LABORATÓRIO DE TECNOLOGIA, GESTÃO DE NEGÓCIOS E MEIO AMBIENTE MESTRADO PROFISSIONAL EM SISTEMAS DE GESTÃO
MARCELO TEIXEIRA HALASZ
ANÁLISE DE DEMANDAS DE CAMADAS DE PROTEÇÃO DEFINIDAS COM A METODOLOGIA LOPA UTILIZANDO UM SISTEMA DE GESTÃO DE ATIVOS EM
INSTRUMENTAÇÃO
Dissertação apresentada ao Curso de Mestrado em Sistemas de Gestão da Universidade Federal Fluminense como requisito parcial para obtenção do Grau de Mestre em Sistemas de Gestão. Área de Concentração: Organizações e Estratégia. Linha de Pesquisa: Sistemas de Gestão pela Qualidade
Total.
Orientador:
Prof. Fernando Toledo Ferraz D.Sc. Universidade Federal Fluminense
Niterói 2017
Ficha Catalográfica
Elaborada por bibliotecária - CRB 5041 H 157 Halasz, Marcelo Teixeira.
Análise de demandas de camadas de proteção definidas com a metodologia LOPA utilizando um sistema de gestão de ativos em instrumentação / Marcelo Teixeira Halasz. 2017.
74f.
Dissertação (Mestrado em Sistemas de Gestão) –
Universidade Federal Fluminense. Escola de Engenharia, 2017. Orientador: Fernando Toledo Ferraz.
1. Instrumentação industrial. 2. Administração de risco. 3. Processo industrial. 4. I. Título.
Á querida Michelle, aos meus filhos Maria Clara e João Felipe, meus pais e familiares pelo carinho e compreensão em todos os momentos.
Ao professor Fernando Toledo Ferraz pelo incentivo, dedicação, sugestões e orientações.
Aos professores e funcionários do curso de Mestrado em Sistemas de Gestão da UFF, pelos ensinamentos e profissionalismo.
A aplicação de metodologia LOPA (Layer of Protection Analysis) para análise de riscos
representou um avanço na gestão de segurança de processos industriais proporcionando uma avaliação mais detalhada, uniforme e simplificada de riscos associados aos processos. Atualmente a indústria reconhece cada vez mais o valor de se utilizar indicadores proativos de segurança de processo que estão particularmente ligados à monitoração das demandas de camadas de proteção dos sistemas de segurança e representam um evento real ou a descoberta de uma situação de alto risco potencial. O desenvolvimento de boas métricas para estes indicadores envolve a padronização do escopo de um sistema de gestão de ativos desde a definição das razões pelas quais os dados estão sendo coletados até a de como eles serão utilizados e apresentados ao usuário. Neste trabalho propõe-se o desenvolvimento e aplicação de nova abordagem metodológica para monitoração das demandas de camadas de proteção através do levantamento de informações e de uma análise estatística, onde os resultados observados são comparados aos dados documentados de frequências de causas iniciadoras estipuladas para os cenários de risco e utilizadas para projeto e cálculo das camadas de proteção segundo a metodologia LOPA. Através de um tratamento estatístico de dados históricos das demandas busca-se verificar se a quantidade de demandas observadas está de acordo com a esperada segundo a análise de risco. Os resultados mostram que, para as unidades em estudo, a quantidade de demandas reais é maior que a esperada através da metodologia LOPA em aproximadamente 30% das camadas de proteção analisadas. De acordo com o referencial teórico adotado, podemos levantar possíveis causas deste desvio relacionadas ao projeto e à configuração das camadas de proteção. Através da aplicação da abordagem metodológica proposta, este estudo pode ser adaptado e replicado em outras unidades visando contribuir para o conhecimento e prevenção de anomalias de segurança de processo, auxiliando a identificação de indicadores proativos de segurança e o diagnóstico de eventuais fragilidades na configuração e operação de uma planta industrial, nas revisões das análises de risco e no projeto conceitual dos sistemas de camadas de proteção.
Palavras-chave: LOPA, Camadas de Proteção Independentes, Segurança de processo, Gestão de ativos, Instrumentação Industrial.
The application of LOPA (Layer of Protection Analysis) methodology for risk analysis represented an advance in industrial process safety management, providing a more detailed, uniform and simplified assessment of associated risks to the processes. Industry is increasingly recognizing the value of using proactive process safety indicators that are particularly linked to monitoring the demands of layers of protection of security systems and represent a real event or the discovery of a potentially high risk situation. The development of good metrics for these indicators involves standardizing the scope of an asset management system from defining the reasons why data is being collected to how it will be used and presented to the user. This dissertation proposes the development and application of a new methodological approach to monitor the demands of layers of protection through the collection of information and a statistical analysis, where the observed results are compared to the documented data of initiating causes frequencies stipulated for risk scenarios and used for design and calculation of layers of protection according to LOPA methodology. Through a statistical treatment of historical data of the demands, it is sought to verify if the number of observed demands obtained are in agreement with those expected in the risk analysis. The results show that, for the units under study, the number of real demands is higher than expected through the LOPA methodology in approximately 30% of analyzed protection layers. According to the theoretical references adopted, we can consider possible causes of this deviation related to the design and configuration of the layers of protection. Through the application of the proposed procedure, this study can be adapted and replicated in other units aiming to contribute to the knowledge and prevention of process safety anomalies, helping to identify proactive safety indicators and the diagnosis of eventual fragilities in the configuration and operation of an industrial plant, in the reviews of risk analysis and in conceptual design of protection layer systems.
Keywords: LOPA, Independent Protection Layers, Process Safety, Asset management, Instrumentation.
