curso de especializaÇÃo em engenharia de...
TRANSCRIPT
1
CURSO DE ESPECIALIZAÇÃO EM ENGENHARIA
DE SEGURANÇA DO TRABALHO
M3 D4 – DISCIPLINA: GERÊNCIA DE RISCOS I
GUIA DE ESTUDO PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
AULA 38
PROFESSOR AUTOR: ENG. JOSEVAN URSINE FUDOLI
PROFESSOR TELEPRESENCIAL: GIOVANNI MORAES
COORDENADOR DE CONTEÚDO: ENG. JOSEVAN URSINE FUDOLI
DIRETORA PEDAGÓGICA: MARIA UMBELINA CAIAFA SALGADO
24 DE ABRIL DE 2012
2
DISCIPLINA “GERÊNCIA DE RISCOS I”
A Disciplina “Gerência de Riscos I” será desenvolvida em 4 partes, conforme abaixo:
Parte I - Conceitos básicos de Gestão de Riscos
Parte II - Sistema de Gestão de Riscos (ISO 31.00O)
Parte III - Técnicas de Análise de Riscos.
Parte IV - Percepção de Riscos e Comportamento Humano
CALENDÁRIO DA DISCIPLINA “GERÊNCIA DE RISCOS I”
2012 Guia de
Estudo Textos Complementares de Leitura Obrigatória
No Lista
Exercícios
Data
Postagem
Data final
Resposta
10abril Parte I
Aula 36
Análise de Riscos nos locais de Trabalho. Autor:
Marcelo Firpo de Souza. CUT 2000. Acesso no site
http://www.medicinaetrabalho.med.br/arquivos/An
alise%20%riscos%20nos%20locais%20de%20trabalho.pdf
36 10 abril 24 abril
17abril Parte II
Aula 37
Informativo Suporte nº 3 – janeiro/2011 Acesso no site:
http://www.portalsuporte.com.br/downloads/Informativo_Suporte_3.pdf
37 17 abril 30 abril
24 abril Parte III
Aula 38
METODOLOGIA PARA ANÁLISE PRELIMINAR DE
RISCOS DE UM NAVIO DE TRANSPORTE DE GÁS
NATURAL COMPRIMIDO. Marcelo Ramos Martins e
Faustina Beatriz Natacci. Acesso no site:
http://www.ipen.org.br/downloads/XXI/062_RAMOS_MARTINS_MARCELO.pdf
38 24 abril 08 maio
08 maio Parte IV
Aula 39 39 08 maio 22 maio
Prova do Módulo 3: 15 de maio de 2012
3
CONTEÚDO PROGRAMÁTICO DA PARTE III - aula 38
PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
1. CONSIDERAÇÕES PRELIMINARES
2. TÉCNICAS DE IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
2.1 Análise Preliminar de Riscos (APR/APP)
2.2 – Técnica What if
2.3 - Técnica de Incidentes Críticos (TIC)
2.4 - Análise de Modos de Falhas e Efeitos (AMFE)
2.5 - HAZard and OPerability Studies (HAZOP)
2.6 - Análise da Árvore de Eventos (AAE)
2.7 - Análise de Causas e Consequências (ACC)
2.8 - Análise da Árvore de Falhas (AAF)
3. REFERÊNCIAS BIBLIOGRAFICAS
4
PARTE III – TÉCNICAS DE ANÁLISE DE RISCOS
1. CONSIDERAÇÕES PRELIMINARES
Como já nos referimos nas aulas anteriores, a gerência de riscos pode ser definida como a ciência, a arte e a função que visa à proteção dos recursos humanos, materiais e financeiros de uma empresa, no que se refere à eliminação, redução ou ainda financiamento dos riscos, caso seja economicamente viável.
Este estudo teve seu início nos EUA e alguns países da Europa, logo após a Segunda Guerra Mundial, quando se começou a estudar a possibilidade de redução de prêmios de seguros e a necessidade de proteção da empresa frente a riscos de acidentes. A gerência de riscos é tão antiga quanto o próprio homem que, desde sempre, esteve envolvido com riscos e decisões na luta pela sobrevivência.
Vimos também que, para se ter o gerenciamento de riscos eficaz, o gerente de riscos e a empresa devem estar engajados em sistema de gestão integrado, no qual se inclui a Qualidade, Meio Ambiente, Segurança, Saúde Ocupacional e Responsabilidade Social.
É importante que, antes de qualquer ação de gerenciamento de riscos, conheçam-se os tipos de riscos a que uma empresa está sujeita, por meio de aplicação de técnicas específicas e reconhecidas tecnicamente.
Conforme já descrito nas aulas anteriores, o conforto e desenvolvimento trazidos pela industrialização produziram também um aumento considerável no número de acidentes, ou ainda de ocorrências, devido à obsolescência de equipamentos ou máquinas cada vez mais sofisticadas, sem o devido treinamento para operá-las.
Com a preocupação e a necessidade de dar maior atenção ao ser humano, principal bem de uma Organização, além de buscar uma maior eficiência, nasceram primeiramente o Controle de Danos, o Controle Total de Perdas e, por último, a Engenharia de Segurança de Sistemas.
Esta última, surgida com o crescimento e necessidade de segurança total em áreas como aeronáutica, aeroespacial e nuclear, a Engenharia de Sistemas trouxe valiosos instrumentos para a solução de problemas ligados à segurança. Com a difusão dos conceitos de perigo, risco e confiabilidade, as metodologias e técnicas aplicadas pela segurança de sistemas, inicialmente utilizadas somente nas áreas militar e espacial, tiveram, a partir da década de 70, uma aplicação quase que universal na solução de problemas de engenharia em geral.
