Risco residual na máquina.
TL;DR
  • Risco residual é o que fica após eliminar perigos por conceção e aplicar proteções; não serve para encobrir decisões técnicas em falta.
  • Avisos como “não meter as mãos” só fazem sentido depois de avaliar geometria, energia, acesso, protetores, encravamentos e modos de trabalho.
  • A ISO 12100 e o Regulamento (UE) 2023/1230 mantêm a ordem: primeiro projeto seguro, depois medidas de proteção, por fim informação ao utilizador.
  • Fabricantes e integradores não podem transferir riscos previsíveis para o utilizador; este responde por procedimentos, formação, manutenção e LOTO.
  • Em máquinas ligadas à rede, acesso remoto, contas, atualizações e parâmetros também devem ser avaliados quando podem afetar a segurança.

Há uma zona onde o operador consegue chegar com a mão. Há um elemento móvel que pode apanhar os dedos. Há uma tarefa que alguém vai fazer de verdade: retirar uma obstrução/encravamento da máquina, limpar, ajustar, verificar depois de uma paragem.

E depois, na tabela da avaliação de riscos, aparece a linha milagrosa: risco residual — informação na instrução — não meter as mãos.

No papel parece arrumado. Perigo descrito. Risco identificado. Instrução preenchida. Só que, em segurança de máquinas, esse tipo de frase muitas vezes não fecha o tema. Maquia o problema.

O risco residual não é um saco comum onde se despeja tudo o que não foi resolvido na conceção/projeto. Também não é uma forma elegante de passar a responsabilidade do fabricante para o utilizador. É o que fica depois do trabalho sério: depois de tentar eliminar o perigo por conceção, depois de escolher medidas de proteção, depois de verificar se essas medidas reduzem mesmo a exposição de uma pessoa.

Só depois disso é honesto dizer: aqui ainda fica algo, e o utilizador tem de saber exatamente o quê.

Risco residual não é campo livre na tabela

A ISO 12100 é muito clara na lógica, mesmo quando a prática tenta fugir dela. Primeiro vem a conceção/projeto seguro por si próprio. Depois vêm os protetores, o encravamento, o bloqueio com retenção, as funções de segurança, os modos de trabalho adequados, a limitação de energia, força ou velocidade. Só no fim entra a informação para utilização.

Não é por acaso. Uma frase na instrução depende de leitura, formação, disciplina, turno, pressão de produção e memória humana. Uma solução técnica bem concebida funciona quando o turno está cansado, quando a linha está atrasada e quando alguém quer resolver uma obstrução/encravamento da máquina em 30 segundos.

Por isso, quando o fabricante escreve apenas “não meter as mãos”, a pergunta certa não é se a frase existe. A pergunta certa é: o que foi feito antes de a escrever?

A Diretiva 2006/42/CE já puxava esta responsabilidade para a conceção/projeto. O Regulamento (UE) 2023/1230 relativo às máquinas reforça essa leitura e traz ainda mais peso para temas como software, dados e cibersegurança quando podem afetar a segurança da máquina. A sequência continua a mesma: primeiro projeto, depois medidas de proteção, depois informação. Não ao contrário.

O integrador também não fica fora da conversa. Quando integra máquinas, altera funções, acrescenta acessos, muda HMI ou liga equipamentos em linha, passa a mexer na realidade do risco. E o utilizador não pode fingir que a instrução não existe. Se o fabricante fez a sua parte e explicou riscos concretos, o utilizador tem de organizar o trabalho, formar operadores, manter protetores, controlar acessos e aplicar LOTO quando necessário.

Mas isto não transforma o risco residual numa zona cinzenta confortável. Comum não quer dizer indefinido. Comum não quer dizer: o fabricante escreve uma nota e o utilizador que se desenrasque.

Três casos em que o risco residual vira álibi

1. Aprisionamento: a frase “não meter as mãos” não repara o projeto

Imagine uma máquina com um rolo, uma correia, uma mesa móvel ou um atuador. Durante a produção, a zona é perigosa. Durante a limpeza, o ajuste ou a retirada de uma peça presa, a mão do operador entra exatamente onde não devia entrar.