Figura 1 – Camadas de Proteção ... 22
Figura 2 - Pirâmide de indicadores de segurança de processo ... 26
Figura 3 – Fluxograma das etapas para levantamento e análise de demandas das IPLs ... 40
Figura 4 - Exemplo de demanda espúria por erro de comunicação do instrumento de medição. ... 46
Figura 5 – Exemplo de detecção de demanda de um Alarme ... 47
Figura 6 - Exemplo de detecção de demanda de Automação pelo BPCS ou SIF ... 49
Figura 7 - Exemplo de detecção de demanda com a abertura de PSV... 50
Figura 8 – Gráfico de classificação de IPLs por tipo. ... 58
Figura 9 – Gráfico de IPLs classificadas por taxa de demandas esperada ... 59
Figura 10 – Gráfico de IPLs classificadas por frequência tolerável ... 60
Figura 11 – Gráfico de Distribuições de Poisson com destaque para os valores de demandas esperadas λ0 levantadas ... 61
Figura 12 – Análise gráfica dos testes de hipótese para as quantidade de demandas das IPLs ... 63
Quadro 1 – Tipos de Falhas em Sistemas Instrumentados de Segurança ... 10 Quadro 2 – Formação de desvios em um HAZOP ... 18 Quadro 3 - Exemplo de Matriz de Risco ... 22
Tabela 1 - Faixas de PFD e RRF associados ao SIL ...9
Tabela 2 - Valores típicos de frequências de causas iniciadoras ... 21
Tabela 3 – Valores típicos de PFDs para IPLs ... 23
ABNT Associação Brasileira de Normas Técnicas
ABRAMAN Associação Brasileira de Manutenção e Gestão de Ativos
AIChE American Institute of Chemical Engineering
API American Petroleum Institute
BPCS Basic Process Control System (Sistema Básico de Controle de Processo)
BSI British Standard Institute
CCPS Center for Chemical Process Safety
HAZOP Hazard and operability study (Análise de perigos e operabilidade)
FCI Frequencia de Causas Inciciadoras
IAM Institute of Asset Management
IPL Independent Protection Layer (Camada de Proteção Independente)
ISO International Organization for Standardization
LOPA Layer of Protection Analysis (Análise de Camadas de Proteção)
LOPC Loss of primary containment (Perda de Contenção Primária)
PAS Publicly Available Specification
PFD Probability of Failure on Demand (Probabilidade de Falha sob demanda)
PHA Process Hazard Analysis (Processo de análise de riscos)
PSE Process Safety Event (Evento de Segurança de Processo)
PSV Pressure Safety Valve (Válvula de Alívio e Segurança)
RBPS Risk Based Process Safety (Segurança de Processo baseada em Risco)
RRF Reduction Risk Factor (Fator de Redução de Risco)
RTN Return To Normal (Retorno ao estado normal)
SIF Safety Instrumented Function (Função Instrumentada de Segurança)
SIL Safety Integrity Level (Nível de Integridade de Segurança)
1. Introdução ...1 1.1. Problema de pesquisa ...1 1.2. Objetivos ...3 1.2.1. Objetivo Geral ...3 1.2.2. Objetivos Específicos ...3 1.3. Hipótese ...4 1.4. Delimitação de Escopo ...4 1.5. Métodos ...5 1.6. Organização da dissertação ...5
2. Revisão da Literatura e Referencial Teórico ...6
2.1. Instrumentação Industrial ...6
2.1.1. Válvulas de segurança e alívio (PSVs) ...7
2.1.2. Sistema Instrumentado de Segurança (SIS) ...8
2.1.3. Sistema de Alarmes ... 12
2.1.4. Sistema Básico de Controle de Processo (BPCS) ... 14
2.2. Segurança de processo... 15
2.2.1. Hazard and Operability Study (HAZOP) ... 16
2.2.2. Layer of Protection Analysis (LOPA) ... 19
2.2.3. Indicadores de Segurança de processo segundo a API-754 ... 24
2.2.4. Resiliência ... 29
2.2.5. Disponibilidade das camadas de proteção:... 31
2.3. Gestão de Ativos ... 32
3.1. Monitoração de demandas das IPLs ... 38
3.1.1. Definição de Frequência de Causa Iniciadora ... 39
3.1.2. Etapas para Levantamento e Análise de Demandas das IPLs ... 39
3.1.3. Escolha das unidades para o estudo ... 40
3.1.4. Elaboração de critérios; ... 41
3.1.5. Levantamento de documentação; ... 41
3.1.6. Levantamento de dados nos cenários de risco ... 42
3.1.7. Aquisição de dados históricos de demandas das IPLs ... 45
3.1.8. Procedimento para análise dos dados ... 50
3.1.9. Teste de hipótese para o número de demandas... 52
3.1.1. Estimação por intervalo de uma proporção populacional ... 54
4. Apresentação e discussão dos resultados ... 55
4.1. Caracterização das amostras ... 58
4.2. Levantamento da Quantidade de Demandas das IPLs ... 61
4.3. Apresentação e análise dos resultados ... 62
4.4. Análise de possíveis causas para os desvios ... 64
5. Conclusões e Recomendações ... 66
1. Introdução
A gestão de segurança de processos tem desempenhado um importante papel na prevenção e mitigação de acidentes na indústria e sua evolução se deve principalmente às demandas de órgãos e entidades ambientais, da sociedade e das próprias empresas em evitar acidentes.
A correta identificação e gerenciamento dos riscos associados a um processo industrial é um dos principais fatores para a implantação de um sistema de gestão de segurança de processos eficaz. A aplicação de técnicas de análise de riscos como a metodologia LOPA (Layer of Protection Analysis) representa um avanço na gestão de segurança de processo industrial, proporcionando uma avaliação de riscos mais detalhada, uniforme e simplificada.
1.1. Problema de pesquisa
Segundo Summers (2003), a utilização sistemática de dados de confiabilidade padronizados definidos em procedimentos baseados em normas e na aceitação industrial e frequentemente aplicados na metodologia LOPA, possibilita a fluidez e simplificação da condução da análise de riscos. Esta simplificação, no entanto, pode acarretar uma avaliação incompleta dos cenários de risco, principalmente quando esta análise é realizada na fase de projeto de uma nova unidade de processo onde ainda há certo desconhecimento sobre sua operação.
Como o risco de um cenário é definido como o produto entre a severidade e a frequências das causas iniciadoras, um levantamento incompleto de todas as causas iniciadoras de cenário de risco ou o estabelecimento de frequências incorretas das mesmas podem levar a erros na estimativa da quantidade de demandas esperadas para as IPLs (Camadas de Proteção Independentes) durante a operação da unidade.
A estimativa incorreta da quantidade de demandas das camadas de proteção, de acordo com Barnard (2014), pode levar a erros no projeto, intervalos de testes e manutenção inadequados e, em última análise, IPLs que não atendem adequadamente aos cenários de risco levantados.
Visando a melhoria na gestão da segurança de processos, a IEC 61511-1 (2016a) recomenda a implementação de procedimentos para avaliar o desempenho dos Sistemas Instrumentados de Segurança (SIS) em relação aos seus requisitos de segurança a fim de comparar a taxa de demanda durante a operação da unidade com as premissas utilizadas durante a avaliação de risco. Esta recomendação pode ser estendida para todas as IPLs passíveis de monitorização das demandas através de um sistema de gestão de ativos.
A API 754 (2010) estabelece a quantidade de demandas das camadas de segurança como um dos indicadores proativos de segurança de processo, que, por definição, podem representar uma falha dos sistemas de gestão de segurança de processo e nos fornecem um mapeamento de onde estes sistemas precisam ser reforçados.
O Centro para a Segurança de Processos Químicos (CCPS), fundado em 1985 pelo AIChE (American Institute of Chemical Engineering) com o propósito de assistir a indústria a evitar ou mitigar acidentes químicos catastróficos, conclui em sua publicação Process Safety Leading Indicators Industry Survey, que as informações sobre métricas de segurança de processo nas indústrias estão incompletas no que diz respeito à utilização de indicadores proativos para monitorar os seus sistemas de segurança (CCPS, 2013).
A adoção de um sistema de coleta de dados eficiente é destacada em CCPS (2013) como uma das dificuldades que as empresas encontram em suas atividades para a implantação dos indicadores de desempenho de segurança de processo. O desenvolvimento de boas métricas para estes indicadores envolve a padronização do escopo dos sistemas de coleta de dados desde a definição das razões pelas quais os dados estão sendo coletados até a de como eles serão utilizados e apresentados.
Um sistema automático de coleta de dados pode trazer benefícios para o gerenciamento da segurança de processos como a disponibilização de indicadores de segurança de processo e de taxas de eventos iniciadores para análise LOPA (HARRINGTON, 2009).
Embora a indústria disponha atualmente de sistemas computacionais para atividades avançadas de automação com foco em segurança de processo como: sistemas de gestão de alarmes, sistemas instrumentados de segurança e sistemas de gerenciamento de manutenção, geralmente estes sistemas operam de forma não integrada entre si e muitas vezes são utilizadas apenas funcionalidades básicas e genéricas.
1.2. Objetivos
1.2.1. Objetivo Geral
Este trabalho tem como principal objetivo, contribuir para o conhecimento e prevenção de anomalias de segurança de processo através do desenvolvimento, aplicação e validação de uma nova abordagem metodológica para levantamento e análise da quantidade real de demandas de camadas de proteção definidas com a utilização da metodologia LOPA.
