GERENCIAMENTO DE ALARMES: EXPERIÊNCIAS E RESULTADOS NA INDÚSTRIA DO PETRÓLEO
GUSTAVO LEITÃO¹, LUIZ AFFONSO GUEDES², KAKU SAITO³, MAURICIO FERREIRA QUÉLHAS4, ANDRÉ LUCENA DE
ALMEIDA5
¹ Logique Sistemas
Rua Monte Sinai, 1920
Natal,RN,Brasil
²Laboratório de Informática Industrial, Departamento de Engenharia da Computação e Automação
Universidade Federal do Rio Grande do Norte
Natal, RN, Brasi
3,4,5Petroleo Brasileiro S/A - Petrobras
Av. República do Chile, nº 65 – Centro
Rio de Janeiro - 20031-912
Emails: [email protected], [email protected],
[email protected], [email protected],
Abstract The ineffectiveness of the classic alarm systems observed in various industries in the world motivated the activity
known as alarm management. The alarm management is the routine assessment and continuous improvement of the alarm sys-
tem. In this work, the activity of alarm management is detailed and solutions to common problems in the process industry, espe-cially in the oil industry. As a result, the gains achieved in alarm management are discussed.
Keywords Alarm management, alarm systems, alarms, operational safety, process optimization, oil industry.
Resumo A ineficácia dos sistemas clássicos de alarmes observados em diversos segmentos industriais no mundo motivou a
atividade conhecida como gerenciamento de alarmes. O gerenciamento de alarmes consiste na rotina de avaliação e melhoria
contínua do sistema de alarmes. Nesse trabalho, a atividade de gerenciamento de alarmes é detalhada e são mostradas soluções
para problemas comuns na indústria de processo, em especial na indústria de petróleo. Como resultados são apresentados alguns casos onde o trabalho de gestão de alarmes foi aplicado e os ganhos alcançados.
Palavras-chave Gerenciamento de alarmes, sistemas de alarmes, alarmes, segurança operacional, otimização de processos, in-
dústria do petróleo.
1 Introdução
A integração das informações de chão-de-
fábrica aos sistemas corporativos possibilita a otimi-
zação da gerência. Dentre os vários benefícios exis-
tentes nessa integração, podemos destacar: a disponi-
bilidade para comprometimento, redução do tempo
de produção e otimização da cadeia de suprimentos.
No entanto, essa integração dos sistemas mo-
dernos, em consonância com a revolução digital
ocorrida nas últimas décadas, acarretou também em
um extremo aumento da quantidade de dados dispo-
nibilizados a partir do chão-de-fábrica. Esse aumento
trouxe consigo um grande desafio: transformar esse
grande volume de dados em informação útil à toma-
da de decisão, de modo que venha a contribuir efeti-
vamente na melhoria da operação e planejamento do
processo como um todo.
Nesse contexto, observou-se nas últimas déca-
das um aumento exponencial do número de alarmes
configurados por operador. Para compreender melhor
esse problema é importante entender que antes da
adoção dos sistemas digitais, os alarmes eram repre-
sentados por painéis luminosos onde cada lâmpada
sinalizava uma anormalidade no processo. Ao ser
identificada uma anormalidade, um sinal luminoso e
outro sonoro eram disparados. O operador, como
forma de mostrar ciência do problema, pressionava
uma botoeira que silenciava o sinal sonoro e trans-
formava o sinal luminoso de intermitente para um
sinal constante. O sinal luminoso ficava ligado até
que a anormalidade do processo tenha sido resolvida.
Assim, com a adoção dos PES (sistemas eletrô-
nicos programáveis), um alarme deixou de ser uma
lâmpada em um painel físico e passou a ser um item
configurável e visualizado através de uma tela onde a
lista de alarmes era apresentada quase sempre em
formato de tabela. Assim, a adição de novos alarmes
tornou-se uma tarefa de baixo custo e feita geralmen-
te sem uma metodologia formal, o que resultou no
acréscimo do número de alarmes configurados e
consequentemente reportados por operador. Estima-
se, que hoje, um operador manipule, em média, cerca
de 3500 alarmes geralmente organizados em tabelas
nem sempre visíveis ou facilmente acessíveis (ver
Figura 1 para a evolução do número de alarmes con-
trolados por um operador) (Habibi, 2006).
