Avaliação Qualitativa e Quantitativa de Riscos

Uma Comparação Intersetorial

Em diversos setores da indústria e dos serviços, o processo de avaliação qualitativa e quantitativa de riscos é feito tanto no projeto de sistemas quanto durante a operação do mesmo e consiste em pilar básico para assegurar operações com boas margens de segurança.

Para atender a esse propósito, diferentes setores industriais utilizam diferentes métodos, processos e ferramentas, bem como usam taxonomias distintas no que diz respeito ao gerenciamento de riscos.

Este artigo faz uma análise comparativa dos métodos, processos e ferramentas empregados na avaliação qualitativa e quantitativa de risco nos setores da aviação, espacial, automotivo, saúde, petróleo e gás, nuclear, mineração e indústria de transformação. Para tanto, analisamos aspectos como base normativa, contexto operacional, taxonomias de cada domínio e o estado da prática no uso de recursos tecnológicos para apoiar a avaliação e gerenciamento de riscos em tais setores.

 

Panorama

Para alguns dos principais setores produtivos do Brasil, a padronização e consolidação do processo de avaliação qualitativa e quantitativa de riscos está diretamente vinculada à criação de órgãos normativos e agências reguladoras em território nacional.

Em especial para os setores considerados como estratégicos, é correto afirmar que a história da evolução do processo de avaliação de riscos confunde-se com a própria cronologia de criação das suas respectivas autarquias nacionais, sejam elas agências reguladoras ou órgãos normativos:

Tais entidades contribuíram bastante para a definição de uma base regulatória e para o estabelecimento de meios de cumprimento aceitáveis no gerenciamento de riscos no projeto e na operação de sistemas. A base regulatória definida em geral inspira-se em regras e normas adotadas por países desenvolvidos com as devidas adaptações ao cenário brasileiro, por meio da participação ativa da comunidade de prática via consultas públicas.

 

 

Normas Setoriais

Cada setor econômico possui um conjunto específico de normas que estabelecem métodos, processos e ferramentas empregados na avaliação qualitativa e quantitativa de risco. A seguir faz-se um resumo das principais normas de cada setor.

 

1. Aeronáutico

1.1. Norma SAE-ARP-4761: estabelece processos e ferramentas de análise de segurança recomendados durante a fase de projeto de sistemas aeronáuticos. Nela destacam-se as seguintes ferramentas:

  • FHA (Functional Hazards Assessment): Processo sistemático de identificar e avaliar a criticidade de condições de falha com efeito na aeronave, tripulação e seus passageiros;
  • FMEA (Failure Mode and Effect Analysis): Ferramenta que permite identificar modos de falhas de componentes que compõem o sistema, avaliar efeitos de tais falhas no sistema e na aeronave, bem como identificar meios de verificação da existência da referida falha;
  • FTA (Fault Tree Analysis): Avaliação quantitativa da probabilidade de ocorrência de eventos associados a condições de falhas, baseada na combinação booleana de eventos básicos, bem como avaliação do nível de redundância de determinado sistema e quantificação do risco residual de falhas simples;
  • CMA (Common Mode Analysis): Processo sistemático para avaliar o potencial de modos comuns de falha em sistemas aeronáuticos;
  • PRA (Particular Risk Analysis): Avaliação do impacto na segurança da aeronave, tripulação e passageiros de situações particulares de risco tais como fogo a bordo, estouro de pneu, rompimento de palheta de motor, dentre outros;
  • ZSA (Zonal Safety Analysis): Processo de se avaliar o efeito de interface entre sistemas que localizados próximos, numa mesma região da aeronave, tal como o potencial de ocorrência de falhas em cascata.

1.2. Norma RTCA/DO-178C: prescreve objetivos processuais de desenvolvimento de software embarcado tão mais rigorosos quanto mais crítica for a falha do referido software.

Desse modo, existe uma relação direta entre o rigor processo de desenvolvimento de software prescrito e a avaliação qualitativa de risco associada ao mesmo.