1.2.2. Objetivos Específicos
São objetivos específicos do presente trabalho:
A contextualização da quantidade de demandas de um sistema de camadas de proteção como um indicador proativo de segurança de processo e a utilização de um sistema de gestão de ativos em instrumentação industrial como ferramenta para levantamento de índices de segurança de processo através de uma revisão de literatura.
A proposição de uma abordagem metodológica para levantamento do histórico de demandas de camadas de proteção projetadas através da metodologia LOPA e aplicar este procedimento em 2 unidades de processamento de gás natural.
A análise dos dados históricos de demandas das IPLs obtidas com utilização de um sistema de gestão de ativos, comparando, através de teste de hipótese, com as frequências levantadas por análise de riscos através da metodologia LOPA.
1.3. Hipótese
De acordo com os dados históricos de demandas em camadas de proteção de duas unidades de processamento de gás natural, coletados através do procedimento proposto neste trabalho, pretende-se verificar como hipótese de pesquisa se:
A quantidade de demandas reais das camadas de proteção do sistema de segurança de processos, observadas através da análise de dados históricos em um sistema de gestão de ativos em instrumentação, está de acordo com a quantidade de demandas esperada para cada cenário de risco baseada nas frequências de causas iniciadoras definidas através da metodologia LOPA.
1.4. Delimitação de Escopo
Neste trabalho as unidades de processamento estudadas possuem análise de perigos e operabilidade (HAZOP) e análise semi-quantitativa de camadas de proteção (LOPA) previamente documentadas e organizadas de forma a se estimar as frequências de causas iniciadoras estabelecidas para cada IPL.
Serão objetos de análise, somente os cenários que possuem IPLs passíveis de monitoração através da instrumentação disponível onde consideraremos, quando não está claramente explícito no projeto, o sequenciamento de atuação das seguintes camadas: Resposta dos operadores aos alarmes, Automação no BPCS (Sistema Básico de Controle de Processo), SIS (Sistema Instrumentado de Segurança) e PSVs (Válvulas de Alívio e Segurança).
Os pontos de ajustes (sets) de alarmes, paradas de emergência (trips) e de alívios das PSVs considerados neste trabalho foram os listados em documentos de projeto da unidade ou, quando disponíveis, baseados em procedimentos de operação atualizados.
Não estão no escopo deste trabalho a análise dos desvios observados e o levantamento e medidas a serem adotadas para a melhoria dos processos relativos aos projetos de camadas de proteção. A citação das possíveis causas de desvios no item 4.4 objetiva aprofundar a discussão sobre o tema e servir como subsídios para o desenvolvimento de futuros trabalhos e novas ferramentas de análise.
1.5. Métodos
O método de abordagem adotado para esta pesquisa é o método hipotético-dedutivo descrito por Lakatos (2012), que se inicia pela percepção de uma lacuna nos conhecimento acerca da qual formula hipóteses e, pelo processo de inferência indutiva, testa a predição da ocorrência de fenômenos abrangidos pela hipótese.
A pesquisa pode ser considerada aplicada, de acordo com o modelo de classificação apresentado por Vergara (2014), pois é fundamentalmente motivada pela necessidade de resolver problemas concretos com finalidade prática conforme o problema de pesquisa apresentado e os objetivos e metodologia propostos.
1.6. Organização da dissertação
A presente pesquisa está organizada em seis capítulos:
No Capítulo 1 introduz-se o problema de pesquisa, definem-se os objetivos, o levantamento da hipótese de pesquisa, a delimitação do estudo e os métodos de pesquisa utilizados.
No Capítulo 2 apresenta-se o referencial teórico, buscando-se contextualizar na literatura a temática da presente pesquisa, onde são abordados como tópicos principais a Instrumentação Industrial, a Segurança de Processos e o Gerenciamento de Ativos.
No Capítulo 3 propõe-se uma abordagem metodológica para levantamento do histórico de demandas de camadas de proteção comparando com as frequências estabelecidas por análise de riscos através da metodologia LOPA.
No Capítulo 4 apresenta-se a aplicação do procedimento descrito no capítulo 3, os resultados obtidos e a realização do teste de hipótese para as demandas das IPLs.
No Capítulo 5 são apresentadas as conclusões gerais do trabalho, recomendações e sugestões para pesquisas futuras.
No Capítulo 6 são apresentadas as referências bibliográficas utilizadas na pesquisa.
2. Revisão da Literatura e Referencial Teórico
2.1. Instrumentação IndustrialOs processos industriais são variados, englobam diversos tipos de produtos e exigem controle preciso dos produtos gerados. Em todos esses processos é indispensável se controlar, mantendo constantes ou com taxas de variações pré-estabelecidas, as principais variáveis como pressão, nível, temperatura etc. Os instrumentos de medição e controle permitem manter e controlar estas variáveis em condições mais adequadas e precisas do que se elas fossem controladas manualmente por um operador (BEGA, 2006).
De acordo com Livelli (2012), com a evolução da microeletrônica foi apresentado o conceito de instrumentação inteligente que apareceu pela primeira vez em plantas de processo e de energia em 1983. Os avanços proporcionados desde então por esta tecnologia tiram proveito das melhorias constantes nos sensores e microprocessadores. Eles permitem que os usuários obtenham, além de informações úteis sobre o processo, os diagnósticos e auto testes do próprio dispositivo.
Com o advento das redes industriais de campo, os instrumentos, de simples geradores de informações primárias das variáveis do processo, passaram a ser tratados como ativos, e puderam ser conectados a sistemas de gestão de ativos, onde os dados são coletados automaticamente e analisados através de modelos, dando aos técnicos e gestores de manutenção informações e conhecimento do ativo, necessários, por exemplo, à efetivação ou não de reparos e antecipando quebras previstas (VENTURELLI, 2016).
A racionalização e priorização do uso do grande volume de informações geradas pela instrumentação industrial proporcionaram o planejamento de ações preventivas com maior precisão e efetividade, reduzindo o tempo de parada das plantas e custo associados e aumentando a confiabilidade e segurança. Alguns autores apresentam, por exemplo, propostas para sistemas de gestão da instrumentação industrial utilizando diversas soluções, como o apoio a decisão através de modelos
multicritério (LUCIO, 2009; E COSTA, 2012), ou de sistemas embarcados no próprio dispositivo para manutenção inteligente (LAZZARETTI, 2012).
A instrumentação industrial desempenha também um papel fundamental na segurança de plantas industriais. Sistemas de monitoração, alarmes e procedimentos automatizados utilizam-se da instrumentação industrial visando garantir a segurança do processo em situações adversas.
Nos subitens seguintes são destacados alguns dispositivos e sistemas utilizados com camadas de proteção típicas em um sistema de segurança de processos, que são definidas por técnicas de análise de riscos e que podem ser monitoradas ou acionadas automaticamente por variáveis de processo através da instrumentação industrial.
2.1.1. Válvulas de segurança e alívio (PSVs)
Os dispositivos de alívio são itens de equipamento mecânicos que agem quando a faixa operacional de temperatura ou pressão é excedida. Nesta categoria incluem-se válvulas de alívio de pressão (PSV), válvulas de alívio térmico e discos de ruptura (MARSZAL, 2002).
As aberturas das válvulas de alívio permitem que o material de processo escape de maneira controlada e relativamente segura para uma contenção secundária ou mesmo para a atmosfera quando a pressão no processo é excedida.
Há uma grande variedade de modelos e tecnologias de válvulas de alívio, mas a maioria é de ação direta: que são abertas pela força do fluido de processo atuando contra uma mola na válvula ou operada por pilotos que utilizam o fluido do processo, por meio de um mecanismo piloto, para ajudar a abrir e fechar a válvula (MARSZAL, 2002).
