A . pode ser definido como um conjunto de componentes interdependentes combinados de forma a desempenhar uma determinada função sob condições especificadas. Uma máquina é um exemplo tangível e particularmente claro de um sistema nesse sentido, mas existem outros sistemas, envolvendo homens e mulheres em uma equipe ou em uma oficina ou fábrica, que são muito mais complexos e não tão fáceis de definir. Segurança sugere a ausência de perigo ou risco de acidente ou dano. Para evitar ambigüidade, o conceito geral de ocorrência indesejada será empregado. A segurança absoluta, no sentido da impossibilidade de ocorrência de um incidente mais ou menos infeliz, não é atingível; realisticamente, deve-se almejar uma probabilidade muito baixa, em vez de zero, de ocorrências indesejadas.

Um determinado sistema pode ser considerado seguro ou inseguro apenas com relação ao desempenho que é realmente esperado dele. Com isso em mente, o nível de segurança de um sistema pode ser definido da seguinte forma: “Para qualquer conjunto de ocorrências indesejadas, o nível de segurança (ou insegurança) de um sistema é determinado pela probabilidade dessas ocorrências ocorrerem em um determinado período de tempo". Exemplos de ocorrências indesejadas que seriam de interesse na presente conexão incluem: múltiplas fatalidades, morte de uma ou várias pessoas, ferimentos graves, ferimentos leves, danos ao meio ambiente, efeitos nocivos sobre os seres vivos, destruição de plantas ou edifícios e grandes ou dano limitado de material ou equipamento.

Finalidade da Análise do Sistema de Segurança

O objetivo de uma análise de segurança do sistema é determinar os fatores que influenciam a probabilidade de ocorrências indesejadas, estudar a maneira como essas ocorrências ocorrem e, finalmente, desenvolver medidas preventivas para reduzir sua probabilidade.

A fase analítica do problema pode ser dividida em dois aspectos principais:

1. identificação e descrição do tipos de disfunção ou desajuste
2. identificação do sequências de disfunções que se combinam umas com as outras (ou com ocorrências mais “normais”) para levar, em última análise, à própria ocorrência indesejada e à avaliação de sua probabilidade.

Uma vez estudadas as diversas disfunções e suas consequências, os analistas de segurança do sistema podem direcionar sua atenção para medidas preventivas. A pesquisa nesta área será baseada diretamente em descobertas anteriores. Esta investigação de meios preventivos segue os dois principais aspectos da análise de segurança do sistema.

Métodos de Análise

A análise de segurança do sistema pode ser realizada antes ou depois do evento (a priori ou a posteriori); em ambos os casos, o método usado pode ser direto ou reverso. Uma análise a priori ocorre antes da ocorrência indesejada. O analista pega um certo número dessas ocorrências e se propõe a descobrir os vários estágios que podem levar a elas. Em contrapartida, uma análise a posteriori é realizada após a ocorrência da ocorrência indesejada. O seu objetivo é fornecer orientações para o futuro e, especificamente, tirar quaisquer conclusões que possam ser úteis para eventuais análises a priori posteriores.

Embora possa parecer que uma análise a priori seria muito mais valiosa do que uma análise a posteriori, uma vez que precede o incidente, as duas são de fato complementares. Qual método é usado depende da complexidade do sistema envolvido e do que já se sabe sobre o assunto. No caso de sistemas tangíveis, como máquinas ou instalações industriais, a experiência anterior geralmente pode servir para preparar uma análise a priori bastante detalhada. No entanto, mesmo assim a análise não é necessariamente infalível e certamente beneficiará de uma posterior análise a posteriori baseada essencialmente no estudo dos incidentes ocorridos no decurso da operação. Quanto a sistemas mais complexos envolvendo pessoas, como turnos de trabalho, oficinas ou fábricas, a análise a posteriori é ainda mais importante. Nesses casos, a experiência passada nem sempre é suficiente para permitir uma análise a priori detalhada e confiável.

Uma análise a posteriori pode se transformar em uma análise a priori, pois o analista vai além do processo único que levou ao incidente em questão e começa a examinar as várias ocorrências que poderiam razoavelmente levar a tal incidente ou a incidentes semelhantes.