 

Documento

Conteúdo

Data

DO-178

•  Definição da documentação mínima de certificação

1980

DO-178A

•  Aderência aos princípios de Engenharia de Software

•  Introdução do conceito de Verificação e Validação

1985

DO-178B

•  Detalha os objetivos do processo de desenvolvimento (“O que”), mas não detalha o “Como” atingir tais objetivos.

1992

DO-178C

•  Inclusão de suplementos que abordam o “Como”

2011

Tab.1 – Histórico de revisões da norma RTCA/DO-178

 

Ao longo do tempo, a norma sofreu atualizações por meio da publicação de documentos suplementares, listados a seguir:

  • RTCA/DO-330: Software Tool Qualification Considerations.
  • RTCA/DO-331: Model-Based Development and Verification Supplement to DO-178C and DO-278A.
  • RTCA/DO-332: Object-Oriented Technology and Related Techniques Supplement to DO-178C and DO-278A.
  • RTCA/DO-333: Formal Methods Supplement to DO-178C and DO-278A.

A figura a seguir mostra esquematicamente como o nível de rigor de desenvolvimento de software (DAL – Design Assurance Level) está associado à condição de falha do sistema e à demanda por evidências de certificação.

Fig.1 – Processo de alocação de DAL da norma RTCA/DO-178C

1.3. ICAO Anexo 19: lançado em 2013 estabelece um processo sistemático de gerenciamento de riscos a ser executado durante a operação de aeronaves. Esse processo baseia-se em quatro pilares básicos, a saber:

  • Definição de políticas de segurança
  • Gerenciamento de risco
  • Garantia do sistema
  • Promoção da segurança

Em termos de ferramentas, a principal ferramenta sugerida pelo Anexo 19 é a matriz de avaliação de risco. Trata-se de uma matriz que permite avaliar qualitativamente se um risco é aceitável, tolerável ou não tolerável, a partir da estimativa de severidade e probabilidade.

Fig.2 – Matriz de avaliação do risco

A figura a seguir expõe de modo esquemático as três regiões anteriormente descritas e identificadas pela cor verde (aceitável), amarelo (tolerável) e vermelho (não tolerável).

Fig.3 – Processo de avaliação do risco conforme Anexo 19 da ICAO

2. Petróleo e Gás

Norma N-2595

Elaborada pela Petrobras com base na norma IEC 61511, estabelece condições mínimas requeridas para projeto, operação e manutenção de sistemas instrumentados de segurança utilizados na indústria de Petróleo e Gás e denominados SIS (Safety Instrumented Systems).

A norma N-2595 baseia-se na seguinte taxonomia:

  • Safety Instrumented System – SIS: Sistema instrumentado utilizado para implementar uma ou mais funções de segurança. Tal sistema é composto por um conjunto de sensores, processadores lógicos e atuadores.
  • Independent Protection Layer – IPL: Uma camada de proteção independente (IPL) consiste em um recurso de projeto capaz de manter sua função preventiva ou de mitigação de forma totalmente autônoma, independentemente do cenário operacional ou mesmo de outras camadas de proteção.
  • Falha (fault): Condição anormal que pode causar a redução ou perda da capacidade de um dispositivo desempenhar a sua função desejada.
  • Estado Seguro (safe state): Estado de um processo ou de operação de um equipamento cujo risco encontra-se dentro de um limite considerado tolerável.
  • Safety Instrumented Function – SIF: Função de proteção implementada por um SIS para atingir ou manter um estado Seguro de um processo ou operação de equipamento por meio de uma ação de automação específica a partir de um determinado desvio operacional.
  • Falha sistemática (systematic failure): Falha relacionada com uma causa conhecida e que evolui de forma determinística.
  • Redundância: Existência de mais de uma maneira de se desempenhar a mesma função, normalmente associada ao aumento da confiabilidade e disponibilidade do sistema. A redundância pode ser implementada por meio de dispositivos idênticos (redundância idêntica) ou diferentes (redundância diversa ou dissimilar).
  • Risco: Combinação da probabilidade (frequência esperada) de um evento perigoso com a severidade de tal evento. O risco pode ser expresso matematicamente pelo produto da frequência esperada pela severidade do evento (Risco = frequência X severidade). A frequência esperada é tipicamente expressa pelo número de eventos por ano, enquanto a severidade o é em valores monetários e/ou números de fatalidades.
  • Risco tolerável (tolerable risk): Risco estabelecido como aceitável em um determinado contexto.