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3822
Figura 1 – Evolução do número de alarmes
Em consequência disso, atualmente a maior par-
te dos sistemas de alarmes reportam mais ocorrências
do que pode ser individualmente analisada e entendi-
da pelo operador. A Figura 2 mostra um típico relató-
rio de taxa de alarmes por dia nas indústrias. Como
pode ser observado, a realidade está bem distante da
média aceitável estabelecidas pelas normas interna-
cionais. Ainda assim, durante uma anormalidade do
sistema, essa magnitude tende a crescer em número e
velocidade tornando os sistemas de alarmes ainda
mais inúteis nesses momentos. Investigações dos
mais recentes incidentes da indústria mostram que o
número excessivo de alarmes, acompanhado da ine-
ficiência em se determinar a causa raiz para o pro-
blema, contribuíram significativamente para trans-
formar, para pior, a situação.
Figura 2 – Típico resultado de Taxa de alarmes por dia
Nesse contexto, o presente trabalho tem como
objetivo central ressaltar a importância da atividade
de gerenciamento de alarmes, propor metodologias
bem como abordar alguns dos problemas encontra-
dos na indústria de petróleo e como resolvê-los.
2 O Alarme
Um alarme é uma notificação ao operador sobre
a ocorrência de uma anormalidade que necessita de
uma ação a ser tomada em um tempo restrito
(EEMUA, 1999). Porém, o aumento da complexida-
de dos sistemas e a inclusão e monitoramento de
alarmes sem uma filosofia formal, acabam por gerar
diversos alarmes que não se encaixam nesta defini-
ção básica.
De tal modo, muitas vezes é necessária a inter-
pretação de múltiplos alarmes, eventos e paneis sinó-
ticos do processo para a identificação de uma anor-
malidade gerando uma sobrecarga operacional. As-
sim, a operação do processo através dos alarmes
torna-se uma tarefa humanamente impossível de ser
realizada, principalmente em uma situação anormal
do processo, onde uma única falha pode gerar cente-
nas de notificações de alarmes.
Neste contexto, os sistemas de alarmes, que têm
como função o monitoramento de anormalidades da
planta, geralmente não o faz adequadamente princi-
palmente durante uma situação anormal do processo
quando deveriam ser ainda mais úteis.
2.1 Ineficácias dos Sistemas de Alarmes
Como apresentado anteriormente, os atuais sis-
temas de alarmes não estão preparados para lidar
com o grande volume de dados recebidos durante
uma situação anormal. Pois, quando submetidos a
situações de perturbação da planta, os sistemas ge-
ram uma grande quantidade de alarmes, tornando a
situação inoperável (Mattiasson, 1999).
Uma investigação em Scanraff (Mattiasson,
1999) mostrou que durante a operação normal de
uma planta, a média do número de ações do operador
por hora é de 3,1 via o sistema supervisão (em uma
semana aleatória). No entanto, durante uma perturba-
ção no processo, esta média de ações do operador
aumenta para 52,8 por hora, o que é quase uma ação
por minuto. As ações do sistema devem ainda ser
realizadas em conjunto com discussões e instruções
passadas via rádio e telefone, tornando ainda mais
complicado lidar com esses sistemas sob operação
anormal.
Um outro estudo conduzido pelo HSE
(EEMUA, 1999) com objetivo de levantar as defici-
ências na área apontou resultados semelhantes. Uma
pesquisa feita com 96 operadores de 13 plantas, mos-
trou que sob operação normal um operador recebe
em média 1 alarme a cada 2 minutos. Cerca de 50%
desses alarmes são alarmes repetitivos que o opera-
dor já visualizou nos últimos 5 minutos. Porém, sob
operação anormal, após um distúrbio na planta, ocor-
rem tipicamente aproximadamente 90 alarmes no
primeiro minuto e mais 70 nos 10 minutos subse-
quentes. Diante destes números fica evidente obser-
var que os alarmes surgem demasiadamente rápidos,
tornando impossível ao operador compreendê-los.
Aproximadamente 50% dos operadores admitiram
que se sentiram forçados a aceitar um alarme, sem se
quer lê-los ou entendê-los.
2.2 Incidentes
Diante desta ineficácia dos sistemas de alarmes,
não raros são os incidentes que têm como uma das
causas a falha na identificação a tempo da anormali-
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3823
dade ocorrida. Dentre esses incidentes provocados
pela sobrecarga de alarmes e/ou informação aos
operadores podem-se citar: a explosão da refinaria da
Texaco em Milford Haven e o incidente nuclear em
Three Mile Island (Bransby, 1998).
