Prévia do material em texto

GESTÃO DE RISCOS 
 
 
 
2 
Sumário 
NOSSA HISTÓRIA ....................................................................................................................... 6 
INTRODUÇÃO ............................................................................................................................. 7 
TERMINOLOGIA .......................................................................................................................... 8 
Risco (Hazard): ......................................................................................................................... 8 
Risco (Risk) .............................................................................................................................. 8 
Segurança ................................................................................................................................ 8 
Perigo (Danger) ........................................................................................................................ 9 
Dano ......................................................................................................................................... 9 
Causa ....................................................................................................................................... 9 
Perda ........................................................................................................................................ 9 
Sinistro ...................................................................................................................................... 9 
Incidente ................................................................................................................................... 9 
NATUREZA DOS RISCOS EMPRESARIAIS ............................................................................. 11 
RISCOS ESPECULATIVOS ....................................................................................................... 11 
OS RISCOS ADMINISTRATIVOS: ......................................................................................... 11 
VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS ................................................................... 15 
SISTEMA DE GESTÃO .............................................................................................................. 19 
SISTEMA DE GESTÃO HOLÍSTICO ......................................................................................... 21 
Metodologia de gestão............................................................................................................ 21 
Estrutura de programas .......................................................................................................... 21 
Clima organizacional............................................................................................................... 22 
Recursos da organização ....................................................................................................... 22 
CAMPO DE FORÇAS ORGANIZACIONAL ............................................................................... 25 
GESTÃO DE RISCOS ................................................................................................................ 26 
PRINCÍPIOS DA GESTÃO DE RISCOS .................................................................................... 27 
POLÍTICA DE GESTÃO DE RISCOS ........................................................................................ 28 
 
 
 
3 
ESTRATÉGIA DA GESTÃO DE RISCOS .................................................................................. 28 
METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS ....................................................... 29 
Áreas de ação da gestão de riscos ......................................................................................... 29 
Instalação e equipamentos ..................................................................................................... 30 
Produtos ................................................................................................................................. 30 
Pessoas .................................................................................................................................. 30 
PROGRAMAS DA GESTÃO DE RISCOS .................................................................................. 30 
MONITORAMENTO DE SEGURANÇA...................................................................................... 31 
Indicadores de segurança ....................................................................................................... 31 
Auditoria de segurança ........................................................................................................... 32 
Diagnóstico de segurança ...................................................................................................... 33 
ANÁLISE E CONTROLE DE RISCOS ....................................................................................... 33 
MECANISMO DE PRODUÇÃO DE DANOS .............................................................................. 34 
IDENTIFICAÇÃO DE PERIGOS ................................................................................................ 36 
AVALIAÇÃO DE RISCOS .......................................................................................................... 36 
Fatores do risco ...................................................................................................................... 36 
Avaliação de frequência.......................................................................................................... 37 
Avaliação de consequências .................................................................................................. 41 
Avaliação de consequências .................................................................................................. 43 
Gravidade dos acidentes do trabalho ..................................................................................... 44 
ELEMENTOS DE CONTROLE DE PROCESSO ....................................................................... 45 
CONTROLE DE RISCOS ........................................................................................................... 47 
Controle no agente ................................................................................................................. 50 
Controle no alvo ...................................................................................................................... 50 
Controle na exposição ............................................................................................................ 51 
A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS ......................................................................... 52 
ANÁLISE PRELIMINAR DE RISCOS ......................................................................................... 52 
 
 
 
4 
ETAPAS BÁSICAS NA APR ...................................................................................................... 54 
MÉTODOS DE ANÁLISE DE RISCOS....................................................................................... 57 
MÉTODOS TRADICIONAIS ................................................................................................... 57 
MÉTODOS ATUAIS ................................................................................................................ 57 
TÉCNICA DE INCIDENTES CRÍTICOS – TIC ........................................................................... 58 
ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE) ............................................................ 59 
Análise de Árvores de Falhas ..................................................................................................... 63 
CONSTRUÇÃO E DESENVOLVIMENTO .................................................................................. 64 
Simbologia lógicaA avaliação quantitativa indireta é utilizada quando as frequências envolvidas 
são muito baixas, da ordem de uma vez a cada 100, 1.000, ou 10.000 anos. Nesse 
caso, é impraticável estimar a frequência de falhas observando um único dispositivo. 
Mas dispondo de dados de grande quantidade de dispositivos semelhantes, pode-se 
estimar a frequência de falha dividindo o total de falhas pelo tempo ou número de 
eventos-suporte e pelo número de dispositivo. O número obtido tem unidades de 
falhas/ (dispositivo-ano). Avaliação qualitativa direta de frequência pode ser efetuada 
por comparação do evento analisado com eventos-padrões cuja frequência é 
conhecida ou com dados históricos ou ainda com o que é esperado ocorrer na opinião 
de pessoas experientes. Para facilitar avaliação, vamos definir a variável nível de 
frequência, Nf = 10log (f /f0), em que Nf é expresso em decibéis e f0 é a frequência de 
referência. Adotando f0 = 1 ocorrência por ano, á formula é simplificada para Nf é = 
10 log f. Na Tabela 2.1 apresentamos frequências e níveis de frequência de eventos 
de referência. A Tabela 2.2 apresenta uma alternativa mais simples para categorizar 
frequências. A cada categoria associamos um número. 
 
A avaliação quantitativa da frequência de eventos que resultam de combinações de 
outros eventos pode ser feita a partir das frequências e probabilidades dos eventos que se 
combinam para gerá-lo. O estudo desses casos é de grande interesse para os estudos dos 
acidentes maiores na indústria e requer técnicas do tipo Análise por Árvore de Falhas. Um 
exemplo facilitará a compreensão do método. Considere um vaso de aço contendo gás 
 
 
 
40 
pressurizado. Considere uma válvula de alívio que atua caso a pressão interna atinja o valor 
de projeto. O vaso é o sistema de contenção e a válvula de alivio é o sistema de recomposição 
que neutraliza o agente de ruptura (pressão elevada). O vaso é submetido á pressão elevada 
se ocorrerem dois eventos simultâneos, ou seja, guardando uma relação “e”: pressão se eleva 
e válvula de alívio falha de emergência; e o terceiro, vaso submetido a pressão maior que a de 
projeto, que resulta dos anteriores, é um evento perigoso de nível superior. Suponhamos que 
a frequência da demanda seja 0,2/ano (uma a cada cinco anos) e que a frequência de falhas 
de válvula de alívio seja 0,01/ano (uma a cada cem anos). Se a válvula é testada uma vez por 
ano, será encontrada no estado falho uma vez a cada 100 anos em média. Como não sabemos 
quando ocorreu a falha, vamos supor que foi no meio do intervalo entre testes, ou seja, a válvula 
ficou seis meses no estado falho. Assim, temos seis meses de estado falho em 100 anos, ou 
seja, uma fração de tempo morto de 0,005. A fração de tempo morto é uma estimativa da 
probabilidade de falha de válvula. Quando ocorre a demanda, a probabilidade do sistema d 
controle de emergência estar no estado falho é 0,0005 ou 0,5% do tempo. A frequência do 
evento perigoso de nível superior, vaso submetido à pressão elevada, é calculada por (0,2/ 
ano) (0,005) – 0,001 ou uma vez em 1.000 anos. No exemplo não nos deparemos com uma 
relação “ou”. Essa relação existe quando a ocorrência de um dos eventos é suficiente para que 
o evento de nível superior ocorra. Por exemplo, se três eventos podem produzir a demanda – 
pressão se eleva – deve-se somar as frequências desses eventos para obter a frequência da 
demanda. A avaliação quantitativa de frequência ajuda a entender melhor o significado de 
determinados termos, como estar em perigo, correndo perigo e correndo risco. Suponhamos o 
evento danosohomem é atacado por cão feroz. A situação normal é cão preso por corrente 
dentro do quintal cercado por muro e portão fechado, e homem na rua. A partir desse estado 
inicial, a frequência de ataque é baixa, pois o evento danoso só ocorre na simultaneidade dos 
eventos: homem esta no quintal “e” cão solta-se da corrente. Seja p1 a probabilidade do evento 
e, p2,a do segundo. Se os eventos são independentes, a probabilidade do evento danoso, pd, 
é igual ao produto p1.p2, que é muito menor que p1 ou p2, pois esses números são menores 
que a unidade e geralmente muito pequenos. Entretanto, a partir do momento que o homem 
pula o muro e entra no quintal, o primeiro evento já ocorreu, e a probabilidade do evento danoso 
passa a ser p2, probabilidade do cão soltar-se, muito maior que o produto p1.p2. O perigo, 
aquilo que tem potencial para causar danos, no caso o ataque do cão, esta muito mais 
próximo de ocorrer e daí nascem às expressões: situação de perigo, em perigo e 
correndo perigo. Nesse momento, o risco atinge valor muito maior que o esperado para um 
 
 
 
41 
período maior, a partir da situação normal. Daí surgem expressões do tipo: correndo risco, 
arriscar-se. 
Avaliação de consequências 
A análise de consequências tem por objetivo avaliar o campo de ação do agente 
agressivo, calculando a capacidade agressiva em cada ponto. O estudo requer a utilização de 
modelos matemáticos e as dificuldades para se obter resultados de alta fidelidade não são 
poucas. Pra fazer a análise de consequências, devemos escolher o evento perigoso de nível 
adequado. Nos vazamos de líquidos inflamáveis, por exemplo, interessam os eventos 
perigosos incêndio e explosão. Os incêndios podem ser em poças jato de fogo, flash e bola de 
fogo; as explosões podem ser deflagrações ou detonações. A radiação térmica provoca ema 
taxa de incidência, medida em kcal/ (h . m2) que é reduzida á medida que aumenta a distância 
do incêndio, e a explosão produz uma onda de pressão cuja intensidade é reduzida á medida 
que aumenta a distancia do centro. Se o produto vazado é tóxico, interresa saber como ele se 
comporta após o vazamento, principalmente quando à direção e concentração em cada ponto 
do espaço. A concentração é reduzida à medida que aumenta a distancia do ponto de 
vazamento. Os efeitos da exposição aos campos de ação agressiva são estimados quantitativa 
por estudos que utilizam modelos de vulnerabilidade. Esses modelos fornecem previsões de 
danos para pessoas, ambiente e patrimônio expostos ao impacto (número de vitimas, número 
de feridos). As equações matemáticas são desenvolvidas para cada tipo de evento. Deve-se 
tomar cuidado na utilização dos resultados, principalmente no caso de substancias tóxicas, 
pois as equações foram desenvolvidas a partir de danos muito limitados ou de experiências 
com animais. 
 
 
 
 
 
 
42 
 
Ao evento danoso está associada uma consequência, o dano ou perda 
esperados. A gravidade das consequências depende da capacidade agressiva do 
agente, nocividade do agente nocivo inoculado, vulnerabilidade, susceptibilidade e 
capacidade de assimilação do alvo, e do tempo de exposição. Se forem utilizados 
registros de ocorrência anormais para facilitar a avaliação, deve –se trabalhar com 
consequências esperadas e não com as verificadas e nas ocorrências relatadas. 
Isso porque alguns eventos podem ter provocado danos muito diferentes do 
esperado. Por exemplo, a picada de abelha tem por dano esperado um inchaço 
acompanhado de dor, ou seja, de pouca gravidade. Entretanto pessoas alérgicas 
podem morrer em consequências da picada. O sistema de controle riscos não deve 
ser concebido com base nessa consequência de baixa probabilidade. Se isso for 
 
 
 
43 
feito. Teremos que projetar sistemas de elevado custo para evitar que as abelhas e 
pessoas tenham qualquer contato. Por outro lado, pessoas sabidamente sensíveis 
devem tomar alguns cuidados e o sistema de recuperação deve prever o rápido 
atendimento. A tabela 2.3 apresenta uma classificação qualitativa das 
consequências dos eventos danosos. Nessas tabelas, focalizamos danos sofridos 
pelo homem, mas podem-se construir tabelas semelhantes para danos ao meio 
ambiente e patrimônio. Também pode sr conveniente elaborar tabelas especificas 
para cada caso em estudo,pois uma tabela para danos patrimoniais, por exemplo, 
pode ter perdas da ordem de cem milhões de dólares no extremo da escala. Se 
perdas de milhares de dólares significarem fracasso total para o sistema em estudo, 
ou seja, forem catastróficas, a tabela padronizada não é adequada. 
Avaliação de consequências 
A avaliação final do risco se dá as cruzar as categorias de frequências e 
consequências na Tabela 2.4. Assim encontra-se a categoria de risco, a qual pode ser 
qualitativamente definida na Tabela 2.5, a qual apresenta o nível de controle desejado. 
 
 
 
 
 
44 
 
Gravidade dos acidentes do trabalho 
 A gravidade dos acidentes do trabalho é expressa pela Taxa de Gravidade e pelos Dias 
Computados. O calculo da Taxa de Gravidade é feito em dois passos, conforme ABNTNB 18. 
No primeiro, calculam-se os Dois Computados somando-se os Dias Perdidos o os Dias 
Debitados. Dias Perdidos são os dias de ausência do emprego ao trabalho. Os Dias Debitados 
só são adicionados quando há incapacidade permanente e são obtidos de uma tabela que 
fornece o número de dois dias em função da natureza da incapacidade. No segundo passo, 
calculam-se quantos seriam os Dias Computados em um milhão de horas d exposição ao risco, 
obtendo-se a Taxa de Gravidade. Portanto, os dias computados indicam a perda provocada 
pelo acidente em dias de trabalho; a taxa de Gravidade, a perda relativa um milhão de horas 
de exposição ao risco. Consideremos dois acidentes que podem ocorrer numa indústria: a. uma 
secretaria desce do ônibus ao chegar ao trabalho. Escorrega-torção no tornozelo acidente do 
trabalho. Consequências: 25 dias de afastamento. Reflexo na Taxa de Gravidade 
mensal:125. b. um operador de processamento de petróleo inspeciona o maçarico de um forno. 
O óleo combustível quente escorre atinge seu rosto e braço-acidente em trabalho. 
 
Consequência: 20 dias de afastamento. Reflexo na taxa de gravidade mensal: 
100. Serão os Dias Computados e a Taxa de Gravidade bons indicadores da gravidade 
 
 
 
45 
dos acidentes? Os dois casos descritos mostram que não. No segundo, os danos 
físicos são mais graves e há danos psicológicos, não só para acidentado, mas também 
para os familiares e colegas, atingindo também o moral da equipe. 
 O que se quer medir com os Dias Computados e a Taxa de Gravidade? 
 O calculo desses indicadores nos revela que eles medem a perda de 
capacidade produtiva! Os números não retrataram o sofrimento físico e psicológico do 
acidentado, dos familiares e colegas ou o impacto no moral da equipe e da 
organização. A tabela dos Dias Debitados, conforme NR-5,21 revela o enfoque 
predominante. Se um trabalhador perde um dedo do pé, que não o dedo grande, 
debitam-se zero dias. Nenhum, reflexo nos indicadores porque a perda não interfere 
na capacidade produtiva (??). E o sofrimento decorrente da perda dedo? E os danos 
psicológicos que se refletiram pelo resto da vida? Por outro lado, os Dias Perdidos 
estão sujeitos á variabilidade da avaliação médica que determina o tempo necessário 
á recuperação. Estão sujeitos também ao critério adotado pela empresa para mudar 
temporariamente o emprego de função. Não somos contra esses procedimentos, mas 
julgamos que devam influir nos indicadores de produtividade e não nos de gravidade 
dos acidentes. 
 ELEMENTOS DE CONTROLE DE PROCESSO 
 O risco pode ser considerado uma variável de processo de um sistema. Portanto, uma 
visão geral dos elementos de controle de processo é extremamente útil ao entendimento do 
controle de riscos. Variáveis controladas ou dependentes são as saídas do processo. O valor 
desejado é o set point ou ponto de ajuste. No controle de riscos, o risco é a variável controlada 
e o ponto de ajuste é o risco tolerado. Variáveis manipuladas ou independentes são 
entradas do processo. São os graus de liberdade disponíveis para variar o processo visando 
manter as saídas sob controle. No controle de riscos são manipuladas horas de treinamento, 
qualidade do treinamento, confiabilidade dos equipamentos, número de inspeções planejadas, 
qualidade das inspeções. Variáveis perturbações também são entradas do processo, com a 
particularidade de não estarem disponíveis para manipulação. As perturbações fazem o risco 
variar ao longo da semana, do dia das horas. Algumas perturbações não produzam variações 
significativas. Outras podem levar inclusive á perda do controle. Durante um dia de trabalho, 
variam a disposição física e o humor das pessoas. Noticias, boatos, pessoas saindo ou voltando 
de férias ou de folgas, mudanças de campanha, equipamento ou matéria-prima, e muitas outras 
 
 
 
46 
variáveis, incluindo os próprios acidentes, introduzem perturbações que tendem a alterar o 
valor da variável controlada (risco). O controle on-off ou liga-desliga caracteriza-se pela atuação 
do elemento final de controle somente quando a variável controlada atinge valores limites. É o 
caso do controle de nível de um vaso no qual a válvula da tubulação de saída é aberta quando 
o nível atinge o limite superior do controle e é fechada quando o nível atinge o limite inferior. O 
controle onoff, embora inadequado, é frequentemente adotado no controle de riscos. Quando 
ocorrem acidentes graves (limite superior do controle) são tomadas medidas corretivas.Com o 
passar do tempo, na ausência de acidentes graves (limite inferior de controle), os controles são 
relaxados e os riscos passam a crescer até que um novo acidente grave ocorra. 
 No controle em cascata, a primeira variável controlada estabelece o ponto de ajuste da 
segunda variável controlada. Por exemplo, no controle de nível de um tanque, o nível (primeira 
variável controlada) estabelece o ponto de ajuste da vazão de saída (primeira variável 
manipulada). A vazão de saída (segunda variável controlada) é controlada pela abertura da 
válvula de saída (segundo variável manipulada). Analogamente, no controle de risco atua-se 
nas horas de treinamento para controlar a habilidade, que por sua vez controla o risco. Controle 
proporcional é o que tem o sinal do controlador (elemento final de controle) proporcional ao 
erro ou desvio – diferença entre o valor atual da variável controla e o set point (ponto de ajuste). 
Entretanto pode ser que a ação não emite totalmente o desvio. No controle de riscos, a 
dimensão das medidas é proporcional ao desvio entre riscos atual e o risco tolerado, mas não 
há a preocupação em continuar atuando para eliminar totalmente o desvio. O controle integral 
ou reajuste age enquanto persistir qualquer desvio entre o valor da variável e o ponto de ajuste. 
NO controle de riscos, corresponde ás ações de melhoria continua exercida de forma 
permanente e com firmeza de propósitos, no sentido de manter o risco totalmente o desvio. O 
controle derivativo amplifica ação do controlador em função da velocidade da variação 
do sinal de desvio. Quanto maior a velocidade, mais amplifica a ação derivativa. É utilizado no 
controle de variáveis que respondem com algumas lentidões a uma variação na entrada ou 
perturbação na variável de controle. A lentidão decorre da capacidade do sistema. Exemplo: 
Considere-se o controle de temperatura de saída de um forno. Se a carga do forno entra mais 
fria, a temperatura de saída não cai quase nada instantaneamente como aconteceria com a 
vazão do liquido cuja pressão a montante fosse alterada. Pelo mesmo motivo, o efeito da ação 
de controle também é retardado. A derivativa antecipa-se e atua em função da velocidade de 
variação da temperatura de saída. No controle de risco, corresponde ás ações tomadas com 
agilidade. Quando o número de acidente começa a crescer é porque as causas ganharam 
 
 
 
47 
intensidade e o aumento maior só não é imediato por causa da inércia do sistema. Portanto, a 
ação derivativa visa deter o aumento dos acidentes. A ação deve ser tanto mais energia quanto 
mais rápida a taxa deelevação do número de acidentes. Controle Poe retroalimentação 
(feedback) é o que atua no sentido de compensar o sistema quando os efeitos de uma 
perturbação (p) já acontecem. Com base no erro (e) gerado pelo efeito estufa da perturbação, 
o controlador atua na variável manipulada (m) para trazer o sistema de volta á situação 
desejada ou set point (sp) (figura 2.2). No controle de riscos, corresponde á adoção de medidas 
corretivas em função de ocorrência anormais, ou seja, dos efeitos da manipulação do risco. 
Controle antecipatório (feedforward) é o que atua de modo a corrigir o sistema antes que os 
efeitos da perturbação se manifestam. Atuam na variável manipulada como consequência da 
medida da perturbação em si ou de alguma variável mais próxima dela (Figura 2.3). NO controle 
de risco, corresponde á adoção de medidas corretivas em função de análise de riscos 
realizados antes do sistema ser colocado em operação ou sofrer intervenções. O controle a 
partir de análises efetuadas após a introdução dos riscos não caracteriza um controle 
antecipatório, mas feedback, pois o risco já está presente e só não se manifesta devido a sua 
natureza probabilística. Controle inferencial: na malha de controle clássico, mede-se a variável 
de saída ou controlada, que é influenciada pela ação de controle (também medida) e por 
perturbações (nem sempre mensuráveis). Frequentemente, a dificuldade desse tipo de controle 
é a medição das variáveis secundárias mensuráveis e da variável manipulada (também 
mensurável) para estimar, o valor da variável controlada por meio de correlações matemáticas 
(Figura 6.4). Portanto, trata-se de um trabalho de correlacionar e estimar, prever ou inferir o 
valor de uma variável que se deseja controlar, mas que não se consegue medir. No controle 
de riscos, corresponde de trabalho e comportamento inseguros. O risco é obtido por inferência. 
Controle avançado: é um controle multi-variável. Consiste em medir os valores de diversas 
variáveis e, por meio de algoritmos de cálculo, estabelecer as alterações nas variáveis 
manipuladas. Analogamente, o controle avançado de riscos utiliza muitas variáveis não 
lineares. 
Esse controle requer visão holística. 
 CONTROLE DE RISCOS 
 A função Controlar Riscos pode ser desdobrada em Controlar Frequência e Controlar 
Consequências do evento perigoso. Esse desdobramento (Figura 2.1) é fundamental para a 
concepção do sistema de controle de riscos que abranja tanto ações de controle de frequência 
 