Os processos e ferramentas que a norma N-2595 recomenda são:

  • Layers of Protection Analysis – LOPA: Técnica semi-quantitativa utilizada para avaliar a redução de risco alcançável pelo uso de camadas de proteção no sistema.
  • Process Hazard Analysis – PHA: Esforço sistemático e organizado para identificar e avaliar a relevância de perigos em potencial associados com o processamento e manuseio de produtos perigosos, focando no equipamento, instrumentação, ações humanas e condições externas que podem afetar o processo.
  • Hazards and Operability Study – HAZOP: Técnica indutiva e estruturada para identificar qualquer processo perigoso e problemas operacionais potenciais, associando um conjunto de palavras chave às variáveis de processo e para cada desvio operacional identificado, suas causas, consequências, meios de detecção, proteções de segurança existentes e recomendações de medições adicionais quando aplicável.
  • Definição do Safety Integrity Level – SIL: O SIL (Safety Integrity Level) é um indicador de desempenho do SIF e expresso numa escala inteira de 1 a 4. Para se estimar o SIL, faz-se necessário:
    • Estimar a probabilidade média de uma determinada camada de proteção falhar quando demandada num determinado intervalo de tempo (PFDavg – Average Probability of Failure on Demand).
    • Estimar o fator de redução do risco (RRF – Risk Reduction Factor) como sendo RRF = 1/ PFDavg.
    • Definir o SIL com a norma IEC 61508. Quanto maior o RRF requerido para uma SIF, maior deverá ser o SIL associado a ela.

De modo sumarizado, a norma N-2595 preconiza as seguintes etapas processuais:

  • Hazard Analysis: Identificação das condições perigosas feita por um time muiti-disciplinar de profissionais nas áreas de processos, instrumentação e controle, operações industriais e segurança. Nessa etapa recomenda-se o uso da ferramenta HAZOP.
  • Risk Evaluation: Para cada condição perigosa, determina-se o risco conforme estimativa de frequência e severidade. Em seguida avalia-se se o risco é tolerável ou não.
  • Protection Layers: Caso a avaliação anterior indique que o risco é superior a um limite tolerável, deve-se buscar reduzir a expectativa de frequência ou severidade do evento associado por meio da introdução de camadas de proteção no sistema.
  • SIS Design: Especificar uma solução lógica compatível com as análises anteriores e demonstrar atendimento aos requisitos da norma IEC 61508 para os SIL (Safety Integrity Level) de cada uma das funções de proteção (SIF).
  • Factory Acceptance Test: Especificar e realizar um teste de aceitação do sistema a ser realizado após a conclusão do projeto e antes da instalação e comissionamento. O FAT deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações lógicas de cada SIF. O objetivo desse teste é verificar atendimento aos requisitos das SIFs.

3. Industrial e Automotivo

Norma IEC 61508

Estabelece um processo de desenvolvimento de dispositivos eletro-eletrônicos programáveis que podem colocar em risco a segurança do sistema. Existe uma adaptação dessa norma para aplicação no setor automotivo que consiste na ISO 26262.

Quanto mais crítica a programação (software embarcado), maior o rigor processual demandado, o que implica em um SIL (Safety Integrity Level) maior. Desse modo, para um software mais crítico, espera-se uma probabilidade média de falhas mais baixa, um fator de redução de risco (RRF – Risk Reduction Factor) mais alto e um SIL maior.