A probabilidade de falha sob demanda (PFD) de um dispositivo de alívio físico varia de acordo com o tipo de dispositivo e o arranjo destes dispositivos no projeto. As taxas de falha para os vários tipos de válvulas de alívio e outros dispositivos podem ser encontradas em bases de dados e livros de referência, como em Oreda (1997), Exida (2007) ou CCPS (2001).
De acordo com CCPS (2001), em uma análise LOPA também se deve reavaliar o valor apropriado de PFD das válvulas de alívio para cada serviço, em particular as que operam em fluidos com possibilidade de incrustação, corrosão, congelamento ou em fluidos bifásicos que podem comprometer a vazão de alívio esperada.
Os sistemas de alívio destinam-se a fornecer proteção contra sobrepressão, mas o fluxo de alívio é eventualmente enviado para a atmosfera. Isso pode resultar em cenários adicionais (nuvem tóxica, inflamável ou liberação de produtos para o meio ambiente), dependendo do material, dos tipos de controle e dos sistemas de proteção ambiental. Sendo assim, deve-se determinar a necessidade de adição de novos cenários para atender aos critérios de tolerância de risco que também podem envolver como causas o vazamento ou a falha no fechamento da válvula de alívio após uma demanda (CCPS, 2001).
Nos projetos de camadas de proteção, os dispositívios físicos de alívio são geralmente creditados como última camada de proteção ativa. Falhas de demanda nessa camada de proteção, muitas vezes acarretam consequências relevantes para a integridade do equipamento, segurança pessoal ou geram liberação de produtos ou insumos para o meio ambiente.
2.1.2. Sistema Instrumentado de Segurança (SIS)
Um Sistema instrumentado de Segurança (SIS) pode ser definido como um conjunto de sensores, executores de lógica e atuadores que executam uma ou mais funções instrumentadas de segurança (SIF) que são implementadas por um propósito comum, como um grupo de funções protegendo o mesmo processo ou equipamento (MARSZAL, 2002).
Os níveis de integridade de segurança (SIL) são categorias baseadas em probabilidades de falha sob demanda (PFD) que pode ser definida como a probabilidade de uma camada de proteção falhar em realizar a sua função específica em resposta a uma demanda para uma função instrumentada de segurança (SIF) (IEC 61508, 2000).
O fator de redução de risco (RRF) ou redução de risco requerida pode ser expresso matematicamente como o inverso da PFD. A IEC 61508 (2000), que
estabelece os requisitos funcionais para os Sistemas Instrumentados de Segurança (SIS), define quatro categorias de SIL e a Tabela 1 mostra as faixas de PFD e o RRF associado correspondente a cada SIL:
Tabela 1 - Faixas de PFD e RRF associados ao SIL
Nível de integridade de segurança (SIL)
Probabilidade de falha sob demanda (PFD)
Fator de redução de risco (RRF = 1/PFD)
1 10−1 – 10−2 10 – 100
2 10−2 – 10−3 100 – 1000
3 10−3 – 10−4 1000 – 10.000
4 10−4 – 10−5 10.000 – 100.000
Fonte: Baseado na IEC 61508 (IEC, 2000).
Seguem abaixo, alguns outros conceitos relacionados com o Sistema Instrumentado de Segurança, baseados na IEC 61508 (IEC, 2000):
Tipos de Falha em SIS
Os sistemas instrumentados de segurança são itens que exercem grande influência na segurança e integridade de uma planta, e quaisquer falhas nesses sistemas são, portanto, abordadas com mais atenção do que no caso de outros equipamentos.
Uma demanda é uma condição ou evento perigoso que requer a atuação de uma SIF. Quando não há atuação de uma SIF quando a mesma é submetida a uma demanda real dizemos que ocorreu uma falha sob demanda.
Uma vez que esses sistemas se encontram frequentemente “adormecidos” durante operação normal e se espera que funcionem sempre que necessário, é de suma importância revelar quaisquer falhas ocultas antes que a função seja demandada (ABNT NBR ISO 14224, 2011). O Quadro 1 apresenta alguns tipos de
falhas que devem ser levadas em consideração em um projeto de um Sistema Instrumentado de Segurança:
Quadro 1 – Tipos de Falhas em Sistemas Instrumentados de Segurança
Tipo de falha Descrição
Falhas perigosas (falhas sob demanda)
Falhas que possuem o potencial de impedir que o sistema de segurança execute sua função de segurança quando houver uma demanda real.
Falhas não perigosas
Falhas que não possuem um efeito imediato sobre a função de segurança, isto é, elas não impedem que o sistema de segurança execute a sua função de segurança ou não geram paradas espúrias.
Falhas seguras (falhas espúrias)
Falhas que têm o potencial de ativar a função de segurança quando esta não é necessária.
Falhas reveladas
Falhas que são detectadas pelo próprio sistema assim que elas ocorrem, por exemplo as falhas detectadas pelo teste de diagnóstico de um executor de lógica.
Falhas ocultas Falhas que não são detectadas por si só e que requerem uma ação específica (por exemplo, um teste periódico) para serem identificadas.
Falhas sistemáticas Falhas relacionadas de forma determinística com certa causa, exemplos: erro de projeto, falha de equipamento e erro de configuração.
Falhas de causa comum
Falhas em mais de um dispositivo, componente ou sistema em decorrência de uma mesma causa direta, num período de tempo relativamente curto e não sendo tais falhas uma consequência da outra.
Fonte: Baseado na IEC 61508 (IEC, 2000).
By-pass
Segundo definição IEC 61508 (IEC, 2000), um by-pass é uma ação ou facilidade para impedir que todas ou partes da funcionalidade SIS sejam executadas para possibilitar o início de operação ou na necessidade de manutenção durante a operação da planta.
O tempo médio de by-pass deve ser considerado no projeto de uma SIF e está relacionado com a disponibilidade de atuação do sistema. O controle e registro da
indisponibilidade de uma SIF devem ser rígidos e descritos em procedimentos operacionais, onde podem ser previstos retornos temporizados ou até mesmo a execução da SIF caso o tempo de by-pass seja excedido.
Votação e degradação de votação
Em alguns projetos de SIF a presença de apenas um instrumento iniciador ou atuador, não é suficiente para atingir o SIL ou mesmo o grau de continuidade operacional requeridos. Sendo assim, arranjos de mais de um instrumento ou atuador (votação) podem ser projetados de modo que a SIF apresente maior tolerância a determinados tipos de falhas.
A tolerância à falha sob demanda é a capacidade de uma SIF executar sua função quando demandada, mesmo na presença de falhas perigosas. Como exemplo de arquitetura que possui tolerância a falha sob demanda, pode ser citada a votação tipo 1 de 2 dos iniciadores, onde basta 1 dos instrumentos instalados indicar a condição de acionamento da SIF, para a sua execução.
A tolerância a trip espúrio (parada espúria) é a capacidade de uma SIF não provocar trip espúrio, mesmo na presença de falhas seguras. Como exemplo de arquitetura que possui tolerância a trip espúrio, pode ser citada a arquitetura de votação tipo 2 de 2 dos iniciadores, onde os 2 dispositivos instalados devem simultaneamente indicar a condição de acionamento da SIF, para a sua execução.
Uma arquitetura de votação tipo 2 de 3 é geralmente empregada em dispositivos do SIS quando se deseja obter simultaneamente tolerância a falha sob demanda e tolerância a trip espúrio.
Alarmes de pré-trip e indicação de desvio
Os alarmes de pré-trip são alarmes que antecedem a atuação das SIFs. Devem ser configurados sempre que houver tempo suficiente para a ação corretiva pelo operador, buscando evitar o acionamento do trip, que muitas vezes compromete a continuidade operacional e consequentemente a produção da planta de processo.