A avaliação de riscos identifica aprisionamento, esmagamento ou contacto com movimento. Na coluna das medidas de proteção surge: aviso na instrução. E na instrução aparece: “não meter as mãos na zona de trabalho da máquina”.

Soa familiar?

O documento ficou preenchido. Mas preencher não é proteger.

Antes desse aviso, alguém tentou eliminar o ponto de aprisionamento alterando a geometria? A força foi limitada? A velocidade foi reduzida? A energia do movimento foi controlada? A tarefa de ajuste podia ser feita fora da zona perigosa? Foi previsto um modo de ajuste? Foi avaliado um protetor com encravamento, um bloqueio com retenção, um comando de ação mantida ou um dispositivo de validação?

E, sobretudo, alguém observou como o operador vai mesmo retirar a obstrução/encravamento da máquina? Não como devia fazer numa instrução perfeita. Como vai fazer às 03:00, com a linha parada e o chefe de turno a perguntar quanto tempo falta.

Se a resposta for “não, mas escrevemos para não meter as mãos”, então ainda não estamos a falar de risco residual. Estamos a falar de um risco que recebeu uma etiqueta bonita.

2. Manutenção, limpeza e ajuste: acesso seguro não é favor

Segundo caso. A máquina tem um filtro para trocar todas as semanas. Um sensor para limpar a cada mudança de formato. Um ponto de lubrificação a dois metros do pavimento. Uma peça que precisa de ser retirada periodicamente do interior da máquina.

A instrução diz: “executar as tarefas respeitando as regras de segurança e saúde no trabalho e utilizar meios de acesso adequados”.

Está bem. Mas que meios?

A escada que estava no armazém? Uma plataforma improvisada pela manutenção? Subir para a estrutura da máquina? Apoiar um pé num perfil porque “sempre se fez assim”? Segurar-se ao protetor com uma mão, desapertar com a outra e controlar a ferramenta com uma terceira mão que ninguém tem?

Quando o fabricante prevê uma tarefa regular de manutenção, limpeza ou ajuste, tem de perguntar: como é que uma pessoa chega ali em segurança, onde coloca os pés e como executa a tarefa sem inventar?

A ISO 12100 indica que tarefas rotineiras de operação, ajuste e manutenção devem, sempre que possível, ser feitas a partir do nível do pavimento. Quando isso não é possível, é preciso prever acesso seguro: plataformas, escadas, passadiços, guarda-corpos ou outras soluções. É aqui que a série ISO 14122 entra no mundo real.

Nem toda a intervenção em altura exige uma plataforma monumental. Mas o oposto também é falso: não se pode dizer que o acesso a um ponto de intervenção frequente é apenas problema do utilizador. Se a tarefa é previsível, o acesso faz parte da segurança da máquina ou, pelo menos, das condições de instalação que o fabricante deve definir com precisão.

3. Acesso remoto, HMI e cibersegurança: admin/admin não é detalhe

O terceiro caso parece moderno, mas o truque é velho.

A máquina chega com HMI, controlador, computador industrial, contas de serviço, acesso remoto, atualizações e ligação a sistemas superiores. O fabricante diz: “o utilizador deve proteger a rede”. A equipa de informática recebe o assunto depois da receção. A manutenção quer acesso rápido do serviço. A produção quer a máquina a produzir. Todos têm razões.

Mas a pergunta técnica é simples: se essa camada for violada, pode afetar a segurança da máquina?

Se o acesso remoto permite alterar parâmetros, modos de trabalho, lógica de comando, configuração da HMI ou dados ligados a funções de segurança, então isto não é apenas firewall da empresa. É segurança da máquina.

O utilizador tem responsabilidades reais: segmentação de rede, gestão de contas, cópias de segurança, procedimentos de alteração, atualizações, autorização de acessos e supervisão do serviço remoto. Mas o fabricante não pode entregar uma máquina com palavras-passe por defeito, contas não documentadas, acesso remoto aberto ou procedimento de atualização nebuloso e dizer: “isso é convosco”.

