UMA FILOSOFIA PARA AVALIAÇÃO DOS PERIGOS DOS PROCESSOS
BASEADOS EM SISTEMAS ELETRONICAMENTE PROGRAMÁVEIS
Dayse Duarte
Carlos Augusto Andrade
The process industry has been in transition, with increasing emphasis on total quality
control along with needs to meet over more stringent level of heath, safety and
environmental management. Is has resulted in an increasingly use of the programmable
electronic systems (i.e. PES) in the process industry of both the new and existing systems.
While use of programmable electronic systems technology reduces the potential for
operator error, new types of failure modes are introduced. The complexities of computerbased instrumentation system increase the likelihood of design and maintenance errors
and make the detection of all latent faults very difficult, such as software faults. It should
be take into account that the hazard identification and risk assessment methodologies used
today are based on techniques that assume independence of failure. However, possibilities
for common mode failure and covert faults are greatly increased in process control
systems that make use of PES technology. This article presents a systematic, semiquantitative approach to total system safety in which modern programmable electronic
monitoring and control systems are integrated with traditional administrative and
engineering controls to achieve acceptable levels of risk.
Key Words: Hazard, Programmable electronic systems and Engineering Method.
1. Introdução
A indústria de processamento no Brasil está em transição, sobretudo no Nordeste. Talvez,
devido ao processo de globalização de que somos testemunhas. Como conseqüência as
nossas industrias precisam oferecer: produtos de qualidade, diminuir o número de tarefas a
serem executadas manualmente na linha de produção, buscar meios de minimizar o erro
humano, aumentar a disponibilidade dos equipamentos, assegurar a segurança operacional,
entre outros. Essas necessidades têm sido satisfeitas devido a um tremendo avanço nos
processos de monitoramento e controle, como conseqüência do advento de sensores
baseados em microprocessadores.
O uso de microprocessadores no monitoramento, instrumentação e controle do processo
têm como resultado a automação do mesmo. No passado, por exemplo, usávamos sensores
simples, hoje é comum o uso de sistemas eletronicamente programáveis – SEP. Enquanto o
uso de sistemas eletronicamente programáveis reduz os possíveis erros operacionais, novos
tipos de modo de falhas são introduzidos. A complexidade dos SEP aumenta a
probabilidade de falhas no projeto do processo, em especial as falhas de software e dos
erros de manutenção.
Soma-se a isto o fato de que muitas metodologias usadas na identificação dos riscos
assume uma interdependência de falhas, contudo em SEP as possibilidades de modo
comum de falha aumentam consideravelmente. Visto que os SEP usam sistemas comuns
de controle para o monitoramento e controle de algumas informações críticas, além de
determinados equipamentos e software que são comuns a certos módulos. Este trabalho
apresenta os fundamentos para o gerenciamento dos riscos do processo que utiliza sistemas
eletronicamente programáveis.
2. Filosofia das camadas de proteção
A melhor maneira de se ter uma operação segura é através de um processo inerentemente
seguro, conforme projeto inicial. Além disto, é preciso ter em mente que mesmo após o
projeto inicial ter sido submetido a mudanças de melhoramento, as quais tem por intenção
mitigar os perigos, o espectrum dos riscos operacionais permanecem em uma planta de
processamento.
Com relação ao processo, a redução dos riscos deve iniciar-se com os elementos
fundamentais do projeto, tais como: seleção do processo; localização; decisões sobre o
inventário de materiais perigosos; e layout da planta. Em outras palavras, o número de
materiais perigosos deve limita-se ao mínimo necessário; a tubulação deve evitar que
misturas incompatíveis sejam misturadas; os vasos ou tanques devem suportar a máxima
pressão de operação, inclusive em casos de situações anormais; escolha de temperaturas
menores do que a temperatura de decomposição dos materiais incluídos no inventário.
Logo, a escolha cuidadosa e parâmetros operacionais básicos é fundamental no projeto de
um processo seguro. Infelizmente, mesmo após a aplicação desta filosofia de projeto ter
sido aplicada em toda a extensão, perigos em potencial continuam presentes no processo,
assim medidas adicionais são necessárias. A aplicação de múltiplas camadas de proteção
em uma planta de processamento é ilustrada na Figura 1.
Na Figura 1 cada camada de proteção poderá representar um grupo de equipamentos e/ou
recomendações administrativas de controle. As camadas de proteção mostradas na Figura 1
estão em ordem crescente de ativação, no caso de um acidente. Depois da definição do
processo, o detalhamento do projeto do processo fornece a primeira camada. A seguir, vem
os controles básicos de alarme do sistema, o qual no decorrer deste trabalho será referido
como CBAS. Imediatamente após temos o sistema de travamento de segurança, ou seja
STS, o qual tem por finalidade proceder a ações corretivas, em caso de falha no CBAS.