 
 
48 
como de controle de frequência como de controle de consequências. Pra construir um modelo 
de controle (Figura 2.5), vamos considerar um sistema exercendo sua missão num meio 
ambiente. O risco é um dos produtos do sistema e resulta de interação complexas entre 
diversos fatores associados a recursos, processos, sensores e controlador. Como ocorrem 
danos reais, incorporamos ao modelo um gera ocorrência anormais segundo a distribuição de 
probabilidades do risco introduzido na entrada. Além dos riscos gerados pelo sistema, área ou 
atividade, há os introduzidos pelas intervenções. O sistema de controle dos riscos das 
intervenções (Figura 6.6) trabalha sob orientação do controlador geral. Padrão é a referência 
para avaliar o desempenho do sistema. No caso, o padrão é rico aceito ou tolerado. Segundo 
termo é mais recomendado, pois na realidade as pessoas não aceitam o risco, o toleram. As 
pessoas toleram o risco associados a determinada atividade em razão dos benefícios que essa 
atividade lhes proporciona. O risco de uma indústria é mais tolerado por seus empregados que 
pelas pessoas da comunidade vizinha, pois a atividade industrial lhes garante salários e 
benefícios. O risco tolerado é um parâmetro fundamental para os sistemas de gestão de riscos. 
É estabelecido por algum critério de tolerabilidade que sofre influencias do cenário social e 
político e da situação econômica, financeira e cultural da organização e da sociedade. Sensor 
é o dispositivo que mede o desempenho do sistema. O primeiro sensor avalia o risco e informa 
o controlador. É importante detectar a variação do risco no primeiro sensor (sensor tipo 1) para 
que ações corretivas sejam tomadas antes das ocorrências anormais. Alguns riscos não 
detectados no primeiro sensor são detectados no segundo. Em média, o segundo sensor 
detecta grande número de ocorrências sem danos ou perdas ou com perdas pouco 
significativas antes que um evento de consequências graves ocorra. Esperar por ocorrências 
graves para tomar medidas corretivas não é uma boa política de segurança. O sensor do tipo I 
utiliza técnicas de Identificação de perigos e Análise de Riscos, tais como: APR (análise 
Preliminar de Riscos), What if? (e se?), Hazop (estudos de identificação de Perigos e 
Operabilidade), Listas de verificação (check list), Análise Quantitativa de riscos inspeções 
Planejada, AMFE (análise de Modas de Falha e Efeitos), Aaf (Análise por Árvore de Falhas), 
Análise comparativa e Análise pela Matriz das Interações. Os sensores do tipo II utilizam o 
Registro e a Análise de Ocorrência Anormais. Geralmente, a analise é apresentada num 
Relatório de Análises de Ocorrências (RAO). Os relatórios de analise de ocorrências de 
sistemas semelhantes ao analisando têm papel semelhante aos dos sensores do tipo I. O 
sensor do tipo 0 identifica riscos antes que sejam introduzidos no sistema. É um componente 
do sistema de controle de risco das intervenções. O controlador compara o desempenho do 
sistema com padrões e introduz ações corretivas para anular o desvio. Essas ações constituem 
 
 
 
49 
o plano de ação para controle de riscos. Para defini-lo, controlador pode utilizar um dos diversos 
tipos de controle de riscos. Para defini-lo, o controlador pode utilizar um dos diversos tipos de 
controle apresentados nos item anterior e seu processo interno envolve ainda:modelo do 
mecanismo de produção de danos, avaliação dos riscos, risco tolerado, desvios, orientações 
da liderança, do sistema de gestão e da cultura da organização. Na prática o controlador não 
é uma pessoa, mas um conjunto de pessoas ou mesmo órgãos da organização. O controlador 
pode manipular diversas variáveis para efetuar a intervenção. A escolha de variável manipulada 
obedece a algum critério. Todo critério envolve um parâmetro e uma regra. O parâmetro pode 
ser o ganho da variável, de maior ganho. O ganho (K) é a variação na variável controlada por 
unidade de variação da variável de controle: K= (variável controlada)/(variável de controle). A 
media de investimentos em determinada variável, o ganho tende a diminuir para novos 
incrementos, até ser atingido o ponto de saturação, partir do qual não há alteração da variável 
controlada ou o custo para obtê-la é muito elevado. Para cada variável há um ponto ótimo, 
partir do qual é melhor investir em outra. Por exemplo, se aumentarmos a habilidade dos 
operadores, reduziremos o risco. Entretanto, a partir de determinada habilidade não adianta 
continuar investindo em treinamento além, do necessário para mantê-la. Devem-se considerar 
outras variáveis como confiabilidade de equipamento e o procedimento. É preciso considerar 
também a possibilidade de existência de sinergia positiva entre duas ou mais variáveis. Por 
outro lado, toda alteração tem um custo, (preço) associado. A relação ganho/preço é o valor 
absoluto da alteração e o controlador deve optar pela alteração de maior valor relativo. Plano 
de Ação para Controle de Riscos ou simplesmente Plano de Controle de Riscos (PCR) é um 
conjunto de ações que alteram valores de variáveis manipuladas. É instrumento de intervenção 
e, dependendo da dimensão dos riscos, dos sistemas e das organizações envolvidas, pode ser 
muito simples ou bastante complexo. Pode conter ações de curto, médio e longo prazo. O plano 
de ação para intervenção num sistema operacional atinge causas imediatas. O plano de ação 
para intervençãonum sistema organizacional atinge causa básicas. A elaboração do plano de 
ação é facilitada pela utilização dos modelos do mecanismo de produção de danos. 
 I – Os danos decorrem da relação agente agressivo x alvo 
 Para exemplificar consideremos um vaso de pressão contendo amônia. Para que 
amônia cause danos 28 é preciso que: 
 
 
 
50 
(a) seja liberada no meio ambiente; 
(b) haja pessoas no campo de ação agressiva; 
(c) essas sejam pessoas expostas sem proteção. Para evitar danos, ou não 
permitimos que a amônia vaze, ou impedimos a presença de pessoas automaticamente 
operações), ou eliminamos a exposição tipo IV por meio de proteção (máscara). 
Controle no agente 
(a) Eliminar a fonte ou reduzir a qualidade e/ a energia agressiva 
(substituindo substâncias perigosas por inertes, reduzindo estoques de matérias 
primas). 
(b) Reduzir a potencia das fontes contribuintes (reduzindo estoques, vazões 
ou pressões). 
(c) Reduzir a nocividade dos agentes nocivos (substituir produtos não 
biodegradáveis por biodegradáveis, produtos tóxicos por outros menos tóxicos). 
(d) Reduzir a frequência das falhas de contenção, aumentando 
confiabilidade (tubulação com paredes de maior espessura, maior frequência de 
testes) ou implantando sistemas adicionais de contenção (bacias de contenção ao 
redor de tanques armazenando), de recomposição da contenção (válvula especiais 
acionadas pelo próprio fluxo do fluido que vaza) e de combate aos agentes de ruptura 
(proteção catódica, válvulas de alívio). 
(e) Combater agentes agressivos (diluição de gases tóxicos por insuflação 
de ar no ambiente, absorção de ruído por barreiras ou filtros). 
(f) Reduzir a ação de agentes promotores de capacidade agressiva 
(trabalhando com baixas voltagens, baixas temperaturas) e de nocividade (eliminando 
cloretos de soluções de ácido nítrico em sistemas de aço inox). 
Controle no alvo 
a. Reduzir a susceptibilidade por seleção (pessoas de pele clara não devem 
 
 
 
51 
trabalhar em salinas). 
b. Reduzir a vulnerabilidade por seleção, projeto ou construção (casas de 
controle resistentes a explosões). 
c. Aumentar a capacidade dos sistemas de defesa dos alvos (vacinas). 
 
Controle na exposição 
 
Reduzir probabilidade, tempo ou categoria da exposição por: 
 
a. Distâncias adequadas para que alvos importantes sae situam em pontos 
onde a agressividade do agente é reduzida por diluição. 
b. Sistemas de proteção coletiva ou individual (cabines acústicas, protetores 
auriculares). 
c. Sistemas de isolamento (barreiras, placas,normas, treinamento). 
d. Alarmes sonoros (sirene, bip), visuais (placas, cores) e olfativos (odorização 
com produto de odor desagradável). Incluir treinamento em detecção de alarmes. 
e. Redução da frequência de entrada de alvos no campo de ação dos agentes 
(rotinas, normas, boas práticas de trabalho). 
 
 II – OS DANOS E PERDAS DECORREM DE FALHAS NOS SISTEMAS QUE 
COMPÕEM A ORGANIZAÇÃO 
 Podemos conceder um sistema de controle de riscos no qual o controlador atua 
sobre os sistemas de controle das variáveis organizacionais e operacionais. A 
habilidade, por exemplo, e uma variável de controle de riscos que o sistema de 
treinamento controla por meio do número de horas ou da qualidade do treinamento. 
 
 
 
52 
 Entre as variáveis organizacionais do sistema de gestão, temos: política, diretrizes, 
programas, projetos, normas, procedimentos e boas práticas de trabalho; da cultura 
organizacional: valores, crenças, afetos, rituais; e da liderança: postura, empenho, 
comportamento. Entre as variáveis operacionais relativas ao homem, temos: constituição e 
número, habilidade, conhecimento, criatividade e experiência; relativas aos equipamentos: 
unções desempenho e confiabilidade; relativas aos processos e procedimentos: relação entre 
funções e tipos de matérias-primas (anatômicas), temperatura e pressão (fisiológicas). 
A IDENTIFICAÇÃO E A ANÁLISE DE RISCOS 
 
Aqui iniciamos o tópico relativo às técnicas de identificação e analise de riscos, 
apresentando as mais representativas e utilizadas. São metodologias oriundas das 
áreas: 
 - engenharia de segurança de sistemas; - engenharia de processos. 
 As técnicas possuem grande generalidade e abrangência, podendo ser aplicadas a 
quaisquer situações produtivas. 
 
ANÁLISE PRELIMINAR DE RISCOS 
A Análise Preliminar de Riscos (APR) consiste no estudo, durante a fase de concepção 
ou desenvolvimento prematuro de um novo sistema, com o fim de se determinar os riscos que 
poderão estar presentes na fase operacional. Trata-se de um procedimento que tem especial 
importância nos casos em que o sistema a ser analisado possui similaridade com quaisquer 
outros existentes, seja pela sua característica de inovação, ou pioneirismo, o que vale dizer, 
quando a experiência em riscos na sua operação é carente ou deficiente. Na área militar, onde 
surgiu, a análise foi primeiramente requerida como uma revisão a ser feita nos sistemas de 
mísseis. Nessa época, existiam mísseis cujos sistemas continham características de alto risco, 
havendo um grande nível de perigo em sua operação. Basta dizer que 72 silos de lançamento 
do míssil balístico intercontinental “Atlas”, quatro foram destruídos em rápida sucessão, sendo 
seu custo unitário igual a 12 milhões de dólares. Esses mísseis foram projetados para operarem 
com combustíveis líquidos, e a análise foi desenvolvida numa tentativa de previsão contra o 
 
 
 
53 
uso desnecessário de materiais, projetos e procedimentos de alto risco; ou pelo menos, para 
que se assegurasse que medidas preventivas fossem incorporadas, se essa utilização fosse 
inevitável. A APR é normalmente uma revisão superficial de problemas gerais de segurança; 
no estágio em que é desenvolvida, podem existir ainda poucos detalhes finais de projeto, sendo 
ainda maior a carência de informação quanto aos procedimentos, normalmente definida mais 
tarde. Para análises detalhadas ou específicas, necessárias posteriormente, deverão ser 
usados os outros métodos de análise previstos. Uma descrição sintética da técnica é dada no 
Quadro 1: 
 
EXEMPLO ILUSTATIVO: 
 O exemplo escolhido para ilustração da APR é bastante antigo. Conta a mitologia grega 
que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho Ícaro, na ilha de mesmo nome. 
Com o objetivo de escapar para a Grécia, Dédalo idealizou fabricar asas, o que fez 
habilidosamente com penas, linho e cera de abelha. Antes da partida, Dédalo advertiu a Ícaro 
que tomasse cuidado quanto a seu curso: se voasse em um nível baixo as ondas molhariam 
suas penas, e ele cairia no mar. Essa advertência, uma das primeiras análises de riscos que 
poderíamos citar, define o que hoje chamaríamos Análise Preliminar de Riscos. Adotarmos 
esta situação para a ilustração do formato para a APR, mostrado no Quadro 2. As categorias 
de risco usadas nesse modelo nos são apresentadas em seguida no Quadro 3 e foram 
adaptadas pelos autores da norma militar americana MIL-STD882, que procura estimar uma 
medida grosseira do risco presente. A mesma classificação de risco é usada na Análise de 
Modos de Falha e Efeitos (AMFE), no próximo tópico. A propósito, como é de conhecimento do 
 
 
 
54 
leitor, Ícaro voou muito alto, e pelos motivos expostos por Dédalo, veio a cair no mar (Ícaro era 
um cabeça dura). 
 
 
 
ETAPAS BÁSICAS NA APR 
 Os seguintes passos podem ser seguidos no desenvolvimento de uma APR: 
1. Rever problemas conhecidos – Revisar a experiência passada em 
sistemas similares ou análogos, para determinação de riscos que poderão estar 
presentes no sistema que está sendo desenvolvido. 
2. Revisar a missão – Atentar para os objetivos, as exigências de 
desempenho, as principais funções e procedimentos, os ambientes onde se darão as 
operações. 
 
 
 
55 
3. Determinar os riscosprincipais – Quais serão os riscos principais com 
potencialidade para causar direta e imediatamente lesões, perda de função, danos a 
equipamentos, perda de material. 
4. Determinar os riscos iniciais e contribuintes – Para cada risco principal 
detectado, elaborar as séries de riscos determinando os riscos iniciais e contribuintes. 
5. Revisar os meios de eliminação ou controle dos riscos – Elaborar uma 
revisão dos meios possíveis, procurando as melhores opções compatíveis com as 
exigências do sistema. 
6. Analisar os métodos de restrição dos danos – Considerar os métodos 
possíveis mais eficientes na restrição geral de danos, no caso de perda de controle 
sobre os riscos. 
7. Identificar quem levará a cabo as ações corretivas – Indicar claramente 
os responsáveis pelas ações corretivas, designando as atividades que cada unidade 
deverá desenvolver. 
 A Análise Preliminar de Riscos deverá ser sucedida por análises mais 
detalhadas ou específicas logo assim que for possível. Deve ser lembrado que para 
os sistemas bem conhecidos, nos quais há bastante experiência acumulada em riscos, 
a APR pouco adiciona. Nesses casos, a APR pode ser colocada em by-pass, sendo 
indicadas às outras técnicas. Ressalte-se, entretanto, sua reconhecida utilidade, no 
seu domínio de aplicação. 
 
 
 
56 
 
 No quadro 4, temos um exemplo da APR a um sistema já operacional, onde se 
pode ver sua utilidade como forma de revisão geral de riscos. 
 
 
Exemplo de aplicação: 
 
 
 
57 
MÉTODOS DE ANÁLISE DE RISCOS 
 
MÉTODOS TRADICIONAIS 
 
São métodos baseados em: 
 
 
rança ao invés da presença de segurança. 
 
 
MÉTODOS ATUAIS 
 
São métodos baseados na: 
 
 
resultar em futuras lesões ou danos de naturezas diversas (físicos, materiais, 
etc...); 
 
avaliar rapidamente os esforços de prevenção de acidentes. 
 
 
 
 
 
 
 
 
 
58 
TÉCNICA DE INCIDENTES CRÍTICOS – TIC 
 
O uso desta técnica é um método de identificar erros e condições inseguras, através do 
depoimento de uma amostra aleatória estratificada de observadores participantes, 
selecionados dentro de uma população. Os incidentes descritos por determinado número de 
observadores participantes, são transcritos e classificados em categorias de risco, a partir das 
quais definem-se as áreas problemas de incidentes. É um método que contribui em identificar 
os acidentes com lesões tanto reais como potenciais, através de amostragens de pessoas 
aleatoriamente e convenientemente selecionadas, que sejam representativas das 
operações e das diferentes categorias de risco existentes na empresa. 
 
 
 
 
É uma técnica utilizada pela Força Aérea Americana e a Westinghouse. Os 
resultados da aplicação da técnica de incidentes críticos na Westinghouse 
apresentaram-se satisfatória nos seguintes aspectos: 
 s e 
condições inseguras, que conduzem a acidentes industriais; 
 
 
 
 
59 
lesão como acidentes sem lesão; 
 
que os métodos atualmente disponíveis para o estudo de acidentes e fornece uma 
medida mais sensível de desempenho; 
 
identificar as origens de acidentes potencialmente com lesão. 
 A Técnica de Incidentes Críticos permite identificar e examinar os problemas de 
acidente antes do fato ao invés de depois do fato em termos de suas consequências com danos 
à propriedade ou produção de lesões. 
 
 
 
 
ANÁLISE DE MODOS DE FALHA E EFEITOS (AMFE) 
 
Esta técnica permite analisar como podem falhar os componentes de um 
equipamento ou sistema, estimar as taxas de falha, determinar os efeitos que poderão 
advir, e consequentemente, estabelecer as mudanças que deverão ser feitas para 
 
 
 
60 
aumentar a probabilidade de que o sistema ou equipamento funcione de maneira 
satisfatória. A melhor forma de se efetuar a aplicação desta técnica é através de uma 
planilha que permita registrar todas as informações e dados relativos aos sistemas e 
subsistemas em estudo, com os seguintes procedimentos: 
1. Divide-se o sistema em subsistemas que podem ser efetivamente controlados; 
2. Traçam-se diagramas de blocos funcionais do sistema e de cada 
subsistema, a fim de determinar seus inter-relacionamentos e de seus componentes; 
3. Prepara-se uma listagem completa dos componentes de cada subsistema, 
registrando-se ao mesmo tempo, a função específica de cada um deles; 
4. Determinam-se, através da analise de projetos e diagramas, os quatro possíveis 
modos de falha que poderiam ocorrer e afetar cada componente: operação prematura, 
falha em operar num tempo prescrito, falha em cessar de operar num tempo prescrito e 
falha durante a operação. 
5. Indicam-se os efeitos de cada falha específica sobre outros componentes do 
subsistema e, também, como cada falha específica afeta a missão do mesmo; 
6. Estima-se a gravidade de cada falha específica, de acordo com as seguintes 
categorias ou classes de risco: 
 
I – Desprezível 
II – Marginal 
III – Crítica 
IV – Catastrófica 
7. Indicam-se, finalmente, os métodos de detecção de cada falha específica e 
as possíveis ações de compensação e reparos que deverão ser adotadas para 
eliminar ou controlar cada falha específica e seus efeitos. 
 
 
 
61 
A Análise de Modo de Falha e Efeitos é muito eficiente quando aplicada a 
sistemas mais simples ou falhas singelas. Suas inadequações levaram ao 
desenvolvimento de outros métodos, tais como Análise de Árvores de Falhas (AAF), 
que a completa muito bem e que será abordada logo mais. 
Exemplos: 
 Para assimilação apresento a seguir dois exemplos de aplicação da AMFE: 
um sobre uma caixa d’água residencial e outro sobre um reator exotérmico, mostrando 
a generalidade da técnica e o seu potencial da análise na área de processos. 
 
 
 
 
62 
 
 
 
 
63 
 
Análise de Árvores de Falhas 
 
A Análise de Árvores de Falhas (AAF) foi desenvolvidas pelos laboratórios Bell 
Telephone, em 1962, a pedido da Força Aérea a Americana, para uso no sistema do 
míssil balístico intercontinental Minute man. Os primeiros textos sobre as AAFs foram 
apresentados em 1965, em um simpósio sobre segurança, patrocinado pela 
universidade de Washington e pela Boeing company, empresa no qual um grupo de 
engenheiros aplicou e expandiu a AAF. A partir daí, houve uma crescente 
disseminação, tanto da metodologia como da literatura descrita da técnica, 
destacando-se os trabalhos de Haasl, Lambert, Fussell e Henley & Kumamoto. J. 
Fussell, por exemplo, assinala em sua obra que uma Árvore de Falhas: 
 
falha de interesse; 
 
 
nção para os aspectos do sistema que são importantes para a 
 
 
 
64 
devem administrar sistemas e que, por qualquer razão, não participam das mudanças nos 
projetos desses sistemas; 
 
de sistemas; 
-se em uma particular falha do sistema num 
certo instante; 
 
 De fato, a Análise de Árvores de Falhas (AAF) é uma técnica dedutiva para a 
determinação tanto de causas potenciais de acidentes como de falhas de sistemas, e 
para a estimação de probabilidades de falha. Em seu sentido mais restrito, como 
veremos mais adiante, a AAF pode ser vista como uma forma alternativa para a 
determinação da confiabilidade de sistemas, em substituição ao uso de Diagramas de 
blocos de Confiabilidade. 
 
CONSTRUÇÃO E DESENVOLVIMENTO 
A AAF consiste fundamentalmente na determinação das causas de um evento 
indesejado, denominado evento-topo, assim chamado porque é colocado na parte mais alta da 
árvore. A partir do evento-topo, o sistema é dissecado, de cima para baixo, num numero 
crescente de detalhes, até se chegar à causa ou combinações de causas do evento indesejado 
(o qual, na maioria das vezes, é uma falha de graves consequências não só para o sistema, 
como também para o meio ambiente, a comunidade e terceiros, em termos e danos humanos, 
materiais e/ou financeiros).A AAF pode ser desenvolvida tanto qualitativa como 
quantitativamente. Assim, ela pode ser usada, na forma qualitativa, para analisar e determinar 
que combinações de falhas de componentes, erros operacionais ou outros defeitos podem 
causar o evento-topo, e na forma quantitativa, para calcular a probabilidade de falha, a 
não confiabilidade ou a indisponibilidade do sistema em estudo. A estrutura básica de um 
Arvore de falhas (AF) está demonstrada na figura 5.1. 
 
