FMEA em SST: 5 erros que viram número, não barreira
O FMEA migrado da indústria automotiva para SST sem reescrita de escala e sem time multidisciplinar produz RPN baixo onde existe fatalidade rara.
Principais conclusões
- 01Reescreva a escala de severidade do FMEA pelo desfecho biológico, fixando nota 10 para fatalidade e nota 9 para lesão permanente irreversível, antes de calcular qualquer RPN da matriz.
- 02Convoque time multidisciplinar de quatro a seis funções para toda sessão de FMEA, com presença obrigatória de operador veterano, técnico de SST sênior e manutenção, e jamais aceite matriz preenchida apenas pela engenharia de processo.
- 03Adote gatilho de severidade absoluta paralelo ao RPN, no qual qualquer modo de falha de severidade 9 ou 10 entra em ação imediata mesmo quando o produto numérico classifica o cenário em faixa verde.
- 04Classifique a Detecção pela hierarquia de controles, reservando notas baixas a controles de engenharia automáticos e jamais aplicando notas baixas a auditorias intermitentes ou inspeções visuais descontínuas.
- 05Solicite o diagnóstico de gestão de riscos da Andreza Araujo quando a auditoria de sessenta minutos identificar três ou mais erros estruturais presentes, porque o time interno costuma estar inserido nas distorções que precisa corrigir e a revisão pede mentoria externa.
Em três a cada cinco FMEAs aplicados a SST que Andreza Araujo revisa em projetos de gestão de riscos nos últimos sete anos, o RPN classifica como prioridade baixa modos de falha cuja severidade real corresponde à fatalidade ou à lesão permanente. Aproximadamente 60% das matrizes auditadas escondem ao menos um cenário SIF dentro da faixa verde do método, observação consolidada em mais de duzentos e cinquenta projetos de transformação cultural acompanhados pela consultoria desde a saída da carreira corporativa. O FMEA, embora consagrado pela indústria automotiva e referenciado pela ABNT NBR/IEC 31010 como técnica formal de avaliação de risco, falha sistematicamente quando migrado para o domínio de SST sem reescrita das escalas, sem time multidisciplinar real e sem integração com a análise de barreiras. Este guia mostra os cinco erros estruturais que repetidamente transformam o método em decoração da auditoria, e descreve como recompor a matriz para que ela volte a operar como barreira preventiva.
Por que o FMEA não nasceu para SST
O FMEA (Failure Mode and Effects Analysis) surge na década de 1940 como ferramenta militar e ganha tração na indústria automotiva nos anos 1980. As duas variantes que o mercado consolida são DFMEA, voltado a falhas de projeto, e PFMEA, voltado a falhas de processo, com a função de antecipar defeito de produto antes da entrega ao cliente. A escala 1-10 que o método consagra para Severidade, Ocorrência e Detecção foi calibrada no contexto industrial automotivo, no qual o pior dano é tipicamente um recall, uma reclamação de garantia ou um retrabalho de linha de montagem.
Em segurança e saúde no trabalho, o pior dano é a morte do trabalhador ou uma lesão permanente irreversível, e a escala original não traduz essa diferença sem reescrita explícita, ainda que muitas plantas industriais sigam aplicando o template automotivo no PGR sem ajuste no inventário de riscos. Quando isso acontece, o método produz números altos para defeitos frequentes e números baixos para fatalidades raras, exatamente o oposto da função preventiva que a ABNT espera dele em SST.
Em APR e AST, o problema é semelhante mas a falha aparece no campo, durante a execução. No FMEA, a falha aparece antes, no projeto da matriz, e contamina toda a análise subsequente. Os cinco erros adiante explicam onde o desvio se instala, ancorados em queijo suíço de James Reason, na pirâmide de Heinrich e Bird, e em projetos reais conduzidos pela Andreza nos setores de mineração, agroindústria e bens de consumo.
1. A escala de severidade vem da indústria automotiva sem reescrita para SIF
A primeira armadilha do FMEA aplicado a SST é manter a escala de severidade calibrada para defeito de produto, na qual a nota 10 corresponde a cliente impactado por falha de segurança veicular e a nota 9 corresponde a recall obrigatório. Em ambiente industrial, agropecuário ou de mineração, essa mesma nota 10 deveria significar fatalidade comprovada, com nota 9 reservada para lesão permanente irreversível, e cada degrau da escala precisa traduzir um patamar real de dano biológico, e não uma equivalência genérica entre tipos de impacto comercial.