Proteções físicas poderão ser incorporadas, como por exemplo sistema de alívio para o
caso de pressões elevadas. Se todas essas proteções falharem e ocorrer talvez um
vazamento de produto ou matéria prima os diques constituirão uma camada de proteção.
Por último os planos de emergências tanto no que se refere aos operários da planta quanto
a comunidade.
As camadas de proteção são em geral muito diferentes quanto a natureza, logo elas podem
ser consideradas independentes, sobretudo se houve múltiplos procedimentos operacionais
que sejam executados por diversos operadores durante uma condição anormal. A filosofia
apresentada no presente trabalho recomenda que a redução dos riscos a ser alcançada em
cada camada seja a menor possível de ser obtida na prática. Em outras palavras, se algum
risco residual de projeto é inaceitável para uma determinada seqüência de um acidente, a
busca para o controle adicional do risco deve ser considerada na camada imediatamente
superior. A introdução de camadas de proteção adicionais deve ser considerada a partir de
critérios de probabilidades, impacto e aceitabilidade de um determinado evento.
2
Figura 1. Camadas de proteção encontradas em processos de alto risco.
3. Avaliação dos perigos durante o ciclo de vida do sistema
O principal objetivo de uma revisão dos perigos de um processo é assegurar que os
sistemas e sub-sistemas, inclusive os de controle estejam conforme os critérios de
segurança no decorrer do seu ciclo de vida, Figura 2. Por critérios de segurança incluímos
as normas vigentes no país, as aceitas internacionalmente, bem como as constantes na
política da empresa.
As principais fases do ciclo de vida de um sistema são identificadas na Figura 2. Apesar do
vocabulário e características possam variar dependendo da natureza do sistema, a Figura 2
representa o ciclo de vida de uma planta de processamento. A Figura 2 não tem a intenção
de apresentar a extensão das atividades de cada etapa do ciclo de vida, visto que a duração
de cada etapa dependerá de uma série de situações. Por outro lado, a Figura 2 deixa claro
que a identificação, avaliação e gerenciamento dos riscos de uma planta devem estar
refletidas no programa de planejamento, ou equivalente, como um todo.
Para a maioria dos projetos o detalhamento e desenvolvimento é o produto de um grupo de
especialistas. O engenheiro de processo busca enfatizar o processo e projetos de
equipamentos; especialistas em instrumentação preocupam-se com o projeto e integridade
dos sistema de controle. Por outro lado, na operação do processo é fundamental que o
processo e o sistema de controle estejam integrados com os objetivos de operabilidade da
planta, levando em consideração o controle dos perigos. Assim conforme mostrado na
Figura 2, a identificação dos perigos do sistema deve ser incorporada desde as primeiras
etapas do seu ciclo de vida. É recomendável que seja formada uma equipe para análise dos
3
perigos do processo – APP. O time responsável pela APP além de examinar todos os
aspectos do processo ao logo do seu ciclo de vida, deve ter uma certa independência com
relação a equipe encarregada do projeto. Os resultados da APP devem retro-alimentar
tanto o projeto do processo como os seus respectivos sistemas de controle.
Seleção canditato
Concepção
do
Projeto
Definição preliminar projeto
Estratégias de controle
Análise preliminar dos perigos
Projeto
Preliminar
do
Sistema
P
r
o
j
e
t
o
M
a
n
u
t
e
ç
ã
o
C
a
p
a
c
I
d
a
d
e
s
I
s
t
e
m
a
s
u
p
o
r
t
e
Sim
O risco é aceitável?
Projeto CBAS
Não
Acesso/controle dos riscos
Projeto do CBAS
Detalhamento
e
Desenvolvimento
do
Sistema
O risco é aceitável?
Sim
Não
Avaliação sistema integrado
Projeto do STS
Validação do sistema
Construção
Não
O risco é aceitável?
Sim
Operação
Análises de risco periódicas
Desativação
Acesso/controle dos riscos
de desativação e remoção
Figura 2. Análise dos perigos do processo no ciclo de vida do sistema.
A análise dos perigos do processo devem ser adaptadas para o sistema a ser desenvolvidos.
Soma-se a isto a recomendação de que a APP esteja integrada com a qualidade;
confiabilidade, aqui incluindo a confiabilidade humana, confiabilidade de software, a
confiabilidade dos sistemas de suporte; o gerenciamento ambiental e outros.
