universidade federal de pernambuco - ee.ufpe.br · biodiesel, feita a partir da colza, produto...
TRANSCRIPT
Universidade Federal de PernambucoCentro de Tecnologia e Geociências
Curso de Especialização em Engenharia de Instrumentação
Sistemas Instrumentados de Segurança para uma Unidade de Produção de Biodiesel
Amaro Miguel da Silva Filho
Orientador: Prof. Dr. José Geraldo de Andrade Pacheco
Monografia apresentada ao Centro de Tecnologia e Geociências da Universidade Federal de Pernambuco como parte dos requisitos para obtenção do Certificado de Especialista em Engenharia de Instrumentação
Recife, 2008
Resumo
Sistemas Instrumentados de Segurança para uma Unidade de Produção de Biodiesel
Amaro Miguel da Silva Filho
Janeiro/2009
Orientador: Prof. Dr. José Geraldo de Andrade PachecoÁrea de concentração: EletrônicaPalavras-chaves: Instrumentação, Automação, Segurança, Biodiesel.
Há algumas décadas que o mundo busca um desenvolvimento sustentável, ambientalmente
correto, socialmente justo e economicamente viável. Estudos apontam para a necessidade de adoção
imediata de medidas mitigadoras ou de reversão dos danos ao meio-ambiente. O Brasil, além de
aprofundar-se no uso de energias limpas e renováveis, deter posição de vanguarda na tecnologia e
produção do etanol e apresentar vocação natural para agronegócios, vem caminhando para a
utilização cada vez maior do biodiesel. Por outro lado, a saúde e a segurança ocupacional vêm
ganhando importância nas empresas no mundo todo. Sobretudo em áreas relativamente recentes
como a de produção de biodiesel. Neste cenário, a utilização da instrumentação como ferramenta
para garantir o controle de riscos, vem ao encontro da necessidade das organizações pela sua
eficácia, para a melhoria da saúde ocupacional e segurança de seus colaboradores.
O trabalho aqui desenvolvido se coloca neste cenário para propor um sistema instrumentado
de segurança, baseado nas normas legais e práticas do mercado, para uma unidade de produção de
piloto biodiesel, situada no município de Caetés, Pernambuco, ainda não automatizada. Foi
necessária a construção o diagrama de processo através de software específico, levantamento dos
riscos a saúde ocupacional, por meio de visitas realizadas a unidade e reuniões com o responsável e
os funcionários, utilizando uma lista de verificação. Os dados identificaram as áreas de recuperação
e secagem, lavagem, reação, assim como os reatores, coluna de destilação e centrífuga como
maiores ofensores à saúde e segurança. Através da seqüencia da aplicação de HAZOP e análise de
árvore de falhas foi possível definir o nível de segurança (SIL2) exigido e a construção dodiagrama
de instrumentação da planta. Estes definem o acionamento/desligamento de bombas,
abertura/fechamento das válvulas de controle para manter ou levar o nível de segurança para valores
previamente definidos.
Sumário1 Introdução..........................................................................................................................................62 Revisão bibliográfica e fundamentos teóricos...................................................................................93 Metodologia ....................................................................................................................................38Controles Iniciais................................................................................................................................484 Resultados - Prevenção de Riscos Utilizando Sistemas Instrumentados de Segurança..................495 Conclusões, melhorias possíveis e trabalhos futuros......................................................................70Controles Iniciais................................................................................................................................76
Lista de Tabelas
Tabela 1: Níveis de segurança (SILs) em sistemas que operam em baixa demanda e alta demanda...........................................................................................................26 Tabela 2: Relacionamento entre falha sobre demanda, disponibilidade do sistemade segurança e redução do risco.........................................................................................................29Tabela 3: Modelo do formulário de avaliação de riscos aplicado ao estudo......................................44Tabela 4: Avaliação de riscos da usina de biodiesel classificado por área........................................45Tabela 5: Avaliação de riscos da usina de biodiesel classificado equipamento.................................46Tabela 6: Comparação do processo de produção do biodiesel metílico e etílico...............................48Tabela 7: Avaliação de riscos do reator de transesterificação............................................................50Tabela 8: Resultado do HAZOP direcionado para eventos de risco a segurança para o reator de transesterificação................................................................................................................................52
Lista de Figuras
Figura 1: Processo de produção de biodiesel em bateladas................................................................11Figura 2: Diagrama de instalação de um termopar. ...........................................................................14Figura 3: Diagrama de um transdutor de pressão. .............................................................................15Figura 4: Diagrama de instalação de um transdutor nível por deslocamento.....................................15Figura 5: Diagrama de montagem de um transdutor de nível por pressão diferencial.......................16Figura 6: Elementos de um sistema de Saúde e Segurança Ocupacional...........................................18Figura 7: Sistemas de segurança em camadas. ..................................................................................21 Figura 8: Componentes básicos de um sistema instrumentado de segurança....................................23Figura 9: Relacionamento SIS, função instrumentada de segurança, e nível de segurança...............24Figura 10: Ciclo de vida completo de um sistema de segurança........................................................26Figura 11: Conceito geral para redução de risco. ..............................................................................28Figura 12: Técnica qualitativa utilizando gráfico de risco. ...............................................................30Figura 13: Relacionamento entre os padrões IEC 61511 e IEC 61508..............................................32Figura 14: Unidade de produção piloto de biodiesel de Caetés.........................................................35Figura 15: Fluxograma de produção de biodiesel na unidade piloto de Caetés.................................36Figura 16: Processo de neutralização do óleo vegetal. ......................................................................37Figura 17: Processo de secagem do óleo vegetal...............................................................................37Figura 18: Etapa de transesterificação do óleo vegetal......................................................................38Figura 19: Processo de lavagem do biodiesel....................................................................................39Figura 20: Planta de produção de biodiesel de Caetés.......................................................................40Figura 21: Avaliação de risco por área da usina. ...............................................................................46Figura 22: Gráfico da avaliação de riscos por equipamento da usina................................................47Figura 23: Instrumentação básica do reator de transesterificação com indicação dos alarmes, controladores, indicadores e válvulas de controle de temperatura, pressão e nível...........................55Figura 24: Árvore de falhas para análise de alta pressão no reator de transesterificação..................56Figura 25: Análise dos cenários de falhas de alta pressão sem a presença dos sistemas de segurança.........................................................................................................................57Figura 26: Análise dos cenários de falhas de alta pressão utilizando outras tecnologias...................58Figura 27: Instrumentação básica do reator de transesterificação com instrumentação e controle duplicado............................................................................................................................................59Figura 28: Análise dos cenários de falhas de alta pressão utilizando SIS..........................................60Figura 29: Análise dos cenários de falhas de alta temperatura..........................................................61Figura 30: Análise dos cenários de falhas de alta temperatura utilizando SIS...................................62Figura 31: Análise dos cenários de falhas de nível anormal..............................................................62Figura 32: Análise dos cenários de falhas de nível anormal com função de segurança.....................63Figura 33: Sistema instrumentado de segurança aplicado ao reator de transesterificação.................64
1 Introdução
No cenário mundial a questão da segurança e saúde no trabalho representa um desafio para
os governos e para as organizações, considerando o custo social decorrente dos acidentes de
trabalho. Segundo a organização internacional do trabalho (OIT) (ILO, 2003), dois milhões de
pessoas, aproximadamente, morrem anualmente em todo o mundo decorrente de acidentes de
trabalho ou são acometidos por doenças de origem ocupacional. Há também grande quantidade de
mutilados resultantes da ocorrência anual de cerca de 270 milhões de acidentes, incluindo acidentes
fatais e não fatais, numa população ativa da ordem de 2,7 bilhões de pessoas em todo o mundo. Este
cenário promove e suscita a discussão sobre a importância dos temas relacionado à prevenção de
acidentes do trabalho em função do significado de suas conseqüências e sua extensão no cenário
mundial. No aspecto social, o acidente de trabalho e a doença ocupacional são fatores que
fomentam a miséria social, seja pela diminuição de renda, seja pela incapacidade para o trabalho e
mesmo a perda de vidas.
Lapa (2006) ressalta que recentemente houve exemplos advindos da introdução da gestão da
qualidade nas organizações que aliada à competição mundial possibilitou alcançar níveis de
produtividade jamais imaginados. Essa mesma experiência está migrando para a adoção de sistemas
de gestão ambiental, ocupacional e de segurança, os quais podem constituir meios poderosos de
reversão desse cenário indesejável. Se a sociedade empresarial não se sensibiliza com os números
catastróficos de acidentes e doenças, nem com a dor social que eles causam que se sensibilizem
pelas perdas econômicas mensuráveis que eles representam. Avaliações da OIT indicam que as
perdas por acidentes de trabalho e doenças ocupacionais são estimadas em 4% do PIB – Produto
Interno Bruto mundial (ILO, 2003).