Admin/admin não é detalhe. É o equivalente digital de uma plataforma que existe no desenho, mas não aguenta a tarefa real.

Quando o risco residual é mesmo risco residual?

Nem todo o risco que ficou junto da máquina merece esse nome. A pergunta é: ficou depois de quê?

Ficou depois de mudar a conceção/projeto? Ficou depois de aplicar protetor, encravamento, bloqueio com retenção ou modo de ajuste? Ficou depois de levar o ponto de lubrificação para fora da zona perigosa? Ficou depois de conceber uma plataforma adequada para a manutenção? Ou ficou porque ninguém quis mexer no problema e era mais fácil escrever um aviso?

São situações completamente diferentes.

A ISO 12100 separa bem a contribuição do fabricante e a contribuição do utilizador. A ISO/TR 14121-2 reforça o mesmo ponto: depois de implementar medidas de proteção, é preciso voltar a verificar se o risco foi reduzido e se não foram criados novos perigos. A avaliação de riscos não acaba quando a célula da tabela deixou de estar vazia.

PerguntaSe a resposta for simSe a resposta for não
O perigo foi descrito de forma concreta: onde ocorre, quando ocorre, quem está exposto e durante que tarefa?Podemos continuar a analisar se estamos perante risco residual.Ainda não há uma avaliação de riscos sólida. Há apenas uma descrição genérica.
O fabricante verificou se o perigo podia ser eliminado por conceção/projeto?A análise segue a lógica da ISO 12100.O aviso na instrução apareceu demasiado cedo.
Foram consideradas medidas de proteção técnicas: protetor, encravamento, bloqueio com retenção, modo de ajuste, comando de ação mantida, limitação de energia, velocidade ou força?É possível justificar por que parte do risco ainda ficou.O risco provavelmente não é risco residual. É risco mal trabalhado.
O fabricante explicou por que determinada solução não foi aplicada?A documentação mostra uma decisão de engenharia.Há uma lacuna. E uma lacuna não vira risco residual só porque alguém lhe deu esse nome.
A informação para o utilizador é específica?O utilizador sabe o que fazer, quando, como, com que meios e em que condições.“Ter cuidado” ou “não meter as mãos” não chega.
O utilizador tem controlo real sobre a medida indicada?Pode ser uma responsabilidade do utilizador: formação, LOTO, supervisão, procedimento, manutenção ou organização do trabalho.Não se pode transferir para o utilizador algo que ele não consegue controlar de forma eficaz.
A medida do lado do utilizador mantém-se na prática?Podemos falar de responsabilidade partilhada.Se exige vigilância permanente das pessoas e havia solução técnica razoável, o problema volta para o fabricante.
Depois da medida de proteção, foi verificado se surgiu um novo risco?A avaliação de riscos tem ciclo fechado.O processo não está concluído.

Esta tabela não é um algoritmo mágico. É um filtro de bom senso. Se, no fim, só sobra “o operador deve ter cuidado”, ainda estamos cedo demais. Ainda não chegámos ao risco residual.

Também ajuda separar responsabilidades sem teatro.

ÁreaO que deve fazer o fabricanteO que o utilizador assume na prática
Aprisionamento, esmagamento e contacto com movimentoConceção/projeto, geometria, limitação de energia, protetores, encravamento, bloqueio com retenção, modos de trabalho, funções de segurança e descrição clara do que não foi possível eliminar.Formação, supervisão, manutenção dos protetores e encravamentos, procedimento para obstrução/encravamento da máquina e proibição de contornar medidas de proteção.
Limpeza, ajuste e manutençãoPrever estas tarefas na avaliação de riscos, reduzir acesso a zonas perigosas, criar modo de ajuste, deslocar pontos de intervenção para fora da zona perigosa e definir acesso seguro.Organização dos trabalhos, qualificação das pessoas, aplicação de LOTO, plano de manutenção e verificação do estado das medidas de proteção.
Acesso em altura, plataformas e passadiçosAvaliar se a tarefa é frequente e previsível; conceber ou definir os requisitos do meio de acesso fixo quando necessário.Manter acessos livres, garantir ordem e limpeza, autorizar pessoal competente e cumprir os procedimentos indicados.
Cibersegurança e acesso remotoArquitetura segura, limitação de acessos, controlo de contas, descrição de interfaces, regras de atualização e proteção de dados e software relevantes para a segurança.Segmentação da rede, gestão de contas, procedimentos de alteração, cópias de segurança e supervisão do acesso de serviço.
Informação na instruçãoAvisos concretos, descrição do risco, condições de utilização segura, medidas exigidas ao utilizador, proibições e limites de utilização.Transformar a informação em prática: formação, instruções de posto, supervisão e aplicação das regras.

