Método para análise de riscos e especificação de requisitos de segurança em processos industriais com múltiplos modos de operação

(1)

PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA DE AUTOMAÇÃO E SISTEMAS

Guilhermo Keiji Saito

Método para Análise de Riscos e Especificação de Requisitos de Segurança em Processos Industriais com Múltiplos Modos de Operação

Florianópolis 2019

(2)

Dissertação submetida ao Programa de Pós-Graduação em Engenharia de Automação e Sistemas da Universidade Federal de Santa Catarina para a obtenção do título de mestre em Engenharia de Automação e Sistemas pelo Programa de Pós-Graduação em Engenharia de Automação e Sistemas.

Orientador: Prof. Max Hering de Queiroz, Dr. Coorientador: Prof. Rodrigo Tacla Saad, Dr.

Florianópolis 2019

(3)

Saito, Guilhermo Keiji

Método para Análise de Riscos e Especificação de Requisitos de Segurança em Processos Industriais com Múltiplos Modos de Operação / Guilhermo Keiji Saito ; orientador, Max Hering de Queiroz, coorientador, Rodrigo Tacla Saad, 2019.

121 p.

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Engenharia de Automação e Sistemas, Florianópolis, 2019. Inclui referências.

1. Engenharia de Automação e Sistemas. 2. Sistema Instrumentado de Segurança. 3. Análise de Riscos. 4.

Especificação de Requisitos de Segurança. 5. Múltiplos modos de operação. I. Queiroz, Max Hering de. II. Saad, Rodrigo Tacla. III. Universidade Federal de Santa Catarina. Programa de Pós-Graduação em Engenharia de Automação e Sistemas. IV. Título.

(4)

O presente trabalho em nível de mestrado foi avaliado e aprovado por banca examinadora composta pelos seguintes membros:

Prof. Max Hering de Queiroz, Dr. Universidade Federal de Santa Catarina

Eng. Marcelo Lopes de Lima, Dr. CENPES – Petrobras

Prof. Jean-Marie Farines, Dr. Universidade Federal de Santa Catarina

Prof. Daniel Juan Pagano, Dr. Universidade Federal de Santa Catarina

Prof. Fabio Luis Baldissera, Dr. Universidade Federal de Santa Catarina

Certificamos que esta é a versão original e final do trabalho de conclusão que foi julgado adequado para obtenção do título de mestre em Engenharia de Automação e Sistemas pelo Programa de Pós-Graduação em Engenharia de Automação e Sistemas.

Prof. Werner Kraus Junior, Dr. Coordenador do Programa

Prof. Max Hering de Queiroz, Dr. Orientador

Florianópolis, 12 de agosto de 2019. Assinado de forma digital por Max Hering de Queiroz:91255007915

Dados: 2019.08.29 11:44:11 -03'00'

Werner Kraus

Junior:53108523953

Assinado de forma digital por Werner Kraus Junior:53108523953 Dados: 2019.08.29 17:23:26 -03'00'

(5)

(6)

Agradeço primeiramente à minha família pelo eterno apoio, em especial aos meus pais que, mesmo à distância, me proveram suporte emocional e financeiro para que eu chegasse até esta etapa da minha vida.

Aos meus amigos, pelos agradáveis momentos de descontração que passamos juntos e pelas ótimas conversas e reflexões.

Aos meus orientadores Prof. Max Hering de Queiroz e Rodrigo Tacla Saad, pelos ensinamentos, pela oportunidade e pela paciência e disponibilidade para discussão de ideias que muito contribuíram para a realização deste trabalho.

À Universidade Federal de Santa Catarina, aos colegas de curso e à toda equipe do Programa de Pós-Graduação em Engenharia de Automação e Sistemas (PPGEAS).

Agradeço também à Petrobras pelo apoio financeiro que permitiu que eu me dedicasse exclusivamente ao mestrado.

(7)

Sistemas Instrumentados de Segurança (SIS) são responsáveis pela segurança de processos industriais identificando situações de risco e atuando automaticamente para conduzir a planta a um estado seguro. Apesar de que grande parte dos acidentes na in-dústria de processos ocorram durante operações transitórias, como Startup, Shutdown e transições entre modos de operação, as normas para análise de risco e especifica-ção de SIS geralmente baseiam-se apenas num único estado de operaespecifica-ção em regime permanente. Nesse contexto, fundamentado por trabalhos encontrados na literatura, este trabalho propõe um método para análise de riscos e especificação de SIS que considera o modelo dinâmico de estados discretos de processos com múltiplos mo-dos de operação. Este modelo é composto pela combinação de Grafo de Estamo-dos e Grafcet que especificam, respectivamente, a dinâmica de transição entre os modos e os procedimentos de operações transitórias. Com base neste modelo, propôs-se uma abordagem sistemática da técnica HAZOP para a identificação de riscos provocados por desvios de variáveis de processo de cada modo de operação da planta e da téc-nica What-if para avaliação de riscos presentes nas operações transitórias. A partir dos cenários de risco descobertos por essa abordagem, são determinadas Funções Instrumentadas de Segurança (SIFs) que, conforme o método proposto neste trabalho, são especificadas em Matrizes Causa e Efeito (MCEs) específicas para cada modo de operação do processo. Para ilustração e avaliação do método proposto, foi realizado uma aplicação na Unidade de Experimentação de Escoamento Multifásico (UEEM) do DAS-UFSC. Os resultados do estudo de caso indicam que, por meio de uma aborda-gem estruturada, sistemática e objetiva, o método permite a identificação de riscos e especificações claras de funções de segurança para todos os modos de operação do processo.

Palavras-chave: Indústria de Processos. Sistemas Instrumentados de Segurança.

Análise de riscos. Especificação de requisitos de segurança. Múltiplos modos de ope-ração.

(8)

Safety Instrumented Systems (SIS) are responsible for the safety of industrial pro-cesses by identifying risk situations and acting automatically to lead the plant to a safe state. Despite most accidents in the process industry occur during transient operations such as Startup, Shutdown and transitions between modes of operation, the standards for risk analysis and SIS specification are generally based on only one steady state operation . In this context, based on studies found in the literature, this work proposes a method for risk analysis and SIS requirement specification that considers the dynamic model of discrete states of processes with multiple modes of operation. This model is composed by the combination of State Graph and Grafcet that respectively specify the transition dynamics between modes and transient operations procedures. Based on this model, a systematic approach was proposed for the HAZOP technique to identify risks caused by deviations of process variables from each mode of operation of the plant and the What-if technique to evaluate risks in the transient operations. Based on the risk scenarios discovered by this approach, Safety Instrumented Functions (SIFs) are determined and, according to the method proposed in this work, they are specified in Cause and Effect Matrices (CEMs) specific to each mode of operation of the pro-cess. To illustrate and evaluate its features, the proposed method was applied to the DAS-UFSC Experimentation Unit of Multiphase Flow (UEEM). The results of the case study indicate that — through a structured, systematic and objective approach — the method allows the identification of risks and clear specifications of safety functions for all operation modes of the process.

Keywords: Process Industries. Safety Instrumented Systems. Risk analysis. Safety

(9)

Figura 1 – Risco = Probabilidade x Severidade. . . 19

Figura 2 – Camadas de proteção de um processo. . . 20

Figura 3 – SIS x BPCS. . . 21

Figura 4 – Composição de SIFs. . . 22

Figura 5 – Proteção ideal e real. . . 23

Figura 6 – Normas baseadas na IEC 61508. . . 24

Figura 7 – Ciclo de vida de segurança do SIS. . . 26

Figura 8 – Representação gráfica da redução de risco. . . 31

Figura 9 – Fluxograma do procedimento LOPA. . . 32

Figura 10 – Folha de dados de uma SIF. . . 36

Figura 11 – Matriz causa e efeito. . . 37

Figura 12 – Causas de acidentes por fase de projeto. . . 39

Figura 13 – Visão geral do método proposto . . . 47

Figura 14 – Representação dos modos de operação no Grafo de Estados . . . . 48

Figura 15 – Elementos do Grafcet . . . 49

Figura 16 – Combinação do Grafo de Estados com o Grafcet. . . 49

Figura 17 – Análise de riscos . . . 50

Figura 18 – Fluxogramas do método de análise de riscos prosposto. . . 51

Figura 19 – Resultado da análise de riscos. . . 53

Figura 20 – Categorização das SIFs. . . 54

Figura 21 – Especificação das SIFs em Matrizes causa e efeito. . . 55

Figura 22 – Projeto tridimensional da unidade. . . 58

Figura 23 – Diagrama P&ID da UEEM. . . 59

Figura 24 – Modelo da dinâmica de estados discretos da UEEM (somente opera-ções com escoamento que envolvem água). . . 62