5
As principais técnicas de identificação, análise e avaliação de riscos são:
Análise Preliminar de Riscos (APR) = Análise Preliminar de Perigos (APP)
What If (WI) Técnica de Incidentes Críticos (TIC) Análise de Modos de Falhas e Efeitos (AMFE) = FMEA (Failure Modes
and Effects Analysis) Análise de Operabilidade de Perigos (HAZOP) Análise da Árvore de Eventos (AAE), Análise de Causas e Consequências (ACC), Análise da Árvore de Falhas (AAF)
O objetivo desta aula 38 é abordar um pouco cada uma das técnicas supracitadas, de forma geral, dando o conhecimento básico, uma vez que, em outras aulas, serão ministradas aulas mais específicas sobre algumas técnicas, em particular.
2. TÉCNICAS DE IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
2.1 – Análise Preliminar de Riscos (APR/APP)
A Análise Preliminar de Riscos (APR), também conhecida como Análise Preliminar de Perigos (APP), é uma técnica que tem por objetivo identificar os perigos de uma instalação, durante a concepção das etapas de projeto, bem como de suas alterações ou mudanças de processo, bem como durante seu funcionamento operacional.
Segundo MORAES (2010), a Análise Preliminar de Riscos (APR) é
uma técnica estruturada voltada para a identificação dos perigos presentes em
uma Organização, com efeitos indesejáveis e pode ser aplicada em instalações
na fase inicial de obra, nas etapas de projeto ou mesmo em unidades em
operação.
É uma técnica qualitativa que consiste na identificação dos cenários
dos acidentes possíveis, classificando-os de acordo com as categorias
preestabelecidas de “frequência” de ocorrência e “severidade”, propondo
medidas para redução dos riscos da instalação, quando julgadas necessárias.
A APR permite identificar eventos indesejáveis baseada em eventos
possíveis e conhecidos a partir da análise histórica de acidentes e na
experiência dos profissionais que atuam nas áreas de segurança, manutenção
e produção da empresa.
6
Não existe um modelo padrão de APR. A título de exemplo,
apresentamos alguns modelos, não havendo nenhuma obrigatoriedade de
segui-los.
Um exemplo didático bem conhecido de APR é aplicado à mitologia
grega, em que o Rei Minos, de Creta, mandou aprisionar Dédalo e seu filho
Ícaro, na ilha do mesmo nome. Com o objetivo de escapar da ilha, Dédalo
idealizou fabricar asas, o que fez habilidosamente com penas, linho e cera de
abelhas para seu filho Ícaro fugir da ilha. Antes da partida, Dédalo advertiu a
Ícaro que tomasse cuidado quanto ao curso da viagem, lembrando-lhe que se
voasse a um nível muito baixo, as ondas do mar molhariam suas penas; se
voasse muito alto, o sol derreteria a cera, desagregando as penas, e ele cairia
no mar.
O caso Ícaro poderia virar uma análise de risco simples, conforme se
mostra a seguir.
ANÁLISE PRELIMINAR DE RISCOS DE ÍCARO
RISCO CAUSA EFEITO CAT.
RISCO
PREVENÇÃO
Radiação
térmica do
sol
Voar muito
alto perto de
radiação
Calor pode
derreter cera que
une a as penas
IV (*)
Prever advertência
contra voo muito alto e
perto do sol.
Prover trela de linho
para evitar que o
jovem impetuoso voe
alto.
Restringir área de
superfície
aerodinâmica
7
Umidade
Voar muito
baixo perto
da
superfície
do mar
Asas podem
absorver
umidade,
aumentando o
peso.
Instabilidade e
queda no mar
I V (*)
Advertir aeronauta
para voar à meia
altura, onde o sol
manterá as asas
secas ou onde a taxa
de acumulação de
umidade é aceitável
para a duração da
missão.
(*) vide Tabela de Categoria de Risco, abaixo.
ANÁLISE PRELIMINAR DE RISCO
CATEGORIAS OU CLASSES DE RISCO
I. DESPREZÍVEL A falha não irá resultar em degradação maior do
sistema, nem irá produzir danos funcionais ou
lesões ou contribuir com um risco ao sistema.
II. MARGINAL A falha irá degradar o sistema em certa extensão,
porém sem envolver danos maiores ou lesões,
podendo ser compensada ou controlada
adequadamente.
III. CRÍTICA A falha irá degradar o sistema causando lesões,
danos substanciais ou irá resultar em risco
inaceitável, necessitando de ações corretivas
imediatas.
IV. CATASTRÓFICA A falha irá produzir severa degradação do
sistema, resultando em sua perda total, lesões ou
morte.
Nota: a tabela acima é apenas exemplificativa.
Os estudos de análise de risco levam em consideração as possibilidades
de falha em função do erro humano, falhas organizacionais e dos
equipamentos. São utilizados procedimentos para entender e justificar os
aspectos de segurança existentes ou a serem implementados. Os princípios
básicos têm como base o manual de normas internas, normas técnicas
brasileiras (ABNT) e internacionais aplicáveis. Todos os aspectos técnicos e de
segurança se aplicam ao processo e produtos químicos envolvidos.
8
A APR é uma técnica simples e bastante utilizada. Deve ser realizada
por uma equipe, na média de cinco a oito pessoas. Dentre os membros da
equipe deve-se dispor de um participante com experiência em segurança de
instalações e/ou outro conhecedor do processo envolvido. É recomendável que
a equipe tenha a composição, funções e atribuições específicas como
indicadas na tabela a seguir:
Tabela 1- Composição recomendável de uma equipe de APR
FUNÇÃO PERFIL/ATIVIDADES
Coordenador
Pessoa responsável pelo evento que deverá:
definir a equipe
reunir informações atualizadas, tais como: fluxogramas de engenharia, especificações técnicas do projeto etc.;
distribuir material para a equipe;
programar as reuniões;
encaminhar aos responsáveis as sugestões e modificações oriundas da APR.
