ISO 12100: quando as medidas de proteção criam novos perigos

As decisões mais perigosas em segurança de máquinas são aquelas tomadas com a convicção de que o assunto ficou “definitivamente resolvido”.

Durante o projeto identifica-se um perigo. Alguém propõe uma solução rápida: “vamos acrescentar uma proteção”, “instalamos uma cortina”, “implementamos uma função de segurança no comando”. À primeira vista, o tema fica fechado. Surge uma medida de proteção na documentação, na tabela de avaliação de riscos o valor baixa, e a equipa segue em frente.

E depois percebe-se que:

• uma proteção pesada passou a criar uma nova zona de esmagamento,
• o interbloqueio dificulta o acesso para afinação e acaba por incentivar o contorno,
• o dispositivo de proteção foi posicionado sem validação efetiva do tempo de paragem,
• um elemento adicional no circuito de segurança alterou a dinâmica do sistema de uma forma que ninguém analisou.

Isto não são erros por desconhecimento.
São erros por simplificação.

Uma medida de proteção é uma alteração de conceção. Muda a geometria da máquina, a disponibilidade de espaço, a forma de operação, a sequência de ações em caso de anomalia, o comportamento do acionamento e a resposta do comando. Qualquer alteração deste tipo mexe com a estrutura de perigos — por vezes de forma evidente, por vezes de forma muito subtil.

Na prática industrial observa-se muitas vezes um raciocínio linear: existia o perigo A → adicionámos uma proteção → o perigo A “desapareceu”. Só que a realidade não é linear. Uma intervenção num ponto pode deslocar o risco para outros aspetos menos visíveis.

É precisamente esta zona — quando a proteção, em vez de estabilizar o conjunto, introduz novas tensões técnicas — que exige uma análise fria, rigorosa e de engenharia.

O primeiro erro que costuma surgir após “acrescentar uma proteção” é assumir que a alteração é local. Que se limita a um único perigo e não afeta o restante sistema.

Na realidade, qualquer medida de proteção interfere com a conceção da máquina ou com o seu comando. E isso significa que interfere com:

• a cinemática,
• a acessibilidade à zona de trabalho,
• os tempos de resposta,
• a forma de executar tarefas de ajuste e de manutenção,
• a forma de reagir a anomalias e perturbações.

Se estas alterações não forem analisadas de forma integrada, é muito fácil surgir o efeito de deslocação do risco.

1. A proteção como fonte de novos perigos mecânicos

O exemplo mais clássico é a proteção mecânica. A função é evidente: limitar o acesso à zona perigosa. E, muitas vezes, cumpre esse objetivo de forma eficaz.

O problema começa quando o projeto se foca apenas na separação, ignorando as características físicas da própria proteção.

Uma proteção basculante pesada é massa adicional.
Massa adicional é energia potencial.
Energia potencial significa possibilidade de queda, esmagamento, impacto.

Se não forem avaliados o percurso de movimento da proteção, o modo de apoio e a estabilidade nas posições aberta e fechada, a medida de proteção passa a ser um novo elemento móvel no sistema. E cria as suas próprias zonas de perigo.

Na prática, isto acontece de forma quase trivial: o operador abre a proteção, segura-a com uma mão, com a outra alcança o interior, e alguém ao lado toca-lhe. Ou, após um ano de utilização, a dobradiça começa a trabalhar com folga. Nesse momento, a proteção deixa de ser uma “barreira” e passa a comportar-se como um elemento dinâmico.

Não se trata de um caso residual.
É a consequência de ignorar que uma medida de proteção, por si só, também pode ser fonte de energia e de movimento.

2. Dispositivo de proteção sem validação dos parâmetros de segurança

Na prática, é muito frequente ver-se o mesmo padrão: instala-se uma cortina de luz, liga-se ao controlador de segurança, define-se a distância “de acordo com o catálogo” e considera-se o assunto resolvido.

Só que a simples aplicação de um dispositivo de proteção não é, por si, prova de uma redução eficaz do risco.

