[EQ 2018.

2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Conceitos Básicos de Segurança

Alguns conceitos básicos devem ser diferenciados. Apesar de não terem lá a mais definida e
certinha das definições, é importante saber para não confundir nada na hora de fazer uma
análise de riscos.

1- Acidente (conceito prevencionista):

Evento não planejado e indesejável. Ou uma sequência de eventos que geram consequências
indesejáveis. Acidentes interferem ou interrompem o processo normal de uma atividade,
trazendo como consequência, isolada ou simultânea, perda de tempo, danos materiais e/ou
lesões ao homem.

2- Perigo
Condição física ou química que possui potencial para causar danos às pessoas, propriedades
ou ao meio ambiente

3-Risco
Medida de danos à vida humana, meio ambiente ou perda econômica resultante da
combinação entre a frequência de ocorrência e a magnitude das perdas ou danos

É portanto, quantificável. Modos de se entender o risco matematicamente:

• Combinação de incerteza e dano

• Uma razão entre perigo e proteções
• Uma combinação tripla de evento, probabilidade e consequências

De uma forma genérica, vamos considerar:

𝑹 = 𝒈(𝒇, 𝒔)
Onde:

• 𝑅 →Risco
• 𝑔( ) → Uma função de
• 𝑓 → frequência
• 𝑠 → severidade

4-Segurança
O conceito de segurança entra como uma forma de se prevenir perdas, ou seja, prevenir
acidentes. Uma vez identificados os perigos de uma planta química, é possível eliminá-los,
prevenindo acidentes.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Como elevar o nível de segurança de uma planta?

Forma Porque é bom? Porque pode ser ruim?

Sistema de Avisa pro operador (1) Muitos alarmes tocando em tempo real dificultam
Alarmes de problemas o entendimento do problema quando todos tocarem.
Informação Sabe-se dos (2) Um alarme que toca o tempo todo pode levar o
em tempo problemas antes de operador a se acostumar. O dia que a situação for
real eles escalarem mais séria o operador não dará a devida atenção.
para situações (3) Risco de ataque cibernético em operações nas
irreversíveis plantas
Redundância Um perigo é (4) Dois aparelhos ligados a mesma rede, com só um
descoberto de mais sendo necessário e só um operando. Uma falha na
de uma forma rede acaba quebrando os dois aparelhos (a
redundância só é aceita até o ponto que ela altere a
frequência levando o risco a um nível tolerável)
Automação Elimina o fator erro Mexe na frequência do risco, apesar de diminuir a
humano severidade (menos gente trabalhando, a explosão que
mataria 5, graças a automação mata 2, por exemplo)

Estatísticas de Acidentes
Em plantas químicas, o número de acidentes é tão maior quanto menos complexo é o
equipamento que falha e causa o acidente. Em tubulações por exemplo, temos 29% dos
acidentes.

Alguns indicadores para estatísticas de acidentes são:

Nome Fórmula
Taxa de Frequência de 𝑛º 𝑑𝑒 𝑎𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 ∙ 106
𝑇𝐹𝐴 =
Acidentes (TFA) ℎ𝑜𝑟𝑎𝑠 − ℎ𝑜𝑚𝑒𝑚 𝑑𝑒 𝑒𝑥𝑝𝑜𝑠𝑖çã𝑜 𝑎𝑜 𝑟𝑖𝑠𝑐𝑜

Taxa de Frequência de
𝑛º 𝑑𝑒 𝑎𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 ∙ 106
acidentados com lesão 𝑇𝐹 =
com afastamento (TF) ℎ𝑜𝑟𝑎𝑠 − ℎ𝑜𝑚𝑒𝑚 𝑑𝑒 𝑒𝑥𝑝𝑜𝑠𝑖çã𝑜 𝑎𝑜 𝑟𝑖𝑠𝑐𝑜

𝑡𝑒𝑚𝑝𝑜 𝑐𝑜𝑚𝑝𝑢𝑡𝑎𝑑𝑜 ∙ 106

Taxa de gravidade (TG) 𝑇𝐺 =
ℎ𝑜𝑟𝑎𝑠 − ℎ𝑜𝑚𝑒𝑚 𝑑𝑒 𝑒𝑥𝑝𝑜𝑠𝑖çã𝑜 𝑎𝑜 𝑟𝑖𝑠𝑐𝑜
𝑛º 𝑑𝑒 𝑓𝑎𝑡𝑎𝑙𝑖𝑑𝑎𝑑𝑒𝑠 ∙ 108
FAR 𝐹𝐴𝑅 =
𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 ℎ𝑜𝑟𝑎𝑠 𝑡𝑟𝑎𝑏𝑎𝑙ℎ𝑎𝑑𝑎𝑠 𝑝𝑜𝑟 𝑡𝑜𝑑𝑜𝑠 𝑜𝑠
𝑒𝑚𝑝𝑟𝑒𝑔𝑎𝑑𝑜𝑠 𝑑𝑢𝑟𝑎𝑛𝑡𝑒 𝑜 𝑝𝑒𝑟í𝑜𝑑𝑜 𝑎𝑛𝑎𝑙𝑖𝑠𝑎𝑑𝑜

O termo 106 em cada fórmula é meramente uma normatização, pois usamos esses indicadores
em milhões de horas-homem. FAR, por outro lado, é uma sigla em inglês que se baseia em
1000 empregados.

Chamamos de tempo computado o tempo contado em dias perdidos. Para acidentes

temporários, a conta é fácil. Se 3 pessoas faltam 15 dias, o tempo computado é de 45 dias.
Agora, em caso de acidentes irreversíveis, uma tabela se mostra necessária para converter
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

esse tipo de acidente (como perder um braço, por exemplo) para dias perdidos de acidentes
temporários (torcer o pé, por exemplo). Dias perdidos são os dias corridos de afastamento
temporário e dias debitados, dias perdidos por incapacidade permanente

Em 2004 na constituição brasileira o FAP (Fator Acidentário de Prevenção). Trata-se de um

número, que varia de 0,50 a 2,00, multiplicado ao valor da estatística Grau de Incidência de
Incapacidade Laborativa. O valor varia conforme o maior ou menor grau de investimentos em
programas de prevenção de acidentes e doenças do trabalho e proteção contra os riscos
ambientais do trabalho, respectivamente. Essa nova metodologia tem como objetivo, entre
outros, estimular o investimento dos empregadores em melhorias nos métodos produtivos e
na qualificação dos trabalhadores visando a reduzir os riscos ambientais do trabalho.

