• Nenhum resultado encontrado

A.1 Conteúdo da barra lateral direita para diferentes elementos da FMECA selecio-

5.3 Detalhamento das etapas da metodologia

5.3.1 Etapa de delineamento

5.3.1.1 Fase do delineamento informacional

A fase do delineamento informacional visa definir os objetivos de aceitação de risco, i.e., os impactos toleráveis e suas respectivas metas relativas à disponibilidade (ou à continuidade), à segurança ambiental e à segurança humana – conforme ilustrado no Quadro 5.1 e Figura 5.6.

Quadro 5.1: Entradas, processos, técnicas & ferramentas e saídas para a fase de delineamento informacional

Entradas Processos Técnicas & ferramentas Saídas

 Requisitos determinados anteriormente.  Valores da organização.  Planejamento estratégico da organização.  Caracterização do sistema em análise.

◊ Definição da função global.

◊ Análise das partes envolvidas.

◊ Levantamento de restrições.

◊ Levantamento dos recursos críticos.

 Elaboração da FHA.

 Definição dos objetivos de

aceitação de risco.  Questionários.  Análise funcional (IDEF0 ou análise funcional de produto).  FHA.  Sistema em análise caracterizado.  Objetivos de aceitação de riscos.  Requisitos referentes a outros sistemas (de mesmo nível ou inferior).

Esta etapa, no que se refere ao levantamento dos efeitos possíveis, equivale à BIA (business impact analysis) feita na gestão da continuidade. No entanto, recomenda-se que aqui os ob- jetivos sejam obtidos utilizando a técnica FHA. Sendo assim, é conveniente fazer uma análise funcional – que possibilitará a caracterização do sistema em análise1. Para tanto, é necessário coletar informações a fim de caracterizar a situação atual, definir as necessidades do sistema, levantar recursos críticos e restrições – como normas, regulamentações e leis –, etc. Também é interessante, nesta fase, que se faça uma análise das partes envolvidas (stakeholders analysis), para que se possa captar as necessidades e limitações delas. Esta análise também auxilia na elaboração dos planos de comunicação, descrit na Seção 5.3.1.1.

1Para auxiliar a leitura, foram destacados, em negrito (ou sublinhado), os processos apresentados nos quadros com as entradas, processos, técnicas & ferramentas e saídas de cada etapa (ou fase).

5.3 Detalhamento das etapas da metodologia 111

Para a definição da função global, na análise funcional, recomenda-se a técnica IDEF0 – pois a técnica permite melhor comunicação e visualização dos sistemas, além de balizar o conhecimento dos membros do grupo de trabalho sobre o sistema técnico. Para sistemas físicos (hardware), recomenda-se a análise funcional de produto, na qual é feito o desdobramento do sistema em subsistemas até a resolução desejada, e, posteriormente, analisa-se a função de cada um deles – esta técnica tem benefícios equivalentes a IDEF0, mas é mais indicada quando se tem um desdobramento estrutural (e não funcional). Nesta fase, no entanto, não será necessário o desdobramento – tanto funcional quanto estrutural –, pois a FHA utiliza a função global do sistema (organização, unidade organizacional ou sistema técnico). O desdobramento, por sua vez, faz parte da fase do delineamento conceitual e subsidiará a análise dos modos de falha.

A partir da função global, então, pode-se fazer a elaboração da FHA. É interessante desta- car que ela é normalmente realizada durante a concepção do sistema; no entanto, o documento RVSM 697 traz uma análise feita em um estágio avançado do programa de redução da distância vertical mínima entre aeronaves em vôo (reduced vertical separation minimum)„ na perspectiva de que, se algum problema fosse identificado, isto seria levado em consideração pelo programa RVSM (EUROCONTROL, 2006).

De forma análoga, propõe-se que a análise seja feita para sistemas já existentes. Assim, é possível estipular como o sistema deveria ser, para que se possa fazer a tomada de decisão de aceitar ou não um determinado risco – i.e., fazer a definição dos objetivos de risco. Para tanto, pode-se utilizar de métricas, como frequência máxima de ocorrência de um evento ou um outro tipo de indicador, tais como:

• Tempo máximo de interrupção tolerável (maximum tolerable outage – MTO), que é o tempo máximo que se tem para fazer a recuperação da função sem comprometer os obje- tivos do sistema.