A explosão da refinaria em Milford Haven, em
julho de 1994, teve como principal causa a queda de
um raio. O raio atingiu a refinaria da Texaco cinco
horas antes da explosão, porém durante este período
os operadores não foram capazes de identificar a
causa do problema. O sistema de alarmes gerava uma
nova ocorrência em média a cada dois segundos,
tornando impossível processá-las para identificar a
causa raiz das ocorrências. A ineficiência em priori-
zar os alarmes (87% dos alarmes possuíam alta prio-
ridade) e as características da interface gráfica tam-
bém contribuíram de forma determinante para a ocor-
rência do episódio. O acidente poderia ser evitado se
os operadores desligassem a planta, porém o descré-
dito do sistema de alarmes associado com a dificul-
dade de encontrar uma causa para as ocorrências de
alarmes impossibilitou tal ação (Bransby 1998,
Bransby & Jenkinson 1998, Wilson 1998). O aciden-
te gerou 48 milhões de libras em danos causados pela
explosão, além de multas e processos judiciais en-
volvendo os 26 funcionários feridos durante esse
acidente.
Similarmente, o episódio no Three Mile Island,
apontou diversas falhas nos sistemas de alarmes. No
momento do incidente ocorreram centenas de alar-
mes com baixo teor informativo e ainda os alarmes
de sinais importantes estavam erroneamente suprimi-
dos.
Esses incidentes estimularam a criação de pro-
jeto de estudos para os sistemas de alarmes gerando
algumas normais internacionais como será apresen-
tado na seção seguinte. Um dos primeiros estudos
realizados para a indústria química e de energia no
gerenciamento de alarmes foi desenvolvido pela HSE
(Health and Safety Executive), que demonstrou que
as deficiências encontradas no sistema de alarmes da
refinaria Milford Haven eram comuns a outros siste-
mas de alarmes adotados em diferentes companhias e
que algumas empresas já estavam adotando políticas
de melhoramento em seus sistemas e metodologias
(Bransby, 2000). Dessa forma, esse documento ser-
viu de ponto de partida para construção de roteiros de
boas práticas, a norma EEMUA 191 e a norma de
padronização de sistema de alarmes ISA 18.2.
3 Metodologia
Diante desse cenário, uma série de boas práticas
para configuração e manutenção dos alarmes vem
sendo empregadas nas indústrias de processo como
forma de diminuir o número de ocorrência de alar-
mes desnecessários. Essa atividade é conhecida como
racionalização de alarmes e tem como objetivo reali-
zar a análise das ocorrências de alarmes passados e
propor e implementar melhorias como forma a evitar
que o problema ocorra novamente. Esse processo é
geralmente executado periodicamente por uma equi-
pe multidisciplinar composta geralmente por enge-
nheiros de processo, engenheiros de equipamentos e
técnicos de operação, instrumentação e automação.
O primeiro passo para qualquer trabalho de ra-
cionalização de alarmes é definir uma filosofia de
alarmes a ser empregada na companhia. A definição
da filosofia é de extrema importância, pois serve de
guia durante todo o trabalho. A filosofia é composta
geralmente por um conjunto de boas práticas na
configuração dos alarmes e definições. Uma vez
definida a filosofia, o ciclo de gerenciamento de
alarmes pode ser iniciado. Nesse trabalho foi utiliza-
do como referência um ciclo de gestão apresentado
na Figura 3. Este fluxo de trabalho é uma simplifica-
ção do ciclo proposto pela norma ISA 18.2.
Figura 3 – Ciclo de gestão de alarmes simplificado
Como pode ser visto na Figura 3 a primeira fase
do ciclo é a etapa de identificação. Nessa fase é reali-
zada uma análise estatística das ocorrências de alar-
mes onde os principais alarmes do período são então
identificados. O Objetivo nessa etapa é identificar,
por exemplo, os bad-actors (alarmes mais frequentes
do período), alarmes ruidosos (alarmes que ocorrem
dezenas de vezes por segundo), alarmes duplicados,
alarmes falsos, dentre outros problemas. Na etapa
seguinte, chamada de racionalização, os alarmes
problemáticos identificados na etapa anterior são
avaliados como forma de avaliar suas configurações.
Nesse momento melhorias são propostas pelo grupo.
