A interseção entre alarmes e sistemas de segurança

A interseção entre alarmes e sistemas de segurança

Quando os alarmes atendem ao sistema de segurança, a análise deve ser feita com cuidado 

Por Lee Swindler, Ron Carlton e Richard Slaugenhaupt

Não é difícil encontrar recursos relacionados a sistemas instrumentados de segurança (SISs) ou gerenciamento de alarmes, mas as discussões relacionando os dois e considerando sua sobreposição são mais raras. De fato, pode-se concluir que os dois não estão relacionados, especialmente quando as empresas os abordam em momentos diferentes ou com profissionais diferentes.

Em um projeto de uma unidade de processo ou planta greenfield, o estudo de risco e operabilidade (HAZOP – Hazardous and Operability) geralmente é feito bem no início do projeto - bem antes de qualquer concreto ser despejado ou tubos serem soldados. Os principais riscos identificados geralmente disparam a redefinição de alguns equipamentos. Quando o HAZOP é concluído, uma camada de análise de proteção (LOPA – Layer of Protection Analysis) pode ser necessária para determinar se um SIS é necessário (figura 1). Quando os sistemas de automação são finalizados mais tarde, a atenção se volta para a racionalização de alarmes.

Uma equipe totalmente nova de pessoas, talvez muito distante dos esforços do HAZOP e do LOPA, pode lidar com a racionalização. Se uma empresa é disciplinada e exigente quanto à documentação, é simples para a equipe de racionalização incorporar os resultados da análise de segurança, mas isso nem sempre é o caso. Isso é lamentável, porque os detalhes da análise de segurança desempenham um papel substancial na definição de como o processo de racionalização de alarmes incorpora salvaguardas e camadas de proteção independentes (IPLs – Independent Protection Layers).

A camada mais importante de proteção em qualquer processo é o controle efetivo do processo. Desconsiderando uma falha mecânica direta, as operações dentro dos limites normais produzem poucos incidentes, se houver algum. Mas nenhum sistema básico de controle de processos (BPCS) pode lidar com todas as interrupções possíveis, e sempre haverá alguns problemas no processo.

O sistema de alarme informa os operadores sobre interrupções que o BPCS não pode lidar de maneira adequada automaticamente. Uma resposta do operador é então necessária para corrigir ou mitigar o problema antes de escalar até o ponto em que o SIS deve agir. Por definição, cada alarme tem uma resposta do operador associada, e o operador precisa saber a ação apropriada.

Figura 1: Para a maioria das empresas, o projeto de um sistema de segurança passa por fases distintas, cada uma baseada no esforço anterior. Para que este processo funcione corretamente, cada equipe deve documentar seu trabalho.

Limitações de escopo

É lógico executar um HAZOP antes que o projeto tenha ido longe demais. Para muitas empresas, a análise de riscos é tediosa. Um grupo passa muitos dias martelando e talvez não queira estender o esforço com discussões sobre a racionalização de alarmes neste estágio. Além disso, o projeto do sistema de automação pode não ser suficiente para tornar tal discussão prática. Isso não é um problema se os resultados estiverem completamente documentados, mas a documentação inadequada pode causar problemas significativos nos esforços de projeto subsequente.

A análise de HAZOP identifica os perigos no processo e determina a probabilidade de um evento específico realmente acontecer. O LOPA considera maneiras de evitar o incidente ou, pelo menos, atenuar o resultado, com uma preferência por várias camadas de proteção para impedir a escalada para uma catástrofe completa. Um estudo LOPA normalmente vem depois do HAZOP, assumindo que uma empresa o utiliza como seu método de avaliação do nível de integridade de segurança (SIL). É quando os IPLs são identificados, incluindo aqueles definidos como ações do operador acionadas por alarmes. Se a equipe de HAZOP produziu documentação completa, este esforço deve ser simples.

Ações do operador e níveis de proteção

Quando a equipe do LOPA conclui que uma determinada ação do operador pode eliminar ou reduzir um risco identificado no HAZOP, um alarme pode ser definido como um IPL dentro da estratégia do sistema de segurança. Como resultado, esse alarme é incluído nos cálculos do SIL associados ao projeto do SIS. Os cálculos SIL podem receber crédito da presença do alarme e podem permitir uma ação menos drástica nas camadas subsequentes, contanto que o operador resolva adequadamente a situação.