Figura 25 – Grafcet do estado transitório Transição P-A . . . 64

Figura 26 – Divisão do diagrama P&ID em nós. . . 65

Figura 27 – Redução de risco. . . 69

Figura 28 – MCEs resultantes de cada estado. . . 70

Figura 29 – SIF-1 especificado na MCE do estado “Transição P-A”. . . 71

Figura 30 – Diagrama P&ID da UEEM com o SIS. . . 73

Figura 31 – Elementos do Grafcet . . . 80

Figura 32 – Grafo de estados de todos os modos de operação da UEEM. . . 81

Figura 33 – Diagrama Grafcet do estado transitório "Inicialização". . . 82

Figura 34 – Diagrama Grafcet do estado transitório "Parada". . . 83

Figura 35 – Diagrama Grafcet do estado transitório "Transição P-A". . . 84

(10)

Figura 39 – MCE do estado "Parado". . . 114

Figura 40 – MCE do estado "Pronto". . . 115

Figura 41 – MCE do estado "Transição P-A". . . 116

Figura 42 – MCE do estado "Água". . . 117

Figura 43 – MCE do estado "Transição A-AG". . . 118

Figura 44 – MCE do estado "Transição AG-A". . . 119

Figura 45 – MCE do estado "Água+gás". . . 120

(11)

Quadro 1 – Palavras-guia do HAZOP. . . 30

Quadro 2 – Modelo de planilha HAZOP. . . 30

Quadro 3 – Matriz de risco. . . 33

Quadro 4 – Categorias de risco. . . 34

Quadro 5 – Simbologia de operadores lógicos utilizada na MCE. . . 38

Quadro 6 – Palavras guia para TOH. . . 42

Quadro 7 – Palavras-guia do HAZOP de 7-8 palavras-guias. . . 43

Quadro 8 – Palavras-guia do HAZOP de 2 palavras-guia. . . 44

Quadro 9 – Tabela What-if . . . 52

Quadro 10 – Perguntas do What-if . . . 52

Quadro 11 – Descrição dos modos de escoamento. . . 60

Quadro 12 – Caracterização dos estados do Grafo. . . 63

Quadro 13 – Exemplo de cenário de risco do HAZOP. . . 66

Quadro 14 – Tabela What-if . . . 66

Quadro 15 – Planilha da análise LOPA. . . 67

Quadro 16 – Diagrama de Risco para a UEEM. . . 68

Quadro 17 – Classificação das SIFs. . . 69

(12)

Tabela 1 – Níveis de Integridade de Segurança. Fonte: norma IEC 61508. . . . 22 Tabela 2 – Parâmetros comuns do processo analisados pelo HAZOP. . . 29 Tabela 3 – Frequência tolerável. . . 34

(13)

SIS Sistema Instrumentado de Segurança PHA Process Hazard Analysis

UEEM Unidade de Experimentação de Escoamentos Multifásicos BPCS Basic Process Control System

SIF Safety Instrumented Function SIL Safety Integrity Level

RRF Risk Reduction Factor

PFD Probabilidade de Falha em Demanda HAZOP HAzard and Operability Study

P&ID Piping and Instrumentation Diagram LOPA Layers of Protection Analysis

FTOL _{Frequência Tolerável}

ICF Initiating Cause Frequency IPL Independent Protection Layer FC _{Frequência da Consequência}

SRS Safety Requirements Specification MCE Matriz Causa e Efeito

CCPS Center for Chemical Process Safety HSE Health and Safety Executive

TOH Transient Operation HAZOP

Grafcet GRAphe Fonctionnel de Commande Etape/Transition LEEM Laboratório Experimental de Escoamento Multifásico

(14)

1 INTRODUÇÃO . . . . 15

1.1 MOTIVAÇÃO . . . 16

1.2 OBJETIVOS . . . 17

1.3 ESTRUTURA DA DISSERTAÇÃO . . . 18

2 SEGURANÇA NA INDÚSTRIA DE PROCESSOS . . . . 19

2.1 CONCEITOS BÁSICOS RELATIVOS À SEGURANÇA DE PROCES-SOS . . . 19

2.2 NORMAS DE SEGURANÇA FUNCIONAL . . . 23

2.2.1 Norma IEC 61508 . . . . 23

2.2.2 Norma IEC 61511 . . . . 24

2.3 CICLO DE VIDA DE SEGURANÇA PARA SIS . . . 25

2.3.1 Análise . . . . 25

2.3.2 Implementação . . . . 27

2.3.3 Operação . . . . 27

2.3.4 Atividades permanentes no ciclo . . . . 28

2.4 ABORDAGEM TÍPICA PARA A FASE DE ANÁLISE . . . 28

2.4.1 Análise de riscos . . . . 29

2.4.2 Alocação das funções de segurança nas camadas de proteção . 30 2.4.3 Especificação dos requisitos de segurança do SIS . . . . 35

2.5 CONCLUSÃO DO CAPÍTULO . . . 37

3 SEGURANÇA EM PROCESSOS COM MÚLTIPLOS MODOS DE OPERAÇÃO . . . . 39

3.1 PROBLEMAS RELACIONADOS À ANALISE DE RISCOS EM OPE-RAÇÕES TRANSITÓRIAS . . . 39

3.2 TRABALHOS RELACIONADOS . . . 41

3.3 DISCUSSÃO . . . 44

4 MÉTODO DE ANÁLISE DE RISCOS E ESPECIFICAÇÃO DE REQUISITOS DE SEGURANÇA PARA PROCESSOS COM MÚLTI-PLOS MODOS DE OPERAÇÃO . . . . 46

4.1 VISÃO GERAL . . . 46

4.2 MODELAGEM . . . 47

4.3 ANÁLISE DE RISCOS . . . 50

4.4 ALOCAÇÃO DAS FUNÇÕES DE SEGURANÇA . . . 53

4.5 ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA . . . 54

5 ESTUDO DE CASO: UNIDADE DE EXPERIMENTAÇÃO DE ESCO-AMENTOS MULTIFÁSICOS . . . . 57

(15)

5.1.1 Estrutura física . . . . 57

5.1.2 Modos de escoamento da Unidade . . . . 57

5.1.3 Segurança da Unidade . . . . 60

5.2 MODELAGEM . . . 61

5.3 ANÁLISE DE RISCO . . . 64

5.4 ALOCAÇÃO DAS FUNÇÕES DE SEGURANÇA NAS CAMADAS DE PROTEÇÃO . . . 66

5.5 ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DO SIS . . 70

6 CONCLUSÃO . . . . 74

REFERÊNCIAS . . . . 77

APÊNDICE A – ELEMENTOS DO GRAFCET . . . . 80

APÊNDICE B – GRAFO DE ESTADOS . . . . 81

APÊNDICE C – DIAGRAMAS GRAFCET . . . . 82

APÊNDICE D – PLANILHAS HAZOP . . . . 88

APÊNDICE E – PLANILHAS WHAT-IF . . . 100

APÊNDICE F – PLANILHAS LOPA . . . 102

APÊNDICE G – FOLHA DE DADOS DAS SIFS . . . 105

(16)

1 INTRODUÇÃO

A indústria de processos — que engloba setores como o químico, petroquímico e o de petróleo e gás — caracteriza-se por uma atividade industrial que envolve o uso, armazenamento, produção, manuseio e movimentação de produtos químicos em seus processos produtivos. Muitos desses produtos são substâncias perigosas que muitas vezes são submetidas a condições que podem causar incidentes perigosos com significativos prejuízos patrimoniais, ambientais e também à vida humana.

Logo, há uma grande preocupação em relação à segurança neste setor da indústria e, em razão disso, as suas instalações contam com múltiplas camadas in-dependentes de proteção e elas atuam tanto na prevenção quanto na mitigação de acidentes (RAUSAND, Marvin, 2014). Nesse contexto, o Sistema Instrumentado de Segurança (SIS) configura-se como a última barreira de prevenção de acidentes e tem o propósito de levar o processo a uma condição segura de operação mediante uma situação de risco. Trata-se de um sistema autônomo dormente, composto por sensores, atuadores e solucionadores lógicos, cuja responsabilidade consiste em levar a planta a um estado seguro sempre que for detectada alguma situação de risco no processo (LUNDTEIGEN, 2008).