A fase seguinte, é conhecida como Projeto e Implan-
tação e é onde é realizado um projeto para concreti-
zar as mudanças necessárias. Essas mudanças podem
ser desde a remoção, inclusão ou ajuste de configura-
ção de um alarme ou até mesmo alteração da instru-
mentação como, por exemplo, adição de um novo
instrumento de campo. As alterações mais simples,
que não demandam projeto, podem ser implementa-
das nesse momento. Na fase seguinte, é realizado o
monitoramento de desempenho das mudanças reali-
zadas nos ciclos anteriores como forma de avaliar se
as mudanças propostas solucionaram os problemas
que se propunham a resolver. Por fim, é realizada a
gestão de mudanças, onde todas as alterações são
rigorosamente documentadas e disponibilizadas para
os interessados.
Identificação
Racionalização
Projeto e Implantação
Monitoramento de desempenho
Gestão de Mudanças
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3824
Assim, é muito importante a utilização de al-
gum sistema de gerenciamento de alarmes para aju-
dar no ciclo de gestão de alarmes. Um bom sistema
de alarmes deve tanto ajudar na identificação dos
alarmes que necessitam de atenção por parte do gru-
po, bem como, auxiliar na gestão de mudanças das
configurações de alarmes.
4 Boas Práticas e Casos Típicos
Durante a execução do ciclo de gestão de alar-
mes é muito importante que a equipe esteja sintoni-
zada para tratar os problemas. Assim, nessa seção
será apresentado um conjunto de boas práticas e
problemas comuns à indústria de petróleo. Muitas
das recomendações podem ser encontradas nas nor-
mas de gerenciamento de alarmes e algumas delas
são resultados de anos de experiência em configura-
ção e gestão de alarmes.
4.1 Configurações dos Alarmes
Uma das grandes preocupações para se ter um
sistema de alarmes bem configurado é que apenas
alarmes que precisem de uma ação operacional apa-
reçam para os operadores. Além disso, em um cená-
rio com mais de um alarme habilitado o operador
saiba priorizar suas ações baseado na criticidade dos
cenários atuais. Assim, a seguir são descritas alguns
dos pontos de atenção em que se deve ter no momen-
to de projeto de um determinado alarme.
a) Diferença entre Alarme e Evento
Um dos principais equívocos encontrados nas
configurações dos alarmes é ter eventos do processo
configurado como alarme. Por definição, um alarme
é qualquer meio auditivo ou visual que indique uma
condição anormal associada ao processo ou equipa-
mento e que exige uma ação em um tempo restrito.
Qualquer alarme que não caiba nessa definição deve
ser transformado em um evento.
Por exemplo, a abertura de uma válvula por si só
não deve ser considerada um alarme, pois não indica
uma condição anormal do processo e não possui uma
ação operacional a ser executada. No entanto, caso o
operador comande a abertura e após um tempo a
válvula não se abra adequadamente, aí sim se tem um
alarme. Similarmente, ao comandar uma partida ou
parada de uma bomba, o evento de partida/parada
não deve aparecer na lista de alarmes. Apenas caso a
ação não seja executada adequadamente é que um
alarme deve existir.
b) Características de um Bom Alarme
É muito importante que o sistema de alarmes, se-
ja confiável para que possa ser útil. Assim, para
atender à definição, um alarme deve ser projetado
considerando-se as limitações humanas e deve possu-
ir as seguintes características:
1. Relevância: deve ter importância operacional
definida; se nenhuma resposta está associada ao
sinal gerador do alarme, este sinal não deve ser
um alarme;
2. Singularidade: uma mesma informação não deve
ser representada por dois diferentes alarmes, evi-
tando duplicidade de procedimentos de resposta
que podem confundir e sobrecarregar o opera-
dor;
3. Precisão: nenhum alarme deve ser apresentado
com muita antecedência à sua resposta ou muito
tarde para que uma medida corretiva seja execu-
tada;
4. Grau de importância: todo alarme deve possuir
uma prioridade, facilitando assim a tomada de
decisões do operador;
5. Clareza: a mensagem do alarme deve ser de fácil
compreensão e chamar atenção para as informa-
ções mais importantes que se deseja transmitir
c) Banda Morta
Uma das grandes preocupações para se ter um
sistema de alarmes bem configurado é evitar a anun-
ciação repetidamente de um mesmo alarme. Para
resolver esse problema é importante implementar no
sistema de alarmes uma estratégia de configuração de
banda morta. A banda morta é uma faixa dentro da
qual o alarme não tem seu estado alterado, indepen-
dentemente da variação do sinal lido. A Figura 4
mostra um exemplo de configuração de banda morta.