Por exemplo, um intertravamento em uma camada subsequente, que exigiria um sistema com classificação SIL 2, pode exigir apenas o nível de proteção SIL 1 para obter a mesma eficácia geral quando combinado com o alarme. É claro que, se o alarme não fizer com que o operador execute a ação designada, o IPL falhará e o incidente aumentará até encontrar a próxima camada de proteção.

Com tudo isso em mente, fica claro que as principais informações desses estudos devem ter várias equipes distribuídas e implementadas para alcançar a resposta de alarme correta a um risco. Em cada passagem de bastão entre equipes e intervalo de tempo, as lacunas podem se formar na cadeia e interferir no resultado desejado.

Quando se atinge a racionalização

Mais tarde - possivelmente muito depois - depois que as outras equipes tiverem feito seu trabalho, a empresa formará uma equipe de racionalização de alarmes com o objetivo de determinar o conjunto ideal de alarmes a serem incluídos no sistema. A ideia é simples: entregar o alarme certo ao operador certo, na hora certa, com a devida importância e com a orientação correta para corrigir ou mitigar uma situação indesejável. Parece simples, mas uma equipe pode se tornar rapidamente intimidada pela escala e complexidade do desafio.

A equipe de racionalização de alarmes deve revisar e avaliar a operação da planta ou unidade, determinar os eventos indesejáveis que podem ocorrer e, subsequentemente, determinar quais alarmes associados são apropriados sob os critérios definidos no documento da filosofia de alarme. A equipe pode criar um projeto preliminar que inclua a prioridade, o ponto de ajuste e outros atributos de alarme. Uma equipe eficaz pode processar mais de cem alarmes por dia, de um total de cerca de 10.000, de modo que o processo costuma ser longo e tedioso.

Na maioria das vezes, há muito mais alarmes gerais de processos do que alarmes relacionados a condições de segurança. Assim, dentro do entendimento maciço de racionalização de alarmes, a equipe deve dar uma consideração especial a talvez 15% do total. Qualquer alarme destinado a funcionar como um IPL deve ser incluído como um dado. Não há dúvidas sobre a validade desses alarmes, porque eles já foram incluídos em uma estratégia de segurança mais ampla e definitivamente precisam estar lá. Além disso, eles devem ser implementados de uma forma que suporte a intenção definida na análise de segurança.

Isso levanta duas questões: Os membros da equipe de racionalização entenderão completamente a importância desses alarmes e selecionarão a melhor maneira de projetar o alarme para alcançar os resultados de mitigação previstos anteriormente?

Primeiro, a equipe de racionalização não deve ser forçada a determinar a diferença entre os alarmes normais e aqueles que são verdadeiramente críticos. As críticas devem ser claramente definidas e documentadas pela análise de riscos, e seu tratamento deve ser definido no documento da filosofia de alarme. Quando bem feita, a documentação não deve deixar dúvidas de quais alarmes devem ser IPLs. Se a documentação for insuficiente, há uma chance de que um alarme não seja tratado adequadamente ou seja totalmente perdido.

Segundo, a equipe de HAZOP provavelmente não especificará como o alarme deve ser implementado, dadas as informações limitadas disponíveis durante essa fase da análise. A equipe de racionalização terá que rever o risco e determinar que evento dispara um alarme e que série de ações o operador deve realizar dentro da janela de tempo necessária para mitigar a situação.

Figura 2: Um consultor experiente fornece continuidade, então todos os elementos são preenchidos apropriadamente.

Não para os desanimados

Uma equipe não pode esperar rever todos os riscos e também projetar a solução de mitigação através de camadas de proteção e alarmes. Embora ideal, é impraticável para a maioria das empresas. Na realidade, é comum que cada equipe - HAZOP, LOPA, racionalização de alarmes, implementação - funcione independentemente, provavelmente em momentos diferentes e com pessoas diferentes (figura 2). Haverá várias transferências de estágio para estágio. Com documentação eficaz, essas transferências não se tornam pontos onde o conhecimento é perdido.

Como estamos nos concentrando na racionalização de alarmes, vamos ver como esse processo funciona ao lidar com alarmes relacionados à segurança, muitos dos quais se qualificam como IPLs e figuram nos maiores cálculos do SIS. A racionalização de alarmes é um processo longo e complexo, amplamente documentado no ANSI / ISA-18.2, Gerenciamento de Sistemas de Alarme para as Indústrias de Processo (figura 3). Muitos elementos contribuem para a discussão, particularmente quando se trabalha com os alarmes orientados à segurança projetados para executar como IPLs. A equipe de racionalização de alarmes precisa entender a metodologia seguida pelas equipes anteriores para reconhecer os perigos e gerar os requisitos de alarme. Poucas empresas têm pessoas suficientes com a profundidade de habilidade, experiência e tempo para fazer isso, portanto a assistência externa é frequentemente necessária.