No entanto, nenhum sistema é totalmente imune à falha e caso o SIS seja inca-paz de realizar uma determinada ação prevista, graves acidentes podem ser causados às pessoas, ao meio ambiente e aos equipamentos da própria planta (GRUHN; CHED-DIE, 2006). Portanto, o desenvolvimento destes sistemas requer um elevado grau de atenção, uma vez que lida com requisitos rigorosos, que podem incluir restrições temporais, de segurança e de confiabilidade (PRATI, 2014).

Para tanto, a norma IEC 61511 (IEC 61511, 2003) define requisitos básicos para projeto e operação do SIS com o estabelecimento de um ciclo de vida de segu-rança. Este ciclo consiste em um processo de engenharia que inclui todas as etapas necessárias para alcançar a segurança funcional requerida para o SIS de uma planta industrial.

Uma importante etapa do ciclo é a de análise de riscos, pois nela são identifica-dos cenários e situações de riscos que podem resultar em acidentes e, a partir dela, são definidas as especificações dos requisitos de segurança do SIS. Especificamente, a análise de risco é usada para identificar pontos fracos no projeto e operação das ins-talações que podem levar a liberações, incêndios ou explosões de materiais perigosos. Esses estudos fornecem informações às organizações para ajudá-las a melhorar a segurança e gerenciar o risco de suas operações (NOLAN, 2015). Ao longo do tempo, diversas técnicas qualitativas e quantitativas de análise foram desenvolvidas com esse objetivo e são comumente conhecidas como PHAs (Process Hazard Analysis).

(17)

1.1 MOTIVAÇÃO

Vários aspectos motivam a realização deste trabalho. De maneira geral, o es-tudo de problemas associados a concepção de sistemas de segurança industriais é de grande importância, uma vez que preocupações acerca de fatores como a de se-gurança de pessoal, proteção das instalações e do meio ambiente têm influenciado de forma cada vez mais significativa a exigência de maior qualidade e confiabilidade destes sistemas. Além disso, há também vantagens econômicas de um sistema seguro e confiável, que incluem menores perdas de produção, redução de custos com seguros e redução dos gastos com manutenção.

Mais especificamente, a motivação deste trabalho está baseada na necessidade de aperfeiçoamento do processo de análise de riscos e especificação de requisitos de segurança do SIS visto que, apesar do constante avanço tecnológico e a crescente preocupação com a segurança de processos industriais, a história mostra diversos casos de acidentes que, infelizmente, resultaram em tragédias muitas vezes causados por falhas nos sistemas de segurança.

A Agência Governamental de Saúde e Segurança do Reino Unido - U.K. Health and Safety Executive (2003), publicou um estudo no qual foram examinados 34 aci-dentes que resultaram diretamente de falhas no controle dos sistemas de segurança. A partir deste estudo foi constatado que a maior parte dos acidentes (44%) deveu-se a especificações incorretas ou incompletas. O estudo conclui que as especificações inadequadas são devidas principalmente a uma pobre análise de riscos do processo e também por falhas em avaliar-se os modos previsíveis de falha do sistema de controle.

Outra questão relevante que estimula a realização do presente trabalho consiste no histórico de elevado número de acidentes que ocorrem durante operações transitó-rias do processo, ou seja, operações como startup, shutdown e transições do processo. Segundo Duguid (1998), uma típica refinaria ou instalação petroquímica gasta menos de 10% do seu tempo em operações transitórias, no entanto, mais de 50% dos inci-dentes de segurança do processo ocorrem durante essas etapas. Já Bridges e Clark (2011) realizaram uma compilação de 47 dos principais acidentes de segurança de pro-cesso de 1987 a 2010 que revelou que 66% dos casos ocorreram durante operações transientes.

Um desses casos foi um grave acidente ocorrido em março de 2005 em uma refinaria da British Petroleum(BP) onde 15 pessoas morreram, 180 ficaram feridas e houve uma perda financeira de mais de 1,5 bilhão de dólares. Conforme o relatório da Junta de Investigação de Segurança e Riscos Químicos dos EUA — U.S. Chemical Safety and Hazard Investigation Board (2007), o acidente se deu após uma série de explosões causadas pela ignição de uma nuvem de vapor de hidrocarbonetos durante a repartida de uma unidade de isomerização. O relatório da investigação do acidente apontou que deficiências organizacionais e de segurança em todos os níveis

(18)

organizacionais da BP contribuíram para a explosão da refinaria e uma delas estava em torno do sistema de segurança na partida da unidade.

Segundo Bridges e Clark (2011), a maioria dos PHAs não analisam detalha-damente os erros que podem ocorrer durante esses modos de operação e muitas vezes focam somente em operações estáveis do processo. As práticas atuais do PHA geralmente dão pouca atenção a outras fases da operação ou até as ignoram comple-tamente (BAYBUTT, 2012). De acordo com Bridges e Marshall (2016), essa fraqueza foi identificada há 25 anos e ainda existe na maioria dos PHAs ao redor do mundo. Com isso, muitas companhias têm tomado iniciativas para resolver este problema e melhorar o foco de PHA de procedimentos não rotineiros, o que tem gerado um au-mento da pressão regulatória para que a indústria execute uma análise de riscos que abranja todos os modos de operação (BRIDGES; CLARK, 2011).

1.2 OBJETIVOS

Tendo em vista a motivação apresentada, o objetivo do presente trabalho con-siste em propor um método de análise de riscos e especificação de SIS baseado na dinâmica de estados discretos do processo, que considera não somente as opera-ções estáveis (i.e., operação em regime permanente) de uma planta, mas também as operações transitórias como startup, shutdown e transições do processo. O intuito do método é proporcionar uma análise de risco detalhada dos diferentes modos de operação de processos, a fim de se obter especificações de funções de segurança do SIS adequadas para cada modo. Mais especificamente, para se atingir tal objetivo pretende-se:

• Sistematizar o problema relacionado às deficiências do processo de análise de riscos e especificação de SIS em modos de operações transitórias baseando-se em trabalhos encontrados na literatura e também na indústria;

• Apresentar padrão de modelagem da dinâmica de estados discretos de um pro-cesso a fim de se obter um modelo para ser utilizado na condução da análise de riscos e especificações dos requisitos de segurança;

• Elaborar método para realizar de forma sistemática a análise de riscos tendo como base o modelo de estados discretos do processo com intuito de obter especificações de segurança para cada modo de operação de um processo; • Ilustrar o método proposto utilizando como estudo de caso a Unidade de

(19)

1.3 ESTRUTURA DA DISSERTAÇÃO

Este trabalho está dividido em seis capítulos. Na sequência deste capítulo intro-dutório, no capítulo 2 são apresentados conceitos básicos referentes à segurança na indústria de processos, com um destaque especial ao SIS e as principais normas a serem cumpridas para garantir a sua qualidade e confiabilidade.

No capítulo 3, inicialmente é realizado um estudo bibliográfico com o objetivo de apontar os principais problemas relativos à segurança de processos com múltiplos mo-dos de operação e, em seguida, são apresentamo-dos trabalhos encontramo-dos na literatura que propõem métodos para análise de riscos em operações transitórias de processos.

No capítulo 4 é apresentado a proposta de método para análise de risco e especificação de requisitos de segurança de SIS que abrange os múltiplos modos de operação de processos industriais.

No capítulo 5, é realizado um estudo de caso no qual o método proposto é aplicado em um processo real com o intuito de elucidar os principais aspectos do método.

Por fim, no último capítulo são apresentadas as conclusões obtidas com o desenvolvimento deste trabalho, bem como suas contribuições, limitações e possíveis trabalhos futuros.

(20)

2 SEGURANÇA NA INDÚSTRIA DE PROCESSOS

O objetivo deste capítulo consiste em introduzir ao leitor conceitos relativos a sistemas de segurança aplicados em processos industriais. Primeiramente são apre-sentadas definições de alguns desses conceitos básicos e também formas de se garantir a segurança de processos. Além disso, são apresentados também normas adotadas na indústria, que fornecem regras para a adoção de boas práticas de projeto, instalação, operação e manutenção de Sistemas Instrumentados de Segurança.

