de um acidente ou série de acidentes.
Segurança – é freqüentemente definida como “isenção de riscos”.
Entretanto, é praticamente impossível a eliminação completa de todos os
riscos. Segurança é, portanto, um compromisso acerca de uma relativa
proteção da exposição a riscos. É o antônimo de perigo.
Perigo – expressa uma exposição relativa a um risco, que favorece a sua
materialização em danos.
Um risco pode estar presente, mas pode haver baixo nível de perigo, devido às
precauções tomadas. Assim, por exemplo, um banco de transformadores de alta
tensão possui um risco inerente de eletrocussão, uma vez que esteja energizado.
Há um alto nível de perigo se o banco estiver desprotegido, no meio de uma área
com pessoas. O mesmo risco estará presente quando os transformadores
estiverem trancados num cubículo sob o piso. Entretanto, o perigo agora será
mínimo para o pessoal. Vários outros exemplos podem ser criados, mostrando
como os níveis de perigo diferem ainda que o risco se mantenha o mesmo.
Dano – é a gravidade da perda humana, material ou financeira que pode
resultar se o controle sobre um risco é perdido.
Um operário desprotegido pode cair de uma viga a 3 metros de altura, resultando
um dano físico, por exemplo, uma fratura na perna. Se a viga estivesse colocada a
90 metros de altura, ele com boa certeza estaria morto. O risco (possibilidade) e o
perigo (exposição) de queda são os mesmos, entretanto, a diferença reside apenas
na gravidade do dano que poderia ocorrer com a queda.
Causa – é a origem de caráter humano ou material relacionada com o
evento catastrófico (acidente), pela materialização de um risco, resultando
danos.
Perda – é o prejuízo sofrido por uma organização, sem garantia de
ressarcimento por Seguro ou por outros meios.
Sinistro – é o prejuízo sofrido por uma organização, com garantia de
ressarcimento por Seguro ou por outros meios.
OBS.: Na presente coletânea, empregaremos praticamente só o termo
“perda” para designar o prejuízo, ou eventual prejuízo, sofrido por uma
empresa, independentemente da existência ou não da garantia de
ressarcimento.
Incidente – qualquer evento ou fato negativo com potencial para provocar
danos. É também chamado “quase-acidente”: situação em que não há
danos macroscópicos.
Para facilitar o entendimento desses termos básicos, vamos adotar os seguintes
esquemas de referência:
(perigo) ExposiçãoRisco
Incidente
Causa Fato Efeito
Origemmaterial
humana Acidente
sfinanceiro
materiais
humanos
Danos
TERMINOLOGIA
RISCO → uma condição ( de uma variável ) com potencial para causar danos –
“HAZARD”
SITUAÇÃO RISCO VARIÁVEL CONDIÇÃO
TRABALHO COM
CHAPAS
AQUECIDAS
QUEIMADURAS
TEMPERATURA
DA CHAPA
TEMPERATURA
DA CHAPA
MUITO MAIOR
QUE A
TEMPERATURA
DA PELE
TRABALHO
EM
ALTURA
QUEDA FATAL
ALTURA
DE
TRABALHO
ALTURA DE
TRABALHO
MUITO MAIOR
QUE A ALTURA
DO INDIVÍDUO
TRABALHO EM
AMBIENTE
RUIDOSO
REDUÇÃO DA
CAPACIDADE
AUDITIVA
DOSE DE RUÍDO
DIÁRIA
DOSE MAIOR QUE
1% OU 100%
RISCO → probabilidade de possíveis danos dentro de um período de tempo
definido ou ciclos operacionais – “RISK”
TERMINOLOGIA
PERIGO → parâmetro que caracteriza uma relativa exposição a um risco. É a
exposição que favorece a “materialização” do risco como causa de um fato catastrófico
(acidente) e dos danos resultantes – “DANGER”
De maneira figurativa:
Situação: trabalho em desengraxamento de peças com solventes.
PERIGO = CONTROLE DE MEDIDAS
RISCO
Risco: intoxicação.
MEDIDAS DE CONTROLE QUANTO À EXPOSIÇÃO AO
RISCO
PERIGO
Nenhuma Alto
Uso de mascara filtrante (EPI) Moderado a baixo
Limitação do tempo de exposição (se viável) Baixo
Automatização do processo (não há necessidade do operador no
recinto)
Praticamente nulo
1.3. Técnicas de Análise de Riscos
A análise de riscos basicamente apresenta-se em 5 técnicas: Série de Riscos – SR,
Análise Preliminar de Riscos – APR, Análise de Modos de Falha e Efeitos –AMFE,
Técnicas de Incidentes Críticos – TIC e, ainda a Análise de Árvores de Falhas – AAF.
A tabela 1 mostra, para cada uma das técnicas, a forma de análise dos resultados,
em quais fases de utilização no sistema que ela é feita, os benefícios que ela pode
proporcionar e ainda, a característica particular de cada uma das técnicas.
TÉCNICAS DE ANÁLISE DE RISCOS
Tabela 1 – Técnicas de Análise de Riscos
TÉCNICA
FORMA DE
ANÁLISE E
RESULTADOS
FASE DE
UTILIZAÇÃO NO
SISTEMA
BENEFÍCIOS
OBSERVAÇÕES/
CARACTERÍSTICA
S
SÉRIE DE
RISCOS (SR)
QUALITATIVA
TODAS
ANÁLISE DE
ACIDENTES –
ANÁLISE “A
PRIORI”
ANÁLISE DE
SEQÜÊNCIAS DE
FATOS E SUA
PREVENÇÃO
ANÁLISE
PRELIMINAR DE
RISCOS (*)
(APR)
QUALITATIVA
PROJETO E DESENVOLVIMENT
O INICIAL
ANÁLISE DE
RISCOS E
MEDIDAS PREVENTIVAS
ANTES DA FASE
OPERACIONAL
ÚTIL EM
QUALQUER FASE
COMO “CHECK” DE RISCOS EM
GERAL
ANÁLISE DE
MODOS DE
FALHA E
EFEITOS
(AMFE)
QUALITATIVA
E
QUANTITATIV
A
TODAS
ANÁLISE E
PREVENÇÃO DE
RISCOS
ASSOCIADOS
COM
EQUIPAMENTOS-
CONFIABILIDAD
E
DE GRANDE
UTILIDADE PARA
A ASSOCIAÇÃO
“MANUTENÇÃO –
PREVENÇÃO DE
ACIDENTES”
TÉCNICA
DE
INCIDENTES
CRÍTICOS
(TIC)
QUALITATIVA
TODAS
DETECÇÃO DE
INCIDENTES
CRÍTICOS
(RISCOS)
APLICABILIDADE
SIMPLES/FLEXIBI-
LIDADE
ANÁLISE DE
ÁRVORES
DE FALHAS
(AAF)
QUALITATIVA
E
QUANTITATIV
A
TODAS
ANÁLISE E
PREVENÇÃO DE
QUALQUER
EVENTO
INDESEJÁVEL –
DET. DE PROBABILIDADE
DE OCORRÊNCIA
A MAIOR PARTE
DOS BENEFÍCIOS
PODE SER
CONSEGUIDA
APENAS COM A
ANÁLISE QUALITATIVA
(*) Idem para o “Estudo de Operabilidade e Riscos (HAZOP)”
Capítulo 2 – Conceituação de Segurança e Sistema
2. Conceituação de Segurança
2.1. Segurança (Geral)
É a garantia de um estado de bem estar físico e mental traduzido por saúde,
paz e harmonia.
2.2. Segurança do Trabalho
É a garantia de um estado satisfatório de bem estar físico e mental do
empregado, no trabalho para a empresa e se possível, fora do ambiente dela (em
viagem de trabalho, no lar, no lazer, etc.)
2.3. Segurança do trabalho
É a parte do planejamento, organização, controle e execução do trabalho.
Que objetiva reduzir permanentemente as probabilidades de ocorrência de
acidentes (parte de administração com objetivo de reduzir permanentemente os
riscos).
2.4. Linha de Atuação para Atingir a Segurança
1.º) Administração correta (consciente):
- com pessoas capazes;
- com planejamento, organização e métodos eficazes e eficientes;
- com supervisão atuante (consciente);
- que acredite em segurança (e no trabalho);
- que apóie a segurança ( e o trabalho).
2.º) Conscientização dos empregados (e patrões) quanto a segurança (e ao
trabalho) “Quando a pessoa acredita naquilo que faz, ela se torna mais
produtiva e feliz”.
3.º) Atuação na área de risco:
- Identificação de riscos;
- Eliminação de riscos;
- Controle de riscos;
- Proteção do trabalhador (EPC, EPI, Lay-out, etc.)
4.º) Atendimento de acidentados:
- Com 1.ºs socorros;
- Médico-hospitalar;
- Psicológico;
- Social.
2.5. Como Fazer Segurança na Área de Risco
Inspeção de segurança
1.º) Como prevenção
Análise de risco – Métodos de Trabalho
Investigação de acidente
2.º) Como correção
Análise de acidentes
Capítulo 3 – Identificação de Riscos: Inspeção de Segurança, Investigação e
Análise de Acidentes, “Técnicas de Incidentes Críticos”.
Conceitos e Definições
Serão adotados os seguintes conceitos e definições.
ACIDENTE DO TRABALHO ou, simplesmente, ACIDENTE é a ocorrência
imprevista e indesejável, instantânea ou não, relacionada como o exercício do trabalho,
que provoca lesão pessoal ou de que decorre risco próximo ou remoto dessa lesão.
ACIDENTE SEM LESÃO é o acidente que não causa lesão pessoal.
ACIDENTE DE TRAJETO é o acidente sofrido pelo empregado no percurso da
residência para o trabalho ou deste para aquela.
ACIDENTE IMPESSOAL é aquele cuja caracterização independe de existir acidentado.
ACIDENTE INICIAL é o acidente impessoal desencadeador de um ou mais acidentes.
ESPÉCIE DE ACIDENTE IMPESSOAL ou, simplesmente, ESPÉCIE é a
caracterização da ocorrência eventual de que resultou ou poderia ter resultado lesão
pessoal.
ACIDENTE PESSOAL é aquele cuja caracterização depende de existir acidentado.
TIPO DE ACIDENTE PESSOAL ou, simplesmente, TIPO é a caracterização da
maneira pela qual a fonte da lesão causou a lesão.
AGENTE DO ACIDENTE ou, simplesmente, AGENTE é a coisa, substância ou
ambiente que, sendo inerente à condição de insegurança, tenha provocado o acidente.
FONTE DA LESÃO é a coisa, substância, energia ou movimento do corpo que
diretamente provocou a lesão.
CAUSAS DO ACIDENTE
FATOR PESSOAL DE INSEGURANÇA ou, simplesmente, FATOR PESSOAL é a
causa relativa ao comportamento humano, que leva à prática do ato inseguro.
ATO INSEGURO é o ato que contrariando preceito de segurança, pode causar ou
favorecer a ocorrência de acidente.
CONDIÇÃO AMBIENTE DE INSEGURANÇA ou, simplesmente, CONDIÇÃO
AMBIENTE é a condição do meio, que causou o acidente ou contribuiu para a sua
ocorrência.
Nota – O adjetivo ambiente inclui, aqui, tudo o que se refere ao meio, desde a
atmosfera do local de trabalho até as instalações, equipamentos, substâncias utilizadas e
métodos de trabalho empregados.
CONSEQÜÊNCIA DO ACIDENTE
LESÃO PESSOAL ou, simplesmente, LESÃO é qualquer dano sofrido pelo organismo
humano, como conseqüência de acidente do trabalho.
NATUREZA DA LESÃO é a expressão que identifica a lesão, segundo suas
características principais.
LOCALIZAÇÃO DA LESÃO é a indicação da sede da lesão.
Nota – É preciso ficar claro que a “localização da lesão” deve corresponder à “natureza
da lesão” indicada e não a última subordinar-se à determinação da primeira. Em dúvida,
indicar primeiro a “natureza da lesão”.