Figura 3: A ISA-18.2 descreve todo o ciclo de vida de um determinado alarme.

Como qualquer alarme, por definição, tem uma ação do operador associada, todos os alarmes exigem gerenciamento de fluxo de trabalho. Os operadores precisam conhecer as respostas de memória, ou pelo menos recuperá-las rapidamente. Qualquer pessoa que audite o sistema provavelmente questionará os operadores para garantir que eles possam responder de maneira correta e rápida. Isso significa que esses indivíduos precisam ser treinados. Isto é especialmente verdadeiro para os alarmes de segurança, onde há provavelmente um requisito de tempo de resposta muito rigoroso. Esses alarmes exigem a resposta correta dentro de um tempo especificado, ou a oportunidade de diminuir a velocidade ou interromper o escalonamento do problema será perdida.

Consequentemente, qualquer pessoa na equipe de racionalização de alarmes deve trazer uma variedade de habilidades e uma compreensão completa de todas as implicações das ações da equipe. A relação entre o BPCS e os alarmes nos cálculos do SIS é complexa. Nem todos os alarmes recomendados para ajudar a mitigar os perigos relacionados ao SIS são qualificados como IPLs, portanto, determinar onde o crédito é realizado requer um profundo entendimento desses mecanismos.

Se os alarmes introduzidos no sistema de segurança não forem implementados corretamente, o IPL perde sua validade, juntamente com qualquer crédito nos cálculos maiores do SIS. Isso geralmente acontece em uma base prática, se alguém reconhece ou não. Se o alarme não for implementado corretamente, pode haver uma demanda excessiva no SIS, fazendo com que ele não tenha disponibilidade necessária para mitigar os riscos.

A racionalização de alarmes requer uma revisão de engenharia antes da implementação, para que os alarmes possam ser identificados corretamente, com cada alarme resultante fornecendo a proteção necessária para cumprir os cálculos de HAZOP, IPL e SIL associados. É claro que esse elemento de racionalização de alarmes é apenas uma faceta de um processo maior. A maioria das empresas não consegue, dada a complexidade e o risco associados ao esforço, mas consultores externos estão disponíveis para ajudar.

Para entender a interação desses elementos, todos os envolvidos precisam de ampla experiência na indústria de processos. Instalações e unidades de processamento geralmente lidam com produtos muito perigosos com riscos potenciais graves. Manuseá-los bem requer disciplina para evitar condições que possam causar um incidente. Os facilitadores da equipe, sejam funcionários ou consultores, devem garantir que todos os participantes da cadeia de análise, projeto e implementação saibam o que é necessário para atender às expectativas de segurança.

Consultores externos, como participantes neutros, podem aumentar a probabilidade de permanecer no caminho certo e evitar brigas internas. Eles também trazem experiência de dezenas de projetos - mais do que a variedade de experiência possível para alguém que trabalha para uma empresa ou fábrica.
 


Considerações:

- O sistema de segurança instrumentado e os alarmes do operador interagem, mas geralmente são desenvolvidos por pessoas diferentes em momentos diferentes.

- ANSI / ISA-18.2 é uma ferramenta muito útil se for aplicada adequadamente.

- Os alarmes do operador que se destinam a funcionar como camadas de proteção independentes devem ser planejados e implementados com cuidado.
 


Boas práticas de documentação:

Por Joe Alford, membro do Conselho Consultivo Editorial da Revista InTech

Boas práticas de documentação facilitam o gerenciamento de projetos à medida que avançam das especificações iniciais para a implementação final do sistema. Boa documentação é crítica; Muitas vezes diferentes aspectos de um projeto são tratados em momentos diferentes e por diferentes grupos de recursos. O potencial para comunicação verbal perdida, esquecida ou mal interpretada é grande. Em todos os documentos discutidos, é importante observar a justificativa para as decisões. Muitas decisões são comprometidas e é importante capturar sua justificativa.

Os tópicos de documentação selecionados relevantes para este artigo incluem requisitos funcionais (FRs), projeto do sistema, controle formal de mudanças, filosofia / racionalização do alarme e teste / comissionamento do sistema.