Líder
Pessoa conhecedora da metodologia, sendo responsável por:
explicar a metodologia a ser empregada aos demais participantes;
conduzir as reuniões e definir o ritmo de andamento das mesmas;
cobrar dos participantes pendências de reuniões anteriores.
Especialistas Pessoas que estarão ou não ligadas ao evento, mas que detêm
informações sobre o sistema a ser analisado ou experiência
adquirida em sistemas similares;
Relator Pessoa que tenha poder de síntese para fazer anotações,
preenchendo as colunas da planilha de APR de forma clara e
objetiva.
Na APR são levantadas as causas que podem promover a ocorrência de cada um dos eventos e as suas respectivas consequências, sendo, então, feita uma avaliação qualitativa da frequência de ocorrência do cenário de acidentes, da severidade das consequências e do risco associado. Portanto, os resultados obtidos são qualitativos, não fornecendo estimativas numéricas.
Normalmente uma APR fornece também uma ordenação qualitativa dos cenários de acidentes identificados, a qual pode ser utilizada como um primeiro
9
elemento na priorização das medidas propostas para redução dos riscos da instalação/sistema analisado.
A metodologia de APR compreende a execução das seguintes etapas:
1. definição dos objetivos e do escopo da análise;
2. definição das fronteiras do processo/instalação analisada;
3. coleta de informações sobre a região, a instalação e os perigos
envolvidos;
4. subdivisão do processo/instalação em módulos de análise;
5. realização da APR propriamente dita (preenchimento da planilha);
6. elaboração das estatísticas dos cenários identificados por Categorias
de Risco (frequência e severidade);
7.análise dos resultados e preparação do relatório.
Para a execução da análise, o processo/instalação em estudo deve ser
dividido em “módulos de análise”. A realização da análise propriamente dita é
feita através do preenchimento de uma planilha de APR para cada módulo.
A planilha adotada para a realização da APR, mostrada na Figura 2,
contém 7 colunas, as quais devem ser preenchidas conforme a descrição
respectiva de cada campo, conforme a Tabela a seguir.
10
Tabela 2 – Planilha de APR
Evento Causa Consequên
cia
Frequência Severidade Risco Recome
ndações
evento é todo o
acidente
com potencial
para
causar
danos às pessoas, às
instalações
ou ao meio ambiente.
as causas responsávei
s pelo
perigo podem
envolver
tanto falhas
de equipament
os como
falhas humanas.
as consequências
são os efeitos
dos acidentes envolvendo:
radiação
térmica,
sobrepressão ou dose tóxica.
a frequência é definida
conforme
descrito na
tabela 3
a severidade é definida
conforme
descrito na tabela 4
o risco é definido
conforme
descrito
As
recomen
dações
propostas
devem ser
de caráter
preventiv
o e/ou
mitigador.
De acordo com a metodologia da APR, os cenários de acidente devem ser classificados em categorias de frequência, as quais fornecem uma
indicação qualitativa da frequência esperada de ocorrência para cada um dos cenários identificados.
A Tabela 3 a seguir mostra as categorias de frequências para a realização de APR:
Tabela 3 – Categorias de frequência dos cenários.
CATEGORIA DENOMINAÇÃO DESCRIÇÃO
A EXTREMAMENTE REMOTA
Conceitualmente possível, mas extremamente improvável de ocorrer durante a vida útil do processo/instalação;
B REMOTA Não esperado ocorrer durante a vida útil do processo/instalação;
C IMPROVÁVEL Pouco provável de ocorrer durante a vida útil do processo/instalação;
D PROVÁVEL Esperado ocorrer até uma vez durante a vida útil do processo/instalação
E FREQUENTE Esperado de ocorrer várias vezes durante a vida útil do processo/instalação;
Esta avaliação de frequência poderá ser determinada pela experiência dos componentes do grupo ou por banco de dados de acidentes (próprio ou de outras empresas similares).
11
Os cenários de acidente também devem ser classificados em categorias de severidade, as quais fornecem uma indicação qualitativa da severidade esperada de ocorrência, para cada um dos cenários identificados.
A Tabela 4 a seguir mostra as categorias de severidade em uso
atualmente para a realização de APR:
Tabela 4 – Categorias de severidade dos cenários
CATEGORIA
DENOMINAÇÃO
DESCRIÇÃO/CARACTERÍSTICAS
I
DESPREZÍVEL
Sem danos ou danos insignificantes aos equipamentos, à
propriedade e/ou ao meio ambiente;
Não ocorrem lesões/mortes de funcionários, de terceiros (não
funcionários) e/ou pessoas (indústrias e comunidade); o
máximo que pode ocorrer são casos de primeiros socorros ou
tratamento médico menor;
II
MARGINAL
Danos leves aos equipamentos, à propriedade e/ou ao meio
ambiente (os danos materiais são controláveis e/ou de baixo
custo de reparo);
Lesões leves em empregados, prestadores de serviço ou em
membros da comunidade;
III
CRÍTICA
Danos severos aos equipamentos, à propriedade e/ou ao meio
ambiente;
Lesões de gravidade moderada em empregados, prestadores
de serviço ou em membros da comunidade (probabilidade
remota de morte);
Exige ações corretivas imediatas para evitar seu
desdobramento em catástrofe;
IV
CATASTRÓ
FICA
Danos irreparáveis aos equipamentos, à propriedade e/ou ao
meio ambiente (reparação lenta ou impossível);
Provoca mortes ou lesões graves em várias pessoas
(empregados, prestadores de serviço ou em membros da
comunidade).