Outra forma pela qual uma análise a posteriori pode se tornar uma análise a priori é quando a ênfase é colocada não na ocorrência (cuja prevenção é o objetivo principal da presente análise) mas em incidentes menos graves. Estas ocorrências, como percalços técnicos, danos materiais e acidentes potenciais ou menores, de relativa pouca significância em si, podem ser identificadas como sinais de alerta para ocorrências mais graves. Nestes casos, ainda que efectuada a posteriori à ocorrência de incidentes de menor gravidade, a análise será feita a priori relativamente a ocorrências de maior gravidade que ainda não tenham ocorrido.

Existem dois métodos possíveis de estudar o mecanismo ou a lógica por trás da sequência de dois ou mais eventos:

1. A diretamenteou indutivo, o método parte das causas para prever seus efeitos.
2. A reversoou dedutivo, o método olha para os efeitos e trabalha de trás para frente nas causas.

A Figura 1 é um diagrama de um circuito de controle que requer dois botões (B₁ e B₂) a serem pressionados simultaneamente para ativar a bobina do relé (R) e dar partida na máquina. Este exemplo pode ser usado para ilustrar, em termos práticos, a diretamente e reverso métodos usados ​​na análise de segurança do sistema.

Figura 1. Circuito de controle de dois botões

Método direto

No método direto, o analista começa por (1) listar falhas, disfunções e desajustes, (2) estudar seus efeitos e (3) determinar se esses efeitos são ou não uma ameaça à segurança. No caso da figura 1, podem ocorrer as seguintes falhas:

• uma quebra no fio entre 2 e 2'

• contato não intencional em C₁ (ou C₂) como resultado de bloqueio mecânico

• fechamento acidental de B₁ (ou B₂)

• curto-circuito entre 1 e 1'.

O analista pode então deduzir as consequências dessas falhas, e os resultados podem ser apresentados em forma de tabela (tabela 1).

Tabela 1. Possíveis disfunções de um circuito de controle de dois botões e suas consequências

* Ocorrência com influência direta na confiabilidade do sistema
** Ocorrência responsável por grave redução do nível de segurança do sistema
*** Ocorrência perigosa a ser evitada

Ver texto e figura 1.

Na tabela 1, as consequências perigosas ou susceptíveis de reduzir seriamente o nível de segurança do sistema podem ser designadas por sinais convencionais como ***.

Observação: Na tabela 1, uma quebra no fio entre 2 e 2' (mostrado na figura 1) resulta em uma ocorrência que não é considerada perigosa. Não tem efeito direto na segurança do sistema; no entanto, a probabilidade de tal incidente ocorrer tem uma relação direta com a confiabilidade do sistema.

O método direto é particularmente apropriado para simulação. A Figura 2 mostra um simulador analógico projetado para estudar a segurança dos circuitos de controle de prensa. A simulação do circuito de controle permite verificar que, desde que não haja falha, o circuito é realmente capaz de garantir o funcionamento requerido sem infringir os critérios de segurança. Além disso, o simulador pode permitir ao analista introduzir falhas nos vários componentes do circuito, observar suas consequências e, assim, distinguir aqueles circuitos bem projetados (com poucas ou nenhuma falha perigosa) daqueles mal projetados. Este tipo de análise de segurança também pode ser realizado usando um computador.

Figura 2. Simulador para estudo de circuitos de controle de prensas

método reverso

No método reverso, o analista retrocede a partir da ocorrência indesejável, incidente ou acidente, em direção aos diversos eventos anteriores para determinar quais podem ser capazes de resultar nas ocorrências a serem evitadas. Na figura 1, a última ocorrência a ser evitada seria a partida involuntária da máquina.

• A partida da máquina pode ser causada por uma ativação descontrolada da bobina do relé (R).

• O acionamento da bobina pode, por sua vez, resultar de um curto-circuito entre 1 e 1´ ou de um fechamento involuntário e simultâneo dos interruptores C₁ e C₂.

• Fechamento não intencional de C₁ pode ser consequência de um bloqueio mecânico de C₁ ou da pressão acidental de B₁. Raciocínio semelhante se aplica a C₂.

Os resultados dessa análise podem ser representados em um diagrama que se assemelha a uma árvore (por isso o método inverso é conhecido como “análise de árvore de falhas”), conforme ilustrado na figura 3.