Quando a equipe importa a escala automotiva por inércia administrativa, a planilha resultante atribui severidade 7 a um arranhão profundo na máquina de embalagem e severidade 8 a uma queda em altura sem proteção, ainda que a primeira represente reparo no equipamento e a segunda represente óbito. Como Andreza Araujo argumenta em 80 Maneiras de Ampliar a Percepção de Risco, a percepção de risco distorcida começa exatamente na ferramenta que deveria corrigi-la, porque a métrica numérica anestesia o avaliador para a diferença qualitativa entre tipos de dano.
Reescrever a escala leva entre quatro e seis horas de trabalho conjunto entre engenharia de SST, medicina do trabalho e gerência operacional, e exige documento normativo interno que defina cada degrau pelo desfecho biológico, não pela impressão subjetiva do avaliador. A nota 10 passa a cobrir fatalidade ou lesão permanente irreversível, a nota 9 cobre LTI grave com afastamento maior do que trinta dias, a nota 8 cobre LTI moderada, descendo em escala calibrada até a nota 1 reservada para quase-acidente sem dano. Sem essa reescrita, todo cálculo de RPN derivado herda a distorção da escala original e os cenários SIF migram silenciosamente para a faixa verde.
O segundo erro estrutural aprofunda esse problema, porque atinge a composição do time que preenche a matriz e decide quais modos de falha cabem no levantamento.
2. Time multidisciplinar só no papel
O FMEA legítimo exige time multifuncional na sala de análise, com presença de engenharia de processo, manutenção, operação, técnico de SST sênior e, em modos de falha humana, médico do trabalho. Quando a empresa preenche a planilha apenas com o engenheiro de processo, o documento perde justamente as camadas que James Reason descreve como barreiras humanas e organizacionais no modelo do queijo suíço, porque a análise vira monocultura técnica e ignora todo o restante do sistema.
A sala monodisciplinar perde o operador veterano que conhece o atalho que a equipe inteira usa quando o gerente vai embora, perde o técnico de SST que registra o quase-acidente repetitivo e perde o profissional de manutenção que sabe quanto a peça tipicamente dura antes de falhar. O HAZOP em SST sofre da mesma síndrome quando a sala fica monodisciplinar, e o método registra apenas a visão de uma camada do sistema sobre o resto.
Convocar quatro a seis perfis distintos para uma sessão de FMEA na fase de projeto e três a cinco perfis para o FMEA de processo já em operação não é luxo metodológico. Cada perfil traz uma camada de barreira que o método precisa enxergar para sequer descrever o modo de falha corretamente. Qualquer matriz produzida por uma única função registra apenas a visão dessa função sobre o sistema, e a análise resultante carrega o viés de origem como se fosse propriedade do método, ainda que seja propriedade da composição.
Mesmo com escala correta e time completo, um terceiro erro consegue inutilizar a matriz, e ele mora no cálculo do RPN.
3. O RPN como única métrica esconde a fatalidade rara
O RPN é o produto Severidade × Ocorrência × Detecção, e funciona razoavelmente bem em projeto de produto industrial, no qual frequências altas de defeito leve dominam o painel. Em SST, a frequência alta concentra cortes de mão e contusões na manutenção, e a frequência baixa concentra fatalidade em altura, espaço confinado e energia perigosa, ou seja, exatamente os cenários que a operação não pode permitir mesmo uma única vez.
Quando o avaliador atribui severidade 10, ocorrência 1 e detecção 1 a uma queda em altura com proteção parcial, o RPN final é 10, valor que tipicamente cai na faixa verde da matriz de risco em SST que consolida os RPNs do mês. Em A Ilusão da Conformidade, Andreza Araujo descreve esse efeito como conformidade numérica, na qual a matriz aparenta cobrir o cenário porque ele consta da planilha, embora o critério de priorização rejeite a ação proativa, e o supervisor passe a auditá-lo apenas no ciclo seguinte.
A correção mais simples é aplicar critério de severidade absoluta como gatilho duplo, no qual qualquer modo de falha com severidade igual ou superior a nove entra automaticamente em ação imediata, independente do RPN final. O método não substitui o RPN, e sim cria uma faixa de prioridade paralela específica para cenário SIF, alinhada à pirâmide de Heinrich e Bird que estabelece relação não-linear entre eventos precursores e fatalidade.
Mesmo com escala reescrita, time completo e gatilho de severidade absoluta, um quarto erro classifica a Detecção de forma fantasiosa e invalida o terceiro fator do produto.
