gerenciamento de desvios em sistemas instrumentados de segurança
TRANSCRIPT
GERENCIAMENTO DE DESVIOS EM SISTEMAS INSTRUMENTADOS DE SEGURANÇA
Gustavo Regner Pchara (1) Pablo Ricardo Barrera (2)
Rogério Weber Kirst (3) Resumo Sistemas instrumentados de segurança são parte fundamental da segurança de processos e equipamentos. Existem diversas situações que podem levar à necessidade de instalação de um desvio de uma função instrumentada de se-gurança. A manutenção de um instrumento, por exemplo, pode levar ao seguin-te dilema: parar a unidade de produção ou desativar provisoriamente a função de segurança. A opção pela segunda alternativa pode ser economicamente favorável, mas potencialmente expõe pessoas, equipamentos e processos a riscos indesejáveis. Sabendo que a eventual instalação de um desvio é praticamente inevitável ao longo dos ciclos de produção, é recomendável um robusto processo de geren-ciamento de desvios em sistemas instrumentados de segurança. Este trabalho mostra a experiência dos autores na implementação de um processo de gestão dos desvios, suas ferramentas e controles. Entre os tópicos abordados, desta-cam-se: os fluxos elaborados, o aplicativo desenvolvido e o processo de autori-zação de instalação do desvio. 1 – Segurança de Processos O surgimento dos acidentes industriais está diretamente relacionado ao pro-cesso de industrialização e ao desenvolvimento de novas tecnologias de pro-dução nas sociedades modernas a partir da Revolução Industrial. A partir da Segunda Guerra Mundial, a demanda significativa por novos materi-ais e por produtos químicos, tanto em termos de diversidade quanto em escala, impulsionou o desenvolvimento da indústria química. O setor químico, devido a sua natureza competitiva, associada ao crescimento da economia em escala mundial e ao rápido avanço tecnológico, proporcionou o aumento das plantas industriais e, conseqüentemente, a complexidade dos processos produtivos. Estes processos produtivos, na medida em que envolvem a utilização de subs-tancias e compostos inflamáveis, tóxicos e explosivos, oferecem risco à saúde (1) Beta Network Automation Solution Provider - Diretor (2) Braskem – Engenheiro de Segurança (3) Braskem – Coordenador de Manutenção Operacional
dos trabalhadores, à comunidade em que vivem e ao meio ambiente em geral devido a possíveis acidentes como vazamentos, incêndios, explosões e forma-ções de nuvens tóxicas. Em função da grande quantidade de graves acidentes ocorridos nas décadas 60, 70 e 80, especialmente nas indústrias químicas, ficou patente a necessida-de de desenvolvimento de sistemas mais eficazes para garantir a segurança dos trabalhadores, comunidade e meio ambiente. Desta forma, surge o conceito de Segurança de Processos, que tem por objeti-vo, por meio de suas ações, o gerenciamento dos riscos tecnológicos, como incêndio, explosão e vazamento de produtos químicos nas instalações industri-ais. Entre os programas de gerenciamento de risco de processos (do inglês PSM – Process Safety Management) cita-se o preconizado pela OSHA - Occupational Safety & Health Administration, dos Estados Unidos da América, cujo objetivo é sistematizar o uso de uma série de processos/elementos de gestão (medidas de controle), com vista à prevenção de incidentes, acidentes e perdas em ge-ral. Ele contempla 14 elementos abaixo listados:
- Informações sobre segurança de processos - Técnicas de análise de riscos - Procedimentos operacionais - Participação dos empregados - Treinamento - Gerenciamento de contratados - Revisão de segurança de pré-partida - Integridade dos equipamentos - Permissão de trabalho - Gerenciamento de modificações - Análise de incidentes / acidentes (Controle de Perdas) - Planos de Resposta a Emergência - Auditorias de conformidade - Segredos industriais
No contexto deste trabalho, faz-se necessário destacar o elemento Técnicas de Análises de Riscos, onde a ferramenta de LOPA (Layer Of Protection A-nalysys), vem ganhando destaque tanto dentro como fora da industria química e petroquímica. 2 – Camadas de Proteção – LOPA (Layer Of Protection Analysys) A ciência da análise de riscos surgiu para prever a freqüência de acidentes, avaliar suas conseqüências, elaborar estratégias para impedi-los e mitigar os impactos adversos se um acidente ocorrer. A determinação do risco auxilia a tomada de decisão sobre a segurança do projeto e operação das plantas de processo. Além disso, a quantificação do risco associado à liberação de uma substância perigosa é um pré-requisito para um planejamento eficiente de e-mergências. A Análise de Camadas de Proteção (LOPA – Layer Of Protection Analysys) é uma técnica de análise de riscos que deve ser aplicada na seqüência de uma técnica de identificação de perigos (como APP ou HAZOP). Ela gera uma esti-mativa do risco, mas seu foco está nas conseqüências severas e seus resulta-dos são geralmente adequados para identificar os níveis de integridade de se-
gurança (SIL – Safety Integrity Level) necessários para cada Função Instru-mentada de Segurança (SIF – Safety Instrumented Function). A LOPA estabelece se há camadas de proteção independentes suficientes pa-ra controlar o risco em dado cenário de acidente. Se o risco estimado de um cenário não for aceito, camadas adicionais devem ser acrescentadas. Uma camada de proteção independente é um dispositivo, sistema ou ação que é capaz de evitar um cenário com conseqüências indesejadas do evento inicia-dor ou ação de qualquer outra camada de proteção associada com o cenário. Se todas as camadas de proteção independentes falharem, conseqüências indesejadas ocorrerão em seguida ao evento iniciador. A Figura I mostra as possíveis camadas de proteção de um típico projeto de processo.