Normalmente, os custos decorrentes dos acidentes de trabalho são embutidos aos custos do
produto. São esses os custos envolvidos com tratamento médico, recuperação de instalações,
reposição de equipamentos, seguros e indenizações. Dessa forma, a adoção de práticas de segurança
do trabalho, dentro das organizações, passa a ser tratada como uma condição para dar
sustentabilidade ao negócio. Assim, o espírito prevencionista vem conquistando um considerável
espaço nos planos estratégicos e táticos das organizações, refletindo-se no aumento de importância
que se vem dando às certificações dos sistemas de gestão de saúde e segurança do trabalho no
mundo.
Ao se falar em prevenção naturalmente deve-se pensar em “antecipar” os fatores geradores
de acidentes e doenças o que possibilita adotar medidas adequadas de prevenção e proteção. Em
outras palavras, significa gerir os riscos de modo que essa gerência conduza a resultados que
contribuam para amenizar e reverter esse cenário onde se perde a vida e capacidade de trabalho
paradoxalmente na conquista do sustento, sobrevivência e na busca de melhores condições e
qualidade de vida.
De acordo com Lapa (2006), o gerenciamento de riscos é uma prática recomendada na
própria legislação citada nas normas regulamentadoras do Ministério do Trabalho NR 5; NR 9; NR
18; NR 10; NR 22; NR 29 e mais recentemente na NR 32 (MTE, 2005). Além da citação em
legislação do país, os principais modelos de gestão disponíveis e adotados no país e no exterior
dedicam pelo menos um requisito a esse tema. Exemplo são as Normas BS 8800:1996 (BRITISH
STANDARD INSTITUTION, 1996), as Normas OHSAS 1800:1999 (BRITISH STANDARD
INSTITUTION, 1999) e a recomendação da OIT para sistemas de gestão – Guidelines on
occupational safety and health management systems – ILO – OSH 2001.
O biodiesel surgiu mundialmente como uma alternativa promissora aos combustíveis
minerais, derivados do petróleo. Os biocombustíveis vêm sendo testados atualmente em várias
partes do mundo. Países como Argentina, Estados Unidos, Malásia, Alemanha, França e Itália já
produzem biodiesel comercialmente, estimulando o desenvolvimento de escala industrial
(Biodieselbr, 2008). Na Europa, no início dos anos 90, o processo de industrialização do biodiesel
foi iniciado. Anualmente a União Européia produz mais de 1,35 milhões de toneladas de biodiesel,
em cerca de 40 unidades de produção (Lapa 2006). A Alemanha é um dos maiores produtores de
biodiesel, feita a partir da colza, produto utilizado principalmente para nitrogenização do solo. A
extração do óleo gera farelo protéico, à ração animal. O óleo é distribuído de forma pura, isento de
mistura ou aditivos, para a rede de abastecimento de combustíveis compostas por cerca de 1700
postos. (Lapa 2006).
No Brasil, além de promover leis específicas para o produto, o governo promove incentivo
fiscal aos produtores, visando a geração de renda para agricultura familiar. O potencial de produção
do biodiesel no Brasil é de cerca de 150 milhões de hectares, sendo 90 milhões referentes à novas
fronteiras, e outros 60 referentes a terras de pastagens que podem ser convertidas em exploração
agrícola a curto prazo. Contudo, o País explora menos de um terço desta área. Há também a grande
diversidade de opções para produção de biodiesel, tais como a palma e o babaçu no norte, a soja, o
girassol e o amendoim nas regiões sul, sudeste e centro-oeste, e a mamona e pinhão manso no semi-
árido nordestino.
O foco mais recomendado para prevenção de acidentes e doenças no trabalho é o controle na
fonte do processo, com sistemas de proteção redundantes. A aplicação destes princípios pode ser
auxiliada de forma eficiente e econômica com o uso de instrumentação e automação dos processos
de forma a torná-lo mais confiável, com operação contínua e mais segura. As medidas de controle
baseadas em instrumentação também aumentam a qualidade do processo e do produto final, assim
como melhora o desempenho ambiental do processo, com redução de perdas e promoção da
economia de água e de energia.
Este trabalho tem por objetivo propor a implantação de um sistema instrumentado de
segurança (SIS) numa planta de biodiesel, utilizando um método semi-quantitativo de avaliação de
riscos baseado na norma OHSAS 18001 para priorizar o risco nas áreas de uma unidade piloto de
produção de biodiesel localizada no município de Caetés, Pernambuco. Após os riscos mapeados,
foram aplicadas técnicas de análise de falhas para definição das funções de segurança, de modo que
os níveis de risco aos quais estão expostos os trabalhadores e equipamentos sejam controlados e
levados a um patamar aceitável de acordo com os padrões conhecidos.
2 Revisão bibliográfica e fundamentos teóricos
2.1 O Biodiesel
O biodiesel pode ser produzido a partir de diversas matérias-primas, tais como óleos
vegetais, gorduras animais, óleos e gorduras residuais, por meio de diversos processos. Corresponde
a um ester proveniente de ácido graxo ou triacilglicerois e pode ser usado puro ou em mistura de
diversas proporções com o diesel mineral.
2.1.1 A Indústria do Biodiesel
Segundo publicação do núcleo de assuntos estratégicos da presidência da república, a
evolução das tecnologias nos últimos anos mostra tendências para a adoção da transesterificação
com metanol e etanol como processo principal para o uso em mistura com o diesel. Justifica-se pela
possibilidade de introdução na frota atual de veículos automotivos, sem nenhuma modificação nos
motores. A diversidade das matérias primas, processos e usos é uma grande vantagem, mas cada
uso precisa ser analisado de acordo com as suas especificidades. (NAE, 2004).
Para converter óleos vegetais em combustíveis adequados, o processo predominante é a
transesterificação em meio alcalino, onde reagem os triacilglicerois com um álcool, etanol ou
metanol, produzindo glicerina e ésteres dos ácidos graxos componentes do óleo vegetal. A
diversidade de matérias-primas, óleos, e as alternativas de processo levam a diversos programas de
pesquisa e desenvolvimento tecnológico. Durante a década passada, a Comunidade Européia
aplicou cerca de 100 milhões no projeto de demonstração do Biodiesel, considerado o mais
relevante entre todos os projetos de Bioenergia [Mangan, 1995]. O programa americano de
Biodiesel, de menor porte, também tem recebido expressivo apoio. No curto período 1992 a 1997
foram desenvolvidos cerca de 350 projetos de pesquisa sobre Biodiesel nos Estados Unidos, em um
importante conjunto de estudos sobre produção, comercialização, uso e suas implicações [Thyson,
1995].
O diesel combustível pode ser misturado ao biodiesel e utilizado sem alteração dos motores
até um certo teor de biodiesel. Não existem obstáculos técnicos ou normativos para o início da
utilização de biocombustíveis em maior escala, em adição ao diesel, mas sua utilização implica em
disponibilidade de insumos, segurança no abastecimento, capacidade de processamento pela
industria e integração final aos circuitos de distribuição. A utilização de um novo combustível
depende entre outros fatores, de uma relação positiva entre a energia disponibilizada pelo
combustível produzido e a energia consumida no processo de produção. Por exemplo, no caso do
etanol produzido a partir da cana-de-açúcar, essa relação é de 8,3 para um. Comparativamente, nos
EUA o etanol tem uma relação de apenas 1,3. No Brasil, alguns estudos efetuados para fins de
Biodiesel indicam uma relação de 1,4 no caso da soja, de aproximadamente 5,6 no caso do dendê, e
de 4,2 no caso da macaúba. Estes dados confirmam o potencial de palmáceas como fonte de
matéria-prima, com maior produtividade e disponibilidade de resíduos de valor energético. O uso de
Biodiesel reduz as emissões associadas ao diesel de base fóssil. Trata-se de um produto não tóxico e
biodegradável [NAE, 2004].
2.1.2 A Produção do Biodiesel
De acordo com GERPEN (2005), para ocorrer reação de transesterificação, o álcool, o
catalisador, e o óleo são combinados em um reator e agitados, com aquecimento e tempo para a
reação. As plantas menores usam freqüentemente reatores em batelada, mas uma parte das plantas
de grande escala usa os processos de fluxo contínuos que envolvem os reatores contínuos de
tanques agitados (CSTR). A reação é feita às vezes em duas etapas. Nesse sistema,
aproximadamente 80% do álcool e o catalisador é adicionado ao óleo em um primeiro estágio
CSTR. Então o produto reagido deste reator atravessa uma etapa de remoção do glicerol antes de
incorporar em um segundo CSTR. Os 20% restantes do álcool e do catalisador são adicionados
neste reator. Este sistema fornece uma reação muito completa com o potencial de usar menos álcool
do que sistemas de uma etapa.