Note que após o sinal cruzar a primeira vez o valor
de ajuste do alarme o alarme é ativado, no entanto
para que a normalização ocorra o alarme tem que
cruzar a faixa da banda morta. Esse tipo de configu-
ração é bastante importante, pois garante que o ope-
rador será notificado tão logo o alarme atinja o valor
de ajuste e ainda assim evita a múltiplas ocorrências
devido a pequenas variações em torno do limiar do
alarme.
Figura 4 – Banda morta
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3825
d) Delay-on/Delay-off
Outra importante estratégia, também para evitar
a anunciação repetidamente de um mesmo alarme, é
a configuração de um atraso para a ativação do alar-
me. O objetivo dessa técnica é evitar que um pico
repentino de um sinal gere um alarme inútil. Assim, é
configurado esse atraso chamado de delay-on onde o
alarme apenas irá soar caso o sinal permaneça por
alguns segundos na região de alarme. Similarmente é
importante configurar o delay-off, onde o alarme é
normalizado apenas após o sinal permanecer um
tempo configurável em situação normal.
e) Priorização dos Alarmes
É de extrema importância que todos os alarmes
possuam uma prioridade associada. A prioridade é
bastante importante para que o técnico de operação
possa priorizar sua atenção em um cenário de múlti-
plos alarmes.
Uma boa prática é priorizar os alarmes em fun-
ção do tempo disponível para resposta do operador, e
dos impactos causados na planta quando da ausência
desta resposta. Estes impactos podem estar relacio-
nados à perda de produção e de ativos, meio ambien-
te e segurança pessoal, consideradas dentro destas
categorias os alarmes definidos para atendimento à
legislação local ou a políticas internas da companhia.
Durante a avaliação destes impactos, devem ser
consideradas as camadas de proteção que estão dis-
poníveis na planta no momento da análise. Estas
camadas de proteção podem ser funções instrumen-
tadas de segurança ou dispositivos mecânicos de
proteção, como válvulas de segurança. A ausência de
camadas de proteção adequadas tende a fazer com
que o alarme adquira uma prioridade elevada. A
disponibilidade de um SIS bem projetado, por exem-
plo, tenderá a reduzir o impacto associado ao meio
ambiente e segurança pessoal, e a aumentar o impac-
to associado a perda de produção, já que na ausência
de resposta do operador ao alarme, deve ser conside-
rado que o SIS irá atuar.
Idealmente não devem existir muitos níveis de
prioridades de alarmes. Uma boa recomendação é ter
apenas três níveis: baixa, média e alta. Como uma
métrica de boa prática as configurações de alarmes
devem obedecer a distribuição onde 5% dos alarmes
da planta sejam de prioridade alta, 15% de prioridade
média e 80% de prioridade baixa.
4.2 Casos Típicos
a) Partida / Parada de bombas
As Figura 5 (a) e (b) mostram casos típicos de
controle ON-OFF para nível de vasos e tanques (ou
reservatórios em geral). Comumente todos os níveis
(alto, muito alto, baixo e muito baixo) de alarmes são
configurados e anunciados ao operador. No entanto,
uma boa estratégia para esse caso é configurar ações
automáticas em caso de alarmes de nível alto e baixo,
suprimindo os alarmes. As devidas ações automáti-
cas e alarmes para estes sistemas são listados na
Tabela 1.
Tabela 1 - Ação automática e alarmes para controle ON-OFF de
nível.
Situação ope-
racional
Ação automática Alarme no
SDCD
Nível muito alto - Sim
Nível alto Parte bomba / abre
válvula Não
Nível baixo Para bomba /
fecha válvula Não
Nível muito
baixo - Sim
(a) (b)
Figura 5 - Controle ON-OFF de nível de vasos ou tanques, (a) por
partida/parada de bombas ou (b) abertura/fechamento de válvulas
b) Pressão de Descarga de Bombas
Tipicamente são empregados transmissores de
pressão em descarga de bombas, como ilustrado na
Figura 6, utilizados para indicar baixa eficiência das
respectivas bombas. Se a pressão cair enquanto a
bomba estiver operando, a razão pode ser por falha
da bomba ou ainda rompimento da tubulação / flan-
ges. Por outro lado, quando a bomba estiver parada, a
pressão estará normalmente abaixo do limite confi-
gurado de alarme. Assim, caso a bomba esteja parada
os alarmes de pressão de descarga devem ser supri-
midos. A Tabela 2 apresenta a correta supressão de
alarmes.