A mensagem central é simples: o risco residual pode ser partilhado. Mas partilhado não significa ilegível. Partilhado não significa “o fabricante escreveu, o utilizador responde”. Partilhado não significa “o técnico de segurança faz um procedimento e o projeto fica bom”.

Partilhado significa algo muito mais exigente: o fabricante mostra o que fez na máquina, o utilizador assume o que depende mesmo da organização do trabalho, da manutenção, da supervisão e das condições de utilização.

A tabela ajuda, mas não substitui a engenharia

Uma boa tabela organiza o raciocínio. Mas não substitui a descrição do trabalho real. Este é o ponto onde muita avaliação de riscos perde força: fica bonita no documento e fraca no chão de fábrica.

Veja o caso de uma plataforma de serviço. No desenho parece tudo correto: estrutura metálica, grelha, guarda-corpo, acesso. Tema fechado? Não tão depressa.

Primeiro é preciso perguntar: para que trabalho serve essa plataforma?

Se alguém lá sobe uma vez por ano para ler uma chapa ou confirmar um indicador, temos uma situação. Se dali é preciso trocar regularmente um motor, redutor, cilindro, rolo, cabeça, filtro ou outro componente de desgaste, já não estamos só a falar de acesso. Estamos a falar de um posto de trabalho de manutenção.

E aí a frase genérica da instrução não chega.

Quem sobe? Uma pessoa ou duas da manutenção? Que levam consigo? Caixa de ferramentas, chave dinamométrica, lingas, peça sobresselente? O que desmontam? Uma tampa de 20 kg, um motorredutor de 80 kg, uma caixa de engrenagens de 150 kg ou um motor de 500 kg? Onde pousam a peça depois de desapertada? Na plataforma? Num carro? Suspensa? Existe portão de carga, ponto de suspensão, talha, caminho de extração e espaço para duas pessoas trabalharem sem se empurrarem para o guarda-corpo?

Isto não é conversa de formação. Isto é receção de máquina.

Se a instrução diz que um motor de 500 kg é substituído a partir da plataforma, a plataforma tem de estar concebida para essa tarefa. Não para “um operador com uma chave”. Para o trabalho real: pessoas, ferramentas, carga local, esforço durante a desmontagem, manobra, transporte da peça e descida segura ao pavimento.

Caso contrário, temos aparência de solução. A plataforma existe, mas não resolve o trabalho. O acesso existe, mas não garante manutenção segura. A instrução descreve a tarefa, mas o projeto não dá condições para a executar.

O mesmo vale para a cibersegurança. Uma boa informação para o utilizador não é “proteger a rede”. Isso é demasiado vago. A boa informação diz que contas existem, que perfis de acesso foram previstos, o que deve ser alterado no primeiro arranque, como funciona o serviço remoto, quem pode atualizar software, que parâmetros afetam a segurança, como restaurar configurações e que condições de rede o fabricante assumiu para a máquina trabalhar em segurança.

Só assim o utilizador sabe o que está a receber. Só assim pode assumir a sua parte sem adivinhação. Só assim o risco residual fica realmente no ponto de encontro entre máquina e organização do trabalho.

Sem isso, há apenas transferência de problema.

É por isso que a expressão risco residual deve ser usada com cuidado. Ela não serve para calar perguntas difíceis. Serve para mostrar o que ficou depois da conceção/projeto, o que passa para o utilizador e que condições têm de ser mantidas para a máquina continuar segura durante a utilização normal e previsível.