Figura I
Camadas de proteção de um típico projeto de processo Descrição das camadas de proteção:
I. Sistema de controle básico do processo e alarmes: todo sistema de con-trole automático ou manual designado para manter o processo na região de operação segura. Exemplo: malha de controle de nível.
II. Alarmes críticos e intervenções humanas: ação do operador iniciada por um alarme automático. Exemplo: alarme de nível alto.
III. Função Instrumentada de Segurança e sistemas de desligamento de emergência: combinação de sensores, solucionador lógico e elementos finais com um nível de segurança específico integrado que detecta uma condição anormal (fora do limite) e leva o processo a funcionar no seu estado seguro. Exemplo: chave de nível muito alto ligada a um CLP de segurança provocando o desligamento de bomba.
IV. Proteções físicas: são dispositivos de alívio, e dependendo do projeto, podem ocasionar conseqüências adicionais (alivio de válvula para a at-mosfera). Exemplo: PSV (válvula de alívio de pressão).
V. Proteções pós-liberação: São os dique e paredes de contenção. VI. Resposta de emergência da planta: São a brigada de incêndio, sistemas
de inundação manual, facilidade de evacuação, etc.
PROTEÇÕES FÍSICAS (DIQUES)
PLANO DE CONTINGÊNCIA
PLANO DE EMERGÊNCIA (COMUNIDADES)
AÇÕES AUTOMÁTICAS (SIS) OU DESLIGA-MENTO DE EMERGÊNCIA (ESD)
PROTEÇÕES FÍSICAS (SISTEMAS DE ALÍVIO)
CONTROLE, ALARMES E SUPERVISÃO OPERACIONAL
PROJETO
ALARMES CRITICOS, SUPERVISÃO OPERA-CIONAL E INTERVENÇÃO MANUAL
VII. Resposta de emergência da comunidade: evacuação da comuni-dade e remoção para um lugar seguro.
Sete atributos-chave de camadas de proteção devem ser observados ao longo do ciclo de vida de uma planta de processo: - independência - funcionalidade - integridade - confiabilidade - auditabilidade - segurança de acesso - gestão de mudança Uma camada de proteção deve ser independente da ocorrência, de conse-qüências do evento iniciador e da falha de qualquer componente de uma ca-mada também prevista para o mesmo cenário. Por exemplo, se a perda de e-nergia elétrica é o evento iniciador de determinada ocorrência, uma camada de proteção para ser considerada na análise deve permanecer ativa mesmo com a falta de energia. É por isso que é muito importante que o sistema de controle seja totalmente segregado do sistema instrumentado de segurança. Desta for-ma, o SIS permanece ativo mesmo em caso de falha do sistema de controle. 3 – Sistemas Instrumentados de Segurança - SIS Um Sistema Instrumentado de Segurança é um conjunto de sensores, solucio-nador lógico e atuadores, destinado a uma ou mais funções de segurança. Podemos dividir os SIS em dois tipos. O primeiro é baseado em um controlador estático, um solucionador lógico que baseado em medições do processo exe-cuta mudanças de liga-desliga para os anunciadores de alarme e para atuado-res. Este controlador somente toma ações quando limites predefinidos são al-cançados. Geralmente falhas no controlador estático dificilmente são detecta-das sem um teste. Comumente os SIS de controle estático são sistemas com sensores discretos, relés e válvulas solenóides. O segundo tipo é o controlador contínuo, controlador de processo que regula as variáveis de processo em re-lação a um alvo (setpoint) fornecido pelo operador. Geralmente este tipo de sistema fornece um retorno contínuo ao operador que está funcionando nor-malmente, sendo dotados de maior capacidade de diagnóstico. O projeto do sistema, o nível de redundância, a quantidade e o tipo de testes determinarão a probabilidade de falha na demanda (PFD) da função instrumen-tada de segurança aceita para a LOPA. É muito comum que em uma mesma planta de processo existam ambos os tipos de SIS para diferentes aplicações. Sistemas mais novos tendem a adotar controladores contínuos (CLPs – controladores lógico programáveis) com re-dundâncias e diagnósticos avançados. 4 – Confiabilidade de um SIS Na análise LOPA, a eficiência de uma camada de proteção em reduzir a fre-qüência de uma conseqüência é quantificada usando a sua probabilidade de falha na demanda. Quanto menor a PFD, maior é a eficiência de uma camada. A norma ISA 84.01 - Functional Safety: Safety Instrumented Systems for the Process Industry Sector – classifica o nível de confiabilidade de segurança (SIL
– Safety Integrity Level) requerido pelo SIS de acordo com sua PFD conforme abaixo:
- SIL 1: 0.01 < PFD < 0.1 - SIL 2: 0.001 < PFD < 0.01 - SIL 3: 0.0001 < PFD < 0.001