Segurança Ocupacional
Acidentes ocorrem devido à →

• Condições ambientais de insegurança

• Atos inseguros
o Quando a pessoa faz o que não devia ou deixa de fazer o que devia estar
fazendo. Pode ser praticado de forma consciente ou não. A desobediência de
normas ou regras, tanto operacionais ou de segurança são considerados atos
inseguros
• Fatores pessoais de insegurança

Chamamos de acidente de trabalho aquele que ocorre pelo exercício do trabalho a serviço da
empresa, provocando lesão corporal ou perturbação funcional que cause a morte ou perda ou
redução, permanente ou temporária, da capacidade de trabalho. Consideramos ainda como
acidente de trabalho

• Doenças ocupacionais
• Ato de sabotagem, vandalismo
• Disputa relacionada ao trabalho
• Ato de imprudência, negligência ou imperícia de terceiro ou do próprio trabalhador
• Desabamento, inundação, incêndio
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

• Doenças provenientes de contágio acidental no exercício de sua atividade

• Execução de ordem, prestação espontânea e viagem a serviço (for do local de
trabalho)
• Trajeto
• Refeição

Alguns casos envolvendo acidentes de trabalho →

• Caso 1 (INSS e Afastamento)

o A média de setor, para bancos, é de 5% dos seus funcionários se afastarem por
acidente de trabalho. O INSS cobre quando o afastamento é superior a 15 dias
e paga mais se o acidente se classificar como acidente de trabalho. Um banco
X, no ano Y, teve 25% dos seus funcionários afastados. Como a percentagem é
maior que a do setor, o banco deve pagar mais caro por causa disso. Essa é
uma forma de estimular o banco a investir em segurança de trabalho.
Empresas as vezes fazem o crime de ocultar o fato de que determinado
acidente foi acidente de trabalho para pagar menos.
• Caso 2 (NTEP)
o O Nexo Técnico Epidemiológico Previdenciário (NTEP) é um documento que
relaciona a doença que um funcionário pegou com os riscos de trabalho. Caso
um funcionário contraia uma doença e alegue que foi por causa de seu ofício,
o NTEP evita que as empresas mintam sobre a existência de um acidente de
trabalho.
• Caso 3 (Placa Recorde sem Acidentes)
o Por vezes empresas colocam placas de aviso dizendo o recorde sem acidentes
de trabalho. Isso por ser um tiro no pé porque nenhum funcionário vai querer
ser aquele que reiniciou a contagem dos dias, mesmo por medo de retaliação.
Essa placa pode levar o funcionário a esconder acidentes de trabalho

o
• Caso 4 (Safe Work)
o Chamamos de Safe Work o ato de criar procedimentos específicos para todas
as coisas no local de trabalho, mesmo as menos frequentes como, por
exemplo, pintar um reator. Só por ser algo banal não quer dizer que não
precise de diretrizes de como fazer isso sem causar acidentes de trabalho.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Acidentes Passados
O evento acidente pode ser dividido em três
categorias temporais: iniciação, propagação e
término. Para um dos três, existem formas de se
minimizar o problema. No caso de acidentes
passados, aprendendo com os erros, medidas nos
três níveis podem ser adotadas:

Exemplo → Acidente de Flixborough

Operação normal:

• 70000 ton de Nylon

• 6 Reatores em série
• Temperatura de 155 ºC
• Pressão de 7,9 atm

Fase de Início do Acidente

• Rachadura no reator 5 detectada, tornando a remoção do mesmo para reparo

necessária

Evitar a Iniciação

• Solução adotada foi conectar o reator 4 diretamente no reator 6 com uso de reciclo
para atingir a conversão desejada
Acidente evitado

Acidente Passado
Torção e quebra da conexão temporária, causando dois pontos de vazamento (reatores 4 e 6).
Nesse acidente, mais de 30 ton de ciclohexano vazaram em menos de 1 minuto. O composto,
volátil, evaporou e uma grande nuvem de vapor se formou. Com ignição, a nuvem explodiu e
destruiu completamente a planta.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Análise e Gerenciamento de Risco

Existe mais de um tipo de procedimento para análise de risco. Em todos eles, no entanto,
existe uma mesma sequência lógica:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Para cada instalação industrial, é fundamental responder:

1. Quais são os perigos ou fontes de perigo?

2. O que pode dar errado e como (cenários acidentais) ?
3. Quais as chances disso ocorrer?
4. Quais as consequências

Essa análise pode levar tempo, mas precisa ser pensada constantemente. É importante
considerar todos os cenários possíveis, de forma a:

Não se perder foco avaliando cenários de severidade desprezível

Não se exagerar nos efeitos ou na frequência
Não se estabelecer cenários inacreditáveis

A parte da aceitabilidade do risco é importante. É importante saber que o ideal não tem
espaço na vida prática do engenheiro. O ideal, por exemplo, em uma planta, é que nenhum
operador morra nunca intoxicado por inalação de gases que saem dos reatores. No entanto, se
a análise de risco diz que 1 operário morre a cada 1000 anos de operação, pra fins práticos,
consideraremos isso como um risco aceitável.