A tabela a seguir mostra a relação entre SIL e RRF para itens com baixa demanda de operação e itens de operação contínua.

SIL

RRF Itens com baixa demanda

RRF Itens de operação contínua

1

10 – 100

100.000 – 1.000.000

2

100 – 1.000

1.000.000 – 10.000.000

3

1.000 – 10.000

10.000.000 – 100.000.000

4

10.000 – 100.000

100.000.000 – 1.000.000.000

Tab.2 – Relação entre SIL e RRF para itens com baixa demanda e operação contínua

O conjunto de processos recomendados pela norma IEC 61508 resumem-se às seguintes etapas:

1. Software safety requirements specification

2. Validation plan for software aspects of system safety

3. Software design and development

  • software architecture
  • detailed design and development
  • code implementation
  • software module testing
  • software integration testing

4. Programmable electronics integration (hardware and software)
5. Software operation and modification procedures
6. Software aspects of system safety validation
7. Software modification
8. Software verification

A figura a seguir representa de modo esquemático o encadeamento de tais etapas, conforme recomendado pela IEC 61508.

Fig.4 – Processo de desenvolvimento de software de acordo com norma IEC 61508

4. Saúde

Norma IEC 62304

Define um processo de desenvolvimento de software para equipamentos médicos críticos, o qual pode ser evidenciado via documentação técnica contendo todos os registros de verificação do processo de desenvolvimento. Tal norma está diretamente relacionada com requisitos da ANVISA conforme sumarizado a seguir.

Em 2001 a ANVISA emitiu resolução RDC Nº 185/2001 estabelecendo que:

  • Equipamentos médicos são classificados nas categorias I, II, III e IV, de acordo com o risco à saúde do paciente, onde a classificação I é a mais severa
  • O software do equipamento médico segue a mesma classificação

De acordo com a instrução normativa da ANVISA IN 13/2009, para se registrar um equipamento médico classe I ou II, o requerente deve prover documentação técnica com todos os registros de verificação capazes de provar a adequação do projeto ao seu uso pretendido.

Desde o ano de 2015, a ANVISA vem reconhecendo a norma IEC 62304 como o principal guia para a geração de evidências de verificação capaz de comprovar adequação do projeto ao uso pretendido.

O processo de verificação da norma IEC 62304 segue um desenvolvimento em V, conforme ilustrado esquematicamente na figura a seguir. Cada elemento de software de aplicação médica denomina-se PEMS (Programmable Electrical Medical Devices).

Fig.5 – Processo de desenvolvimento de software médico de acordo com norma IEC 62304

5. Nuclear

Norma CNEN NE 1.26

A Comissão Nacional de Energia Nuclear (CNEN) é uma autarquia federal vinculada ao Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), criada em 1956 e estruturada pela Lei 4.118, de 27 de agosto de 1962, para desenvolver a política nacional de energia nuclear. Órgão superior de planejamento, orientação, supervisão e fiscalização, a CNEN estabelece normas e regulamentos em radioproteção e é responsável por regular, licenciar e fiscalizar a produção e o uso da energia nuclear no Brasil.

A CNEN investe também em pesquisa e desenvolvimento, buscando um uso cada vez mais amplo e seguro das técnicas do setor nuclear, e seu foco é garantir os benefícios da energia nuclear a um número cada vez maior de brasileiros, sempre com segurança na operação dos materiais e equipamentos radioativos.

A CNEN disponibiliza um grande conjunto de normas voltadas à garantia da segurança tanto do projeto quanto da operação de instalações de geração de energia nuclear. Dentre tais normas merece um destaque a norma CNEN NE 1.26 que trata da segurança da operação de usinas nucleoelétricas.

A CNEN NE 1.26 estabelece os requisitos mínimos necessários para garantir que a condução da operação de usinas nucleoelétricas seja mantida sem risco indevido à saúde e à segurança da população como um todo e ao meio ambiente. Nela se define que a organização operadora deve desenvolver, aplicar e permanentemente aperfeiçoar um modelo para gerenciamento do risco associado às diversas configurações operacionais, sem prescrever qual seria esse modelo.