Depois da reação, o glicerol é removido dos ésteres devido à solubilidade baixa do glicerol
nos ésteres. Essa separação em geral ocorre de forma rápida no biodiesel metílico e de forma mais
lenta no biodiesel etílico e pode ser realizada em um decantador ou em uma centrífuga. O álcool
adicional tende a agir como um solubilizador e pode retardar a separação. O ácido é adicionado ao
biodiesel para neutralizar todo o catalisador residual e para eliminar qualquer sabão formado
durante a reação. Os sabões reagirão com o ácido formando sais solúveis em água. Os sais serão
removidos durante a etapa de lavagem com água, e os ácidos graxos livres permanecerão no
biodiesel em quantidades aceitáveis pelas normas de qualidade do produto. A etapa de lavagem com
água é realizada para remover todo o catalisador restante, sabão, sais, álcool, ou glicerol livre do
biodiesel. A neutralização antes da lavagem reduz a quantidade de água necessária e minimiza a
possibilidade da formação de emulsões quando a água de lavagem é adicionada ao biodiesel.
Depois do processo de lavagem, toda a água restante é removida do biodiesel por um processo do
flash a vácuo.
Para que ocorra uma boa reação, toda matéria-prima, incluindo o álcool e o catalisador
alcalino, devem estar isentas de água e o óleo não pode ter elevada acidez, quando se utiliza um
catalisador básico para produção de biodiesel. O controle da qualidade do produto deve ser rigoroso
em relação à reação completa até a formação do éster mono-alquilado (biodiesel). Deve-se remover
o catalisador residual e o álcool, e a glicerina livre (máximo de 200 ppm), e a ausência de ácidos
graxos livres (DORADO et al., 2002, 2004; CETINKAYA et al., 2004).
A água e os ácidos graxos livres inibem a reação. Deve-se ter o máximo de cuidado para
evitar a reação de saponificação do óleo. Cada tipo de óleo requer condições de operação
específicas para se obter um produto de qualidade garantida. Conforme Gerpen (2005), o método
mais simples para produzir ésters de álcool é usar um reator de tanque agitado por batelada. A
relação molar Álcool/triacilglicerídeos de 4:1 a 20:1 (mol:mol) tem sido relatada, com uma relação
6:1 sendo a mais comum. O reator deve ser selado ou equipado com um condensador de refluxo. A
temperatura de operação geralmente é de 60 a 65°C, embora as temperaturas de 25°C a 75°C sejam
relatadas. O uso do etanol como álcool, permite uso de temperaturas até75°C, sem ebulição do
álcool. O catalisador mais utilizado é o hidróxido de sódio e hidróxido de potássio. A faixa de uso
da quantidade de catalisadores é de 0.3% a 1,5% em peso com relação à massa de óleo.
No início da reação é necessário promover mistura completa dos reagentes para aumentar o
contato entre o óleo, o catalisador e o álcool. No final da reação, misturar menos pode ajudar a
aumentar a extensão da reação permitindo que o glicerol seja separado do éster por decantação.
Rendimentos de 85% a 94% são relatados. Algumas vezes é utilizada a reação em duas fases, com a
remoção do glicerol entres estas, para incrementar o final da reação para valores maiores que 95%.
Os tempos de reação variam de 20 minutos a mais que uma hora.
A Figura 1 mostra o diagrama de fluxo para um típico sistema a bateladas. O óleo é
primeiramente colocado no sistema reacional, seguido pelo catalisador e o álcool. O sistema é
agitado durante o tempo de reação, e então a reação é parada. Em alguns processos, a mistura da
reação é repousada no próprio reator para se dar uma separação inicial dos ésters e o glicerol. Em
outros processos a mistura é bombeada para repouso em outro vaso, ou é separada usando uma
centrífuga. O álcool é removido tanto do glicerol quanto do éster usando um evaporador. Os ésters
são neutralizados, lavados, delicadamente lavados usando água morna ligeiramente ácida para
remover o metanol residual e sais, e então secado. O Biodiesel saído do processo é transferido para
o armazenamento. O glicerol é neutralizado, lavado e remetido ao refino.
GERPEN, et al (2004) relata que podem ser usados dois tipos de reatores batelada e
contínuo. Os reatores contínuos podem ser de tanque de agitado (CSTR) ou de escoamento
empistonado (PFR). No reator de batelada, os reagentes são carregados nos tanques do reator em
determinada quantidade. O reator é fechado e as condições desejadas da reação são promovidas
(temperatura, pressão, e taxa de agitação). A composição química no reator muda com o tempo.
Uma vez que o tempo de reação prescrito está completo, o conteúdo químico do reator é removido e
enviado para o processo subseqüente. Por outro lado os reatores contínuos têm um fluxo constante
de reagentes no reator e produtos na saída. Uma vez que o fluxo contínuo do reator alcança o estado
estacionário de operação, a composição do produto que deixa o reator torna-se constante.
Figura 1: Processo de produção de biodiesel em bateladasFonte: Biodiesel production technology, Agosto 2002 – Janeiro 2004
As considerações mais importantes em um reator são a extensão de conversão dos reagentes,
e a seletividade da reação para os produtos desejados. As variáveis chaves do reator que ditam a
conversão e a seletividade são a temperatura, pressão, tempo de reação (tempo de residência), e o
grau da mistura. Em geral o aumento da temperatura da reação aumenta a taxa da reação daí, a
conversão para dado tempo de reação. Entretanto, se mais que uma reação ocorre simultaneamente,
a seletividade para produtos desejados pode ser impactada pela mudança na temperatura da reação.
Na reação de transesterificação, a seletividade da reação não é impactada negativamente pelo
aumento da temperatura. O aumento na temperatura na reação de transesterificação impacta na
pressão de operação. A reação é de fase líquida, então a pressão no reator deve ser mantida num
nível que mantenha o etanol na fase liquida. Conseqüentemente, com a temperatura da reação
aumentada a pressão deve também aumentar. Outra razão para aumentar a conversão num reator é
aumentar o tempo de reação. Para uma dada temperatura, a conversão aumentará como o tempo de
reação. Aumentando o tempo de reação tem um efeito de redução de na produção de uma planta ou
aumento no tamanho do reator para uma produção, ou seja, requer mais investimento em capital.
Um importante parâmetro em um reator é o grau da mistura ou transferência de massa.
Para reatores em batelada e CSTRs o grau da mistura está diretamente relacionado à
quantidade de energia introduzida através do impulsor ou misturador. O aumento da velocidade do
impulsor, que aumenta a entrada de energia para o reator, aumenta a taxa da mistura, que aumenta o
desempenho do reator. O limite existe onde a mistura adicional não proverá acréscimo ao
desempenho. Reatores do tipo batelada têm várias características positivas incluindo boas
características de mistura e facilidade reativa de manipulação de catalisadores homogêneos como os
usados na reação de transesterificação do Biodiesel. Como mencionado acima, a concentração do
reagente muda com o tempo no reator e também com a concentração do produto.
A compreensão da influência das condições de reação na produção de biodiesel é de
fundamental importância para o projeto adequado do sistema instrumentado de segurança, uma vez
que os sistemas de controle devem atuar com o foco na fonte do processo eliminando a causa do
acidente na sua origem. Por exemplo, o controle adequado da pressão do reator para evitar
vazamentos de inflamáveis ou rompimento de vaso depende de um bom controle da temperatura de
reação que afeta diretamente a pressão de vapor do álcool e conseqüentemente a pressão do sistema.
Quanto maior a relação molar álcool/óleo e maior o nível de carregamento do reator batelada, maior
será a quantidade de álcool e menor será o espaço para os vapores deste álcool, sendo maior a
influência do aumento da temperatura sobre o aumento da pressão.
2.1.3 Instrumentação e Controle de uma Planta de Biodiesel
De acordo com Gerpen, et al (2004) para produzir produtos de qualidade numa planta de
biodiesel é necessário estar hábil a controlar o processo de produção. Dois tipos processos gerais
podem ser utilizados na produção do biodiesel, o contínuo ou o em bateladas. Para processos em
bateladas o controle de variáveis deste processo serão a temperatura, pressão e nível. O controle de
pressão e temperatura são críticos numa seção de reação e separação de uma planta. O controle de
nível dita a carga do reator, operação de dispositivos de separação, e armazenamento do produto.
Para processos contínuos o controle das variáveis inclui temperatura, pressão, nível e vazão.
É importante observar que as variáveis que são controladas no processo, não são as mesmas
da especificação do produto. As especificações são propriedades que são necessárias no produto
final assim como estas são dadas pelas normas da agência reguladora responsável. O controle de
variáveis contém as variáveis de processo que são monitoradas e ajustadas para encontrar as
especificações desejadas. Assim como as especificações são geralmente verificadas fora da linha de
produção num laboratório analítico, as variáveis de processo são acompanhadas em tempo real. As
variáveis de processo são relacionadas às especificações através de algum tipo de modelo do
processo. As variáveis do modelo do processo estão relacionadas. O modelo do processo será
definido pelo responsável com o conseqüente refinamento na experiência de operação da planta.
Algumas plantas desenvolverão seus próprios processos estatísticos ou empíricos. Deverá ser
observado que os modelos de processo são tipicamente dependentes do insumo a ser empregado.