Um método de avaliarmos a aceitabilidade do risco é fazer uma matriz de riscos:

Importante frisar que a matriz é mais baseada em opiniões do que em estatísticas. Pra cada
cenário acidental, é recomendável considerar ele o mais perto possível de situações em
verde. Situações em amarelo ou vermelho requerem um estudo mais detalhados de modo a
minimizar os seus riscos. Forçar situações para cair em situações amarelas/vermelhas pode
custar caro para as empresas, dada a necessidade dos estudos, que não são baratos, ao
mesmo tempo que forçar as situações pro verde pode ser má fé. Exemplo:

Vazamento em um tanque estocador de diesel em um canteiro de obras devido à corrosão

localizada no tanque, formando poça com possibilidade de incêndio.
A melhor classificação pra esse cenário (opinião pessoal minha, assinado Ratier) é B3. A descrição do que
o 3 e o B significam está abaixo. Uma severidade maior não é necessária ser controlada uma vez que um
incêndio pode ser controlado facilmente em um canteiro de obras, supondo que exista equipamento
adequado para conter. Se considerássemos uma severidade maior, cairíamos em uma casa vermelha,
tornando o estudo do caso ainda mais caro. Ao mesmo tempo, um incêndio ser classificado como algo de
severidade baixa parece má fé. Quanto a frequência, levando em consideração que nenhum lugar é
projetado para pegar fogo, considerar frequência alta é exagero. Mas considerar a mais baixa das
frequências é negligenciar que o cenário em um canteiro de obras é bem possível.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Segundo Nolan, podemos separar a Severidade em 5 classes:

Classe Descrição
Pequenos ferimentos nos trabalhadores - sem afastamento
Danos as instalações menores que o "valor base"
Pequeno impacto ambiental (não necessita remediação)
1 Perdas de produção menores que o "valor base"
Sem impacto para áreas externas a empresa
Não custa distúrbio a população
Não gera interesse da mídia
Lesões com afastamento nos trabalhadores
Danos a propriedades superando até 20 vezes o "valor base"
Moderado impacto ambiental (remediação em até uma semana)
2 Perda de produção de até 20 vezes o "valor base"
Pequeno distúrbio na população vizinha (odor, ruído)
Possível reação negativa da população
Possível interesse da mídia
Lesão permanente em trabalhadores, possível fatalidade
Danos a propriedades superando até 50 vezes o "valor base"
Significativo impacto ambiental (remediação em até 1 mês)
3 Perda de produção de até 50 vezes o "valor base"
Médio distúrbio na população vizinha (pode precisar de atendimento)
Reação negativa da população
Interesse da mídia local
Uma fatalidade ou até 4 empregados com lesão permanente
Danos a propriedades superando até 200 vezes o "valor base"
Severo impacto ambiental (remediação em até 6 meses)
Perda de produção de até 200 vezes o "valor base"
4
Significante distúrbio na população vizinha, danos as propriedades, lesões ou
doenças temporárias
Intensa reação negativa da população
Interesse da mídia nacional
Múltiplas fatalidades ou lesões permanentes
Danos a propriedades superando 200 vezes o "valor base"
Extenso impacto ambiental (remediação por mais de 6 meses)
Perda de produção superando 200 vezes o "valor base"
5
Severo distúrbio na população vizinha, danos a propriedades, fatalidades ou lesões
permanentes
Severa reação negativa da população ameaça a continuação das operações
Interesse da mídia internacional

O autor define "valor base" como sendo o valor segurado ou considerado aceitável pela
gerência. Note que a matriz apresentada é 4x4 e aqui temos 5 classes. Matrizes de risco não
precisam, necessariamente, ser 4x4 como a apresentada. Ainda segundo Nolan, podemos
classificar a frequência em 5 classes
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Classe Descrição
1 Frequência: nunca até 1 em 1.000.000
Não ocorre na vida útil do processo e não existe relato ou suspeita de já ter
ocorrido em alguns instante, em algum lugar (em qualquer empresa do mesmo
ramo).
2 Frequência: 1 em 1.000.000 anos até 1 em 10.000 anos
Eventos como esse são pouco prováveis de ocorrer, mas existe relato histórico de
já ter ocorrido em algum instante, em algum lugar (em qualquer empresa do
mesmo ramo).
3 Frequência: 1 em 10.000 anos até 1 em 1.000 anos
É possível ocorrer em algum local (em qualquer empresa do mesmo ramo) durante
a vida útil da planta
4 Frequência: 1 em 1.000 anos até 1 em 100 anos
É quase certo de ocorrer em algum local da empresa durante a vida útil da planta
(não necessariamente na planta em estudo).
5 Frequência: 1 em 100 anos ou mais
Já ocorreu em algum lugar da empresa, ou é provável de ocorrer na própria planta
em estudo

A classificação pra frequência e severidade que usaramos pra tabela 4x4 apresentada será:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Em Nolan, a diferenciação entre 1 e 2, 2 e 3, 3 e 4 e 4 e 5 é bem sutil. Portanto, é cobrado do aluno o reconhecimento de um

cenário em intervalos maiores. Por exemplo, se um cenário tem frequência desprezível, digamos, 1, o aluno estará errando se
classificar ela como 3, mas não se classificar como 2. Isso é questão de bom senso mesmo.

É interessante notar na classificação de Nolan que Repercussão de Mídia muda a severidade.

Quando um acidente repercute na mídia, a empresa tem sua imagem prejudicada, o que
significa prejuízo por perda de confiabilidade na marca. Para isso, muitas empresas tem um
gabinete de crise, que cuida da imagem da empresa após um acidente

Um outro método para analisar e gerenciar o risco é adotar a prático dos 5 porquês. Os “5
Porquês” é uma técnica para encontrar a causa raiz de um defeito ou problema. É uma técnica
de análise que parte da premissa que após perguntar 5 vezes o porquê um problema está
acontecendo, sempre relacionado a causa anterior, será determinada a causa raiz do problema
ao invés da fonte de problemas.

Geralmente se diz que: tubulação estava corroída

(desculpa)
• No 1º porquê, temos um sintoma
• 3º Porque: Porque a tubulação
• No 2º porquê, temos uma desculpa
corroeu? → Resposta: Porque não
• No 3º porquê, temos um culpado houve boa manutenção ou troca
• No 4º porquê, temos uma causa quando necessário (culpado)
• No 5º porquê, temos a causa raíz • 4º Porque: Porque não houve boa
Exemplo: Vazamento de líquido de uma manutenção ou troca quando
tubulação necessária ? → Resposta: Por
imperícia do funcionário
• 1º Porque: Porque vazou? → responsável por avaliar a qualidade
Resposta: Porque apareceu um da tubulação (causa)
furo na tubulação (sintoma) • 5º Porque: Porque houve
• 2º Porque: Porque apareceu um imperícia? → Resposta: Porque o
furo? → Resposta: Porque a funcionário estava mal treinado ou
orientado (raíz)
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Claro, isso é só um exemplo. Respostas poderiam ser bem diferentes em situações diferentes
ou mesmo na mesma situação. Nesse exemplo, chegamos a conclusão que a tubulação sofreu
vazamento porque não treinou o funcionário corretamente nos cuidados da mesma.