Apesar de contar com os seus elementos fisicamente separados, recomenda-se que os iniciadores do SIS e os sensores utilizados no BPCS (sistema básico de
controle de processos) para medição das mesmas variáveis, tenham o mesmo range (faixa de medição) e incertezas compatíveis, de modo a permitir sua comparação direta. Desse modo pode-se também configurar um indicador de desvio para diagnóstico de uma possível falha oculta em qualquer um dos sistemas.
2.1.3. Sistema de Alarmes
Um alarme pode ser definido como qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou equipamento e que exige uma ação em um tempo restrito (IEC 62682, 2014).
Ainda segundo a IEC 62682 (2014), entende-se como um sistema de alarmes, um sistema de suporte à operação para geração e manuseio de alarmes objetivando gerenciar situações anormais. O sistema de alarmes baseia-se em uma filosofia de alarmes que consiste na documentação que estabelece as definições básicas, os princípios e procedimentos para projetar, implementar e manter um sistema de alarmes, e tem como objetivos:
Garantir consistência e uniformidade do gerenciamento de alarmes para todas as plantas da companhia;
Garantir alinhamento com as metas e objetivos gerenciais;
Fornecer insumos para a especificação, implementação, operação, monitoração e manutenção de um sistema de alarmes robusto e eficiente. Os alarmes cuja resposta do operador tenha sido classificada como IPL devem ser projetados considerando-se as limitações humanas, e devem possuir as seguintes características de acordo com CCPS (2001):
Relevância: deve ter importância operacional definida; se nenhuma resposta está associada ao sinal gerador do alarme, este sinal não deve ser um alarme;
Singularidade: uma mesma informação não deve ser representada por dois diferentes alarmes, evitando duplicidade de procedimentos de resposta que podem confundir e sobrecarregar o operador;
Tempo de resposta adequado: nenhum alarme deve ser apresentado com muita antecedência à sua resposta ou muito tarde para que uma medida corretiva seja executada;
Grau de importância: todo alarme deve possuir uma prioridade, facilitando assim a tomada de decisões do operador;
Clareza: a mensagem do alarme deve ser de fácil compreensão e chamar atenção para a(s) informação(s) mais importante(s) que se deseja transmitir.
Os alarmes devem ser priorizados em função do tempo disponível para resposta do operador e dos impactos causados na planta quando da ausência desta resposta. Estes impactos podem estar relacionados à perda de produção e de ativos, meio ambiente e segurança pessoal, consideradas dentro destas categorias os alarmes definidos para atendimento à legislação local ou a políticas internas da companhia.
O sistema de alarmes auxilia o operador na tomada de ações que venham a evitar transtornos operacionais ou mesmo paradas da planta por ação, por exemplo, do sistema instrumentado de segurança.
O simples acionamento de um alarme não pode ser considerado uma IPL. Em CCPS (2001) a resposta dos operadores aos alarmes é definida como uma “IPL Humana” visto que a operação deve ser capaz de realizar ações para levar o processo a um estado seguro ou mesmo parar o processo quando necessário e para isso os alarmes devem alertar que as variáveis de processo saíram do seu intervalo de controle normal.
As ações operacionais desencadeadas através do acionamento de alarmes, segundo Luquetti dos Santos (2013), são suportadas através de procedimentos de operação, procedimentos de emergência, sistemas de alarme, sistemas de comunicação, sistemas de apresentação de dados, sistemas de controle e sistemas de segurança.
De acordo com Marszal (2002), alarmes cuja resposta do operador tenha sido classificada como IPL devem ser priorizados em relação aos outros alarmes desconsiderando a presença de outras camadas de proteção e devem:
Ser projetado de forma que nenhuma condição presente na planta seja capaz de falsear sua anunciação;
Ser identificado de forma diferente e ser distinguível dos outros alarmes; Possuir um procedimento operacional específico em resposta ao mesmo,
considerando que a ação do operador deve ser suficiente para evitar a consequência indesejada;
Estar inserido em programas de treinamento, manutenção e auditoria estabelecidos.
Os alarmes normalmente são apresentados e priorizados na interface de operação. A configuração e apresentação destas interfaces também contribuem significativamente para a segurança de uma planta industrial, uma vez que afetam o modo em que os operadores buscam informações relacionadas aos status dos principais sistemas, determinam os requisitos necessários para que os operadores possam compreender e supervisionar os principais parâmetros e, em última análise, influenciam as ações do operador (LUQUETTI DOS SANTOS, 2013).
2.1.4. Sistema Básico de Controle de Processo (BPCS)
Ações automáticas do BPCS podem ser consideradas camadas de proteção quando uma lógica é configurada para implementar ações de automação como abertura ou fechamento de válvulas, executando ações antes que o SIS seja demandado, ou mesmo a própria ação de controle automático de uma malha, quando a mesma não está relacionada com a causa do cenário de risco (CCPS, 2001).
Segundo Marszal (2002), quando um BPCS é usado como uma camada de proteção, seu desempenho é medido pela sua PFD e é determinado por análise de confiabilidade. Como opção, muitos bancos de dados de camada de proteção contêm dados padronizados sobre taxas de falha para malhas de controle. Três
critérios são comumente utilizados para determinar se uma ação do BPCS pode ser considerada uma camada de proteção:
O BPCS e o SIS são dispositivos fisicamente separados, incluindo sensores, executores de lógica e elementos finais;
A falha do BPCS não é responsável por iniciar o evento indesejado;
O BPCS possui os sensores e atuadores adequados para executar uma função semelhante à realizada pelo SIS.
Para atuar como IPL, ações como a operação da malha de controle em modo manual e by-pass de atuadores, devem ser monitoradas e em alguns casos restringidas de forma a manter as condições de disponibilidade da IPL.
Marszal (2002) ressalta que a camada de proteção BPCS é geralmente associada a uma ação automática que não requer intervenção direta do operador, se houver um alarme ou outra indicação solicitando ação opercacional, essa ação é que fornece a proteção. Nesse caso a camada de proteção correta seria a ação do operador em relação à indicação ou alarme.
O BPCS também oferece uma série de flexibilidades operacionais e de configuração para possibilitar a operação e controle da unidade. Esta flexibilidade pode ocasionar problemas de segurança e essa limitação é citada por CCPS (2001), como uma das causas para considerar o BPCS uma camada de proteção relativamente fraca.
2.2. Segurança de processo
A Segurança de Processo pode ser definida como
“Uma disciplina estruturada para gerenciar a integridade de sistemas e processos operacionais perigosos, pela aplicação de boas práticas de projeto, engenharia, operação e manutenção. Lida com a prevenção e controle de eventos com potencial de liberação de energia e materiais perigosos. Esses eventos podem causar efeitos tóxicos, incêndio ou explosão e, em última instância, podem resultar em ferimentos graves, danos materiais, perda de produção e impacto ambiental.” (API 754, 2010, p.8)
A CCPS (2014) estende este conceito abordando a Segurança de Processo baseada em Risco (RBPS), reconhecendo que nem todos os riscos e perigos são iguais e, consequentemente, recomendando concentrar mais recursos em riscos e perigos maiores. A ênfase principal da abordagem de RBPS é a de empregar apenas esforço suficiente para atender antecipadamente cada cenário, otimizando recursos e melhorando tanto o desempenho de segurança da instalação quanto o do negócio como um todo.
Deste modo, um dos elementos da abordagem RBPS é o entendimento dos riscos e perigos caracterizado pela gestão do conhecimento do processo e da identificação de perigos e análise de riscos, onde uma organização pode usar estas informações para alocar recursos limitados de maneira mais eficaz.