 
 
 
 
65 
 
Tais elementos básicos podem ser mais bem explicados através de um 
exemplo bastante simples. Vamos analisar uma falha de energia (blackout) num 
hospital (deixamos para o eleitor a tarefa de imaginar as possíveis consequências que 
uma falha desse tipo pode acarretar...) Por simplicidade, vamos assumir que as 
situações a serem analisadas dizem respeito basicamente a três componentes: 
 
gerado a diesel. 
 Iniciaremos nossa análise controlando o blackout como evento-topo e buscando as 
causas, ou combinações de causas, que podem levar à sua ocorrência. Para fazer isso, vamos 
montar a arvore de falhas mostrada na figura 
5.2. 
 
 
 
 
nto de 
energia externa e, em caso de falhas, transmite um sinal que aciona um 
 
 
 
66 
 
Ao examinar as causas, verificamos que, para ocorrer o evento-topo, devem falhar o 
sistema e o sistema de energia. Isto é representado por um comporta E (and) na Arvore de 
Falhas. Descendo para o segundo nível, vemos que o sistema de energia falha, se falhar o 
monitor de voltagem ou gerador a diesel, que esta representado por uma comporta OU (or). 
Assim, em resumo, a AF é ima estrutura de módulos ou comportas E e OU, com retângulos 
contendo a descrição de eventos intermediários. Se tivermos os valores das probabilidades de 
falha de cada componente, podemos então calcular a probabilidade de ocorrência do evento-
topo. As Arvores de falhas mais simples e diretas são aquelas, como a deste exemplo, em que 
todas as falhas de componentes. Nestes casos, podemos então obter a AF a partir do diagrama 
de blocos de confiabilidade, e vice-versa. 
 Vejamos mais um exemplo. Consideramos o sistema de figura 5.3: 
 
 
 
 
67 
 
Observa-se que, para o sistema falhar, deve falhar o componente c ou os dois 
subsistemas (o superior e inferior) do diagrama. Assim, obtemos a seguinte Arvore de 
Falhas: 
 
 
 
68 
 
 
Simbologia lógica 
A simbologia mais frequentemente usada nas Análises de Arvore de falhas está 
exposta na figura 5.5. 
 
 
 
69 
 
 
 
 
70 
 
Como já mencionamos anteriormente, uma AF é constituída de eventos, descritos em 
retângulos, e de módulos ou comportas. A comporta OU representa uma situação em que qual 
quer um dos eventos abaixo da comporta (chamados eventos-entrada) levara ao evento acima 
da comporta (chamado evento-saída). O evento-saída ocorrera se ocorrer somente um ou 
qualquer combinação dos eventosentrada. Representa, portanto, a união de conjuntos 
(eventos), como indicado na figura 5.6. 
 
 
 
71 
 
Já a comporta E representa uma situação em que todos os eventos-entrada devem 
estar presentes para que ocorra o evento-saída. Isto é, o evento-saída ocorrerá se 
todos eventos entrada existirem ao mesmo tempo. Representa, portanto, a 
intersecção de conjuntos (eventos), conforme apresentado na figura 5.7. 
 
Um caso particular da comporta E é a chamada comporta de inibição (figura 
5.8). Ela representa uma situação que o vento-saída ocorre a partir de um único evento-entrada, 
mas desde que antes seja satisfeita uma determinada condição. Esta condição é normalmente 
 
 
 
72 
representada por uma elipse localizada à direita da comporta. Em outras palavras, o evento-
entrada ocorre sob a condição especificada dentro da elipse. 
 
Os retângulos, por sua vez, indicam o evento-topo e os eventos intermediários; eles 
aparecem como evento-saída das comportas. Já os eventosentrada das comportas podem ser 
representados de várias formas. O círculo representa um evento independente, isto é, um 
evento cuja ocorrência não depende de outros componentes do sistema. Via de regra, indica 
uma falha primária ou básica de um componente (também chamada evento básico), 
significando que foi alcançado um limite de resolução adequando a AF. O diamante/losango 
identifica um evento não-desenvolvido, isto é, um evento não analisado em detalhes, devido à 
falta de informação ou recursos para prosseguir a análise, ou por não ser considerado um 
evento suficientemente importante. Representa as chamadas falhas secundárias de 
componentes (ver o item classificação da falhas). Pode também ser usado para indicar a 
necessidade de ser realizada uma nova investigação, quando se puder dispor de informação 
adicional. Qualquer ramo de uma AF pode, portanto, também ser encerrado com o diamante. 
A figura da casa é usada p-ara descrever um evento normal, isto é, um evento que se espera 
que ocorra normalmente durante a operação de um sistema. Não representada, portanto, uma 
falha, mas é um evento que deve ser analisado posteriormente em detalhes. A casa também 
pode ser usada para encerar qualquer ramo da AF. Finalmente, o triângulo é um símbolo de 
transferência de um ramo da AF a outro local dentro da Arvore. Com o uso deste símbolo, não 
a necessidade de repetir uma sequência de eventos iguais e diferentes áreas da AF. É usada 
também quando necessitamos de mais de uma pagina para desenhar a arvore de famílias. 
 
 
 
73 
Quando a triangulo é conectado a arvore com uma linha horizontal. Tudo que é mostrado 
abaixo do ponto de conexão é transferido para a outra área da AF. Essa área é então 
identificada por outro triângulo, o qual é conectado a arvore com uma linha vertical. Sempre 
que for necessário utilizar mais que um conjunto de símbolos de transferência, deve-se 
identificar cada um deles com uma letra ou qualquer outra figura dentro dos triângulos. 
 
 
 
 
 
 
74 
Como sabemos, um sistema consiste basicamente em vários componentes, tais como 
equipamentos, materiais e pessoas. Aliás, o termo componente não deve ser aqui entendido 
como sendo necessariamente o menor constituinte do sistema; ele pode ser perfeitamente uma 
unidade ou até mesmo um subsistema. No desenvolvimento de uma AAF, é fundamental, 
conhecer-se os diversos interrelacionamentos e características de cada componente do 
sistema. Usualmente, as falhas (ou defeitos) de componentes são classificadas em; falhas 
primarias ou básicas, falhas secundarias e falhas de comando. Por definição, uma falha 
primária ocorre num ambiente e sob condições nos quais os componentes foram projetados. 
Por exemplo, a ruptura de um vaso numa pressão menor que a especificada no projeto seria 
classificada nessa categoria. As falhas primárias (ou básicas) são, portanto causadas por 
defeitos de projeto, fabricação e montagem, uso inadequado ou excessivo, ou quando não é 
feita a necessária ou apropriada manutenção do sistema. Em linhas gerais, pode-se dizer que 
elas decorem do envelhecimento natural dos componentes, e são representadas nas AAFs – 
como vimos – pelo circuito. As falhas secundárias ocorrem num ambiente e sob condições em 
que o componente não foi projetado. Por exemplo, se a ruptura do vaso ocorresse devido 
a uma pressão excessiva, para a qual ele não foi projetado, essa falha seria classificada como 
secundária. Como o próprio nome indica, a falha não é exatamente do componente, mas esta 
na solicitação excessiva ou no ambiente que ele opera. São representadas nas AAFs pela 
figura do diamante. 
A falha ou defeito de comando é devido a sinais de controle incorretos ou 
impróprios e ruído. Na maioria das vezes, ela não exige ações de reparo para que o 
componente volte a funcionar. Assim, o nosso vaso poderia perder pressão pela 
abertura desnecessária da válvula de segurança (abertura da válvula sem existênciade pressão excessiva), o que seria classificado como falha de comando e 
representado na AAF pelo retângulo (implicando assim o prosseguimento da analise, 
com a busca e detalhamento da(s) fonte(s) do comando incorreto). 
 
 
 
75 
 
A avaliação de uma AF é sempre feita em duas etapas. Na primeira, desenvolvida de 
forma qualitativa, e montada uma expressão lógica para o eventotopo, em termos de 
combinações (uniões e intersecções) de eventos básicos. Torna-se importante para o leitor 
rever (ou conhecer) as leis, identidades e operações da chamada Álgebra Booleana, que será 
aqui utilizada especialmente para simplificar a expressão lógica da AF. As figuras 9 e 10 
mostram as principais regras e operações da lógica Booleana. Na segunda etapa, desenvolve-
se finalmente a avaliação quantitativa da AF. Após a simplificação Booleana, utiliza-se a 
expressão lógica para o cálculo da probabilidade do evento-topo, a partir das probabilidades 
de ocorrência das falhas básicas (ou primarias) de cada componente, como veremos com 
maiores detalhes no item avaliação quantitativa. 
 
AVALIAÇÃO QUANTITATIVA 
 Vamos considerar a Arvore de falhas da figura 5.11, na qual as falhas primárias 
estão designadas genericamente por letras de A a C, os eventos intermediários por E, 
e o evento-topo pela letra T. 
 
 
 
76 
 
Para avaliar qualitativamente a AF, normalmente começamos pelo eventotopo 
e vamos descendo pelos vários níveis da arvore, substituindo as comportas pelos 
símbolos OU ou E correspondentes. Assim, obtemos de inicio: 
 
T= E 1∩ E2 (1) 
 
e 
 E1= AU E3; E2= CU E4 (2) 
 Substituindo as equações (2) em (1), temos 
 
T=(AUE3)U(CUE4) (3) 
 
 
 
 
77 
Prosseguindo, verificamos que: 
 E3= BUCeE4= A∩B (4) 
 
Finalmente, substituindo as expressões (4) em (3),chegamos a: 
T=[AU(BU C)] ∩ [C U (A U B)] (5) 
 
Para a maioria das AFs, particularmente, para aquelas com uma ou mais falhas 
primarias que ocorrem em mais de um ramo da Arvore devem ser usadas, como já 
dissemos anteriormente, as regras da Álgebra de Booleana para simplificar a 
expressão lógica relativa ao evento-topo. Partido das leis e identidades apresentadas 
na figura 5.9 podemos então simplificar a nossa expressão (5). 
Vejamos: Aplicando a lei associativa e logo em seguida a lei cumulativa, temos: 
 
T=[CU(AUB)] ∩ [C U (A ∩ B)] (6) 
 Agora, aplicando a lei distributiva com 
 
X=˜ C, Y=˜ A U B e Z=˜ A ∩ B, obtemos: 
 
T=CU[(AUB) ∩ (A ∩ B)] (7) 
 
Por causa da lei associativa, nós podemos eliminar os parênteses da direita; e, 
uma vez que A ∩ B = B ∩ A, reescrevemos nossa expressão: 
 
T=CU[(AUB) ∩ B ∩ A] (8) 
 
 
 
78 
Finalmente, aplicando a lei de absorção (A U B) ∩ B = B, obtemos: 
 
T=CU(B∩A) (9) 
 Verificamos com esta expressão (9) que: 
- chegamos ao limite máximo de simplificação; 
- a falha do sistema, que corresponde ao evento-topo T, é causada 
pela falha C ou pela ocorrência simultânea das falhas A e B. 
 Portanto, o evento-topo pode ocorrer por meio de dois modos de falha: M = 
C ou M2 = A ∩ B podemos traçar então a nossa AF simplificada, conforme o exposto na figura 
5.12 a seguir. 
 
Avaliação quantitativa 
 Tendo obtido, na sua forma mais simplificada, a expressão lógica para o evento 
topo T, em termos de falhas básicas, estamos agora preparados para calcular a 
probabilidade de ocorrência do evento-topo. Neste ponto, sugerimos ao leitor rever (ou 
conhecer) princípios básicos do Cálculo de Probabilidade (*), para melhor acompanhar 
 
 
 
79 
os nossos próximos passos. Observando a expressão simplificada T=C U (B ∩ A), 
verificamos que temos de aplicar primeiramente o principio da probabilidade da união 
(**), para calcular a probabilidade de ocorrência do evento-topo T, que designaremos 
por P(T). 
 
Assim, obtemos: 
 P(T)=P(C)+P(BUA)–P(AUBC) (10) 
 
Se os eventos básicos (falhas primarias) forem independentes, as intersecções 
podem ser traduzidas pelo produto das respectivas probabilidades individuais. Desta 
forma, teremos: 
 
P(T)=P(C)+P(B).P(A)–P(A).P(B).P(C) (11) 
 
Entretanto, se houver dependência entre eventos, devemos determinar os valore de 
P(B∩A) e P(A∩B∩C), utilizando tratamentos mais sofisticados como, por exemplo, os 
chamados Modelos de Markov. Mesmo quando assumimos que as falhas são independentes, 
podemos nos defrontar com outro tipo de problema: Arvores de falhas muito extensas, com 
inúmeras falhas de componentes, em que há dezenas ou até centenas de termos de diferentes 
magnitudes a serem considerados. É muito importante, neste caso, adotar uma forma 
sistematizada que nos dê aproximações aceitáveis, sem necessidade de avaliamos todos os 
termos. Uma vez que as probabilidades de falha dificilmente são conhecidas com uma precisão 
maior do que duas ou três casas após a virgula, somente poucos termos têm significância 
efetiva. Por exemplo, suponhamos que na equação (11) as probabilidades A, B e C fossem, 
respectivamente, 10-2, 10-4 e 10-6 . Cada um dos dois primeiros termos da (11) seria então da 
ordem de 10-6, o ultimo ermo seria de ordem de 10-2, o qual poderia ser considerado 
desprezível, quando comparado aos dois primeiros. Outra abordagem bastante utilizada na 
pratica é chamada aproximação pelo evento raro, a qual também nos dá aproximação 
aceitáveis para valores de probabilidades inferiores a 0, 10. Assim,nessa abordagem, quando 
 
 
 
80 
tivermos a equação básica para P(XUY), ou seja, P(XUY)=P(X)+P(Y) – P(X∩Y), poderemos 
assumir que a probabilidade da intersecção (X∩Y), isto é, a probabilidade de ocorrência 
simultânea dos eventos X e Y é, aproximadamente, zero. Desta forma, estaremos adotando: 
 
P(XUY)≈P(X)=P(Y), (12) 
 
Que nos da uma aproximação conservadora (pessimista) de probabilidade de 
falha do sistema. Mais, voltando o nosso exemplo, se adotarmos a aproximação pelo 
evento raro, a equação (11) poderá então ser reescrita como: 
 
P(T)≈P(C)+P(B).P(A) (13) 
 
A combinação dessa forma aproximada com a assunção de independência dos eventos, 
frequentemente, nos permite obter resultados aceitáveis para a probabilidade de ocorrência do 
evento-topo. Para tanto; fazemos a avaliação de baixo para cima da AF, e vamos simplesmente 
multiplicado as probabilidades relativas as ocorrências E e somando as probabilidades relativas 
às comportas OU. Todavia, muito cuidado deve ser tomado quando tomado esse 
procedimento, porque o mesmo só se aplica a arvores nas quais não a repetição de 
eventos básicos (uma vez que eventos repetidos não são independentes) ou a arvore que 
forma logicamente reduzida a uma forma em que cada falha primaria aparece uma única vez. 
No tópico seguinte, mostramos outra sistemática para truncar expressões longas (e proibitivas) 
que aparecem em arvores de falhas extensas, as quais, alias, são as que mais ocorrem na 
pratica. 
 
 
 
 
 
 
 
81 
 
Avaliação da Arvores de Falhas 
 
Os procedimentos que acabamos de discutir no item anterior nos permitam 
avaliar AF s com relativamente com poucos ramos e eventos básicos. Quando temos 
arvoresde falhas maiores, digamos com mais de 20 falhas primárias, tanto a avaliação 
como a interpretação dos resultados torna-se consideravelmente mais difíceis, sendo 
então recomendável o emprego de códigos de computadores. 
Tais códigos ou algarismos são normalmente formulados em termos dos 
chamados conjuntos mínimos catastróficos (CMCs) que discutimos nesse item. Um 
CMC (ou Minimal Cut Set, em inglês) é definido como sendo a menor combinação de 
falhas primarias que causara a ocorrência do evento-topo, se todas elas ocorrerem. É, 
portanto, uma combinação (isto é, intersecção) de falhas básicas suficientes para 
causa evento topo. Todas elas têm que ocorrer no CMC; mesmo se apenas uma delas 
não acontecer, não ocorrera o evento-topo. A origem do termo em inglês, cut set (ou 
conjunto de corte) pode ser ilustrada graficamente, utilizando a AF simplificada na 
figura 5.12. O diagrama de blocos de confiabilidade correspondente a essa AF está 
mostrado na figura 5.13 a seguir. 
 
A ideia de cut set surgiu originalmente do uso desse tipo de diagrama para itens 
elétricos, nos quais o sinal entra à esquerda e sai a direita. Um minimal cut set corresponde 
então ao numero mínimo de componentes que deve ser cortado para evitar o fluxo de sinal. 
Na figura 5.13 temos dois conjuntos mínimos catastróficos: CMC1 = componentes A e B, e 
CMC2= componente C. A titulo de exercício, convidamos o leitor a verificar como foram 
obtidos os CMCs do diagrama, a seguir, que é a forma equivalente da AF da figura 5.14. 
 
 
 
82 
 
É fácil entender que cada CMC consiste na intersecção do numero mínimo de 
falhas primarias necessárias para causar o evento-topo. Por sua vez o evento-topo 
consiste na união de todos os CMCs. No diagrama da figura 14 temos: 
 CMC1 = C 
CMC2 = b1 ∩ b2 
CMC3 = a1 ∩ a2 ∩ b2 
CMC4 = a3 ∩ a4 ∩ b1 
CMC5 = a1 ∩ a2 ∩ a3 ∩ a4 
Deve-se também observar que há outros cut sets que podem causar eventotopo (fala do 
sistema), os quais, entretanto não correspondem aos mínimos. Não devem, portanto ser 
considerados, uma vez que eles não entram na lógica na arvore de falhas. Em outras palavras 
esse outro cut sets são absorvidos pelos CMCs, pela aplicação da álgebra booleana. Isto pode 
ser exemplificado através da própria configuração do sistema da figura 5.14. Suponhamos que 
estamos examinando o cut set M0 = b1 ∩ C, que também pode causar a falha do sistema. Se 
considerarmos, por exemplo, a união M0UCMC1, pela lei de absorção da figura 9, teremos: 
 M0 U CMC1 = (b1 ∩ c) U c = c 
 
 
 
83 
 Assim, esses outro não-CMCs são eliminados da expressão lógica do evento-topo T, a 
qual pode ser então generalizada como: 
 T=CMC1UCMC2UUCMCn (14) 
 
Para pequenas arvores de falhas, a determinação dos CMCs pode ser feita 
manualmente, utilizando-se, como nesse exemplo, as leis e operações booleanas. 
Entretanto, para AFs extensas esse procedimento torna-se extremamente trabalhoso 
e, dependendo do numero de falhas básicas, até impraticável. Devemos então lançar 
mão de computadores e softwares especiais para que nos auxiliem nessa tarefa. Mas, 
afinal, para que serve tudo isso? A determinação dos Conjuntos Mínimos Catastróficos 
podem fornecer informações valiosas sobre pontos potencialmente fracos de sistemas 
complexos, mesmo quando não é possível calcular a probabilidade de ocorrência de 
um CMC particular ou de evento-topo. Os CMCs são normalmente classificados em : 
simples, duplos, triplos etc., dependendo do numero de falhas primarias que contêm. 
Obviamente, toda ênfase deve ser dada à eliminação ou minimização dos CMCs que 
possuem pequeno numero de falhas, dos quais pode-se certamente esperar a maior 
contribuição para a ocorrência da falha do sistema. De fato, se a probabilidade de falha 
de componentes são pequena e independentes, e da mesma ordem de grandeza, 
CMCs duplos ocorrerão menos frequentemente que os CMCs simples; CMCs triplos 
menos frequentemente que os duplos e assim por diante. 
 Outra informação que os CMCs nos fornecem diz respeito à avaliação qualitativa da 
importância de um determinado componente. Vamos supor que queremos avaliar o efeito no 
sistema do aumento da confiabilidade de um dado correspondente. Se esse componente 
aparecer em um ou mais CMCs de baixa ordem, digamos, em CMCs simples ou duplos, é 
provável que sua confiabilidade tenha um efeito considerável no sistema. Por outro lado, se o 
referido componente aparecer somente em CMCs que requerem varias falhas independentes, 
sua importância em relação a falha do sistema, provavelmente, será bem pequena. Essas 
considerações permitem priorizar de CMCs e de componentes específicos, considerando que 
as falhas básicas são independentes. Se não forem, isto é, se elas forem suscetíveis às 
chamadas de falhas de modo comum (*), essa priorização pode ser alterada profundamente. 
Por exemplo, se um CMC que contém 6 falhas, 5 puderem ocorrer devido a uma causa comum, 
 
 
 
84 
a probabilidade de ocorrência do CMC poderia ser comparada talvez a um CMC duplo. Com 
frequência, são também realizadas análises para determinar a suscetibilidade de conjuntos 
mínimos catastróficos às falhas de modo comum. Esse tipo de analise tem um papel 
fundamental na determinação do layout uma planta industrial que melhor ofereça proteção 
contra uma série de fontes de danos: incêndios, inundação, colisões, falha de energia etc. A 
avaliação quantitativa de arvores de falhas através dos CMCs deve ser realizada a partir da 
expressão (14), aplicando-se nos menos procedimentos já discutidos anteriormente. Neste 
ponto, o leitor poderá indagar sobre a substancial incerteza que poderá haver em relação aos 
parâmetros básicos, como taxas de falhas de componentes, que são os inputs para calcular as 
probabilidades. De fato, as consideráveis incertezas que podem existir na adoção de valores 
pontuais acarretam a necessidade de se julgar à precisão dos resultados por meio da obtenção 
do correspondente intervalo de confiança. Pra se fazer isso, as taxas de falhas dos 
componentes e outros dados devem ser considerados como variáveis aleatórias, com uma 
média de um desvio-padrão para caracterizar a incerteza. A distribuição log normal tem tido 
bastante aplicação para representar dados de falhas desta maneira. Para pequena arvores de 
falhas, varias técnicas analíticas podem ser usadas com fim de determinar a variabilidade dos 
resultados frente a incerteza dos dados. Para AFs mais extensas, os métodos de Monte Carlo 
têm sido frequentemente utilizados (ver observação sobre softwares disponíveis, nos 
comentários finais). 
 