Por outro lado, fica explícito na referida norma que o modelo para gerenciamento do risco deve incorporar a base de dados da organização operadora, contendo a experiência operacional específica acumulada durante um período em que esses dados sejam estatisticamente significativos.

Enquanto a norma CNEN NE 1.26 estabelece requisitos para a operação de usinas nucleoelétricas, os requisitos de projeto dessas instalações são definidos em conformidade com a norma internacional IEC 61513.

6. Espacial

Norma NBR ISO 17666

Define os princípios e requisitos para o gerenciamento do risco integrado em um programa espacial e esclarece o que é necessário para implementar uma política de gerenciamento do risco integrada a um projeto, por qualquer participante do projeto e em qualquer nível (por exemplo: clientes e fornecedores nos diversos níveis).

O texto do documento contém um resumo do processo geral de gerenciamento do risco, que é subdividido em quatro passos básicos e nove tarefas. A aplicação pode ser adaptada às condições específicas de cada projeto.

 

7. Mineração

Norma NR 22

A ANM (Agência Nacional de Mineração) foi criada por meio da Medida Provisória n° 791, de 25 de julho de 2017. De acordo com o teor da referida Medida Provisória, a ANM tem como missão substituir o então Departamento Nacional de Produção Mineral (DNPM), ora extinto, nas suas funções de Estado que englobam o planejamento da exploração mineral e o aproveitamento dos recursos minerais, assegurando, controlando e fiscalizando o exercício das atividades de mineração, além de regular o uso dos recursos minerais de domínio da União.

A regulação do uso de recursos minerais da União atende a critérios de utilidade pública, racionalidade do aproveitamento dos bens minerais, reparabilidade financeira e estrutural à sociedade e a sustentabilidade do meio ambiente.

A ANM em conjunto com o Ministério do Trabalho fiscaliza a Segurança e Saúde Ocupacional na Mineração tendo por referência normativa, a norma NR 22, cujo objetivo consiste em disciplinar os preceitos a serem observados na organização e no ambiente de trabalho, de forma a tornar compatível o planejamento e o desenvolvimento da atividade mineira com a busca permanente da segurança e saúde dos trabalhadores.

A NR 22 se aplica tanto a minerações subterrâneas, minerações a céu aberto, garimpos, atividades de beneficiamentos minerais e realização de pesquisa mineral. Sua primeira versão é de julho de 1978, tendo a sua última atualização em abril de 2019.

Essa norma estabelece que cabe à empresa ou Permissionário de Lavra Garimpeira elaborar e implementar um Programa de Gerenciamento de Riscos – PGR, incluindo, no mínimo, aspectos relacionados a:

  1. riscos físicos, químicos e biológicos;
  2. atmosferas explosivas;
  3. deficiências de oxigênio;
  4. ventilação;
  5. proteção respiratória, de acordo com a Instrução Normativa n.º 1, de 11/04/94, da Secretaria de Segurança e Saúde no Trabalho;
  6. investigação e análise de acidentes do trabalho;
  7. ergonomia e organização do trabalho;
  8. riscos decorrentes do trabalho em altura, em profundidade e em espaços confinados;
  9. riscos decorrentes da utilização de energia elétrica, máquinas, equipamentos, veículos e trabalhos manuais;
  10. equipamentos de proteção individual de uso obrigatório;
  11. estabilidade do maciço;
  12. plano de emergência e
  13. outros resultantes de modificações e introduções de novas tecnologias.

Conforme requerido pela norma, o Programa de Gerenciamento de Riscos – PGR deve incluir as seguintes etapas:

  1. antecipação e identificação de fatores de risco, levando-se em conta, inclusive, as informações do Mapa de Risco, quando houver;
  2. avaliação dos fatores de risco e da exposição dos trabalhadores;
  3. estabelecimento de prioridades, metas e cronograma;
  4. acompanhamento das medidas de controle implementadas;
  5. monitorizarão da exposição aos fatores de riscos;
  6. registro e manutenção dos dados por, no mínimo, vinte anos e
  7. análise crítica do programa, pelo menos, uma vez ao ano, contemplando a evolução do cronograma, com registro das medidas de controle implantadas e programadas.