A Identificação de Perigo e Análise de Risco inclui as atividades para certificar que os riscos aos funcionários, ao público, ou ao ambiente estejam sistematicamente controlados dentro da tolerância de risco da organização. Estes estudos geralmente lidam com três questões de risco principais:
Perigo: O que pode dar errado?
Consequência: O quão grave pode ser?
Probabilidade: Com que frequência pode ocorrer?
Para tentar responder estas questões, encontram-se disponíveis ferramentas para identificação de perigo ou análise de risco qualitativo como a análise de perigos e operabilidade (HAZOP), e ferramentas que permitem análises de camadas de proteção como a metodologia LOPA, que são abordadas neste trabalho e descritas a seguir:
2.2.1. Hazard and Operability Study (HAZOP)
O processo do HAZOP ajuda a reduzir os perigos em uma instalação e reduz a probabilidade de atrasos no comissionamento. A metodologia proporciona uma revisão formal do projeto de um processo, equipamento ou procedimentos de operação, a fim de identificar riscos potenciais e problemas operacionais (NSW, 2011).
Neste processo, cada subsistema ou equipamento da instalação é examinado por uma equipe especializada no processo (operação, processo, instrumentação e análise de riscos). Essencialmente, o procedimento do HAZOP questiona sistematicamente cada parte de um processo ou equipamento para descobrir qualitativamente como os desvios do funcionamento normal podem ocorrer e se são necessárias mais medidas de proteção, alteração nos procedimentos operacionais ou mesmo alterações no projeto (CCPS, 2008).
Segundo CCPS (2008), o procedimento do HAZOP consiste em três fases, as quais apresentamos abaixo com algumas das principais tarefas envolvidas:
Preparação: Definição dos objetivos e escopo, definição da equipe, obtenção dos dados necessários, organização prévia dos dados (divisão em subsistemas e nós);
Realização: Selecionar o subsistema ou nó, explicação sobre o processo e operação, selecionar a variável de processo, aplicar as palavras guia, examinar as consequências associadas ao desvio, listar possíveis causas do desvio, identificar salvaguardas existentes, verificar se o risco é aceitável e desenvolver recomendações ou ações necessárias;
Documentação: Apresentar um resumo da descrição do processo, a lista dos desenhos e documentos envolvidos, registro de nomes dos participantes e datas de realização, descrição da técnica de HAZOP utilizada e os registros da reunião e a lista de recomendações.
O procedimento do HAZOP utiliza uma descrição completa do processo em que os questionamentos são sequencialmente focados em torno de um número de palavras guia que são derivadas de técnicas para aplicação do método. As palavras guia garantem que as questões colocadas para testar a integridade de cada parte do processo ou equipamento em análise explorarão todos os possíveis desvios durante a operação (GUPTA, 2006).
O Quadro 2 mostra exemplos de criação de desvios utilizando palavras guia combinadas com parâmetros de processo:
Quadro 2 – Formação de desvios em um HAZOP
Palavra guia Parâmetro Desvio
Não Fluxo = Fluxo Nenhum
Maior Pressão = Pressão Alta
Também Fluxo = Contaminação
Fonte: Adaptado de CCPS (2008).
A principal vantagem dessa técnica de análise de riscos é sua análise minuciosa e sistemática na identificação de desvios. Contudo, a eficácia de um HAZOP dependerá, segundo Gupta (2006), de fatores essencialmente subjetivos como:
Precisão das informações e documentação disponíveis para a equipe - as informações devem estar completas e atualizadas;
Habilidades e percepções dos membros da equipe;
Manutenção de um senso de proporção na avaliação da gravidade de um perigo e a disponibilidade de recursos para a redução da sua probabilidade;
Competência do condutor para assegurar que a equipe de estudo siga rigorosamente os procedimentos.
Por tratar-se de uma metodologia essencialmente qualitativa cuja eficácia torna-se dependente de fatores relacionados às habilidades e experiências dos participantes, a adoção de técnicas complementares ao HAZOP, como a LOPA, vem se tornando uma boa prática principalmente para avaliação dos cenários considerados mais críticos.
2.2.2. Layer of Protection Analysis (LOPA)
Segundo a CCPS (2001) a metodologia LOPA tem suas origens no desejo de responder questões chaves sobre a necessidade e eficácia das barreiras de proteção. Usando uma abordagem racional, objetiva e baseada em riscos, as camadas de proteção individuais propostas ou fornecidas são analisadas quanto à sua eficácia e quanto à redução de risco provida. Os efeitos combinados das várias camadas de proteção são, então, comparados com os critérios de tolerância ao risco.
Esta metodologia não é uma técnica de identificação de perigos ou de levantamento de cenários de acidente. Este levantamento deve ser previamente desenvolvido durante aplicação de um HAZOP ou de outra técnica de identificação de riscos.
A metodologia LOPA é uma poderosa ferramenta analítica para avaliar a adequação das camadas de proteção usadas para mitigar o risco do processo. Baseia-se em técnicas bem conhecidas de análise de riscos de processo, aplicando medidas semi-quantitativas para a avaliação da frequência de incidentes potenciais e a probabilidade de falha das camadas de proteção (SUMMERS, 2003).
Summers (2003) indica que a LOPA pode ser usado para identificar salvaguardas que atendam aos critérios de camada de proteção independente (IPL), que pode ser um sistema ativo ou passivo, desde que seja:
Efetiva: Deve prevenir ou mitigar a ocorrência da consequência de acordo como foi projetada;
Independente: Não deve ser dependente do evento iniciador e de outra IPL já considerada;
Disponível: Deve estar disponível para atuar sempre que necessária; Auditável: Deve permitir a monitoração de sua efetividade, aplicabilidade e
Define ainda, seis passos principais para condução de um processo de análise LOPA, são eles:
Levantar a documentação de referência para o estudo (documentos de projeto, análises de risco, folhas de dados, etc.)
Documentar os desvios de processo e os cenários de risco;
Identificar todas as causas iniciadoras e estimar a frequência das mesmas; Determinar as consequências e severidade dos cenários de risco em
termos de segurança, meio ambiente e risco econômico;
Listar as IPLs necessárias para a completa mitigação das causas iniciadoras;
Prover as recomendações e opções para implementação das IPLs pelo projetista.
No que se refere às frequências das causas iniciadoras, Summers (2003) recomenda que devam ser baseadas em dados de taxa de falhas aceitas pela indústria e compatíveis com padrões para cada dispositivo, sistema ou mesmo fatores humanos.
Para a execução rápida da metodologia LOPA, normalmente, as frequências das causas iniciadoras para sistemas comuns são fornecidas previamente por procedimento ou tabelas que derivam da experiência da indústria de processo (SUMMERS, 2003).
As tabelas de causa iniciadoras consideram diversos tipos de falhas de material e operacional. A Tabela 2 apresenta os valores típicos de frequências de causas iniciadoras utilizadas por especialistas em LOPA na indústria química (CCPS, 2001).