Agora, nos perguntemos: QUANDO UM RISCO É ACEITÁVEL? Uma forma de vermos isso é, ao
invés de usar a matriz de risco, fazer um gráfico:

Cada ponto do gráfico é uma soma de todos os riscos que um indivíduo ou um grupo de
indivíduos está exposto. Alguns pontos se conectam por ter o mesmo valor de risco, formando
curvas de isso-risco. Quanto mais alta a curva, maior o risco. Determinado ponto do gráfico
pode ser considerado como risco aceitável ou não se esse ponto estiver abaixo ou acima ,
respectivamente, da curva de isso-risco total da planta.

Um outro gráfico importante é a Curva F-N:

Essas curvas relacionam o número de fatalidades de determinado evento único e a frequência

que esse número ocorre. Note que o eixo vertical representa a quantidade de vezes que N
fatalidades ocorrem por ano. Cada curva F-N é feita pra somente um evento. Por exemplo,
explosão de tanque. Caso esse evento ocorra 0,000001 vezes ao ano (ou 1 vez a cada
1.000.000 anos), podemos aceitar o risco se, quando ele ocorrer, um número entre 1 e 10
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

pessoas morrer. Agora, se quando ele acontecer, mais de 1000 pessoas morrerem, ai o risco
não é aceitável. E quando riscos não são aceitáveis, voltamos o fluxograma lógico apresentado
no início dessa parte da matéria

A região ALARP significa “As Low as Reasonably Praticable Risk”. É uma região duvidosa em
que deve-se obter outras informações para determinar um risco como aceitável ou não.
Geralmente nessa região, classificamos o risco aceitável somente quando para dado evento
em análise a redução do risco é impraticável ou praticável mas com custos desproporcionais
ao quanto o risco cai.
Por exemplo, caso o evento seja a explosão do tanque de mistura, se o risco cair nessa região e o tanque não puder ter nenhum
parâmetro alterado, então o risco é aceitável. Agora, imagine que o risco pode mudar sim, mas de outra forma: demitindo
funcionário. Com menos funcionário para operar o tanque, o N cai, saindo da região de ALARP e diminuindo o risco. Porém com
menos funcionário, a produtividade cai, tornando-se desvantajoso. O número de funcionários que precisariam ser demitidos para
reduzir esse risco não compensa. Então nesses exemplos, o risco é considerado aceitável.

Uma coisa interessante sobre essa curva é que ela é dinâmica. Com o tempo, instalações vão
ficando piores (corrosão etc) e, sem o devido cuidado, a frequência dos acidentes pode
aumentar, de forma que certo evento que anteriormente era qualificado como aceitável,
agora não seja mais. Ou ainda, a população ao redor de uma planta pode aumentar,
aumentando a severidade em caso de acidentes

Medidas interessantes para se retirar pontos extremos de suas posições:

 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Métodos Qualitativos de Análise de

Risco- APP/APR
APP ou APR e HAZOP são métodos que podem ser tão simples quanto a empresa queira ou tão
complexos quanto ela necessita! Por serem métodos qualitativos estão sujeitos a
subjetividade, pois a experiência profissional de quem o fez, assim como o achismo, podem
influenciar seu resultado.

APP/APR significam, respectivamente, Análise Preliminar de Perigo e Análise Preliminar de

Risco. O nome correto para essa análise é APR, mas a indústria usa erradamente APP (fazer o
que né, vamos ter que usar também). Está errado porque perigo não é algo quantificável: 1L
de gasolina é tão inflamável quanto 10 L, mas a severidade de 10 L de gasolina pegando fogo é
bem maior, logo o risco também é.

O APP é uma análise preliminar, realizada antes de um estudo mais completo. Visa
selecionar os principais perigos e as principais áreas de risco de uma unidade.

Existem ainda as siglas APPP e APPS onde o último P significa “Procedimento” e o S significa
“Serviço”.

APPs não possuem modelos específicos, variando conforme desejar a empresa. O modo mais
comum tem essa cara por exemplo:

Perigo →
Condição física ou química que possui potencial para causar danos às pessoas, propriedades
ou ao meio ambiente.

• Dica do professor: Chame de “cenário acidental”. O que você vai escrever nessa coluna
não é bem a definição de perigo
• Exemplos: Vazamento, Transbordamento, Tombamento, Colisão Mecânica, etc.

Causas →
O que leva a condição potencial de perigo ocorrer.

• Dica do professor: Mantenha uma causa para cada cenário. Isso permite avaliar
melhor a frequência – embora eleve o número de cenários
• Exemplo: Corrosão localizada, má controle de válvulas, erro de operação e
manutenção, má instalação de peças, colisão mecânica, etc.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Efeitos →
É o que acontece se uma das causas ocorrer de fato.

• Dica do professor: Mantenha um efeito por cenário. Isso permite avaliar melhor a
frequência e a severidade – embora eleve o número de cenários
• Exemplos: formação de poça e possibilidade de incêndio, perda de produto, explosão,
etc.

Modo de Detecção →
A forma pela qual determinado perigo pode ser identificado.

• Exemplo: Visual, Ruído, Odor, Intrumentação, etc.