 
UM EXEMPLO SIMPLES DE APLICAÇÃO 
 Para dar uma idéia ao leitor do desenvolvimento de uma arvore de falhas – 
AAF – qualitativa, vamos considerar um sistema domiciliar de alarme contra fogo. 
Conforme o exposto no diagrama esquemático da figura 5.15, existem sensores no 
primeiro e segundo piso, com fiação conectada ao alarme, o qual é energizado pela 
potência domestica (110V). O evento-topo selecionado é: incêndio sem alarme. 
Examinado a arvore da figura 16 vemos que: 
a) O evento poderá sobrevir se houver um incêndio no primeiro piso sem 
alarme OU um incêndio no segundo piso sem alarme; 
b) Um incêndio no primeiro piso sem alarme significa ter-se um incêndio no 
 
 
 
85 
primeiro piso E o alarme incapaz de responder à existência de fogo; 
c) O alarme poderá falhar em responder ao fogo, se o sensor do primeiro piso 
falhar OU se o sistema estiver inoperante; 
d) o alarme torna-se-a inoperante, se o mesmo falhar, ou seja, OU se não 
houver potência a ele fornecida, OU ainda, se as linhas do sensores falharem; 
e) Não haverá potencia para o alarme, se a linha de potencia falhar OU se 
houver potencia elétrica domiciliar. 
Similarmente, o ramo que envolve o segundo piso pode serdesenvolvido com 
as mesmas considerações. O símbolo de transferência é então aposto no local 
apropriado, mostrando que existe uma repetição de condições, a partir do ponto 
assinalado, análogo às do primeiro piso. 
 
 
 
 
86 
 
O segundo nível de abordagem nas AAFs é o de introdução dos cálculos para 
a determinação da probabilidade do evento-topo. Como já foi notado na descrição do 
método, é preciso, após a diagramação lógica em equação e, por intermédio da 
álgebra booleana, simplificar as expressões, introduzindo por fim os valores das 
probabilidades de ocorrência de cada evento específico ou falha de componente. 
Vejamos como podemos aplicar as equações e, com as possíveis simplificações, 
chega até a expressão final. Notação: 
 
adição das diversas entradas, 
entadas por variáveis Bi, e implicam um produto 
das diversas entradas; 
-entrada da arvore são representadas 
por variáveis Xi. 
 
 A partir desta notação, podemos escrever. 
 Evento-topo A1 
 
 
 
87 
 A1 = B1 + B2 B1 = X1 . A3 A3 = A5 + X3 A5 = 
X5 + A6 + X6 A6 = X7 + X8 sendo então: B1 = 
X1 (X3 + X5 + X6 + X7 + X8) e portanto: B2 = 
X2 (X4 + X5 + X6 + X7 + X8) sendo A1 = B1 + 
B2 temos 
 1 = (X1 + X2)( X3 + X5 + X6 + X7 + X8) + X1X3 + X2X4 que é a pressão 
final. 
 A partir da equação simplificada, pode-se traçar uma arvore de falhas 
simplificadas, como a que vemos na figura 5.17. Se tivéssemos valores probabilísticos 
para os diversos eventos anotados, poderíamos então calcular a probabilidade do 
evento fogo sem alarme, utilizando os mesmos procedimentos descritos no item 
avaliação quantitativa. 
 
 
 
88 
 
 Comentários finais 
 Métodos quantitativos simplificados são aplicados com bastante frequência na 
pratica. Entretanto, há uma serie de situações em que, em função da complexidade 
do sistema e de sua variabilidade no tempo devem ser aplicados conhecimentos de 
informática superior, especialmente de estatística e calculo de probabilidade, para se 
equacionar corretamente os problemas de quantificação de riscos. Felizmente, já 
temos um bom elenco de softwares (programa de computador) que facilitam 
consideravelmente os trabalhos de analise de confiabilidade de riscos. Para dar uma 
rápida ideia ao leitor, relacionamos a seguir alguns deles: 
 
falhas. 
 
 para obter intervalos de confiança 
para probabilidades de falhas. 
 
 
 
 
 
89 
 
custo, peso etc. 
 
diagramas de transição de Markov. 
 
estacionário; o tempo médio até falhar (TMAF) e o tempo médio ate reparo (TMAR) do 
sistema: e a importância relativa de cada componente. 
 
 TÉCNICA DE IDENTIFICAÇÃO DE PERIGOS – E SE...? (What if?) 
 
 É uma técnica de identificação de perigos, cujo foco é “tudo que pode sair errado”. A análise 
de riscos é qualitativa. 
 
O elemento fundamental é a criatividade, pois o método consiste no questionamento aberto 
promovido pela pergunta “E se...?”. O objeto de estudo, que pode ser um sistema, processo, 
equipamento, operação, evento ou atividade, é questionado sobre qualquer aspecto que 
 
 
 
90 
julgar conveniente ou vier à cabeça no momento. Assim, são formuladas perguntas do tipo: 
E se... for colocado mais produto? E se... a matéria-prima estiver contaminada? E se... 
ocorrer um vendaval? Portanto, tratase de um brainstorming (termo que pode ser traduzido 
por tempestade cerebral; técnica utilizada para geração de idéias, cuja estratégica básica é 
a ausência de censura) estruturado e dirigido à identificação de eventos perigosos ou 
indesejáveis. Num processo industrial para produção de cloreto de vinila por reação de cloro 
com etileno, as perguntas seriam do tipo: 
 
 
E se... 
......a corrente de etileno estiver contaminada? 
......a corrente de cloro estiver contaminada? 
......a reação de cloração for muito rápida? 
......etileno sair na corrente de subproduto ácido clorídrico? 
......a tubulação romper? 
......grande quantidade de cloro for arrastada com o cloreto de vinila? 
......ocorrer uma explosão na fornalha? 
......subprodutos forem arrastados para o armazenamento de cloreto de vinila? 
 
 
 
91 
 
E SE...? COMBINADA COM LISTAS DE VERIFICAÇÃO 
 
Listas de Verificação conferem sistematização à E se..., pois as perguntas são 
formuladas e a lembrança é garantida por listas de verificação elaboradas para área 
específicas de investigação, como proteção contra incêndios, segurança elétrica, 
preservação ambiental, higiene ocupacional. Entretanto, o questionamento continua 
livre. Nesse processo, o objeto de estudo é submetido ao questionamento na óptica 
de diversos especialistas. Peritos de cada área devem ser convidados a participar e 
assumem a responsabilidade de analisar, posteriormente, as questões levantadas. 
Quando aplicar? 
A E se... é particularmente útil na fase de pesquisa e desenvolvimento de processos e 
produtos, pois nessa etapa dos empreendimentos não há informações suficientes para a 
aplicação de Hazop, AMFE, Árvore de Falhas ou Árvore de Eventos. Essas técnicas têm maior 
poder nas fases posteriores, quando informações detalhadas sobre processos, equipamentos 
e procedimentos já estão disponíveis. Entretanto, a E se...continua presente, na forma não 
explicita, mesmo no Hazop, quando causas de desvios perigosos, revelados pela aplicação 
das palavras-guia às variáveis de processo, são pesquisadas com a pergunta E se... Apesar 
do forte incentivo à criatividade inerente ao Hazop, é natural que surjam bloqueios que levem 
 
 
 
92 
a modificações radicais do processo. Isso ocorre porque os participantes resistem, 
inconscientemente, à possibilidade de destruir seu principal instrumento de trabalho, 
fluxograma. Já a E se não tem compromisso com o que foi elaborado e tende a surgir grandes 
alterações. Entretanto, não é boa política de produtividade deixar um projeto avançar, 
consumindo recursos, para só então proceder a questionamentos profundos. Por isso, A E se.. 
deve ser aplicada na fase mais primitiva dos empreendimentos. A E se... é subjetiva que o 
Hazop. Tem abordagem menos formal e sistematizada e depende fortemente da experiência e 
intuição da equipe. Se as perguntas adequadas não forem formuladas, perigos importantes 
podem deixar de serem revelados. Por isso, é recomendável que as seções mais perigosas de 
um sistema sejam analisadas por uma técnica mais rigorosa como Hazop. 
 A equipe de análise 
 A equipe de análise deve contar com um mínimo de 3 e um máximo 7 
componentes. Como toda técnica criativa, requer preparação das pessoas com o 
objetivo de remover bloqueios e estabelecer regras que garantam a livre expressão de 
idéias. Para garantir os benefícios do livre questionamento, as reuniões devem ser 
conduzidas sob determinadas regras: 
1. Todos os componentes têm igual direito de falar. 
2. Toda preocupação merece ser analisada. 
3. Espera-se que todos os componentes contribuam com idéias. 
4. Não é permitido censurar. 
5. O objetivo é a identificação de perigos, não o desenvolvimento de 
soluções específicas. 
 
Os componentes devem resistir ao impulso de tentar resolver os problemas à 
medida que vão surgindo. Se isso ocorrer, o desempenho é prejudicado. O principal 
objetivo é identificar perigos. As soluções serão estudadas à parte da reunião. Por 
isso, o formulário deve prever uma coluna para apontar os responsáveis pelas 
verificações. Na produção de cloreto de vinila, a primeira questão levantada teria por 
 
 
 
93 
recomendação verificar se há disponibilidade de etileno de alta pureza e confiabilidade 
no suprimento, pois um perigo é a presença de óleo e este reage violentamente com 
cloro. Os participantes não precisam ser especialistas em análise de riscos, mas 
devem ter conhecimento e experiência em suas especialidades para que bons 
resultados sejam alcançados. Por outro lado,a participação de novos projetistas e 
operadores deve ser encarada como uma excelente oportunidade de treinamento em 
assuntos que não são aprendidos em sala de aula. O líder deve ter habilidade e 
experiência na condução de reuniões, além de bom conhecimento em análise de 
riscos. Dele dependem, em grande parte, a produtividade, o clima organizacional da 
equipe e a manutenção do foco do trabalho. 
O relatório 
 A E se... requer formulário próprio com campos para registro do que pode sair errado, 
causas, consequências e medidas de controle de risco e de emergências. Os eventos 
perigosos, perigos revelados pelas perguntas E se... devem ser analisados quanto à frequência 
ou probabilidade de ocorrência e também quanto às consequências. Frequência ou 
probabilidade e consequência definem o risco for inaceitável, então devem ser feitas 
recomendações para que ações sejam tomadas no sentido de reduzi-lo. A análise completa 
requer priorização e indicação de responsabilidades. No exemplo da tabela o objeto de estudo 
é uma festa de aniversário. Simplificamos o formulário porque o caso é simples, omitindo a 
coluna de registro dos responsáveis pelos estudos e verificações. Entretanto, podem ser 
necessárias verificações à parte da reunião. Também, para simplificar, limitamos o número de 
questionamentos, mas um grupo de pessoas certamente levaria muito outros, como: se 
ocorrer um assalto, aparecerem pessoas não convidadas, ocorrer intoxicação alimentar? 
 
 
 
 
 
 
 
 
 
 
94 
ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE 
 
O texto a seguir é um método que pode auxiliar o profissional da área de Segurança do 
Trabalho no momento da análise do acidente seja ele com ou sem perda, utilizando e 
valorizando em muito o trabalho em equipe, deixando de ser uma tarefa exclusiva do setor de 
Segurança do Trabalho. Após a ocorrência de um acidente a primeira coisa que se pensa é ir 
logo ao local da ocorrência e levantarmos todos os dados possíveis para a análise das causas 
do acidente, tirar fotos, filmar, isolar área, etc; E na maioria das vezes a conclusão destas 
análises é sempre a mesma, ato insegura, falta de atenção, descuido, etc, e fica por aí. Muita 
das vezes se deixa de ir mais fundo nas análises dos acidentes e se conclui uma análise 
somente com os fatos visto no momento após a ocorrência, ou seja, se perde o fio da meada, 
ou melhor, se deixa ir o fio da meada, na maioria das vezes por falta de apoio da administração, 
pela falta de liberdade para se trabalhar entre outras dificuldades que enfrentamos. Devemos 
ir mais profundo nestes acontecimentos utilizando o trabalho em equipe que podemos fazer da 
seguinte forma. Após o acidente deve-se reunir os colaboradores do setor envolvido, o 
supervisor e o encarregado e se possível o acidentado comunicar e explicar a todos o fato 
ocorrido e fazer juntamente com eles um BRAINSTORMING (Tempestade de Idéias) do fato 
levantando-se todas as possíveis causas que gerou o acidente, é muito importante não 
desprezar nenhuma causa levantada por menor que seja. Depois de levantar e anotar as 
possíveis causas fazer a montagem do Diagrama de Yshikawa ou Espinha de Peixe (Anexo 1) 
para um melhor agrupamento das causas. Depois devemos montar um relatório que podemos 
chamar de RELATÓRIO DE CAUSAS (Anexo 2) onde iremos descrever o acidente e todas as 
possíveis causas relatadas durante o BRAINSTORMING. A partir deste relatório montaremos 
um plano de ação (Anexo 3) juntamente com os participantes do BRAINSTORMING, 
determinando as medidas a serem tomadas, os responsáveis pela execução das medidas, 
onde as medidas serão implantadas (geralmente na área do acidente), como se implantar estas 
medidas e o prazo para implantação das medidas para eliminar as causas que gerou o 
acidente. É muito importante também, durante este trabalho procurar outros possíveis riscos 
que possam causar problemas futuros agindo preventivamente em outros possíveis acidentes 
naquele setor. Logo após a elaboração e aprovação do plano de ação deve-se procurar divulgar 
este plano de ação no setor (quadros de aviso, reuniões de segurança, etc) para se buscar um 
maior envolvimento de todos colabores e demonstrar que se está trabalhando sobre o fato, 
fazer um acompanhamento rigoroso do cumprimento das medidas dentro dos prazos. Para se 
 
 
 
95 
executar um trabalho de análise bem feito é fundamental o comprometimento de toda a equipe, 
supervisor de produção, encarregado de produção, gerente de produção e principalmente dos 
colaboradores. 
 
Mão de obra: Toda causa que envolve uma atitude do colaborador (ex: Procedimento 
Inadequado, Pressa, Imprudência, Ato Inseguro, etc.) 
Material: Toda causa que envolve o material que estava sendo trabalho. 
Método: Toda causa envolvendo o método que estava sendo executado o trabalho. 
Máquina: Toda causa envolvendo á máquina que estava sendo operada. 
Medida: Toda causa que envolve uma medida tomada anteriormente para modificar 
processo, etc. 
Meio Ambiente: Toda causa que envolve o meio ambiente em si (poluição, 
calor, poeira, etc.) e o ambiente de trabalho (Lay Out, falta de espaço, 
dimensionamento inadequado dos equipamentos, etc). 
 
 
 
96 
 
 
OBS: Em um único plano de ação pode se ter várias ações, medidas ou 
modificações a serem feitas sendo desta forma se utiliza uma linha para cada ação, 
podendo um plano de ação ter várias linhas de ações a serem tomadas. 
 Este método de análise de acidentes contribui e muito para solucionar as causas que 
influenciaram no acidente e causas que poderiam causar outros acidentes e acima de tudo 
envolve todos os colaboradores do setor fazendo com que eles se sintam envolvidos no 
trabalho do Setor de Segurança, dando a eles liberdade para se expressarem sobre condições 
e atos inseguros no setor. 
 
 
 
 
 
 
 
 
97 
 EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa 
 
 O diagrama de Yshikawa é uma metodologia muito empregada em qualidade 
total, e em outras áreas do conhecimento humano. Ele possibilita uma avaliação rápida 
de causas e soluções aos problemas. 
 
Quando se fala no diagrama de Yshikawa, não devemos esquecer-nos da metodologia do 
PDCA, o qual é apresentado na figura 6.2. 
 
 
 
 
98 
Na figura 6.3, apresenta uma aplicação do citado diagrama, para levantar as causas 
do alto custo operacional de um escritório. 
 
 
Financiamento de riscos 
 
As ações básicas de financiamento de riscos, que serão abordadas a seguir 
compreendem: a retenção de riscos (auto-adoção e auto-seguro) e transferências de 
risco a terceiros (sem seguro e através de seguro) 
 Retenção de riscos 
 A retenção de riscos pode ser definida, genericamente, como um plano financeiro da 
própria empresa para enfrentar perdas acidentais. As formas de retenção de riscos podem ser 
classificadas em: auto-adoção (intencional e nãointencional) e auto-seguro (parcial e total). O 
auto-seguro pode ser diferenciado da auto-adoção de riscos pelo fato de que esta última não 
exige ou não envolve um planejamento formal, um fundo (financeiro) de reserva para perdas. 
Empresas adotam, normalmente, a retenção de riscos de varias maneiras: decidindo assumir 
as perdas até um determinado valor e transferido ao seguro o excedente: e decidindo 
 
 
 
99 
estabelecer fundos de reserva antes e depois da ocorrência das perdas. A auto-adoção de 
riscos, por sua vez, apresenta-se de duas formas: 
 
consequente da não identificação dos riscos, da ignorância e, até mesmo, da 
incompetência técnica e administrativa de algumas pessoas. 
 A auto-adoção intencional de risco implica a aceitação de liberada das perdas 
que são inconsequentes para a empresa, ou seja, que são perfeitamente suportáveis 
no seu contexto econômico e financeiro. Como exemplo, podemos citar riscos de 
roubo e colisão de veículos usados, acima de cinco anos; perdas.................................................................................................................... 68 
AVALIAÇÃO QUANTITATIVA .................................................................................................... 75 
Avaliação quantitativa ............................................................................................................. 78 
Avaliação da Arvores de Falhas ............................................................................................. 81 
UM EXEMPLO SIMPLES DE APLICAÇÃO ................................................................................ 84 
Comentários finais ...................................................................................................................... 88 
ANÁLISE DE ACIDENTE, UM TRABALHO DE EQUIPE ........................................................... 94 
EXEMPLO DE APLICAÇÃO: Diagrama de Yshikawa ................................................................ 97 
Financiamento de riscos ......................................................................................................... 98 
Retenção de riscos ................................................................................................................. 98 
TRANSFERÊNCIA DE RISCOS .............................................................................................. 102 
SEGURO OU AUTO-SEGURO ................................................................................................ 104 
DEFINIÇÃO DE NÍVEIS DE FRANQUIA .................................................................................. 107 
Fundamentos Matemáticos de Confiabilidade .......................................................................... 110 
ÁLGEBRA BOOLEANA ........................................................................................................ 110 
CONFIABILIDADE ................................................................................................................... 113 
Cálculo da Confiabilidade ..................................................................................................... 115 
Sistemas de componentes em série. ....................................................................................... 117 
Sistemas de redundância paralela ........................................................................................... 118 
 
 
 
5 
REFERENCIAS ........................................................................................................................ 120 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
6 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, 
em atender à crescente demanda de alunos para cursos de Graduação e Pós-
Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços 
educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação no 
desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além 
de promover a divulgação de conhecimentos culturais, científicos e técnicos que 
constituem patrimônio da humanidade e comunicar o saber através do ensino, de 
publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
 
 
 
 
 
 
 
 
7 
 
INTRODUÇÃO 
 
A busca de instrumentos cada vez mais eficazes para a prevenção e o controle 
de acidentes vem elevando o interesse pela Gerência de Riscos. Neste campo, 
profissional de áreas como Engenharia de Segurança, Meio Ambiente e outras, 
buscam uma forma de tornar mais abrangente e aprimorada suas atuações. E não se 
decepcionam, pois a Gerência de Riscos oferece meios de se otimizar os resultados 
do próprio desenvolvimento tecnológico, a partir da redução dos riscos apresentados 
pelas atividades sugeridas na moderna sociedade em que vivemos. Dado o seu 
alcance, muito há que se falar sobre Gerência de Riscos. Entretanto, neste trabalho 
optou-se em reunir as informações fundamentais sobre o assunto. Dessa forma, o 
material que segue nos próximos capítulos propiciará um adequado embasamento 
científico a todos aqueles que querem se desenvolver neste vasto campo. Segundo 
Willie Hammer: 
 Acidentes ocorrem desde tempos imemoriais, e as pessoas têm se preocupado 
igualmente com sua prevenção há tanto tempo. Lamentavelmente, apesar do assunto 
ser discutido com frequência, a terminologia relacionada ainda carece de clareza e 
precisão. Do ponto de vista técnico, isto é particularmente frustrante, pois gera desvios 
e vícios de comunicação e compreensão, que podem aumentar as dificuldades para a 
resolução de problemas. Qualquer discussão sobre riscos deve ser precedida de uma 
explicação da terminologia, seu sentido preciso e inter-relacionamento. 
 Esta colocação nos obriga a refletir e a buscar uma proposição que preencha 
nossas necessidades de uma terminologia consistente e que reflita a filosofia e o 
enfoque sobre Gerência de Riscos que iremos abordar neste curso sobre o assunto. 
 