De forma a atender um determinado SIL, um SIS deve ser projetado e mantido por um sistema de gestão de qualidade durante todo seu ciclo de vida. 4.1 Confiabilidade no projeto de um SIS Existem diversos modos de falha possíveis em um SIS. Controladores Lógico Programáveis (CLPs) são sistemas complexos com possibilidades de falhas sistêmicas. Por causa das falhas desconhecidas e imprevisíveis associadas à CLPs, a norma ISA 84.01 recomenda que os mesmos sejam configurados sob o conceito de segurança. Esta configuração exige diagnósticos adicionais e tolerância a falhas, atributos que não são normalmente encontrados em siste-mas de controle típicos, mas estão disponíveis em sistemas que atendem aos requisitos da norma. As plantas dependem dos SIS para manter uma operação segura. Desta forma, um SIS deve ser suficientemente robusto para suportar condições ambientais e atender a integridade e confiabilidade demandadas. É importante documentar todo seu projeto básico e manter este projeto atualizado e com controle de re-visões. Todos os SIS são únicos e projetados para atender um evento específi-co. Dois SIS podem ser similares, mas nunca exatamente idênticos. O projeto do SIS deve considerar:
- detecção e resposta a eventos de risco potenciais; - detecção de falha, diagnóstico e teste de prova; - tolerância a falha; - operação segura em caso de necessidade de operação com o SIS em falha; - conceito de “falha segura”, ou seja, provocar o desarme de segurança em caso de falha na demanda do SIS; - requisitos de partida e desarme; - instalação de desvios de maneira segura para situações de manuten-ção e testes.
4.2 Manutenção de um SIS Os componentes de um SIS devem ser contemplados em um programa de manutenção com meta de mantê-lo em condições perfeitas de operação. Um programa de manutenção contempla diversas atividades tais como inspeção, manutenção preventiva e preditiva, troca ou substituição e testes de prova. Equipamentos de segurança uma vez instalados estão sujeitos às mesmas condições que equipamentos de controle, e podem falhar da mesma forma. Porém os SIS tipicamente operam na demanda (não é esperada sua atuação até que uma anormalidade na condição ocorra). Quando o SIS falha, sua falha nem sempre é aparente como uma falha em um sistema de controle. Falhas prematuras são causadas por erros de fabricação, montagem, testes, instala-ção e comissionamento. Outras possibilidades de falha são geradas por manu-seio ou armazenagem indevida e práticas inadequadas. Atividades de inspe-ção, comissionamento e validação são necessárias para identificar e corrigir estas falhas. O período de desgaste é caracterizado por um aumento na taxa de falha ao longo do tempo. Baixa integridade mecânica é freqüentemente ci-tada como a principal causa de falha nesta etapa do ciclo de vida dos elemen-
tos de um SIS. Manutenção preventiva pode estender a vida útil do equipamen-to e aumentar sua confiabilidade. Os registros de manutenção devem fornecer informações confirmando que o equipamento está mantendo sua condição de uso. Conseqüentemente, os mantenedores devem ser treinados nas atividades necessárias a manterem a integridade dos equipamentos. Testes periódicos devem ser realizados em uma freqüência suficiente para de-tectar a transição da vida útil para o período de desgaste, de forma que a subs-tituição ou melhoria possa ser identificada e planejada. Falhas devem ser ana-lisadas de forma a identificar e eliminar sua causa raiz. O período de testes deve ser periodicamente revalidado baseado na experiência da planta, degra-dação do hardware, confiabilidade do software, etc. e em caso de falhas repeti-das, o intervalo deve ser minimizado tanto quanto necessário para assegurar a segurança. O intervalo de testes é determinado com base na oportunidade de testes off-line, histórico do equipamento em aplicações similares, recomenda-ções do fabricante, e confiabilidade exigida. Quando o intervalo de testes é menor que o de paradas programadas, teste e capacidade de reparo em linha devem ser considerados. Se a atividade requer um desvio, medidas de compensação devem ser toma-das de forma a compensar a perda da função do SIS. Atividades de risco po-tencial e com necessidade de desvio de SIS devem ser avaliadas para deter-minar as medidas de compensação e o tempo máximo para regularização. A-larmes de desvios devem ser utilizados sempre que viável, e os desvios devem ser validados entre os diversos turnos de trabalho. É fundamental que a opera-ção conheça a real situação do SIS e o que fazer em caso de uma ocorrência. O estatístico e especialista em gestão da qualidade Willian Deming acreditava que 85% da efetividade de um trabalhador é determinada pelo sistema em que ele trabalha, enquanto que 15% dependem somente de suas habilidades. Uma boa estratégia de redução de risco deve aceitar que pessoas estão envolvidas em todos os