Nos instrumentos de medição das variáveis de processo, o desempenho destes instrumentos
pode ser caracterizado por sua precisão e exatidão. Exatidão é a habilidade de um instrumento para
medir o valor correto ou verdadeiro de uma variável de processo. Por outro lado, precisão é a
habilidade de um instrumento para reproduzir o valor de uma variável de processo num certo
intervalo. Assim como é possível ter tanto instrumentos com “exatidão e imprecisão” ou
“inexatidão e precisão”. Para a operação diária a habilidade de um instrumento ser preciso é
geralmente mais importante que a necessidade dele ser exato. Entretanto, quanto o instrumento de
medição necessitar ser trocado, a exatidão torna-se um fator importante. Quando consideramos um
sistema de controle instrumental, para uma planta química, um número de fatores deve ser
considerado: custo, precisão, confiabilidade e interface com o operador. É desejável ter o sistema de
monitoração de menor custo que permitirá o controle apropriado do processo. A precisão é
importante para assegurar que há a reprodutibilidade das medições. A confiabilidade dá a certeza de
que o sistema não é propenso a falhas. Finalmente, é desejável ter um sistema de controle e
monitoração que provê uma interface amigável com os operadores da planta (Gerpen, et al 2004).
A variável de processo mais comum a ser monitorada numa planta química é a
temperatura. A temperatura num ponto específico é geralmente medida utilizando termopares, que
são dispositivos elétricos. Park (1993) relata que um termopar é composto por qualquer par de
materiais condutores elétricos com diferentes características térmicas acoplados numa interface.
Uma corrente elétrica é estabelecida quando a junção é aquecida. A corrente elétrica é proporcional
a temperatura na junção. Por esta razão, o termopar deve ser calibrado para relacionar a temperatura
à corrente. Termopares são classificados de acordo com os metais utilizados nas suas junções, com
diferentes combinações de junções sendo mais apropriadas para diferentes faixas de temperatura. O
termopar é tipicamente inserido num invólucro térmico, e este deverá ser inserido no processo para
obter a leitura correta. Quando a temperatura de um líquido de determinado processo está sendo
medida, é geralmente adequado para o invólucro estar imerso de 2-3 polegadas no líquido. A figura
2 mostra a colocação de um termopar para a medição da temperatura de um líquido num processo.
Devido a transferência inferior de calor, o invólucro deverá estar imerso a 6 polegadas num
processo de vapor.
Figura 2: Diagrama de instalação de um termoparFonte: Biodiesel production technology, August 2002 – January 2004
Valores de pressão podem ser medidos utilizando diferentes tipos de dispositivos como
coluna líquida, elemento plástico, e sensor elétrico. A forma mais comum de uma coluna de líquido
é um manômetro em que o peso do líquido pode ser observado visualmente e correlacionado com a
pressão através da densidade do líquido. Segundo Chau (2003), um manômetro do tipo coluna de
líquido consiste de um tubo em forma de “U” evacuado e selado em um dos lados e parcialmente
preenchido com mercúrio ou uma baixa pressão de vapor. Quando o líquido utilizado é o mercúrio,
a pressão é medida em função do comprimento da coluna de mercúrio. Dispositivos do tipo coluna
líquida são raramente usados em processos químicos por serem pouco robustos e por ocasionar
elevado risco ao homem e ao meio ambiente com o uso do composto tóxico mercúrio. Dispositivos
do tipo elemento elástico medem pressão pela determinação da deformação de um material elástico.
Esse material elástico é normalmente metálico. Um tipo de dispositivo de elemento elástico utiliza
elementos em forma de fole, figura 3. O deslocamento deste fole pode ser relacionado com o valor
da pressão.
Os instrumentos mais comuns utilizados para medir pressão em processos químicos são
dispositivos com sensores elétricos que são conhecidos como strain gauges. Strain gauges são
baseados no fato de que a resistência elétrica de um condutor sólido muda com o comprimento e o
diâmetro do sólido. As mudanças nas dimensões do sólido induzidas pela pressão causam um
aumento na resistência elétrica do sólido. Um elemento elástico ou dispositivo sensor elétrico usado
para medir pressão é chamado de transdutor de pressão. A entrada de pressão para um transistor
deve estar localizada na fase de vapor de um processo. Um transdutor localizado na fase líquida
detectará uma pressão diferente em diferentes profundidades do líquido. Para utilizar um transdutor
de pressão para controle de processos ou em monitoração contínua, o transdutor deve produzir um
sinal elétrico. Para o dispositivo de elemento elástico, a leitura de pressão direta devido ao
deslocamento deve ser convertida em um sinal elétrico. Uma vantagem do sensor elétrico é que
estes dispositivos provêem diretamente um sinal elétrico. Assim como termopares, transdutores de
pressão podem ser usados para controle de processos pela comparação da pressão medida com a
pressão desejada num ponto de tomada de pressão.
Figura 3: Diagrama de um transdutor de pressãoFonte: Biodiesel production technology, August 2002 – January 2004
A medição de nível pode ser utilizada para dar a informação de balanço de massa através do
processo ou a carga no reator em bateladas. Historicamente, dispositivos de medição de nível tem
sido baseados em medidores baseados em êmbolo ou pressão diferencial, figura 4. De acordo com
Brumbi (1999), Existem vários métodos clássicos e modernos para medir o nível de um produto
num tanque de processo ou armazenamento em uma industria química, petroquímica, farmacêutica,
ou de alimentos, em taques móveis ou veículos e navios, mas também em reservatórios naturais
como lagos, mares e oceanos. A altura típica de um tanque é de 0,5 m a 40 m. O medidor baseado
em êmbolo é baseado na flutuação deste. O êmbolo é imerso numa câmara de êmbolo a qual é
localizado como um lado da câmara. O êmbolo é reposto por um elemento elástico no qual o
movimento é proporcional à força de flutuação. Então o nível pode ser determinado pela localização
vertical do êmbolo.
Figura 4: Diagrama de instalação de um transdutor nível por deslocamentoFonte: Biodiesel production technology, August 2002 – January 2004
Medidores de pressão diferencial, que são os dispositivos de indicação mais comuns, medem
a diferença na pressão entre duas tomadas de pressão num tanque. É importante observar que ambos
os indicadores de medição de nível são dependentes da densidade do líquido, então as mudanças na
densidade do líquido podem afetar estas leituras. Esse efeito pode ser particularmente importante se
todas as fases do liquido estão presentes no dispositivo medidor conectado ao tanque. Por exemplo,
a altura do liquido num recipiente do medidor conectado ao tanque não é uma medição direta do
nível do líquido, figura 5. Recentemente, dispositivos de medição de nível têm sido desenvolvidos
pelo uso da reflexão do sinal a partir de um transdutor ultra-sônico ou de rádio freqüência, que
mede a mudança na impedância entre dois eletrodos de um capacitor.
Figura 5: Diagrama de montagem de um transdutor de nível por pressão diferencialFonte: Biodiesel production technology, August 2002 – January 2004
Somados à densidade, há um número de fatores que podem influenciar a confiabilidade da
medição de nível. Pontos de obstrução podem ocorrer sem causar discrepâncias aparentes num
dispositivo de medição de nível. Excussões para níveis elevados podem impactar na confiabilidade
da medição do nível assim como a presença de espuma no tanque. A medição e controle de nível
num tanque requerem dois pontos de medida. É importante que estes pontos contenham válvulas.
Desde que o indicador de nível pode ser usado para monitorar a quantidade de material num tanque,
pode ser usado para obter o inventario de um processo assim como para controlar a carga de
produtos químicos num lote de um processo. A medição de nível pode converter sinais elétricos que
podem ser utilizados para controle. O laço de controle mais comum é o que inclui a medição de
nível com o controle de operação de bombas.
2.2 Norma OHSAS 18001
A norma OHSAS 18001 é um sistema de gestão em segurança e saúde ocupacional (SSO),
de modo a capacitar as organizações, no sentido de auxiliá-las a alcançar seus objetivos de
segurança e saúde ocupacional, identificar perigos e controlar seus riscos de acidentes e doenças
ocupacionais, e assim melhorar o seu desempenho. Esta norma não estabelece requisitos de
desempenho para SSO, nem define especificações detalhadas para o desenvolvimento de sistemas
de gestão. Assim, as especificações da OHSAS 18001 são aplicáveis para qualquer organização que
deseja:
Estabelecer um sistema de gestão para SSO como forma de eliminar ou minimizar os
riscos aos quais seus funcionários e outras partes interessadas possam estar expostos
quando da realização de suas atividades;
Implementar, manter e melhorar continuamente um sistema de gestão da SSO;
Assegurar, para si mesma, a conformidade com a sua política da SSO;
Demonstrar tal conformidade a quem possa interessar;
Obter certificação ou registro de seu sistema de gestão de SSO por uma organização
externa;
Realizar uma auto-avaliação e uma auto-declaração a respeito da conformidade de
seu sistema de gestão com esta especificação;
Todos os requisitos desta especificação foram definidos de modo a serem incorporados em
qualquer sistema de gestão para SSO. A extensão de sua aplicação irá depender de fatores como a
política da SSO da organização, a natureza de suas atividades e os riscos e complexidade de suas
atividades. A figura 6 exibe os elementos de um sistema de gestão de SSO.
