Há uma zona onde o operador consegue chegar com a mão. Há um elemento móvel que pode apanhar os dedos. Há uma tarefa que alguém vai fazer de verdade: retirar uma obstrução/encravamento da máquina, limpar, ajustar, verificar depois de uma paragem.
E depois, na tabela da avaliação de riscos, aparece a linha milagrosa: risco residual — informação na instrução — não meter as mãos.
No papel parece arrumado. Perigo descrito. Risco identificado. Instrução preenchida. Só que, em segurança de máquinas, esse tipo de frase muitas vezes não fecha o tema. Maquia o problema.
O risco residual não é um saco comum onde se despeja tudo o que não foi resolvido na conceção/projeto. Também não é uma forma elegante de passar a responsabilidade do fabricante para o utilizador. É o que fica depois do trabalho sério: depois de tentar eliminar o perigo por conceção, depois de escolher medidas de proteção, depois de verificar se essas medidas reduzem mesmo a exposição de uma pessoa.
Só depois disso é honesto dizer: aqui ainda fica algo, e o utilizador tem de saber exatamente o quê.
Risco residual não é campo livre na tabela
A ISO 12100 é muito clara na lógica, mesmo quando a prática tenta fugir dela. Primeiro vem a conceção/projeto seguro por si próprio. Depois vêm os protetores, o encravamento, o bloqueio com retenção, as funções de segurança, os modos de trabalho adequados, a limitação de energia, força ou velocidade. Só no fim entra a informação para utilização.
Não é por acaso. Uma frase na instrução depende de leitura, formação, disciplina, turno, pressão de produção e memória humana. Uma solução técnica bem concebida funciona quando o turno está cansado, quando a linha está atrasada e quando alguém quer resolver uma obstrução/encravamento da máquina em 30 segundos.
Por isso, quando o fabricante escreve apenas “não meter as mãos”, a pergunta certa não é se a frase existe. A pergunta certa é: o que foi feito antes de a escrever?
A Diretiva 2006/42/CE já puxava esta responsabilidade para a conceção/projeto. O Regulamento (UE) 2023/1230 relativo às máquinas reforça essa leitura e traz ainda mais peso para temas como software, dados e cibersegurança quando podem afetar a segurança da máquina. A sequência continua a mesma: primeiro projeto, depois medidas de proteção, depois informação. Não ao contrário.
O integrador também não fica fora da conversa. Quando integra máquinas, altera funções, acrescenta acessos, muda HMI ou liga equipamentos em linha, passa a mexer na realidade do risco. E o utilizador não pode fingir que a instrução não existe. Se o fabricante fez a sua parte e explicou riscos concretos, o utilizador tem de organizar o trabalho, formar operadores, manter protetores, controlar acessos e aplicar LOTO quando necessário.
Mas isto não transforma o risco residual numa zona cinzenta confortável. Comum não quer dizer indefinido. Comum não quer dizer: o fabricante escreve uma nota e o utilizador que se desenrasque.
Três casos em que o risco residual vira álibi
1. Aprisionamento: a frase “não meter as mãos” não repara o projeto
Imagine uma máquina com um rolo, uma correia, uma mesa móvel ou um atuador. Durante a produção, a zona é perigosa. Durante a limpeza, o ajuste ou a retirada de uma peça presa, a mão do operador entra exatamente onde não devia entrar.
A avaliação de riscos identifica aprisionamento, esmagamento ou contacto com movimento. Na coluna das medidas de proteção surge: aviso na instrução. E na instrução aparece: “não meter as mãos na zona de trabalho da máquina”.
Soa familiar?
O documento ficou preenchido. Mas preencher não é proteger.
Antes desse aviso, alguém tentou eliminar o ponto de aprisionamento alterando a geometria? A força foi limitada? A velocidade foi reduzida? A energia do movimento foi controlada? A tarefa de ajuste podia ser feita fora da zona perigosa? Foi previsto um modo de ajuste? Foi avaliado um protetor com encravamento, um bloqueio com retenção, um comando de ação mantida ou um dispositivo de validação?