Para se estabelecer o nível de Risco, utiliza-se uma matriz (tabela 5),
indicando a frequência e a severidade dos eventos indesejáveis, conforme indicado na figura adiante
12
Tabela 5 – Matriz de Classificação de risco ( FREQUÊNCIA X SEVERIDADE)
A B C D E
IV
2
3
4
5
5
III
1
2
3
4
5
II
1
1
2
3
4
I
1
1
1
2
3
A Tabela 6 a seguir mostra a legenda da matriz de classificação de risco.
SEVERIDADE FREQUÊNCIA RISCO
I
Desprezível
A
Extremamente
Remota
1
Desprezível
II
Marginal
B
Remota
2
Menor
III
Crítica
C
Improvável
3
Moderado
IV
Catastrófica
D
Provável
4
Sério
F R E Q U Ê N C IA
S
E
V
E
R
I
D
A
D
E
13
2.2 - Técnica What if
Segundo MORAES (2020), a técnica What If foi desenvolvida a partir de
check list, ferramenta da Qualidade, utilizada para controle de processo. A
principal ideia da técnica é desenvolver uma série de questionamentos sobre
uma ação operacional, mudança de processo ou projeto, sendo mais
apropriada na fase de conceituação do projeto (pela ausência de informações),
para levantamento dos riscos existentes.
A técnica consiste em enumerar vários questionamentos a respeito do
projeto, de forma direcionada, sendo necessária a inclusão de profissionais de
várias áreas para responder a tais questionamentos, durante as reuniões de
perguntas/respostas.
Para realização do What if, é necessário um líder que conheça a técnica
e possa coordenar a equipe; um auxiliar para anotar as perguntas e respostas;
e diversos profissionais de áreas afins, de interesse do empreendimento
analisado.
É importante a existência de equipe multidisciplinar, não havendo um
número exato, pois dependerá do grau de complexidade do projeto. Dessa
forma, é necessário que haja um número de participantes suficientes para
responder as perguntas dos diversos assuntos apresentados.
A análise é finalizada quando os participantes se dão por satisfeitos com
as respostas aos seus questionamentos.
Um exemplo de What If, realizado na forma acima descrita, para
instalação de um painel elétrico, com a participação de equipes de
manutenção, operação, SMS e empresas contratadas, é mostrado na figura a
seguir.
SISTEMA: SUBSISTEMA:
PERGUNTAS VALIDAR UO PROCESSO RESPOSTA RECOMENDAÇÕES
De que maneira esta área será cercada? SIM ENG Terraplenagem Pelo tapume existente. Não se aplica
Que equipamentos serão utilizados na etapa de
terraplenagem?SIM ENG Terraplenagem
Pás,enchadas,picaretas e compactador vibratório(à
gasolina)Não se aplica
O tanque de reserva técnica de diesel já está
disponibilizado?SIM DPM Reserva Diesel
Até o momento nada formalizado, contudo espera-se que
seja o tanque n° 1006.Não se aplica
O tanque de reserva a ser disponibilizado tem qual
capacidade?SIM DPM Reserva Diesel 100.000 litros Não se aplica
Sob o ponto de vista do tipo de ligação (estrala-
delta), como será feita a ligação entre o
transfornador elevador e o transformador 14?
SIM MOS/MA Ligação cabos 13,2 kV
Não existe nenhum problema. Na realidade este tipo de
ligação é considerado ideal, pois, a saída em estrela cria
uma defasagem que compensa a entrada em delta,
evitando a circulação de corrente de terra entre os dois
Não é necessária nenhuma
recomendação.
O transformador do CENPES apresenta
aterramento por baixa resistência, tecnicamente
isto pode acarretar algum problema na
SIMMOS/MA e
SOTREQLigação cabos 13,2 kV MOS: Não existe nenhum tipo de problema.
MOS: Não existe nenhum tipo de
problema.
Como será feito o travamento dos acessórios
necessários para realização da etapa de TESTE
DE SINCRONISMO? *Verificar procedimento
SIM MOS/OITestes de
Sincronismo
Será verificado no sistema 480V o sincronismo com o
sistema do CENPESVerificar procedimento SOTREQ
Para a movimentação do painel há recomendações
de Segurança (provavelmente movimentação será
feita com roletes)?
SIM SMSPosicionamento
PAINEL
A estratégia de movimentação do PN, é de
responsabilidade da Contratada, desde que sejam
atendidos os critérios de dimensionamento, planejamento
e manuseio por profissional habilitado.
A estratégia de movimentação do
PN, é de responsabilidade da
Contratada, desde que sejam
atendidos os critérios de
dimensionamento, planejamento e
14
2.3 - Técnica de Incidentes Críticos (TIC)
Segundo DE CICCO & FANTAZZINI (1981), entende-se por Incidente Crítico qualquer evento ou fato negativo com potencialidade para provocar dano. Trata-se, portanto, de uma situação ou condição que se apresenta, mas não manifesta dano. O incidente crítico também é chamado de “quase-acidente” ou incidente.
A investigação de Incidentes críticos é realizada, entrevistando os participantes a descrever o maior número possível de incidentes críticos, sem se aterem ao fato de que estes resultaram ou não em danos à propriedade ou lesões. Por isso é que esse método de obtenção dos incidentes críticos ficou conhecido como “confessionário” e em inglês como "Incident Recall".
É um método para identificar falhas humanas que contribuam para evitar a ocorrência de acidentes com lesão ou acidentes com potencial de lesão, onde se utiliza uma amostra aleatória estratificada de observadores-participantes, selecionados na população.
Os observadores-participantes são selecionados dentre os principais departamentos da empresa e procuram representar as diversas operações da empresa, dentro das diferentes categorias de risco. Um entrevistador os interroga e os incita a recordar e descrever os incidentes críticos, ou seja, as falhas humanas cometidas ou observadas, e ainda as não conformidades encontradas, que tenham lhes chamado a atenção.