2.1 CONCEITOS BÁSICOS RELATIVOS À SEGURANÇA DE PROCESSOS

Os principais riscos presentes na indústria de processos surgem da liberação de materiais que podem ser inerentemente perigosos (por exemplo, inflamáveis ou tóxicos) e/ou que são submetidos a alta pressão e/ou temperaturas (KING, 2016). Logo, com intuito de evitar situações perigosas, as instalações de um processo devem ser projetadas visando a sua segurança. Segurança, por sua vez, é definida como um estado no qual o risco foi reduzido e mantido a um nível tolerável. Em outras palavras, é uma condição livre de riscos inaceitáveis de danos à saúde de pessoas, ao meio ambiente e ao patrimônio (RAUSAND, Marvin, 2014).

Já a definição básica de risco, segundo M. Rausand (2011), é uma função da probabilidade de um evento perigoso ocorrer e da gravidade das consequências causadas pelo evento, conforme representada pelo gráfico da Figura 1. Trata-se da frequência com que um evento pode acontecer e o quão grave é quando ele acontece, podendo ser avaliado qualitativa ou quantitativamente.

Figura 1 – Risco = Probabilidade x Severidade. Severidade da

Consequência

Probabilidade de ocorrência

Baixa Média Alta

Pequena Moderada Grande

(21)

(22)

Figura 3 – SIS x BPCS. Tanque de armazenamento Tanque reator LT PT SIS BPCS Bomba Dispositivos lógicos Sensores Atuadores Fonte: o autor.

trata-se de um sistema automático considerado dormente, isto é, ele monitora conti-nuamente o processo e atua somente quando há uma situação de perigo que não foi extinguida pelas camadas de proteção anteriores a ele (GRUHN; CHEDDIE, 2006).

As funções de controle específicas executadas por um SIS são chamadas de Funções Instrumentadas de Segurança (SIF - Safety Instrumented Function). Elas são implementadas como parte de uma estratégia geral de redução de riscos que visa eliminar a probabilidade da ocorrência de um evento indesejado previamente identifi-cado, que pode variar de danos menores a equipamentos até um evento envolvendo uma liberação catastrófica descontrolada de energia e/ou materiais. Essas funções executam ações que vão desde o acionamento de uma válvula até a parada total de uma planta. O SIS pode implementar uma ou mais SIFs e cada SIF é composta pelo conjunto de sensor(es), dispositivo(s) lógico(s) e atuador(es) como mostra a Figura 4. Além disso, toda SIF deve possuir um Nível de Integridade de Segurança (SIL -Safety Integrity Level), que é definido como um nível relativo de redução de risco fornecida por uma SIF, ou seja, trata-se de uma medida quantitativa de performance que estabelece efetividade da função de segurança. Trata-se de uma representação estatística da integridade do SIS e é definida em termos do fator de redução de risco (RRF - Risk Reduction Factor) que, por sua vez, é o inverso da Probabilidade de Falha em Demanda (PFD)Probabilidade de Falha em Demanda. PFD é a probabilidade

(23)

Figura 4 – Composição de SIFs.

Sensor 2 Sensor 1

Dispositivo lógico Atuador 1

Atuador2

SIF #1

SIF #2

Fonte: o autor.

de um SIF não executar a função de segurança pretendida diante de uma condição potencialmente perigosa em um período de um ano, ou seja, trata-se da frequência de falhas perigosas por ano. A norma IEC 61508 define 4 níveis de SIL que vão de 1 a 4, onde SIL 1 é o nível mais baixo (menos confiável) e SIL 4 é o mais alto (mais confiável), como mostra a Tabela 1.

Tabela 1 – Níveis de Integridade de Segurança. Fonte: norma IEC 61508. Nível de Integridade de Segurança (SIL) Fator de Redução de Risco (RRF) Probabilidade de Falha em Demanda (PFD) 4 >10, 000 a ≤ 100, 000 ≥10−5 a < 10−4 3 >1000 a ≤ 10, 000 ≥10−4 a < 10−3 2 >100 a ≤ 1000 ≥10−3 a < 10−2 1 >10 a ≤ 100 ≥10−2 a < 10−1 Fonte: IEC 61508 (2003)

Teoricamente, as camadas de proteção não deveriam permitir que uma situa-ção de risco perpetue-se para as camadas seguintes – como mostrado na Figura 5. Entretanto, cada camada tem fraquezas e imperfeições muitas vezes causadas por fa-lhas de gerenciamento, engenharia, operações, manutenção e outros erros (REASON, 1997). Assim, um evento perigoso pode evoluir para um acidente caso o SIS falhe e não execute uma determinada ação prevista.

Para assegurar que o SIS atue quando demandado ou que, caso falhe, o faça de maneira previsível, deve-se garantir a sua segurança funcional. Segurança funcional é uma parte da segurança geral responsável pelo correto funcionamento de um sis-tema ou equipamento de segurança em resposta a suas entradas (SMITH; SIMPSON,

(24)

(25)

(26)

de Segurança, de forma a garantir a sua confiabilidade para levar e/ou manter o pro-cesso a um estado seguro. Para isso, a norma utiliza o conceito de Ciclo de Vida de Segurança, que consiste em várias etapas que precisam ser seguidas para garantir a segurança funcional do SIS.

2.3 CICLO DE VIDA DE SEGURANÇA PARA SIS

O Ciclo de Vida de Segurança da norma IEC 61511 é definido como um pro-cesso de engenharia com o objetivo específico e garantir que um SIS seja efetivo e que permita a redução de níveis de riscos a um nível aceitável durante todo o tempo de vida do sistema.

Ele engloba todas as atividades necessárias exigidas durante a implementação de todas as funções instrumentadas de segurança de um SIS, desde a concepção do projeto até o seu descomissionamento, quando todas as funções instrumentadas de segurança não estiverem mais disponíveis para uso. Conforme apresentado na Figura 7, o ciclo é dividido em 3 fases principais – Análise, Implementação e Operação, e cada fase conta com etapas na qual são realizadas atividades específicas para garantir a segurança funcional do SIS.

2.3.1 Análise

I. Análise de riscos: A primeira etapa descrita na norma consiste em desenvolver uma compreensão dos perigos e riscos associados ao processo. A análise de risco e perigos tem como objetivo identificar os perigos e eventos perigosos do processo e equipamentos associados. Existem inúmeras técnicas que podem ser usadas, como por exemplo, HAZOP, What-If, Árvore de Falhas, Checklist, etc. A realização da análise de risco requer uma equipe multidisciplinar com especialistas em diversas áreas, como especialistas em segurança, operações, manutenção, processo, projeto mecânico, elétrico etc.

II. Alocação de funções de segurança: O objetivo desta etapa é, além de alocar funções de segurança para as camadas de proteção, analisar os riscos identifi-cados na etapa anterior a fim de determinar se serão necessários SIFs para a redução de um determinado risco e, em caso afirmativo, o SIL exigido para cada SIF.

III. Especificação dos requisitos de segurança: Trata-se de uma etapa de docu-mentação, na qual são especificados os requisitos de segurança de todas as SIFs necessárias para o SIS e seus respectivos SILs, a fim de alcançar a segurança funcional necessária. As especificações de requisitos de segurança consistem em duas partes: as especificações de requisitos funcionais e as especificações

(27)

(28)

de requisitos de integridade, tanto para o software quanto para o hardware. Re-quisitos funcionais descrevem as entradas, saídas e as lógicas do sistema, isto é, define “o que” cada função de segurança deve fazer e “como” deve fazer. Já os requisitos de integridade define a capacidade ou o desempenho de cada função de segurança.

2.3.2 Implementação

I. Projeto e engenharia do SIS: Esta etapa visa projetar o SIS em conformidade com os requisitos de segurança especificados para o SIS, isto é, um ou vários SIS são projetados e desenvolvidos para fornecer as SIFs de forma a atender aos SILs de cada uma das funções de segurança. Para isso, são realizadas atividades como o projeto conceitual e detalhado do SIS que, por sua vez, inclui o projeto de hardware e do software do sistema. Além disso, a etapa envolve também o planejamento de testes de aceitação de fábrica e testes de integração do SIS.

II. Instalação, comissionamento e validação: Esta etapa consiste em garantir que o SIS seja instalado e inicializado de acordo com os requisitos de projeto e que atue de acordo com a especificação de requisitos de segurança. Todo o sistema deve ser testado juntamente com os dispositivos de campo. Deve haver documentos detalhados de instalação, comissionamento e testes descrevendo cada procedimento a ser executado. Os documentos de checagens devem ser assinados por escrito, documentando que toda e qualquer função foi verificada e passou satisfatoriamente em todos os testes.