Categoria da Severidade, Categoria da Frequência e Risco →

Para completar essas partes, usaremos a matriz de risco. Escolheremos a quantidade de linhas
para usar. Por exemplo, podemos fazer conforme o APP abaixo:

Que está analisando um risco para cada efeito-perigo ou poderíamos fazer 1 análise de risco
para cada efeito-causa-perigo, como no exemplo abaixo:

Perigo Causas Efeitos Severidade Probabilidade Risco

P1; C1, E1
C1
P1; C1, E2
E1
P1; C2, E1
C2
P1; C2, E2
P1
P1; C3, E1
C3
P1; C3, E2
E2
P1; C4, E1
C4
P1; C4, E2

Certamente a análise acima é mais detalhada. Importante frisar que:

 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

• A frequência é função da causa e do efeito.

• A severidade é função do efeito

Recomendações →
Nessa parte, podem aparecer escrito, ao invés de "Recomendações", "Sugestões". Nesse caso,
para recomendações, a coluna vai demonstrar obrigatoriedades para se tornar o risco
aceitável. As recomendações podem ser imediatas ou de longo prazo, de forma que as
primeiras possam ser implementadas com urgência até que as definitivas estejam funcionais.
As sugestões, por sua vez, são em geral opcionais, e geralmente são observadas enquanto o
APP é elaborado. Ambas são identificadas como R1,R2, R3 ... e S1, S2, S3 ...

Pode aparecer também no lugar de "Recomendações/Sugestões" as "Medidas Preventivas ou

Salvaguardas/ Medidas Mitigatórias". Enquanto as preventivas evitam o acidente, reduzindo
a frequência, as mitigatórias agem após o acidente, reduzindo a severidade

Algumas tabelas incluem novas classificações de severidade, frequência e risco após

implementação de recomendações imediatas e definitivas. Antes de implementar quaisquer
recomendações propostas, é necessário se realizar a gestão da mudança (MOC - Management
of Change) e analisar novamente os riscos: eles diminuíram? Se sim, ai vale a pena
implementar. Um MOC é composto das seguintes etapas:

1. Identifique e quantifique a mudança

2. Avaliar risco e recompensa
3. Selecione a equipe de avaliação do MOC
4. Desenvolver ações de mitigação de risco
5. Identifique Aprovadores e “Ser Informado”
6. Elaborar documento com aprovações e comentários
7. Execute a mudança e a mitigação(inclui ações pré e pós-implementação)
8. Confirme a eficácia
9. Confirmação da Mitigação e Acompanhamento
10. Fechar a atividade de mudança
11. Revisar a atividade da mudança
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Nº →
Numera as hipóteses para referências futuras. O número de hipóteses é o número de linhas na
tabela feito menos 1 (que é a linha onde “Nº” está escrito né)

Observações importantes sobre a montagem de um APP →

Na hora de montar um APP, devemos ter muito cuidado porque devem explicar cada uma das
coisas muito bem pra deixar claro pro professor. É muito fácil em um APP gerar redundâncias.
Tudo vai depender de como estruturamos a tabela. Por exemplo, colisão mecânica pode ser
tanto um perigo como uma causa de algum outro perigo. Para o perigo de explosão de um
tanque com combustível, digamos, a colisão mecânica de um carro com o tanque pode gerar a
faísca para a explosão, agindo como causa. Ao mesmo tempo, poderíamos usar colisão
mecânica como um perigo e o transporte em altas velocidades no interior da planta ser
considerado como uma causa. Nesse caso específico, para evitar esse loop, é interessante não
por colisão mecânica como perigo. Além disso, quando colocarmos na detecção
“Instrumentação”, devemos ser claro qual instrumento (sensores, por exemplo) que foi usado
na detecção

Métodos Qualitativos de Análise de

Risco – HAZOP
O HAZOP tem sido usado com grande sucesso há aproximadamente 40 anos com o objetivo de
identificar os perigos causados pelos desvios da intenção de projeto. O HAZOP investiga as
causas e consequências deste desvio de projeto, oferecendo sugestões para que tais desvios
não ocorram. É um método que requer mais tempo para ficar pronto do que o APP, mas é
menos complexo.

O estudo é feito em cima de um nó de uma planta, isto é, em um trecho da planta. Ao

contrário da APP/APR, é um método mais bem estruturado. Num HAZOP (Hazard and
Operability Study), usamos como guia algumas palavras-chave:

• Mais • Antes
o Acréscimo quantitativo no o Etapa de um processo
parâmetro de processo sequencial iniciada antes
• Menos do tempo
o Decréscimo quantitativo • Depois
no parâmetro de processo o Etapa de um processo
• Nenhum sequencial iniciada depois
o Negação da intenção de do tempo
projeto no parâmetro de • Outro
processo o Substituição do parâmetro
• Reverso • Também
o Parâmetro em sentido o Acréscimo qualitativo no
oposto parâmetro de processo
• Em parte
o Decréscimo qualitativo no
parâmetro de processo
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Certamente, para cada parâmetro escolhido, existe um conjunto de palavras chave que fazem
sentido:

Vazão em sentido oposto da intenção, logo o parâmetro vazão tem sentido físico com a palavra-chave Reverso. Temperatura em
sentido reverso não existe, logo essa palavra-chave não faz sentido pra temperatura, assim como Nenhuma temperatura também
não é possível. Reação é o único parâmetro que pode ter o “Outro” pois o parâmetro pode ser substituído por outra reação no
mesmo nó da planta ou outro componente do nó. Não tem como em um nó a vazão mudar. A vazão pode vir antes ou depois do
que deveria, pode ir pro sentido contrário, pode ser maior ou menor ou inexistente, mas não pode mudar pra outra vazão.

O HAZOP parte do princípio que todos os nós que antecedem o avaliado estejam operando
corretamente, evitando assim citar o mesmo evento mais de uma vez. Um exemplo de HAZOP:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Recomendações típicas:

• Modificação ou revisão do projeto original

• Adição de indicador visual
• Adição de alarme
• Adição de sistema de intertravamento
• Mudança no procedimento
• Aumentar a frequência de manutenção preventiva
• Melhorar as proteções de incêndio e explosão

! Atenção ! Seja sempre específico !

• Adição de indicador visual de nível do tanque TQ09

• Manutenção preventiva a cada 30 dias
• Alarme de alta caso a temperatura do sensor TT56 ultrapasse 55°C
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

O posicionamento do nó é algo complicado.