LESÃO IMEDIATA é a lesão que se verifica imediatamente após a ocorrência do
acidente.
LESÃO MEDIATA (TARDIA) é a lesão que não se verifica imediatamente após a
exposição à fonte da lesão.
Nota 1 – A lesão mediata que constituir entidade nosológica definida, será considerada
doença do trabalho (doença profissional).
Nota 2 – Deve admitir-se, no caso de ser a lesão uma doença do trabalho, a
preexistência de uma “ocorrência ou exposição contínua ou intermitente” de natureza
acidental que será registrada, nas estatísticas, como acidente.
MORTE é a cessação da capacidade de trabalho pela perda da vida, independentemente
do tempo decorrido desde a lesão.
LESÃO COM PERDA DE TEMPO OU LESÃO INCAPACITANTE é a lesão pessoal
que impede o acidentado de voltar ao trabalho no dia imediato ao do acidente ou de que
resulte incapacidade permanente.
Nota – Esta lesão provoca morte, incapacidade permanente total, incapacidade
permanente parcial ou incapacidade temporária total.
LESÃO SEM PERDA DE TEMPO é a lesão pessoal que não impede o acidentado de
voltar ao trabalho no dia imediato ao do acidente, desde que não haja incapacidade
permanente.
Nota 1 – Esta lesão não provocando a morte, incapacidade permanente total ou parcial
ou incapacidade temporária total, exige, no entanto, primeiros socorros ou socorros
médicos de urgência.
Nota 2 – Devem ser evitadas as expressões “acidente com perda tempo” e “acidente sem
perda de tempo”, usadas impropriamente para significar, respectivamente, “lesão com
perda de tempo” e “lesão sem perda de tempo”.
ACIDENTADO é a vítima de lesão pessoal.
Nota – É de toda conveniência não se referir a “acidente”, quando se desejar fazer
referência à “acidentado”.
INCAPACIDADE PERMANENTE TOTAL é a perda total da capacidade de trabalho,
em caráter permanente, exclusive a morte.
Nota – Esta incapacidade corresponde à lesão que, não provocando a morte,
impossibilita o acidentado, permanentemente, de exercer ocupação remunerada ou da
qual decorre a perda ou a perda total do uso dos seguintes elementos:
a) ambos os olhos;
b) um olho e uma das mãos ou, um olho e um pé;
c) ambas as mãos ou ambos os pés ou uma das mãos e um pé.
INCAPACIDADE PERMANENTE PARCIAL é a redução parcial da capacidade de
trabalho, em caráter permanente.
Nota 1 – Esta incapacidade corresponde à lesão que, não provocando morte ou
incapacidade permanente total, é causa de perda de qualquer membro ou parte do corpo,
perda total do uso desse membro ou parte do corpo, ou qualquer redução permanente de
função orgânica.
Nota 2 – A Vítima desse tipo de incapacidade é incluída na estatística de acidentados
com “lesões com perda de tempo”, mesmo quando havendo dias a debitar não haja dias
perdidos a considerar.
Nota 3 – Não devem ser consideradas como causadoras de incapacidade permanente
parcial, mas de incapacidade temporária total ou inexistência de incapacidade (caso de
lesões sem perda de tempo) as seguintes lesões:
- hérnia inguinal, se reparada; 1
- perda de unha;
- perda da ponta do dedo ou artelho, sem atingir o osso;
- perda de dente;
- desfiguramento;
- fratura, distensão, torção que não tenha por resultado limitação
permanente de movimento ou função normal da parte atingida.
INCAPACIDADE TEMPORÁRIA TOTAL é a perda total da capacidade de trabalho
de que resulta um ou mais dias perdidos, excetuados a morte, a incapacidade
permanente parcial e a incapacidade permanente total.
Nota 1 – Permanecendo o acidentado afastado de sua atividade por mais de um ano, a
incapacidade temporária será automaticamente considerada permanente, sendo
computado o tempo de 360 dias.
Nota 2 – A incapacidade temporária parcial não causa afastamento do acidentado,
correspondendo, portanto, a lesão sem perda de tempo.
1 A hérnia inguinal, enquanto não reparada, deve ser considerada como causadora de incapacidade
permanente parcial, debitando-se, em princípio, 50 dias. Será reclassificada como causadora de
incapacidade temporária total após reparada, sendo o tempo debitado substituído pelo número de dias
realmente perdidos.
TEMPO COMPUTADO é o tempo contado em “dias perdidos por incapacidade
temporária total” e “dias debitados por morte ou incapacidade permanente total ou
parcial”.
PREJUÍZO MATERIAL é o prejuízo decorrente de danos materiais e outros ônus
resultantes de acidente do trabalho.
EXPOSIÇÃO AO RISCO DE ACIDENTE ou, simplesmente, EXPOSIÇAO AO
RISCO é o somatório dos tempos durante os quais cada empregado fica à disposição do
empregador (este somatório é expresso em horas-homem).
EMPREGADO é, para efeito do cálculo da exposição ao risco, qualquer pessoa com
compromisso de prestação de serviço na área de trabalho considerada, incluídos
dirigentes, gerentes e, até, os que trabalham por conta própria (autônomos).
Nota – No caso de mão-de-obra subcontratada (de firmas empreiteiras, por exemplo), a
exposição ao risco, calculada com base nos empregados da empreiteira, deve ser
considerada nas estatísticas desta última, o que não impede, contudo, que as empresas,
entidades ou estabelecimentos que utilizam a subcontratação façam o registro dessa
exposição nas suas estatísticas. Deverão, nesse caso, apresentar esse registro em
separado.
ANÁLISE DO ACIDENTE E ESTATÍSTICAS DE ACIDENTES
ANÁLISE DO ACIDENTE é o estudo do acidente para a pesquisa de causas,
circunstâncias e conseqüências.
ESTATÍSTICAS DE ACIDENTES são os conjuntos de números relativos à ocorrência
de acidentes, devidamente classificados.
COMUNICAÇÃO DE ACIDENTE é o aviso formal que se dá aos órgãos interessados,
quando da ocorrência de acidente.
COMUNICAÇÕES PARA FINS LEGAIS são quaisquer comunicações de acidentes
emitidas para atender a exigências da legislação em vigor como, por exemplo, a
destinada ao órgão oficial de previdência.
COMUNICAÇÕES INTERNAS PARA FINS DE REGISTRO são as comunicações de
acidente que se fazem, com a finalidade precípua de possibilitar o seu registro.
REGISTRO DE ACIDENTE é o registro metódico e pormenorizado, em formulário
próprio, de informações e de dados de um acidente, necessários ao estudo e à análise de
suas causas, circunstâncias e conseqüências.
REGISTRO DE ACIDENTADO é o registro metódico pormenorizado, em formulário
individual, de informações e de dados relativos a um acidentado, necessários ao estudo
e à análise das causas, circunstâncias e conseqüências do acidente.
FORMULÁRIOS PARA REGISTRO, ESTATÍSTICAS E ANÁLISE DE ACIDENTES
são formulários destinados ao registro individual ou coletivo de dados relativos a
acidentes ocorridos nos diversos setores de trabalho de uma empresa, entidade ou
estabelecimento e respectivos acidentados, preparados de modo a permitir a elaboração
de estatísticas e análise dos acidentes, com vistas à sua prevenção.
São formulários para estatísticas e análise de acidentes, entre outros, os referentes a:
- Comunicação e investigação de Acidentes;
- Comunicação de Acidentados;
- Resumo Mensal de Acidentados.
CADASTRO DE ACIDENTES é o conjunto de informações e de dados relativos aos
acidentes ocorridos, organizados de modo a facilitar os trabalhos estatísticos e de
análise.
3.4. Condições Gerais
AVALIAÇÃO DA FREQÜÊNCIA E DA GRAVIDADE ― A avaliação da freqüência
e da gravidade far-se-á em função dos seguintes elementos:
a) número de acidentes ou acidentados;
b) horas-homem de exposição ao risco;
c) dias perdidos;
d) dias debitados;
CÁLCULO DE HORAS-HOMEM DE EXPOSIÇÃO AO RISCO ou, simplesmente,
CÁLCULO DE HORAS-HOMEM ― As horas-homem podem ser calculadas como
segue:
As HORAS-HOMEM são calculadas pelo somatório das horas de trabalho efetivo de
cada empregado.
Nota – Horas-homem, em um certo período, se todos trabalham o mesmo número de
horas, é o produto de número de homens pelo número de horas. Vinte e cinco homens
trabalhando, cada um, 200 horas por mês, totalizam 5.000 horas-homem. Quando o
número de horas trabalhadas varia de grupo para grupo, calculam-se os vários produtos,
que serão somados para obtenção do resultado final. Vinte e cinco homens, dos quais
dezoito trabalham, cada um, 200 horas por mês, quatro trabalham 182 e três, apenas,
160, totalizam 4808 horas-homem:
18 x 200 = 3600
4 x 182 = 728
3 x 160 = 480
4.808
HORAS DE EXPOSIÇÃO AO RISCO – As horas de exposição, sempre que possível,
serão extraídas das folhas de pagamento ou registros de ponto, consideradas apenas às
horas trabalhadas, inclusive as extraordinárias.
HORAS ESTIMADAS DE EXPOSIÇÃO AO RISCO – Quando não se puder
determinar o total de horas realmente trabalhadas, elas deverão ser estimadas
multiplicando-se o total de dias de trabalho pela média do número de horas trabalhadas
por dia:
Nota 1 – Se o número de horas trabalhadas por dia diferir de setor para setor, deve-se
fazer uma estimativa para cada um deles e somar os números resultantes, a fim de obter
o total de horas-homem, incluindo-se nessa estimativa as horas extraordinárias. Na
impossibilidade absoluta de se conseguir o total na forma anteriormente citada e na
necessidade imperiosa de obter-se índice anual comparável, que reflita a situação do
risco da empresa, arbitrar-se-á em 2.000 horas-homem anuais a exposição ao risco para
cada empregado.
Nota 2 – Se as horas-homem forem obtidas por estimativa, deve-se indicar a forma pela
qual foi realizada essa estimativa.
HORAS NÃO TRABALHADAS – As horas pagas, porém não realmente trabalhadas,
sejam reais ou estimadas, tais como as relativas a férias, licenças para tratamento de
saúde, feriados, dias de folga, gala, luto, convocações oficiais, etc., não devem ser
incluídas no total de horas trabalhadas. Os números finais devem representar, o mais
aproximadamente possível, as horas realmente trabalhadas, isto é, horas de exposição ao
risco.
HORAS DE TRABALHO DE EMPREGADO RESIDENTE EM PROPRIEDADE DA
EMPRESA – Só devem ser computadas as horas durante as quais o empregado estiver
realmente em serviço.
HORAS DE TRABALHO DE EMPREGADO COM HORÁRIO DE TRABALHO
NÃO DEFINIDO – Para dirigente, viajante ou qualquer outro empregado sujeito a
horário de trabalho não definido, deve ser considerada, no cômputo das horas de
exposição, a média diária de oito horas.
HORAS DE TRABALHO DE PLANTONISTA – Para empregado de plantão nas
instalações do empregador, incluindo marítimo a bordo, deverão ser consideradas as
horas de plantão.
DIAS PERDIDOS
DIAS PERDIDOS POR INCAPACIDADE TEMPORÁRIA TOTAL – São os dias
corridos de incapacidade.
Nota 1 – São considerados como DIAS PERDIDOS POR INCAPACIDADE
TEMPORÁRIA TOTAL:
a) os dias subseqüentes ao da lesão (inclusive dias de repouso remunerado, feriados
e outros dias em que a empresa, entidade ou estabelecimento estiverem fechados),
em que o empregado continua incapacitado para o trabalho;
b) os dias subseqüentes ao da lesão, perdidos exclusivamente devido à não
disponibilidade de assistência médica ou recursos de diagnóstico necessários,
excetuados os casos em que o médico for de parecer que o acidentado estava
inteiramente apto para o trabalho nesses dias;
c) os dias em que a duração do tratamento médico impedir ao acidentado a
execução integral de suas tarefas diárias, exceto se o acidentado dispuser de
condições de tempo para executar outras tarefas compatíveis com as suas funções.