2.3.3 Operação

I. Operação e manutenção: A fase de operação e manutenção garante que o SIL necessário de cada SIF seja mantido e a segurança funcional do SIS seja mantida. Para isso o SIS deve ser testado e a sua manutenção deve ocorrer periodicamente. Isso é necessário para garantir que o sistema responda adequa-damente a uma demanda real. A frequência de inspeção e teste é determinada nas etapas anteriores do ciclo de vida e todos os testes devem ser documenta-dos. Isso permitirá que uma auditoria determine se as suposições iniciais feitas durante o projeto (por exemplo, taxas de falha, modos de falha, intervalos de teste, etc.) são válidas com base na operação real.

II. Modificação: À medida que as condições do processo mudam, pode haver a necessidade de fazer modificações no sistema de segurança. Todas as alterações propostas para o SIS exigem o retorno à fase apropriada do ciclo de vida, a fim de revisar o impacto da mudança. Uma mudança que pode ser considerada menor

(29)

por um indivíduo pode ter um grande impacto no processo geral. Isso só pode ser determinado se a alteração for documentada e totalmente revisada por uma equipe qualificada. A retrospectiva mostrou que muitos acidentes foram causados por essa falta de revisão. As alterações feitas devem ser testadas exaustivamente. III. Descomissionamento: O descomissionamento do SIS requer uma revisão ade-quada e deve ser realizada com as aprovações necessárias para garantir que a remoção do sistema não tenha impacto no processo ou em qualquer outra unidade circundante. Durante as atividades de desativação, os SIFs necessários devem permanecer operacionais.

2.3.4 Atividades permanentes no ciclo

Além das 3 fases principais, o ciclo possui atividades que são praticadas durante todo o ciclo de vida de segurança do SIS e são representadas pelas caixas verticais altas da Figura 7. São elas:

Gerenciamento da segurança funcional: Para garantir que todas as etapas do ciclo

de vida de segurança sejam devidamente abordadas e para investigar e chegar a um julgamento sobre a segurança funcional alcançada pelo SIS.

Planejamento e estruturação do ciclo de vida de segurança:

Incluem atividades como definir as fases e estabelecer os requisitos das ativida-des do ciclo de vida de segurança; organizar as atividaativida-des técnicas em um ciclo de vida de segurança e assegurar que exista planejamento adequado (ou seja desenvolvido) que assegure que o sistema instrumentado de segurança deve atender aos requisitos de segurança.

Verificação: A verificação consiste em demonstrar, por meio de revisão, análise e/ou

teste, que o SIS resultante atende aos requisitos e cada etapa do ciclo de vida de segurança deve incluir atividades de verificação.

2.4 ABORDAGEM TÍPICA PARA A FASE DE ANÁLISE

Ao longo da história, a indústria de processos presenciou diversas catástrofes resultantes de acidentes em seu processo produtivo. Por consequência, a preocupa-ção em relapreocupa-ção à segurança neste setor resultou na criapreocupa-ção e no aprimoramento de diversas técnicas de análise de riscos que têm como intuito de identificar possíveis causas e consequências de um evento perigoso e determinar ações para a redução de riscos.

Algumas práticas e técnicas se destacaram ao longo do tempo e hoje são amplamente aceitas e adotadas na indústria. Portanto, o intuito dessa seção é expor algumas delas que são comumente empregadas na fase de Análise do ciclo de vida

(30)

de segurança da norma IEC 61511, visto que o foco do método proposto no presente trabalho consiste justamente na fase de análise.

2.4.1 Análise de riscos

Segundo Gruhn e Cheddie (2006), a técnica HAZOP (Hazard and Operability Study ) é provavelmente o método de análise de riscos mais amplamente aceito e usado na indústria de processos e, além disso, sua utilização é recomendada por normas como a N-2595 da Petrobras. O HAZOP é uma investigação estruturada e sistemática de uma instalação planejada ou existente para identificar e avaliar perigos que possam representar riscos à vida humana, às instalações e ao meio ambiente (DUNJÓ et al., 2010). Segundo Nolan (2015), trata-se de uma técnica de estudo versátil e pode ser empregada a uma ampla gama de aplicações. O objetivo principal do HAZOP é revisar cuidadosamente um processo ou operação de maneira sistemática para determinar se os desvios do projeto ou da intenção operacional podem levar a consequências indesejáveis (BASU, 2016).

A essência da abordagem do HAZOP é revisar os documentos do processo como P&ID (Piping and Instrumentation Diagram), Fluxograma de processo e procedi-mentos em uma série de reuniões, durante as quais uma equipe multidisciplinar usa um protocolo prescrito para avaliar metodicamente a significância dos desvios da in-tenção normal de projeto. A equipe utiliza uma abordagem criativa e sistemática para identificar problemas de risco e operabilidade resultantes de desvios do processo, que podem levar a consequências indesejáveis.

Um líder de equipe experiente sistematicamente orienta a equipe através do projeto da planta usando um conjunto fixo de palavras chamadas de “palavras-guia” mostrado no Quadro 1. Essas palavras-guia são aplicadas em seções específicas de um processo chamadas de “nós de estudo” e são combinadas com parâmetros específicos do processo (Tabela 2) para identificar possíveis desvios da operação planejada da planta.

Tabela 2 – Parâmetros comuns do processo analisados pelo HAZOP.

Vazão Tempo Frequência Mistura

Pressão Composição Viscosidade Adição

Temperatura pH Tensão Separação

Nível Velocidade Informação Reação

Fonte: Adaptado de CCPS (2011).

Por exemplo, a palavra guia “Não” combinada com o parâmetro de processo “Va-zão” resulta no desvio “Sem Va“Va-zão”. Às vezes, um líder usará listas de verificação ou experiência de processo para ajudar a equipe a desenvolver a lista necessária de

(31)

des-Quadro 1 – Palavras-guia do HAZOP.

Palavras-guia _Significado

NÃO, NENHUM Ausência total de intenção

MENOS, MENOR Diminuição quantitativa

MAIS, MAIOR Aumento quantitativo

PARTE DE Diminuição qualitativa

TAMBÉM, BEM COMO Acréscimo qualitativo

REVERSO Oposto lógico da intenção

OUTRO QUE Substituição

Fonte: Adaptado de CCPS (2011)

vios que a equipe considerar nas reuniões do HAZOP. A equipe então concorda com possíveis causas dos desvios, as consequências de desvios e as salvaguardas aplicá-veis aos desvios. Se as causas e consequências forem significativas e as salvaguardas forem inadequadas, a equipe pode recomendar uma ação de acompanhamento para consideração da gerência.

Os resultados do estudo HAZOP são as descobertas obtidas pela equipe, que incluem: a identificação de riscos e problemas operacionais; as consequências dos riscos identificados; recomendações para alterações no projeto, procedimentos, etc., com intuito de melhorar o sistema; e recomendações para conduzir estudos de áreas onde nenhuma conclusão foi possível devido à falta de informação. O processo de documentação é uma parte importante do HAZOP. Os resultados das discussões de equipe sobre as causas, efeitos e salvaguardas para desvios para cada nó ou seção do processo são registrados em uma planilha como o exemplar do Quadro 2.

Quadro 2 – Modelo de planilha HAZOP. HAZOP - Estudo de Perigo e Operabilidade Data:

Unidade: Processo: Página:

Nó: 1 Documento(com revisão):

Desvio Causas Consequências (D)Detecção_{(S)Salvaguarda} Recomendações_{Observações} Cenário

Fonte: Adaptado de CCPS (2011).

2.4.2 Alocação das funções de segurança nas camadas de proteção

A técnica mais utilizada na indústria e recomendada pelas normas IEC 61511 e N-2595 para a etapa de Alocação das funções de segurança nas camadas de proteção

(32)

é a LOPA (Layers of Protection Analysis). Trata-se de um método semiquantitativo de avaliação de riscos, cuja finalidade primária é determinar se as medidas de proteção presentes contra um evento indesejado são suficientes para reduzir seu risco a um nível tolerável (E SUMMERS, 2003). Isto é feito, atribuindo-se valores numéricos às frequências das possíveis causas iniciadoras e às Probabilidades médias de Falha na Demanda (PFDAVG) de cada camada de proteção existente, e comparando-se o valor

do risco assim obtido com o valor pré-estipulado do risco tolerável.