 
 
 
 
 
 
8 
 
TERMINOLOGIA 
 
Risco (Hazard): 
 
Uma ou mais condições de uma variável com o potencial necessário para 
causar danos. Esses danos podem ser estendidos como lesões a pessoas, danos a 
equipamentos e instalações, danos ao meio ambiente, perda de material em processo, 
ou redução da capacidade de produção. Havendo um risco, persistem as 
possibilidades de efeitos adversos. Há quem traduza harzard como perigo, termo este 
mais adequado para a tradução de danger. Isto vem demonstrar a necessidade 
daqueles que trabalham na área, de que esforçarem para que chegue à melhor 
definição desses termos. Nossa posição também condiz com a tradução adotada na 
Espanha, onde se traduz harzard como riesgo, assim também ocorrendo com a 
palavra risk. 
 Risco (Risk) 
 Expressa uma probabilidade de possíveis danos dentro de um período 
específico de tempo ou número de ciclos operacionais. Pode ser indicado pela 
probabilidade de um acidente multiplicada pelo dano em reais, vidas ou unidades 
operacionais. Pode significar ainda: 
 
ou série de acidentes. 
 Segurança 
 É frequentemente definida como isenção de riscos. Entretanto, é praticamente 
impossível a eliminação completa de todos os riscos. Segurança é, portanto, um compromisso 
acerca de uma relativa proteção da exposição a riscos. É o antônimo de perigo. 
 
 
 
 
 
9 
Perigo (Danger) 
 Expressa uma exposição relativa a um risco que favorece a sua materialização em danos. 
 Dano 
 É a gravidade da perda: 
 
 A qual pode resultar, caso o controle sobre um risco seja perdido. 
 Causa 
 É a origem de caráter humano ou material relacionada com o evento 
catastrófico (acidente ou falha), resultante da materialização de um risco, provocando 
danos. 
 Perda 
 É o prejuízo sofrido por uma organização, sem garantia de ressarcimento ou outros 
meios. 
 Obs.: Empregamos praticamente só o termo perda para designar o prejuízo, 
ou eventual prejuízo, sofrido por uma empresa, independentemente da existência ou 
não da garantia de ressarcimento. 
 Sinistro 
 É o prejuízo sofrido por uma organização, com garantia de ressarcimento por seguro ou 
por outros meios. 
 Incidente 
 Qualquer evento ou fato negativo com potencial para provocar danos. É também 
chamado quase-acidente: situação em que não há danos macroscópicos.decorrentes de maus 
pagadores até um limite pré-fixado; máquinas e equipamentos etc. Essas despesas, 
usualmente previstas no capital de giro da empresa, não são inúmeras vezes, fortuitas 
em sua natureza e, portanto podem ser consideráveis inevitáveis e inerentes ao 
próprio tipo de negócio ou atividade da empresa. Se a empresa decidisse transferir 
esses riscos, o segurador teria que cobrar um prêmio que, provavelmente, seria 
considerado excessivo, uma vez que teria de ser suficientemente alto para cobrir as 
perdas esperadas e conceder uma margem, decorrente da efetivação do negócio. O 
prêmio seria, portanto, bem superior à quase-certeza das perdas esperadas. Muitas 
vezes, no entanto, a auto-adoção de riscos não é intencional e, portanto, não é 
planejada. Desnecessário dizer que este tipo de auto-adoção pode resultar, até 
mesmo em catastrófica situação econômicofinanceira para empresa. 
 As circunstancias sujeitas à auto-seguro são as mesmas, na maioria dos casos, do que 
aquelas para as quais o seguro pode ser adotado. Esses exigem um grau definido de 
planejamento financeiro, tais como a constituição de fundos de reserva para e medidas 
adicionais de controle financeiro interno. Se não existir um plano financeiro para fazer 
face às perdas, a empresa estará utilizando, consciente ou inconscientemente, o método de 
autoadoção de riscos já comentado. É muito comum ouvir que o auto-seguro vem sendo 
adotado por uma empresa, quando é evidente que se trata exclusivamente de auto- adoção de 
riscos. Não se deve considerar que o método de auto-seguro, conforme delineado acima, é 
uma forma exclusiva de financiamento de riscos. A regra geral que deve ser adotado, 
simultaneamente, mais de um método de financiamento. Por exemplo, uma empresa pode 
 
 
 
 
100 
assumir os riscos de colisão e roubos de veículos, com uma franquia máxima, e transferir o 
excedente ao seguro. Pode, ainda, adotar o auto-seguro para as perdas fiscais e transferir o 
risco de responsabilidade civil ao seguro. 
 Outro exemplo de auto-seguro parcial é encontrado no sistema de taxação 
retrospectiva que, infelizmente, pelo menos no momento, dificilmente pode ser 
adotado no Brasil. Alias, diga-se taxação retrospectiva seria, em termos de seguro de 
acidentes do trabalho, por exemplo, ma excelente opção para incentivar as empresas 
a ampliar (ou, como é na maioria das vezes, a iniciar) de forma efetiva as suas ações 
de prevenção e controle de riscos. De uma maneira geral, a taxação retrospectiva 
consiste em a empresa segurada compartilhar com o segurador uma parte das perdas 
totais. Basicamente aloca-se o custo total da garantia em função do coeficiente de 
perdas sofridas pela empresa. Existe um prêmio mínimo básico e um prêmio máximo. 
O prêmio real só é definido no final do período de vigência da apólice e das contas da 
experiência, quando as perdas são conhecidas. Quanto maior o coeficiente de perdas, 
maior será o premio a ser cobrado e vice-versa. Da mesma forma que a franquia, a 
taxação retrospectiva concede a empresa uma taxa reduzida e, consequentemente, 
um menor custo, ao assumir partes das perdas. É importante que o montante dessa 
economia dependa da eficiência das medidas de prevenção e controle adotadas pela 
organização. As razões principais que pode levar a uma empresa a adotar o auto-
seguro são as seguintes: 
 
notadamente através do seguro; 
ementar suas ações de prevenção e 
controle de perdas (é obvio que, pela implantação do auto-seguro, haverá interesse da 
empresa em adotar ou ampliar os sistemas de segurança, nem sempre considerados 
pelos seguradores com fatores de redução do custo do seguro); 
 
dos sinistros que venham a ocorrer; 
 
identificação, analise e avaliação de riscos normalmente prestados por corretores e 
seguradores; 
 
 
 
101 
-existência no mercado segurador da garantia necessária para cobrir um 
determinado risco (risco não-segurável). 
 Antes que a empresa decida adotar efetivamente o auto-seguro, é importante 
que ela observe alguns aspectos e requisitos básicos, que são os seguintes: 
 
suficientemente grande e de tal forma situado, que as perdas médias podem 
ser previstas dentro de intervalos de segurança razoavelmente estreitos. Os 
bens, objetos de risco, devem estar geograficamente dispersos, de forma a não 
estarem sujeitos à destruição simultânea por um único risco. 
 
de fundos de reserva para perdas, sem que disso resultem em dificuldades 
econômicas às suas operações normais. Portanto, o tipo de exposição a risco 
a ser auto-segurado deve envolver bens de valor financeiro relativamente baixo 
e de tal forma situados, e que não seja possível a ocorrência de perdas 
catastróficas. 
 
de auto-seguro compreende, além dos trabalhos permanentes e contínuos de 
identificação, analise de riscos: o investimento dos fundos de reserva, a manutenção de 
arquivos estatísticos, a liquidação e administração das perdas e, o que é mais 
importante, a adoção de medidas concretas de segurança e prevenção. 
 
A maioria dos programas de auto-seguro é indicado por razões econômicas. 
Dentre essas razões, podemos destacar o fato de que, como as despesas dos 
seguradores comerciais podem atingir 45% do mais bruto, variando em função do tipo 
de seguro e da própria seguradora, a economia resultante da diferença o premio puro 
e o premio bruto pode ser, em algumas circunstancias, por si só, um sério motivo para 
adoção do auto-seguro. Obviamente, seve ser considerado também que a empresa 
terá suas próprias despesas com a administração do programa de auto-seguro, as 
quais podem igualar, ou até mesmo exceder, as despesas atribuídas pelos 
seguradores. No entanto, o montante desta economia pode ser bastante significativo, 
 
 
 
102 
dependendo da eficiência e eficácia do programa de auto-seguro desenvolvido. 
Apesar de que riscos podem ser transferidos ao seguro, não é necessário, nem 
mesmo conveniente, que todos sejam transferidos. Uma regra geral que parte das 
seguintes possibilidades: 
 
I. Baixa frequência, alta gravidade; 
II. Baixa frequência, baixa gravidade; 
III. Alta frequência, alta gravidade; 
IV. Alta frequência, baixa gravidade; 
 
Estabelece que somente os riscos que recaem na categoria (I) devem ser seriamente 
considerados sujeitos a transferência. 
 Os riscos aplicados as demais categorias, provavelmente, devem ser retidos mediante 
auto-adoção ou auto-seguro. 
 
 TRANSFERÊNCIA DE RISCOS 
 
Basicamente existem duas formas para uma organização transferir seus riscos: 
a) Sem seguro, através de contatos, acordos e outras ações; 
b) Através do seguro. 
No primeiro caso, a transferência normalmente é feita através de contratos 
específicos, em que ficam definidas as responsabilidades, garantias e obrigações de 
cada uma das partes. Isto é comum ocorre com contrastes importantes que, ao 
definirem as suas condições, determinaram a transferência à contratada dos riscos 
inerentes ao contrato. Este tipo de transferência aplica-se. Geralmente, a contratos de 
serviço de construção, montagens, projetos, transportes e outros. Na verdade, a 
maioria dos contatos contém, de alguma forma; a transferência de riscos de uma parte 
 
 
 
103 
a outra, seja esta transferência consciente ou não. Nos casos de transferências 
conscientes, no entanto, é de suma importância que o gerente de riscos participe da 
elaboração de termos contratuais, de forma a analisar e definir se o custo-benefício da 
transferência é favorável a empresa. Por sua vez, o seguro é, com toda certeza, o 
método mais comum para a transferência dos chamados riscos puros e, em alguns 
casos, até dos riscos especulativos. Como já mencionamos anteriormente, no contexto 
da Gerência de Riscos, o seguro é um dos mais importantes instrumentos que a 
empresa tem disponível pra tratar os seus riscos. A partir do instante emque a 
organização decide transferir ao seguro determinados riscos, é que se inicia 
efetivamente a Administração de Seguros, a qual, como já discutimos anteriormente, 
tem na empresa uma função por si só distinta da função de gerenciamento de riscos. 
Para que o leitor (obviamente, aquele não familiarizado com o assunto) conheça os 
principais aspectos relativos ao seguro (como contrato, condições e tipos de seguros; 
condições para os riscos a serem seguráveis etc.), sugerimos que consulte as 
publicações da funenseg sobre o tema. A seguir, vamos tecer algumas considerações 
de ordem pratica a serem observadas quando da transferência de risco ao mercado 
segurador. A aquisição de seguros deve ser cuidadosamente preparada, em conjunto 
com o corretor de seguros, conforme segue: 
 
necessários para classificar os riscos que serão transferidos, e colhidas todas 
as informações que permitam a correta emissão das apólices respectivas junto 
a seguradora; 
 
a ser transferido, e definida a aplicação das franquias ideais, as quais deverão 
obedecer aos requisitos do programa de auto-seguro, já discutidos no item anterior; 
-se verificar quais as alterações que deverão 
ser feitas para melhor adaptar as condições do seguro ao risco especifico a ser 
transferido. Nem sempre tais alterações são possíveis, pois certas condições 
básicas do seguro são imutáveis. Nestes casos, a empresa devera adaptar-se 
às obrigações contratuais do seguro; 
 
 
 
 
104 
contratuais, as importâncias seguradoras de cada seguro a ser realizado, assim 
como critério de atualização dessas importâncias seguradas durante o período 
de vigência previsto para o seguro. A definição correta das importâncias 
seguradas é um dos fatores mais importantes na realização de um seguro 
correto, sem o que objetivo que levou a empresa a contratá-lo não será atingido; 
 
ao Instituto de Resseguros do Brasil – IRB – aprovação para as alterações 
possíveis, mediante aplicações de condições especiais e/ou particulares. 
Baseadas nas informações técnicas fornecidas, o IRB analisa o pedido e 
concede ou não a aprovação para as condições especiais pretendidas, e efetua 
a cotação de taxa ou premio adicional que julgar necessário para a sua 
aceitação; 
 
estabelecido o orçamento final dos seguros, bem como deverão ser analisados os 
eventuais financiamentos e parcelamento de prêmios; 
assumir suas obrigações previstas nos contratos de seguro e definido o 
orçamento do programa, as apólices deverão ser emitidas pelas 
seguradoraslíderes, previamente escolhidas. Devemos lembrar que é de 
grande importância que as apólices minuciosamente conferidas, para evitar 
qualquer problema numa eventual liquidação de sinistro. 
 SEGURO OU AUTO-SEGURO 
 
Um problema frequente para o gerente de riscos é justificar sua posição sobre 
o melhor caminho a ser seguido pela empresa para tratar os riscos que afetam, tanto 
em termos de medidas preventivas como em termos de financiamentos de riscos. Nos 
itens anteriores, foram apresentados alguns elementos que podem servir de subsídios 
e facilitar o processo de tomada de decisões, principalmente no que tange a ações de 
prevenção e controle. Neste item, discutiremos mais alguns desses elementos, só que 
voltados para os aspectos referentes às decisões sobre transferir para o seguro ou 
 
 
 
105 
auto-segurar um determinado risco. Um modelo que vem sendo utilizado em vários 
países, com esse fim é chamado Modelo de Houston, apresentado a seguir. 
 Para melhor entender a proposta do norte-americano David Houston, é importante falar 
primeiramente sobre o conceito de perda de oportunidade. Uma perda de oportunidade (ou 
custo de oportunidade) pode ser definida como um possível ganho financeiro não obtido devido 
à decisão de não participar de um determinado negócio. Consideramos a seguinte situação: 
uma sertã quantidade de dinheiro é aplicada num investimento de baixo risco (caderneta de 
poupança, por exemplo), o qual para uma pequena taxa de juros, ao invés de ser aplicada, 
digamos, na própria empresa, com taxas de retorna maiores, porém, também com maiores 
riscos. Vamos designar por (i) a porcentagem de retorno do investimento interno externo a 
empresa, e por (r) a porcentagem de retorno do capital aplicado na própria empresa. A 
diferença entre r e i representa, portanto, o custo de oportunidade do dinheiro em termos de 
ativos líquidos. Pode significar também um premio (ganho) pelo risco corrido. O Modelo de 
Houston é exatamente uma aplicação desse conceito e tem por objetivo auxiliar a tomada de 
decisões sobre a compra ou não de seguro. Suponhamos que um gerente de riscos deva 
decidir entre adoção de um alto-seguro e aquisição de seguro, para um período de um ano, em 
relação de um certo risco. Se ele optar pelo auto-seguro, necessitará de um fundo de reserva 
para perdas (F) no montante de $8000.000. Se, entretanto, ele adquirir seguro, o fundo será 
aplicado na própria empresa. O prêmio de seguro (P) é de $8.000. Os aqui adotados são 
meramente a título de exemplo. Suponhamos ainda que, se o fundo for aplicado na empresa, 
dará uma porcentagem de retorno (r) de 30% e, se for aplicado no mercado financeiro, o retorno 
(i) será de 15%. Com esses dados, o que deve fazer o gerente de riscos? O modelo proposto 
por Houston pode ser resumido no seguinte: 
 empresa, 
no final do ano considerado, será designada por PFs e igual a: 
 (1) 
Expressão em que VL é o valor líquido no início do ano, e os demais termos 
 
pelo auto-seguro, a posição financeira da empresa, nesse caso, será designado por PFAS 
e igual a: 
 
 
 
106 
 
 
Onde a parcela P/2 representa a parcela média esperada no período (assumiu-
se que a empresa poderá sofrer, a longo prazo, uma perda igual a 50% do prêmio do 
seguro). A diferença entre PFs e PFAS representa o que denomina valor econômico 
do seguro (V). Assim, se V = PFs – PFAS > 0, o gerente de riscos deverá adquirir o 
seguro. Caso contrário, isto é, se V 0, o gerente de riscos pode julgar ser mais interessante 
para empresa pagar o prêmio de $8.000 e investir o fundo de $800.000 no próprio 
negócio da organização. Deve-se ressaltar que o modelo aqui representado é bastante 
útil para auxiliar uma organização a tomar decisões sobre o financiamento de seus 
riscos. No entanto, não é o único parâmetro a ser considerado para a retenção de 
riscos. Se as condições para o auto-seguro mencionadas anteriormente não forem 
satisfeitas, uma grande perda poderá liquidar o fundo de reserva e deixar a empresa 
expostas a outras perdas futuras. 
 
 
 
 
 
107 
 DEFINIÇÃO DE NÍVEIS DE FRANQUIA 
 
O problema de determinar níveis de franquia é a grande importância nos planos de auto-
seguro (neste coso, auto-seguro parcial), uma vez que a empresa deve correr um determinado 
risco até o limite da franquia adotada. Normalmente, a perda a ser assumida pela empresa é 
igual ao montante da franquia vezes o número de perdas, em um dado ano, que a franquia foi 
assumida. Por exemplo, se a franquia é de $ 1.000 por ocorrência ou evento e o número médio 
de eventos por ano é cinco, a franquia total a ser adotada pela empresa deverá ser de $ 5.000. 
Basicamente, o nível de franquia deve refletir o montante de exposição que a empresa está 
propensa a aceitar, no seu plano de auto-seguro. Para a determinação e seleção de franquias, 
podem ser adotados, respectivamente, dois métodos: o Modelo de Houston e a Regra do 
Menor Custo. Se a empresa decidir transferir suas perdas excedentes ao seguro, o Modelo de 
Houston também pode ser utilizado para a determinação do montante ótimo de franquia a serempregada. Na verdade, o valor da franquia corresponde ao fundo de reserva a ser adotado 
pela empresa, conforme definido no tópico anterior. Assim, considerado os mesmos valores do 
exemplo dado e supondo que a empresa decidiu auto-segurar os primeiros $ 30.000 e que em 
decorrência disso, o prêmio de seguro fui reduzido para $2.000, a opção pelo seguro continuará 
a ser mais econômico para empresa? 
Vejamos. i = 0,15 e, pela nova situação, F = $ 30.000 e P = 2.000. Daí decorre que: 
 
Uma vez que o valor econômico do seguro resulta positivo (>0), a nova situação 
ainda é mais vantajosa para a empresa. Com a aplicação deste modelo, pode também 
se determinar à franquia mínima a ser adotada pela empresa; para isso, basta fazer V 
= 0 e obter o novo valor de F, mantendo os demais valores inalterados. No exemplo, 
teríamos então que a franquia (fundo de reserva) mínima é igual a: 
 
 
 
108 
 
Concluímos assim, para este caso, que o seguro deve ser adquirido, mesmo 
se a franquia for reduzida a um mínimo de $ 8.667. As análises aqui feitas permitem 
que os planos de auto-seguro não tenderão a ser lucrativos, sob as seguintes 
condições: 
 
empresa são altas; 
 
 Por outro lado, os planos de auto-seguro tenderão a ser lucrativos, quando as 
condições forem diametralmente oposta às acima enumeradas. A Regra do Menor Custo 
baseia-se na premissa de que o custo do risco é igual ao premio do seguro mais a perda 
se assumida pelo segurado em função da franquia. Evidentemente que o valor 
correspondente à franquia não será devido ao segurado, se não ocorrer uma perda. A 
perda possível, até o valor da franquia, portanto, necessita ser estimada, de forma a se 
conhecer o custo total. A regra, em termos práticos, é a de selecionar a franquia que 
resulte no menor custo total esperado (CTE), o qual é obtido da seguinte expressão: 
 (4) 
 Onde: 
P = valor do premio cotado para um certo nível de franquia; q = frequência esperada de 
eventos que ocorram em um dado ano; 
F = valor da franquia. 
Consideramos seguinte exemplo: 
liquide z, dos fundos de re serva, são relativamente baixas; 
 
 
 
109 
Uma seguradora apresenta, para o seguro de veículos (colisão) de uma 
empresa, cotações de prêmio para várias franquias. O gerente de riscos estima que o 
número de colisões é de 25% do numero de veículos da empresa. Neste caso qual a 
franquia a ser adotada? 
Aplicando a expressão (4) para cada franquia, temos: 
 
 
A regra pode ser aplicada igualmente para seleção de outros valores de 
franquia, se as premissas ou proposições forem modificadas. O gerente de riscos pode 
testar a formula para diferentes de q, de modo a verificar qual a diferença que obterá 
na franquia selecionada. Devemos salientar que a regra que estamos aqui abordando 
foi, originalmente, proposta para seleção de franquia para o seguro de automóveis, 
sendo posteriormente aplicada também para outras modalidades de seguro. 
Para finalizar, gostaríamos de propor ao leitor o seguinte problema: uma 
empresa efetuar seguro com franquia para sua frota de veículos, recebendo do 
mercado segurador a cotação constante do quadro abaixo. 
 
 
Portanto deve ser adotada a franquia de $4.500, que corresponde ao menor 
CTE, ou seja: 
 
 
 
110 
O gerente de riscos estima que o número de colisões é igual a 30% do número 
de veículos da empresa, e que a porcentagem de perdas que atinge cada franquia é, 
respectivamente, de 100%, 90%, 70% e 60%. Considerando a regra do menor custo, 
qual a franquia a ser adotada? (resposta: deve ser adotada, a principio, a franquia de 
$140 ou a de $400). 
 