Nota 2 – Não são computáveis os dias da lesão e o dia em que o acidentado é
considerado apto para retornar ao trabalho e não se considera perdido o tempo
despendido nas chamadas “lesões sem perda de tempo”
DIAS A DEBITAR – São dias não realmente perdidos, porém debitados, por morte,
lesão permanente total ou lesão permanente parcial, de acordo como estabelecido .
POR MORTE – Em caso de morte serão debitados 6.000 dias.
POR INCAPACIDADE PERMANENTE TOTAL – Em caso de incapacidade
permanente total serão debitados 6.000 dias.
POR INCAPACIDADE PERMANENTE PARCIAL – Em caso de incapacidade
permanente parcial os dias a debitar serão os da Tabela, quer o número de dias
realmente perdidos seja maior, ou menor do que o dos a debitar, ou até mesmo quando
não haja dias perdidos.
POR PERDA DE DEDOS E ARTELHOS – Em caso de perda, considerar-se-ão
somente os dias a debitar pelo osso que figura com maior valor na tabela. Em
amputação de mais de um dedo, somar-se-ão os dias a debitar relativos a cada um.
Exemplo: Amputação do mínimo com parte do metacarpo: 400 dias.
Amputação do anular: 240 dias.
Se ambas decorrerem do mesmo acidente, o total de dias a debitar será de 400 mais 240,
igual a 640.
POR REDUÇÃO PERMANENTE DE FUNÇÃO – Os dias a debitar em casos de
redução permanente de função de membro ou parte de membro serão uma percentagem
do número de dias a debitar por amputação, percentagem essa avaliada pela entidade
seguradora.
Exemplo: Lesão no indicador resultando na perda de articulação da 2ª falange com a 3ª
falange, estimada pela entidade seguradora em 25% de redução da função: os dias a
debitar serão 25% de 200 dias, isto é, 50 dias.
POR PERDA PERMANENTE DA AUDIÇÃO – A perda da audição só será
considerada incapacidade permanente parcial, quando for total para um ou ambos os
ouvidos.
POR REDUÇÃO PERMANENTE DA VISÃO – Os dias a debitar nos casos de redução
permanente da visão serão uma percentagem dos da tabela correspondente à perda
permanente da visão, percentagem essa determinada pela entidade seguradora. A sua
determinação basear-se-á na redução, independentemente de correção.
POR INCAPACIDADE QUE AFETA MAIS DE UMA PARTE DO CORPO – Para a
incapacidade que afeta mais de uma parte do corpo, o total de dias a debitar será a soma
dos dias a debitar por parte lesada. Se a soma exceder de 6.000 dias, desprezar-se-á o
excesso.
POR LESÃO NÃO CONSTANTE DA TABELA – Os dias a debitar por lesão
permanente não constante da tabela (tal como lesão de órgão interno, perda de função,
etc.) serão uma percentagem de 6.000 dias, determinada de acordo com parecer médico,
que se deverá louvar nas tabelas atuariais de avaliação de incapacidade utilizadas pela
entidade seguradora.
TABELA DE DIAS A DEBITAR
I - MORTE;
II - INCAPACIDADE PERMANENTE TOTAL;
III - PERDA DE MEMBRO.
a) Membro Superior Acima do cotovelo e até a articulação do ombro, inclusive........... 4.500
Acima do punho e até a articulação do cotovelo, inclusive............ 3.600
b) Mão
Amputação, atingindo todo o osso ou parte2
Quilodátilos (dedos da mão)
1º Polegar
2º Indicador
3º Médio
4º Anular
5º
Mínimo
3ª Falange – Distal .......................................
2ª Falange – Medial (para o polegar, Distal)
1ª Falange – Proximal.....................................
Metacarpianos.................................................
Mão, no punho (Carpo)..................................
- 100 75 60 50
300 200 150 120 100 600 400 300 240 200
900 600 500 450 400 3.000
2 Se o osso não é atingido, usar somente os dias perdidos e classificar como incapacidade temporária.
c) Membro Inferior Acima do joelho.............................................................................. 4.500
Acima do tornozelo e até a articulação do joelho, inclusive........... 3.000
d) Pé
Amputação, atingindo todo o osso ou parte2
Pododátilos (dedos da mão)
1º Cada um dos demais
3ª Falange – Distal ...............................................
2ª Falange – Medial (para o 1º, Distal)................
1ª Falange – Proximal...........................................
Metatarsianos........................................................
Pé, no tornozelo (Tarso).......................................
- 150 300 600
35 75
150 350
2.400
IV – PERTURBAÇÃO FUNCIONAL
Perda de visão de um olho, haja ou não visão no outro................ 1.800
Perda de visão de ambos os olhos em um só acidente.................. 6.000
Perda de audição de um ouvido, haja ou não audição no outro.... 600
Perda de audição de ambos os ouvidos em um só acidente.......... 3.000
DIAS A COMPUTAR POR INCAPACIDADE PERMANENTE E INCAPACIDADE
TEMPORÁRIA DECORRENTE DO MESMO ACIDENTE – Quando houver um
acidentado com incapacidade permanente parcial e incapacidade temporária total,
independentes, resultantes de um mesmo acidente, contar-se-ão os dias correspondentes
à incapacidade de maior tempo perdido, que será a única incapacidade a ser
considerada.
MEDIDAS DE AVALIAÇÃO DE FREQÜÊNCIA E GRAVIDADE
(OBRIGATÓRIAS).
TAXAS DE FREQÜÊNCIA
TAXA DE FREQÜÊNCIA DE ACIDENTES – É o número de acidentes (com ou sem
lesão) por milhão de horas-homem de exposição ao risco, em determinado período. Essa
taxa deve ser expressa com aproximação de centésimos e calculada para fórmula:
FA = H
N 000.000.1
Sendo:
FA = taxa de freqüência de acidentes
N = número de acidentes com ou sem lesão
H = horas-homem de exposição
TAXA DE FREQÜÊNCIA DE ACIDENTADOS COM LESÃO COM PERDA DE
TEMPO – É o número de acidentados por milhão de horas-homem de exposição aos
riscos, em determinado período.
Nota – Essa taxa exprime o número de acidentados vítimas de
morte, incapacidade permanente total, permanente parcial e
temporária total por milhão de horas-homem de exposição ao
risco. Deve ser expressa com aproximação de centésimos e
calculada pela fórmula:
FL = H
N 000.000.1
Sendo:
FL = taxa de freqüência de acidentados com lesão incapacitante
N = número de acidentados
H = horas-homem de exposição ao risco
TAXA DE FREQÜÊNCIA DE ACIDENTADOS COM LESÃO SEM PERDA DE
TEMPO – É recomendável que se faça o levantamento do número dos acidentados
vítimas de lesão sem perda de tempo, calculando a respectiva taxa de freqüência. Essa
prática apresenta a vantagem de alertar a empresa para causas que concorram para o
aumento do número de acidentados com perda de tempo. O cálculo será feito da mesma
forma que para o acidentados vítimas de lesão com perda de tempo, devendo ser o
resultado apresentado, obrigatoriamente, em separado. O registro do número de
acidentado vítimas de lesão sem perda de tempo é de grande importância como
elemento informativo do grau de risco e da qualidade dos serviços de prevenção,
permitindo, inclusive, pesquisar a variação da relação existente entre acidentados com
perda de tempo e sem perda de tempo.
TAXA DE GRAVIDADE – É o tempo computado por milhão de horas-homem de
exposição ao risco. Deve ser expressa em números inteiros e calculada pela fórmula:
G = H
T 000.000.1
Sendo:
G = taxa de gravidade
T = tempo computado
H = horas-homem de exposição ao risco
Nota – Essa taxa visa a exprimir, em relação a um milhão de horas-homem de exposição
ao risco, os dias perdidos por todos os acidentados vítimas de incapacidade temporária
total, mais os dias debitados relativos aos casos de morte ou incapacidade permanente.
Deve ficar claro que nos casos de morte ou incapacidade permanente não serão
considerados os dias perdidos, mas apenas os debitados.
MEDIDAS DE AVALIAÇÃO DE GRAVIDADE (OPTATIVAS) – Os números
médios, abaixo, poderão ser admitidos como informação adicional.
NÚMERO MÉDIO DE DIAS PERDIDOS EM CONSEQÜÊNCIA DE
INCAPACIDADE TEMPORÁRIA TOTAL – É o resultado da divisão do número de
dias perdidos em conseqüência de incapacidade temporária total pelo número de
acidentados correspondentes.
MD = ND
Sendo:
MD = número médio de dias perdidos em conseqüência de
incapacidade temporária total
D = número de dias perdidos em conseqüência de incapacidade
temporária total
N = número de acidentados correspondentes
NÚMERO MÉDIO DE DIAS DEBITADOS EM CONSEQÜÊNCIA DE
INCAPACIDADE PERMANENTES – É o resultado da divisão do número de dias
debitados em conseqüência de incapacidade permanente (total ou parcial) pelo número
de acidentados correspondentes.
Md = N
d
Sendo:
Md = número médio de dias debitados em conseqüência de incapacidade permanente
d = número de dias debitados em conseqüência de incapacidade permanente
N = número de acidentados correspondentes
TEMPO COMPUTADO MÉDIO – É o resultado da divisão do tempo computado pelo
número de acidentados correspondentes:
Tm = N
T
Sendo:
Tm = tempo computado médio
T = tempo computado
N = número de acidentados correspondentes
Esse número pode ser calculado dividindo-se a taxa de gravidade pela taxa de
freqüência de acidentados: Tm = LF
G.
Regras para a Determinação das Taxas
PERÍODOS – O cálculo das taxas será realizado por períodos mensais e anuais,
podendo-se usar outros períodos quando houver conveniência.
ACIDENTE DE TRAJETO – O acidente de trajeto será tratado à parte, não sendo
incluído no cálculo usual das taxas de freqüência e de gravidade.
PRAZOS DE ENCERRAMENTO – Para determinar as taxas relativas a
acidentados vítimas de lesões com perda de tempo, deve ser observado o seguinte:
a) As taxas devem incluir todos os acidentados vítimas de lesões com perda de
tempo do período considerado (mês, ano, etc.). Para isso os trabalhos de
apuração serão encerrados, quando necessário, após decorridos 30 dias do fim
desse período.
b) Em caso de incapacidade que se prolongue além do prazo de encerramento
previsto na alínea a (trinta dias) do período considerado, o tempo perdido será
previamente estimado com base em informação médica.
c) Quando se tenha deixado de incluir um acidentado no levantamento de
determinado período, por só ter sido o acidente comunicado após o respectivo
prazo de encerramento (mês), deverá ser oportunamente incluído o registro,
com os necessários reajustes, em levantamento do período mais extenso (ano)
que inclua aquele período.
d) As revisões das medidas de avaliação, quando necessárias, devem incluir
todos os casos ocorridos dentro do período considerado, conhecidos na data
da revisão, devendo o tempo comutado ser ajustado conforme a incapacidade
(real ou estimada, se a definitiva ainda não for conhecida).
DATA DE REGISTRO – O número de acidentados e o tempo perdido
correspondente às lesões por eles sofridas, devem ser registrados com data da
ocorrência dos acidentes. Excetuam-se os números relativos a lesões mediatas (doenças
do trabalho) que não possam ser atribuídas a um acidente de data perfeitamente fixável,
os quais devem ser consignados com as datas em que as lesões forem comunicadas pela
primeira vez.
Registro e Estatísticas de Acidentes
ESTATÍSTICAS POR SETOR DE ATIVIDADE – Além das estatísticas globais da
empresa, entidade ou estabelecimento, é de toda a conveniência que sejam elaboradas
estatísticas por setor de atividade, o que permitirá evitar que a baixa incidência de
acidentes em áreas de menor risco venha a influir nos resultados de qualquer das
demais, excluindo, também, das áreas de atividade específica os acidentes não
diretamente a elas relacionados.