Figura 6 - Alarme de pressão para descarga de bombas
Tabela 2 - Alarme de pressão para descarga de bombas
Situação operacional Alarme no SDCD
Bomba parada Suprimido
Bomba operando Habilitado
c) Controle de Nível por Vazão de Refluxo
O controle de nível em vasos no topo de torres é
comumente efetuado em cascata com controle de
vazão, como mostrado na Figura 7. As bombas utili-
zadas nestes sistemas, geralmente possuem vazão
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3826
mínima de operação e, por isso, normalmente são
configurados alarmes de vazão baixa nas FCs da
estrutura de controle.
Sendo assim, é conveniente que seja configura-
do Limite Inferior para o set-point do controlador na
FC, impedindo que o controle de nível leve o sistema
a operar abaixo do limite inferior de vazão da bomba.
Além disso, deve-se configurar supressão do
alarme de vazão baixa pelo status da bomba (equiva-
lente à configuração apresentada na seção anterior).
Figura 7 - Controle de refluxo de vasos de topo de torres separado-ras
Configurações típicas na controladora de vazão, FC:
• Alarme de vazão baixa: acima da vazão
mínima da bomba
• Limite Inferior de set-point, SP: acima do
alarme low
É importante ressaltar que a configuração de li-
mites de set-point deve ser usada sempre que houver
controle em cascata, e a malha escrava possuir alar-
mes de low ou high. Os limites de set-point devem
sempre ser mais restritivos que os limites de alarme.
5 Índices de Desempenho (Kpi’s)
Para o acompanhamento e avaliação dos resul-
tados dos trabalhos de gerenciamento de alarmes é
importante realizar o acompanhamento de alguns
índices de desempenho dos sistemas de alarmes.
Nessa seção serão apresentados alguns dos mais
importantes índices na atividade de gestão de alar-
mes.
a) Taxa de Alarmes Horária por Operador
Antes de entender esse índice, é importante per-
ceber que os sistemas de alarmes devem ser projeta-
dos para a capacidade humana de processar as infor-
mações. Assim, toda taxa de alarmes deve ser norma-
lizada pela quantidade de operadores para se ter uma
noção da sobrecarga imposta ao operador.
Diante disso, esse índice representa a quantidade
de novos alarmes ativados por hora por operador. Em
uma operação normal, a maioria dos alarmes deve
requerer que o operador realize algumas verificações
no processo para identificar a melhor ação a ser to-
mada. Essas verificações podem ser desde uma sim-
ples checagem do ponto de operação de um instru-
mento até uma análise de campo das condições de
processo. Assim, a Tabela 3 mostra alguns valores de
referências da norma EEMUA Nº 191.
Tabela 3 – Valores de referência da taxa média por hora por
operador sugeridos pela EEMUA Nº 191
Taxa de alarmes por hora por
operador em condições nor-
mais de operação
Qualidade da
operação
Mais do que 60 alarmes por hora Inaceitável
Até 30 alarmes por hora Instável
Até 12 alarmes por hora Gerenciável
6 ou menos alarmes por hora Aceitável
A norma ISA 18.2 também estabelecem como
12 o número máximo de alarmes por hora por opera-
dor para um processo ser considerado gerenciável e 6
como sendo o valor aceitável. Sendo assim, esses
valores são um bom ponto de partida para a avaliação
da situação do sistema de alarmes de um processo.
b) Distribuição de Prioridades
Um problema comum nos sistemas de alarmes é
a falha na priorização dos alarmes. A priorização é
extremamente importante principalmente durante
uma avalanche de alarmes, pois o operador será ca-
paz de priorizar suas ações. Em um cenário de ava-
lanche com uma pobre priorização dos alarmes, o
operador pode ter dificuldades em priorizar suas
ações e, por conseguinte atuar no processo para que
ele volte à situação normal de operação.
Assim, um importante índice para acompanha-
mento é a distribuição de prioridade dos alarmes a
que o operador foi submetido. A tabela abaixo mos-
tra alguns valores de referência para acompanhamen-
to desse índice.
Tabela 4 – Métrica de desempenho de prioridade
Prioridade do Alarme Taxa máxima
Alto 5 por turno
Médio 2 por hora
Baixo 10 por hora
Para se alcançar esse tipo de distribuição é im-
portante que durante a racionalização de alarmes ou
mesmo durante o projeto dos alarmes se tenha aten-
ção para a quantidade de alarmes de prioridade baixa,
média e alta configurados no sistema de alarmes.