 

Conclusões

É possível perceber que o processo de avaliação qualitativa e quantitativa de riscos de diversos setores econômicos possui muitas semelhanças e geralmente permeia tanto a fase de projeto quanto a operação de sistemas. Existe inclusive uma taxonomia comum entre os diversos setores, havendo poucas carências de harmonização nesse sentido.

Por outro lado, percebe-se um desbalanceamento quanto ao uso de técnicas e ferramentas de análise, sendo o setor aeronáutico aquele que se encontra em estágio mais avançado quanto ao emprego das melhores práticas tanto qualitativas quanto quantitativas de gerenciamento de riscos.

Tab. 3 - Abordagem de ferramentas e processos para projeto & operação de sistemas críticos

O potencial de avanço no estudo de métodos e ferramentas para avaliação qualitativa e quantitativa de riscos é enorme e depende de diversos fatores, a saber:

  • Compartilhamento de experiências entre profissionais de diferentes setores
  • Estímulo ao desenvolvimento de cultura de segurança e normatização
  • Treinamento e capacitação de pessoas
  • Fortalecimento da comunidade que estuda e trabalha com sistemas críticos à segurança
  • Maior interação entre indústria e comunidade acadêmica

Só assim conseguiremos romper as ilhas de conhecimento setoriais e transformar o compartilhamento de aprendizados em sinergia de ideias e planos de ação. Na condição de especialista em soluções digitais para sistemas complexos em diversas áreas, a Konatus tem um sólido histórico de colaboração com muitos dos setores descritos neste artigo e segue fomentando a importância dos fatores acima, por meio da incorporação e consolidação de conceitos fundamentais de segurança e confiabilidade em sistemas e processos críticos.

REFERÊNCIAS:

  • SAE, SAE-ARP-4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, SAE, US (1996);
  • RTCA, RTCA/DO-178C Software Considerations in Airborne Systems and Equipment Certification, RTCA, US (2011);
  • ICAO, ANNEX 19 Safety Management, ICAO, US (2013);
  • PETROBRAS, N-2595 REV C. Critérios de Projeto e Manutenção para Sistemas Instrumentados de Segurança em Unidades Industriais, PETROBRAS, BRASIL (2012);
  • INTERNATIONAL ELECTROTECHNICAL COMISSION, IEC 61511 Functional safety – Safety instrumented systems for the process industry sector, IEC, SUÍÇA (2016);
  • INTERNATIONAL ELECTROTECHNICAL COMISSION, IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES), IEC, SUÍÇA (2010);
  • INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, ISO 26262 Road vehicles – Functional safety, ISO, SUÍÇA (2011);
  • INTERNATIONAL ELECTROTECHNICAL COMISSION, IEC 62304 Medical device software – software life cycle processes, IEC, SUÍÇA (2015);
  • COMISSÃO NACIONAL DE ENERGIA NUCLEAR, CNEN NE 1.26 Segurança na operação de usinas nucleoelétricas, CNEN, BRASIL (1997);
  • INTERNATIONAL ELECTROTECHNICAL COMISSION, IEC 61513 Nuclear power plants – Instrumentation and control important to safety – General requirements for systems, IEC, SUÍÇA (2011);
  • ABNT, NBR ISO 17666 Sistemas Espaciais – Gerenciamento do risco, ABNT, BRASIL (2012);
  • MINISTÉRIO DO TRABALHO E EMPREGO, NR 22 Saúde e Segurança Ocupacional na Mineração, MTE, BRASIL (2019).

FALE CONOSCO

Entre em contato e conheça um pouco mais sobre nosso trabalho!

    [recaptcha]