Diversas condições ou circunstâncias podem contribuir para a ocorrência de um só
acidente. Embora o registro de pormenores seja útil à prevenção, a sua inclusão nas
estatísticas, poderá, em certos casos, dificultar a apresentação dos resultados. Daí a
preocupação de em geral, registrar-se um só item para cada elemento essencial.
A classificação de elementos essenciais não se destina a apurar a responsabilidade do
empregador ou do empregado.
ELEMENTOS ESSENCIAIS – Para estatística e análise de acidentes consideram-se
elementos essenciais:
a) Espécie de Acidente Impessoal ou simplesmente, Espécie;
b) Tipo de Acidente Pessoal ou simplesmente, Tipo;
c) Agente do Acidente ou simplesmente, Agente;
d) Fonte da Lesão;
e) Fator Pessoal de Insegurança ou simplesmente, Fator Pessoal;
f) Ato Inseguro;
g) Condição ambiente de Insegurança ou simplesmente, Condição Ambiente;
h) Natureza da Lesão;
i) Localização da Lesão;
j) Prejuízo Material.
CLASSIFICAÇÃO DA ESPÉCIE DE ACIDENTE IMPESSOAL – Na classificação da
Espécie de Acidente Impessoal é necessário considerar-se que, muitas vezes, um
acidente impessoal gera outro acidente impessoal, que, por sua vez, pode gerar outro
acidente impessoal e assim por diante, sendo cada um desses acidentes impessoais
capaz de gerar um ou mais acidentes pessoais.
Exemplo: Um galpão que armazena inflamáveis, atingido por um raio (1.º acidente
impessoal) incendeia-se (2.º acidente impessoal) e, em virtude desse incêndio, cai a rede
elétrica externa (3.º acidente impessoal) que, ao cair, atinge um operário (acidente
pessoal) o qual sofre violento choque elétrico (lesão pessoal).
Nota – O acidente impessoal, em nenhuma hipótese, poderá ser considerado causador
direto de lesão pessoal. Haverá, sempre, entre ele e a lesão um acidente intermediário,
como mostram os exemplos abaixo:
ACIDENTE
IMPESSOAL
ACIDENTE PESSOAL LESÃO PESSOAL
Queda de objeto
Impacto sofrido por
pessoa
Fratura
Explosão de caldeira
Contato com objeto
ou substância a
temperatura muito
alta (vapor)
Queimadura
Explosão de caldeira
Nenhuma
Nenhuma
Explosão de caldeira
Impacto sofrido por
pessoa (de
fragmento da
caldeira)
Fratura
Inundação
Imersão
Afogamento
Inundação
Picada de cobra
Envenenamento
Inundação
Contato com
condutor elétrico
Choque elétrico
CLASSIFICAÇÃO DO TIPO DE ACIDENTE PESSOAL – Na escolha do tipo de
Acidente Pessoal é indispensável levar em consideração a correlação entre o Tipo de
Acidente e a Fonte da Lesão.
CLASSIFICAÇÃO DO AGENTE DO ACIDENTE – Indicar a coisa, substância ou
ambiente a que se relaciona a condição de insegurança. Não se indicará como agente do
acidente coisa que, no momento do acidente, constituía estrutural e fisicamente, parte de
alguma outra, mesmo quando dela se projetou ou se destacou imediatamente antes do
acidente. Por ex.: um volante, normalmente, é parte integrante de uma máquina. Assim
sendo, se um defeito em um volante em operação causar acidente a máquina deve ser
indicada como “agente do acidente”. O volante, no entanto, pode ser indicado como
agente do acidente se não constituía parte integrante da máquina imediatamente antes do
acidente. Excetuam-se as superfícies usadas como suporte de pessoas, que serão
consideradas com identidade independente do objeto do qual fazem parte, podendo, em
tais circunstâncias, ser indicadas como agente do acidente. Por ex.: pisos, escadas,
rampas, etc., na função de sustentar pessoas, devem ser considerados agentes principais
e não partes das estruturas a que pertencem. De modo semelhante, a superfície de
qualquer objeto para sustentar uma pessoa, mesmo não sendo destinada a tal fim, como
a superfície de um caixote, ou de um pilha de materiais, será considerada com
identidade independente, como superfície de suporte.
Quando se classificar a condição de insegurança como “inexistente” ou
“indeterminada”, a classificação do agente do acidente deve ser, respectivamente,
“inexistente” ou “indeterminada”.
A característica do “agente do acidente” é apresentar condição ambiente de
insegurança e ter contribuído para a ocorrência do acidente. Sua escolha é baseada
apenas nesse fato, sem se considerar se provocou ou não lesão.
Nota – O agente do acidente pode ser ou não coincidente com a fonte da lesão. As duas
classificações são inteiramente independentes uma da outra.
A característica da fonte de lesão é ter ocasionado diretamente a lesão. A escolha deve
ser baseada apenas nisso, sem se considerar a existência ou não de qualquer condição de
insegurança. Entretanto, a relação entre a condição ambiente de insegurança e o agente
do acidente é tal que, quando as duas classificações são comparadas, a condição
ambiente indica necessariamente o agente do acidente.
CLASSIFICAÇÃO DA FONTE DA LESÃO – Indicar como fonte a coisa, a substância,
a energia ou o movimento do corpo que produziu diretamente a lesão (previamente
identificada por sua natureza).
Se uma lesão resultar do contato violento com dois ou mais objetos,
simultaneamente ou em rápida seqüência, sendo impossível determinar qual foi o objeto
que diretamente produziu a lesão, escolher a fonte da lesão na forma seguinte:
a) Quando a opção for entre um objeto em movimento e outro parado,
escolher o objeto em movimento. Por ex.: no caso de uma pessoa
atingida por um veículo em movimento e jogada contra um poste,
indicar o veículo como fonte da lesão.
b) Quando a opção for entre dois objetos em movimento ou entre objetos
parados, escolher o objeto tocado por último. Por ex.: no caso de uma
pessoa que caia de um ponto elevado, batendo em um ou em vários
objetos, durante sua queda, terminando por bater contra o solo ou outra
superfície de sustentação, indicar esta como fonte da lesão.
c) Indicar “movimento do corpo” como fonte da lesão, apenas quando a
lesão tiver resultado, exclusivamente, de tensão provocada por
movimento livre do corpo ou suas partes (voluntário ou involuntário)
ou de posição do corpo forçada ou anormal. Compreendem-se, aí, os
casos de distensões, luxações, torções, etc., que tenham resultado de
esforços diversos, inclusive os necessários para retomar o equilíbrio,
desde a que a perda de equilíbrio não culmine em queda ou em contato
violento com um objeto acima da superfície de sustentação.
d) Não indicar “movimento do corpo” como fonte da lesão se esta tiver
ocorrido durante uma queda, ou se tiver decorrido de batida em um
objeto qualquer, ou de levantar, empurrar, puxar, manusear ou
arremessar objetos. No caso de queda, indicar a superfície ou o objeto
sobre o qual o corpo da pessoa veio a parar. No caso de levantar,
empurrar, puxar, manusear ou arremessar um objeto, indicar o objeto
sobre o qual o esforço físico foi exercido.
e) Se, em decorrência de acidente com veículo, uma pessoa que estava
nesse veículo sofrer lesão, indicar o veículo como fonte da lesão.
Nota – Deve ser assegurada relação entre a fonte da lesão e a natureza
da lesão, que possibilite a análise comparativa desses
elementos.
CLASSIFICAÇÃO DO FATOR PESSOAL - A pesquisa do fator pessoal de
insegurança apresenta, em geral, alguma dificuldade, o que não deverá, no entanto,
constituir motivo de desestímulo a essa pesquisa, que poderá ensejar a eliminação de
muitos atos inseguros.
A principal finalidade da classificação é conduzir à distinção entre os casos
de falta de conhecimento ou experiência e os desajustamentos, uma vez que cada um
merece correção diferente.
CLASSIFICAÇÃO DO ATO INSEGURO – Após classificados a espécie e o tipo de
acidente, fazer constar, quando houver, o ato inseguro que diretamente causou ou
permitiu a ocorrência do acidente. Fazer constar o ato inseguro, quando houver, mesmo
que alguma condição ambiente de insegurança tenha também contribuído para a
ocorrência do acidente.
Na caracterização do ato inseguro deve-se levar em consideração o
seguinte:
a) O ato inseguro pode ser algo que a pessoa fez quando não deveria fazer ou fez,
quando deveria ter feito.
b) O ato inseguro tanto pode ser praticado pelo próprio acidentado como por terceiros.
c) A pessoa que o pratica pode fazê-lo consciente ou não de estar agindo
inseguramente.
d) Quando o risco já vinha existindo por certo tempo, anteriormente à ocorrência do
acidente, sendo razoável esperar-se que durante esse tempo a administração o
descobrisse e eliminasse, o ato que criou esse risco não deve ser considerado ato
inseguro, pois o ato inseguro deve estar intimamente relacionado com a ocorrência
do acidente, no que diz respeito ao tempo.
e) O ato inseguro não significa, necessariamente, desobediência a normas ou regras
constantes de regulamento formalmente adotados, mas também se caracteriza pela
não observância de práticas de segurança tacitamente aceitas. Na sua caracterização
cabe a seguinte pergunta: nas mesmas circunstâncias, teria agido do mesmo modo
uma pessoa prudente e experiente?
f) A ação pessoal não deve ser classificada como ato inseguro pelo simples fato de
envolver risco. Por ex.: o trabalho com eletricidade ou com certas substâncias
perigosas envolve riscos óbvios, mas, embora potencialmente perigoso, não deve ser
considerado, em si, ato inseguro. Será, no entanto, considerado ato inseguro,
trabalhar com eletricidade ou com tais substâncias, sem a observância das
necessárias precauções.
g) Só se deve classificar uma ação pessoal como ato inseguro, quando tenha havido
possibilidade de adotar processo razoável que apresente menor risco. Por exemplo:
se o trabalho de uma pessoa exigir a utilização de certa máquina perigosa, não
provida de dispositivo de segurança, isso não dever ser considerado ato inseguro.
Entretanto, será considerado ato inseguro a operação de máquina dotada de
dispositivo de segurança, quando tiver sido esse dispositivo retirado ou neutralizado
pelo operador.
h) Com relação aos atos de supervisão.
CLASSIFICAÇÃO DA CONDIÇÃO AMBIENTE DE INSEGURANÇA – Na
caracterização da condição ambiente de insegurança, deve-se levar em consideração o
seguinte:
a) Indicar somente a condição ambiente que causou ou permitiu a ocorrência do
acidente considerado. Ao designar essa condição, ater-se exclusivamente a
considerações relacionadas com o meio, com todas as suas características
ecológicas, e não aos aspectos ligados às atitudes individuais.
b) Na indicação da condição ambiente, fazê-lo sem considerar origem ou viabilidade
de correção.
c) Não omitir a indicação da condição ambiente, apenas por ter o acidente resultado de
ato inseguro ou de violação de ordens ou instruções ou, ainda, por não se conhecer
meio efetivo de eliminar o risco.
d) Os atos de supervisão, tais como decisões e ordens de chefe em exercício de suas
funções, não devem ser classificados como atos inseguros. O risco criado por tais
atos deve ser classificado como condição ambiente de insegurança. Assim ,
nenhuma ação realizada em obediência a instruções diretas de supervisor deve ser
considerada ato inseguro.
e) Não indicar como condição ambiente defeito físico ou qualquer outra deficiência
pessoal.
f) A condição ambiente deve relacionar-se diretamente com a espécie ou tipo de
acidente e com o agente do acidente.
g) A classificação da condição ambiente determina, em geral, automaticamente, a
classificação do agente do acidente. Assim sendo, ambos deverão ser classificados
simultaneamente.