Tabela 2 - Valores típicos de frequências de causas iniciadoras
Evento Iniciador Intervalo de frequência pela
literatura (1/ano)
Exemplo de valor típico adotado por companhias
(1/ano)
Falha em vaso de pressão 10–5 a 10–7 1 × 10–6
Falha em tubulação - cada 100m - ruptura total 10–5 a 10–6 1 × 10–5
Vazamento em tubulação (seção de 10%) - cada 100m 10–3 a 10–4 1 × 10–3
Falha em tanque atmosférico 10–3 a 10–5 1 × 10–3
Ruptura de engaxetamento 10–2 a 10–6 1 × 10–2
Sobrevelocidade de turbina / motor diesel com quebra da caixa 10–3 a 10–4 1 × 10–4
Intervenção de terceiros (impacto externo por retroescavadeira,
veículo, etc.) 10
–2 a 10–4 1 × 10–2
Queda de carga suspensa por guindaste 10–3 a 10–4 por içamento 1 × 10–4 por içamento
Descarga elétrica atmosférica 10–3 a 10–4 1 × 10–3
Abertura espúria da válvula de segurança 10–2 a 10–4 1 × 10–2
Falha na água de resfriamento 1 a 10–2 1 × 10–1
Falha na vedação da bomba 10–1 a 10–2 1 × 10–1
Falha na descarga da mangueira de descarregamento / carregamento 1 a 10–2 1 × 10–1
Falha da malha de controle Nota: O limite IEC 61511 é superior a 1 ×
10-5 / hr ou 8,76 × 10-2 / ano (IEC, 2001) 1 a 10
–2 1 × 10–1
Falha do regulador 1 a 10–1 1 × 10–1
Incêndio de pequenas proporções (causas agregadas) 10–1 a 10–2 1 × 10–1
Incêndio de grandes proporções (causas agregadas) 10–2 a 10–3 1 × 10–2
Falha em procedimento de segurança com múltiplas etapas 10–3 a 10–4 por oportunidade 1 × 10–3 por oportunidade Falha do operador (para executar o procedimento de rotina,
assumindo-se bem treinado, não estressado, não fatigado) 10
–1 a 10–3 por oportunidade 1 × 10–2 por oportunidade
Fonte: Adaptado de CCPS (2001).
A definição da frequência tolerável para um dado cenário é feita com base na sua categoria de severidade. A severidade atribuída a cada cenário representa uma medida dos impactos da consequência às pessoas, ao meio ambiente e à instalação.
Para comunicar sua tolerância a qualquer cenário adverso dentro de um alcance específico de gravidade e probabilidade, algumas organizações desenvolvem uma matriz de risco, conforme exemplificado por Calixto (2013) no Quadro 3:
Quadro 3 - Exemplo de Matriz de Risco
Segurança Pessoal Instalações Meio Ambiente e Imagem Social
IV C a ta s tr ó fi c a
Lesões graves com mortes, possivelmente afetando pessoas no entorno
Danos severos a equipamentos e grande perda de produção
Dano ambiental catastrófico afetando a reputação da companhia
Alto impacto econômico na comunidade local, negócios, turismo e perda da qualidade de vida (entre US$101.000.000,00
a US$ 336.000.000,00 III C rí ti c a
Lesões graves , empregados com afastamento
Danos sérios a equipamentos com alto custo de reparo
Dano ambiental crítico de difícil recuperação com prejuízo a reputação da companhia
Impacto econômico na comunidade local, negócios, turismo e perda da qualidade de
vida (entre US$ 2.500.000,00 a U$101.000.000,00) II M a rg in a l
Lesões moderadas com atendimentos de primeiros socorros
Pequenos danos à equipamentos com pequeno custo de reparo
Pouco dano ambiental que pode ser recuperado com ações humanas com
impacto na reputação da companhia
Pouco impacto econômico na comunidade local, negócios, turismo e perda da qualidade de vida (até U$2.500.000,00)
I S e m e fe it o s
Lesões leves com atendimentos primários Danos muito pequnos a equipamentos com custos insignificantes
Dano ambiental insignificante que pode ser recuperado com ações humanas sem
impacto na reputação da companhia
Sem impacto econômico na comunidade local, negócios, turismo e perda da
qualidade de vida C a te g o ri a s d e S e v e ri d a d e Descrição da Severidade
Fonte: Adaptado de Calixto (2013).
Caso o risco calculado para um conjunto de camadas seja maior que o aceito no critério de tolerabilidade utilizado na organização, definem-se, através da aplicação da metodologia LOPA, camadas adicionais necessárias para a redução do risco até o limite tolerável.
Na Figura 1, encontram-se exemplos de equipamentos ou controles administrativos que atuam como camadas de proteção em processos industriais:
Figura 1 – Camadas de Proteção
Visando diminuir a frequência de consequências indesejadas e perigosas, os projetos típicos de processos químicos preveem a utilização de uma ou várias camadas de proteção (IPLs), como: projetos de processo inerentemente seguros; o sistema básico de controle do processo (BPCS); sistemas instrumentados de segurança (SIS); dispositivos passivos (como diques e muros); dispositivos ativos (como válvulas de alívio) e intervenção humana (CCPS, 2001).
A Tabela 3 contém exemplos de IPLs utilizadas para atingir a redução do risco até o limite tolerável e inclui valores ou faixas típicas de PFD para cada tipo de IPLs:
Tabela 3 – Valores típicos de PFDs para IPLs
IPL PFD
BPCS (se não estiver associado ao evento inicial considerado) 1 x 10-1
Resposta do operador ao alarme 1 x 10-1
Válvula de alívio (PSV) 1 x 10-2
Disco de ruptura 1 x 10-2
Retentor de chama (detonação ou deflagração) 1 x 10-2
Dique / Bacia de contenção 1 x 10-2
Sistema de drenagem subterrânea 1 x 10-2
Abertura de suspiro (sem válvula) 1 x 10-2
Proteção passiva contra fogo 1 x 10-2
Parede tipo “blast-wall” ou abrigo tipo “bunker” 1 x 10-3
(SIL 1) SIF que tipicamente consistem em sensor único, lógica
e elemento final 1 x 10
-1
a 1 x 10-2
(SIL 2) SIF que geralmente consiste em múltiplos sensores, lógica de múltiplos canais e múltiplos elementos finais (para tolerância a falhas)
1 x 10-2 a 1 x 10-3
(SIL 3) SIF que geralmente consiste em múltiplos sensores, lógica de múltiplos canais e múltiplos elementos finais. Requer design cuidadoso e testes de prova frequente
1 x 10-3 a 1 x 10-4
A utilização sistemática de dados tabelados de frequências de causas iniciadoras e PFDs para as IPLs simplifica e padroniza a aplicação da metodologia LOPA contudo pode levar, em alguns casos, a falta de análise crítica das particularidades que envolvem determinados cenários.
Young (2006) expõe críticas de empresas à utilização de somente valores tabelados para o levantamento de frequência de causas iniciadoras nas análises de risco. Uma de suas recomendações é a utilização de dados internos de eventos ou incidentes, além de outras fontes para a revisão periódica destes valores.
Nesta mesma linha, Wagner (2012) apresenta procedimentos de trabalho para revalidação de estudos de risco e vários fatores que devem ser considerados, entre eles a adequação e a qualidade dos dados de frequências e probabilidades de falhas utilizadas em uma análise de risco. Wagner (2012) defende a utilização de dados reais observados na planta em preferência a frequências e taxas genéricas para revalidação destas análises visto que estas últimas podem não contabilizar fatores ambientais ou condições específicas do processo.
2.2.3. Indicadores de Segurança de processo segundo a API-754
O objetivo principal da utilização de indicadores é proporcionar um meio de monitorização do desempenho e da eficiência em um sistema de gerenciamento de segurança de processos. As medições geram indicadores de tendência de desempenho que são cruciais para a capacidade de uma instalação determinar se os incidentes de segurança de processo são suscetíveis de ocorrer e alcançar uma melhoria contínua da segurança de processo (CCPS, 2014).
A seleção eficaz de indicadores é um desafio, particularmente os indicadores que visam identificar proativamente as deficiências do sistema de barreira de proteção que contribuem para eventos na segurança do processo.