Para isso, a LOPA avalia cada um dos cenários de riscos identificados na etapa de análise de riscos e, caso o risco estimado para um cenário não for tolerável, outras camadas de proteção devem ser adicionadas a fim de se atingir a redução de risco necessária como mostrado na Figura 8. Logo, a partir desse método é possível deter-minar a necessidade de uma SIF para a redução de um determinado risco e também o SIL requerido para ela. O procedimento de aplicação da LOPA para a determinação do SIL requerido para cada SIF está representado de forma simplificada na Figura 9.

Figura 8 – Representação gráfica da redução de risco.

Risco

crescente Redução de risco necessária

Redução de risco total

Camadas de mitigação Camadas de prevenção Risco Residual Risco Tolerável Risco inerente ao processo

Fonte: Adaptado da norma N-2595 (2015).

A severidade de um cenário de risco é classificada a partir da consulta de uma matriz de riscos (Quadro 3), que por sua vez é dividida em categorias de risco conforme o Quadro 4. Trata-se de uma matriz utilizada para definir o nível de risco considerando a probabilidade e a categoria de severidade da consequência. Embora existam matrizes de risco padrão em determinados setores, projetos e organizações individuais geralmente criam suas próprias ou adapta uma matriz de risco existente.

(33)

quem ou o que é afetado – pessoas, patrimônio ou continuidade operacional, meio am-biente e imagem da empresa. O impacto em cada um deles é classificado com um grau de severidade e o maior dentre os graus levantados é associado ao cenário em ques-tão. Para cada categoria de severidade, uma Frequência Tolerável (FTOL_)Frequência

Tolerável é associada a partir da Tabela 3.

Em seguida, deve-se estimar a Frequência da Causa Iniciadora (ICF)Initiating Cause Frequency . A causa iniciadora corresponde ao motivo pelo qual ocorreu o

Figura 9 – Fluxograma do procedimento LOPA.

Início cenários a serem Selecionar os avaliados Verificar a severidade do cenário Determinar a frequência tolerável (FTOL₎

Estimar uma ICF para o cenário

Identificar as IPL (não SIF) e estimar

suas PFDavg Determinar a Frequência da Consequência (FC₎ FC_{≤ F}TOL É possível adicionar uma IPL

(não SIF) Determinar SIL requerido SIL ≤ 3 Reavaliar riscos do processo. Medidas gerenciais requeridas Documentar cenário (FC₎ Próximo cenário Fim Não Sim Não Sim (SIF) Não Sim Sim (OK)

(34)

Quadro 3 – Matriz de risco.

Freqüência do cenário (por ano) 10-5 ₁₀-4 ₁₀-3 ₁₀-2 ₁₀-1 1

Descrição / características A Extremamente remota B Remota C Pouco provável D Possível E Freqüente Pessoas Patrimônio / continuidade operacional Meio ambiente

(ver Nota 1) Imagem

Conceitualmente possível, mas sem referências na indústria Não esperado ocorrer, apesar de haver referências em instalações similares na indústria Pouco provável de ocorrer durante a vida útil de um conjunto de unidades similares Possível de ocorrer uma vez durante a vida útil da instalação Possível de ocorrer muitas vezes durante a vida útil da instalação C a te g o ri a s d e S e v e ri d a d e d a s C o n s e q u ê n c ia s V C a ta s tr ó fi c a Múltiplas fatalidades intramuros ou fatalidade extramuros Danos catastróficos podendo levar à perda da instalação industrial Danos severos em áreas sensíveis ou se estendendo para outros locais Impacto internacional M M NT NT NT IV C rí ti c a Até 3 fatalidades intramuros ou lesões graves extramuros Danos severos a sistemas (reparação lenta) Danos severos com efeito localizado Impacto nacional T M M NT NT II I M é d ia Lesões graves intramuros ou lesões leves extramuros Danos moderados a

sistemas moderados Danos Impacto regional T T M M NT

II M a rg in a l Lesões leves Danos leves a sistemas /

equipamentos Danos leves

Impacto local T T T M M I D e s p re z ív e l Sem lesões ou, no máximo, casos de primeiros socorros Danos leves a equipamentos sem comprometimento da continuidade operacional Danos

insignificantes insignificante Impacto T T T T M

Fonte: norma N-2595 (2015).

desvio na variável de processo identificado no HAZOP. As ICFs devem se basear no histórico da planta ou em dados de taxa de falha aceitos pela indústria e compatíveis com os padrões para cada dispositivo, sistema ou humano. Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas como causas inicia-doras, uma vez que outros eventos devem iniciar o cenário antes que estas camadas de proteção sejam demandadas.

Posteriormente, são identificadas as salvaguardas previstas em projeto que podem ser consideradas Camadas de Proteção Independentes (IPL - Independent Protection Layer ) e determinar a redução de risco que elas promovem, ou seja, a sua respectiva PFD. Logo, as camadas de proteção devem ser adicionadas na análise até que o risco obtido atenda o critério de de tolerabilidade adotado como mostra a Figura 8.

O risco residual do cenário sem considerar função instrumentada pode ser ex-presso de forma simplificada pela Frequência da Consequência (FC_{), a qual é dada pelo}

(35)

Quadro 4 – Categorias de risco.

Categoria de

Risco Descrição do Nível de Controle Necessário

Tolerável (T) Não há necessidade de medidas adicionais. A monitoração é _{necessária para assegurar que os controles sejam mantidos.}

Moderado (M) Controles adicionais devem ser avaliados com o objetivo de obter-se uma redução dos riscos e realizar aqueles considerados praticáveis (conceito “ALARP”)

Não Tolerável (NT)

Os controles existentes são insuficientes. Métodos alternativos devem ser considerados para reduzir a probabilidade de ocorrência e, adicionalmente, as consequências, de forma a trazer os riscos para regiões de menor magnitude de riscos (níveis “ALARP” ou toleráveis).

Fonte: norma N-2595 (2015).

Tabela 3 – Frequência tolerável. Categoria de

severidade FTOL(evento/ano)

V 1x10−5 IV 1x10−4 III 1x10−3 II 1x10−2 I 1x10−1 Fonte: norma N-2595 (2015).

produto dos valores da ICF e do PFD de cada uma das IPLs, sem creditar nenhuma redução de risco a função instrumentada:

FC_{= ICF x}Q

jIPLj (1)

onde:

IPLj = PFDAVG da j-ésima IPL (não SIF) associada à Causa Iniciadora.

Se FC _{for menor ou igual a F}TOL_{, então as camadas de proteção existentes}

são suficientes, caso contrário são necessárias camadas de proteção adicionais para reduzir o risco residual do cenário a um nível tolerável. Se a FTOL _{for satisfeita sem a}

necessidade de uma SIF, deve-se registrar que a função automática prevista no projeto ou recomendada pelo HAZOP não é crítica para a segurança e deve ser executada pelo BPCS. Mas caso se esgotem todas as possibilidades de adotar soluções de projeto inerentemente mais seguras e de adicionar camadas de proteção não instrumentadas, é necessária a inclusão de uma SIF nas camadas de proteção. O SIL requerido para a SIF prevista no projeto, ou recomendada para o cenário, pode ser determinado (ver Tabela 1 pelo RRF total necessário para reduzir FC_{a um valor menor ou igual a F}TOL_,

(36)

obtido pela razão entre FC_{e F}TOL_.

Toda a análise dos cenários de risco e suas respectivas camadas de proteção devem ser documentados, resultando em um relatório/planilha que contém informa-ções suficientes para subsidiar uma revisão do projeto, adicionando, modificando ou eliminando salvaguardas existentes ou projetadas, em função da efetividade verificada durante o processo de análise para prevenir ou mitigar efeitos indesejados.

2.4.3 Especificação dos requisitos de segurança do SIS

Nesta etapa, todas as SIFs necessárias identificadas pela LOPA são documen-tadas numa folha de dados que reúna as principais especificações da SIF como mos-trado no Figura 10, que compõe um conjunto de informações equivalente ao “Safety Requirements specification” (SRS) definido na IEC 61511. O SRS é o documento que garante que os requisitos de segurança sejam adequadamente especificados antes de prosseguir para o projeto detalhado.