Para se poder falar de eficácia real, têm de estar asseguradas, no mínimo, três condições técnicas.

a) Verificação do tempo real de paragem

A distância entre o dispositivo de proteção e a zona perigosa não pode ser definida “por experiência”. Deve resultar de cálculos de acordo com a ISO 13855, que têm por base:

• o tempo real de paragem da máquina (incluindo a inércia do conjunto),
• o tempo de resposta do dispositivo de proteção e do comando,

• no tempo de reação do operador,
• nas constantes geométricas decorrentes do tipo de equipamento.

Palavra‑chave: real.

O tempo de paragem deve ser determinado por medição, em condições representativas do pior caso: com carga máxima, à velocidade mais elevada, e considerando variações ao longo do tempo (desgaste dos componentes de travagem, tolerâncias, temperatura). Não o valor de catálogo. Não o valor declarado. Não um valor “típico”.

Se esta medição não foi realizada, não existe evidência de que a distância de segurança foi definida corretamente. E, sem uma distância correta, não há demonstração de que o dispositivo de proteção impede efetivamente o acesso à zona de perigo antes da imobilização do movimento.

Nestas condições, a proteção pode estar logicamente correta, mas fisicamente ineficaz.

b) Verificação da função de segurança e do Performance Level

O segundo ponto é a verificação das funções de segurança de acordo com a ISO 13849-1.

O dispositivo de proteção é apenas uma parte da cadeia. A função de segurança abrange:

• sensor (por exemplo, cortina de luz),
• lógica de controlo (controlador de segurança, relés),
• elementos finais (contactores, válvulas, acionamentos),
• estrutura da arquitetura (categoria),
• parâmetros de fiabilidade (MTTFd, DC, CCF).

Se não foram efetuados os cálculos do Performance Level e não foi demonstrado que o PL atingido ≥ PLr requerido (resultante da avaliação de risco), então, formalmente, não existe confirmação de que a função de segurança assegura o nível de redução de risco exigido.

Um erro frequente é assumir: “a cortina tem PL e, portanto está tudo seguro”.
Não é a cortina, isoladamente, que tem de cumprir o nível requerido.
É toda a função de segurança que o tem de cumprir.

Se a cadeia de paragem incluir um elemento com fiabilidade insuficiente, um contactor único sem monitorização, ou faltar diagnóstico, o PL real pode ficar abaixo do exigido. E, nesse caso, a eficácia da medida de proteção é uma suposição — não um facto demonstrado.

c) Coerência funcional — não apenas elétrica

A terceira área é a integração das funções de segurança com o processo tecnológico.

Mesmo com a distância corretamente calculada e o Performance Level devidamente verificado, a eficácia não fica garantida se:

• o reset puder ser efetuado a partir de um ponto que permita voltar a aceder à zona de perigo,
• o rearranque ocorrer automaticamente quando o dispositivo de proteção é libertado,
• não forem considerados os estados transitórios (por exemplo, movimentos residuais, inércia de eixos),
• não tiver sido validado o comportamento em caso de falha parcial do sistema.

A função de segurança não pode estar apenas “ligada”; tem de estar logicamente correta e verificada para todo o cenário de utilização da máquina.

Se algum destes elementos (tempo de paragem, distância segundo a ISO 13855, PL/PLr segundo a ISO 13849-1, lógica de reset e de rearranque) não tiver sido verificado com rigor, não existe evidência de uma redução de risco efetiva.

E o problema é mais profundo.

Nestas condições, não só não se demonstrou a eficácia da medida de proteção. Nesta fase, estamos a introduzir novas situações perigosas. O operador recebe a mensagem de que o espaço está protegido. O comportamento muda — a aproximação torna-se mais rápida, a distância reduz-se e a ação é mais decidida. Se, porém, o tempo real de paragem for superior ao assumido no projeto, cria-se uma situação em que a pessoa entra na zona de influência do perigo antes de o movimento perigoso estar efetivamente imobilizado.

Isto é, em termos normativos, uma situation de perigo: uma circunstância em que uma pessoa fica exposta a, pelo menos, um perigo.

