Comparação entre planilha e software para laboratório de calibração conforme a ISO/IEC 17025, destacando rastreabilidade, auditoria e cálculo de incerteza.
Voltar ao blog
Gestão de laboratório

Planilha ou software para laboratório de calibração?

A ISO/IEC 17025 não proíbe planilha: exige validá-la e controlá-la (§7.11). Veja onde ela falha em auditoria e o que um software resolve.

Equipe CalibraFácil03 jun 20269 min de leitura

A ISO/IEC 17025:2017 não proíbe planilha. Ela faz algo mais incômodo: trata a planilha como um sistema de gestão da informação e exige que você a valide, proteja e mantenha íntegra como qualquer outro (§7.11). O problema raramente é o Excel em si — é tudo o que ele não controla por você. Este artigo separa o que a norma de fato exige do que a sua planilha provavelmente não entrega, e onde um software dedicado muda o jogo.

O que a ISO/IEC 17025:2017 exige de um "sistema de informação"

A seção 7.11 da norma — Controle de dados e gestão da informação — deixa claro que um "sistema de gestão da informação do laboratório" abrange dados em sistemas computadorizados e não computadorizados. E há um detalhe que pega muita gente: software comercial de prateleira não modificado pode dispensar validação, mas configurações e modificações precisam ser autorizadas, documentadas e validadas. Uma planilha em branco é prateleira; a sua planilha, com fórmulas, referências e macros próprias, é configuração — e cai inteira no escopo de auditoria. A norma cobra dela, em essência, quatro coisas:

  1. Validação antes do uso (§7.11.2). O sistema precisa ser validado quanto à funcionalidade antes de entrar em operação; e qualquer alteração — incluindo a configuração de fórmulas da sua planilha — deve ser autorizada, documentada e validada antes de valer.
  2. Proteção e integridade (§7.11.3). Proteção contra acesso não autorizado e contra adulteração ou perda de dados; controle de acesso para que só pessoal autorizado altere; manutenção da integridade; e registro das falhas do sistema.
  3. Verificação de cálculos e transferências (§7.11.6). Cálculos e transferências de dados devem ser conferidos de forma apropriada e sistemática.
  4. Controle dos registros resultantes, ligado ao §7.5 (registros técnicos) e ao §8.4 (controle de registros): legíveis, recuperáveis, protegidos contra alteração indevida e retidos pelo prazo definido.

[VERIFICAR: a numeração e o conteúdo de 7.11.2 / 7.11.3 / 7.11.6 foram confirmados em fontes secundárias; recomendo um confronto final com o texto oficial da ISO/IEC 17025:2017 antes de publicar.]

Guarde este ponto, porque ele é o que separa um artigo de marketing de uma leitura que sobrevive a um signatário autorizado: a norma não diz "use software". Ela define requisitos. Uma planilha que cumpra todos eles é aceitável. O ponto prático é que cumpri-los dentro de uma planilha é caro, manual e frágil — e é exatamente aí que as não conformidades aparecem.

Onde a planilha quebra em auditoria

A quebra mais comum que aparece em auditoria não é um cálculo errado. É a incapacidade de demonstrar quem alterou um resultado, quando e por quê. Uma planilha registra o valor final; ela não registra a história do valor. Abaixo, o mapeamento entre o requisito da norma e a forma típica como a planilha falha:

Requisito (ISO/IEC 17025:2017)

Como a planilha costuma falhar

Validação e revalidação a cada mudança (§7.11.2)

A fórmula é ajustada no meio do ano e ninguém revalida nem documenta a alteração.

Proteção contra adulteração e acesso (§7.11.3)

Qualquer pessoa com o arquivo edita qualquer célula; proteção de planilha é facilmente removível.

Integridade e trilha de auditoria (§7.11.3, §8.4)

Não há histórico de quem mudou o quê. "Controle de alterações" do editor não é trilha confiável.

Verificação de cálculos (§7.11.6)

Erro silencioso de referência de célula propaga para o certificado sem alarme.