E, sobretudo, alguém observou como o operador vai mesmo retirar a obstrução/encravamento da máquina? Não como devia fazer numa instrução perfeita. Como vai fazer às 03:00, com a linha parada e o chefe de turno a perguntar quanto tempo falta.
Se a resposta for “não, mas escrevemos para não meter as mãos”, então ainda não estamos a falar de risco residual. Estamos a falar de um risco que recebeu uma etiqueta bonita.
2. Manutenção, limpeza e ajuste: acesso seguro não é favor
Segundo caso. A máquina tem um filtro para trocar todas as semanas. Um sensor para limpar a cada mudança de formato. Um ponto de lubrificação a dois metros do pavimento. Uma peça que precisa de ser retirada periodicamente do interior da máquina.
A instrução diz: “executar as tarefas respeitando as regras de segurança e saúde no trabalho e utilizar meios de acesso adequados”.
Está bem. Mas que meios?
A escada que estava no armazém? Uma plataforma improvisada pela manutenção? Subir para a estrutura da máquina? Apoiar um pé num perfil porque “sempre se fez assim”? Segurar-se ao protetor com uma mão, desapertar com a outra e controlar a ferramenta com uma terceira mão que ninguém tem?
Quando o fabricante prevê uma tarefa regular de manutenção, limpeza ou ajuste, tem de perguntar: como é que uma pessoa chega ali em segurança, onde coloca os pés e como executa a tarefa sem inventar?
A ISO 12100 indica que tarefas rotineiras de operação, ajuste e manutenção devem, sempre que possível, ser feitas a partir do nível do pavimento. Quando isso não é possível, é preciso prever acesso seguro: plataformas, escadas, passadiços, guarda-corpos ou outras soluções. É aqui que a série ISO 14122 entra no mundo real.
Nem toda a intervenção em altura exige uma plataforma monumental. Mas o oposto também é falso: não se pode dizer que o acesso a um ponto de intervenção frequente é apenas problema do utilizador. Se a tarefa é previsível, o acesso faz parte da segurança da máquina ou, pelo menos, das condições de instalação que o fabricante deve definir com precisão.
3. Acesso remoto, HMI e cibersegurança: admin/admin não é detalhe
O terceiro caso parece moderno, mas o truque é velho.
A máquina chega com HMI, controlador, computador industrial, contas de serviço, acesso remoto, atualizações e ligação a sistemas superiores. O fabricante diz: “o utilizador deve proteger a rede”. A equipa de informática recebe o assunto depois da receção. A manutenção quer acesso rápido do serviço. A produção quer a máquina a produzir. Todos têm razões.
Mas a pergunta técnica é simples: se essa camada for violada, pode afetar a segurança da máquina?
Se o acesso remoto permite alterar parâmetros, modos de trabalho, lógica de comando, configuração da HMI ou dados ligados a funções de segurança, então isto não é apenas firewall da empresa. É segurança da máquina.
O utilizador tem responsabilidades reais: segmentação de rede, gestão de contas, cópias de segurança, procedimentos de alteração, atualizações, autorização de acessos e supervisão do serviço remoto. Mas o fabricante não pode entregar uma máquina com palavras-passe por defeito, contas não documentadas, acesso remoto aberto ou procedimento de atualização nebuloso e dizer: “isso é convosco”.
Admin/admin não é detalhe. É o equivalente digital de uma plataforma que existe no desenho, mas não aguenta a tarefa real.
Quando o risco residual é mesmo risco residual?
Nem todo o risco que ficou junto da máquina merece esse nome. A pergunta é: ficou depois de quê?
Ficou depois de mudar a conceção/projeto? Ficou depois de aplicar protetor, encravamento, bloqueio com retenção ou modo de ajuste? Ficou depois de levar o ponto de lubrificação para fora da zona perigosa? Ficou depois de conceber uma plataforma adequada para a manutenção? Ou ficou porque ninguém quis mexer no problema e era mais fácil escrever um aviso?
São situações completamente diferentes.