Assim, as normas trazem como boa prática existir
apenas 5% dos alarmes configurados como priorida-
de alta, 15% com prioridade média e 80% com prio-
ridade baixa.
c) Número de Alarmes Stales
Alarmes que permanecem ativos continuamente
por mais de vinte e quatro horas podem ser conside-
rados como alarmes stales. Esses alarmes permane-
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3827
cem ativos continuamente durante dias, semanas ou
meses fornecendo pouca informação para os opera-
dores e poluindo a tela de operação (ISA, 2009).
Segundo a EEMUA No 191, uma planta com um alto
número de alarmes stales indica que ela pode estar
com problema de:
Operação - Ocorre quando os operadores
não tomam ações para corrigir o problema
indicado pelo alarme.
Manutenção – Falta de estratégia de inibição
dos alarmes de equipamentos em manuten-
ção.
Definição dos alarmes – Falta de uma filo-
sofia de alarmes bem como erro nos ajustes
e configurações dos alarmes.
A norma ISA-SP18 define que os alarmes stales
devem ocorrer menos de cinco por dia e que todos
esses alarmes devem possuir um plano de ação para
resolvê-los. Já a EEMUA No 191, recomenda que
para plantas com um grande sistema de alarmes (con-
tendo mais do que mil alarmes) é aceitável que ape-
nas 1% dos alarmes estejam ativos continuamente.
6 Resultados
Desde 2006 a Petrobras vem realizando a ativi-
dade de gerenciamento de alarmes em suas unidades
industriais. Para a avaliação dos seus sistemas de
alarmes a Petrobras utiliza o sistema BR-
AlarmExpert de onde é possível tirar todas estatísti-
cas para conduzir o trabalho bem como realizar a
atividade de gestão de mudanças.
O trabalho de racionalização é realizado perio-
dicamente, geralmente semanalmente, por uma equi-
pe multidisciplinar que incluem engenheiros de pro-
cesso, engenheiros de automação, técnico de opera-
ção, técnico em instrumentação e técnicos de auto-
mação. O trabalho trouxe nas mais diversas unidades
industriais da companhia excelentes resultados que
trouxeram aumento da confiabilidade operacional e
diminuição das paradas.
Para se ter uma ideia, após o início do trabalho
de reavaliação dos alarmes configurados foi possível
em diversas unidades industriais obter uma redução
de até 88% do número de alarmes configurados ape-
nas aplicando a filosofia do que realmente se trata de
um alarme e o que pode ser configurado como evento
(Lucena, 2010).
Figura 8 – Comparativo do número de alarmes configurados antes
e depois do gerenciamento de alarmes
Para ilustrar esse resultado, temos na Figura 8 o
resultado obtido em quatro plataformas de pequeno
porte após início da racionalização de alarmes. Como
pode ser visto, antes da racionalização existiam mui-
tos alarmes configurados, no entanto após análise
verificou-se que a maioria desses alarmes na verdade
eram eventos erroneamente configurados como alar-
me.
Figura 9 – Média horária de alarmes por operador
Consequentemente, a quantidade de alarmes
anunciadas por operador teve uma significativa que-
da que pode ser observada pelo resultado ilustrado na
Figura 9. Para obter esse índice é importante salientar
que todas as quatro plataformas são controladas a
partir de uma única sala de controle central. O traba-
lho de reavaliação dos alarmes segundo a nova filo-
sofia foi iniciado em Dezembro do ano anterior e ao
fim de Fevereiro foi efetivamente implementado.
Assim, a taxa de alarmes que antes estava a um pa-
tamar não gerenciável, atingiu o índice considerado
aceitável pelas normas internacionais nos meses
seguintes. No entanto, no mês de Agosto pode ser
observado um novo aumento de ocorrência de alar-
mes. Esse aumento ocorreu em decorrência da entra-
da em operação de quatro novos poços que estavam
parados para uma intervenção.