4. Detecção é o controle existente, não a esperança da auditoria semanal
O fator Detecção da escala FMEA mede a capacidade do controle existente de identificar a falha antes que ela vire acidente. A calibração correta vai de 1, reservado para controle de engenharia em tempo real à prova de erro humano, até 10, reservado para ausência total de controle, em que a falha só se descobre depois do evento. A confusão mais comum em FMEAs de SST é classificar como detecção 2 ou 3 a auditoria mensal de cumprimento de PT, ou a inspeção semanal do andaime, exemplos de controle administrativo descontínuo que detectaria a falha apenas por acaso.
Quando o avaliador trata auditoria como detecção quase ótima, ele aplica a heurística da disponibilidade no preenchimento da matriz, e essa distorção aparece em mais de oito a cada dez FMEAs revisados em projetos de revisão metodológica acompanhados por Andreza Araujo. O controle visível e familiar substitui o controle eficaz, e a multiplicação RPN devolve número baixo precisamente para os cenários em que a barreira existente é simbólica e não estrutural.
A correção exige classificar a Detecção pela hierarquia de controles. Eliminação e substituição correspondem a Detecção 1; controle de engenharia automático corresponde a Detecção 2 ou 3; controle administrativo contínuo corresponde a 4 ou 5; controle administrativo intermitente corresponde a 6 ou 7; ausência de controle corresponde a 8, 9 ou 10. A planilha precisa documentar qual controle está sendo computado em cada modo de falha, com referência específica ao procedimento, à frequência e ao registro de evidência de cumprimento.
O quinto erro encerra o ciclo da fragilidade do método, porque ele isola o FMEA dos demais instrumentos de gestão de risco, e a planta perde a chance de cruzar a análise de modo de falha com a análise de barreira.
5. FMEA isolado de Bow-Tie e da matriz consolidada
O FMEA descreve modos de falha de forma listável, com causa, efeito e controle existente, e responde bem à pergunta sobre o que pode falhar em determinada máquina ou processo. O Bow-Tie complementa essa análise mostrando como cada barreira preventiva e mitigatória atua sobre o evento crítico, e responde à pergunta sobre qual barreira segura cada cenário até que ponto. Quando a empresa adota um instrumento e abandona o outro, a análise perde profundidade e o método sobrevivente carrega sozinho um peso para o qual não foi concebido.
Em mais de duzentos e cinquenta projetos de gestão de riscos acompanhados por Andreza Araujo, a planta industrial que usa FMEA sem Bow-Tie tipicamente identifica modo de falha mas não articula as barreiras que o impedem de virar evento crítico. A planta que usa Bow-Tie sem FMEA descreve barreiras sem catalogar exaustivamente os modos de falha que elas precisam interromper. Conformidade contra cultura, conforme título de outro livro da consultoria, é a tensão estrutural por trás dessa escolha aparente entre métodos.
A integração concreta acontece quando o FMEA alimenta o Bow-Tie com a lista de modos de falha do lado esquerdo (causas e ameaças) e com os cenários de impacto no lado direito (consequências). O Bow-Tie em SST traduz esses elementos em camadas de barreira preventiva e mitigatória, com responsável, frequência de verificação e indicador leading associado. A matriz consolidada da planta cruza os dois e expõe ao C-level os cenários SIF mesmo quando o RPN individual está baixo.
A tabela a seguir consolida quando aplicar cada um dos quatro métodos mais usados em SST, e onde cada um costuma falhar.
Comparação: FMEA, HAZOP, Bow-Tie e APR em SST
| Dimensão | FMEA | HAZOP | Bow-Tie | APR |
|---|---|---|---|---|
| Foco principal | modo, efeito e controle de falha | desvio de variável de processo | barreira preventiva e mitigatória sobre evento crítico | risco da tarefa antes da execução |
| Quando aplicar | projeto e processo industrial repetitivo | processo contínuo (química, óleo e gás) | cenários SIF e fatalidades raras | execução de tarefa não-rotineira |
| Saída principal | matriz com RPN priorizado | lista de desvios e ações | diagrama de borboleta com barreiras | cartão de risco assinado |
| Onde falha em SST | escala automotiva, time mono, RPN único | sala monodisciplinar, palavra-guia mecanizada | barreira simbólica, sem indicador leading | repetição entre turnos sem releitura |
| Indicador leading associado | modos priorizados sobre total | desvios com ação no prazo | percentual de barreiras com verificação efetiva | percentual de cartões com refinamento por turno |
A tabela compara o foco, o uso típico e o ponto de falha mais comum em quatro métodos formais catalogados pela ABNT NBR/IEC 31010 como técnicas de avaliação de risco. O quadro ajuda a equipe a decidir qual método cobre cada classe de risco da operação, em vez de eleger um único instrumento que precise carregar sozinho o peso da gestão.