Fundamentos Matemáticos de Confiabilidade 
 
ÁLGEBRA BOOLEANA 
 A álgebra Booleana foi desenvolvida pelo matemático George Boole para o estudo da 
lógica. Suas regras e expressões em símbolos matemáticos permitem aclarar e simplificar 
problemas complexos. Ela é especialmente útil onde condições podem ser expressas em não 
mais do que dois valores, tais como “”sim” ou “não”, 
“falso” ou “verdadeiro”, “alto” ou “baixo”, “0 (zero)” ou “1 (um)”, etc. A lógica 
Booleana é largamente aplicada em diversas áreas como, por exemplo, a de computadores e 
outras montagens eletromecânicas, que incorporam um grande número de circuitos “liga-
desliga”. É também utilizada em análises de probabilidade, em estudos que envolvem decisões, 
e mais recentemente, em Segurança de Sistemas. A principal diferença entre as várias disciplinas 
que se utilizam à Álgebra Booleana está na notação e na simbologia. Neste capítulo, 
apresentaremos somente os elementos básicos e as expressões comumente encontradas nas 
análises de segurança. Da chamada “Matemática Moderna” temos que um conjunto pode ser 
uma coleção de elementos, condições, eventos, símbolos, ideias ou identidades matemáticas. A 
totalidade de um conjunto será aqui expressa pelo número 1 (um), e um conjunto vazio pelo 
número 0 (zero). Os números 1 e 0 não são valores quantitativos: 1 + 1 não é igual a 2. Eles são 
meramente símbolos. Não há valores intermediários entre os dois como nos cálculos de 
probabilidade. Com o desenvolvimento da lógica Booleana para sistemas eletrônicos, foi 
introduzido o conceito de módulos ou comportas. Seus símbolos são usados em diagramas 
lógicos para indicar os inter-relacionamentos em circuitos. Estes circuitos empregam numerosos 
dispositivos biestáveis ou de dois estados, que podem ser considerados abertos ou fechados, 
ligados ou desligados. As tabelas de verdades são recursos para indicar quando uma condição 
específica resultará uma saída, quando qualquer combinação de entradas estará presente. Como 
vimos até aqui, o símbolo 1 indica que uma entrada ou saída está ou estará presente, e o 0 indica 
que não está ou não estará presente. As tabelas de verdades, mostradas a seguir, são para um 
módulo de duas entradas. Módulos com mais entradas são mais frequentes, diferindo apenas em 
complexidade. 
 
 
 
111 
 
 
Resumo das portas lógicas 
 
 
 
 
 
112 
 
 
 
 
113 
 
CONFIABILIDADE 
 Confiabilidade (R) é a probabilidade de um equipamento ou sistema 
desempenhar satisfatoriamente suas funções específicas, por um período de tempo, 
sob um dado conjunto de condições de operação. A confiabilidade difere do controle 
de qualidade no sentido de que este independe do tempo, enquanto que ela é uma 
medida da qualidade dependente do tempo. A confiabilidade pode ser considerada 
como controle de qualidade mais tempo. A probabilidade de falha (Q), até certa data 
t, é denominada “não confiabilidade”, e é o complemento de R (expresso em decimal); 
isto é: 
 Q = 1 – R 
Por exemplo: 
Se a probabilidade de falha de um sistema é de 5%, ou seja, Q = 0,05 a probabilidade de 
não haver falha (confiabilidade) será: R = 1 – 0,05 = 0,95 ou 95%. 
 
 
 
114 
A frequência com que as falhas ocorrem, num certo intervalo de tempo, é chamado 
taxa de falha ( _ ) e é medida pelo número de falhas para cada hora de operação ou 
número de operações do sistema. Por exemplo: quatro falhas em 1.000 horas de 
operação representa uma taxa de falha de 0,004 por hora. O recíproco da taxa de 
falha, ou seja, 1/ λ, denomina se Tempo Médio Entre Falhas (TMEF). No exemplo 
anterior, TMEF = 250 horas. As falhas que ocorrem em equipamentos e sistemas são 
de três tipos: 
A) Falhas prematuras: ocorrem durante o período de depuração ou 
“queima” devido a montagens pobres ou fracas, ou componentes abaixo do padrão, 
que falham logo depois de postos em funcionamento. Esses componentes vão sendo 
substituídos gradualmente, verificando-se a diminuição da taxa de falha prematura, 
até a taxa de falha total atingir um nível praticamente constante. Este nível é atribuído 
às falhas casuais. 
B) Falhas casuais: resultam de causas complexas, incontroláveis e, 
algumas vezes, desconhecidas. O período durante o qual as falhas são devidasprincipalmente a falhas causais, é a vida útil do componente ou sistema. 
C) Falhas por desgaste: inicia-se quando os componentes tenham 
ultrapassado seus períodos de vida útil. A taxa de falha aumenta rapidamente devido 
ao tempo e a algumas falhas causais. 
 Tracemos agora a curva da taxa de falha em função do tempo, de um grande 
número de componentes similares. Obtemos a chamada “Curva da Banheira”, que 
está representada a seguir: 
 
 
 
115 
 
Geralmente as falhas prematuras não são consideradas na análise de 
confiabilidade, porque se admite que o equipamento foi “depurado”, e que as peças 
iniciais defeituosos foram substituídas. Para a maioria dos equipamentos, de qualquer 
complexidade, 200 horas é um período considerado seguro para que haja a 
depuração. As falhas casuais são distribuídas exponencialmente, com taxa de falha e 
reposição constantes. As falhas por desgaste distribuem-se normalmente ou log-
normalmente, com um crescimento súbito da taxa de falha nesse período. 
 Cálculo da Confiabilidade 
 
Verificou-se que um número relativamente pequeno de funções satisfaz à 
maioria das necessidades na determinação da confiabilidade. As distribuições normais 
(taxa de falha crescente) e exponencial (taxa de falha constante) são as de mais ampla 
aplicabilidade. Nesse tópico, trataremos somente da distribuição exponencial, por ser 
ela aplicável a sistemas e equipamentos complexos, e a sistemas onde há reposição 
dos componentes que falharam. Entretanto, lembramos ao leitor que, apesar das 
distribuições mencionadas terem aplicabilidade universal, não devem ser aplicadas 
em todos os casos. Quando em dúvida, deve-se empregar os processos padrões da 
Estatística para determinar a distribuição. De acordo com o conceito de taxa de falha 
constante, durante a vida útil de um grande número de componentes similares, 
aproximadamente o mesmo número de falhas continuará a ocorrer, em iguais 
intervalos de tempo, se as peças que falham são respostas continuamente. A 
expressão matemática indica a probabilidade (ou confiabilidade) com que os 
componentes operarão, num sistema de taxa de falha constante, até a data t, sem 
falhas, é a Lei Exponencial de Confiabilidade, dada por: 
 
 
 
 
116 
 
A proporção t/T é de extrema importância: quando t = T (seja para 1 minuto, 
como para 10.000 horas, por exemplo) a confiabilidade será: R = e-1 = 0,368 (36,8%). 
Para aumentá-la é necessário que a proporção t/T seja diminuída. Quando o TMEF 
for aumentado, a taxa de falha (que é recíproco) será reduzida. 
 Consideramos, por exemplo: 
 
 temos: 
 
 
 
 
 
 
117 
Sistemas de componentes em série. 
 Consideremos agora um equipamento ou sistema composto de n 
componentes em série, ou seja, a falha de qualquer um dos componentes significa a 
quebra do equipamento do sistema. Admitimos que a falha de um componente seja 
independente da falha de qualquer outro. Sejam: ri (i= 1,2,3, ...n), as funções de 
confiabilidade dos componentes; e, R, a função de confiabilidade do equipamento. 
Demonstra-se que: 
 
Esta expressão é chamada Lei do Produto de Confiabilidade. Vejamos a seguir, 
através de um exemplo, o efeito da Lei do Produto: 
Seja um sistema de 5 componentes em série, e cada um deles com confiabilidade de 90% 
(ri = 0,90). A confiabilidade total desse sistema será: 
 
Outro sistema, de 25 componentes em série, e cada componente também com 
confiabilidade igual a 90% (ri = 0,90), teria uma confiabilidade total de apenas 7% (R=0,9025 = 
0,07). Em resumo, a confiabilidade de um sistema depende das confiabilidades individuais de 
seus componentes. Se a operação de um sistema requer que todos os componentes funcionem 
satisfatoriamente ao mesmo tempo, temos um sistema em série. Nesse sistema, a 
confiabilidade total é igual ao produto das confiabilidades individuais dos componentes. 
Sistemas eletrônicos complexos são constituídos de milhares de componentes. Para 
manter a confiabilidade tão alta quanto possível, e para minimizar o efeito da Lei do Produto, 
são empregados recursos, tais como: o uso de componentes com confiabilidade extremamente 
alta e sistemas de redundância paralela, entre outros. O aumento, mesmo pequeno, das 
 
 
 
118 
confiabilidades individuais, em sistemas onde há numerosos componentes, pode aumentar 
consideravelmente a confiabilidade total. Por exemplo: uma parte de um equipamento tem 40 
componentes em série, cada um tendo uma confiabilidade de 0,97; a confiabilidade total é: R 
= 0,9740 = 0,29. Aumentando-se cada confiabilidade individual para 0,98, a confiabilidade total 
eleva-se a: R = 0,9840 = 0,45 (acréscimo de 55,2%). 
Entretanto, o custo de cada peça com confiabilidade mais alta pode ser de 600 a 
1.500 por cento maior. 
Sistemas de redundância paralela 
 Redundância é a existência de mais de um meio de execução de uma 
determinada tarefa. De modo geral, todos os meios precisam falhar, antes da quebra 
do sistema. Por exemplo, consideremos um sistema simples de 2 componentes em 
paralelo: 
 
Portanto, Q = 0,10 x 0,20 = 0,02; e a confiabilidade total, ou probabilidade de não 
haver falha, é: 
 
 
 
119 
 R = 1 - Q = 0,98 
 Que é maior do que as confiabilidades individuais dos componentes (r1 = 0,90 
e r2 =0,80) agindo sozinhos. De uma maneira geral, se tivermos m componentes em 
paralelo, a probabilidade de falha total de um sistema, até a data t, será: 
 Q=q1* q2 *q3*qm a probabilidade de não falhar 
(confiabilidade), até t, é: 
 R= 1- Q = 1 – (q1* q2 *q3*qm) 
 Portanto, a redundância paralela é uma ferramenta de projeto para aumentar 
a confiabilidade de um sistema ou equipamento. Para se conservar suas vantagens, 
devem existir recursos que detectem os componentes que falham, e os meios que 
garantam a substituição desses componentes o mais breve possível. Os sistemas de 
redundância paralela apresentam, entretanto, algumas desvantagens: aumentam o 
custo, peso, volume, complexidade e manutenção. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
120 
 REFERENCIAS 
 
AGUIAR, Silvio. Integração das Ferramentas da Qualidade ao PDCA e ao 
Programa Seis Sigma. Belo Horizonte: Editora de Desenvolvimento Gerencial, 2002. 
 
CAMARGO, C. Celso de Brasil. Métodos probabilísticos de Energia Elétrica: 
algumas aplicações. Florianópolis: Ed. Da UFSC, 1987. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 27, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 28, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 29, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 30, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 31, 1994. 
 
DE CICCO, Francesco, FANTAZZINI, Mario Luiz. Gerência de Riscos. Novo Hamburgo: 
Suplemento especial da Revista Proteção, vol 32, 1994. 
 
 
 
121 
 
BASSETTO, Edson Luis. FINOCCHIO, Marco Antonio Ferreira. Apostila: 
Gerência de Riscos. Cornélio Procópio: Publicação Interna UTFPR, 2006. 
 
FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. 
Cornélio Procópio: Publicação Interna CEFET – PR/CP, 1999. 
 
FINOCCHIO, Marco Antonio Ferreira. Apostila: Segurança no Trabalho. 
Cornélio Procópio: Publicação Interna UTFPR, 2005. 
 
GREENE, Mark R. Decision analysis for risk management, a primer on quantitatve 
methods. New York: Risk and insurance Managemente Society, 1977. 
 
HEAD, George L. El proceso del manejo de riesgo. New York: Risk and insurance 
ManagementeSociety, 1984.10 
 
Exemplos: 
 Um risco pode estar presente, mas pode haver baixo nível de perigo, devido 
às precauções tomadas. Assim, por exemplo, um banco de transformadores de alta 
voltagem possui um risco inerente de eletrocussão, uma vez que esteja energizado. 
Há um alto nível de perigo se o banco estiver desprotegido, no meio de uma área com 
pessoas. O mesmo risco estará presente quando os transformadores estiverem 
trancados num cubículo sob o risco. Entretanto, o perigo agora será mínimo para o 
pessoal. Vários outros exemplos poderiam, ser citados, para mostrar como os níveis 
de perigo diferem, ainda que o risco se mantenha o mesmo. 
 Um operário desprotegido pode cair de uma viga a três metros de altura, e 
sofrer um dano físico, como por exemplo, uma fratura na perna. Se a viga estivesse 
colocada a 90 metros de altura, ele, com certeza, estaria morto. O risco (possibilidade) 
e o perigo (exposição) de queda são os mesmos. Entretanto, a diferença reside na 
gravidade do dano que poderia ocorrer com a queda. 
 O seguinte esquema facilita o entendimento destes termos: 
 
 
 
 
 
 
 
 
11 
NATUREZA DOS RISCOS EMPRESARIAIS 
 
Muitos estudiosos, principalmente os norte-americanos, da Gerência de Riscos, 
digamos, tradicionais, têm classificado os riscos que podem atingir uma empresa, basicamente, 
em: 
 
 
 A diferença principal entre essas duas categorias reside no fato de que os 
riscos especulativos envolvem uma possibilidade de ganho ou uma chance de perda: 
ao passo que os riscos puros envolvem somente uma chance de perda, não existindo 
nenhuma possibilidade de ganho ou lucro. Um exemplo clássico que mostra essa 
diferença é o do proprietário de um veículo, cujo risco (puro) que está associado a ele 
é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o 
proprietário sofrerá, no mínimo, uma perda financeira. Se não ocorrer nenhuma 
colisão, o proprietário não terá, obviamente, nenhum ganho. 
 RISCOS ESPECULATIVOS 
 Os riscos especulativos podem ser divididos em três tipos: 
 
 
OS RISCOS ADMINISTRATIVOS: 
 
Estão intimamente relacionados ao processo de tomada de decisões gerenciais: uma 
decisão correta pode trazer lucros para a empresa. O problema maior está na dificuldade de 
se prever, com exatidão, o resultado que advirá da decisão adotada. Essa incerteza nada mais 
 
 
 
 
 
 
 
 
12 
é que a própria definição de risco, conforme foi visto no item anterior. Os riscos administrativos 
podem ainda ser subdividido em: 
 
 
determinado produto ou serviço, a um preço suficiente que traga resultados satisfatórios em 
relação ao capital investido; 
 
produção: envolvem questões e incertezas quanto a materiais, equipamentos, mãode-
obra e tecnologia utilizados na fabricação de um produto ou ainda na prestação de um 
determinado serviço. 
 
OS RISCOS POLÍTICOS: 
 
Por sua vez, deriva-se de leis, decretos, portarias, resoluções, etc, emanados 
do Governo Federal, Estadual e Municipal, os quais podem ameaçar os interesses e 
objetivos da organização. 
 
OS RISCOS DE INOVAÇÃO: 
 
Referem-se às incertezas decorrentes, normalmente, da introdução (oferta) de 
novos produtos no mercado e da sua aceitação (demanda) pelos consumidores. 
 
 
 
 
tomadas sobre a política econômico 
 
 
 
13 
 
RISCOS PUROS 
Os riscos puros, como já mencionado, existem quando há somente uma chance 
de perda e nenhuma possibilidade de ganho ou lucro. As principais perdas acidentais 
(diretas e indiretas) resultantes da materialização dos riscos puros que 
 
causados a terceiros (responsabilidade da empresa por poluir o meio ambiente, responsabilidade 
pela qualidade de segurança do produto fabricado ou do serviço prestado, entre outras). 
 
Para dar uma ideia do significado, por exemplo, das perdas para o fabricante 
de um determinado produto resultante de um acidente com danos ao consumidor, 
vamos enumerar os itens mais importantes que incidiriam sobre a empresa: 
 
de pensões aos dependentes do reclamante e honorário advocatício; 
 
Tais indenizações poderiam também incluir: 
• Custos de reposição do produto e de outros itens danificados; 
• Perda de rendimentos operacionais; 
• Custos de recuperação do equipamento danificado; 
• Custo com assistência emergencial; 
• Custos administrativos; 
• Honorários dos advogados do reclamante; 
• Tempo e salários perdidos; 
• Honorários dos advogados de defesa; 
• Custos da investigação do acidente; 
• Ações corretivas para evitar repetição do acidente; 
or danos 
 
 
 
 
14 
• Queda de produção durante a determinação das causas do acidente e durante a 
adoção de ações corretivas; 
• Penalidades por falhas na adoção de ações corretivas de riscos, defeitos ou 
condições que violam preceitos legais; 
• Tempo perdido do pessoal da empresa fabricante; 
• Obsolescência do equipamento associado ao produto que deverá ser 
modificado; 
• Aumento das tarifas de seguro; 
• Perda de confiança perante a opinião pública; 
• Perda de prestígio; o Degradação moral. 
 
Ambos os casos, normalmente considera-se que a Gerência de Riscos trata 
apenas das questões relativas à prevenção e ao financiamento dos riscos puros. 
Entretanto, vale mencionar que muitas de suas técnicas podem ser igualmente 
aplicadas aos riscos especulativos. É importante lembrar também o papel fundamental 
que desempenha nos programas de gerenciamento de riscos, o estudo dos incidentes 
(quase acidentes). Para melhor caracterizar o que estamos afirmando, vamos 
considerar um estudo bastante representativo realizado nos Estados Unidos, em 1969, 
pela Insurance Company of North América, o qual abrangeu 1.753.498 acidentes 
registrados por 297 organizações que representavam 21 diferentes setores de 
atividades e empregavam 1.750.000 trabalhadores. O tempo de exposição aos riscos 
somou, no período analisado, mais de três bilhões de horas-homem. 
 Esse estudo revelou que, para cada acidente com lesão grave (com 
afastamento), havia 9,8 acidentes com lesão leve (sem afastamento) e 30,2 acidentes 
com danos à propriedade. Parte do estudo compreendeu 4.000 horas de entrevistas 
a trabalhadores sobre a ocorrência de incidentes que, em circunstâncias ligeiramente 
diferentes, poderiam ter causado lesões ou danos à propriedade. Como resultado 
dessas entrevistas, conclui-se que, para cada lesão grave, ocorreram 600 incidentes 
(quase acidentes) que não apresentaram lesões ou danos visíveis. O estudo das 
proporções de acidentes é apresentado na Figura 1. 
 
 
 
15 
 
(*) lesão pessoal que impede o acidentado de voltar ao trabalho no dia imediato ao do 
acidente ou de que resulte incapacidade permanente. 
(**) lesão pessoal que não impede o acidentado de voltar ao trabalho no dia imediato 
ao acidente, desde que não haja incapacidade permanente. 
Esta relação indica claramente que esforços de prevenção e controle de riscos 
devem ser concentrados não só nos acidentes com lesões, mas também nos 
acidentes, pois qualquer um destes últimos pode resultar ainda em uma lesão grave 
ou morte. 
 VISÃO ATUAL SOBRE A GERÊNCIA DE RISCOS 
É extremamente difícil enumerar as razões que têm tornado a Gerência de Riscos o 
assunto do momento. Entretanto, uma razão importante é que as empresas e o público em 
geral tomaram uma nova consciência dos riscos potenciais decorrentes do contínuo progresso 
tecnológico. A percepção de que consequências irreversíveis podem afetar o meio ambiente, 
que os recursos não são ilimitados e que, do ponto de vista da economia em geral, o dinheiro 
nunca pode compensar vidas e valores destruídos, também merecem ser citados neste 
contexto. Além disso, uma atitude mais crítica do consumidor de bens e de serviços, com 
relação ao fabricante ou fornecedor, tem um efeito semelhante. Está-se exigindomaior 
responsabilidade dos empresários. Esses progressos, que também são refletidos na legislação, 
juntamente com um clima difícil na economia, estão forçando as empresas a se 
 
 
 
16 
responsabilizarem por todas as perdas que, de um modo ou de outro, ameaçam seus objetivos: 
seja conseguir bom nível de lucro seja manter os negócios em bom andamento ou, até mesmo, 
garantir a própria existência da organização. A rigor, a Gerência de Riscos, em termos de 
consciência do risco ou de vivência com ele é tão antiga quando o próprio homem. Na verdade, 
o homem sempre esteve envolvido com riscos e com muitas das decisões de Gerência de 
Riscos. Muito antes da existência do que hoje denominamos gerentes de riscos, indivíduos 
dedicavam-se (e têm se dedicado) a tarefas e funções específicas de segurança do trabalho, 
proteção contra incêndio, segurança patrimonial, controle de qualidade, inspeções e análises 
de risco para fins de seguro e inúmeras outras atividades semelhantes. O que ocorreu com 
relação à Gerência de Riscos é que os americanos e europeus aglutinaram o que inúmeras 
pessoas vinham fazendo de forma independente em um conjunto de teorias lógicas e objetivas, 
e lhe deram o nome de Risk Management. Entretanto, um cuidadoso exame de diversos 
estudos, trabalhos e publicações sobre o assunto revelam que não existe concordância quanto 
à natureza, conceito e conteúdo da Gerência de Riscos. 
 