Os nós em tubulações muitas vezes demandam esforço excessivo e retornam poucos

resultados práticos, logo a tendência é observar equipamentos. O HAZOP fica mais difícil de
ser realizado, no entanto, uma vez que equipamentos são mais complexos de serem
analisados.

Um nó deve ser posicionado de forma a contemplar todas as conexões anteriores. Caso

contrário, cenários acidentais anteriores podem passar desapercebido.

Em suma, uma forma genérica de se montar um HAZOP é:

Hazop – Estudos de Perigos & Operabilidade

Categoria de
Parâmetro & Medidas
Causas Efeitos Risco Recomendações
Palavras-Chave Preventivas
S F CR
⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮

Assim como no APP/APR, um MOC é necessário após recomendações.

Observações sobre a confecção de um HAZOP →

A dificuldade do HAZOP está em prever todos os eventos plausíveis em equipamentos

anteriores ao nó. No geral, quanto mais experiente a equipe e seu líder, menor é o número de
nós e mais rápido é feito o HAZOP. A equipe tem, geralmente, no máximo 10 pessoas

O HAZOP pode ser usado na fase de projeto, mas também é realizado periodicamente (ex: 10
anos) na planta. Alguns autores recomendam realizar um novo HAZOP após as modificações
terem sido implementas. As correções podem gerar problemas novos.

HAZOP não se aprende apenas nos livros, a prática é etapa fundamental. Após uma
metodologia longa e cansativa, gerar documentos formais é uma obrigação! Manter a
coerência entre os vários HAZOPs da empresa é importante. Ou pelo menos manter a
coerência entre unidades e plantas localizadas em um mesmo complexo.

Evitar o cansaço é fundamental. Melhor trabalhar 4 ou 5 horas por dia no estudo – e não 8
horas. Ao final de 8 horas pode-se “aceitar” apenas para seguir em frente, ou tentar simplificar
excessivamente os cenários levantados. A metodologia serve para tornar o processo mais
seguro, não para aumentar a produção. Manter o foco é fundamental.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Algumas dicas de ouro sobre a confecção de um HAZOP →

• Cuidado com cenários não críveis. Exemplo: falhas simultâneas. Será mesmo que é
crível que mais de um sensor falhe ao mesmo tempo?
• Malhas de controle não devem ser considerados como salvaguardas
• Jamais recomende "treinamento de operador" para uma operação que obviamente o
operador precisa ser treinado
• As recomendações devem focar em eliminação das causas e não na mitigação das
consequências do cenário. Devem ser claras, sucintas, bem definidas e precedidas de
verbo de ação

Análise LOPA
A Análise LOPA (Layers of Protection Analysis) é uma análise qualitativa que visualiza as
camadas de proteção. LOPA é um método objetivo, racional e reprodutível de avaliação de
risco e cenário comparando-o com critérios de tolerância a riscos para decidir se as barreiras
existentes são adequadas ou se são necessárias proteções adicionais.

O “Evento Topo” é o evento perigoso decorrente de perda de controle. Por causa do formato
bonitinho do fluxograma acima, ele ganha o nome de Bow Tie. LOPA pode ser visto como uma
extensão das análises de risco qualitativas. Por esse motivo, alguns APP tem uma coluna extra
para inserir essa análise. APR/APP e HAZOP analisam frequência e severidade
qualitativamente. LOPA, por sua vez, analisa frequência quantitativamente e severidade
qualitativamente
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Análise SIL
Em ingês, a análise SIL significa Safety Integrity Level. Pros BR, Análise do Nível de Integridade
de Segurança. Integridade de segurança é definida como: “A probabilidade de um sistema
relacionado com segurança desempenhar satisfatoriamente as funções requeridas em todas as
condições estabelecidas durante um determinado intervalo de tempo”. Portanto a análise SIL
é definida como a probabilidade de uma falha em determinada potência de anos.

A análise SIL é complementar à LOPA. Por exemplo, um operador pode ser uma barreira de
controle para determinado evento perigoso como, por exemplo, uma explosão. Esse operador,
humano, geralmente é classificado como SIL 1, ou seja, falha vez a cada 10 anos. Nesse caso, o
fator humano só entrará na LOPA caso ele tiver procedimento para agir e até 15 min para
atuar (ou seja, caso ele tenha condições de não errar ao atuar como barreira de controle). Ai
sim ele será SIL 1. Sensores também são bons exemplos de barreiras contra eventos perigosos
e que possuem SIL maior que a do humano.

Métodos Quantitativos de Análise de

Risco (AQR) – Conceitos Básicos
Os métodos AQR (Análise Quantitativa de Risco) não partem da opinião do analista e são
completamente quantitativos. São métodos mais caros e necessários somente em cenários
com elevada classificação de risco (dai a importância e não empurrar uma classificação pro
vermelho). Considerando 𝜇 como a quantidade de falhas por unidade de tempo, temos:

𝑅(𝑡) = 𝑒 −𝜇𝑡
𝑃(𝑡) = 1 − 𝑅(𝑡) = 1 − 𝑒 −𝜇𝑡
Onde 𝑅(𝑡) é a confiabilidade e 𝑃(𝑡) é a probabilidade de falha, valores que mudam com o
tempo. Apesar de considerada constante, a quantidade de falhas pode não ser constante com
o tempo:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Por exemplo, uma geladeira com garantia de 2 anos. Estatisticamente, quando a geladeira tem
1,5 a 2,5 anos, ela tem uma taxa de falha aproximadamente constante de 0,05 falhas por mês,
por exemplo. No entanto, a frequência de falhas aumenta quando a geladeira é velha, caindo
num ponto muito alto, pra esquerda, na curva acima. Por isso que garantias estendidas são
caras, porque no tempo extra da garantia a probabilidade de falha é maior.