Como auditar seu FMEA em sessenta minutos
A auditoria rápida do FMEA cabe num turno do técnico de SST sênior e dispensa software, porque usa cinco verificações alinhadas aos cinco erros estruturais discutidos. O técnico precisa apenas da planilha mais recente, da ata da última sessão de FMEA e da política de gestão de riscos da planta.
- Cole a definição da nota 10 e da nota 9 da escala de severidade da matriz e confirme que a nota 10 cobre fatalidade ou lesão permanente irreversível, e a nota 9 cobre LTI grave; quando a definição é genérica ou herdada de qualidade, marque o erro 1 como presente.
- Liste os participantes da última sessão de FMEA e verifique se há ao menos quatro funções distintas representadas, com presença obrigatória de operador veterano, técnico de SST sênior e manutenção; quando a sessão teve apenas engenharia de processo, marque o erro 2.
- Filtre os modos de falha com severidade 9 ou 10 e RPN em faixa verde ou amarela, e confirme que cada um tem ação imediata documentada com responsável e prazo; quando algum cenário SIF aparece em verde sem ação, marque o erro 3.
- Pegue cinco modos de falha aleatórios com Detecção 2 ou 3 e leia o controle existente declarado; quando ao menos dois forem auditoria intermitente ou inspeção visual, marque o erro 4.
- Verifique se há vínculo documental entre o FMEA e o Bow-Tie da planta para cenários SIF; quando o Bow-Tie não existe ou não cita modos de falha do FMEA, marque o erro 5.
Quando a auditoria identifica três ou mais erros presentes, o FMEA está cumprindo função de registro e não de barreira, e a reescrita estruturada vira prioridade técnica imediata, com participação multidisciplinar e mentoria externa quando o time interno está inserido nas distorções que precisa corrigir.
Conclusão
FMEA aplicado a SST é instrumento útil quando a escala é reescrita para o domínio de dano biológico, o time é multifuncional, o RPN convive com gatilho de severidade absoluta, a Detecção é classificada pela hierarquia de controles e o método dialoga com Bow-Tie e matriz consolidada. Sem essas cinco condições, a planilha sobrevive como artefato de auditoria, embora não opere como barreira preventiva real, situação que A Ilusão da Conformidade documenta com exemplos de operações industriais brasileiras nos últimos anos.
Cada FMEA com cenário SIF na faixa verde é uma fatalidade aguardando a combinação correta de fadiga, pressa e barreira simbólica, e não a média estatística do trimestre.
Para um diagnóstico estruturado da gestão de riscos da sua operação, com revisão de FMEA, Bow-Tie e matriz de risco em conjunto, a consultoria de Andreza Araujo conduz a apuração ponta a ponta com a metodologia consolidada em mais de duzentos e cinquenta projetos industriais.
Perguntas frequentes
Posso aplicar o FMEA da indústria automotiva direto na minha planta industrial sem ajuste?
Qual a diferença entre FMEA, HAZOP, Bow-Tie e APR em SST?
Quanto tempo leva uma reescrita completa do FMEA da minha planta?
RPN baixo significa risco controlado?
Como começar a corrigir o FMEA da minha empresa?
Sobre o autor
Especialista em EHS e Cultura de Segurança
Referência em EHS e Cultura de Segurança no Brasil e na América Latina, com 24+ anos liderando segurança em multinacionais como Votorantim Cimentos, Unilever e PepsiCo. Reduziu 86% da taxa de acidentes na PepsiCo LatAm e impactou mais de 100 mil pessoas em 47 países. Engenheira civil e de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra. Autora de mais de 15 livros sobre cultura de segurança, liderança e percepção de risco.
- 24+ anos liderando EHS em multinacionais (Votorantim Cimentos, Unilever, PepsiCo)
- Engenheira de Segurança do Trabalho — Unicamp; Mestre em Diplomacia Ambiental — Universidade de Genebra
- Autora de 15+ livros sobre cultura de segurança e liderança
- Premiada 2× pela CEO da PepsiCo; 10+ prêmios na área de EHS
andrezaaraujo.com LinkedIn YouTube YouTube open.spotify.com Instagram