• Objetivo para o ponto de recuperação” (recovery point objective – RPO), que é o estado em que o sistema deve ser restaurado para garantir que seus objetivos possam ser alcan- çados, considerando o tempo máximo de interrupção tolerável.

• Custo líquido médio para prevenir uma fatalidade (net cost of averting a fatality – NCAF), que pode ser calculado pela expressão 5.1, onde: ∆Custo é o custo adicional ocasionado pela implementação da barreira; ∆Benefícios são os benefícios econômicos decorrentes da implementação da barreira; e ∆Risco é a redução do risco em termos de fatalidades evitadas2.

2Skjong (2002) apresenta algumas considerações e estimativas para NCAF e outros parâmetros para avaliação de custo-risco-benefício.

5.3 Detalhamento das etapas da metodologia 112

NCAF =∆Custo − ∆Bene f icios

∆Risco (5.1)

Quanto às métricas de frequência, Kumamoto & Henley (1996) propõem alguns critérios para a aceitação do risco, ilustrado na Figura 5.12:

• Riscos sem benefício devem ter a frequência reduzida abaixo (inclusive) do limite “L” (limite inferior de frequência).

• Riscos com benefício extremo devem ser relutantemente aceitos (i.e., retidos).

• Riscos com benefício moderado e nível acima de “U” são inaceitáveis e devem ter suas frequências diminuídas para abaixo de “U”.

• Riscos com benefício moderado e nível abaixo de “L” são aceitáveis.

• Riscos com benefício moderado e nível entre “U” e “L” devem ser estudados, para verifi- car se o benefício justifica o risco, ou não. Caso justifique, o risco pode ser retido e, caso não justifique, a frequência deve ser reduzida até se justificar ou para nível inferior a “L”. A justificativa deve ser feita com base no que é razoavelmente praticável em termos de redução do risco (ALARP).

Benefício não justificado Benefício justificado Benefício

moderado Benefício extremo Sem benefício Nível do benefício N íve l d o ri sc o M eta L M eta U

Figura 5.12: Critérios de aceitação de risco Fonte: Kumamoto & Henley (1996, p. 38, tradução nossa)

O conceito de benefício está relacionado com a utilidade do risco. Em uma guerra, por exemplo, a probabilidade de se ter vítimas é extremamente alta (certamente acima de “U”); no entanto, alguns consideram de “benefício extremo”3. Assim, o risco é relutantemente aceito por

3Este exemplo foi colocado no texto porque deixa claro o conceito de utilidade do risco. No entanto, destaca-se que o autor não corrobora esta opinião.

5.3 Detalhamento das etapas da metodologia 113

eles (KUMAMOTO; HENLEY, 1996, p. 37).

A definição de metas de segurança (limites “L” e “U”) simplifica o processo de análise do risco, já que não se devem estudar todos os riscos de uma planta. Como limites, Kumamoto & Henley (1996) sugerem que se adote L = 10−6/[ano, individuo] e U = 10−3/[ano, individuo]; no entanto, estes limites variam de autor para autor e de área de aplicação.

Caso tenha sido definido algum objetivo na análise do nível superior, ele deve ser conside- rado na FHA e incluído nos objetivos de aceitação de risco do sistema – por exemplo, na análise da unidade organizacional foi definido um MTO para um determinado sistema técnico.

É importante destacar que a definição dos objetivos de aceitação deve levar em consideração os valores da organização, a visão e o planejamento estratégico de médio e longo prazo, para que o sistema possa se adaptar às condições futuras.

Por fim, destaca-se que a análise da função global permite identificar a dependência de algum outro sistema. Assim, ao definir os objetivos de risco, deve-se considerar esta dependên- cia. Por exemplo: pode-se concluir que é necessário que alguns sistemas técnicos tenham uma determinada disponibilidade, para que a unidade organizacional que se está analisando atinja a continuidade operacional desejada. Desta forma, um dos resultados desta fase pode ser a definição de requisitos para outros sistemas (de mesmo nível ou inferior). Portanto, ao iniciar a análise de um determinado sistema, deve-se - primeiramente - verificar se foi determinado algum requisito anteriormente.