Os observadores-participantes devem ser estimulados a descrever tantos incidentes críticos quantos possam recordar, sendo necessário para tal colocar a pessoa à vontade procurando, entretanto, controlar as divagações. A existência de um setor de apoio psicológico seria de grande utilidade durante a aplicação da técnica.
Os incidentes pertinentes, descritos pelos entrevistados, devem ser transcritos e classificados em categorias de risco, definindo a partir daí as áreas-problema, bem como a priorização das ações para a posterior distribuição dos recursos disponíveis, tanto para a correção das situações existentes como para prevenção de problemas futuros.
A técnica deve ser aplicada periodicamente, reciclando os observadores-participantes a fim de detectar novas áreas-problema, e ainda para aferir a eficiência das medidas já implementadas.
A TIC possui grande potencial, principalmente naquelas situações em que se deseja identificar perigos sem a utilização de técnicas mais sofisticadas e ainda, quando o tempo é restrito. A técnica tem como objetivo a detecção de incidentes críticos e o consequente tratamento dos riscos que os mesmos venham a representar.
15
2.4 - Análise de Modos de Falhas e Efeitos (AMFE) ou Failure Modes and
Effects Analysis (FMEA)
A Análise de Modos de Falha e Efeitos (AMFE), também conhecida pela sigla FMEA (Failure Modes and Effects Analysis), é uma técnica de análise de riscos de uso geral, detalhada, qualitativa ou quantitativa.
Segundo De Cicco (1994), esta técnica permite analisar as maneiras pelas quais um equipamento, componente ou sistema podem falhar. Permite também, estimar as taxas de falhas e os efeitos que poderão advir, e, estabelecer as mudanças que deverão ser feitas para aumentar a probabilidade de que o sistema ou equipamento funcione satisfatoriamente (DE CICCO e FANTAZZINI, 1994).
Os principais objetivos da AMFE são: uma revisão sistemática dos modos de falha de um componente para garantir danos mínimos ao sistema; determinação dos efeitos que tais falhas terão em outros componentes do sistema; determinação dos componentes cujas falhas teriam efeito crítico na operação do sistema (falhas de efeito crítico); cálculo de probabilidade de falha de componentes, montagem e subsistemas, através do uso de componentes com confiabilidade alta, redundâncias no projeto ou ambos (DE CICCO e FANTAZZINI, 1994).
A Análise de Modos de Falha e Efeitos (AMFE) é uma análise detalhada, podendo ser qualitativa ou quantitativa, que permite analisar as maneiras pelas quais um equipamento ou sistema pode falhar, e os efeitos que poderão advir, estimando, ainda, as taxas de falha, e propiciando o estabelecimento de mudanças e alternativas que possibilitem uma diminuição das probabilidades de falha, aumentando a confiabilidade do sistema.
A AMFE é realizada primeiramente de forma qualitativa, quer na revisão sistemática dos modos de falha do componente, na determinação de seus efeitos em outros componentes e, ainda, na determinação dos componentes cujas falhas têm efeito crítico na operação do sistema, sempre procurando garantir danos mínimos ao sistema como um todo.
Posteriormente, pode-se proceder à análise quantitativa para estabelecer a confiabilidade ou probabilidade de falha do sistema ou subsistema, através do cálculo de probabilidades de falhas de montagens, subsistemas e sistemas, a partir das probabilidades individuais de falha de seus componentes, bem como na determinação de como poderiam ser reduzidas estas probabilidades, inclusive pelo uso de componentes com confiabilidade alta ou pela verificação de redundâncias de projeto.
A AMFE foi desenvolvida por engenheiros de confiabilidade para permitir aos mesmos determinar a confiabilidade de produtos complexos. Para isto, é necessário o estabelecimento de como e quão frequentemente os componentes do produto podem falhar, sendo então a análise estendida para avaliar os efeitos de tais falhas.
16
Apesar de sua utilização ser geral, a AMFE é mais aplicável às indústrias de processo, principalmente quando o sistema em estudo possui instrumentos de controle, levantando necessidades adicionais e defeitos de projeto, definindo configurações seguras para os mesmos, quando ocorrem falhas de componentes críticos ou suprimentos. A técnica auxilia, ainda, na determinação e no encadeamento dos procedimentos para contingências operacionais, quando o sistema é colocado em risco e a probabilidade de erro, devido a ações não estruturadas, é alta, dependendo da ação correta dos operadores.
Para proceder ao desenvolvimento da AMFE ou de qualquer outra técnica, é primordial que se conheça e compreenda o sistema em que se está atuando e qual a função e os objetivos do mesmo, as restrições sob as quais irá operar, além dos limites que podem representar sucesso ou falha. O bom conhecimento do sistema em que se atua é o primeiro passo para o sucesso na aplicação de qualquer técnica, seja ela de identificação de perigos, análise ou avaliação de riscos.
Conhecido o sistema e suas especificidades, pode-se dar seguimento a análise, cabendo à empresa idealizar o modelo que melhor se adapte a ela. A Tabela abaixo mostra esquematicamente um modelo para aplicação da AMFE.
17
2.5 - HAZard and OPerability Studies (HAZOP) = Análise de Operabilidade
de Perigos
Descrição da técnica
Segundo MORAES (2002), O método HAZOP foi introduzido inicialmente pelos engenheiros da empresa inglesa ICI Chemicals, na metade dos anos 70.
O que é o HAZOP
A técnica denominada HAZOP – Estudo de Perigos e Operabilidade – visa identificar os perigos e os problemas de operabilidade de uma instalação de processo. Esta metodologia é baseada em um procedimento que gera perguntas de maneira estruturada e sistemática através do uso apropriado de um conjunto de palavras-guias.
