Elisio Carvalho Silva

Causa comum de falha (CCF – common cause failure) é condição que desabilita duas ou mais barreiras com um mesmo evento. Nessa linha, a IEC-61511 define CCF como “falhas simultâneas de diferentes dispositivos, resultantes de um único evento, em que essas falhas não são consequências umas das outras”. Por outro lado, a IEC 61508 pontua que CCF é “o resultado de um ou mais eventos que causam falhas simultâneas em dois ou mais canais separados em um sistema multicanal, levando à falha do sistema”. Como exemplo, pode-se citar dois transmissores de pressão com votação 1oo2, que é bastante seguro, numa corrente que o produto tem o ponto de fusão de 40oC, por isso as linhas e tomadas devem possuir steam trace. Contudo, se houver uma falha no aquecimento, por exemplo, falha em purgador, poderá ocorrer obstrução e, mesmo com tomadas independentes, os transmissores falharão. Abaixo está uma representação por meio de árvore das falhas: Outras formas de ocorrer CCF é manutenção e calibração dos dois instrumentos serem feitas pela mesma pessoa, se houver um entendimento errado do set de calibração, o erro poderá ocorrer nos dois instrumentos. Esses eventos também podem ocorrer com válvulas de alívios de pressão (PSV), válvulas de alívio de pressão e vácuo (PVRV) e outros tipos de barreiras. O que pode ser feito para reduzir a possibilidade de ocorrer CCF: Em análise de risco, discutir as possibilidades de desabilitação simultânea de dois ou mais equipamentos por obstrução, manutenção incorreta, especificação errada, by-pass indevido, estresse de equipamento devido a temperatura, corrosividade, etc. Sabemos que no dia a dia é difícil fazer essa abordagem, mas vale a pena o facilitador da análise chamar a atenção desses pontos; Considerar diversidade de equipamentos; Cabos de instrumentos encaminhados separadamente; Independência entre as barreiras, por exemplo, tomadas diferentes, instrumentos em canais diferentes, etc.; Equipes diferentes para manutenção de equipamentos duplicados, entre outros. Para instrumentos, consulte a tabela D.1 da IEC 61508 parte 6. Precisando de ajuda, entre em contato com a ECS consultorias.

Imagine que a sua planta tenha um sistema que envia produto líquido altamente inflamável para uma esfera a uma pressão de 50 barg. A esfera foi projetada para uma pressão máxima permitida de 30 barg. Os seguintes dispositivos estão instalados para evitar ruptura vaso por alta pressão: -Válvula de controle de redução de pressão controlada diretamente pelo sistema básico de controle de processo para manter a pressão de entrada do líquido controlada em 18 barg; -Uma válvula de controle de pressão no topo da esfera enviando para o flare, se a pressão atingir 22 barg. O controle está também no sistema básico de controle de processo (PT-resolvedor lógico-PV); Um alarme de pressão alta com o PT independente do sistema de alívio de pressão mencionado no parágrafo anterior e utilizando o mesmo resolvedor lógico, com set em 26 barg. O operador é treinado no procedimento específico que indica o passo a passo da tomada de ação se o alarme for acionado. -Uma indicação de nível que ao atingir 80%, fechará a PV pelo sistema básico de controle de pressão. -Uma válvula de alívio com o set de abertura em 30 barg. Existem continuamente pessoas trabalhando nas proximidades do vaso que, se ocorrer uma ruptura, poderá causar múltiplas fatalidades. A matriz de tolerabilidade de risco subscrita pela empresa exige que a frequência de falha para um cenário como este não pode ser ˃1E-05 falhas/ano. Qual a melhor metodologia para analisar se esse cenário é considerado tolerável conforme o critério da empresa mencionado no parágrafo anterior? A melhor metodologia é Layer of Protection Analysis porque analisará com detalhes a frequência de falha mais correta do evento iniciador e avaliará as salvaguardas com vistas nos critérios estabelecidos das camadas independentes de proteção com base nas boas práticas largamente aceitas (CCPS, IEC 61511, etc.). Este cenário será considerado tolerável? Outra importante pergunta que Lopa pode responder é se precisará de alguma função instrumentada de segurança e qual o SIL requerido a fim de reduzir o risco na frequência subscrita pela empresa. Precisando de ajuda, entre em contato com a ECS Consultorias.