aspectos do ciclo de vida de um SIS. Entretanto, a integridade de-sejada para um SIS é limitada pelo sistema gerenciamento da qualidade que identifica e elimina as falhas do sistema. Erros humanos devem ser reduzidos ao ponto em que não impactem significativamente a integridade do sistema. Por isso, assegurar a competência das pessoas é fundamental. Os SIS devem ser periodicamente avaliados referente às práticas e critérios da indústria de forma a determinar se seus equipamentos estão projetados, manti-dos, inspecionados, testados e operados de maneira a garantir sua aplicação. Recomenda-se um procedimento de gestão de mudança para iniciar, documen-tar, revisar e aprovar alterações no SIS. Mudanças no processo e seus equi-pamentos devem ser avaliados de forma a determinar seu impacto nos SIS existentes. Pessoas devem entender o que dispara um processo de gestão de mudança e porque o acompanhamento é importante. 5 – Os desvios e suas justificativas Existem diversas situações que podem levar a necessidade de instalação de um desvio em um SIS. Algumas são nobres e facilmente justificáveis. Outras nem tanto. Seguem abaixo as situações mais comuns: 5.1 Necessidade de manutenção Conforme visto anteriormente é fundamental a confiabilidade dos componentes de um SIS, e esta deve ser garantida por um programa de manutenção. Esta
manutenção pode ser preventiva ou corretiva. A execução de ambos os casos com o sistema em linha só é possível mediante um desvio total ou parcial de uma função do SIS. 5.2 O SIS não funciona desde sua instalação Uma rápida inspeção em salas de controle pode revelar alarmes de instrumen-tos que freqüentemente são ignorados. Uma conversa com o pessoal de manu-tenção pode indicar instrumentos que não funcionam. Um aprofundamento da análise pode revelar instrumentos que repetidamente falham. Ao invés reavaliar a especificação, o instrumento muitas vezes é simplesmente substituído ou consertado e retornado ao serviço. Em casos extremos, operação e manuten-ção toleram a falha e simplesmente passam a ignorá-la, desviando o SIS. Ins-trumentos em falha devem ser investigados como potenciais quase-incidentes. Se o SIS não é necessário, a solução correta é sua remoção, e não seu desvio. 5.3 Dificuldades de partida Incidentes são muito mais prováveis durante partida do que em operação nor-mal. Dificuldades de partida podem ser causadas por um projeto de SIS defici-ente que requer desvios durante o procedimento de partida ou muitas tentati-vas de partida para atingir o processo em linha. A lógica de partida deve ser desenvolvida durante o projeto do SIS e profundamente testada junto com a lógica de desarme. 5.4 SIS não atende o SIL Em muitos casos o SIS é projetado para atender um determinado SIL. O des-conhecimento do sistema pode levar a interpretação errônea em relação ao desvio de um equipamento. Exemplo: um determinado SIS foi projetado para atender uma demanda de SIL3, e foi instalado com redundância 2oo3 (neces-sária a atuação de no mínimo 2 instrumentos de 3 instalados para atuação da lógica). Por uma demanda de manutenção um dos instrumentos foi removido. Com receio de tornar a lógica mais vulnerável, a operação desvia o instrumento removido. Desta forma, a lógica original de 2oo3 passa a ser uma lógica 2oo2 (ambos os instrumentos restantes precisam atuar para atuar a proteção). Do ponto de vista de continuidade operacional a ação pode parecer adequada, porém houve uma degradação na confiabilidade do SIS instalado, que passou a atender somente SIL1. 5.5 Desarmes indevidos O excesso de desarmes indevidos pode levar ao descrédito do SIS. Operado-res podem passar a relevar a análise da causa do desarme e iniciar procedi-mentos de repartida assumindo que o desarme foi indevido. Além disso, a mai-oria dos desarmes indevidos provoca a ativação de outras camadas de prote-ção, tais como o desarme de outras unidades ou a abertura de válvulas de alí-vio. Também é sabido que acidentes são mais freqüentes em procedimentos de partida, e o excesso de desarmes indevidos aumenta a exposição ao risco. Se existem diversos tipos de SIS, é de se esperar que existam também diver-sas formas de se executar um desvio. Qualquer uma das ações abaixo certa-mente altera ou inviabiliza a atuação de um SIS, e deve ser considerada como uma forma de desvio:
- Acionar chave de desvio (by pass) em relé; - Forçar sinal elétrico do instrumento de campo;