Figura 3. Possível cadeia de eventos

O diagrama segue operações lógicas, sendo as mais importantes as operações “OU” e “E”. A operação “OU” significa que [X₁] ocorrerá se [A] ou [B] (ou ambos) ocorrer. A operação “E” significa que antes de [X₂] pode ocorrer, tanto [C] quanto [D] devem ter ocorrido (consulte a figura 4).

Figura 4. Representação de duas operações lógicas

O método inverso é muito usado na análise a priori de sistemas tangíveis, especialmente nas indústrias química, aeronáutica, espacial e nuclear. Também foi considerado extremamente útil como método para investigar acidentes industriais.

Embora sejam muito diferentes, os métodos direto e reverso são complementares. O método direto é baseado em um conjunto de falhas ou disfunções, e o valor de tal análise depende, portanto, em grande parte da relevância das várias disfunções consideradas no início. Visto sob esta luz, o método inverso parece ser mais sistemático. Dado o conhecimento de que tipos de acidentes ou incidentes podem acontecer, o analista pode, em teoria, aplicar esse método para trabalhar todas as disfunções ou combinações de disfunções capazes de provocá-los. Porém, como nem todos os comportamentos perigosos de um sistema são necessariamente conhecidos antecipadamente, eles podem ser descobertos pelo método direto, aplicado por simulação, por exemplo. Uma vez descobertos, os perigos podem ser analisados ​​em maior detalhe pelo método inverso.

Problemas de Análise de Segurança do Sistema

Os métodos analíticos descritos acima não são apenas processos mecânicos que precisam apenas ser aplicados automaticamente para chegar a conclusões úteis para melhorar a segurança do sistema. Pelo contrário, os analistas encontram uma série de problemas no decorrer de seu trabalho, e a utilidade de suas análises dependerá em grande parte de como eles se propõem a resolvê-los. Alguns dos problemas típicos que podem surgir são descritos abaixo.

Entendendo o sistema a ser estudado e suas condições de operação

Os problemas fundamentais em qualquer análise de segurança do sistema são a definição do sistema a ser estudado, suas limitações e as condições sob as quais ele deve operar ao longo de sua existência.

Se o analista levar em conta um subsistema muito limitado, o resultado pode ser a adoção de uma série de medidas preventivas aleatórias (situação em que tudo se volta para prevenir determinados tipos de ocorrência, enquanto perigos igualmente graves são ignorados ou subestimados ). Se, por outro lado, o sistema considerado for muito abrangente ou geral em relação a um determinado problema, pode resultar em excessiva imprecisão de conceito e responsabilidades, e a análise pode não levar à adoção de medidas preventivas adequadas.

Um exemplo típico que ilustra o problema de definição do sistema a ser estudado é a segurança de máquinas ou instalações industriais. Nesse tipo de situação, o analista pode ser tentado a considerar apenas o equipamento real, negligenciando o fato de que ele deve ser operado ou controlado por uma ou mais pessoas. Simplificações desse tipo às vezes são válidas. No entanto, o que tem de ser analisado não é apenas o subsistema máquina, mas todo o sistema trabalhador-máquina nas várias fases da vida útil do equipamento (incluindo, por exemplo, transporte e manuseamento, montagem, teste e ajuste, funcionamento normal , manutenção, desmontagem e, em alguns casos, destruição). Em cada estágio a máquina faz parte de um sistema específico cuja finalidade e modos de funcionamento e mau funcionamento são totalmente diferentes dos do sistema em outros estágios. Deve, portanto, ser concebido e fabricado de forma a permitir o desempenho da função requerida em boas condições de segurança em cada uma das fases.

De forma mais geral, no que diz respeito aos estudos de segurança nas empresas, existem vários níveis de sistema: a máquina, o posto de trabalho, o turno, o departamento, a fábrica e a empresa como um todo. Dependendo de qual nível do sistema está sendo considerado, os possíveis tipos de disfunção – e as medidas preventivas relevantes – são bem diferentes. Uma boa política de prevenção deve ter em conta as disfunções que podem ocorrer a vários níveis.

As condições de funcionamento do sistema podem ser definidas em função do modo como o sistema deve funcionar e das condições ambientais a que pode estar sujeito. Essa definição deve ser realista o suficiente para permitir as condições reais nas quais o sistema provavelmente operará. Um sistema que é muito seguro apenas em uma faixa operacional muito restrita pode não ser tão seguro se o usuário não conseguir se manter dentro da faixa operacional teórica prescrita. Um sistema seguro deve, portanto, ser robusto o suficiente para suportar variações razoáveis ​​nas condições em que funciona e deve tolerar certos erros simples, mas previsíveis, por parte dos operadores.