Outro documento importante elaborado nesta etapa é a Matriz Causa e Efeito (MCE). Trata-se de um documento que utiliza um método de especificação semiformal para mostrar o inter-relacionamento entre os eventos (causa) e as ações (efeito), que devem ocorrer de forma automática e controlada pelo SIS, ou seja, ele deve conter a descrição funcional de cada SIF com informações dos sensores, atuadores e a relação lógica entre eles. A MCE hoje é amplamente adotada pela indústria – inclusive pela Petrobras, posto que descreve a relação lógica de entrada e saída dos SIFs de forma simples, clara e não ambígua. Para tanto, a norma IEC 62881 (2018) aborda a configuração e a implementação de matrizes causa e efeito, com a definição de requisitos mínimos do conteúdo e elaboração da MCE.

A matriz possui uma estrutura em forma de tabela como mostra a Figura 11, na qual as linhas da matriz correspondem aos eventos (causas) e as colunas cor-respondem às ações (efeitos). As interseções, formadas entre as linhas e colunas, correlacionam as causas aos efeitos e contém valores lógicos booleanos.

As causas devem possuir atributos como identificadores dos sensores conheci-dos como TAGs, o SIL correspondente, descrição da causa, o exato nível ou condição de ativação da causa (trip point) e votação caso necessário. Para os efeitos deve se atribuir também as TAGs dos atuadores, o SIL correspondente, a descrição do efeito e a função executada (ex. Fechar válvulas, Ligar bomba). Já as intersecções são normal-mente representadas por símbolos que representam uma operação lógica como “AND”, “OR”, “NOR” ou ainda operações que levam em conta o tempo. A norma IEC 62881

(2018) não estabelece um padrão de símbolos e, sendo assim, cada companhia define representações próprias dos operadores lógicos. O Quadro 5 mostra um exemplo de simbologia definida pela diretriz ET-3000.00-1200-800-PGT-006 (2000) utilizada nas MCEs da Petrobras.

(37)

Figura 10 – Folha de dados de uma SIF. de 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE. FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO D - FOLHA 02/05.

FOLHA

REV. Nº

TÍTULO:

Descrição do Estado Seguro a ser Atingido ou Mantido:

MTTFS Aceitável (anos): MTTFS Obtido (anos): D ESC R IÇ ÃO F U N C IO N AL Ações Secundárias: Descrição da Lógica: Tempo de Resposta (s): "Tag" MTTR (h): SIL Requerido: SIL Obtido: EL EM EN T O S F IN AI S REQUISITOS DE PROCESSO E DA ANÁLISE DE RISCO

Tempo de Segurança de Processo (s):

"Tag" "Tag" RRF Obtido: RRF Requerido: Valor de "Trip" Estado Seguro

Descrição dos Elementos Finais Modo de Atuação

Modo de Atuação RESULTADOS FOLHA DE DADOS IN IC IAD O R ES IN F O R M AÇ Õ ES G ER AI S Especificação de SIF

Relatório de Análise de Riscos: "Tag":

Descrição da SIF:

Causas da Demanda:

Custo do "Trip" Espúrio (US$):

Tempo de Retardo (s): Consequências da Falha na Demanda:

Consequências do "Trip" Espúrio:

Descrição dos Iniciadores Detecção (HH ou LL)

Intervalo entre Testes Periódicos (anos):

EXEC

.

Módulos de Entrada: Módulos de Saída:

"Tag": Descrição do Executor da Lógica:

T R IP M AN U AL

Combinação Perigosa de Elementos Finais (S/N): Descrição:

Tipo Localização

Descrição do "Trip" Manual

(38)

(39)

Quadro 5 – Simbologia de operadores lógicos utilizada na MCE.

FUNÇÃO SÍMBOLO OBSERVAÇÃO

Lógica OU

Lógica NOR OU negado

Lógica E

A

Ou

Ax

X é numero inteiro a ser

usado quando necessário para distinguir conjuntos de lógicas E entre si quando os mesmos estão em uma única coluna.

Lógica

Temporizada

Tx

X é o tempo em segundos escolhido para a lógica.

(40)

(41)

Um outro estudo, realizado por Kaszniak (2010), reforça o diagnóstico feito pela HSE. Com base em 46 relatórios de investigações completas de graves acidentes divulgados pelas CSB (Chemical Safety Board) em um período de 10 anos (1998-2008), o autor constatou que 21 desses casos (cerca de 46%) foram identificados problemas de análise de risco do processo. Segundo Kaszniak, esses problemas vão desde falhas na condução da PHA até deficiências específicas em análises individuais que diminuem a eficácia geral das PHAs, ou os impedem de identificar e/ou avaliar totalmente os riscos do processo.

Em (BRIDGES; CLARK, 2011) é realizado um estudo com uma perspectiva diferente, no qual relacionaram os acidentes aos modos de operação de um processo. Em um compilado dos 47 principais acidentes relacionadas à segurança de proces-sos em um período de 23 anos (1987-2010), eles identificaram que em 66% desses casos, os acidentes ocorreram em modos de operação não rotineiras. Conforme os autores, essa porcentagem desproporcional se deve ao fato de a maioria dos PHAs não analisarem completamente erros que podem ocorrer nessas operações, já que eles são muito focados na operação estável do processo e não possuem uma aborda-gem apropriada para outros modos, como por exemplo o HAZOP. Este, por sua vez, apesar de ser o método mais utilizado e considerado por muitos profissionais uma das técnicas mais completas, segundo Baybutt (2015), não fornece um tratamento ade-quado para diferentes modos de operação, já que, a análise muitas vezes é realizada utilizando-se basicamente o P&ID como a principal representação de um processo, desconsiderando-se procedimentos operacionais que tratam dos modos de operação transitórios.

Outro motivo para a pouca atenção dada à análise dos diferentes modos de operação de um processo, consiste na própria característica dos modos de operação considerados transitórios, que muitas vezes possuem uma maior complexidade devido à sua variabilidade dinâmica, isto é, as variáveis de processo mudam rapidamente nesses modos e, portanto, os procedimentos requerem uma maior atenção e devem ser executados adequadamente para levar o processo a uma condição estável. Se-gundo Bridges e Marshall (2016), essa característica torna a análise de risco bastante laboriosa e demorada e faz com que muitas companhias realizem apenas uma análise superficial dos modos de operação transitórios a fim de reduzir o tempo despendido nesta etapa, já que muitas vezes os prazos não são suficientes para a realização de uma análise completa.

De acordo com (BAYBUTT, 2015), uma prática bastante comum nesses casos é combinar todos os modos de operação em uma única análise sem nenhum esforço formal para identificar cenários de risco de cada modo individualmente. Dessa forma, normalmente não fica claro quais riscos correspondem a quais modos. Uma análise que não faz a distinção dos diferentes modos de operação de um processo pode

(42)

resul-tar na especificação de SIFs adequadas para determinados modos porém inadequados para outros. Consequentemente, isso pode resultar em uma implementação problemá-tica do SIS, em que, durante a operação, podem ocorrer ativações indesejadas das SIFs que podem interromper um processo produtivo desnecessariamente.

As ativações indesejadas de funções de segurança, também conhecidas como trips espúrias, muitas vezes são contornadas pela prática de bypass, que consiste na inibição proposital e temporária de uma SIF realizada pelos operadores do sistema. Trata-se de uma prática comum empregada principalmente durante uma operação transitória, como por exemplo no startup de uma planta, onde muitas vezes o bypass de funções de segurança é necessário para que elas não interfiram no processo de partida de um processo.

No entanto, essa prática exige grande atenção, já que, com a inibição, as fun-ções de segurança são temporariamente substituídas pelos operadores do processo, que devem monitorar constantemente as condições para que, caso uma situação de risco ocorra, eles intervenham para extingui-la. Dessa forma, o bypass requer muita experiência e treinamento do operador para que haja uma operação segura, uma vez que a ação humana é altamente susceptível a erros. Em vista disso, conforme Garcia (2015), por conta da prática de bypass, o startup, shutdown e transições de processo são considerados os períodos mais perigosos das operações nas indústrias de processo.

Nesse contexto, é inegável a importância da condução de uma análise de riscos detalhada de todos os modos de operação de um processo, especialmente nos modos transitórios, que são considerados perigosos e também são onde acontecem a maior parte dos acidentes. Uma análise que discrimina os diferentes modos possibilita, por consequência, especificar SIFs de acordo com o modo de operação em que ela se faz necessária, podendo assim reduzir a necessidade da prática de bypass, o que torna a operação muito mais eficaz e segura.