A matriz de risco, Figura 3 e as classes para avaliação de freqüências e conseqüências dos
perigos identificados, Tabela 1, estabelecem parâmetros semi-qualitativos à avaliação dos
parâmetros de segurança, ou seja a probabilidade e severidade de um acidente. A matriz de
risco poderá ser usada para prioritizar as ações que se façam necessárias direcionadas na
redução dos perigos.
4
Figura 3. Matriz do risco
Tabela 1.Classes para avaliação de freqüência e conseqüência dos perigos identificados.
Freqüência
Elevada
Mais de uma vez por
mês.
Média
Entre uma vez por
mês e uma vez por
ano.
Baixa
Menos de uma vez
por ano.
Conseqüência
• Perda de produção durante 24 horas ou mais.
• Morte ou lesões graves em funcionários ou terceiros.
• Perda de produção por um período maior do que 5 minutos e
menor do que 24 horas.
• Operação da área abaixo da sua capacidade nominal por um
período de aproximadamente 24 horas.
• Lesões de gravidade moderada ou leve em funcionários e
terceiros.
• Perda de produção por um período de aproximadamente 5
minutos.
• Não ocorre lesões ou mortes de funcionários e terceiros.
4. Técnicas de avaliação do desempenho e segurança dos SEP
A identificação das deficiências no CBAS e STS devem ter início na seleção dos
equipamentos e prolongar-se até as atividades de operação, Figura 2. Se tais deficiências
são identificadas no início do projeto, medidas corretivas podem ser incorporadas,
reduzindo assim o impacto sobre os custo e tempo. Por outro lado, se as deficiências são
identificadas nas etapas mais avançadas do projeto, quanto por exemplo o sistema já esta
em funcionamento, componentes adicionais ou mesmo significantes modificações no
sistema, tenderá a aumentar os custos. Deve ser ressaltado que, as técnica de análise de
risco disponíveis estão sujeitas a algumas limitações e ao serem aplicadas na identificação
dos riscos de SEP deve-se se ter um entendimento de suas limitações.
Quando um sistema de proteção é projetado este deve ser sistematicamente revisado, tendo
por intenção verificar se os requisitos de segurança foram atendidos, levando-se em
consideração a dinâmica do processo e dos equipamentos de controle. Esta revisão é
5
particularmente importante quando a planta pode desloca-se de uma situação de operação
normal para uma condição de perigo em um período de tempo curto.
Muitas estruturas organizacionais podem ser usadas para se obter as interações necessárias
afim de ser ter um sistema intrinsecamente seguro. Apesar de cada empresa ou time de
projeto escolherem caminhos diferentes, que busquem assegurar a integridade e segurança
no projeto é essencial a integração entre as diversas áreas, ou melhor entre os projetista, o
time para APP, os engenheiro de processo, de operação, de manutenção, etc. No diagrama
de fluxo apresentado na Figura 2 significantes situações de perigo necessitam ser
identificadas no processo após a definição da tecnologia, afim de que os projetistas dos
sistemas de controle possam levar em consideração estes perigos no desenvolvimento do
projeto dos CBAS.
Uma vez desenvolvido os CBAS uma revisão detalhada deve ser conduzida. Esta revisão
juntamente com o subsequente controle do risco produzirá uma importante documentação
de segurança, a qual incluirá: a) sistemas específicos de alarme e inter-travamento que
deverão ser incluídos no STS e b) definição do grau de integridade necessária para a
implementação do sistema de STS. Por exemplo, durante um HAZOP ou outra técnica de
identificação de perigo, como conseqüência dos cenários de falhas, talvez seja necessário
camada de proteção adicional para a redução da probabilidade de um evento considerado
inaceitável.
A definição do que é aceitável é uma decisão que esta implícita em algumas
regulamentações, porém ela é sobretudo uma prerrogativa e responsabilidade da empresa.
Cada empresa deve estabelecer o que considera aceitável, no que se refere aos riscos. Tal
consideração deve fazer parte de sua política de segurança e meio ambiente, uma vez que a
materialização de determinados eventos produzirá um significante impacto além dos
limites da planta. A definição destas políticas será fundamental no desenvolvimento dos
trabalhos a serem realizados pelo time de APP. Pois o time de APP terá condições para
agrupar os possíveis acidentes, conforme a severidade do impacto e como resultado
fornecer uma seqüência de falha em cada nível de impacto estabelecido. Suponha que o
time de APP esteja conduzindo uma análise de árvore de falhas, a categoria de impacto
poderá ser o evento topo, a partir do qual a arvore será desenvolvida. A análise através da
árvore das falhas mostra uma seqüência lógica de falhas independentes a qual conduzirá ao
evento topo. A seqüência de falha também poderá ser identificada por outros
procedimentos equivalentes.