Será que a sua empresa não está jogando dinheiro fora ao definir um SIL requerido para uma função instrumentada de segurança (SIF), em uma análise de LOPA, acima do que realmente precisa? Neste artigo serão tratadas as possibilidades de determinar um SIL em baixa demanda ou alta demanda/contínua. Abaixo está um estudo de caso, que pode ocorrer em qualquer empresa química, petroquímica, óleo e gás e mineração. _______________x______________x_____________x__________x___________x_____________x____________x_______________ Um grupo para elaborar uma análise de camada de proteção (LOPA) está reunido discutindo o cenário encontrado na análise de risco. Um reator em batelada faz duas reações por dia, operando 24 horas por dia. O início da batelada ocorre quando uma massa de produto recircula, juntamente com catalisador, e após 10 minutos inicia-se a adição de um reagente. À proporção que é adicionado o reagente, como a reação é exotérmica, a temperatura começa a subir. Existe um controle de temperatura que adiciona água na camisa do reator. Se a temperatura atingir 75oC, poderá ocorrer descontrole da temperatura e pressão que poderá causar ruptura do reator. Por isso, existe um SIF para interromper a vazão do reagente quando a temperatura atingir 70oC. O controle é feito em 65oC,  por ser um pouco lento, o representante da operação informa que pode ocorrer demanda no SIF pelo menos 80 vezes ao ano. Além do SIF, há uma válvula de alívio de pressão que protege o reator para alta pressão. Já houve várias tentativas para melhorar o controle temperatura e não foi possível. Verificar qual o SIL do SIF necessário para atingir a categoria de frequência do cenário desejada que é 1E-04/ano. Verificar em baixa demanda e em alta demanda. Resposta: Fazendo o cálculo do SIL por LOPA considerando que o SIF será calculado por PFDavg, será encontrado uma PFDavg de 1,25E-04, portanto SIL 3. Adicionalmente, o HFT deverá ser 1, por exemplo, pode ser uma arquitetura 1oo2. O custo será bastante elevado! Já considerando que o SIF está no modo de alta demanda, que é o caso real, a frequência de falha do SIF encontrada é de 1,14E-06 falhas/hora que equivale a SIL 1 e HFT será de zero, dessa forma não precisará redundância, podendo ser uma arquitetura 1oo1. Neste caso, todo o sistema SIF deverá calculado como de alta demanda. Fazendo da forma correta, que é esta última opção, o custo será bastante reduzido e a sua empresa economizará bastante e ficará igualmente segura. A outra opção seria fazer uma força tarefa para melhorar o controle de temperatura para que reduza a demanda no SIF para ≤1/ano. Precisando de ajuda, entre em contato com a ECS Consultorias.