- Forçar sinal elétrico no atuador no campo; - Instalar desvio em tomadas de ar de solenóides; - Tampar alívio de solenóides; - Travar mecanicamente válvulas; - Usar gás para manter analisador com falsa indicação; - Simular chama acesa para manter indicação de detector de ultravioleta; - Mudar o ponto de atuação (set); - Mudar a calibração do range para alterar ponto de atuação; - Bloquear tomadas de impulso dos transmissores; - Instalar fiação de desvio (jump) em relé; - Forçar entrada de CLP; - Forçar saída de CLP; - Instalar chave de desvio (by pass) em CLP;
6 – Problemas da falta de gestão dos desvios Apesarem de existirem normas claras sobre SIS, faltam procedimentos a res-peito de desvios. Em muitas plantas, os operadores possuem autoridade para desviar SIS sem o inicio de um processo de gestão de mudanças ou aprovação do supervisor. Alguns pensam que desde que o desvio dure apenas por um pequeno período, o risco é aceitável. Pessoas devem ser treinadas e entender que quando um SIS é desviado, o processo está desprotegido. Quando desvios são rotineiramente utilizados, existe o risco de alguém instalá-lo e esquecer. Esta situação é especificamente verdadeira se o desvio é insta-lado fisicamente e nenhum alarme é acionado. Se o procedimento da planta não requer nenhum registro ou autorização, perde-se facilmente o controle de o que está desviado. Quando um SIS é desviado, deve necessariamente existir um alarme intermitente e recorrente até que o SIS seja retornado ao serviço. Dependendo da cultura e prática da empresa, podem existir situações em que o operador é pressionado para instalar um desvio de forma a permitir a planta a operar mais próxima ou até superar seus limites de segurança. O operador e a gestão da empresa devem entender o que o SIS protege e o que ocorre se ele não funciona quando necessário. De posse deste conhecimento, se torna mais difícil simplesmente ignorar o risco. Uma solução simples é exigir autorização do gestor da planta para instalação de um desvio. Existe uma grande diferença entre um procedimento de instalação de desvios e um processo de gerenciamento dos mesmos. A principal diferença é que no processo de gerenciamento existe um tratamento dos dados, gerando indicado-res e permitindo a melhoria contínua. Ao invés de um simples registro, deve existir um acompanhamento, com cobrança periódica em relação aos desvios instalados, envolvendo desde os técnicos de operação e manutenção até a alta administração da planta. A norma ISA S84-01 inclusive deixa claro a questão da necessidade do regis-tro: Item 7.9.3 b) O operador deve ser alertado do desvio de toda e qualquer parte do SIS via um alarme e/ou um procedimento de operação. Item 7.9.3 c) O desvio de qualquer parte de um SISs não deve resultar na per-da da detecção e/ou anunciação da condição a ser monitorada.
7 – O Processo de Gerenciamento de Desvios Identificando a lacuna existente entre a prática até então adotada e o entendi-mento de como os desvios deveriam ser tratados, foi proposto e implementado um novo processo de gerenciamento de desvios em SIS em uma planta petro-química. O sistema consiste basicamente de dois procedimentos e um sistema informatizado. 7.1 Procedimentos O primeiro procedimento é corporativo e possui diretrizes para definir um pa-drão mínimo de rigor a ser adotado por cada unidade. Este procedimento deixa claro o que deve ser considerado um desvio em SIS e a exigência da compe-tência mínima do coordenador da planta para autorização da instalação de um desvio. A partir deste procedimento cada unidade de produção pode adotar as práticas que julgar apropriadas a seu caso. No caso da planta em questão o procedimento esclarece as responsabilidades de cada envolvido, o processo de registro, os limites de tempo para revalidação do desvio e o conseqüente aumento na autoridade para aprovação da instalação. A escala de autorização obedece os tempos conforme Tabela I abaixo:
Tabela I Tempo de Permanência do Desvio Autorização Até 15 dias Coordenador da Planta Mais de 15 e menos de 30 dias Gerente de Produção Mais de 30 dias Diretor Industrial
Escala de autorização de desvios Desvios com necessidade de permanência por mais de 45 dias exigem tam-bém o início de um processo de gestão de mudanças, com uma solução defini-tiva. O fluxo adotado é descrito na Figura 2 abaixo.
Figura II
Fluxo de Instalação de Desvios em SIS 7.2 Sistema Informatizado Em substituição ao antigo sistema de registro em papel, foi desenvolvido um sistema informatizado para o registro dos desvios. Mais tarde foi observado um grande potencial do sistema de atender outras demandas. O software foi então revisado, estando hoje em sua versão 1.2.3. Entre as melhorias implementadas destacamos:
- a constante visualização na sala de controle dos sistemas desviados; - extração dos dados históricos em planilha eletrônica; - geração de indicadores; - padronização para correto preenchimento dos dados.