Modelagem do sistema

Muitas vezes é necessário desenvolver um modelo para analisar a segurança de um sistema. Isso pode levantar alguns problemas que valem a pena examinar.

Para um sistema conciso e relativamente simples como uma máquina convencional, o modelo é quase diretamente derivado das descrições dos componentes materiais e suas funções (motores, transmissão, etc.) e a maneira como esses componentes estão inter-relacionados. O número de possíveis modos de falha de componentes é igualmente limitado.

Máquinas modernas, como computadores e robôs, que contêm componentes complexos como microprocessadores e circuitos eletrônicos com integração em grande escala, representam um problema especial. Este problema não foi totalmente resolvido em termos de modelagem ou de previsão dos diferentes modos de falha possíveis, porque há muitos transistores elementares em cada chip e devido ao uso de diversos tipos de software.

Quando o sistema a ser analisado é uma organização humana, um problema interessante encontrado na modelagem reside na escolha e definição de certos componentes não materiais ou não totalmente materiais. Uma determinada estação de trabalho pode ser representada, por exemplo, por um sistema composto por trabalhadores, software, tarefas, máquinas, materiais e ambiente. (O componente “tarefa” pode ser difícil de definir, pois não é a tarefa prescrita que conta, mas a tarefa como ela é realmente executada).

Ao modelar organizações humanas, o analista pode optar por dividir o sistema em consideração em um subsistema de informação e um ou mais subsistemas de ação. A análise de falhas em diferentes estágios do subsistema de informação (aquisição, transmissão, processamento e uso da informação) pode ser altamente instrutiva.

Problemas associados a vários níveis de análise

Os problemas associados a vários níveis de análise geralmente se desenvolvem porque, a partir de uma ocorrência indesejada, o analista pode voltar a incidentes cada vez mais remotos no tempo. Dependendo do nível de análise considerado, varia a natureza das disfunções que ocorrem; o mesmo se aplica às medidas preventivas. É importante ser capaz de decidir em que nível a análise deve ser interrompida e em que nível a ação preventiva deve ser tomada. Um exemplo é o caso simples de um acidente decorrente de uma falha mecânica causada pela utilização repetida de uma máquina em condições anormais. Isso pode ter sido causado por falta de treinamento do operador ou por má organização do trabalho. Dependendo do nível de análise considerado, a ação preventiva necessária pode ser a substituição da máquina por outra capaz de suportar condições de uso mais severas, o uso da máquina somente em condições normais, mudanças no treinamento de pessoal ou reorganização de trabalhar.

A eficácia e o alcance de uma medida preventiva dependem do nível em que ela é introduzida. A ação preventiva nas imediações da ocorrência indesejada tem maior probabilidade de ter um impacto direto e rápido, mas seus efeitos podem ser limitados; por outro lado, retrocedendo razoavelmente na análise dos eventos, deveria ser possível encontrar tipos de disfunções comuns a numerosos acidentes. Qualquer ação preventiva tomada nesse nível terá um escopo muito mais amplo, mas sua eficácia pode ser menos direta.

Tendo em mente que existem vários níveis de análise, também pode haver vários padrões de ação preventiva, cada um dos quais carrega sua própria parcela do trabalho de prevenção. Este é um ponto extremamente importante, e basta retornar ao exemplo do acidente atualmente em consideração para apreciar o fato. Propor a substituição da máquina por outra capaz de suportar condições de uso mais severas coloca o ônus da prevenção sobre a máquina. Decidir que a máquina deve ser usada apenas em condições normais significa colocar o ônus no usuário. Da mesma forma, o ônus pode recair sobre a formação de pessoal, organização do trabalho ou simultaneamente sobre a máquina, o usuário, a função de treinamento e a função de organização.

Para qualquer nível de análise, um acidente muitas vezes parece ser a consequência da combinação de várias disfunções ou desajustes. Dependendo se a ação é tomada em uma disfunção ou outra, ou em várias simultaneamente, o padrão de ação preventiva adotado variará.

Voltar