A ISO 12100 separa bem a contribuição do fabricante e a contribuição do utilizador. A ISO/TR 14121-2 reforça o mesmo ponto: depois de implementar medidas de proteção, é preciso voltar a verificar se o risco foi reduzido e se não foram criados novos perigos. A avaliação de riscos não acaba quando a célula da tabela deixou de estar vazia.
| Pergunta | Se a resposta for sim | Se a resposta for não |
|---|---|---|
| O perigo foi descrito de forma concreta: onde ocorre, quando ocorre, quem está exposto e durante que tarefa? | Podemos continuar a analisar se estamos perante risco residual. | Ainda não há uma avaliação de riscos sólida. Há apenas uma descrição genérica. |
| O fabricante verificou se o perigo podia ser eliminado por conceção/projeto? | A análise segue a lógica da ISO 12100. | O aviso na instrução apareceu demasiado cedo. |
| Foram consideradas medidas de proteção técnicas: protetor, encravamento, bloqueio com retenção, modo de ajuste, comando de ação mantida, limitação de energia, velocidade ou força? | É possível justificar por que parte do risco ainda ficou. | O risco provavelmente não é risco residual. É risco mal trabalhado. |
| O fabricante explicou por que determinada solução não foi aplicada? | A documentação mostra uma decisão de engenharia. | Há uma lacuna. E uma lacuna não vira risco residual só porque alguém lhe deu esse nome. |
| A informação para o utilizador é específica? | O utilizador sabe o que fazer, quando, como, com que meios e em que condições. | “Ter cuidado” ou “não meter as mãos” não chega. |
| O utilizador tem controlo real sobre a medida indicada? | Pode ser uma responsabilidade do utilizador: formação, LOTO, supervisão, procedimento, manutenção ou organização do trabalho. | Não se pode transferir para o utilizador algo que ele não consegue controlar de forma eficaz. |
| A medida do lado do utilizador mantém-se na prática? | Podemos falar de responsabilidade partilhada. | Se exige vigilância permanente das pessoas e havia solução técnica razoável, o problema volta para o fabricante. |
| Depois da medida de proteção, foi verificado se surgiu um novo risco? | A avaliação de riscos tem ciclo fechado. | O processo não está concluído. |
Esta tabela não é um algoritmo mágico. É um filtro de bom senso. Se, no fim, só sobra “o operador deve ter cuidado”, ainda estamos cedo demais. Ainda não chegámos ao risco residual.
Também ajuda separar responsabilidades sem teatro.
| Área | O que deve fazer o fabricante | O que o utilizador assume na prática |
|---|---|---|
| Aprisionamento, esmagamento e contacto com movimento | Conceção/projeto, geometria, limitação de energia, protetores, encravamento, bloqueio com retenção, modos de trabalho, funções de segurança e descrição clara do que não foi possível eliminar. | Formação, supervisão, manutenção dos protetores e encravamentos, procedimento para obstrução/encravamento da máquina e proibição de contornar medidas de proteção. |
| Limpeza, ajuste e manutenção | Prever estas tarefas na avaliação de riscos, reduzir acesso a zonas perigosas, criar modo de ajuste, deslocar pontos de intervenção para fora da zona perigosa e definir acesso seguro. | Organização dos trabalhos, qualificação das pessoas, aplicação de LOTO, plano de manutenção e verificação do estado das medidas de proteção. |
| Acesso em altura, plataformas e passadiços | Avaliar se a tarefa é frequente e previsível; conceber ou definir os requisitos do meio de acesso fixo quando necessário. | Manter acessos livres, garantir ordem e limpeza, autorizar pessoal competente e cumprir os procedimentos indicados. |
| Cibersegurança e acesso remoto | Arquitetura segura, limitação de acessos, controlo de contas, descrição de interfaces, regras de atualização e proteção de dados e software relevantes para a segurança. | Segmentação da rede, gestão de contas, procedimentos de alteração, cópias de segurança e supervisão do acesso de serviço. |
| Informação na instrução | Avisos concretos, descrição do risco, condições de utilização segura, medidas exigidas ao utilizador, proibições e limites de utilização. | Transformar a informação em prática: formação, instruções de posto, supervisão e aplicação das regras. |
A mensagem central é simples: o risco residual pode ser partilhado. Mas partilhado não significa ilegível. Partilhado não significa “o fabricante escreveu, o utilizador responde”. Partilhado não significa “o técnico de segurança faz um procedimento e o projeto fica bom”.