Conceito: 
 
 
 
17 
 Várias têm sido tentativas para se definir o conceito de Gerência de Riscos. O 
objetivo aqui não é levantar polêmicas a respeito dessa questão. No entanto, a visão 
que é apresentada da Gerência de Riscos está intimamente ligada ao conceito e 
conteúdo que atribuímos à mesma, os quais serão explanados a seguir. Pode-se dizer 
que a Gerência de Riscos é a ciência, a arte e a função que visa a proteção dos 
recursos humanos, materiais e financeiros de uma empresa, quer através da 
eliminação ou redução de seus riscos, quer através do financiamento dos riscos 
remanescentes, conforme seja economicamente mais viável. 
De fato, a Gerência de Riscos teve seu início efetivo nos Estados Unidos em alguns 
países da Europa, logo após à Segunda Guerra Mundial, tendo os responsáveis pela 
segurança das grandes empresas, pelos seus seguros, começando a examinar a possibilidade 
de reduzir os gastos com o prêmio de seguros e aumentar a proteção da empresa frente a 
riscos de acidentes. Perceberam, então, que seria possível atingir tais objetivos por meio de 
uma análise detalhada das situações de risco. Além da avaliação das probabilidades de perda, 
tornou-se necessário determinar quais os riscos inevitáveis e quais os que e poderiam ser 
diminuídos. Calculou-se o custo - beneficio das medidas de proteção a serem adotadas, como 
também se levou em consideração a situação financeira da empresa, para a escolha adequada 
do seu grau de proteção. É este, basicamente, também o enfoque abordado, acrescido de 
técnicas modernas oriundas de várias áreas, em especial, da Engenharia de Segurança de 
Sistemas. O conteúdo especifico e os processos básicos da Gerência de Riscos são as 
técnicas de gerenciamento de riscos serão discutidos em detalhe mais adiante. 
Seguros: 
 Devem ficar aqui registrados também o fato de algumas pessoas confundirem Gerência 
de Riscos com Administração de Seguros. Tais termos, absolutamente, não são sinônimos. A 
Gerência de Riscos cobre um campo consideravelmente mais amplo que Administração de 
Seguros. O seguro é apenas uma das formas que a empresa pode adotar para tratar os seus 
riscos, ou seja, é um dos elementos a serem considerados no processo de decisão a seus 
riscos. Somente a partir da decisão da organização de transferir seus riscos através do seguro, 
é que se inicia efetivamente a Administração de Seguro. O último aspecto a ser analisado diz 
respeito à implantação, em nosso país, da Gerência de Riscos nas empresas. Não é nosso 
objetivo, entretanto, discutir aqui esse aspecto em profundidade. Não obstante, em virtude da 
Gerência de Riscos ainda ser incipiente nas organizações brasileiras, gostaríamos de 
 
 
 
18 
propor algumas ações básicas que a nosso ver, poderiam permitir o desenvolvimento de 
programas eficazes de gerenciamento de risco nas empresas e, em particular, eliminar uma 
série de problemas que têm atingido os profissionais da área de Engenharia de Segurança. 
Acreditamos que, num primeiro instante, é fundamental que haja uma integração efetiva entre 
as áreas de Engenharia de Segurança e de Seguros das empresas, a fim de que todos os 
assuntos relacionados com riscos sejam equacionados em conjunto pelas duas áreas e 
tratados, como consequência, de forma mais racional e econômica. Por outro lado, é de suma 
importância que as empresas ofereçam condições para que os profissionais dessas áreas 
sejam devidamente treinados sobre os processos e técnicas utilizadas no gerenciamento de 
riscos, para que assim possam conduzir, de maneira geralmente cientifica, os programas 
atinentes ao assunto. 
 Departamento: 
 O passo seguinte seria então a criação, na própria empresa, de um 
departamento que assessorasse a organização em todas as questões relativas a risco 
e seguro: o Departamento de Gerência de Riscos. É evidente que essas idéias iniciais 
bem como as ações posteriores, em termos de organização do referido departamento, 
posicionamento do mesmo organograma, formas de atuação etc, dependerão da 
política, da cultura e das características e peculiaridades de cada empresa. Estamos 
certos que a implicação da Gerência de Riscos não acarretará maiores despesas para 
a organização, uma vez que ela já dispõe praticamente de todo o pessoal necessário 
(das áreas de Segurança e de Seguro) para o desenvolvimento dos trabalhos. 
Julgamos, isto sim, que as despesas eventuais que venham a ocorrer são tão 
insignificantes, que não se comparam aos benefícios reais que a empresa obterá, quer 
quanto à otimização de seus custos de seguro, quer, principalmente, quanto à maior 
proteção de seus funcionários, de seus recursos materiais e financeiros e do meio 
ambiente. Não devem ser esquecidos também os benefícios que a Gerência de 
Riscos, à medida que for sendo adotada pelas empresas, trará ao mercado segurador. 
De passagem. E para finalizar, podemos citar dois deles: 
 fato de as empresas 
identificarem novas situações de riscos que até então não conheciam, aumentando 
assim a possibilidade dos riscos que forem cientificamente analisados e avaliados 
serem transferidos ao seguro; 
 
 
 
19 
 menores riscos (para o 
mercado segurador) de pagamento de indenizações. 
 SISTEMA DE GESTÃO 
 
Gestão é o ato de coordenar esforços de pessoas para atingir os objetivos da 
organização. A gestão eficiente e eficaz de forma que necessidades e objetivos das 
pessoas sejam consistentes e complementares aos objetivos da organização a que 
estão ligadas. Sistema de gestão é um objetivo de instrumentos inter-relacionados, 
interatuantes e interdependentes que a organização utiliza para planejar, operar e 
controlar suas atividades para atingir objetivos. São instrumentos do sistema de 
gestão: princípios, objetivos, estratégias, política, diretrizes, sistemas organizacionais 
e operacionais, programas (projeto, metas, planos), atividades, métodos e 
procedimentos. Na aplicação dos métodos utilizam-se diversas ferramentas como 
Projeto de Experimentos, Análise do Valor, Análise de Risco, Controle Estatístico de 
Processo (CEP), Método de Análise e Solução de Problemas (Masp). 
1. Princípio é a base sobre a qual o sistema de gestão é construído. Resulta da 
filosofia, do paradigma dominante. 
2. Objetivo é um estado futuro que se quer atingir. 
3. Estratégia é um caminho para atingir o objetivo. 
4. Política é um regra ou conjunto de regras comportamentais. 
5. Diretriz é uma orientação. Pode restringir os caminhospossíveis ou dar 
indicações de caráter geral. É mais especifica que a política e serve, inclusive, para explicitá-
la. 
6. Sistemas organizacionais é um sistema no qual as relações entre pessoas 
predominam sobre as relações entre equipamentos. 
7. Sistema operacional é um sistema no qual as relações entre equipamentos 
predominam sobre as relações entre pessoas. Por extensão, é operacional o sistema que, 
 
 
 
20 
mesmo tendo intensa rede de relações pessoais, apresente características repetitivas e 
mecânicas de trabalho. 
8. Programa é um conjunto de ação desenvolvida dentro de determinado campo de 
ação. Ele promove a evolução da organização rumo aos objetivos. É constituído por objetivos 
específicos, diretrizes, estratégias, metas, projetos, atividades e planos de ação. 
9. Meta é um ponto intermediário na trajetória que leva ao objetivo. 
10. Projeto a menor unidade de ação ou atividade que se pode planejar e avaliar em 
separado e, administrativamente, implantar. Tem característica não repetitiva de trabalho. 
11. Atividade é um conjunto de ação com características repetitivas, utilizadas para 
atingir e/ou manter metas e objetivos. 
12. Plano de ação é um conjunto de ações integradas pra atingir determinada meta, 
com indicação de quem, quando e aonde serão executadas. Pode incluir projetos e 
implantações de atividades. 
13. Método é um caminho geral para resolver problemas. 
14. Norma é um conjunto de regras obrigatórias que disciplinam uma atividade. Regra 
é uma restrição imposta a procedimentos, processos, operações ou equipamentos. 
15. Procedimento é a descrição detalhada de um processo que se realiza em 
bateladas. 
Pode ser organizacional ou operacional. A organização adota o sistema de 
gestão escolhido entre os disponíveis ou cria um próprio. São bastante difundidos: 
Gerencia por Objetivos (GPO), Gestão pela Qualidade Total (GQT) e Gerência pelas 
Diretrizes. Apresentaremos os elementos básicos do sistema de gestão que 
consideremos capaz de promover o bom desempenho da Função Segurança. Esse 
sistema será chamado de Sistema de Gestão Holístico. 
 
 
 
21 
SISTEMA DE GESTÃO HOLÍSTICO 
 A integração dos esforços da organização depende de comunicação eficiente e esta 
requer o compartilhamento de uma concepção holística e de uma estrutura conceitual comuns 
(Cardella, 1999). 
 Metodologia de gestão 
 Cada função vital requer um sistema de gestão coerente com o sistema de 
gestão holístico. Assim, podemos ter os sistemas de gestão da produtividade (SGP), 
sistema de gestão da qualidade (SGQ), sistema de gestão da segurança (SGS) 
sistema de gestão ambiental (SGA) e sistema do desenvolvimento de pessoas (SGP). 
O sistema de gestão dar função segurança pode ser decomposto em sistema de 
gestão de risco e sistema de gestão de risco e sistema de gestão de emergências. A 
gestão holística utiliza duas abordagens. A gestão funcional otimiza o desempenho de 
duas funções setoriais, ou seja, dos subsistemas da organização. A gestão 
interfuncional otimiza o desempenho de funções de nível superior. Na gestão o 
enfoque é reducionista. Na interfuncional é sistêmico. Os dois enfoques se 
complementavam na gestão holística. Na prática, a gestão funcional é exercida pelos 
setores da estrutura formal e a interfuncional por comitês compostos por 
representantes dos setores, podendo ser conduzida por uma liderança de nível 
superior. O método básico de gestão, cujo processo é composto pelas funções 
planejar, executa e controlar aplica-se tanto a gestão funcional como a interfuncional. 
O planejamento tem por produto o plano de ações. A execuções é a efetivação das 
ações do plano. O controle é composto pelas funções: medir, comprar, decidir e 
intervir. A medição é a determinação do valor assumido por uma ou mais variáveis. É 
feita na atividade de monitoramento. A comparação requer a definição de padrões. A 
decisão é a escolha de uma ou mais alternativas e é influenciada por diversos fatores, 
tais como: modelo de controle adotado, política, diretrizes, recursos disponíveis e 
cenário. A intervenção é o conjunto de ações que têm por finalidade promover 
modificações. 
 
 Estrutura de programas 
 Os programas são setoriais ou sistêmicos. Os sistêmicos estão voltados pra as funções 
vitais e seu desenvolvimento requer equipes multidisciplinares e multifuncionais. Pode-se criar 
 
 
 
22 
programas sistêmicos para todas as funções vitais, como de desenvolvimento cultural, 
programas da função produtividade, programas da função qualidade dos produtos, programas 
da função segurança, programas da função preservação ambiental e programas da função 
desenvolvimento de pessoas. 
Clima organizacional 
O estado emocional de uma pessoa é caracterizado pela emoção ou emoções 
dominantes em determinado momento ou intervalo de tempo. Clima organizacional é 
o estado emocional da organização. Um estado emocional é caracterizado da 
organização quando predomina num número suficientemente elevado de pessoas, a 
ponto d prevalecer sobre o estado emocional de qualquer indivíduo. As emoções 
básicas: são prazer, tristeza, raiva e medo. A intensidade das emoções varia numa 
faixa limitada por emoções extremas. Assim, o prazer varia da satisfação ao êxtase 
estando dentro desses limites o amor e a alegria; a tristeza varia do desapontamento 
ao desespero; o medo, da timidez ao horror; e a raiva do descontentamento ao ódio. 
Podemos ter diversos tipos de clima, dependendo do estado emocional dominante. 
Assim, temos clima de triste, medo, raiva ou prazer. O clima resulta de fatores internos 
e externos. Entre eles podemos citar a visão de futuro, ameaças externas, situação 
política, econômica e social do país, grau de satisfação das necessidades das 
pessoas, ângulo de aderência organização/componentes, pólos da organização, 
liderança, cultura organizacional, sistema de gestão e ângulos de aderência entre 
sistema de gestão, cultura organizacional e liderança. O termo clima deve ser utilizado 
para condições de longo prazo. No curto prazo é melhor falar em tempo 
organizacional, pois da mesma forma que regiões de clima seco têm dias chuvosos, 
organizações de clima alegre podem ter período de tristeza. 
 
 
Recursos da organização 
As organizações precisam de recursos pra produzir produtos. Vamos considerar 11 
recursos (figura 2.4): tempo, espaço, energia, material, equipamento, e instalação, 
conhecimento, informação, experiência, homem, habilidade e criatividade. Alguns articulistas 
têm criticado o uso do termo recursos humanos por considerar que ele coloca o ser humano 
 
 
 
23 
na condição de simples recurso da empresa. Vamos empregá-lo com outro significado. 
Recursos humanos são recursos que o ser humano possui e que pode aplicar na organização. 
Homem, experiência, habilidade, conhecimento e criatividade são recursos humanos. O 
homem pode ser desdobrado em homem físico, homem emocional e homem racional. 
Experiência, habilidade, conhecimento e criatividade são analisados como recursos 
independentes na abordagem reducionista. Na abordagem holística os recursos humanos 
devem ser observados em conjunto, pois o homem é um todo integrado. 
 Para desempenhar bem determinada função o individuo deve ser qualificado. 
Qualificação é o cabedal de conhecimentos e atributos que o habilitam a desempenhar 
uma função. Geralmente, e qualificação é atestada num processo de certificação, ao 
final do qual alguém certifica que o candidato tem qualificação e lhe fornece um 
certificado. A análise dos recursos envolvidos no exercício de função promove o 
entendimento e a racionalização. Faremos alguns comentários para o caso da 
organização para controle de emergências. 
 
1.Tempo Recurso inelástico! Na função resgatar vítimas não há como aumenta-
lo. Quando uma pessoa sofre parada cardíaca, o tempo disponível para salva-la é de 
trêsminutos. 
 
 
 
 
24 
2.Espaço É essencial para a função evacuação. O espaço inclui localização. Muitas 
vezes dispomos do espaço requerido, mas ele não se encontra no melhor local. 
3.Energia As energias elétrica e térmica acionam motores de bombas d’água, 
a energia química do óleo diesel movimenta viaturas e os homens usam energia 
biológica (muscular) no manuseio de equipamentos de combate a incêndio. 
4.Material Água, líquido gerador de espuma e pó químico são materiais utilizados no 
combate a incêndio. 
5.Equipamento e instalação Extintores e viaturas para combate a incêndio, 
contador geiger para controle de radiações ionizantes, radio e telefone para 
comunicações e relações públicas. 
6.Conhecimento O conhecimento compreende ciência e tecnologia. Os 
conhecimentos estão na cabeça das pessoas e em livros. O combate a incêndio requer 
conhecimento de química do fogo, de Mecânica dos Fluidos e de eventos perigosos. 
7.Informação Informação é um dado relevante. A eficácia do combate a 
incêndio num tanque de óleo combustível requer informações sobre o volume de óleo 
armazenado, ponto de fulgor, diâmetro do tanque. As informações estão na memória 
das pessoas, livros e disquetes de computador. Enquanto os conhecimentos 
permanecem válidos por períodos muito longos, anos ou mesmo séculos, as 
informações podem mudar a cada minuto. 
8.Homem O homem compreende as pessoas e seus atributos físicos, emocionais 
racionais, como audição, visão, força, muscular, peso, temperamento e inteligência. Não inclui 
conhecimento, experiência, habilidade ou criatividade. Pode ser desdobrado em homem físico, 
homem emocional e homem racional. É um recurso humano básico sobre o qual se pode 
adicionar habilidade e experiência. A combinação de homem e tempo é expressa em homem-
hora (HH). O controle de emergência requer um numero adequado de pessoas para cada 
cenário acidental. Essas pessoas são selecionadas por critérios de altura, força muscular e 
outros atributos físicos, emocionais e racionais. 
9.Habilidade Habilidade é a capacidade de fazer bem uma tarefa. A habilidade resulta de 
potencial próprio e de treinamento. Exemplos: habilidade em dirigir veículo, soldar tomar decisões 
 
 
 
25 
e falar em público. O controle de emergência requer habilidade no uso de equipamentos e no 
resgate de vítimas. 
 10.Experiência Experiência é conhecer pela vivencia, acompanhamento e 
observação. É o Knowhow, aquilo que se aprende fazendo, observando e testando. 
Esta na cabeça das pessoas, documentos, fotos e filmes. Pode ser individual ou 
organizacional. É organizacional se estiver difundida de tal maneira que não se perca 
com a saída de um ou alguns indivíduos. É importante fazer a distinção entre 
conhecimento, experiência e habilidade. Considere-se a atividade de soldagem. O 
engenheiro estuda em livros para adquirir conhecimentos de resistência de materiais 
e técnicas de soldagem. Entretanto, só adquire experiência após meses ou anos 
acompanhando serviços de solda, fazendo testes e qualificando soldadores. Mesmo 
assim, não desenvolve habilidade para soldar, a menos que também exerça a 
atividade de soldador. 
 11. Criatividade Compreende energia psíquica, empenho, dedicação, cuidado, 
vontade de resolver, melhorar, prazer em executar o trabalho. Não implica 
necessariamente a criação de algo novo. Tal é sua importância que optamos por 
considerá-la um recurso à parte. O homem pode ter atributos físicos, emocionais, 
racionais, conhecimento, experiência e habilidade, mas seu trabalho não tem 
qualidade, produtividade e segurança se não coloca criatividade no que faz. 
CAMPO DE FORÇAS ORGANIZACIONAL 
 
O campo de forças organizacional é a própria função reguladora da organização. Resulta 
de três componentes: sistema de gestão, cultura organizacional e liderança. Esses 
componentes interagem entre si modificando-se. A figura 2.5 ressalta a existência dessas 
interações. É interessante comparar as funções reguladoras que atuam nas organizações 
japonesas e européias. Na Europa, o sistema de gestão adquiriu papel predominante coma às 
normas ISO23. No Japão, o que se almeja comandar com normas já é comandado pela 
cultura, ou seja, as normas não são tão necessárias para obter qualidade. A orientação dos 
recursos também depende do meio no qual estão imersos. O meio físico tem relutância 
magnética e o meio organizacional tem relutância organizacional. Esta resulta de diversos 
fatores, como clima organizacional, complexidade de estrutura organizacional, cultura, 
 
 
 
26 
características das pessoas e pólos da organização. Os recursos têm diferentes 
suscetibilidades a ação dos componentes do campo organizacional. A criatividade, por 
exemplo, é muito susceptível á ação da liderança. 
A liderança incentiva criatividade e iniciativa. 
 
Além do campo organizacional, há campos individuais e externos. O individual 
é interno em cada pessoa. Em alguns casos, prepondera no comando das ações do 
individuo. O externo resulta na cultura e leis da comunidade e pode exercer forte 
influência.Vamos analisar um exemplo para esclarecer melhor essa influencia. 
Suponhamos que as instruções de segurança de uma empresa dêem total prioridade 
aos pedestres no transito interno. Mesmo sob comando das normas, o motorista tem 
dificuldade em desobedecer comandos da cultura da sociedade em que vive: “Acelere 
e avance sobre pedestres que atravessam a rua”. 
 
 GESTÃO DE RISCOS 
 A Função Segurança pode ser desdobrada em duas funções auxiliares. 
Controlar Riscos e controlar Emergência. A Função Controle de Riscos ou 
simplesmente Controle de Riscos tem por objetivo manter os riscos abaixo de valores 
tolerados. De certa forma ela abrange a Função Controle de Emergência, pois quando 
projetamos um sistema de controle de emergências também estamos controlando 
 
 
 
27 
riscos. A Função Controle de Emergência só é efetivamente exercida quando os 
fatores latentes começam a se manifestar como fatos reais. Vamos designar 
abreviadamente por Gestão de Riscos a Gestão da Função Controle de Riscos. O 
sistema de Gestão de Riscos é o conjunto de instrumento que a organização utiliza 
para planejar, operar e controlar suas atividades no exercício da Função Controle de 
Riscos. São instrumentos do sistema de gestão: princípios, política, diretrizes, 
objetivos, estratégias, metodologia, programas, sistemas, organizacionais, sistemas 
operacionais. 
 PRINCÍPIOS DA GESTÃO DE RISCOS 
 A Função Controle de Riscos pode ser exercida por meio de sistemas 
altamente sofisticados, como o de uma unidade industrial, ou muito simples, como o 
de um trabalhador que controla os riscos de suas atividades. Em qualquer dos casos, 
adotaremos os seguintes princípios. I. Nas organizações e sociedades, o acidente é 
um fenômeno de natureza multifacetada, que resulta de interações complexas entre 
fatores físicos, biológicos, psicológicos, sociais e culturais. II. 
Todos os acidentes podem ser evitados. III. “Os acidentes ocorrem porque a mente se 
envolve com o trabalho e esquece do corpo”. IV. Um indivíduo não consegue, sozinho, 
controlar os riscos de sua atividade. 
 O segundo princípio tem validade dentro de determinados limites que abrangem a 
quase totalidade dos casos que nos interessam estudar. Estão fora desses limites as situações 
nas quais o homem não dispõe de conhecimento ou tecnologia suficientes para evitar o 
acidente. É o caso do choque de grandes meteoros contra a Terra. Talvez no futuro seja 
possível detectá-los e interceptá-los a tempo. O quarto princípio decorre do terceiro. O 
envolvimento com a missão leva as pessoas a negligenciar a segurança. Portanto, é preciso 
contar com a atuação de outros indivíduos ou organizações cuja missão seja promover a 
segurança. O objetivo de Gestão de Riscos é manter os riscos associados á organização 
abaixo de valores tolerados.28 
POLÍTICA DE GESTÃO DE RISCOS 
A política estabelece as regras comportamentais da organização. Portanto, 
cada organização, família, pessoa ou sociedade deve estabelecer sua própria política, 
que é sempre um reflexo de seus valores. Propomos as regras básicas: 
a. A apresentação de pessoas tem prioridade sobre a preservação de bens. 
b. Quem responde por um a atividade deve responder também pelos riscos 
decorrentes dessa atividade. 
ESTRATÉGIA DA GESTÃO DE RISCOS 
Para estabelecer a estratégia é preciso considerar a natureza do fenômeno 
acidente, um evento indesejável, incerto e remoto. As pessoas tendem a priorizar 
outras questões em detrimento das ações que integram a função segurança. Portanto, 
a estratégia do sistema de gestão deve ser estabelecida a de modo a reduzir o 
desequilíbrio das forças impulsoras do comportamento. Apresentaremos uma 
estratégia para a gestão de riscos: 
 Criar eventos certos, desejáveis e imediatos dos quais as pessoas não possam 
esquivar-se. 
 Explicitando: a liderança deve estabelecer uma agenda de reuniões de segurança para 
ser rigidamente cumprida, de forma “sagrada”, “chova ou faça sol”. A razão entre reuniões 
realizadas e programadas é um indicador de sistema do sistema de gestão. Indicadores de 
desempenho para as ações desenvolvidas pelos integrantes da organização também devem 
ser estabelecidos e acompanhados de forma sistemática. E só há duas alternativas: ou a 
liderança mostra, investindo seu próprio tempo, que esta se envolvendo com a segurança, ou 
mostra que seu envolvimento não vai além dos discursos. 
 