CLASSIFICAÇÃO DA NATUREZA DA LESÃO – Deve sempre ser indicada a lesão
básica e não as conseqüências. No caso de lesões de natureza diferente, indicar a mais
grave ou a que acarretou incapacidade permanente, em vez daquela de que tenha
decorrido incapacidade temporária. Somente classificar como de “lesão múltipla” o caso
do acidentado que tenha sofrido várias lesões, nenhuma das quais de gravidade
preponderante.
CLASSIFICAÇÃO DA LOCALIZAÇÃO DA LESÃO – Quando a lesão atingir vários
segmentos de uma parte maior do corpo, citar esta, mas quando atingir segmentos
idênticos em parte simétricas, citar os segmentos atingidos (lesão de dedos de ambas as
mãos, citar “dedos”). Em casos de lesão de diferentes segmentos de membros
simétricos, citar os membros (lesão do pé de um lado e da coxa do outro, citar
“membros inferiores”). No caso de lesão de diferentes segmentos de membros não
simétricos citar “localização múltipla”. Citar sistema ou aparelho, somente quando a
lesão atingir diretamente o referido sistema ou aparelho e não quando for conseqüência
de uma lesão externa. Assim afogamento e asfixia serão considerados lesões do
“aparelho respiratório”, bem como a absorção de substancias tóxicas que atingirem os
centros nervosos será considerada lesão do sistema nervoso; porém, a lesão externa da
cabeça, com comprometimento cerebral e paralisia, será considerada “lesão da cabeça”.
CLASSIFICAÇÃO DO PREJUÍZO MATERIAL – entre os diversos prejuízos
materiais, considerar apenas aqueles que, por sua natureza, puderem ter as
correspondentes despesas apuradas e indicar somente o de maior valor, devendo a perda
de tempo ser considerado como prejuízo material, somente nos casos em que não tenha
havido outros danos resultantes do acidente. Considera-se, inclusive, como perda de
tempo, o período em que o acidentado se desloca até o posto médico para receber
pequeno curativo e, logo após, retorna ao trabalho normal.
Nota – O cálculo do custo do acidente é assunto tratado em outro item e não deve ser
confundido com a CLASSIFICAÇÃO DO PREJUÍZO MATERIAL, cuja finalidade é
caracterizar o acidente e oferecer subsídios a uma análise adequada.
Capítulo 4 – Avaliação de Riscos: Análise Preliminar de Riscos, Análise de Modos
de Falhas e Efeitos, Análise de Árvores de Falhas.
Análises Iniciais: Análise Preliminar de Riscos (APR)
Introdução
A Análise Preliminar de Riscos (APR) consiste no estudo, durante a fase de
concepção ou desenvolvimento prematuro de um novo sistema, com o fim de se
determinar os riscos que poderão estar presentes na fase operacional do mesmo.
Trata-se de um procedimento que possui especial importância nos casos em que o
sistema a ser analisado possui pouca similaridade com quaisquer outros existentes, seja
pela sua característica de inovação, ou pioneirismo, o que vale dizer, quando a
experiência em riscos no seu uso é carente ou deficiente.
Na área militar, onde surgiu, a análise foi primeiramente requerida como uma
revisão a ser feita nos novos sistemas de mísseis. Nesta época, existiam mísseis cujos
sistemas continham características de alto risco, havendo um grande nível de perigo em
sua operação. Basta dizer que de 72 silos de lançamento do míssil balístico
intercontinental “Atlas”, quatro foram destruídos em rápida sucessão, sendo seu custo
unitário igual a 12 milhões de dólares. Esses mísseis foram projetados para uso de
combustíveis líquidos, e a análise foi desenvolvida numa tentativa de prevenção contra
o uso desnecessário de materiais, projetos e procedimentos de alto risco; ou, pelo
menos, para que se assegurasse que medidas preventivas fossem incorporadas, se essa
utilização fosse inevitável.
A APR é normalmente uma revisão superficial de problemas gerais de segurança;
no estágio em que é desenvolvida, podem existir ainda poucos detalhes finais de
projeto, sendo ainda maior a carência de informação quanto aos procedimentos,
normalmente definidos mais tarde. Para análises detalhadas ou específicas, necessárias
posteriormente, deverão ser usados os outros métodos de análise previstos.
Exemplo Ilustrativo
O exemplo escolhido para ilustração da APR é bastante antigo. Conta a mitologia
grega que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho, Ícaro, na ilha de
mesmo nome. Com o objetivo de escapar para a Grécia, Dédalo idealizou fabricar asas,
o que fez habilidosamente com penas, linho e cera de abelhas. Antes da partida, Dédalo
advertiu a Ícaro que tomasse cuidado quanto a seu curso: se voasse a um nível muito
baixo, as ondas molhariam suas penas; se voasse muito alto, o sol derreteria a cera,
desagregando as penas e ele cairia no mar. Essa advertência, uma das primeiras análises
de riscos que poderíamos citar (na verdade, foi anterior a advertência de Deus para que
Adão não comesse a maçã), define o que hoje chamaríamos Análise Preliminar de
Riscos.
Adotamos esta situação para a ilustração do formato para a APR, mostrado na
figura a seguir. As categorias de risco usadas nesse modelo são apresentadas em
seguida, e foram adaptadas, pelos autores da norma militar americana MIL-STD-882,
que procura estimar uma “medida grosseira do risco presente”. A mesma classificação
de riscos é usada na Análise de Modos de Falha e Efeitos (AMFE).
A propósito, como é de conhecimento do leitor, Ícaro voou muito alto, e pelos
motivos expostos por Dédalo, veio a cair no mar (Ícaro era um cabeça-dura).
Willia Hammer, Handbook of System and Product Safety. © 1972. Traduzido e adapatado de Prontice-Hall Inc. Englewood Cliffs, New Jersey.
O modelo apresentado mostra a forma mais simples para uma APR. Outras
colunas poderão ser adicionadas, completando a informação, de forma a indicar critérios
a serem seguidos, responsáveis pelas medidas de segurança, necessidade de teste, e
outras ações a serem desenvolvidas.
Etapas Básicas na APR
Os seguintes passos podem ser seguidos, no desenvolvimento de uma APR:
1) REVER PROBLEMAS CONHECIDOS
Revisar a experiência passada em sistemas similares ou análogos, para a determinação
de riscos que poderão estar presentes no sistema que está sendo desenvolvido.
2) REVISAR A MISSÃO
Ou seja, os objetivos, as exigências de desempenho, as principais funções e
procedimentos, os ambientes, os ambientes onde se darão as operações.
3) DETERMINAR OS RISCOS PRINCIPAIS
Quais serão os riscos principais, com potencialidade para causar direta e imediatamente
lesões, perda de função, danos a equipamentos, perda de material.
ANÁLISE PRELIMINAR DE RISCOS IDENTIFICAÇÃO: Sistema de vôo Ded I
SUBSISTEMA: Asas PROJETISTA: Dédalo RISCOS CAUSA EFEITO CAT.
RISCOCR
MEDIDAS PREVENTIVAS OU
CORRETIVAS
Radiação Voar muito alto
e
m
p
.
Calor pode derreter cera de
abelhas que une penas.
Separação e perda podem
causar má sustentação
aerodinâmica. Aeronauta
pode morrer no mar.
IV Prover advertência contra vôo muito alto e perto do sol
Manter rígida supervisão sobre
aeronauta. Prover trela de linho
entre aeronautas para evitar que o
jovem, impetuoso, voe alto.
Restringir área da superfície
aerodinâmica.
Umidade Voar muito
pe
r
t
o
d
.
Asas podem absorver a
umidade, aumentando de peso e falhando. O poder
propulsivo limitado pode não
ser adequado para compensar
o aumento de peso.
Resultado: perda de função e
afogamento possível do
aeronauta.
IV Advertir aeronauta para voar a meia altura, onde o sol
manterá as asas secas, ou onde taxa de acumulação de umidade é
aceitável para a duração da missão.
4) DETERMINAR OS RISCOS INICIAIS E CONTRIBUINTES
Para cada risco principal detectado, elaborar as Séries de Riscos, determinando-se os
riscos iniciais e contribuintes.
5) REVISAR OS MEIOS DE ELIMINAÇÃO OU CONTROLE DOS RISCOS
Elaborar uma revisão dos meios possíveis, procurando as melhores opções compatíveis
com as exigências do sistema.
6) ANALISAR OS MÉTODOS DE RESTRIÇÃO DE DANOS
Devem ser considerados os métodos possíveis mais eficientes na restrição geral de
danos, no caso de perda de controle sobre os riscos.
7) INDICAR QUEM LEVARÁ A CABO AS AÇÕES CORRETIVAS
Indicar claramente os responsáveis pelas ações corretivas, designando as atividades que
cada unidade deverá desenvolver.
A Análise Preliminar de Riscos deverá ser sucedida por análises mais
detalhadas ou específicas, logo que forem possíveis. Deve ser lembrado que para
sistemas bem conhecidos, nos quais há bastante experiência acumulada em riscos,
a APR pouco adiciona. Nesses casos, a APR pode ser “colocada em by-pass”, sendo
imediatamente iniciadas as outras técnicas. Ressalte-se, entretanto, a sua
reconhecida utilidade, no seu domínio de aplicação.
CATEGORIAS DE RISCO (MIL STD 882) - ADAPTAÇÃO
CAT NOME CARACTERÍSTICA
I
DESPREZÍVEL NÃO DEGRADA O SISTEMA, NEM SEU
FUNCIONAMENTO.
NÃO AMEAÇA OS RECURSOS HUMANOS.
II
MARGINAL/LIMÍTROFE
DEGRADAÇÃO MODERADA/ DANOS MENORES.
NÃO CAUSA LESÕES.
É COMPATÍVEL OU CONTROLÁVEL.
III
CRÍTICA
DEGRADAÇÃO CRÍTICA.
LESÕES.
DANO SUBSTANCIAL.
COLOCA O SISTEMA EM RISCO E NECESSITA AÇÕES
CORRETIVAS IMEDIATAS PARA A SUA
CONTINUIDADE E RECURSOS HUMANOS
ENVOLVIDOS.
IV
CATASTRÓFICA SÉRIA DEGRADAÇÃO DO SISTEMA.
PERDA DO SISTEMA.
MORTES E LESÕES
ANÁLISE PRELIMINAR DE RISCOS FOLHA ______/_____
IDENTIFICAÇÃO________________ DATA ____/____/____
ANÁLISE PRELIMINAR DE RISCOS (APR)
Análise de riscos-serviços de instalações telefônicas em altura e em caixas subterrâneas.
RISCO CAUSA EFEITO CAT.
RISCO
MEDIDAS
PREVENTIVAS
1. Alta Tensão Contato com equipamento
de outra concessionária.
Raios
Choque elétrico
Queimadura
grave
Morte
IV
Treinamento
Supervisão
Uso de EPI
Construir instalação
de terra adequada
2. Queda pela
Escada
Falta de amarração da
escada
Não utilização de EPI
(cinto)
Lesão
Fratura
Morte
IV
Supervisão
Uso de EPI
Treinamento
3. Agentes
Químicos
(entrada em
Caixas
subterrâneas)
Animais em
decomposição
Vazamento de
concessionária de
gás/esgotos.
Mal estar
Lesão
Morte
IV
Uso de detectores de
gases
Supervisão
Ventilação
4. Explosão na
Caixa
Subterrânea
Presença de misturas
explosivas e fontes de
ignição
Queimadura
grave
Fratura
Morte
IV
Uso de detector de
explosividade
Ventilação
Supervisão
5. Atropelamento Sinalização ineficiente
Falta de atenção
Lesão
Fratura
Morte
IV
Treinamento
Sinalização adequada
6. Acidentes com
veículos
Inabilidade
Falta de atenção dos
motoristas
Veículo em má condição
de manutenção
Lesão
Fratura
Morte
IV
Incentivo para reduzir
acidentes com
veículos
Manutenção
preventiva
Treinamento
7. Maçarico Inabilidade
Falta de atenção
Má condição de
manutenção
Queimaduras
nas mãos ou
corpo
III
Treinamento
Manutenção
RISCO
CAUSA
EFEITO
CAT.