A máquina não acaba na declaração CE de conformidade. Ela continua a trabalhar: em mudanças de formato, limpeza, manutenção, avarias, atualizações, acessos remotos, troca de conjuntos pesados e pressão de produção.

Se a conceção/projeto não prevê essas situações, a instrução não repara o projeto. Pode avisar. Pode orientar. Pode exigir disciplina. Mas não transforma uma decisão que faltou numa medida de proteção.

Por isso, da próxima vez que aparecer na tabela “risco residual — informar o utilizador”, pare um minuto. Pergunte: o que foi eliminado? O que foi protegido? O que foi verificado? O que o utilizador consegue realmente controlar?

Se houver respostas técnicas, estamos no caminho certo. Se houver apenas uma frase bonita, a tabela não fechou nada. Só cobriu o problema.

Perguntas frequentes

O que é o risco residual em uma máquina?

Risco residual é o risco que permanece após a aplicação, pelo projetista da máquina, de medidas de redução do risco. Na abordagem da ISO 12100, primeiro deve-se buscar um projeto inerentemente seguro, em seguida selecionar medidas de proteção técnicas e complementares, e só então fornecer ao usuário informações sobre os perigos restantes.

Portanto, não é um “recipiente” para problemas não resolvidos no projeto. Para falar em risco residual, é necessário demonstrar quais ações de redução do risco foram previamente consideradas e aplicadas.

A indicação “não introduzir as mãos” é suficiente como medida de proteção?

Normalmente, não. Um aviso no manual de instruções, por si só, não substitui um resguardo, um intertravamento, um travamento, a limitação de energia, a alteração da geometria nem um modo seguro de ajuste, se tais medidas forem possíveis e adequadas ao perigo.

A informação para o usuário só faz sentido quando o projetista demonstrou que o risco foi previamente reduzido de acordo com a hierarquia de medidas da ISO 12100 e, ainda assim, permanece um risco residual que precisa ser descrito.

Quem é responsável pelo risco residual: o fabricante ou o utilizador?

A responsabilidade é partilhada, mas não é arbitrária. O fabricante é responsável pela avaliação de risco, pela redução de risco na fase de projeto e por informar de forma rigorosa sobre o risco residual que não pôde ser eliminado ou suficientemente reduzido por medidas de projeto.

O utilizador é responsável pela organização segura do trabalho, pela formação, pela supervisão, pelos procedimentos, pelos equipamentos de proteção individual e pelo cumprimento das instruções. Isto não significa, contudo, que o fabricante possa transferir para o utilizador um perigo que deveria ser resolvido por meios construtivos ou técnicos.

Como identificar que o risco foi classificado como residual prematuramente?

Um sinal de alerta é a situação em que, na avaliação de riscos, aparece um ponto acessível de aprisionamento, esmagamento ou corte, e a única medida é um aviso do tipo “não introduzir as mãos”. Isso ainda não demonstra que exista um risco residual real.

Na documentação, deve ficar evidente se foram consideradas a alteração do projeto, a limitação da energia ou da velocidade, a transferência da atividade para fora da zona perigosa, as proteções, os intertravamentos, os bloqueios, as funções de segurança e os modos de operação com risco reduzido.

Como documentar o risco residual na avaliação de riscos da máquina?

Um risco residual bem documentado não deve ser uma única entrada em uma tabela. Deve mostrar o percurso de determinação: o perigo, a tarefa executada pela pessoa, a fase de vida da máquina, as pessoas expostas, a avaliação do risco antes da redução e as medidas de proteção aplicadas.

  • descrever quais soluções de projeto e técnicas foram consideradas,
  • indicar quais medidas foram aplicadas e como limitam a exposição,
  • determinar o que ainda permanece após a redução do risco,
  • transferir informações específicas para as instruções, marcações e procedimentos de utilização.

Não deixe o risco residual sem justificação

Estruture a avaliação de riscos para que cada advertência resulte das decisões de conceção e das medidas de proteção adotadas. Assim, é mais simples demonstrar o que ficou após a redução do risco.

Criar conta Pode começar por uma única máquina.