A Prática Recomendada do American Petroleum Institute API 754 (2010) pode ser considerada um marco no que se refere a métricas de indicadores de segurança de processos. A norma aproveitou os conceitos e as lições aprendidas de publicações anteriores para estabelecer uma forma clara e objetiva para classificação de indicadores de processos (CABETE, 2014).
As métricas para Segurança de Processos Químicos, segundo CCPS (2011), são classificadas nas seguintes categorias:
Métricas “Reativas” – um conjunto retrospectivo de métricas que são baseadas em incidentes que se encontram no limiar da gravidade e que devem ser relatados como parte da métrica de segurança de processo em todas as indústrias.
“Atuações dos Sistemas de Segurança, Eventos de Quase Perdas” e outras Métricas Internas Reativas – a descrição de incidentes menos graves (isto é, abaixo do limiar para inclusão na métrica reativa industrial) ou condições inseguras que ativaram uma ou mais camadas de proteção. Embora esses eventos sejam eventos reais (isto é, métricas “reativas”), eles são geralmente considerados como bons indicadores de condições que possam levar a um incidente mais grave.
Métricas “Proativas” – um novo conjunto de métricas que indicam o desempenho dos principais processos de trabalho, disciplina operacional ou camadas de proteção que previnem incidentes.
A API 754 utiliza da pirâmide de segurança de processos para introduzir o conceito de níveis de classificação para eventos de segurança de processos (ESP). Esses níveis foram divididos conforme apresentado na Figura 2.
A pirâmide de segurança de processos representa dois conceitos-chave. Um deles é que os acidentes de segurança podem ser colocados em uma escala representando o nível de consequência, e o segundo é o de que vários incidentes precursores de menores consequências ocorrem antes de um acidente de maiores consequências. Os indicadores proativos, portanto, podem ser usados para identificar uma fraqueza que pode ser corrigida antes que ocorra um evento de maior consequência.
Figura 2 - Pirâmide de indicadores de segurança de processo
Fonte: Baseado em API RP 754 (API, 2010).
Nas plantas industriais, três tipos de entradas são identificados pela API 754 (2014) para serem usados em conjunto no auxílio à identificação das camadas críticas que são fracas ou sujeitas à rápida deterioração:
Identificação proativa de camadas ou processos críticos: faz uso do Processo de Análise de Riscos (PHA) e outras técnicas de avaliação de risco para identificar causas iniciadoras, consequências, probabilidades e camadas de prevenção e mitigação.
Identificação reativa de camadas ou processos críticos: faz uso de análise de causa raiz de investigações de incidentes para identificar pontos fracos ou a falta de camadas de proteção e mitigação ou procedimentos para prevenção de eventos em processos críticos. Auditorias internas ou externas regulares também podem contribuir para a identificação reativa de camadas críticas.
Identificação externa de camadas ou processos críticos: faz uso de experiência e informações em fontes externas, tais como a avaliações comparativas, apresentações em conferências e em publicações textuais, para identificar as boas práticas da indústria.
Selecionados, definidos e entendidos adequadamente, os indicadores podem dar a confiança de que os parâmetros corretos estão sendo gerenciados e monitorados. Isto exige o desenvolvimento do conhecimento e compreensão do controle de risco.
Os resultados desse processo de identificação, seleção e aplicação dos indicadores devem ser revistos periodicamente com grupos de lideranças selecionadas em vários níveis dentro da organização com a finalidade de traçar planos de melhoria em desenvolvimento, estabelecer metas e garantir recursos estratégicos apropriados. Para isso a API 754 (2010) sugere que a metodologia aplicada siga os cinco passos simplificados, conforme descrito abaixo:
Estabelecer sistemas para recolher sistematicamente dados de indicadores para análise;
Selecionar os dados para análises mais profundas e determinar a agregação adequada para tendências, incluindo a revisão da gestão; Analisar periodicamente os dados e resultados da revisão e realizar
recomendações para melhorias;
Comunicar as recomendações aos líderes e atribuir responsáveis para planos de ação específicos;
Fiscalizar a coleta de dados e processo de análise para oportunidades de melhoria.
Segundo a API 754 (2010), um indicador proativo de Nível 3 representa a detecção de vulnerabilidade do sistema de barreira de segurança de processo, mas que ainda não representa como consequência uma perda de contenção primária caracterizadas como Nível 1 ou 2, e nos fornece um mapeamento de onde os sistemas de gestão da segurança precisam ser reforçados.
Os indicadores proativos representam um evento real ou a descoberta de uma situação de alto risco potencial. Um grande número, ou uma tendência crescente desses eventos, poderia ser visto como um indicador de alto potencial para um evento ainda maior. Esses indicadores são relativamente fáceis de definir e identificar e muitos sistemas de controle de processo podem coletar estes dados automaticamente (CCPS ,2011).
Operadores e mantenedores podem muitas vezes responder diretamente e prontamente ao desvio identificado em um indicador proativo (por exemplo: parâmetros de processo acima de um limite seguro, reparo ou calibração de instrumentação ou equipamentos), enquanto a causa subjacente da vulnerabilidade detectada do sistema de segurança é analisada (API 754, 2010).
Recomenda-se que as empresas estabeleçam métodos internos para coletar, agregar e analisar dados de tendência de indicadores de eventos de segurança de processo Nível 3. Alguns desses indicadores são sugeridos e exemplificados na API 754 (2010):
Excursões de variáveis fora dos limites operacionais seguros;
Resultados de testes de inspeção de contenção primária fora dos limites aceitáveis;
Demandas dos sistemas de segurança;
Outros eventos de perda de contenção primária (LOPC) não classificados como Nível 1 ou 2.
De acordo com os objetivos desta pesquisa, estamos particularmente interessados no que se refere às demandas dos sistemas de segurança projetados para prevenir ou mitigar as consequências de eventos de LOPC.
Um evento de segurança de processo (PSE) Nível 3 pode ser contado para cada demanda do sistema de segurança quando ocorrer:
Ativação do SIS;
Ativação de um sistema de parada mecânica;
Ativação de um dispositivo de alívio de pressão (PSV) não computado como evento Nível 1 ou 2.
Uma demanda resultante de ativação intencional do sistema de segurança durante o período de testes do equipamento, ou ativação manual como parte de um processo normal de parada da unidade, não deve ser computada como um evento Nível 3.
A contagem de demandas de um Sistema de Segurança é tipicamente segregada por tipo (SIS, PSV, parada mecânica). Algumas companhias consideram a taxa de demandas por tipo de sistema de segurança como um indicador mais útil que uma simples contagem.
A comparação da quantidade de demandas com as taxas projetadas e documentadas através de análise de riscos é uma das contribuições pretendida com o presente trabalho e requer um trabalho organizado de coleta e tratamento dos dados de diversos sistemas ligados a segurança de processos.
2.2.4. Resiliência
Nos processos industriais, especificamente processos químicos, a resiliência pode ser definida como a capacidade de minimizar danos e obter um rápido retorno ao estado normal após eventos adversos (DINH, 2012).
Quanto mais resiliente for um processo industrial, menor será a consequência e mais rápida a sua recuperação frente a um evento adverso, como resultado, os riscos para a segurança pessoal, meio ambiente e materiais (que envolve o produto: frequência de evento iniciador e consequência) são minimizados.
Segundo Dinh (2012), a resiliência pode ser vista como uma espécie de defesa frontal e proativa no processo. Ela se esforça para controlar uma situação adversa, minimizando a probabilidade de falha, consequência, e tempo de recuperação e restauração. Para alcançar a resiliência nos processos, os seguintes princípios