O mesmo se aplica a um Performance Level verificado de forma inadequada: se a função de segurança não atingir o PLr exigido, em condições de falha simples ou de perda de diagnóstico pode ocorrer perda da função de paragem. Nesse caso, temos um cenário em que:

• o perigo continua presente,
• a pessoa assume que ele foi reduzido,
• e o sistema não executa a função de segurança conforme previsto.

Isto não é “documentação incompleta”.
É uma situação perigosa estruturalmente nova, introduzida na fase de conceção.

3. Quando a proteção altera o modo de trabalho — e, com isso, a estrutura do risco

Qualquer medida de proteção não altera apenas a geometria da máquina ou os parâmetros de paragem. Altera também a forma como o trabalho é realizado.

É precisamente aqui que, muitas vezes, surgem novas situações de perigo — não porque o dispositivo de proteção “não funcione”, mas porque o projeto não antecipou a forma como o equipamento é efetivamente utilizado no terreno.

a) Acesso difícil = intervenção improvisada

Quando a proteção dificulta de forma relevante o acesso para afinação, limpeza ou mudança de formato, o operador tende a encurtar procedimentos:

• deixa a proteção parcialmente aberta,
• imobiliza o interruptor de fim de curso,
• executa tarefas com movimentos residuais,
• intervém com paragem não plenamente garantida.

Isto não é um problema de “falta de disciplina do trabalhador”.
É o resultado de um projeto que não considerou a frequência real e a natureza prática daquela tarefa.

Neste ponto, cria-se a situação perigosa: a pessoa passa a estar numa zona que, por premissa, deveria permanecer inacessível durante o movimento, e o sistema deixa de conseguir impor condições efetivamente seguras.

A proteção não foi removida.
A sua evasão foi integrada no próprio processo.

b) Proteção que desorganiza a sequência de trabalho

Qualquer função de segurança introduz condições lógicas, por exemplo:

• paragem em caso de intrusão/violação,
• bloqueio de arranque,
• reset,
• confirmação das condições iniciais.

Se a sequência de retoma da produção for demasiado complexa, pouco lógica ou difícil de interpretar, aumenta a probabilidade de ações executadas fora do cenário previsto.

Por exemplo:

• reset realizado sem controlo visual da zona,
• rearranque na presença de movimentos residuais,
• intervenção em modo de serviço sem desativação completa das energias.

Em qualquer um destes casos estamos perante uma situação perigosa: existe presença de uma pessoa na zona de influência do perigo sem estarem asseguradas as condições de segurança.

Do ponto de vista da avaliação de risco, isto não é um “erro do utilizador”.
É a ausência de análise sobre a forma como a medida de proteção alterou a dinâmica do conjunto.

Se uma medida de proteção:

• novas situações de perigo.

Se, após a implementação de uma medida de proteção, o projeto não regressa à identificação de perigos, a análise fica incompleta — mesmo que a documentação, à primeira vista, pareça correta.

E esta é a diferença essencial entre “ter uma proteção” e obter uma redução de risco efetiva.

5. Porque é que as soluções inerentemente seguras são mais robustas

Quando se analisa de forma objetiva o padrão típico de erros de conceção, há uma regularidade clara: a maioria dos problemas surge quando a segurança é “acrescentada” no fim, em vez de estar integrada na própria conceção.

Soluções construtivas inerentemente seguras funcionam de forma diferente das medidas de proteção. Não se limitam a impedir o acesso ao perigo. Reduzem — ou eliminam — o próprio perigo na origem.

Os exemplos são diretos:

• redução da energia cinética, limitando a velocidade ou a massa,
• limitação do binário a um nível seguro em caso de colisão,
• redução da força de aperto/prensagem,
• arredondamento de arestas em vez de as resguardar com proteções,
• alteração da geometria para eliminar um ponto de esmagamento,
• utilização de um acionamento com característica de paragem controlada.

Nestes casos, o risco diminui porque diminui a energia disponível numa situação perigosa, ou porque deixa de existir o mecanismo que permitiria a sua libertação.