Requisitos funcionais: Um sistema validado requer documentação de FRs (Functional Requirements) e é uma prática recomendada para todos os sistemas. Este documento é a lista completa de requisitos de projeto, sistema, infra-estrutura e produto dos vários participantes do projeto. Ele é usado para ajudar a selecionar fornecedores de sistemas e ao projetar e testar o sistema.

Concepção do sistema: A parte da concepção de um projeto é orientada por requisitos funcionais e deve ser documentada. Ele geralmente inclui uma infinidade de documentos, até detalhados desenhos de tubulação e instrumentação. O projeto mostra, por exemplo, se um SIS separado está incluído, informações LOPA, interfaces com outros computadores da planta e onde os alarmes serão gerados.

Controle Formal de Mudança: Quase todos os principais projetos de plantas experimentam mudanças significativas à medida que o projeto avança (por exemplo, uma análise de modos e efeitos de falhas geralmente resulta em uma revisão significativa do projeto da planta ou do sistema, para reduzir os riscos inaceitáveis do projeto original). É importante que uma organização tenha um procedimento de gerenciamento de mudanças para impulsionar atividades associadas, por exemplo, a alterações no projeto da fábrica, incluindo a necessidade de atualizar a documentação relevante. Isso permite que as atividades atrasadas do projeto, como a racionalização de alarmes, usem o projeto "atualizado" e outros documentos para determinar quais alarmes implementar e quais devem ser seus atributos.

Filosofia / racionalização de alarmes: Os requisitos de gerenciamento de alarmes estão descritos na norma nacional ANSI / ISA-18.2. Isso inclui a necessidade de um documento de filosofia de alarme - que, por sua vez, descreve os requisitos para as várias atividades do ciclo de vida do gerenciamento de alarmes, incluindo a racionalização. A racionalização de alarmes pode ser uma tarefa assustadora, com vários atributos que precisam de especificação para, às vezes, milhares de alarmes de fábrica. Muitos desses valores de atributo podem ser melhor determinados com a ajuda de documentos de atividades de projeto concluídas anteriormente, como especificações funcionais, projeto do sistema e documentação gerada como parte do controle de alterações.

Teste / comissionamento do sistema: O teste é amplamente orientado por requisitos funcionais (ou seja, o principal objetivo do teste é mostrar que os FRs foram atendidos). O teste inclui a verificação de que os alarmes funcionam conforme o esperado, o que requer que os alarmes sejam implementados de acordo com os resultados da racionalização de alarmes, que, por sua vez, depende dos resultados das atividades anteriores do projeto. Por exemplo, o ANSI / ISA-18.2 observa que as fábricas podem designar algumas classes de alarmes como "altamente gerenciadas", porque elas possuem requisitos administrativos (por exemplo, relatórios) especiais. Quaisquer alarmes designados como "altamente gerenciados" normalmente serão determinados a partir da documentação de atividades de projeto concluídas anteriormente, como revisões do HAZOP.


Sobre os Autores:

Lee Swindler, PMP, Gerente de Programação da MAVERICK Technologies, tem 30 anos de experiência na indústria de automação. Ele é engenheiro de segurança funcional certificado pela TÜV.

Ron Carlton, Consultor da MAVERICK Technologies, tem 30 anos de experiência na indústria petroquímica e é responsável pelo desenvolvimento de processos e filosofia em gerenciamento de alarmes.

Richard Slaugenhaupt, Consultor da MAVERICK Technologies, tem mais de 34 anos de experiência em controles industriais.
 


Artigo traduzido por Tomé Guerra para a ISA São Paulo Section e republicado com permissão da ISA, Copyright © 2018, Todos os direitos reservados. Este artigo foi escrito pelos autores acima e publicado originalmente na revista InTech Online de Jan-Fev / 2018 em https://www.isa.org/intech/20180204/A ISA não se responsabiliza por erros de tradução neste artigo. 

voltar para Revista InTech

left show tsN fwR uppercase b01n bsd|left tsN fwR uppercase b01ns bsd|left show fwR uppercase b01ns bsd|bnull||image-wrap|news login uppercase bsd b01|fsN fwR uppercase b01 bsd|fwR uppercase b01 bsd|login news fwR uppercase b01 bsd|tsN fwR uppercase b01 bsd|fwR uppercase bsd b01|content-inner||