Figura 6: Elementos de um sistema de Saúde e Segurança OcupacionalFonte: Metodologia de Construção de Sistemas de Gerenciamento de Riscos Ocupacionais. – São
Paulo, 2006. 90p
A organização deve estabelecer e manter um sistema de gestão de SSO cujos requisitos
estão definidos abaixo.
Uma política de segurança e saúde ocupacional deve estar disponível, autorizada pela alta
administração da organização, que claramente estabeleça os objetivos gerais para segurança e
saúde, bem como o comprometimento para melhorar o desempenho relacionado à saúde e
segurança. A política deve:
a) Ser apropriada à natureza e escala dos riscos de SSO da organização;
b) Incluir um compromisso com a melhoria contínua;
c) Incluir um compromisso de atender, pelo menos, a legislação vigente e aplicável de
SSO, bem como a outros requisitos subscritos pela organização;
d) Ser documentada, implementada e mantida;
e) Ser comunicada a todos os empregados com a intenção de que os mesmos tenham
consciência de suas obrigações individuais para a SSO;
f) Estar disponível às partes interessadas; e
g) Ser periodicamente analisada criticamente para assegurar que ela permaneça relevante e
apropriada à organização.
A OHSAS 18001 estrutura-se em “Elementos do Sistema de Gestão da Segurança e Saúde
no Trabalho”. São cinco os elementos desta estrutura:
• Política de SST;
• Planejamento;
• Implantação e Operação;
• Verificação e Ação Corretiva e
• Análise Crítica pela Administração.
Estes elementos são a base para uma gestão ser bem sucedida em SST e seguem o Ciclo
PDCA de Planejamento – Execução – Controle - Ação, que é a base da abordagem de sistema de
gestão para a melhoria contínua. Os elementos do Sistema de Gestão em SST são estruturados de
forma que cada elemento da estrutura, uma vez desenvolvido, seja uma das entradas da fase
seguinte, juntamente com os requisitos desta fase, e assim sucessivamente, até que se complete o
ciclo. Ao se observar esta estrutura, nota-se que a fase do elemento Política tem como base de
entrada o elemento Análise crítica pela administração e, como saída, o elemento Planejamento, que
sendo a próxima fase do ciclo, terá como base de entrada a Política e, dessa forma repetindo-se até
que a fase de Análise Critica pela Administração, tenha como saída a Política, iniciando-se, assim,
um novo ciclo.
A característica sistêmica da série OHSAS é verificada pela estrutura do ciclo descrita
anteriormente e também pela realimentação da mensuração do desempenho e pela auditoria que se
processa sobre cada elemento-fase. Pode-se verificar, ainda, que o ciclo do Sistema de Gestão em
SST não se limita à parte interna da organização, pois está estabelecido que, a cada repetição do
elemento de análise crítica pela Administração, sejam considerados os fatores internos e externos
para se reiniciar o ciclo, consolidando-se assim a estrutura para a melhoria contínua em SST.
Lapa (2006) verifica que a descrição dos processos de identificação de perigos e avaliações de
riscos segundo a OHSAS 18001:1999 e OHSAS 18001:2000, faz referência aos pré-requisitos para
a construção do processo de identificação de perigos e avaliação de riscos ocupacionais, e os
complementa fazendo referência à metodologia de identificação de perigos e avaliação de riscos
ocupacionais que, segundo essa norma, deve:
Ser definida considerando-se o escopo, a natureza e o planejamento de organização, de
modo a assegurar o seu caráter pró-ativo ao invés de reativo;
Fornecer a classificação dos riscos e a identificação daqueles que devem ser eliminados ou
controlados conforme as medidas definidas nos requisitos.
O guia de implementação da OHSAS 18001:1999 (BRITISH STANDARD INSTITUTION-BSI,
1999), que recebe a identificação de OHSAS 18002:2000, complementa a descrição desses
processos fornecendo detalhes descritivos de sua abordagem e conteúdo com referência à pró-
atividade, e abrangência, principalmente. Assim esse guia descreve que esses princípios também
devem ser aplicados considerando:
Situações novas ou para aquelas planejadas para serem modificadas, mantidas ou durante o
processo de parada e posta em marcha da planta;
Situações onde a presença de empresas contratadas pode criar condições para que perigos e
riscos estejam presentes ameaçando a saúde e a integridade física das pessoas;
Para todas as situações apresentadas, deve ser conduzida a avaliação do risco e a proposta das
medidas de controle, as quais devem levar em conta a exposição ou contato com os perigos, as
possibilidades de falhas nas medidas de controle, e as conseqüências potenciais da severidade dos
danos. Além disso, a avaliação de riscos deve preceder a introdução das novas atividades,
procedimentos, modificações nas instalações, introdução de novas máquinas e equipamentos.
Lapa (2006) avalia que os modelos normativos da série OHSAS 18000 abordam os processos de
identificação de perigos e avaliação de riscos de forma eminentemente descritiva. Na realidade
esses modelos comentam os requisitos desses processos sem, no entanto, fornecer elementos
objetivos que auxiliem na construção dos mesmos. Em outras palavras, não há nesses modelos
nenhuma sugestão prática de como efetivamente identificar os perigos e avaliar os riscos no foco de
prover elementos para um efetivo gerenciamento.
2.3 Sistemas Instrumentados de Segurança
A segurança industrial em antes da era digital centrou-se principalmente em torno das
práticas seguras do trabalho, do controle de materiais perigosos e das pessoas, e do equipamento.
Hoje, a segurança atua mais profundamente em infra-estruturas mais complexas da fabricação,
estendendo sua influência em toda a linha de produção de uma companhia. Os sistemas de
segurança atualmente reduzem o risco com avanços operacionais que melhoram freqüentemente a
produtividade e a rentabilidade também.Até os anos 80 a gerência de segurança era pela maior parte
auto-regulamentada. Alertado pelo acréscimo de dispositivos de controle eletrônico, o crescimento
das complexidades em sistemas de fabricação, a proteção do ambiente ficou obrigatória, e houve
uma necessidade maior proteger recursos da planta, novos modelos de segurança internacionais
emergiram e continuam a evoluir. Com introdução de padrões como IEC 61508, IEC 61511 e AIA
84, o interesse em sistemas instrumentados de segurança (SIS) e na confiabilidade dos instrumentos
cresceu (Alves, 2007).
Nenhuma medida de segurança por si só pode reduzir o risco e proteger uma planta e seu
pessoal contra o dano, ou combate a propagação do dano se um incidente perigoso ocorre. Por este
motivo, existem medidas de segurança em camadas protetoras. Uma seqüência de dispositivos
mecânicos, controle de processos, sistemas da parada programada e medidas de respostas externas
impedem ou combatem um evento perigoso. Se uma camada da proteção falha, as camadas
sucessivas estarão disponíveis para retomar o processo a um estado seguro, já que o acidente
geralmente é o resultado de uma sucessão de falhas num efeito dominó. Como o número de
camadas de proteção e suas confiabilidades aumentam, a segurança do processo aumenta. A figura
7 mostras que de a sucessão de camadas de segurança em ordem de sua ativação.
Figura 7: Sistemas de segurança em camadas. Fonte: Alves, 2007.
1. Sistema de controle básico do processo: O sistema de controle básico do processo
básico fornece a segurança com o projeto apropriado do controle do processo. Este nível consiste
em controles básicos, em alarmes, e em supervisão do operador.
2. Alarmes críticos: Esta camada de proteção fornece alarmes críticos que alertam
operadores a uma circunstância em que uma variável excedeu seus limites especificados e pode
exigir a intervenção.
3. Sistema Instrumentado de Segurança Automático: Este sistema opera independente
do sistema de controle básico do processo para fornecer um pouco mais de segurança que o controle
do processo. Executa ações da parada programada quando as camadas precedentes não podem
resolver uma emergência.
4. Dispositivos do alívio: Esta camada de proteção ativa emprega válvulas, dispositivos
de alívio de pressão para impedir uma ruptura, o derramamento ou a liberação descontrolada.
5. Diques: Esta camada da proteção passiva consiste na retenção dos elementos em
vazamento de modo a estabelecer barreiras para a contaminação do meio ambiente ou fogo.
6. Resposta da Planta: Esta camada da proteção é a ação da resposta de emergência
tomada pela pelos componentes da planta e consiste na luta contra o incêndio como procedimentos
para a evacuação, sistema de combate a incêndio com rede de hidrantes de acionamento automático
ou manual e equipamentos extintores portáteis.
7. Resposta da comunidade: O nível final de a proteção é a ação da resposta de
emergência tomada pela comunidade e consiste na luta contra o incêndio e nos outros serviços de
urgências.
Os níveis de camadas protetoras exigidas são determinados através de uma análise dos
perigos e dos riscos de um processo, conhecidos como a análise de perigos do processo (PHA).