RISCO
MEDIDAS
PREV. OU
CORRETIVAS
RESPONSÁVEL
ANÁLISES DETALHADAS: ANÁLISE DE MODOS DE FALHA E EFEITOS
(AMFE)
Introdução
Apresentaremos neste tópico uma técnica de análise detalhada, mostrando seus
objetivos principais e os procedimentos utilizados nas determinações de problemas
provenientes de equipamentos e sistemas: a Análise de Modos de Falha e Efeitos
(AMFE).
Está técnica nos permitirá analisar como podem falhar os componentes de um
equipamento ou sistema, estimar as taxas de falha, determinar os efeitos que poderão
advir, e, conseqüentemente, estabelecer as mudanças que deverão ser feitas para
aumentar a probabilidade de que o sistema ou equipamento realmente funcione de
maneira satisfatória.
Objetivos
Os principais objetivos de uma AMFE são:
― Revisão sistemática dos modos de falhas de um componente, para garantir
danos mínimos ao sistema;
― Determinação dos efeitos que tais falhas terão em outros componentes do
sistema;
― Determinação dos componentes cujas falhas teriam efeito crítico na operação
do sistema (Falhas de Efeito Crítico);
― Cálculo de probabilidade de falhas de montagens, subsistemas e sistemas, a
partir das probabilidades individuais de falha de seus componentes;
― Determinação de como podem ser reduzidas as probabilidades de falha de
componentes, montagens e subsistemas, através do uso de componentes com
confiabilidade alta, redundâncias no projeto, ou ambos.
Geralmente, uma Análise de Modos de Falha e Efeitos é efetuada, em primeiro
lugar, de uma forma qualitativa. Os efeitos das falhas humanas sobre o sistema, na
maioria das vezes, não são considerados nesta análise; eles estão incluídos, no
momento, no campo da Ergonomia (Engenharia Humana).
Numa etapa seguinte, poder-se-á aplicar também dados quantitativos, a fim de se
estabelecer uma confiabilidade ou probabilidade de falha do sistema ou subsistema.
Neste capítulo, abordaremos somente a forma qualitativa desta análise detalhada,
ficando a aplicação de dados quantitativos para a “Análise de Árvores de Falhas
(AAF)”.
Procedimentos Utilizados
Antes de descrevermos os procedimentos utilizados para se realizar uma Análise
de Modos de Falhas e Efeitos, é conveniente recordarmos aqui o que vem a ser um
Sistema: É um arranjo ordenado de componentes que estão inter-relacionados e que
atuam e interatuam com outros sistemas, para cumprir uma missão, num determinado
ambiente.
Torna-se evidente então que, para se conduzir uma AMFE, ou qualquer outro
método de análise, é necessário, antes de mais nada, conhecer e compreender
perfeitamente a missão do sistema, as restrições (ambiente) sob as quais irá operar, e os
limites que representam sucesso e falha. Uma vez conhecidas essas bases, pode-se
finalmente iniciar a análise do sistema.
Para efetuarmos a análise detalhada de que estamos tratando, utilizaremos um
modelo, como o mostrado a seguir, onde serão registradas todas as informações e dados
relativos ao sistema ou subsistema em estudo. Esse modelo é apenas uma das formas de
representação das muitas existentes, cabendo a cada empresa idealizar a que melhor se
adapta a ela.
Para o procedimento das entradas nas várias colunas desse modelo, adotam-se os
seguintes procedimentos:
a) Divide-se o sistema em subsistemas que podem ser efetivamente controlados.
b) Traçam-se diagramas de blocos funcionais do sistema e de cada subsistema, a fim de se
determinar seus inter-relacionamentos e de seus componentes.
c) Prepara-se uma listagem completa dos componentes de cada subsistema, registrando-se,
ao mesmo tempo, a função específica de cada um deles.
d) Determina-se, através da análise de projetos e diagramas, os modos de falha que
poderiam ocorrer e afetar cada componente.
Deverão ser considerados aqui quatro modos de falha:
― Operação prematura;
― Falha em operar num tempo prescrito;
― Falha em cessar de operar num tempo prescrito;
― Falha durante a operação.
ANÁLISE DE MODOS DE FALHA E EFEITOS
1.
Empresa____________________________________________________________________________ 2. Subsistema_________________________________________________________________________
3. Folha N.º__________________________________________________________________________
4. Preparado por_____________________________________________________________________
5. local e data___________________________________________________________________
Componente Modos
de
Falha
Possíveis Efeitos Categorias
de
Risco
Métodos
da
Detecção
Ações de
Compensação
E Reparos Em outros
componentes
No
desempenho
total do
subsistema
Essas limitações devem-se à própria definição de confiabilidade que, como
veremos é a probabilidade de êxito de uma missão, dentro de um tempo específico e sob
condições específicas.
Freqüentemente, haverá vários modos de falha para um único componente. Um ou
mais modos de falha poderão gerar acidentes, enquanto que outros não. Portanto, cada
falha deverá ser considerada separadamente, como um evento independente, sem
nenhuma relação com outras falhas no sistema, exceto os efeitos subseqüentes que
possa produzir.
A probabilidade de falha do sistema ou subsistema será, então, igual à
probabilidade total de todos os modos de falha. Quando da determinação de
probabilidades de acidentes, deverão ser eliminadas todas as taxas de falha relativas aos
modos de falha que não geram acidentes.
e) Indicam-se os efeitos de cada falha específica sobre outros componentes do subsistema
e, também, como cada falha específica afeta o desempenho total do subsistema em
relação à missão do mesmo.
f) Estima-se a gravidade de cada falha específica, de acordo com as seguintes categorias
ou classes de risco, já mencionadas no tópico anterior:
I. Desprezível: a falha não irá resultar numa degradação maior do sistema, nem irá
produzir danos funcionais ou lesões, ou contribuir com um risco ao sistema;
II. Marginal (ou limítrofe) a falha irá degradar o sistema numa certa extensão, porém, sem
envolver danos maiores ou lesões, podendo ser compensada ou controlada
adequadamente;
III. Crítica: a falha irá degradar o sistema causando lesões, danos substanciais, ou irá
resultar num risco inaceitável, necessitando ações corretivas imediatas;
IV. Catastróficas: a falha irá produzir severa degradação do sistema, resultando em sua
perda total, lesões ou morte.
Poder-se-á, também, acrescentar uma outra coluna ao modelo, onde serão
estimados, para cada modo de falha especifico, os tempos médios entre falhas (TMEF).
A princípio, poderá ser utilizada a seguinte classificação simplificada de taxas de falha:
― Provável: uma falha em menos de 10.000 horas de operação;
― Razoavelmente provável: uma falha entre 10.000 e 100.000 horas de operação;
― Remota: uma falha entre 100.001 e 10.000.000 de horas de operação;
― Extremamente remota: uma falha em mais de 10.000.000 de horas de operação.
A estimativa das taxas de falha poderá ser feita, entre outras maneiras, através de
taxas genéricas desenvolvidas a partir de testes realizados pelos fabricantes dos
componente; pela comparação com equipamentos ou sistemas similares, com o auxílio
de dados de engenharia.
g) Indicam-se, finalmente, os métodos de detecção de cada falha específica, e as possíveis
ações de compensação e reparos que deverão ser adotadas, para eliminar ou controlar
cada falha específica e seus efeitos.
A Análise de Modos de Falha e Efeitos é muito eficiente quando aplicada a
sistemas mais simples ou falhas singelas. Suas inadequações levaram ao
desenvolvimento de outros métodos, tais como a “Análise de Árvores de Falhas
(AAF)”, que a completa excelentemente.
Modos de Falha
Os modos básicos de falha são 4:
A. Falha em operar no instante prescrito;
B. Falha em cessar de operar no instante prescrito;
C. Operação prematura;
D. Falha em operação.
Devemos analisar cada componente em seus possíveis modos de falhas.
Verifiquemos quais os modos de falha de um fusível comum; ele poderá apresentar dois
modos de falha:
1. Não abre o circuito quando a corrente ultrapassa o seu valor nominal – observar
que este modo de falha corresponde a “não operar no instante prescrito” (quando
solicitado).
2. Abre o circuito sem que a corrente tenha atingido o seu valor nominal de
trabalho – este modo de falha seria então uma “operação prematura”.
Os modos A, B e C se aplicam a componentes cuja ação é intermitente; o modo D
a componentes de operação contínua. Cuidado deve ser tomado na interpretação deste
modo: é claro que num sistema todos os componentes estão “em operação”; porém uma
ação pode ser intermitente ou contínua; daí a distinção. Um exemplo deste caso é o de
uma lâmpada de área, em local sem iluminação natural, ou o de um motor de um
ventilador que mantém ereto um armazém inflável.
Observar que o modo C pode ser originado por problemas de “set point”.
Similarmente, qualquer componente pode ser analisado segundo seus possíveis
modos de falha, os quais podem ser enquadrados nestas categorias básicas na grande
maioria dos casos.
Procure agora determinar os possíveis modos de falha dos seguintes elementos:
1. Termostato de uma geladeira.
2. Disco de ruptura.
3. Válvula de segurança de uma caldeira. .
Nem sempre é possível enquadrar modos de falha nas classes acima (embora seja
muito útil raciocinar dessa maneira). Vide exemplos abaixo:
Observe também que às vezes é preferível especificar o modo de falha em
termos concretos, subentendendo-se o modo formal básico.
COMPONENTE MODO DE FALHA
Fluido de um processo
Relé
Fora de especificação
Instabilidades
ANÁLISE DE MODOS DE FALHA E EFEITOS – “CAIXA D’ÁGUA”
COMPO-
NENTE
MODO
DE
FALHA
EFEITOS
CAT.
RISCOS
MÉTODOS DE
DETECÇÃO
AÇÕES DE
COMPENSAÇÃO/
REPAROS
OUTROS
COMPONENT
ES
NO (SUB)
SISTEMA
COMO UM
TODO
Flutuador
Falha em
flutuar
Válvula de
entrada abre;
recipiente pode
ir ao nível máximo.
Nenhum
II
Observar saída do
ladrão, consumo
excessivo.
Excesso de água
pelo ladrão (válvula
de alívio); reparar
ou substituir bóia; cortar suprimento.
Válvula de
entrada
Emperra aberta
(falha em
fechar quando o nível sobe)
Flutuador fica
submerso;
recipiente pode ir ao nível
máximo.
Nenhum
II
Idem
Idem; reparar ou
substituir válvula;
cortar suprimento.
Emperra
fechada (falha
em abrir
quando o nível
desce)
Flutuador fica
suspenso;
recipiente pode
ir ao nível
mínimo.
Suprimento cessa
IV
Falta de água,
havendo água na
rede de entrada.
Reparar ou
substituir; conseguir
suprimento externo.
Válvula de
alívio
(ladrão)
Falha em dar
vazão (entope).
Nenhum
Nenhum
I
Inspeção periódica;
testes.
Desentupir; a menos
que combinada com
outras falhas, sem
importância.
Válvula de
entrada
e
Válvula de
alívio
Emperra aberta
Flutuador fica
submerso;
recipiente pode
transbordar.
Operação
aparentemente
normal; risco de
acidentes elétricos
no recinto da
caixa: tubulação
pode ficar
energizada.
IV
Umidade;
infiltração;
“choque” nos
registros; consumo
excessivo.
Cortar suprimentos
(água, energia);
utilizar água
(descarga);
desentupir ladrão;
reparar ou substituir
válvula.
Entope
Recipiente
(caixa)
Rachadura,
colapso.
Nenhum
Suprimento cessa
IV
Iguais ao item
anterior.
Cortar suprimentos;
reparar ou
substituir.
ANÁLISE QUANTITATIVA: ANÁLISE DE ÁRVORES DE FALHAS (AAF)
Introdução
Embora o método de análise das árvores de falhas seja um técnica razoavelmente
recente, possuindo agora 26 anos, já foi aplicada com sucesso em problemas bastante
intricados de segurança no campo aeroespacial. Esse sucesso fez com que ganhasse
aceitação não apenas dentro desse ramo de indústria, mas também junto ao
Departamento de Defesa dos Estados Unidos, o qual tornou a análise uma exigência
em seus contratos para projetos de novos mísseis e aeronaves. Já em 1966, era usada
em problemas de segurança do produto (mísseis, aeronaves e automóveis), pelos
engenheiros de projeto, na fase de desenvolvimento do mesmo.