OPERADOR Avalia necessidade do desvio e
riscos envolvidos. Busca apoio para decisão, caso necessário.
Pede autorização para o coordena-dor da planta.
OPERADOR Emite Permissão de Trabalho e registra o
desvio no sistema
COORDENADOR DA PLANTA
Avalia e autoriza o desvio
INSTRUMENTISTA Executa o desvio
OPERADOR Existe ne-
cessidade de permanecer o desvio?
OPERADOR E INSTRU-MENTISTA
Removem desvio, dão baixa no Sistema de
Registro de Desvios e informam coordenador
OPERADOR Período de
permanência exige autoriza-ção superior
SIM
NÃO
NÃO
OPERADOR Período de
permanência é maior do que 45
dias?
OPERADOR Atualiza Sistema de Registro de Desvios
ATUAL RESPON-SÁVEL
Solicita nova apro-vação
OPERADOR Faz acompanhamento do plano de ação para
remoção do desvio
NÃO
SIM
COORDENADOR DA PLANTA
Providencia MOC para solução defini-
tiva
SIM
O projeto do aplicativo partiu das seguintes premissas: - instalação simplificada; - ser executado por utilitários do Microsoft Office®; - interface simplificada e padronizada com formato Microsoft Windows®; - armazenamento em banco de dados criptografado; - fácil manutenção; - linguagem de programação aberta e compatível com vários sistemas; A linguagem de programação escolhida foi o PHP (Hypertext Preprocessor). O PHP é uma linguagem que permite criar sites WEB dinâmicos, possibilitando uma interação com o usuário através de formulários, parâmetros da URL (Uniform Resource Locator – Localizador Padrão de Recursos) e links. A prin-cipal diferença da linguagem PHP em relação a linguagens semelhantes é que o código é executado no servidor, sendo enviado para o cliente apenas uma página HTML (Hyper Text Markup Language - Linguagem de Marcação de Hipertexto). Desta maneira é possível interagir com bancos de dados e aplica-ções existentes no servidor, facilitando as consultas e acesso aos dados. O bando de dados escolhido foi o MySQL (Structured Query Language - Linguagem de Consulta Estruturada), visto que o volume de dados registrados é pequeno e não necessitará a longo prazo de um banco maior. Para acessar as páginas criadas em PHP foi necessário instalar um servidor WEB, a escolha foi o XAMPP, um pacote de softwares com um servidor inde-pendente de plataforma. Trata-se de um software livre, que possui principal-mente a base de dados MySQL, utiliza um servidor web Apache e possui os interpretadores para linguagens de script: PHP e Perl. O programa está libera-do sob a licença GNU (General Public License - Licença Pública Geral) e atua como um servidor web livre, fácil de usar e capaz de interpretar páginas dinâ-micas. O sistema possui várias páginas para acesso e consulta dos dados no banco MySQL. Na página principal são visualizados os desvios ativos, com a devida sinalização de prazo.
Figura III
Tela Principal O sistema mostra permanentemente a contagem de tempo desde a instalação do desvio, para acompanhamento em caso de necessidade de ação. Campos que merecem atenção são automaticamente destacados, permanecendo desta forma até sua regularização. Fora do período relacionado para cada autoriza-ção, o campo muda para a cor vermelha, indicando autorização vencida e ne-cessitando uma nova autorização de outro responsável (gerente ou diretor, conforme critérios da Tabela 1). Para solicitar esta autorização foi inserida uma página que gera automaticamente um documento em formato Adobe PDF. Este documento deve ser obrigatoriamente impresso e encaminhado para assinatu-
ra pelo novo responsável. Somente após o retorno do documento assinado o sistema é atualizado com o nome do novo responsável.
Figura IV
Tela para gerar formulário de nova autorização
Figura V
Formulário de autorização
Na página “Registrar” é possível inserir um novo registro de desvio. Os campos de preenchimento são todos obrigatórios e é necessária a senha de um res-ponsável.
Figura VI
Tela “Registrar” Os dados gerados neste sistema podem ser acessados localmente ou exporta-dos para uma planilha eletrônica, permitindo a geração de gráficos e controles diversos, pelo Microsoft Excel®.