Dependendo da complexidade das operações do processo e a gravidade de seus riscos, a análise
pode variar de uma seleção simplificada a um perigo rigoroso e estudo da engenharia de
operabilidade do processo (HAZOP) que revê fatores mecânicos, elétricos, instrumentais e
administrativos da segurança. Uma vez que os riscos e perigos foram avaliados, eles podem ser
determinados se estão abaixo níveis aceitáveis. Se o estudo conclui que a proteção existente é
insuficiente, um sistema instrumentado de segurança (SIS) será exigido.
Os sistemas instrumentados de segurança (SIS) desenvolvem um papel vital em fornecer
uma camada protetora em um processo industrial. Também são chamados de sistemas de
emergência ou sistema de parada programada de segurança, sua finalidade é levar o processo “a um
estado seguro” quando ajuste predeterminado é excedido ou quando as condições seguras de
funcionamento foram extrapoladas. Um SIS é composto de funções de segurança com sensores,
dispositivos de resolução lógica e atuadores. A figura 8 mostra seus componentes básicos:
• Sensores para sinal de entrada;
• Interface e processamento para sinal de entrada;
• Dispositivo de resolução da lógica e comunicação;
• Tratamento de sinais de saída e conexões;
• Atuadores (válvulas, dispositivos de comutação) para a função de controle final
Figura 8: Componentes básicos de um sistema instrumentado de segurançaFonte: Understanding Safety Instrumented Systems, 2007
SIF: Função Instrumentada de Segurança.
Uma função instrumentada de segurança (SIF) é uma função com um nível especifico de
segurança que é implementado por um SIS a fim alcançar ou manter um estado seguro. Os sensores,
o dispositivo de resolução de lógica, e os elementos finais atuam em conjunto para detectar um
perigo e para trazer o processo a um estado seguro. Como as características de segurança em um
automóvel, um SIF pode operar continuamente como a direção de um carro, ou intermitentemente
como o airbag. No modo sob demanda, a operação de uma função de segurança é executada
somente quando exigida, a fim transferir o equipamento sob controle a um estado especifico. No
modo contínuo, a operação de uma função de segurança ocorre para reter o equipamento dentro de
seu estado seguro. A figura 9 mostra o relacionamento entre o SIS, a função instrumentada de
segurança que ele implementa, e o nível de segurança que é atribuído a cada função instrumentada
de segurança.
SIL: Nível de Segurança Instrumentada.
A taxa de falhas máxima tolerável para cada perigo conduz a um nível de integridade para
cada parte do equipamento, dependendo de sua contribuição relativa para o perigo em questão.
Estes níveis de integridade são conhecidos como a “níveis de integridade de segurança” e são
descritos geralmente por uma de quatro faixas discretas descritas abaixo:
SIL 4: O nível mais elevado e mais oneroso para conseguir, exigindo técnicas avançadas
(evitadas geralmente);
SIL 3: Menos oneroso do que SIL 4 mas ainda com exigência do uso de técnicas de
projeto sofisticadas
SIL 2: Exige boas práticas de projeto e operação;
SIL 1: O nível mínimo, mas ainda implica boa prática do projeto;
Figura 9: Relacionamento SIS, função instrumentada de segurança, e nível de segurançaFonte: Understanding Safety Instrumented Systems, 2007
2.3.1 Padrão IEC 61508
O padrão IEC 61508 trata da integridade funcional para sistemas de segurança que utilizam
dispositivos elétricos, eletrônicos e programáveis. O objetivo principal do padrão do IEC 61508 é
facilitar o desenvolvimento dos padrões internacionais de aplicação em vários setores, que serão
desenvolvidos pelos comitês técnicos do IEC, responsáveis por estes setores. Um segundo objetivo
do padrão IEC 61508 é permitir o desenvolvimento padrões relacionados à segurança envolvendo
dispositivos eletro-eletrônicos/eletrônicos/programáveis em setores de aplicação onde não existem
padrões.
Smith e Simpson (2004) relatam que o padrão IEC 61508 do IEC 61508 consiste nas
seguintes partes:
• Parte 1: Requisitos gerais
• Parte 2: Requisitos para sistemas elétrico/eletrônico/programável relacionados à segurança
• Parte 3: Requisitos do software
• Parte 4: Definições e abreviaturas
• Parte 5: Exemplos dos métodos para a determinação de níveis de segurança
• Parte 6: Diretrizes na aplicação de IEC 61508-2 e de IEC 61508-3
• Parte 7: Visão geral das técnicas e medidas
As partes 1, 2, 3 e 4 de IEC 61508 são normativas, e seus anexos podem ser normativos
ou informativos e são indicados apropriadamente. As partes 5, 6 e 7 desta norma são
informativas e fornecem a orientação na aplicação das partes 1, 2 e 3. As sete partes deste
padrão são genéricas e se aplicam todos os sistemas eletro-eletrônicos, eletrônicos e de
dispositivos programáveis na utilização relacionada à segurança independentemente do setor
da aplicação. Os exemplos de setores de aplicação incluem, entre outros:
• Indústrias de processo (sistemas de parada de emergência, sistema de detecção de fogo e
do gás, controle de queimadores);
• Indústrias de transformação (robôs industriais, ferramenta de máquinas);
• Transporte (sinalização de estradas, sistemas de frenagem, elevadores);
• Médico (instrumentos variados para eletro-medicina variados, radiografia);
2.3.1.1 Requisitos Completos para o Ciclo de Vida de Segurança
O padrão do IEC 61508 introduz o conceito de um completo ciclo de vida de segurança
para assegurar de que todas as atividades necessárias conseguir o nível exigido de segurança
estejam executadas. Figura 10 mostra que o ciclo de vida completo de segurança e o padrão
específico do ciclo de vida para cada fase (Smith, 2004):
• Os objetivos a serem alcançados
• Os requisitos para alcançar os objetivos
• O escopo de cada fase
• As entradas exigidas para cada fase
• Os “entregáveis” exigidos para cada fase
Os requisitos para cada fase do ciclo de vida completo de segurança são discutidos no
padrão.
Figura 10: Ciclo de vida completo de um sistema de segurançaFonte: Norma IEC-61508
Segundo Smith e Simpson (2004), o padrão IEC 61508 apresenta-se como sendo baseado
em uma aproximação do ciclo de vida da segurança e conseqüentemente descreve este modelo e
identifica as atividades e as exigências baseadas nele. O padrão do IEC 61508 introduz o conceito
dos níveis de segurança que se relacionam à segurança exigida para o hardware e o software usados
nos sistemas de segurança. Um dos desafios em desenvolver sistemas relacionados à segurança para
a proteção dos equipamentos sob controle é a determinação do nível exigido da segurança do
sistema. O nível da segurança exigido é relacionado diretamente à redução do risco necessário de
modo a conseguir o nível aceitável de segurança para o equipamento.
Este padrão também define quatro níveis da segurança para acomodar uma larga escala de
redução de risco que os sistemas terão que alcançar. A tabela 1 exibe os níveis da segurança (SILs)
para os sistemas que operam em um modo de baixa demanda de operação e em uma alta demanda,
ou em um modo contínuo da operação. As medidas de falha são mostradas para cada um dos quatro
SILs as quais asseguram que o nível de segurança do hardware esteja alcançado. As sete partes do
padrão do IEC 61508 definem os procedimentos, as técnicas, as medidas, etc. que devem ser usados
para cada um dos quatro níveis da segurança de modo a assegurar que a segurança do sistema seja
conseguida igualmente.
Tabela 1: Níveis de segurança (SILs) em sistemas que operam em baixa demanda e alta demanda Fonte: Norma IEC-61508
O nível de segurança é definido como “a probabilidade de um sistema de segurança
executar satisfatoriamente as suas funções exigidas sob todas as condições indicadas dentro de um
período de tempo indicado.” Desta forma, conforme maior a probabilidade de falha sob
determinada demanda de operação para um equipamento ou sistema, maior é o SIL necessário para
levar este equipamento ou sistema para o modo seguro, sendo o SIL 4 o mais elevado.
A segurança consiste em dois elementos:
• Segurança de Hardware: O alcance de um nível específico de segurança de hardware
pode ser estimado por um nível razoável de exatidão desde que a segurança do hardware esteja
relacionada a falhas aleatórias perigosas. A segurança de hardware inclui também o efeito de falhas
de hardware comuns. O padrão IEC 61508 relaciona as falhas aleatórias perigosas de hardware com
medidas específicas para sistemas de segurança, conforme a tabela 1. Os valores são função do
nível de segurança. O IEC 61508-2, item 7.4.3 define exigências para determinar a segurança de
hardware.
• Segurança de sistema: A taxa de falhas de sistema é difícil de prever, pois estas falhas
podem ser causadas por erros do projeto de hardware, erros de software, erros de operação, falhas
de software por causas comuns, etc. O padrão IEC 61508 relaciona falhas de segurança do sistema
para procedimentos específicos, técnicas, medidas, etc. que reduzem estas falhas. As técnicas, as
medidas, etc. especificadas são uma função do nível da segurança. IEC 61508-2, item 7.4.5 define
as exigências para o controle de falhas de sistema.