Uma das limitações da árvore de falhas é que os “galhos” da árvore devem ser
independentes e isto torna-se uma limitação inaceitável na identificação dos perigos de
SEP. Pois os módulos dos SEP possuem, muitas vezes, equipamento e software comuns.
Uma outra limitação da árvore das falhas é a inerente dificuldade de enquadrar os eventos
no tempo. Esta dificuldade já não esta presente na árvore dos eventos. Por outro lado, a
árvore dos eventos apresenta dificuldades na visualização de possíveis eventos que
possam conduzir a um acidente. Logo, um método que incorpore as vantagens da árvore
das falhas e dos eventos se faz necessário. Os diagramas lógicos do Método de Engenharia
combina os atributos positivos da árvore da falhas e dos eventos.
O Método de Engenharia vem sendo desenvolvido pelo professor Robert Fitzgerald, ao
longo dos últimos 30 anos. Apesar de ser esperado que o Método sofra contínuas
modificações fim de que possa refletir os novos desenvolvimentos, o mesmo já atingiu um
grau de maturidade. Muitos profissionais da indústria da construção civil já o adotaram nos
6
Estados Unidos, Canada, Reino Unido e Suíça. Nossa experiência em usar o Método na
industria química e elétrica tem nos mostrado que o Método de Engenharia é uma maneira
de pensar que nos ajuda a entender o processo, bem como a nos comunicar com
profissionais de outras áreas a respeito do que pode dar errado no processo. Em outras
palavras, uma corrente deve ser avaliada pelo seu elo mais fraco, a estrutura lógica do
Método de Engenharia nos permite ver e comunicar, quais são os elos fracos do processo.
A Figura 4 mostra um dos diagramas do Método para o caso de um incêndio. Uma das
vantagens das “networks” do Método é o claro entendimento das dependências e interrelações dos eventos . O que é de fundamental importância na identificação dos SEPs.
1
2 ! !"
2
1
!, !"
#$
%
&'()
*+, -! 57698.:'69:
;
<=?> @ 9
; A :
2
1
%
%
B ; :4C.D):'EF6
D HJ> :'E ;9K 6
G I
34"
! 2
1/0 (.
/0 Figura 4. Continue value network (i.e. diagrama lógico do Método de Engenharia).
5. Conclusões
A identificação dos perigos, desde as etapas iniciais do projeto, e o seu impacto no
decorrer do ciclo de vida do processo devem ser considerados no projeto, operação e
manutenção dos CBAS, STS e demais camadas de proteção. A identificação dos riscos
deve também ser capaz de prever falhas no sistema de suporte, tais como treinamento,
fornecedores, entre outros. Como resultado as técnicas de identificação de perigos a serem
usadas em SEP devem ser capazes de mostra a interdependências das falhas. Porém o
BPCS e o SIS devem ter funções independentes.
A identificação e discussão sobre os perigos do processo é de particular importância para
sistemas complexos. Se há vários grupos de análise dos perigos do processo - APP estes
devem somar os seus esforços, desde as primeiras etapas do ciclo de vida do mesmo. Deve
ser estabelecido qual a intenção dos CBAS e STS bem os seus possíveis desvios.
7
Informações sobre os “sotfwares” devem ser claramente documentadas. Pois se os
programadores envolvidos foram por algum motivo qualquer afastados, não haverá perda
do conhecimento e experiência já adquiridos. Vale ressaltar que, muitos acidentes têm
ocorridos não porque o conhecimento não esteja disponível, mas porque este não foi usado
de forma apropriada.
A complexidade, a interdependência e os modos de falha dos SEPs são diferentes de outros
sistemas convencionais de monitoramento e controle. Como resultado, um programa
formal para o gerenciamento das mudanças deve ser implementado; tão logo a validação
do último componente do sistema seja concluída. Pois mudanças nos SEPs, em especial
nos CBAS e STS, facilmente introduzem novos perigos sem que estes sejam percebidos.
Bibliografia
•
•
•
•
•
•
Robert Fitzgerald (1998). The Building Anatomy to be published.
Duarte, D. (1997). Identificação e análise dos principais riscos da área de secagem
térmica da Petroflex- Unidade Cabo. Universidade Federal de Pernambuco. Brasil.
Duarte (1998). Identificação dos perigos associado ao compensador síncrono da
SE/CMD 500Kv da CHESF. Universidade Federal de Pernambuco. Brasil.
American Institute of Chemical Engineers (1993). Guidelines for safe automation of
chemical process. AIChE. New York.
Sankaran, N. (1993). Management of change – The systematic use of hazard
evaluation procedures and audits. Process Safety Progress, 12-3; 181 –192.
Turner, B. A. (1978). Man-made disaster. Taylor and Francis. London.
8