Figura VII
Tela “Exportar Arquivo” O aplicativo é utilizado em quatro diferentes unidades operacionais (3 plantas petroquímicas e 1 unidade de utilidades). Para tanto foi desenvolvido uma pá-gina para a configuração dos parâmetros customizados de cada planta, tais como o nome da planta e dos responsáveis pelas autorizações. Em cada sala de controle foi instalada uma estação dedicada, com um monitor no mesmo padrão do SDCD (Sistema Digital de Controle Distribuído), similar a uma esta-ção de alarmes. O sistema atualmente consiste de estações dedicadas, e não está interligado em rede. Porém o aplicativo foi desenvolvido para ser executado, também, dentro de um servidor, podendo ser acessado via browser por qualquer usuário conectado dentro da rede deste servidor desde que com acesso autorizado. O software foi desenvolvido de forma a exigir uma reflexão prévia antes da ins-talação do desvio. Os campos de preenchimento obrigatório são típicos de uma
análise de risco, e visam identificar a real necessidade do desvio e as medidas de compensação para a mudança na proteção. Depois que o desvio é removido e o SIS retoma sua função original, também é obrigatório o registro da remoção. As informações referentes à remoção são armazenadas no histórico, e o registro é removido da tela principal. A visualiza-ção dos desvios removidos é possível em uma tela secundária do sistema, on-de é possível consultar também os dados referentes à remoção.
Figura VIII
Tela “Todos” – registro de todos os desvios instalados e removidos O acesso aos dados históricos é feito através da exportação dos dados em um arquivo de planilha eletrônica do Microsoft Excel®. Isso permite a construção pelo usuário de gráficos ou o tratamento dos dados conforme sua demanda. 7.4 Dificuldades A principal dificuldade em adotar um processo de gestão de desvios em SIS reside nas próprias pessoas. Primeiro é preciso difundir a importância da ciên-cia de segurança de processos na cultura da empresa. Apesar de hoje a reali-dade ser bem melhor do que comparada à de vinte anos atrás, graves aciden-tes de processo eventualmente ainda acontecem. A rotina leva as pessoas a atalharem procedimentos, comprometendo a segurança e o resultado. Não e-xiste mudança de prática e de cultura sem o comprometimento da alta adminis-tração. Pouco adianta a implementação de um robusto processo de gestão de desvios se a própria gerencia da planta permite a instalação de desvios sem uma análise prévia. O primeiro passo a ser dado deve ser a sensibilização dos gestores para uma nova prática. Outra dificuldade reside no fato de, mesmo com um sistema informatizado, o controle dos desvios ser altamente dependente de ação humana. Devido à grande diversidade de SIS, bem como das diferentes maneiras de execução da instalação dos desvios, o processo de registro depende de entrada manual dos dados. E esta entrada manual de dados deve obedecer um padrão de forma a minimizar o erro de interpretação e conseqüentemente da análise.
Cabe ao sistema de gestão de desvios em SIS orientar como proceder de for-ma a garantir a execução da maneira mais segura e rastreável. A responsabilidade pela instalação do desvio também deve ficar clara, e o exe-cutante deve ser devidamente treinado para tal. Esta responsabilidade pode variar dependendo do tipo de SIS. Em sistemas com controle estático, basea-dos em relés, é comum os projetos contemplarem chaves específicas para a liberação de determinadas funções do SIS, onde as chaves são responsáveis pelo forçamento da condição de contatos de relés. 8 – O gerenciamento dos desvios e seus resultados Com o sistema é possível gerar indicadores a partir dos dados. Isso permite a análise crítica dos desvios instalados. Se uma determinada área está tendo maior necessidade de desvios do que outra similar, pode-se associar esta in-formação à tecnologia aplicada, ciclo de vida das instalações e de seus siste-mas, ou até mesmo da diferença de tratamento na gestão das áreas em ques-tão. A concentração de desvios em uma área pode estar relacionada à neces-sidade de melhorias. O tempo médio de permanência do desvio pode também indicar dificuldades de manutenção ou falta de planejamento e priorização ina-dequada. Uma vez estabelecidos os indicadores por planta, são definidas metas para acompanhamento com recompensas em caso de atendimento. Estando a ad-ministração da empresa sensibilizada, é possível inclusive incluir estas metas em indicadores para definição da remuneração variável dos funcionários. Um dos grandes benefícios do gerenciamento dos desvios é a facilidade que este permite na identificação do risco da instalação do desvio. O próprio pro-cesso de instalação leva à análise de risco e às ações para mitigá-lo. No procedimento implementado, o próprio ato de registro leva os executantes a se questionarem em relação à real necessidade de instalação e que medidas serão tomadas para compensar a falta do SIS. Alguns campos são de preen-chimento obrigatório. A simples reflexão do instrumentista e do operador ao se depararem com o preenchimento dos campos “função” e “medidas de compen-sação” já é um grande avanço. O fluxo de autorização da instalação dos desvios garante o envolvimento