Controle de versão / registros (§7.5, §8.4)

Incerteza_balanca_v3_FINAL_revisado_ok.xlsx — e ninguém sabe qual é a oficial.

Backup e recuperação (§7.11.3)

Arquivo vive em um drive local ou em uma pasta compartilhada sem política de retenção.

Um exemplo concreto de erro silencioso

Considere o cálculo da incerteza expandida, U = k · u_c. Suponha que a célula da incerteza combinada (u_c) seja arrastada uma linha a mais e passe a referenciar a contribuição errada; ou que o fator de abrangência seja fixado em k = 2 quando os graus de liberdade efetivos (via Welch–Satterthwaite) pediam k ≈ 2,13 para 95 %. O número sai plausível, o certificado é emitido, e nada na planilha sinaliza o desvio. O erro só aparece se um segundo metrologista refizer a conta à mão — que é precisamente o controle que a §7.11.6 exige e que a planilha não automatiza.

(Os valores acima são ilustrativos, para demonstrar a classe de erro; não representam um caso real nem uma recomendação de k.)

Nenhuma dessas falhas é culpa do Excel. São consequência de pedir a uma ferramenta de cálculo de propósito geral que cumpra requisitos de controle de registros para os quais ela não foi feita.

O que muda com um software dedicado

Um software de gestão de calibração não substitui o seu julgamento técnico — ele move os controles da norma de "disciplina manual que depende de cada pessoa" para "comportamento padrão do sistema". É o que o CalibraFácil faz hoje, descrito sem inflar e mapeado aos requisitos acima:

  • Fluxo de revisão e aprovação com estados. O certificado percorre uma máquina de estados explícita — rascunho → execução → revisão → aprovado —, e só um perfil autorizado libera. Isso materializa a separação entre executar e liberar um resultado.
  • Separação entre quem executa e quem aprova (quatro olhos). O sistema impede que quem executou ou criou o serviço o aprove quando o laboratório tem mais de uma pessoa — a liberação exige um segundo responsável (alinhado ao §6.2.4/§7.1). Laboratório de uma pessoa só fica isento automaticamente.
  • Signatário autorizado com escopo. Quem libera o certificado precisa ser um signatário autorizado para aquele tipo de instrumento — ou geral da organização —, com validade e registro de concessão/revogação (§6.2.6). Não basta ter papel de gestor: é preciso estar no rol de signatários daquele escopo.
  • Cálculo de incerteza segundo o GUM. A partir do método configurado e das leituras, o motor de cálculo combina as contribuições Tipo A (repetibilidade, s/√n) e Tipo B, estima os graus de liberdade efetivos (Welch–Satterthwaite) e deriva o fator de abrangência k pela distribuição t de Student. É exatamente o cálculo cuja ausência abre a porta para o erro silencioso da seção anterior — e ele é coberto por testes de resposta conhecida para travar regressões na matemática.
  • Registro de auditoria em modo somente-anexação (append-only). Cada transição de estado grava quem fez, o quê mudou, quando e de qual IP. É uma trilha append-only no nível da aplicação — registra a história do resultado de ponta a ponta. (Importante: append-only não é o mesmo que imutabilidade criptográfica do banco; é controle operacional, não selo inviolável.)
  • Controle de acesso por papel (RBAC), por organização e por unidade. Quem executa, quem aprova e quem só visualiza são papéis distintos — atendendo diretamente à exigência de proteção contra acesso não autorizado.
  • Versionamento de método. Cada método de calibração é versionado, com estados (rascunho → revisão técnica → publicado → arquivado) e trilha de alterações. No momento da execução, o sistema congela um instantâneo do método usado — reprodutibilidade alinhada ao §7.2.2.
  • Rastreabilidade congelada na execução. O serviço registra quais padrões de referência foram usados, com seus certificados, e congela esse conjunto no momento da execução — a cadeia de rastreabilidade não "se mexe" depois.
  • Certificado verificável por QR. Cada certificado leva um QR que aponta para uma página pública de verificação: ela confirma a assinatura (assinante, CPF/CNPJ, número de série e data) e exibe o histórico de retificação ou substituição do documento. É algo que uma planilha, por definição, não oferece a quem recebe o certificado.
  • Certificado gerado pela liberação — não exportado à mão. Sim, qualquer planilha exporta PDF; a diferença não é o arquivo, é quando e como ele nasce. Aqui o certificado é renderizado pelo servidor somente após a aprovação, a partir do instantâneo congelado de dados, método e padrões, já com numeração controlada, QR de verificação e assinatura embutidos. Um "Exportar como PDF" da planilha sai a qualquer instante, por qualquer pessoa, antes ou depois de uma edição — sem garantir que corresponde a um registro aprovado, numerado e assinado.
  • Assinatura com certificado ICP-Brasil A1 (PAdES), opcional, quando o laboratório carrega seu próprio certificado — vinculando assinante, data e hash do PDF ao documento emitido.
  • Operação offline com sincronização. O técnico executa em campo sem conexão; as alterações entram em uma fila (outbox) e sincronizam ao reconectar. (A aprovação final do certificado requer conexão com a nuvem.)