Partilhado significa algo muito mais exigente: o fabricante mostra o que fez na máquina, o utilizador assume o que depende mesmo da organização do trabalho, da manutenção, da supervisão e das condições de utilização.
A tabela ajuda, mas não substitui a engenharia
Uma boa tabela organiza o raciocínio. Mas não substitui a descrição do trabalho real. Este é o ponto onde muita avaliação de riscos perde força: fica bonita no documento e fraca no chão de fábrica.
Veja o caso de uma plataforma de serviço. No desenho parece tudo correto: estrutura metálica, grelha, guarda-corpo, acesso. Tema fechado? Não tão depressa.
Primeiro é preciso perguntar: para que trabalho serve essa plataforma?
Se alguém lá sobe uma vez por ano para ler uma chapa ou confirmar um indicador, temos uma situação. Se dali é preciso trocar regularmente um motor, redutor, cilindro, rolo, cabeça, filtro ou outro componente de desgaste, já não estamos só a falar de acesso. Estamos a falar de um posto de trabalho de manutenção.
E aí a frase genérica da instrução não chega.
Quem sobe? Uma pessoa ou duas da manutenção? Que levam consigo? Caixa de ferramentas, chave dinamométrica, lingas, peça sobresselente? O que desmontam? Uma tampa de 20 kg, um motorredutor de 80 kg, uma caixa de engrenagens de 150 kg ou um motor de 500 kg? Onde pousam a peça depois de desapertada? Na plataforma? Num carro? Suspensa? Existe portão de carga, ponto de suspensão, talha, caminho de extração e espaço para duas pessoas trabalharem sem se empurrarem para o guarda-corpo?
Isto não é conversa de formação. Isto é receção de máquina.
Se a instrução diz que um motor de 500 kg é substituído a partir da plataforma, a plataforma tem de estar concebida para essa tarefa. Não para “um operador com uma chave”. Para o trabalho real: pessoas, ferramentas, carga local, esforço durante a desmontagem, manobra, transporte da peça e descida segura ao pavimento.
Caso contrário, temos aparência de solução. A plataforma existe, mas não resolve o trabalho. O acesso existe, mas não garante manutenção segura. A instrução descreve a tarefa, mas o projeto não dá condições para a executar.
O mesmo vale para a cibersegurança. Uma boa informação para o utilizador não é “proteger a rede”. Isso é demasiado vago. A boa informação diz que contas existem, que perfis de acesso foram previstos, o que deve ser alterado no primeiro arranque, como funciona o serviço remoto, quem pode atualizar software, que parâmetros afetam a segurança, como restaurar configurações e que condições de rede o fabricante assumiu para a máquina trabalhar em segurança.
Só assim o utilizador sabe o que está a receber. Só assim pode assumir a sua parte sem adivinhação. Só assim o risco residual fica realmente no ponto de encontro entre máquina e organização do trabalho.
Sem isso, há apenas transferência de problema.
É por isso que a expressão risco residual deve ser usada com cuidado. Ela não serve para calar perguntas difíceis. Serve para mostrar o que ficou depois da conceção/projeto, o que passa para o utilizador e que condições têm de ser mantidas para a máquina continuar segura durante a utilização normal e previsível.
A máquina não acaba na declaração CE de conformidade. Ela continua a trabalhar: em mudanças de formato, limpeza, manutenção, avarias, atualizações, acessos remotos, troca de conjuntos pesados e pressão de produção.
Se a conceção/projeto não prevê essas situações, a instrução não repara o projeto. Pode avisar. Pode orientar. Pode exigir disciplina. Mas não transforma uma decisão que faltou numa medida de proteção.
Por isso, da próxima vez que aparecer na tabela “risco residual — informar o utilizador”, pare um minuto. Pergunte: o que foi eliminado? O que foi protegido? O que foi verificado? O que o utilizador consegue realmente controlar?
Se houver respostas técnicas, estamos no caminho certo. Se houver apenas uma frase bonita, a tabela não fechou nada. Só cobriu o problema.