A análise das árvores de falhas foi desenvolvida pelos Laboratórios Bell
Telephone em 1962, a pedido da Força Aérea Americana, para uso no sistema do míssil
balístico intercontinental “Minuteman”. O pessoal da Bell, velho conhecedor da lógica
Booleana em aplicações nos equipamentos de telecomunicação, adaptou tais princípios
para criar o novo método. Engenheiros e matemáticos da Boeing Co., empenharam-se a
fundo no desenvolvimento adicional desses procedimentos, e se tornaram seus
propositores mais destacados. A técnica foi então modificada de maneira que a
simulação de computadores de alta velocidade se tornou uma realidade.
A análise é um método excelente para o estudo dos fatores que poderiam causar
um evento indesejável (falha, risco principal ou catástrofe). O estudo dos Laboratórios
Bell foi empreendido para a determinação das combinações de eventos e circunstâncias
que poderiam causar certas catástrofes específicas, uma das quais era um lançamento
não autorizado do míssil. Os métodos de análise de confiabilidade em uso na época, não
conduziam, por si sós, à determinação das possibilidades e probabilidades de ocorrência
daqueles eventos, devido ao complexo inter-relacionamento de recursos humanos,
equipamentos, materiais, e ambiente. A AAF justamente encontra sua melhor aplicação
em tais situações complexas, pela maneira sistemática na qual os vários fatores podem
ser apresentados. Trata-se, com efeito, de um modelo no qual dados probabilísticos
podem ser aplicados a seqüências lógicas.
Como decorrência de seu rápido desenvolvimento e sofisticação, é possível
considerar a análise de árvores de falhas segundo três diferentes níveis de
complexidade:
1. Desenvolver a árvore e simplesmente analisá-la, sem efetuar qualquer cálculo;
2. Desenvolver a árvore e efetuar os cálculos através de calculadoras portáteis;
3. Desenvolver a árvore e utilizar-se de um computador para efetuar os cálculos.
Descrição do Método
O método pode ser desenvolvido através dos seguintes passos:
a. Seleciona-se o evento indesejável, ou falha, cuja probabilidade de ocorrência
deve ser determinada;
b. São revisados todos os fatores intervenientes, como ambiente, dados de
projeto, exigências do sistema, etc., determinando-se as condições, eventos
particulares ou falhas que poderiam contribuir para ocorrência do evento
indesejado;
c. É preparada uma “árvore”, através da diagramação dos eventos contribuintes e
falhas, de modo sistemático, que irá mostrar o inter-relacionamento entre os
mesmos e em relação ao evento “topo” (em estudo). O processo se inicia com
os eventos que poderiam diretamente causar tal fato, formando o “primeiro
nível”; à medida que se retrocede passo a passo, as combinações de eventos e
falhas contribuintes irão sendo adicionadas. Os diagramas assim preparados
são chamados “Árvores de Falhas”. O relacionamento entre os eventos é feito
através de portas lógicas, como veremos adiante;
d. Através da Álgebra Booleana, são desenvolvidas expressões matemáticas
adequadas, representando as “entradas” das árvores de falhas. Cada porta
lógica tem implícita uma operação matemática, e estas podem ser traduzidas
em última análise por ações de adição ou multiplicação. A expressão é então
simplificada o mais possível, através dos postulados da Álgebra Booleana;
e. Determina-se a probabilidade de falha de cada componente, ou a probabilidade
de ocorrência de cada condição ou evento, presentes na equação simplificada.
Esses dados podem ser obtidos de tabelas específicas, dados dos fabricantes,
experiência anterior, comparação com equipamentos similares, ou ainda
obtidos experimentalmente para o específico sistema em estudo;
f. As probabilidades são aplicadas à expressão simplificada, calculando-se a
probabilidade de ocorrência do evento indesejável investigado.
Ressalta-se aqui que não necessariamente será levada a análise até os dados
quantitativos, ou até o nível de aprofundamento e sofisticação do uso de computador;
entretanto, mesmo ao se aplicar o procedimento em seu primeiro nível de complexidade
(simples diagramação da árvore), este leve ao analista um grande número de
informações e conhecimento muito mais completo do sistema ou situação em estudo,
propiciando-lhe uma visão bastante clara da questão e possibilidades imediatas de
atuação, no sentido da correção de condições indesejadas.
Outras aplicações ou corolários do uso das árvores de falhas podem ser:
― A determinação da seqüência mais crítica ou provável de eventos, dentre os
“ramos” da árvore, que levam ao “topo”;
― A identificação de falhas singulares ou localizadas importantes no processo;
― O descobrimento de elementos sensores cujo desenvolvimento possa reduzir a
probabilidade de contratempo em estudo.
Normalmente, encontram-se certas seqüências de eventos centenas de vezes mais
prováveis na indicação do evento indesejado do que outras. Portanto, é relativamente
fácil achar-se a principal combinação de eventos que precisa ser prevenida de modo a
reduzir a probabilidade de ocorrência do evento-topo.
Certas proposições devem ser assumidas, para o uso da AAF, e dizem respeito
tanto às suas características de funcionalidade, quanto às suas limitações. As
proposições envolvem as características de componentes, condições, ações ou eventos:
1. Os subsistemas, componentes e itens afins, podem apresentar apenas dois
modos condicionais: ou operam com sucesso, ou falham (totalmente). Não
existe operação parcialmente bem sucedida.
2. As falhas básicas são eventos independentes.
3. Cada item tem uma taxa de falha constante, que pressupõe uma distribuição
exponencial.
Todas estas implicações ficarão mais claras à medida que formos desenvolvendo
o método.
Simbologia Lógica – Portas Lógicas
Apresentamos a seguir a simbologia utilizada na AAF; pode-se dizer que é
universal, uma vez que há mínimas diferenças entre os diversos autores.
PORTA E
PORTA OU
HEXÁGONO
RETÂNGULO
CÍRCULO
Módulo ou porta AND (E). relação lógica AND-A. Output ou
saída A existe apenas se todos os B1, B2,..., Bn, existirem
simultaneamente.
Módulo ou porta OR (OU). Relação lógica inclusiva OR-A.
Output ou saída A existe, se qualquer dos B1, B2,..., Bn, ou
qualquer combinação dos mesmos existir.
Módulo ou porta de inibição. Permite aplicar uma condição ou restrição à seqüência. A entrada ou input e a condição de
restrição devem ser satisfeitas para que se gere uma saída ou
output.
Identificação de um evento particular. Quando contido numa
seqüência, usualmente descreve a entrada ou saída de um
módulo AND ou OR. Aplicada a um módulo, indica uma condição limitante ou restrição que deve ser satisfeita.
Um evento, usualmente um mau funcionamento, descrito em
termo de conjuntos ou componentes específicos. Falha
primária de um ramo ou série.
AAF – Simbologia Lógica
SEGURANÇA DE SISTEMAS
CASA DOS EVENTOS
DIAMANTE
RESTRIÇÃO
TRIÂNGULO DE
TRANSFERÊNCIA
TRIÂNGULO DE
TRANSFERÊNCIA
Um evento que normalmente se espera que ocorra;
usualmente um evento que ocorre sempre, a menos que se
provoque uma falha.
Um evento “não desenvolvido”, mas à causa de falta de
informação ou de conseqüência suficiente. Também pode
ser usado para indicar maior investigação a ser realizada,
quando se puder dispor de informação adicional.
Indica ou estipula restrições. Com um módulo AND, a
restrição dever ser satisfeita antes que o evento possa ocorrer.
Com um módulo OR, a estipulação pode ser que o evento não ocorrerá na presença de amobos ou todos os inputs
simultaneamente. Quando é usado com um módulo inibidor,
a estipulação é uma condição variável.
Um símbolo de conexão a outra parte da árvore de falhas,
dentro do mesmo ramo-mestre. Tem as mesmas funções, seqüências de eventos, e valores numéricos.
Idem, mas não tem valores numéricos.
Um exemplo simples
Para ilustração da AAF, será usado como exemplo3 um sistema domiciliar de alarme
contra fogo. Como mostrado no diagrama esquemático, existem sensores no primeiro e
segundo pisos, com fiação conectada ao alarme, o qual é energizado através da tensão
doméstica (110 V).
O evento indesejável selecionado é: “um incêndio sem alarme”.
Examinando a árvore, vemos que:
a) O evento poderá sobrevir se houver um incêndio no primeiro piso sem alarme,
OU um incêndio no segundo piso sem alarme;
b) Um incêndio no primeiro piso sem alarme significa ter-se um incêndio no
primeiro piso E o alarme incapaz de responder à existência de fogo;
c) O alarme poderá falhar ou responder ao fogo se o sensor do primeiro piso
falhar, OU se o alarme estiver inoperante;
d) O alarme tornar-se-á inoperante, se o mesmo falhar, ou seja, se a “cigarra”
falhar, OU se não houver tensão a ele fornecida, OU ainda se as linhas do
sensor falharem;
e) Não haverá potência para o alarme, se a linha de potência falhar, OU se não
houver potência elétrica domiciliar.
Similarmente, o ramo que envolve o segundo piso pode ser desenvolvido com as
mesmas considerações. O símbolo de transferência é então aposto no local apropriado,
mostrando que existe uma repetição de condições, a partir do ponto assinalado, análogas
às do primeiro piso.
3 Adaptação e complementação da AAF de um exemplo de J. L. Recht na revista “National Safety News”
– April 1966.
Árvore de Falhas para Sistema de Alarme de Fogo Domiciliar
Fogo sem Alarme
Fogo no 1.º piso sem Alarme
Fogo no 2.º piso sem Alarme
Fogo no 1.º piso
Fogo no 2.º piso
Alarme incapaz de responder a fogo no 1.º piso
Alarme incapaz de responder a fogo no 2.º piso
Alarme inoperante
Sensor 1.º piso falhou
T
T
Alarme Inoperante
Analise a árvore, verificando as comportas utilizadas e a simbologia que discrimina os diferentes tipos de eventos. Notar que há eventos “não desenvolvidos”, que poderiam gerar outros ramos ou “novas” árvores
completas
Alarme falhou
Não há potência
no sistema
Linhas do sensor falharam
Não há Potência comercial
Falha na Linha de potência
Sensor 2.º piso falhou
Árvore de Falhas para Sistema de Alarme de Fogo Domiciliar - Notação
Procedimento para Construção da Árvore de Falha
Introdução
Um FTA, na sua fase inicial de elaboração, é basicamente uma representação
gráfica da relação causa e efeito, obtida quando a falha de um sistema é
estabelecida, através da pesquisa das diferentes causas possíveis de sua origem.
Exemplo n.º 1:
Como um primeiro exemplo de construção de um FTA, considere como
falha topo “Motor falha em dar a partida”, no sistema representado na figura abaixo.
Uma definição clara da falha topo é necessária mesmo que o evento seja expresso de
uma forma abreviada. No caso mostrado o evento topo é que o motor deixa de pegar
quando o interruptor é fechado em um determinado espaço de tempo (Fig. 8.1)
Figura 8.1 – Elaboração do FTA de uma falha topo.
Análise do FTA Elaborada por Etapas
Observe que a classificação dos eventos de falha obtidos a partir do
diagrama do circuito de funcionamento constitui um ponto importante para se obter o
FTA mostrado na figura.
A falha topo, “motor falha em dar a partida” tem basicamente três causas,
falha primária do motor, falha secundária do motor e falha do comando do motor. A
falha primária do motor está baseada no próprio projeto e nos resultado advindos desta
falha.