Segurança de processo é diferente de segurança ocupacional. Essa afirmação já é bastante conhecida, porém, ainda em algumas empresas que lidam com produtos perigosos, pode persistir a vocação em monitorar apenas índices de segurança ocupacional. Em função disso, abaixo está relatado um fato real que custou caro para a empresa, mas, felizmente não houve nenhum dano pessoal. Este relato foi extraído do livro “Gerenciamento de risco: Como implantar uma gestão eficaz para reduzir os acidentes de processo no setor industrial”, do autor Elisio Carvalho Silva. Caso 1 – Desempenho em segurança ocupacional não reflete a segurança de processo Uma empresa que lidava com produtos perigosos possuía muitos acidentes ocupacionais e incidentes de processo. Após implantação de um programa de gestão de segurança ocupacional e processo, os acidentes reduziram e a empresa ultrapassou o recorde de acidente sem afastamento em centenas de dias, um índice reativo com foco na segurança ocupacional. Devido a esse novo recorde de segurança houve uma premiação a todos para enaltecer o grande feito. Contudo, o líder da área de segurança foi bastante enfático ao dizer que esse bom resultado não poderia induzir às pessoas a reduzirem a atenção em segurança, principalmente na segurança de processo. Algumas lideranças diziam que a segurança estava muito boa e que não precisaria estresse em algo que estava controlado. No programa de gestão de segurança existia um sistema de notificação e análise de desvios que qualquer pessoa podia preenchê-lo, eletronicamente, e os responsáveis pelas áreas tomavam conhecimento imediatamente da situação adversa. Foi percebido que esses desvios (índices pró-ativos), a grande maioria de segurança de processo, começaram a aumentar, o que demonstrava que algo estava errado. Na reunião do comitê de segurança foi discutido esse achado, porém, nenhum plano foi posto em prática porque a grande maioria estava confortável pelo excelente resultado em segurança. Duas semanas após a reunião houve um descontrole no sistema de inibição de uma coluna de destilação. Esse sistema prevenia reação de condensação que poderia ocorrer no fundo da coluna. O descontrole perdurou por cerca de 24 horas e ninguém tomou uma ação adequada para evitar o pior. Ocorreu uma reação de condensação e liberação de uma grande quantidade de ácido clorídrico o qual pressurizou a coluna e a deformou completamente, uma vez que os discos de ruptura não foram suficientes para liberar a vazão do gás formado. Houve um custo de substituição de equipamento de cerca de um milhão de reais. Lição aprendida Mesmo os índices de segurança ocupacional estarem a indicar um bom desempenho, não significa que a atenção em segurança de processo possa ser reduzida. É fundamental medir o seu desempenho e tomar ações preventivas ou corretivas quando necessárias.

O gerenciamento de segurança de processo é importante para redução da possibilidade de incidentes nos processos industriais. Se bem implantado e com a participação de todos os colaboradores, quer seja em grupos de implantação e acompanhamento ou nos processos de comunicação para fomentar o entendimento e o engajamento desse sistema de gestão, certamente a unidade operacional ficará mais segura. Existem vários modelos do gerenciamento de segurança de processo, sendo o mais completo aquele sugerido pelo CCPS, que está bem detalhado no livro Guidelines for Risk Based Process Safety, o qual é composto por um total de vinte elementos. Por outro lado, a EPSC publicou um sumário das melhores práticas dos pontos chaves da gestão de segurança de processo na Europa, que vale a pena ler neste link. Se a sua empresa precisar consultoria para implantar o gerenciamento de segurança de processo, entre em contato com a ECS Consultorias.  

Sistema de controle em um processo industrial não deve fazer a função de segurança pelos seguintes motivos: Deve ser flexível para permitir mudanças frequentes nos parâmetros do processo, tais como: set points, configurações PID (proporcional-integral-derivativa), automático para manual, etc.; O controle de acesso é mais brando para permitir as alterações mencionadas no item anterior; Às vezes precisa colocar em by-pass e o sistema ser controlado manualmente; Por ter centenas de malhas em uma planta de processo industrial, é praticamente impossível ter documentações detalhadas e manutenções periódicas tais como ocorrem com os sistemas de segurança (sistema instrumentado de segurança). Portanto, a possibilidade de falha é alta, porém, na sua maioria são detectadas, uma vez que são controles e, ao falhar, será percebido pelo descontrole do processo, quer seja nível, fluxo, temperatura, etc. Por outro lado, um sistema de segurança necessita: Ter um controle de acesso rígido para evitar alterações. Qualquer mudança dever passar pelo gerenciamento de mudança; Ter pouca ou nenhuma interação humana. As poucas oportunidades de interação humana serão:  override em partidas de planta, quando necessário. Neste caso priorizar o tempo limite desse bypass de forma automática, a fim de evitar que seja esquecido e perdure por muito tempo; em manutenção, fazer override de porções do sistema. Importante ter procedimentos robustos para essas necessidades; Ser independente do sistema básico de controle de processo; Esses sistemas só entram em ação em caso de demanda devido a perda de controle, portanto, ficam dormentes por uma grande parte do tempo e suas falhas não são percebidas. Por isso, precisam de uma boa cobertura de diagnóstico (Cd) de falha para informar quando estiver em mau funcionamento.