3.2 TRABALHOS RELACIONADOS

Na literatura, nas principais plataformas de buscas como o Google Scholar, Scopus e ScienceDirect, não há muitos trabalhos que abordam essa questão, dado que, apesar de tratar-se de um problema bastante observado na indústria de proces-sos, muitas companhias desenvolvem suas próprias soluções para contorná-lo, com o desenvolvimento e aprimoramento de técnicas já existentes que, normalmente, são mantidas internamente à empresa. Ainda assim, foram encontrados alguns trabalhos relevantes que envolvem análise de risco de modos de operação transitória.

Em (OSTROWSKI; KEIM, 2010) é apresentada uma abordagem do HAZOP denominada de TOH (Transient Operation HAZOP), cujo foco situa-se na identificação de riscos em procedimentos operacionais de modos de operação transitória. Trata-se

(43)

de um método desenvolvido dentro da companhia ExxonMobil e aplicada em suas instalações e que, segundo o autor, tem apresentado resultados significativamente positivos.

O TOH busca identificar riscos e deficiências em ações dos procedimentos sequenciais de modos transitórios que potencialmente podem levar a consequências mais sérias e também objetiva avaliar se os procedimentos de controle são suficientes e, se necessário, recomendar melhorias para tornar a operação mais segura. Para tanto, a técnica utiliza a combinação de conhecimento e experiência de uma equipe multidisciplinar, documentos de referência do processo e palavras-guias específicas mostradas no Quadro 6, para conduzir uma abordagem disciplinada com o propósito de identificar e sugerir melhorias em questões procedurais e de projeto.

Quadro 6 – Palavras guia para TOH. Palavra guia Significado/Explicação

Quem

Está claro quem e quantos indivíduos são necessários para executar o passo? Os níveis mínimos de pessoal para esta sequência foram estabelecidos, documentados e comunicados? Pode ser óbvio para os indivíduos mais experientes, mas é apropriado para o operador médio? O que O objetivo geral foi estabelecido para a série de etapas?

Quando O momento ou a ordem da tarefa é importante?

Quanto tempo A duração total ou duração de tempo de uma ação é importante?

Fonte: (OSTROWSKI; KEIM, 2010)

O método TOH envolve vários passos para a sua completa execução. Primei-ramente, ao menos um membro da equipe de análise que possua experiência em operações de campo e controle e que conheça detalhes de todas as operações transi-tórias, deve ser escolhido como o “representante de operações do processo”. O papel dele consiste em repassar a toda a equipe um resumo de todas as atividades ou tare-fas necessárias associadas a cada uma das operações transitórias a partir da revisão de documentos como P&ID e diagrama de fluxo de processo, de maneira que todo o grupo obtenha um conhecimento suficiente para a condução do TOH.

Em seguida, a equipe deve escolher uma operação transitória para análise. Ini-cialmente a equipe deve analisar a operação como um todo, à procura de possíveis desvios sem considerar as sequências de etapas presentes na operação. Posterior-mente, deve-se dividir a operação em uma sequência de etapas e, para cada sequên-cia, perguntar: “Será que uma deficiência nessa sequência de ações pode resultar em uma consequência grave?”. Se a resposta for “não”, a análise prossegue para a próxima sequência. Caso contrário, ou seja, se existe algum risco, cada etapa deve ser analisada separadamente perguntando-se: “Será que uma deficiência nessa etapa pode resultar em uma consequência grave?”. Se a resposta for não, segue para a

(44)

próxima etapa. Caso contrário, a etapa deve ser analisada utilizando o conhecimento e a experiência da equipe com o auxílio das palavras-guias do TOH e deve ser docu-mentado em uma planilha HAZOP. Logo, todo esse processo deve ser repetido até que todas as operações transitórias e seus respectivos procedimentos operacionais sejam analisados.

Já em (BRIDGES; CLARK, 2011), apresenta uma abordagem em que propõe-se 3 métodos de análipropõe-se de riscos para modos de operação transitórias que devem ser escolhidas de acordo com a criticidade e complexidade de cada operação transi-tória. A proposta dos autores sugere que inicialmente cada operação transitória seja classificada em:

• Extremamente perigosa

• Complexas com consequências menores • Baixa complexidade e baixo perigo

No caso de operações críticas, o trabalho propõe a utilização do método deno-minado de HAZOP de 7-8 palavras-guias, que consiste em uma variação do HAZOP convencional, porém baseada em procedimentos. Conforme apresentado no Quadro 7, ele possui as mesmas palavras guias, mas os significados de cada palavra são focados para a análise de etapas de procedimentos operacionais de modos transitórios.

Quadro 7 – Palavras-guia do HAZOP de 7-8 palavras-guias.

Palavras-guia _{Significado/Explicação}

Falta (Palavra opcional)

Uma etapa ou precaução está faltando no procedimento escrito anterior a essa etapa (semelhante a “Fora de sequência”, exceto que a etapa ausente não está escrita).

Pular (Não, Nenhum) A intenção especificada desta etapa não é executada.

Parte de

Uma parte da intenção completa não é executada. Geralmente aplica-se apenas a uma tarefa que envolve duas ou mais ações quase simultâneas (“Abrir válvulas A, B e C”).

Mais, Maior Muito da intenção especificada é feita (não se aplica a funções simples de_{ligar / desligar; abrir / fechar); ou é realizado muito rápido.} Menos, menor Muito pouco da intenção é feito, ou é realizado muito lentamente.

Fora da sequência Esta etapa é executada muito cedo na sequência.

Também, Bem como Algo acontece, ou o usuário faz outra ação, além da etapa especificada ser feita corretamente (pode ser um atalho).

Outro que (ou Reverso)

O dispositivo errado é operado, selecionado, lido, etc., ou operado de maneira diferente da pretendida. Ou o material errado é selecionado ou adicionado. Erros “além de” sempre implicam um “Skip” também.

Fonte: Adaptado de Bridges e Clark (2011).

Para o segundo caso, operações complexas com consequências menores, é proposta a aplicação de uma outra variação do HAZOP denominada de HAZOP de 2

(45)

palavras-guias. Trata-se de uma versão simplificada do HAZOP de 7-8 palavras-guias, mas com palavras que englobam dois tipos de erros: omissão e incorreção. Omissão consiste em não realizar determinada etapa/tarefa de um procedimento e incorreção consiste em executar uma etapa/tarefa de maneira errada. As duas palavras-guias e seu respectivos significados podem ser vistos no Quadro 8.

Quadro 8 – Palavras-guia do HAZOP de 2 palavras-guia.

Frases-guia _{Significado/Explicação}

Etapa não executada

O passo não é feito ou parte do passo não é feito. Algumas razões possíveis incluem: o funcionário esqueceu de fazer o passo, não entendeu a

importância do passo, ou os procedimentos não incluíram este passo vital

Etapa realizada de forma errada

A intenção do operador era realizar a etapa (não omitir a etapa), no entanto, a etapa não é executada conforme pretendido. Alguns possíveis motivos incluem: o fato de o funcionário executar muito ou pouco da tarefa declarada, o funcionário manipular o componente de processo incorreto ou o funcionário reverter a ordem das etapas.

Fonte: Adaptado de Bridges e Clark (2011).

Por fim, no caso de operações de baixa complexidade e que não envolvem grandes riscos, a abordagem sugerida pelos autores propõe a utilização do método What-if. Para tanto, é proposto que a equipe de análise de risco compreenda todos os procedimentos de cada operação transitória e para cada procedimento responda à questão: “Quais erros levarão às nossas consequências de interesse?”. Dessa forma, a equipe deve listar esses possíveis erros e, em seguida, discutir todas as consequências, causas e salvaguardas existentes.

3.3 DISCUSSÃO

Tendo em vista as informações e dados apresentados, as operações transitórias constituem-se como as operações de maior perigo de um processo industrial, visto que grande parte dos acidentes ocorrem nelas. Um dos principais problemas apontados que as tornam mais perigosas, consiste no fato de a maioria das PHAs não possuírem uma abordagem apropriada para esses casos, resultando assim em uma análise defici-ente dos riscos. Logo, uma análise deficidefici-ente pode levar a especificações inadequadas ou insuficientes das funções de segurança que, por sua vez, podem resultar em um SIS que não possui salvaguardas para todos os possíveis risco do processo ou um SIS com uma implementação problemática que requer a constante intervenção do operador que, na maioria das vezes, realiza o bypass das funções de segurança para evitar a interrupção indesejada de um processo, o que torna a operação muito mais arriscada.

Trata-se de um problema presente há muitos anos na indústria de processos e não há ainda uma definição de uma técnica ou método que consiga identificar os