míni-mo do coordenador da planta. Dependendo do período necessário para retor-nar o SIS a sua função original, a autorização avança para o gerente e até mesmo para o diretor industrial. O conceito é simples: se existe uma proteção desativada na planta, o risco é proporcional ao período de exposição. Se o ris-co cresce, a responsabilidade também deve crescer. Também é definido um limite de tempo em que o desvio deixa de ser uma simples manutenção e pas-sa a requerer uma ação de modificação para solução. É onde entra a gestão de mudança. Desvios com necessidade de permanência por um período maior de 45 dias, devem necessariamente sofrer um processo de gestão de mudança para sua solução definitiva. Esta solução pode ser inclusive a remoção da FIS. Afinal, se uma proteção pode ficar desativada por tanto tempo, ou existe um grande problema ou a proteção não é mais necessária. Os dados de cada planta são mensalmente auditados e analisados pelos ges-tores quanto a: - quantidade de desvios instalados e removidos no mês; - tempo médio de permanência de desvio instalado; - desvios reincidentes;
- qualidade dos dados inseridos no sistema de registro. A partir desses dados cada gestor desenvolveu metas específicas, que são acompanhadas mensalmente. Como forma de motivação é possível associar estas metas a bônus por resultados. Desde a adoção do novo sistema, os desvios passaram a ser avaliados de ma-neira mais criteriosa. A simples análise da distribuição dos desvios permite a conclusão de que esta está claramente associada à tecnologia e idade das plantas. Plantas mais antigas requerem mais desvios durante as campanhas, ficando mais tempo expostas a riscos. Esta situação deve ser tratada com a-tenção, uma vez que instalações com certa idade tendem a ser mais arrisca-das. Outro exemplo prático do tratamento dos dados é o período médio perma-nência dos desvios. Durante um período de seis meses, em uma das plantas petroquímicas, foram registrados 47 desvios. O tempo médio de permanência dos desvios instalados neste período foi de 21 dias. Do total de desvios regis-trados, 40 ficaram sob responsabilidade do coordenador da planta, 3 do geren-te e 4 necessitaram autorização do diretor. Com o registro em papel pode-se afirmar que era impossível manter este controle. É de se esperar, portanto, que sem o sistema informatizado os desvios não eram de conhecimento dos gesto-res da planta, e conseqüentemente o aumento a exposição ao risco passava por eles despercebida. 9 – Conclusão O conceito de Segurança de Processos é hoje compreendido como de impor-tância fundamental para indústrias potencialmente perigosas. Infelizmente o desconhecimento das melhores práticas ainda impede que os níveis de segu-rança das instalações sejam os menores possíveis. E mesmo empresas que investem em segurança podem ter suas instalações em risco se suas camadas de proteção não são mantidas íntegras. Um Sistema de Gerenciamento de Desvios em SIS permite não só garantir a integridade de um SIS como também a sua melhoria contínua. O sistema de-senvolvido mantém todos os responsáveis informados em relação aos desvios. O simples processo de preenchimento das informações leva a uma análise crí-tica quanto às medidas de compensação necessárias à instalação do desvio. Além disso, mês após a remoção do desvio as informações podem ser tratadas de forma a gerar melhorias, seja no processo de manutenção, como no próprio projeto do SIS. Observa-se, porém, uma necessidade de solucionar o principal problema que permanece no processo de gestão do SIS: a constante dependência de entra-da de dados de forma manual. Uma proposta de solução seria a adoção de normas mais rígidas em relação à projetos de SIS, de forma que os mesmos, além de cumprir sua função básica, permitissem também a troca de informa-ções com sistema de gestão de forma automática, diminuindo a necessidade de intervenção humana na entrada de dados. A gestão de desvios em SIS é uma ferramenta extremamente útil para empre-sas em busca das melhores práticas de segurança, e seu valor é diretamente proporcional ao grau de conhecimento e comprometimento dos gestores e, conseqüentemente, dos demais funcionários.
Bibliografia: VASCONCELOS, Flavia Moço. Uma Aplicação da Técnica de Camadas de Proteção (LOPA) na Avaliação do Risco do Sistema de Hidrogênio de Refrige-ração do Gerador Elétrico Principal de uma Usina Nuclear. Universidade Fede-ral do Rio de Janeiro. Rio de Janeiro, 2008. SUMMERS, Angela E. A Process Engineering View of Safe Automation. Sis-Tech Solutions. Houston, 2008. SUMMERS, Angela E. Bridging the Safe Automation Gap. Sis-Tech Solutions. Houston, 2001. International Society of Automation – ISA. Functional Safety: Safety Instru-mented Systems for the Process Industry Sector. ANSI/ISA 84.00.01-2004, ISA, Research Triangle Park, NC (2004). KIRST, Rogerio Weber. Instrução de Trabalho IT-0603-00656 - Gerenciamento de Desvios em SIS UNIB-RS. Braskem. Triunfo, 2009.
DA SILVA, Luiz Carlos Xavier. Procedimento PR0603-00157 Diretrizes para o uso de “By pass” Temporários de Sistemas Instrumentados de Segurança e Alarmes. Braskem. Triunfo, 2009. http://osha.gov/Publications/osha3132.html http://www.aiche.org/CCPS/