O HAZOP enfoca tanto os problemas de segurança, buscando identificar os perigos que possam colocar em risco os operadores e aos equipamentos da instalação, como também os problemas de operabilidade que embora não sejam perigosos, podem causar perda de produção ou que possam afetar a qualidade do produto ou a eficiência do processo. Portanto o HAZOP identifica tanto problemas que possam comprometer a segurança da instalação como aqueles que possam causar perda de continuidade operacional da instalação ou perda de especificação do produto.
Objetivos do HAZOP
Segundo BRASIL (Notas de Aula, 2002), o HAZOP enfoca tanto os problemas de segurança, buscando identificar os perigos que possam colocar em risco os operadores e os equipamentos da instalação, assim como problemas de operabilidade que, embora não sejam perigosos, podem ocasionar perdas de produção ou afetar a qualidade do produto ou ainda a eficiência do processo.
Assim os principais objetivos da técnica ou metodologia HAZOP são:
Identificação de perigos e desvios operacionais;
Causas geradoras de cada desvio;
Meios de detecção;
Consequências de cada desvio;
Recomendações.
O principal objetivo de um Estudo de Perigos e Operabilidade (HAZOP) é investigar de forma minuciosa e metódica cada segmento de um processo, visando descobrir todos os possíveis desvios das condições normais de
18
operação, identificando as causas responsáveis por tais desvios e as respectivas consequências.
Aplicação do HAZOP
A técnica de HAZOP, como é uma metodologia estruturada para identificar desvios operacionais, pode ser usada na fase de projeto de novos sistemas/unidades de processo quando já se dispõe dos fluxogramas de engenharia e de processo da instalação, ou durante modificações ou ampliações de sistemas/unidades de processo já em operação. Pode também ser usada como revisão geral de segurança de unidades de processos já em operação. Portanto, esta técnica pode ser utilizada em qualquer estágio da vida de uma instalação. A análise por HAZOP foi desenvolvida originalmente para ser aplicada a processos de operação contínua, podendo, com algumas modificações ser empregada para processos que operam por bateladas.
Não se pode executar um HAZOP de uma planta em fase de projeto, antes de se dispor do P&ID da mesma. Deve-se, entretanto, executá-lo logo após o término do P&ID a fim de que as possíveis modificações oriundas da análise possam ser incorporadas ao projeto sem maiores custos. No caso de HAZOP de uma planta existente, o primeiro passo é verificar se o P&ID está realmente atualizado. A execução de um HAZOP com base em um P&ID incorreto é simplesmente inútil.
A construção do Hazop
A execução de um HAZOP de boa qualidade exige, além da participação
de especialistas experientes, informações precisas, detalhadas e atualizadas a
respeito do projeto e operação da instalação analisada. Para execução do
HAZOP deve-se dispor de P&ID’s atualizados, informações sobre o processo, a
instrumentação e a operação da instalação. Estas informações podem ser
obtidas através de documentação, tais como, especificações técnicas,
procedimentos de operação e de manutenção ou por pessoas com qualificação
técnica e experiência. A documentação, devidamente atualizada, que pode ser
necessária para execução do HAZOP está indicada abaixo:
1. Fluxogramas de engenharia (Diagramas de Tubulação e Instrumentação – P&ID’s).
2. Fluxogramas de processo e balanço de materiais. 3. Memorial descritivo, incluindo a filosofia de projeto. 4. Folhas de dados de todos os equipamentos da instalação. 5. Dados de projeto de instrumentos, válvulas de controle etc. 6. Dados de projeto e setpoints de todas as válvulas de alívio, discos de
ruptura etc. 7. Especificações e padrões dos materiais das tubulações. 8. Diagrama lógico de intertravamento, juntamente com descrição
completa. 9. Matrizes de causa e efeito. 10. Diagrama unificar elétrico. 11. Especificações das utilidades, tais como vapor, água de refrigeração, ar
comprimido etc.
19
12. Desenhos mostrando interfaces e conexões com outros equipamentos na fronteira da unidade/sistema analisado.
De forma geral, o método assume que um problema de segurança ou de operação somente pode ocorrer quando há um desvio dos propósitos do projeto ou operação. A técnica é baseada em um procedimento que gera perguntas de uma maneira sistemática através da determinação de pontos específicos do sistema (nós de estudo) e exame dos desvios dos parâmetros nesses “nós” através de palavras-guia, ou seja, no HAZOP de palavras-guia, o grupo focaliza pontos específicos do sistema que são pontos onde os parâmetros são investigados quanto aos desvios, um de cada vez. Os parâmetros envolvidos podem ser vários: temperatura, pressão, nível etc.
As palavras-guia são aplicáveis tanto aos parâmetros mais gerais (ex; reação, transferência etc.), quanto aos mais específicos (ex: pressão, temperatura, etc.). Essas palavras são usadas para garantir que o projeto ou o sistema seja explorado de todas as maneiras possíveis.
Com a aplicação do procedimento operacional, o grupo identifica um número razoavelmente grande de desvios, cada um dos quais deve então ser considerado de maneira tal que as causas e consequências potenciais possam ser identificadas.
Uma vez verificadas as causas e as consequências de cada tipo de desvios, esta técnica procura propor medidas para eliminar, mitigar ou controlar em níveis aceitáveis o risco ou quem sabe até sanar o problema de operabilidade da instalação.
É importante no HAZOP possuir um líder, cuja função principal é a de conduzir o estudo, orientando o questionamento de forma sistemática: definir filosofias e escopo e controlar a discussão mantendo um alto nível de energia. Com esse intuito, não é necessário que o líder seja um profundo conhecedor do sistema estudado.