2.3.1.2 Risco e Segurança
Risco é definido como a taxa provável de ocorrência de um perigo que causa o dano e o
grau de severidade do dano. Em outras palavras, o risco tem dois elementos; a freqüência e a
probabilidade em que o perigo ocorre, e as conseqüências do evento perigoso.
Como anteriormente mencionado, é necessária a avaliação do estudo de como um perigo e
um risco determinará a necessidade para um SIS. Esta avaliação é uma porção de um ciclo de vida
da segurança que todos os principais modelos de segurança principais especificam. O ciclo de vida
da segurança mostra uma aproximação sistemática para o desenvolvimento de um SIS. A finalidade
de determinar o nível de risco para um perigo específico é para qual estado é julgado razoável no
que diz respeito à freqüência (ou à probabilidade) do evento perigoso e a suas conseqüências
específicas. Este risco é alcançado para encontrar o nível exigido de segurança.
A figura 11 mostra o conceito geral para redução de risco de modo a alcançar nível
necessário de segurança. Esta figura mostra o equipamento controlado (risco sem o sistema de
segurança), o risco para alcançar o nível exigido de segurança, e a mínima redução de risco
necessária. A redução de risco pode ser alcançada através de práticas externas, sistemas de
segurança elétricos/eletrônicos/programáveis, e outras tecnologias relacionadas a segurança.
Figura 11: Conceito geral para redução de riscoFonte: Norma IEC-61508
Quanto maior o risco associado a um processo é necessário um maior nível de segurança
aplicado para o controle deste risco. Assim são sistemas mais complexos e robustos são aplicados
aos processos que apresentam maiores potenciais de ocorrência de um evento. SILs (níveis de
segurança) são medidas do risco de segurança de um processo dado.
Historicamente, a literatura da segurança categorizou um processo como sendo seguro ou
inseguro. Para os padrões novos, a segurança não é considerada um atributo binário. Desta forma, é
estratificada em quatro níveis discretos de segurança. Cada nível representa uma ordem de valor da
redução do risco. Mais elevado o nível de SIL, maior o impacto de uma falha e mais baixo a taxa de
falhas que é aceitável.
O nível da segurança é uma maneira de indicar a taxa de falhas tolerável de uma função de
segurança. Os padrões exigem a atribuição de um SIL para todo o SIF novo ou adaptado dentro do
SIS. A atribuição do SIL é uma decisão que exige a análise de perigos. A atribuição de um SIL é
baseada na quantidade de redução de risco que é necessária para manter o processo num nível de
segurança aceitável. Todo o projeto do SIS, operação e escolhas da manutenção devem então ser
verificados de acordo com o SIL. Isto assegura que o SIS pode reduzir o risco atribuído ao
processo. Quando uma análise de perigos do processo (PHA) determina que um SIS é necessário, o
nível de redução do risco alcançado pelo SIS e o SIL têm que ser atribuídos. A eficácia de um SIS é
descrita nos termos “da probabilidade que não execute sua função exigida quando é solicitado.” Isto
é sua probabilidade da falha por demanda (PFD). O PFD médio (PFDavg) é usado para a avaliação
de SIL. A tabela 2 mostra o relacionamento entre PFDavg, disponibilidade do sistema de segurança,
da redução do risco e dos valores do nível de SIL.
Tabela 2: Relacionamento entre falha sobre demanda, disponibilidade do sistema de segurança e redução do risco. Fonte: Understanding Safety Instrumented Systems, 2007
2.3.1.3 Determinação do risco e do nível de segurança
Várias metodologias são usadas para a atribuição de um SIL. A determinação deve
envolver pessoas com a perícia e a experiência. As metodologias usadas para determinação de um
SIL incluem cálculos simplificados, análise de árvore de falha, análise de camada de proteção
(LOPA) e de análise Markov.
O anexo C do padrão do IEC 61508-5 ilustra uma técnica quantitativa para calcular a
redução necessária do risco exigida para encontrar o nível necessário de segurança. Este nível, para
um único sistema de proteção elétrico/eletrônico/programável, pode ser determinado diretamente a
partir da redução do risco que o único sistema de proteção deve fornecer. Por exemplo, se uma
redução de risco de 5.10-4 é necessária, então a probabilidade de um sistema de proteção não
executar sua função é também de 5.10-4. Ou seja, a redução do risco é igual à medida da falha do
sistema, média de probabilidade de falha sob demanda (PFDavg), para um do sistema de proteção
operando no modo de baixa demanda de operação. Então, da tabela acima, um sistema de proteção
com um SIL de 3 é necessário para este exemplo. Uma vez que o nível da segurança é conhecido, o
projetista do sistema da segurança pode seguir as técnicas e as medidas especificas para esse nível.
O anexo D do padrão do IEC 61508-5 ilustra uma técnica qualitativa usando um gráfico
do risco para determinar diretamente o nível exigido da segurança. A Figura 12 mostra o gráfico do
risco descrito no anexo D do padrão. Este gráfico é derivado do padrão 19250 alemão DIN V.
Figura 12: Técnica qualitativa utilizando gráfico de riscoFonte: IEC – 61508 Anexo D
Nesta análise, os riscos são qualificados inicialmente quanto às suas conseqüências, sendo
ordenados do menor para o maior (CA...CD). Após esta etapa, é verificada a freqüência de
exposição a estes riscos, as quais são classificadas como de menor ou de maior freqüência. Por
último é feita a análise da probabilidade de ocorrência do evento de falha. Igualmente esta
classificação é feita por menos provável ou mais provável de ocorrer. Finalizada a análise há um
mapa onde estão relacionados as combinações conseqüência x freqüência x probabilidade com os
níveis de segurança necessários aos sistemas de proteção.
2.3.2 Padrão IEC 61511
O padrão foi emitido no início de 2003 e está em dividido em três partes:
Parte 1 Padrão normativo
Parte 2 Orientação informativa na parte 1
Parte 3 Guia informativo na análise de perigo e risco
A parte 1 do padrão cobre o ciclo de vida incluindo: Gerência da segurança funcional,
análise de perigo e risco, projeto de sistemas instumentados de segurança (SIS).
Smith e Simpson (2004) descrevem o padrão como sendo utilizado para as atividades de
projetistas, integradores e usuários na indústria de processo. Fornecedores componentes do produto,
como dispositivos do campo e dispositivos lógicos, consultam a IEC 61508 para desenvolvimento,
sobretudo no caso de SIL 4. Como o padrão está visando somente o nível da integração do SIS e
não os elementos individuais, as exigências para o projeto e desenvolvimento do SIS (abordados
pelas partes 2 e 3 de IEC 61508) foram simplificadas significativamente. O projeto do hardware foi
substituído pelo conjunto das principais as exigências, tais como o “a menos que justificado de
outra maneira o sistema devem incluir um mecanismo de parada manual que sobreponha o
controlador lógico”. Os requisitos de software são restritos às aplicações software usando línguas
limitadas ou programas fixos.
As técnicas e as medidas detalhadas dentro do padrão IEC 61511, são apropriados para o
desenvolvimento e modificação da arquitetura de um sistema elétrico/eletrônico/programável e
utilização uma variedade limitada de Linguagens até funções de segurança avaliados como SIL 3. A
menos que identificado especificamente, as mesmas técnicas e medidas não serão utilizadas. Onde
um projeto envolve o desenvolvimento e a modificação de uma arquitetura de sistema e de um
software de aplicação para SIL 4, ou o uso de várias linguagens para softwares de aplicação (ou o
desenvolvimento de um produto do subsistema) então o padrão IEC 61508 deve ser usado. A figura
13 mostra o relacionamento entre os padrões IEC 61508 e IEC 61511.
Figura 16: Comparação entre IEC 61511 e IEC 61508Fonte: Functional Safety, 2th Edition (Butterworth Heinemann UK)
2.3.2.1 Organização e gerenciamento do ciclo de vida
Os requisitos para a gerência de atividades segurança funcional e ciclo de vida são
basicamente as mesmas que dadas em IEC 61508. O ciclo de vida é exigido para ser incluído na
planta da qualidade e da segurança do projeto. Cada fase do ciclo de vida precisa de ser verificada
para:
• Adequação das saídas em relação aos requisitos descritos para esta essa fase particular
• Adequação da revisão, inspeção, da inspeção e/ou do teste das saídas
• Compatibilidade entre as saídas geradas em fases diferentes do ciclo de vida
• Garantia da exatidão de todos os dados gerou
• Desempenho do sistema de segurança instalado em termos de falhas de sistema e de
hardware comparados àqueles da fase de projeto
• A taxa de demanda real no sistema de segurança comparou com a avaliação original
Se em qualquer estágio do ciclo de vida, é necessária uma mudança que afete uma fase
anterior do ciclo de vida, então esta fase e (e as fase seguintes) devem ser reexaminadas.