Para entender o AQR precisamos analisar a lógica matemática para os equipamentos. Isso
porque um acidente decorre de uma cadeia de eventos (fatores contribuintes). Logo, a
probabilidade do acidente ocorrer está relacionada com a probabilidade de cada um dos
eventos, separadamente, também ocorrer.
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Usaremos a lógica “E” e “OU” para analisar a probabilidade de cada um dos eventos que levam
a um acidente ocorrer:

Usada
em
Lógica Equipa Exemplo Matemática
mentos
em

E Paralelo

OU Série

Em lógicas do tipo "ou", basta 1 de X equipamentos em série falhar para que o acidente
ocorra. Em lógicas do tipo "e", para que o acidente ocorra, é necessário que todos os
equipamentos em paralelo falhem. O exemplo em paralelo dado é um exemplo de sistema
redundante. A falha no controle de pressão não leva o reator a explodir se a válvula de alívio
estiver funcionando e/ou o disco de ruptura também. Portanto esses três equipamentos são
redundantes pois evitam o mesmo problema e só se todos falharem o acidente ocorrerá. É
importante que cada um deles seja independente, pois dependências físicas e funcionais, por
exemplo, reduzem a confiabilidade. Outra coisa importante sobre a lógica "e" é que os eventos
de falha não necessariamente começam no mesmo momento.

Quanto a matemática, como a probabilidade é um número menor que "1", o produtório da

lógica "e" resulta em um número menor que o menor dos termos. Logo, o "e" reduz a
probabilidade total de falhas, justificando o uso de sistemas com redundância. Já na
matemática do "ou", o mesmo pode ser pensado para a confiabilidade total. Como a
confiabilidade é um número menor que "1", o produtório resulta em um número menor que o
menor dos termos, fazendo o "ou" reduzir a confiabilidade total do sistema
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

AQR – Árvore de Falhas

Trata-se de um método dedutível para identificar como pequenos acontecimentos podem se
propagar, sozinhos ou em conjunto, até ocasionar grandes acidentes. Pode ser feito de baixo
pra cima ou de cima pra baixo:

• De cima pra baixo → Partindo de um cenário acidental principal (evento topo), usa-se
a lógica “E” e a lógica “OU” para entender as causas do evento.
• De baixo pra cima → A partir de eventos falha, escala-se as consequências do mesmo
até obter um cenário acidental principal

Mesmo cenários e processos simples podem ter árvores gigantescas! Por isso mantenha o foco
na linha de investigação e coloque os cenários críveis

Exemplo de pensamento de cima pra baixo com a árvore acima →

Evento topo é a explosão do vaso de pressão, logo esse é o cenário acidental principal que
queremos investigar. O que pode causar essa explosão? Respostas possíveis são:
Sobrepressão, Desgaste Estrutural, Colisão Mecânica e Sabotagem.
Colisão Mecânica dependendo da linha que a gente usar pode nem ser um cenário crível. Afinal, se estivermos falando do choque
de um caminhão com um vaso, não parece algo muito crível né? Cuidado que crível e possível são coisas diferentes. Com tanta
coisa que pode dar errado numa planta química um caminhão desgovernado é a coisa menos crível que tem.

Beleza, agora pra cada uma dessas causas, descemos na árvore pra ver o que gerou esse
evento. No exemplo acima só tem pra sobrepressão, então vamos falar dela. As causas da
sobrepressão levam a uma lógica “e”, porque os equipamentos que evitam esse
acontecimento estão em paralelo. Então pra sobrepressão ocorrer a válvula de alívio tem que
falhar, a malha de controle tem que falhar e o alarme de alta pressão tem que falhar. Se pelo
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

menos um desses funcionar, a sobrepressão não ocorre. Já a falha da malha de controle pode
ocorrer se pelo menos um entre a falha do sensor, falha no controlador e falha na válvula
ocorrer, portanto segue uma lógica E.

Parte matemática da árvore →

A parte matemática funciona assim. Primeiro, vamos nos lembrar que:

Lógica E Lógica OU

Imagine a seguinte árvore:

Vamos calcular a P e R para de B. Sendo a lógica do tipo OU:

𝑃 = 1 − (1 − 0,13)(1 − 0,04) = 0,1648

𝑅 = 0,87 . 0,96 = 0,8352
Agora para C, temos:

𝑃 = 1 − (1 − 0,13)(1 − 0,34) = 0,4258

 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

𝑅 = 0,87 . 0,66 = 0,5742

E para A, que é o nosso evento topo, como a lógica é do tipo “E”, temos:

𝑃 = 0,1648 . 0,4258 = 0,07017184

𝑅 = 1 − (1 − 0,8352)(1 − 0,5742) = 0,92982816
Reescrevendo a árvore com todos os valores calculados:

Sabemos agora a probabilidade do evento topo acontecer!

Dicas para a confecção de uma árvore de falhas →

• Tente definir bem o acidente (top event). Definições vagas vão criar árvores
gigantescas. Isso é especialmente importante em cenários do tipo “e se?”. Cenários
investigação de acidentes reais muitas vezes já começam bem definidos.
• Rastreie os acontecimentos que levaram ao acidente. Informe também fatores
externos eventualmente presentes.
• Defina fronteiras, até onde ir na Árvore e quais ramos devem ser abertos.
• Defina na árvore o status dos equipamentos (válvula: aberta ou fechada?; bomba:
ligada ou não, na vazão de projeto?). Garanta assim a compreensão da Árvore no
futuro.
• Por vezes pode ser interessante separar alarme de método de detecção do alarme. Por
exemplo, um alarme falha OU porque um sensor falhou ou porque o indicador (luz,
buzina, etc.) falhou.

Desvantagens das árvores de falhas →

 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

• Dimensões que a árvore assume em processos complexos

• Não existem garantias que ela está completa
• Falhas são ON/OFF. Não considera desvios (válvula permitindo passagem, sensor com
erro de 10%, etc).
• Uma falha não ocasiona a seguinte por sobrecarga ou estresse operacional (isso não é
considerado nas probabilidades).