A melhor ocasião para se conduzir um HAZOP é quando o projeto está bem consolidado. Nesse momento, o projeto estará suficientemente bem definido para permitir respostas compreensivas às perguntas levantadas.
Também nesse período é ainda possível mudar-se o projeto sem um custo maior. Entretanto, o HAZOP pode ser feito em qualquer estágio da vida da instalação. Muitas instalações antigas estão melhorando seus sistemas de instrumentação e controle baseando-se em resultados obtidos com a aplicação do HAZOP.
2.6 - Análise da Árvore de Eventos (AAE) - Event Tree Analysis
Segundo MORAES (2010), a Análise da Árvore de Eventos (AAE) é um método lógico-indutivo para identificar as várias e possíveis consequências resultantes de certo evento inicial. A técnica busca determinar as frequências das consequências decorrentes dos eventos indesejáveis, utilizando encadeamentos lógicos a cada etapa de atuação do sistema.
20
Nas aplicações de análise de risco, o evento inicial da árvore de eventos é, em geral, a falha de um componente ou subsistema, sendo os eventos subsequentes determinados pelas características do sistema.
Para o traçado da árvore de eventos as seguintes etapas devem ser seguidas:
a) definir o evento inicial que pode conduzir ao acidente;
b) definir os sistemas de segurança (ações) que podem amortecer o efeito do evento inicial;
c) combinar, em uma árvore lógica de decisões, as várias sequências de acontecimentos que podem surgir a partir do evento inicial;
d) uma vez construída a árvore de eventos, calcular as probabilidades associadas a cada ramo do sistema que conduz a alguma falha (acidente).
A árvore de eventos deve ser lida da esquerda para a direita. Na esquerda começa-se com o evento inicial e segue-se com os demais eventos sequenciais. A linha superior é NÃO e significa que o evento não ocorre, a linha inferior é SIM e significa que o evento realmente ocorre.
Um exemplo fictício, para proceder à análise quantitativa, pode ser tomado como no esquema do quadro a seguir, que investiga a probabilidade de descarrilhamento de vagões ou locomotivas, visto que existe um defeito nos trilhos.
Esquema de funcionamento da AAE
Exemplo fictício da aplicação da AAE
21
Como se pode observar no quadro anterior, o descarrilhamento pode ser causado por qualquer uma das três falhas assinaladas e, portanto, a probabilidade de que um defeito nos trilhos produza descarrilhamento é a soma simples das três possibilidades, ou seja, 0,6%.
De acordo com BRASIL (Notas de Aula, 2002), quando ocorre um evento iniciador de acidente em uma determinada instalação, este pode, dependendo dos eventos subsequentes, evoluir de diversas maneiras, dando origem a vários cenários de acidentes.
Esta evolução depende dos sistemas de segurança e procedimentos de emergência existentes. Os sistemas de segurança e os procedimentos são associados a fim de evitar a propagação do acidente, podendo-se ter falha ou sucesso na atuação destes sistemas ou na execução dos procedimentos.
Para cada uma destas situações tem-se uma evolução subsequente do acidente, que determina, no final, um conjunto de cenários de acidentes possíveis de ocorrer para aquele evento iniciador.
Árvores de eventos é o método mais apropriado para identificar esses cenários e de quantificar as suas respectivas frequências de ocorrências. Esse método surgiu como uma adaptação da técnica de árvores de decisões, muito utilizada nas áreas de economia e administração.
2.7 - Análise de Causas e Consequências (ACC)
A Análise das Causas e Consequências (AAC) se utiliza das mesmas técnicas de construção da Análise da Árvore de Eventos (AAE) e da Análise da Árvore de Falhas (AAF) que serão explicadas mais adiante.
O procedimento para construção de um diagrama de causas e consequências inicia-se por um evento inicial. Posteriormente, cada evento
desenvolvido é questionado, conforme mostrado a seguir:
22
- Em que condições o evento induz a outros eventos?
- Quais as alternativas ou condições que levam a diferentes eventos?
- Que outro componente o evento afeta?
- Ele afeta mais do que um componente?;
- Quais outros eventos este evento causa?.
De acordo com os autores (DE CICCO & FANTAZZINI, 1994), o binômio “causa-consequência” é um casamento da árvore de falhas (mostra as causas) e da árvore de eventos (mostra as consequências), todas elas com sua sequência natural de ocorrência.
Conforme DE CICCO (2004), trata-se de uma técnica que permite avaliar qualitativa e quantitativamente as consequências dos eventos catastróficos de ampla repercussão e verificar a vulnerabilidade do meio ambiente, da comunidade e de terceiros em geral.
O processo consiste, sucintamente, em escolher um evento crítico, partindo-se, para um lado, com a discretização das consequências e para outro, determinando as causas. A estruturação, a exemplo da árvore de falhas, também é feita através de símbolos e da álgebra booleana.
2.8 - Análise da Árvore de Falhas (AAF)
A técnica de Análise por Árvore de falhas é uma ferramenta versátil que
permite a avaliação quantitativa de parâmetros de confiabilidade.
A análise de um sistema através da Análise da Árvore de Falhas (AAF)
tem como objetivo determinar as possíveis combinações de falhas de
componentes de um sistema ou de erros humanos que possam acarretar a
ocorrência de um evento indesejado e quais destas combinações são as que
mais contribuem para a ocorrência deste evento.
O evento indesejado, que pode ser um acidente ou uma determinada
falha do sistema, é comumente chamado de “evento topo” da técnica de
Árvore de Falhas.
O conceito fundamental da análise por árvore de falhas consiste na
tradução de um sistema físico em um diagrama lógico estruturado (árvore de
falhas), que mostra como certas causas específicas podem conduzir ao evento
topo de interesse.