Onde sou honesto sobre os limites: o sistema registra a data da próxima calibração, mas não dispara lembrete automático de vencimento hoje — esse acompanhamento ainda é seu. E recursos como validação da cadeia ICP-Brasil e carimbo de tempo qualificado estão em construção, fora do fluxo de assinatura atual; portanto não os apresento como prontos.

"Então o software garante minha acreditação?"

Não — e desconfie de quem prometer isso. Software nenhum concede ou garante acreditação. Quem responde pela conformidade perante a Cgcre é o laboratório: são suas as decisões técnicas, a validação dos métodos, a competência do pessoal e a análise crítica. Uma plataforma adequada apoia esse trabalho tornando os controles da norma o caminho de menor resistência, e reduz a superfície de erro manual. A responsabilidade continua sua. Essa distinção não é jurídica fina — é o que diferencia uma ferramenta honesta de uma promessa que não se sustenta numa auditoria.

Afinal, planilha ou software?

Se o seu laboratório tem um instrumento, um método e uma pessoa, uma planilha validada e bem controlada pode ser suficiente — desde que você consiga, hoje, mostrar a um auditor a validação, o controle de acesso, a trilha de quem alterou o quê e a política de backup. Se você não consegue demonstrar esses quatro pontos sem suar frio, o custo de mantê-los manualmente já superou o custo de um sistema dedicado.

A pergunta certa não é "planilha é proibida?" (não é). É: "eu consigo provar, agora, que minha planilha cumpre a §7.11?" Se a resposta trava, você já sabe para onde olhar.

Quer ver como esses controles — quatro olhos na aprovação, cálculo de incerteza pelo GUM, trilha append-only e certificado verificável por QR — funcionam na prática? Conheça o CalibraFácil.

Perguntas frequentes

Planilha é proibida pela ISO/IEC 17025? Não. A norma trata planilhas como sistema de gestão da informação e as sujeita aos mesmos requisitos de validação, proteção, integridade e verificação de cálculos (§7.11). Proibida não é; controlada precisa ser.


Preciso validar minha planilha de incerteza? Sim. Por ter fórmulas e configuração próprias, ela é uma modificação sujeita a validação antes do uso e a cada alteração (§7.11.2). Guarde a evidência dessa validação.


Como o cliente confere se o certificado é autêntico? Em um sistema dedicado, cada certificado pode trazer um QR para uma página pública de verificação, que mostra a assinatura e o histórico do documento. Uma planilha exportada em PDF não oferece esse tipo de comprovação ao destinatário.


Software de calibração me dá a acreditação automaticamente? Não. Ele apoia o cumprimento dos requisitos, mas a conformidade e a responsabilidade técnica permanecem do laboratório.