AQR– Árvore de Eventos

A árvore de eventos parte de um evento inicial e analisa em etapas o sucesso ↑ ou a falha ↓ das
funções de segurança para tratar o evento incial. Veja um exemplo:

O evento inicial é a perda de refrigeração, e as funções de segurança, da esquerda pra direita,

são:

• Alarme de alta temperatura alerta o operador

• Operador percebe a alta temperatura
• Operador reinicia o resfriamento
• Operador desliga o reator

Vamos analisar uma linha da árvore abaixo. Todas as linhas devem ser analisadas de formas
semelhantes. Saca só:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Pra cima é sucesso, pra baixo é falha. Nessa linha, temos que o alarme de alta temperatura
não alertou o operador, logo a primeira barreira de segurança falhou. Porém, por algum outro
motivo, o operador percebeu a alta temperatura, logo a segunda barreira funcionou. Como ele
percebeu, foi tentar reiniciar o resfriamento, o que não deu certo, falhando então a terceira
barreira. Desesperado, como o restart do resfriamento não deu certo, ele desligou o reator, e
após desligar, a temperatura caiu, fazendo a última barreira ser um sucesso. Nessa sequência
de eventos, não houve cenário acidental e o reator foi desligado. Por isso escrevemos no
resultado o desligamento do reator

Algumas outras linhas as vezes não terão desdobramentos em algumas barreiras ou terão
desdobramentos um pouco sem sentido. Quando lemos árvores é preciso entendermos a
ausência dos desdobramentos e quando fazemos árvores, é importante evitarmos a
construção de desdobramentos sem sentido. Veja dois exemplos:
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Se o alarme avisou o operador com sucesso, o terceiro evento (e segunda barreira de

segurança) não é avaliada

Se o alarme falhou ao avisar o operador e o operador não percebeu a alta de temperatura de

outra forma, como que o sistema de resfriamento se reiniciou? Não faz muito sentido né?
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Base matemática da árvore de eventos →

Na árvore, devemos escrever duas bases de cálculo:

• A quantidade de vezes que cada barreira de segurança falha a cada demanda

(operação). Trata-se de um valor percentual
• A quantidade de ocorrências por unidade de tempo do evento principal

Pensemos então. Se a falha da barreira B é de 0,01 falhas por demanda, temos então 1 falha a
cada 100 demandas, logo, 1% de falhas e 99% de sucesso. Por ano, o resfriamento dá pane
uma vez só. O evento inicial aconteceu, e logo existe 99% de chances nesse ano de esse evento
acontecer E o alarme avisar com sucesso o operador (sucesso da barreira B) e 1% de chances
de o alarme de alta temperatura não avisar o operador (falha da barreira B). Sendo assim, a
quantidade de ocorrências por ano das sequências:

• Evento Inicial + Sucesso da Barreira B = 99% de 1 = 0,99 ocorrências/ano

• Evento Inicial + Falha da Barreira B = 1% de 1 = 0,01 ocorrências/ano

Agora analisaremos a barreira D, que falha 0,25 vezes por demanda, ou seja, 25% das vezes.
Pulamos a C porque estamos considerando que a barreira B não falhou, então estamos
seguindo as partes mais altas do fluxograma. Como vimos, a quantidade de ocorrências de
evento inicial + sucesso da barreira B é de 0,99 ocorrências ao ano. Vamos ter então:

• (Evento Inicial + Sucesso da Barreira B) + Sucesso da Barreira D = 75% de (0,99) =

0,7425 ocorrências/ano
• (Evento Inicial + Sucesso da Barreira B) + Falha da Barreira D = 25% de (0,99) = 0,2475
ocorrências/ano

Em resumo, temos a seguinte lógica para o cálculo de ocorrências por ano:

 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Depois de calcular a quantidade de ocorrências por ano de cada sequência de eventos,

somamos aqueles que tem o mesmo resultado. Por exemplo:

Agora sabemos o total de vezes ao ano que o processo sofre shutdown, ou seja, completa
parada. Podemos fazer isso também pros outros dois resultados, que são a continuação da
operação e o Runaway, que é quando o processo termina de forma insegura, gerando um
possível cenário acidental (note a diferente simbologia para os dois resultados que o processo
termina de forma segura e pro único que termina de forma insegura). Quando a quantidade de
 [EQ 2018.2] Segurança P1 [prof Carlos André][por Rafael Ratier]

Runways por ano está alta, o processo se mostra como não muito seguro. Duas formas de
reduzir esse valor são:

• Aumentar o caminho até o Runaway

• Reduzir as falhas por demanda

Aumentar o caminho até o Runaway seria aumentar a sequência de falhas, que nada mais é
do que a sequência de letras (cada uma correspondendo a um evento) que levou até
determinado resultado. Por exemplo, o resultado Runaway aparece 3 vezes, uma com
sequência de falhas ADE, outro com ABDE e outro com ABCDE. Quanto mais letras nessas
sequências, menor o número de ocorrências ao ano.

Limitações do uso de Árvore de Eventos

• Processos complexos geram árvores de evento gigantescas

• Dados estatísticos para cada eventos são necessários
• Começa com uma falha que inicia uma sequência de eventos, com diferentes
consequências. Caso o interesse seja estudar uma consequência específica, será muito
difícil de usar a árvore de eventos. Para esses casos existem as Árvores de Falhas

Checklist
Lista de itens ou áreas que podem ocasionar problemas e precisam ser checados. A lista serve
para que o projetista, engenheiro ou operador não se esqueça de um determinado item que é
crítico para a segurança do processo. Plantas químicas tem check-lists com centenas de
milhares de itens. Melhor classificar por equipamento, tarefa ou função. O operador não deve
memorizar os passos ou itens a serem checados. Nem mesmo mudar a ordem destes. Deve
seguir a Check List. O Check List para cenários de resposta de emergência deve ser rápido,
objetivo e começar pelo que interessa.

Tipos de Checklist:

• Por setor da planta (FCC, HDT, etc),

• Por equipamento (trocador de calor, bomba, reator, etc)
• Por atividade (partida, parada programada, parada de emergência, etc)
• Por tipo de projeto (novo, desgargalamento, adaptação, etc)

Aplicações:

• Etapa de projeto: lembrar e avaliar itens relevantes para segurança da planta

• Partida: sequência de itens que devem ser checados durante a partida da planta
• Operação: áreas ou equipamentos que demandam verificações periódicas ou a cada
novo ciclo de operação (batelada).
• Shutdown