 
 
 
 
 
 
 
29 
METODOLOGIA DO SISTEMA DE GESTÃO DE RISCOS 
 O processo de gestão de riscos é composto pelas funções identificar perigos, 
avaliar riscos comparar com risco tolerado e tratar riscos. Identificação de perigos e 
avaliação de riscos constituem a análise de riscos. Identificação, avaliação e 
comparação constituem o monitoramento. Monitoramento e intervenção constituem o 
controle. O tratamento dos riscos inclui a intervenção para redução e/ou transferência 
(seguro). O processo de gestão é aplicado ás áreas de ação e ás fases do ciclo de 
vida dos elementos da organização (pessoas, instalações e produtos). 
 Áreas de ação da gestão de riscos 
 A Gestão de Riscos requer algum tipo de divisão da organização e das atividades em 
áreas de ação. A pode ser por área geográfica ou funcional e cada unidade é uma área de 
ação.É preciso levar em conta as particularidades de cada área e agir localmente, mas os 
programas devem ser desenvolvidos de forma integrada, pensando globalmente. Assim, 
podemos dividir a organização em: atividades da organização, atividades fora do trabalho, 
transportes, atividades contratadas e uso dos produtos da organização. O controle de riscos 
das atividades fora do trabalho é importante, porque o que ocorre com os componentes fora da 
organização tem impacto negativo sobre ela. Um empregado que se acidenta no jogo de futebol 
ou na pescaria é um empregado não apto para o trabalho. Os acidentes com familiares 
aumentam o absentismo. Os riscos associados ao transporte de pessoas e produtos 
apresentam características especiais que requerem abordagem também, especial. A 
contratação envolve a execução de serviços por pessoas de cultura e conhecimentos diferentes 
dos existentes na organização. Além disso, essas pessoas não estão familiarizadas com os 
riscos associados às instalações, embora devam conhecer os inerentes às atividades que 
exercem. Essas características justificam uma abordagem especial. Dentro de qualquer área 
de ação, podemos proceder a uma divisão por área física em ruas, unidades industriais, 
almoxarifados; por área funcional: soldagem, manutenção predial; por sistema: elétrico ar 
comprimido; e fase do ciclo de vida. Um sistema de controle de riscos tem por objetivo 
manter determinado risco abaixo do valor tolerado. Quando o sistema tem por finalidade 
controlar o risco introduzido, podemos chamá-lo de filtro de risco. Uma vez introduzido um risco, 
pode ser difícil reduzi-lo. Mais fácil e econômico é filtrá-lo, permitindo a introdução de um risco 
residual que não eleve o total a valores que ultrapassem o tolerado. E há um filtro adequado 
para cada fase do ciclo de vida. Há três tipos de objeto: 
 
 
 
30 
Instalação e equipamentos 
Quando o objeto é uma instalação ou equipamento, podemos identificar as 
seguintes fases: implantação (projeto conceitual, projeto básico, projeto de 
detalhamento, aquisição, construção e montagem, condicionamento), operação de 
desativação. Cada fase requer técnicas especificas de controle de risco. A fase mais 
econômica para efetuar o controle de risco é a de projeto. A fase operacional pode ser 
subdividida em infantil, adulta e senil. Na fase infantil, a taxa de falhas (falhas por hora, 
falhas por ano) é mais elevada por causa de falhas de montagem, defeitos de 
fabricação ou inexperiência operacional. Na fase adulta, sanados os problemas da 
fase infantil, reduz-se a taxa de falhas, mas alguns riscos são introduzidos pelo 
desgaste decorrente da operação normal ou por sobrecargas e intervenções. Na fase 
senil, o desgaste dos componentes eleva a taxa de falhas. Na fase de desativação, o 
que resta das instalações transforma-se em resíduos que podem provocar danos ao 
meio ambiente. 
Produtos 
 Quando o objeto é um produto podemos identificar as seguintes fases no ciclo 
de vida: implantação (desenvolvimento, produção, armazenagem, transporte, 
distribuição), operação (uso) e desativação (disposição de resíduos). 
Pessoas 
 Quando o “objeto” é uma pessoa, podemos identificar as seguintes fases: 
implantação (seleção, formação, treinamento), operação (trabalho normal) e desativação (pré-
desligamento e desligamento). 
 
PROGRAMAS DA GESTÃO DE RISCOS 
 Nem toda intervenção para controle de ricos tem efeitos imediatos. Ao 
contrário, a maioria tem tempo de reação elevado, podendo requerer anos em alguns 
casos, como as crenças e valores. Por isso as alterações almejadas requerem planos 
de ação de longo prazo, denominados programas. Podemos criar um programa para 
cada área de ação: programa de segurança nas atividades da organização, programa 
de segurança nas atividades fora do trabalho, programa de segurança no uso dos 
 
 
 
31 
produtos da organização. Em função da natureza multifacetada da segurança, os 
programas devem ser desenvolvidos por equipes multidisciplinares. Essa é uma forma 
de executar na prática a gestão holística da organização. Além dos programas por 
área de ação, podemos criar programas básicos para dar suporte ao controle de riscos 
nas diversas áreas. Exemplo: programa de desenvolvimento cultural do tipo SOL 
(Sinalização – Organização – Limpeza). Esse programa não deve ser especifico da 
segurança, pois as questões culturais são comuns às demais funções vitais. A 
atividade de monitoramento de segurança deve incluir programas permanentes de 
inspeções planejadas e de auditorias. Além desses, que se recomenda manter de 
forma permanente, há os de existência restrita às fases de implantação e consolidação 
de algum método de controle de risco. Exemplos: programas de desenvolvimento do 
sistema de autorização para trabalho, de implantação do registro e análise de 
ocorrência anormais e de implantação de análise de risco. 
MONITORAMENTO DE SEGURANÇA 
Monitoramento é a verificação periódica dos atributos de um objeto. Os atributos são 
anatômicos ou fisiológicos. Alguns são verificados diretamente, enquanto outros requerem 
aplicação de estímulos para serem revelados. Quanto á frequência de verificação, são 
contínuos ou descontínuos. Os descontínuos são aleatórios ou têm frequência determinada. O 
monitoramento requer o uso de instrumentos como diagnóstico, auditorias e indicadores. Para 
registrar a realidade que será retratada por indicadores nodiagnóstico e na auditoria, 
recorre-se a técnicas de análise de risco, como a Inspeção Planejada e o Registro e Análise 
de Ocorrências. Essas ferramentas têm em comum a operação de verificação da congruência 
da situação observada com um padrão, cujo produto são os desvios. O monitoramento é 
atividade essencial ao exercício das funções operação e manutenção. Tanto numa como noutra 
deve ser utilizado para focalizar o ambiente, insumos, produtos, agentes de ruptura e sistemas 
de controle de emergência. 
Indicadores de segurança 
Indicador é um símbolo criado para representar uma realidade. O monitoramento produz 
indicadores. Podem ser atributos do objeto monitorado ou derivados por fórmulas, algoritmos 
ou correlações. O atributo de maior interesse nos estudos de segurança é o risco e este não 
pode ser conhecido de forma direta, mas indireta, por meio de atributos e fenômenos da 
realidade que possam ser observados. O risco resulta de duas forças contrárias, o perigo 
 
 
 
32 
e a função segurança. Portanto, o monitoramento deve ter indicadores de perigo, da função 
segurança e do risco. Os indicadores de perigo incluem os de agressividade, capacidade 
agressiva, mobilidade e expansividade, exposição e frequência de demandas; os da função 
segurança incluem os de liderança, cultura organizacional, sistemas de gestão e sistemas 
operacional de controle de riscos e de emergências; e os indicadores de risco incluem os de 
ocorrência anormais, acidentes, danos e perdas? Se conhecermos as relações de causalidade 
entre os fatores do risco (estado físico das instalações, agressividade dos agentes, 
comportamentos) e suas manifestações (ocorrência anormais e acidentes) podemos obter 
inferências do risco. A relação de causalidade é determinísticas quando um acontecimento 
necessariamente produz o outro; é probabilística quando a ocorrência de um envolve a 
ocorrência do outro com determinada probabilidade; e é de correlação observável entre causa 
e efeito. Nos sistemas mecânicos, as relações são determinísticas e os comportamentos são 
previstos com exatidão. Nos sistemas de elevado grau de complexidade, como os ecológicos, 
há predominância de relações probabilísticas e de correlação. Qualquer que seja a 
causalidade, ela pode ser muito fraca, fraca, medianamente forte, forte e muito forte. Vamos 
apresentar algumas propriedades que devem ser consideradas na seleção dos indicadores de 
monitoramento. Fidelidade é a qualidade de não ser susceptível a distorção. O indicador fiel é 
refratário a distorções. Distorção é a diferença entre o indicado e a realidade. A taxa de 
frequência de acidentes não é um indicador de alta fidelidade, pois fatores organizacionais e 
culturais podem fazer com que acidentes deixem de ser relatados. Sensibilidade é a qualidade 
de poder detectar pequenas variações da realidade. Quanto mais sensível, menores as 
variações detectadas. Para pequenas variações da realidade, o indicador deve apresentar 
grandes variações nas medidas. Por exemplo, o número de acidentes de pequena gravidade 
é mais sensível que os dos acidentes de alta gravidade. Tempo de resposta é o tempo que o 
indicador necessita para indicar uma variação do estado da realidade. Um indicador pode ser 
fiel e sensível, mas muito lento. 
 Auditoria de segurança 
 Auditoria de segurança é a avaliação sistemática, documentada e periódica da 
eficiência e eficácia da organização no exercício da função segurança. Geralmente, 
dá maior ênfase ao sistema de gestão. Focaliza política, diretrizes, programas, planos 
de ação, normas e procedimentos. A liderança é pouco analisada e a cultura, menos 
ainda. A razão parece estar no fato de que é mais fácil avaliar ou modificar 
procedimentos do que crenças e valores. Portanto, a maioria dos indicadores gerados 
 
 
 
33 
pelas auditorias refere-se ao sistema de gestão. Há três tipos de auditoria: a setorial é 
feita por equipe do próprio órgão; a corporativa, por equipe multi-departamental; e a 
externa, por força de legislação ou certificação. 
Diagnóstico de segurança 
O diagnóstico de segurança consiste em abordar a organização, caracterizando-a do 
ponto de vista de segurança. O diagnóstico é fundamental para elaborar o plano de ação de 
melhorias. A auditoria focaliza mais intensamente a função segurança, enquanto o diagnóstico 
focaliza também os perigos e riscos. Na função segurança, a auditoria focaliza fortemente o 
sistema de gestão, enquanto o diagnóstico focaliza igualmente o sistema de gestão, a liderança 
e cultura organizacional. A auditoria requer padrões específicos para o sistema auditado, 
enquanto o diagnóstico utiliza conceitos e padrões mais amplos que se aplicam a qualquer tipo 
de organização. Uma vez elaborado o plano de ação de melhorias, a variação da conformidade 
com o plano é feita por auditoria. 
 
ANÁLISE E CONTROLE DE RISCOS 
 
Análise é a divisão de um todo em partes e o estudo minucioso dessas partes. 
Análise de Risco é o estudo detalhado de um objeto com a finalidade de identificar 
perigos a avaliar os riscos associados. O objeto pode ser organização, área, sistema, 
processo, atividade, intervenção. O analista efetua a divisão segundo o critério que lhe 
parecer mais conveniente. O todo pode ser o objeto cujo risco se pretende analisar ou 
o risco global associado ao objeto. Portanto, pode-se dividir áreas em áreas menores, 
sistema em subsistemas, processos em função, operação e atividade em etapas, e o 
risco global em riscos físicos, químicos, biológicos e ergonômicos. Análise de Risco 
também é chamada de Análise de Perigos. Os dois termos podem ser utilizados, pois 
a análise de riscos compreende identificação de perigos e avaliação dos riscos 
associados, e a análise de perigos sempre implica numa avaliação de risco, mesmo 
que essa avaliação seja qualitativa. O método de análise de riscos consiste em dividir 
o objeto e identificar perigos e analisar riscos em cada elemento. A identificação de 
perigos e a avaliação de riscos requerem o uso de técnicas como a Análise Preliminar 
de Riscos e o Hazop. 
 
 
 
34 
 MECANISMO DE PRODUÇÃO DE DANOS 
Utilizaremos dois modelos de mecanismo de produção de danos. O primeiro 
focaliza a relação agente agressivo X alvo e o segundo, as falhas dos sistemas que 
compões a organização. 
a. Os danos decorrem da relação agente agressivo X alvo 
 Três fatores concorrem para produzir o dano: agente agressivo, alvo e exposição. Para 
facilitar a visualização, vamos utilizar a equação: D=Aa .E.Av (equação 6.1) e, que:D = dano 
decorrente da ação do agente agressivo sobre alvo; Aa = agente produzido pela agente 
agressivo mas isso só ocorre se existir um alvo e se esse alvo for exposto. O dano não 
ocorre na ausência do agente, do alvo ou da exposição. Se um dos fatores for nulo, o produto 
(dano) também será. O controle pode ser feito sobre um, dois ou três fatores. Para exemplificar, 
considere-se um vaso de pressão contendo amônia. Para que a amônia cause danos é preciso 
que: (a) seja liberada no meio ambiente;(b) haja pessoas no campo de ação agressiva; (c) 
essas pessoas sejam expostas sem proteção. 
b. Os danos e perdas decorrem de falhas nos sistemas que compõem 
organização 
 Uma organização é composta por sistemas organizacionais e sistemas 
operacionais. A função reguladora do sistema organizacional é constituída por: 
sistema de gestão, cultura organizacional e liderança. Os elementos desse sistema 
são as unidades organizacionais a as pessoas. O sistema operacional tem por função 
reguladora o processo e por elementos, os recursos. Exemplos de sistemas 
operacionais: sistema de usinagem, de armazenamento, de transporte e elétrico. As 
falhas nos sistemas organizacionais são causas básicas a as falhas nos operacionais 
são causas imediatas de danos. O mecanismo da produção de danos obedece á 
seguinte lógica: 
 “Se ocorrer um demandae falharem os sistemas do controle de emergência, então 
o dano ou perda ocorrem.” 
 Demandas são eventos que demandam pela ação de sistemas de controle de 
emergência para que a sequência que leva aos danos não prospere. Frequência de demandas 
 
 
 
35 
é o número de eventos na unidade de tempo. Essa variável tem por unidades ano-1, hora-1. 
Há quatro tipos de demanda: inerentes ao sistema, decorrente de falhas humanas, decorrentes 
de falhas de equipamento e decorrentes da ação de agentes externos. Demandas e falhas de 
sistema de controle são fatores do risco. Uma descrição completa do mecanismo de produção 
de danos é obtida respondendo às seguintes perguntas: por que e com que frequências 
ocorrem às demandas? Por que, como e com que probabilidade falham os sistemas de controle 
de emergência? Homens e equipamentos geralmente criam demandas quando falham no 
modo ação estranha ou ato estranho. Exemplo: uma válvula de controle fecha ou é fechada 
indevidamente. A demanda inerente na decorre de falhas. Está associada ao próprio 
funcionamento do sistema e faz parte da atividade. A entrada do biólogo no viveiro de cobras 
é demanda inerente para a qual não está previsto nenhum sistema de recomposição. O próprio 
evento perigosoataque da cobra é inerente e o dano é evitado pelo uso de proteção. A demanda 
gerada por agente externo resulta da instalação do sistema não tem nenhum controle. É o caso 
dos agentes da Natureza, como vento, tufão, terremoto. Noutros casos, é possível influir na 
frequência e/ ou na intensidade. O sistema de controle de emergência tem por finalidade evitar 
que a série de eventos que levam ao evento perigoso prospere, ou, se ele ocorrer , reduzir as 
consequências. Quando chamado a atuar, o sistema de controle de emergência pode estar no 
estado falho. A probabilidade de falhas de u sistema de controle de emergência pode ser 
estimada: 
(a) pela fração de tempo morto, ou seja, a fração de tempo durante a qual o 
sistema fica inoperante; 
(b) pela razão entre o número de vezes que o sistema opera de modo falho 
e o número de vezes que é solicitado a operar. As falhas dos sistemas de controle 
podem ter três causas: falhas humana, falha de equipamento e inexistência de sistema 
de controle. Essa última ocorre quando em alguma fase do empreendimento decidiu-
se não implantar ou esqueceu-se de implantar o sistema de controle. Quando uma 
fase do empreendimento introduz um fator do risco (agente promotor de falhas, 
ausência de sistema de proteção ou demanda inerente), há falha do sistema de 
filtração de riscos. 
 
 
 
36 
 IDENTIFICAÇÃO DE PERIGOS 
 Perigo é a qualidade (propriedade) daquilo que pode causar danos. Portanto, identificar 
perigos e identificar substâncias perigosas, agentes perigosos, produtos perigosos, situações 
perigosas, eventos perigosos, operações perigosas ou eventos danosos. A escolha do tipo de 
perigo depende do método adotado e dos objetivos do estudo, mas a análise dos riscos 
associados sempre requer a identificação de eventos perigosos, pois a eles podemos associar 
frequências e consequências. Para identificar eventos perigosos, pois a eles podemos associar 
frequência e consequência. Para identificar eventos perigosos identificasse agentes agressivos 
fontes possibilidades de liberação, alvos e possibilidades de exposição. Em muitos casos, 
a identificação de perigos pode ser feita se técnicas especiais, e noutros requer aplicação de 
técnicas que serão apresentadas ao longo da disciplina. 
 
 AVALIAÇÃO DE RISCOS 
 
Fatores do risco 
 O risco associado ao evento perigoso resulta da frequência e da consequência 
do evento. Portanto, a avaliação do risco compreende a avaliação da frequência e da 
consequência do evento perigoso. Ambas podem ser qualitativas, semi-qualitativas ou 
quantitativas. Análises quantitativas requerem sofisticação técnicas de calculo e 
bancos de dados nem sempre disponíveis ou confiáveis. A avaliação de frequência 
requer Análise por Árvore de Falhas9 e dados de frequência e de probabilidade de 
eventos básicos. 10 A avaliação de consequências requer modelos matemáticos para 
simulação dos fenômenos envolvidos. Antes de se lançar á avaliação quantitativa, o 
analista deve responder ás seguintes perguntas: 
a. O custo da avaliação se justifica? As medidas de controle recomendadas 
pela avaliação quantitativa serão muito diferentes das recomendadas pela avaliação 
qualitativa? 
b. Considerando que a contribuição das falhas humanas e das Falhas de 
causa comum (FCG)11 são difíceis de avaliar, pode-se afirmar que a avaliação 
quantitativa tem a exatidão pretendida? 
 
 
 
37 
Grande parte das medidas de controle de risco não resulta de cálculos 
sofisticados, mas de visão holística da segurança, conhecimento sobre falhas 
humanas, comportamento, SOL (Sinalização, Organização e Limpeza) e BPT (Boas 
Práticas de Trabalho). 
Avaliação de frequência 
Antes de tratar da avaliação de frequências, vamos chamar a atenção para uma 
questão que gera alguma confusão nos estudos de análise de risco: a diferença entre 
frequência e probabilidade. Frequência é o numero de ocorrência na unidade de tempo 
e tem por unidades ocorrência/ ano ou ano-1e ocorrência/hora ou hora-
1.Probabilidade é um numero puro (não tem unidades) que assume valores entre 0 e 
1. Nas avaliações de frequência, podem ocorrer operações de multiplicação de 
probabilidade por probabilidade e frequência por probabilidade. 
Não tem sentido multiplicar frequência, engano parar o qual devem estar 
atentos aa que não têm prática em avaliação de risco. A frequência de um evento pode 
ser avaliada de duas maneiras. A primeira é direta. A segunda é indireta e consiste em 
avaliar a frequência do evento de interesse a partir de frequência e probabilidade de 
eventos que se combinam para produzi-lo. Na avaliação quantitativa direta utilizam-se 
dados históricos. Há dois casos a considerar. No primeiro interessa conhecer a 
probabilidade de ocorrência do evento indesejável, dado que outro evento, o evento 
suporte, ocorreu. Por exemplo, o evento partida de motor gera a possibilidade de 
ocorrência do evento indesejado-motor falha em partir. A frequência do evento suporte 
(fs) é o numero de ocorrências num intervalo de tempo. A frequência do evento 
indesejável (f) é o número de ocorrência desse evento no mesmo intervalo de tempo. 
Se dispusermos de dados experimentais ou históricos de fi e fs a probabilidade de 
ocorrência do evento indesejável (pi) pode ser estimada pela expressão: 
 pi= f i / fs. 
 Essa probabilidade é utilizada na avaliação da frequência do evento indesejável. 
Conhecido o número de ocorrência do evento suporte, basta multiplicálo pela probabilidade de 
ocorrência do evento indesejável. Se fs muito elevada, pi deve ser muito baixa para que fi 
também seja baixa. Uma probabilidade á primeira vista muito baixa não ser aceitável se a 
frequência do evento suporte for muito alta, pois a frequência do evento indesejável pode 
 
 
 
38 
resultar inaceitável. Um exemplo ajudará a entender melhor essa questão. Considere-se a 
probabilidade de uma falha do correio no envio de cartas. Seja 10-5 essa probabilidade, que 
equivale a um a folha para 100.000 cartas enviadas. Para a pessoa que envia uma carta a 
probabilidade é baixa. Entretanto, se 100 milhões de cartas são enviadas no natal, temos 1.000 
cartas extraviadas, o que não parece aceitável. No segundo caso, interessa conhecer a 
frequência do evento indesejável associado ao exercício d uma atividade ou à operação 
continua de um equipamento. Essa frequência é o numero de vezes que o evento indesejável 
ocorre no intervalo de tempo (ano, hora). 
Exemplo: número de vezes que rompe um vaso de pressão num ano de 
operação. No caso, o evento suporte é a própria operação continua do equipamento 
ou o exercício da atividade. 
 
 
 
 
39