É uma redução qualitativamente diferente de simplesmente instalar uma barreira.

Se reduz a velocidade, reduz a energia em qualquer cenário.
Se reduz a força, reduz a gravidade do dano potencial.
Se elimina, pela geometria, um ponto de esmagamento, deixa de existir um mecanismo específico de ocorrência do dano.

Em muitos casos, isto evita ter de “construir” a segurança à custa de lógica adicional no comando, rearme/reset e sequências complexas. O risco desce de forma estrutural.

Por isso, estas soluções são, por natureza, mais robustas.

6. As soluções inerentemente seguras podem criar novas situações de perigo?

Pode, sim. Mas o mecanismo é diferente — e, regra geral, mais raro.

Exemplo: reduzir a velocidade ou a força no processo pode aumentar a ocorrência de perturbações (escorregamentos, deslocação da peça, encravamentos mais frequentes). Como consequência, cresce o número de intervenções manuais. E mais intervenções significa mais momentos em que a pessoa entra em zonas de atuação do perigo — ou seja, surgem novas situações perigosas.

Isto não é um “efeito secundário” direto da construção.
É o efeito de uma alteração na estabilidade do processo e na frequência de intervenção.

A diferença é que, nas soluções intrinsecamente seguras, a alteração incide sobre a fonte de energia ou sobre a geometria, e não apenas sobre o acesso. Por isso, o número de novas situações perigosas é, normalmente, inferior ao que se verifica com medidas aplicadas a posteriori.

7. Diferença fundamental

Uma medida de proteção diz:
“O perigo existe; vamos limitar o acesso a esse perigo.”

Uma solução intrinsecamente segura diz:
“Vamos alterar o perigo ou eliminá-lo.”

A primeira abordagem cria condições.
A segunda altera a física do sistema.

Por isso, na prática de projeto, o mais seguro é começar por reduzir a energia, ajustar a geometria e eliminar o mecanismo do perigo e só depois — se ainda for necessário — recorrer a medidas técnicas e complementares.

Não é uma questão de “filosofia”.
É uma questão de estabilidade.

8. Novos perigos fazem parte do processo. Não podem ser ignorados.

O problema dos chamados “riscos secundários” é que, muitas vezes, são tratados como algo sem importância: uma pequena inconveniência após a implementação de uma proteção, ou algo que se pode “afinar mais tarde”.

No entanto, do ponto de vista da metodologia de avaliação de riscos, isto não é um pormenor.
É um momento crítico do processo.

Qualquer introdução de uma medida de proteção altera a configuração do conjunto. E uma alteração de configuração traz consigo a possibilidade de surgirem novas situações perigosas.

Se, após a redução do risco, não voltamos à identificação de perigos, o processo fica interrompido. Não fica concluído — fica por fechar.

Na prática, é precisamente aqui que surge a lacuna: o perigo A foi formalmente mitigado, mas apareceu o perigo B — menos evidente, mais difícil de detetar e, muitas vezes, associado à operação, ao rearme/reset, aos acessos e à dinâmica da paragem.

Ignorar esta etapa significa que a redução do risco fica apenas parcial.

9. A iteração que não se consegue “passar à frente”

Por isso, num processo de redução do risco bem estruturado, após cada etapa deve ser colocada uma pergunta:

A aplicação das medidas de proteção originou novos perigos?

Se a resposta for “sim” — a análise regressa à identificação.
Se a resposta for “não” — isso tem de resultar de uma decisão consciente, e não de um simples “seguir em frente” por defeito.

É exatamente este mecanismo que a SafetySoftware.eu garante de forma direta: após a etapa de redução do risco, o sistema obriga a registar uma decisão sobre se as medidas de proteção implementadas geraram novos perigos. Não permite avançar sem tomar posição.

Não se trata de uma funcionalidade meramente “estética”.
É uma salvaguarda do processo contra a simplificação linear.

Porque os maiores erros não decorrem da falta de proteções.
Decorrem da falta de iteração.

E a segurança de máquinas começa precisamente onde termina o pensamento: “instalámos uma proteção, logo estamos seguros”.