RPN no FMEA de SST: 6 sinais de risco maquiado

O RPN no FMEA de SST parece objetivo porque entrega um número, ranqueia modos de falha e cria uma lista de prioridade. O problema começa quando esse número vira anestesia. Um risco com potencial de fatalidade pode aparecer abaixo de uma falha frequente e leve, apenas porque a multiplicação entre severidade, ocorrência e detecção diluiu a gravidade. Este artigo mostra seis sinais de que o RPN está maquiando risco fatal em vez de orientar barreiras reais no PGR, na manutenção e nas decisões do gerente de planta.

Por que o RPN engana gestores de SST

O FMEA é útil quando força a equipe a antecipar falhas antes da perda de controle. Ele fica perigoso quando a empresa trata o RPN como verdade matemática, embora as notas sejam julgamentos humanos influenciados por experiência, pressão de prazo e desejo de fechar a reunião. A multiplicação dá aparência de precisão a uma conversa que, na origem, ainda depende de evidência de campo.

Como Andreza Araujo defende em A Ilusão da Conformidade, cumprir método não significa controlar risco. O mesmo vale para FMEA em SST: se o número não muda barreira, procedimento crítico, projeto, manutenção ou supervisão, ele apenas organiza uma planilha bonita. A tese prática é direta. RPN baixo nunca deve absolver um modo de falha com severidade catastrófica.

1. Severidade alta desaparece na média

O primeiro sinal de risco maquiado aparece quando a severidade recebe nota máxima, mas o RPN final cai para zona aceitável porque ocorrência e detecção foram avaliadas como baixas. Esse resultado pode fazer sentido em falhas de qualidade, nas quais o efeito é retrabalho ou perda de produto. Em SST, porém, uma exposição capaz de matar precisa de leitura separada, porque o dano não se comporta como média operacional.

Em gestão de SIF, Serious Injuries and Fatalities, a pergunta correta não é apenas qual modo de falha tem maior RPN. A pergunta é quais modos de falha têm severidade intolerável mesmo que a ocorrência pareça rara. O artigo sobre distorções da matriz de risco 5x5 mostra o mesmo problema por outro caminho: escalas combinadas podem esconder risco fatal quando a organização confunde frequência baixa com aceitabilidade.

2. Detecção vira nota otimista, não evidência

A nota de detecção costuma ser a mais frágil do FMEA. Equipes atribuem nota baixa porque existe inspeção, sensor, check-list, auditoria ou supervisão, embora ninguém tenha testado se esse controle detecta a falha antes do dano. A existência documental da detecção não prova capacidade real de detecção. Prova apenas que há um item registrado no sistema.

Em mais de 250 projetos de transformação cultural acompanhados por Andreza Araujo, a diferença entre controle declarado e controle testado aparece como uma das maiores fontes de complacência. Um sensor que não dispara no turno da noite, uma inspeção que ocorre depois da exposição e um check-list preenchido por memória não merecem a mesma nota de detecção que uma barreira testada em campo. A escala precisa punir incerteza, não premiar intenção.

3. O FMEA não conversa com o inventário de riscos

O terceiro sinal surge quando o FMEA fica fora do inventário de riscos do PGR. A análise identifica falhas em máquina, energia, circulação, espaço confinado ou produto químico, mas a informação não altera grupo exposto, controles existentes, risco residual, plano de ação ou responsável no inventário oficial. Nesse desenho, o FMEA vira estudo paralelo e perde força de governança.

O inventário de riscos no PGR precisa receber as falhas relevantes do FMEA com rastreabilidade. A equipe deve conseguir sair de um modo de falha e chegar ao controle no PGR sem depender da memória do engenheiro que conduziu a reunião. Quando essa ponte não existe, cada auditoria lê um documento diferente e nenhuma delas enxerga o sistema inteiro.

4. Ação recomendada corrige documento, não barreira

Outro sinal comum é a ação recomendada terminar em revisar procedimento, treinar equipe ou reforçar comunicação. Essas ações podem complementar a resposta, mas raramente são suficientes quando o modo de falha envolve energia perigosa, acesso a zona de esmagamento, queda de altura, atmosfera perigosa ou tráfego interno. Se a falha é física, a resposta dominante precisa alterar uma barreira física, técnica ou operacional.

James Reason ajuda a separar camadas de defesa de tarefas administrativas. Uma barreira reduz a chance de a energia perigosa alcançar a pessoa mesmo quando alguém está cansado, pressionado ou distraído. Uma tarefa apenas pede que alguém faça algo depois da reunião. Em Sorte ou Capacidade, Andreza Araujo reforça essa leitura sistêmica: acidente não é azar quando a condição perigosa já estava disponível para leitura e a empresa preferiu resposta documental.