Este diagrama lógico é construído, usando-se lógicos (portões E e OU) e
os eventos.
A Árvore de Falhas permite:
23
revelar os pontos mais susceptíveis às falhas;
ajudar na escolha entre várias alternativas de um projeto;
considerar erros humanos, testes e manutenção.
A principal utilidade desta técnica reside no fato de que a identificação
dos pontos fracos do sistema permite a sugestão e implementação de medidas
que atuem diretamente sobre estes pontos. Além disso, esta técnica é de
extrema utilidade na tomada de decisão quando se dispõe de várias
alternativas para um determinado projeto.
A grande vantagem da análise por Árvore de Falhas está no fato desta
técnica permitir a incorporação de contribuições para a indisponibilidade devida
a erros humanos, realização e manutenção preventiva.
Esta técnica consiste na construção de um diagrama lógico, através de
um processo dedutivo que, partindo de um evento indesejado pré-definido
(normalmente um determinado modo de falha do sistema), busca as possíveis
causas de tal evento.
O processo segue investigando as sucessivas combinações de falhas dos componentes até atingir as chamadas falhas básicas (ou “eventos básicos da árvore de falhas”), as quais constituem o limite de resolução da análise. O processo é dedutivo, pois parte de eventos no nível do sistema e procura deduzir as causas possíveis até chegar à identificação dos eventos que podem ocorrer com os componentes do sistema.
Segundo BRASIL (Notas de Aula, 2002), o método de AAF pode ser desenvolvido através das seguintes etapas:
a) seleção do evento indesejável ou falha, cuja probabilidade de ocorrência deve ser determinada;
b) revisão dos fatores intervenientes: ambiente, dados do projeto, exigências do sistema etc., determinando as condições, eventos particulares ou falhas que possam vir a contribuir para ocorrência do evento topo selecionado;
c) montagem, através da diagramação sistemática, dos eventos contribuintes e falhas levantados na etapa anterior, mostrando o inter-relacionamento entre estes eventos e falhas, em relação ao evento topo. O processo inicia com os eventos que poderiam, diretamente, causar tal fato, formando o primeiro nível - o nível básico. À medida que se retrocede, passo a passo, até o evento topo, são adicionadas as combinações de eventos e falhas contribuintes. Desenhada a árvore de falhas, o relacionamento entre os eventos é feito através das comportas lógicas;
d) através de Álgebra Booleana são desenvolvidas as expressões matemáticas adequadas, que representam as entradas da árvore de falhas. Cada comporta lógica tem implícita uma operação matemática, podendo ser traduzida, em última análise, por ações de adição ou multiplicação;
e) determinação da probabilidade de falha de cada componente, ou seja, a probabilidade de ocorrência do evento topo será investigada pela
24
combinação das probabilidades de ocorrência dos eventos que lhe deram origem.
A construção de uma árvore de falhas é feita partindo-se do evento topo e investigando-se todas as causas imediatas que podem levar diretamente à ocorrência do evento topo e como estas causas devem ser combinadas.
Estas causas constituem os ramos principais da árvore de falhas, e são geralmente representadas por eventos intermediários associados com portões lógicos, podendo, algumas delas, serem representadas por eventos básicos ou não desenvolvidos.
A combinação entre as diversas causas que acarretam um determinado tipo de efeito é feita normalmente através de portões lógicos “E” ou “OU”, que são operadores booleanos. Assim, caso todas as causas tenham que ocorrer simultaneamente para que o evento topo exista, elas devem ser conectadas a este evento topo por meio de um portão lógico “E”.
Caso qualquer uma das causas possa acarretar a ocorrência do evento topo, elas devem ser conectadas ao evento topo através de um portão lógico “OU”.
Caso as causas não possam ser combinadas utilizando-se apenas um único portão lógico, isto significa que algumas delas foram definidas inadequadamente, devendo ser redefinidas.
A construção e a quantificação de árvores de falhas geralmente
requerem o uso de programa de computador e os seguintes documentos:
1. fluxogramas de engenharia do sistema (diagramas de tubulação e instrumentação);
2. fluxogramas de processo; 3. memorial descritivo do sistema, incluindo a filosofia de projeto; 4. manuais de operação, incluindo procedimentos de operação,
manutenção e testes; 5. desenhos de engenharia dos equipamentos, incluindo detalhes de
projeto; 6. folhas de dados de todos os equipamentos da instalação; 7. dados de projeto de instrumentos, válvulas de controle, etc.; 8. dados de projeto e “setpoints”de todas as válvulas de alívio,
discos de ruptura, etc.; 9. especificações e padrões dos materiais das tubulações; 10. diagrama lógico de intertravamento, juntamente com a descrição
completa; 11. desenhos mostrando interfaces e conexões com outros
equipamentos na fronteira do sistema analisado; 12. relatórios de ocorrências de falhas dos componentes envolvidos na
análise;
25
3. REFERÊNCIAS BIBLIOGRÁFICAS
1. MORAES, Giovanni de Araújo. Sistema de Gestão de Segurança e Saúde
Ocupacional – OHSAS 18.001 comentada. Brasil, RJ. 2006. Gerenciamento Verde
Editora e Livraria Virtual.
2. Norma ABNT ISO 31.001:2009 (Sistema de Gestão de Riscos). ABNT – Brasil, RJ,
2009.
3. Norma ABNT ISO Guia 73:2009 (Guia de Sistema de Gestão de Riscos). ABNT, RJ.
4. DE CICCO & FANTAZINNI, Introdução à Engenharia de Segurança de Sistemas,
FUNDACENTRO, SP-Brasil, 1994, 3ª edição.
5. BRASIL, Fernando, Notas de Aula, Curso de Técnicas de Análise de Riscos, 2002,
RJ.