A falha secundária é devida a causas externas ao projeto do motor, como:
a) Trabalho em condições anormais pelo fato de a chave do circuito
permanecer fechada em decorrência da operação anterior,
provocando um super-aquecimento da fiação, que dá origem a um
curto ou abertura do circuito elétrico;
b) Condições fora do especificado para operação, como vibração
problemas mecânicos, etc;
c) Manutenção imprópria, como lubrificação inadequada dos
rolamentos do motor.
A falha de comando é causada por ordens ou ruídos provocados por
componentes que gerenciam a operação no caso do problema analisado, “não
existência de corrente no motor”. As falhas primárias ou secundárias são causadas
por distúrbios dos componentes mostrados no circuito. Um componente pode não
estar na condição de funcionamento em um instante “t”, se distúrbios já ocorridos
anteriormente quebraram este componente e ele ainda não foi reparado.
Os distúrbios podem ter ocorrido em qualquer intervalo de tempo antes do
instante “t”. Entretanto, não vamos voltar no tempo, por conseguinte uma falha
primária ou secundária no instante “t” torna-se um evento terminal. Em outras
palavras, um FTA é uma fotografia de falhas que ocorrem em um sistema num
determinado espaço de tempo.
Os distúrbios nada mais são do que fatores que ocasionam a condição de um
componente, em estado de operação, passar para o estado fora de operação
quebrado, etc. Em outras palavras, podemos afirmar que os distúrbios são
probabilidades transitórias de os componentes falharem.
As falhas primárias estão representadas por círculos e consistem no evento
básico que provoca o aparecimento da falha.
As falhas secundárias estão indicadas através de um diamante, mostrando se
tratar de um evento ainda não desenvolvido para a determinação de causas. Dados
quantitativos desta falha podem ser estimados através do uso de métodos
apropriados, no caso de ela se tornar um evento básico, assunto abordado em
capítulos anteriores.
Como a falha de comando “não tem corrente elétrica no motor” é causada
pelos componentes da vizinhança, um desdobramento possível e similar a esta
falha é o “fusível não esta energizado”. Neste caso temos primeiramente uma falha
primária do fusível, o “fusível falha em abrir, em função de características
definidas pelo projeto”. Posteriormente, temos uma falha secundária, “o fusível
abre por causa de corrente excessiva”. Devemos também levar em consideração
uma falha de comando, “o fusível não esta energizado”. Outro ponto importante
na construção da árvore é o conhecimento técnico do produto. No exemplo em
questão, analisamos todos os componentes da vizinhança e verificamos que não
existem falhas de componente que possam causar o fato de não existir corrente no
fusível. Portanto, podemos desconsiderar a falha de comando e o FTA está
concluído.
Uma falha secundária do fusível pode ser causada pela passagem de corrente
excessiva através dos componentes existentes na vizinhança. Qualquer corrente
excessiva antes do intervalo de tempo “t” porque infinitas vezes anteriores o fato já
ocorreu.
Entretanto, nós podemos desenvolver um FTA para este evento, dentro de
um intervalo de tempo analisado.
Observe que, no evento “o gerador não possui corrente elétrica”, existe uma
portabilidade relativamente alta, por exemplo, 0.9999. Nós chamamos este tipo de
evento de “Eventos de Alta Probabilidade”.
Neste caso removemos os eventos de alta probabilidade, pois eles por si só
merecem uma análise detalhada. O objetivo da árvore de falha é analisar o
desdobramento das falhas dos eventos restantes, pois eles levarão ao domínio do
sistema. Somente nos casos baseados em uma análise rigorosa dos desdobramentos
da falha é que este tipo de eventos de alta probabilidade permanece na árvore,
quando associados com a porta “E”. Desta forma, podemos fazer uma
simplificação árvore. Estes eventos de alta probabilidade permanecem também na
árvore quando o nosso objetivo é obter uma probabilidade do evento topo.
Na Figura, verifica-se a utilização dos seguintes tipos de eventos:
Retângulo
Círculo
Diamante
Constata-se nesta figura a associação de eventos representados por
retângulos, um interligado ao outro, sem a utilização de portas lógicas. Esta
associação entre estes eventos, sem a utilização de portas para efeito de cálculo de
confiabilidade, nada acrescentam, apenas explicam melhor o evento da falha,
devido a isto são classificados por colunas.
Exemplo de Utilização da Metodologia do FTA.
Os eventos representados por retângulo são decorrentes de causas
secundárias, razão pela qual devem ser desdobrados conforme a dependência
funcional (Eventos Estatisticamente Dependentes). Na condição que estão
representados na figura, não permitem o cálculo de confiabilidade de evento topo.
Análise
Relação Causal
Original
Simplificação da
Relação Causal
Original Simplificação
de um FTA
quando existe 1 evento de alta
probabilidade
associado a um
evento qualquer através da porta
“E”.
Simplificação
de um FTA com
1 evento de alta probabilidade
associado a dois
ou mais eventos
através da porta “E”.
Simplificação de um evento de
baixa
probabilidade associado a
outro evento
através da porta “OU”.
Simplificação
de um FTA com um evento de
baixa
probabilidade associado a dois
ou mais eventos
através da porta
“OU”.
Tabela de Simplificação de Eventos que Possuem Alta e Baixa Probabilidade.
Pontos Importantes na Construção do FTA
Existem 7 pontos importantes a serem observados na construção de uma
árvore de falhas, que são os seguintes:
1. Substitua um evento abstrato por outro mais concreto em temos
de informação. Neste caso não utilizamos portas lógicas, mas sim
uma coluna que não significado lógico em temos de
funcionamento do sistema analisado.
2. Desdobre um evento em outros eventos complementares, que
necessitam de ocorrência simultânea para que o evento topo
aconteça. Utilizamos a porta lógica “E”. Exemplo: explosão de
um tanque desdobrado em “Explosão por enchimento em
excesso” e “Explosão por reação química”.
3. Estabeleça causas distintas para cada um dos eventos.
Representamos esta ligação através do uso da porta lógica “OU”.
4. Associe um evento gatilho a um “Evento não Previsto no
Projeto”. Esta relação entre estes eventos é indicada através do
uso da porta lógica”E”.
5. Descubra eventos cooperativos de causas que originam o evento
topo. Neste caso esta representação é efetuada com a utilização
da porta lógica “E”. Exemplo: existência de chama e vazamento
de líquido inflamável.
6. Desdobre eventos chaves em eventos cooperativos. A relação
entre estes eventos é representada pela porta lógica “E”.
7. Desdobre as falhas dos componentes de forma que se possa
estabelecer uma rota para cada causa associada aos diversos
modos de falha. Representamos estes desdobramentos de evento
abstratos para falhas primárias pela porta lógica “OU”.
Item Análise Parte correspondente
do FTA
1
Equivalente,
porém menos
abstrato.
2
Classificação das
causas que
originam o
evento E
3
Definição das
causas que
originam o
evento E
4
Evento gatilho
versus
evento não
previsto no
projeto
5
Causas
Cooperativas
6
Falha de um
componente
abstrato
7
Desdobre as
falhas dos
componentes
Pontos Importantes na Construção do FTA.
Cuidados na Construção do FTA
Devemos estar alerta, na construção do FTA, para os seguintes pontos:
1. Muitas vezes, o funcionamento normal de um componente
auxilia na propagação de uma seqüência de falhas. Neste caso
admite-se que o componente está no seu estado normal de
funcionamento;
2. Descreva em detalhes as falhas;
3. Evite um desdobramento de Porta Lógica para Porta Lógica;
4. Pense na árvore por partes;
5. As entradas da Porta Lógica devem ser sempre estabelecidas;
6. Escreva ao lado da árvore de falhas, na fase de construção notas
que explicam as situações que possivelmente causaram a
ocorrência de falha;
7. Os princípios são válidos para ambos os lados das Portas
Lógicas.
8. Destaque os eventos secundários e efetue uma análise cuidadosa
em função das etapas de análise e de cálculo, requeridos por este
tipo de evento, descritos nos capítulos anteriores. Analise e
represente na árvore sua dependência em termos de
probabilidade condicional, caso ocorra da seguinte forma;
Pr (A/C) = É a probabilidade de ocorrência do evento A,
sendo que o evento C também ocorre.
PrC
C)(A,Pr (A/C)Pr
Exemplo Completo e Exercício
Apresentaremos a seguir um exemplo mais elaborado, onde já se propõe um
exercício ao leitor, e que é desenvolvido até o valor numérico da probabilidade do
evento indesejado. Neste exemplo, o evento que está sendo analisado é a possibilidade
de superaquecimento de um trecho da fiação mostrada na figura a seguir.
O sistema funciona da seguinte maneira: o circuito é projetado para ativar a
operação do motor quando a chave (Ch) é fechada por um sistema de controle externo.
Ao ser fechada, a chave aplica uma potência a bobina do relé, através dos contatos do
temporizador, fechando seus contatos (do relé). A potência então atinge o motor, através
do fusível. Pela abertura da chave, a potência é removida da bobina do relé, abrindo
seus contatos e cortando a energia para o motor. Neste circuito, o temporizador e o relé
são dispositivos de segurança. Os contatos do temporizador se abrirão, desenergizando a
bobina do relé, se a chave (Ch) falhar em abrir depois de um intervalo predeterminado.
O fusível irá abrir, desenergizando o circuito, se o motor entrar em curto durante a
operação. A falha crítica a ser analisada é o superaquecimento do fio AB.
Ch (interruptor c/ controle externo de operação)
TBobina
Temporizador
Conexões
Bobina
RRelé
Contatos
M Motor
Fusível
Fiação
CIRCUITO ELÉTRICOA B
FONTE DC
FONTE CA
Sistema de Alarme de Fogo Domiciliar – Árvore Simplificada
FOGO
X1 X2
Fogo sem Alarme
Fogo no 1.º Piso
Fogo no 2.º Piso
A1
Sensor1.º pisofalhou
X3
Sensor2.º pisofalhou
X4
Alarme inoperante
Alarmefalhou
Linhas do sensor
falharam
Não háPotência
Comercial
Falha naLinha de Potência
A5
X5 X6 X7
X8X1
Fogo no 1.º Piso
X2
Fogo no 2.º Piso
A partir da equação simplificada pode-se traçar uma árvore de falhas simplificada,
como a que vemos acima para o exemplo dado. Se tivéssemos valores
probabilísticos para os diversos eventos anotados, poderíamos então calcular a
probabilidade do evento “Fogo sem Alarme”. Como vemos adiante, essas
probabilidades devem ser entendidas segundo o conceito de confiabilidade, ou
seja, não são dados absolutos, mas estão ligados a um tempo de operação.
O superaquecimento pode ser devido a duas causas básicas: sobrecorrente na
fiação E aplicação de potência ao sistema por um tempo prolongado (uma vez que
o aquecimento não é um fenômeno instantâneo). Dessa forma, é iniciada a árvore
de falhas mostrada na figura a seguir, usando-se uma comporta AND. No ramo
principal esquerdo da árvore, vemos que uma sobrecorrente ocorrerá, se o fusível
não abrir, E se o motor estiver em curto. O leitor deve notar que este é um modo
específico de falha para o motor. O fusível não abrirá, se estiver
superdimensionado, ou se, ainda que de dimensionamento correto, falhar em abrir
(OR). E assim por diante.
Como já foi mostrado na apresentação da simbologia, os eventos representados
por círculos são falhas básicas, que podem ser quantificadas. Os eventos “não
desenvolvidos” por falta de informação, ou que necessitam de investigação
adicional, são representados por losangos. Note-se também que os eventos
indicados “falha primária” são aqueles que não dependem da ocorrência de outros
eventos (eventos independentes). Uma falha secundária é aquela gerada como
resultado de uma falha contribuinte. Nestes casos, também teremos eliminação
matemática dessas falhas no processo de simplificação, ao aparecerem em outros
ramos ou sub-ramos da árvore. Dessa forma, o processo de simplificação irá
eliminar a duplicação de probabilidades que distorceriam o valor numérico final.
A seguir, apresentamos as expressões iniciais para o processo de simplificação da
árvore lógica deste exemplo.
Árvore de Falhas com Falhas Secundárias