5. O maior RPN recebe prioridade, mesmo sem potencial de SIF

O quinto sinal é a fila de ações seguir apenas o maior RPN. Uma falha de alta ocorrência e baixa severidade pode ganhar prioridade sobre uma falha de baixa ocorrência e consequência fatal, porque a aritmética favorece volume. Em operação real, essa lógica desloca recurso para dor visível e deixa risco material aguardando a combinação rara, porém devastadora.

Uma regra prática protege o sistema: todo modo de falha com severidade catastrófica entra em trilha executiva própria, independentemente do RPN final. Essa trilha exige dono operacional, barreira crítica definida, verificação de eficácia e reporte periódico ao gerente de planta. O artigo sobre risco residual no PGR aprofunda esse ponto ao mostrar que aceitar risco residual sem explicitar quem assumiu a decisão cria passivo técnico e cultural.

6. A revisão ocorre por calendário, não por mudança real

FMEA de SST não deveria ser revisado apenas uma vez por ano. Ele precisa ser reaberto quando muda máquina, fornecedor, matéria-prima, escala, layout, liderança, ritmo de produção, histórico de quase-acidente ou padrão de manutenção. A falha que era improvável no projeto original pode ficar provável depois de seis meses de improviso aceito no chão de fábrica.

Durante a passagem pela PepsiCo LatAm, onde a taxa de acidentes caiu 86%, Andreza Araujo consolidou uma disciplina que vale para FMEA: análise viva depende de gatilhos de reabertura, não de calendário confortável. Quando o supervisor reporta quase-acidente, quando a manutenção registra recorrência ou quando o operador cria atalho para vencer o ritmo, o FMEA precisa voltar à mesa antes que o indicador atrasado confirme o que o campo já avisou.

Como auditar o RPN em 30 minutos

Escolha dez modos de falha com maior severidade no FMEA, não os dez maiores RPNs. Para cada um, responda quatro perguntas em campo: qual barreira impede a exposição, quando ela foi testada pela última vez, quem é o dono operacional e onde esse controle aparece no PGR. Se a equipe não consegue responder sem abrir três planilhas diferentes, o risco está governado por papel, não por barreira.

A auditoria deve olhar também a distribuição das notas. Quando quase todos os modos de falha recebem ocorrência média e detecção média, a equipe está evitando decisão. Notas centrais demais indicam medo de priorizar, falta de dado ou pressão para manter o plano exequível. O FMEA bom cria desconforto gerencial porque obriga a empresa a admitir que alguns riscos exigem investimento, parada ou redesenho.

Comparação: RPN burocrático e RPN como decisão

O que o gerente de planta deve exigir

O gerente de planta não precisa dominar cada fórmula do FMEA, embora precise exigir que a análise produza decisão. A primeira exigência é uma lista separada dos modos de falha com severidade fatal. A segunda é o vínculo desses modos com barreiras críticas e responsáveis operacionais. A terceira é evidência de teste da barreira em campo, porque nota sem teste vira crença.

Em Diagnóstico de Cultura de Segurança, Andreza Araujo trata esse tipo de pergunta como marcador de maturidade cultural. Empresas calculativas mostram método, ata e planilha. Empresas proativas mostram como o método alterou rotina, inspeção, manutenção, orçamento e comportamento da liderança. O RPN só contribui para essa maturidade quando deixa de ser placar e passa a funcionar como gatilho de decisão.

Conclusão

O RPN no FMEA de SST não deve ser descartado, mas precisa perder o status de juiz final. Ele é uma ferramenta de triagem, subordinada à severidade, à qualidade das barreiras e à integração com o PGR. Sempre que o número tranquiliza a liderança diante de uma falha capaz de matar, o método virou parte do problema.

Cada modo de falha com severidade fatal e RPN confortável merece revisão antes da próxima parada de manutenção, porque a planilha pode estar certa na aritmética e errada na vida real.

Para revisar FMEA, PGR e barreiras críticas com uma leitura integrada de cultura e risco, a consultoria de Andreza Araujo conduz diagnósticos baseados em campo, liderança e evidência operacional.

RPN baixo não deve encerrar a conversa quando a barreira principal continua humana. Nessa situação, o controle de engenharia no PGR ajuda a separar redução real de risco de pontuação otimista no formulário.