Similarmente aos resultados apresentados ante-
riormente, o trabalho de gerenciamento de alarmes
também traz bons resultados em grandes unidades
industriais. A Figura 10 mostra a evolução da taxa de
alarmes por hora por operador em um cenário em
uma grande unidade industrial no período de três
anos de trabalho. Diferentemente do caso das plata-
formas de pequeno porte, o trabalho não iniciou por
reavaliar todos os alarmes da planta devido à inefici-
ência desse tipo de atividade face ao grande número
de alarmes configurados. Assim, a estratégia nesse
caso foi realizar reuniões semanais de gerenciamento
de alarmes onde são identificados os vinte alarmes
mais frequentes (bad-actors) da semana anterior e
então são exaustivamente analisados pela equipe
multidisciplinar que propõe melhorias no processo
levando em conta os casos típicos apresentados nesse
trabalho. Naturalmente, por se tratar de uma planta
de grande porte onde se tem uma ordem de grandeza
226 224 227
361
35 38 34 4260
87
152 142
191 186 193
319
0
50
100
150
200
250
300
350
400
Plataforma 1 Plataforma 2 Plataforma 3 Plataforma 4
Alarmes Antes Alarmes Depois Eventos Antes Eventos Depois
050
070
005 006 005 004 003
016013 013 012
007
000
010
020
030
040
050
060
070
080
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3828
de alarmes configurados por operador na casa dos
milhares, o trabalho evolui em um ritmo um pouco
mais lento.
Figura 10 – Evolução da taxa de alarmes por hora por operador ao
longo de três anos em uma planta de grande porte
Apesar dos valores de referências estarem mai-
ores que os índices desejáveis pelas normas interna-
cionais o trabalho vem evoluindo satisfatoriamente.
Até julho do terceiro ano a taxa de alarmes por ope-
rador chegou a ficar em média 90% menor que no
início dos trabalhos. No entanto, em setembro do
terceiro ano os índices começaram a ter uma leve alta
mostrando a importância de se ter um trabalho contí-
nuo de gestão de alarmes, pois a dinâmica dos pro-
cessos, a manutenção contínua, paradas e entrada em
operação, precisam estar sempre acompanhadas de
uma avaliação contínua da saúde dos sistemas de
alarmes.
7 Considerações Finais
Nesse trabalho foi exposto um pouco da ativi-
dade de gerenciamento de alarmes e sua importância.
Pôde-se observar que é um tema de extrema relevân-
cia face aos diversos casos de incidentes encontrados
na literatura. Assim, deve ser uma atividade rotineira
em qualquer tipo de processo industrial.
Como principal contribuição, alguns casos típi-
cos da indústria de petróleo foram apresentados e
como devem ser abordados do ponto de vista de
gerenciamento de alarmes. Além disso, foram apre-
sentados alguns índices importantes para o acompa-
nhamento do trabalho e os resultados obtidos em
plantas de grande e pequeno porte.
Por fim, apesar de ser um trabalho exaustivo, o
inicio do gerenciamento de alarmes costuma ser
bastante animador, pois com apenas algumas peque-
nas técnicas e cuidados ao se racionalizar um alarme
trazem grandes resultados tornando o sistema de
alarmes mais confiável. Com mais tempo livre, os
operadores podem ser ainda mais eficientes na ope-
ração do processo levando a menos paradas da planta
que justificam financeiramente a atividade de geren-
ciamento de alarmes.
Referências Bibliográficas
Bransby, M., April 1998, "Explosive
lessons," Computing & Control Engineering
Journal , vol.9, no.2, pp.57,60.
Bransby, M.; Jenkinson, J., April 1998, "Alarming
performance," Computing & Control
Engineering Journal , vol.9, no.2, pp.61,67.
EEMUA (1999). ALARM SYSTEMS a Guide to
Design, Management and Procurement, Tech-
nical report 191. The Engineering Equipment
and Materials Users Association.
Habibi, Eddie & Bill Hollifield (2006), “Alarm
Systems Greatly Affect Offshore Facilities Amid
High Oil Prices”, World Oil Magazine, Vol 227,
pp 101-105.
ISA (2009). Management of Alarm Systems for the
Process Industries, Technical report 18.2,
International Society of Automation.
Lucena, A. (2010), “Gerenciamento de Alarmes em
Plataformas Marítimas de Produção de
Hidrocarbonetos: Metodologia e Estudo de
Caso”. Dissertação (Mestrado em Ciências e
engenharia de Petróleo) – Universidade Federal
do Rio Grande do Norte. Natal.
Mattiasson, C., Jun 1999, "The alarm system from
the operator's perspective," Human Interfaces in
Control Rooms, Cockpits and Command
Centres, 1999. International Conference on ,
vol., no., pp.217,221, 21-23. Wilson, A.M., Mar 1998, "Alarm Management And
Its Importance In Ensuring Safety," Best
Practices in Alarm Management (Digest No.
1998/279), IEE Colloquium on , vol., no.,
pp.6/1,6/3, 25.
0
50
100
150
200
250
300
350
Anais do XX Congresso Brasileiro de Automática Belo Horizonte, MG, 20 a 24 de Setembro de 2014
3829