A equipe da avaliação deve incluir pelo menos um profissional sênior competente, não
envolvida de projeto. Todas as avaliações serão realizadas na planta da segurança e, normalmente
deve ser feito:
• Após a avaliação do perigo e de risco
• Após o projeto do sistema de segurança
• Após a instalação e o desenvolvimento de procedimentos de operação e manutenção
• Após o ganho operacional/experiência da manutenção
• Após alguma mudança na planta ou no sistema de segurança
Os requisitos para executar uma análise do perigo e de risco são basicamente os mesmos que
para o padrão IEC 61508, mas com orientação adicional dada na terceira parte. A parte 1 do padrão
IEC 61511 descreve as camadas típicas de redução do risco (controle e monitoração, resposta de
emergência da planta, prevenção, mitigação, e resposta de emergência da comunidade). Tudo isso
deve ser considerado como meio de reduzir o risco e seus fatores de contribuição precisam ser
considerados em adição aos requisitos de segurança para qualquer sistema de segurança, que faz
parte da camada da PREVENÇÃO. A parte 3 dá exemplos de aproximações numéricas, gráficos de
risco e LOPA.
2.3.2.2 Requisitos envolvidos na especificação
O projeto de especificação funcional do sistema deverá relacionar a arquitetura do sistema
de segurança e os requisitos de aplicação de software. Os pontos seguintes devem estar inclusos
(IEC – 61508):
• Definição de funções de segurança, incluindo SIL;
• Requisitos para minimizar falhas de causa comum;
• Modo de operação, com a suposta taxa de demanda no sistema;
• Uma descrição de medidas do processo;
• Seleção de subsistema e componente em conformidade com a exigência especifica SIL;
• Arquitetura de hardware
• Tolerância de falha de hardware
• Desempenho de capacidade e tempo de resposta que é suficiente para manter a segurança
de planta;
• Desempenho ambiental;
• Requisitos da fonte de alimentação e monitoração da proteção (por exemplo, sob sobre-
tensão)
• Interfaces com o operador e sua operabilidade incluindo:
- Indicação da ação automática
- A indicação de cancelamento/desvio
- Indicação de alarme e estado da falha
• Procedimentos para o estado transitório da planta e do sistema de segurança (partida,
restauração, etc.).
• Ação tomada nas variáveis de processo más (ex. valor do sensor fora da escala, circuito
aberto detectado, curto-circuito detectado)
• Testes de prova e requisitos de teste de diagnóstico e unidades lógicas, e dispositivos de
campo;
• Tempos de reparo e requisitos de ação para manutenção, na detecção de falha da planta em
um estado seguro;
• Métodos manuais de operação independentes do elemento final devem ser especificados a
menos que de outra maneira justificado pelas exigências de segurança.
As funções de segurança serão descritas usando métodos como diagrama de causa e efeito,
diagramas lógicos ou diagramas de seqüência.
2.3.2.3 Operação e manutenção
O objeto desta fase do ciclo de vida ter certeza de que o SIL exigido de cada função de
segurança esteja mantido, assim como a taxa de demanda do perigo no sistema de segurança e a
disponibilidade do sistema de segurança estejam consistentes com o as suposições originais do
projeto. Se há algum aumento significativo na taxa de demanda do perigo ou diminuição na
disponibilidade de sistema de segurança entre as suposições do projeto e aquelas encontradas na
operação da planta que comprometa a segurança desta, alveja então mudanças no sistema de
segurança terão que ser feitas a fim manter a segurança de planta (IEC - 61508).
O planejamento de operação e manutenção precisa averiguar:
• Atividades da operação de rotina e anormal;
• Teste da prova e atividades da manutenção de reparo;
• Procedimentos, medidas e técnicas de uso;
• Registro de conformidade com os procedimentos;
• Registro de toda demanda no sistema de segurança junto com seu desempenho a estas
demandas;
• Registro de todas as falhas do sistema de segurança;
• Competência do pessoal;
• Treinamento do pessoal;
3 Metodologia
Este estudo avalia os riscos presentes numa unidade de produção piloto de biodiesel,
obedecendo aos requisitos da norma OHSAS 18001. A avaliação será utilizada para definição do
sistema instrumentado de segurança capaz de tornar o processo seguro. Para a construção desta
avaliação é necessário conhecer detalhadamente todo processo de produção do biodiesel, os
materiais utilizados, e as tarefas desempenhadas neste seguimento. Foram realizadas visitas à
unidade, registradas na figura 14, onde se observa a) operação da centrífuga b) área de
armazenamento do óleo vegetal, metanol, e biodiesel, c) área do reator, d) tanques auxiliares, e)
área de separação do biodiesel e glicerina. Estas visitas proporcionaram conhecimento apropriado à
construção do diagrama do processo pelo entendimento do funcionamento de cada área da usina.
Esta descrição está detalhada nas próximas seções deste trabalho.
3.1. Descrição do processo de produção de biodiesel na unidade piloto de Caetés.
O processo de produção de biodiesel utilizado na unidade piloto de Garanhuns foi
acompanhado desde a chegada da matéria prima e seu armazenamento, até a saída do produto final
para utilização no mercado. As reações presentes no processo não são detalhadas, pois este não é o
objetivo deste trabalho. A figura 15 mostra o diagrama completo para as etapas do processo de
produção de biodiesel na unidade piloto de Caetés, de acordo com o CETENE
Figura 14: Unidade de produção piloto de biodiesel de Caetés. a) Tanque de lavagem. b) Tancagem. c)Reator. d)Tanques intermediários. e)Recuperação de etanol/glicerol.
Figura 15: Fluxograma de produção de biodiesel na unidade piloto de Caetés
A produção se inicia com a neutralização do óleo de algodão onde são retiradas as
impurezas, como corantes e proteínas. A neutralização é feita na presença de temperatura e solução
alcalina (solda caustica). Para esta etapa, é utilizado o reator1. A figura 16 ilustra a etapa de
neutralização do óleo vegetal.
Figura 16: Processo de neutralização do óleo vegetal.
Em seguida o óleo é filtrado e sua umidade é retirada, pois se houver presença de umidade
ocorrerá formação de sabão (transesterificação básica).A remoção de umidade do óleo é realizada
num secador, através de elevação de temperatura em conjunto com a redução da pressão, a água irá
evaporar, separando-se do óleo. A figura 17 exibe o diagrama simplificado desta etapa do processo.
Após seco, o óleo é bombeado para o reator 2 onde ocorrerá a reação de transesterificação.
Figura 17: Processo de secagem do óleo vegetal.
Neste reator estão presentes o óleo vegetal, o álcool de cadeia curta (etanol ou metanol), e o
catalisador (hidróxido de sódio ou de potássio). O catalisador é preparado em tanques de aço inox,
próximos ao reator. A figura 18 ilustra o processo. A temperatura, a velocidade de agitação e o
tempo de residência são importantes parâmetros do processo. Como a reação é reversível, então a
quantidade de álcool é colocada em excesso para inibir esta característica indesejada.
Figura 18: Etapa de transesterificação do óleo vegetal
Para melhorar a transferência de massa, existe um agitador mecânico onde a mistura
circula neste equipamento, o qual melhora a eficiência do processo. O principio de funcionamento
do agitador mecânico é o estabelecimento de um movimento rotatório no fluido, de modo que a
força centrífuga aplicada às partículas seja maior que as forças de coesão molecular e de gravidade,
fazendo com que as mesmas sejam lançadas de encontro às paredes, retirando-as da massa em
escoamento. Este é usado para coletar as partículas de maior tamanho e elevado peso específico.
Também existe um condensador, o qual evitará que o álcool que evapore durante a reação volte a
condensar e novamente participar da reação. O topo do condensador possui uma abertura por onde o
álcool possa sair caso a pressão dentro do reator aumente excessivamente.
Após a reação o produto é o biodiesel e a glicerina mais densa que o biodiesel. Este
conjunto é bombeado até os decantadores onde a glicerina é separada do biodiesel. Nesta parte do
processo os subprodutos estão associados a impurezas e devem ser purificados para recuperar o
excesso de álcool colocado na reação. O processo de purificação inicia em vasos onde existem
trocadores de calor, acoplados a condensadores. Nesta etapa, o fluido circula continuamente entre o
evaporador e o condensador. Como o álcool possui temperatura de ebulição menor que o biodiesel,
e também a pressão nestes equipamentos é reduzida através da ação de uma bomba de vácuo, o
álcool evapora separando-se da substância e é condensado e conduzido à etapa de remoção umidade
para utilização novamente no processo. A recuperação do álcool é finalizada na coluna de
destilação. O biodiesel produzido após remoção do álcool, ainda pode conter impurezas. Estas
impurezas devem ser removidas no processo de lavagem em agitadores. A figura 19 mostra este
processo. A primeira lavagem é feita com água levemente acidificada com o objetivo de neutralizar
as impurezas (catalisador residual, sabão) e a segunda lavagem deve ser feita com água pura.
Figura 19: Processo de lavagem do biodiesel
Após a segunda lavagem o biodiesel é colocado na centrífuga para ser executada a
separação da água. Mesmo após a centrífuga, o biodiesel é novamente bombeado ao conjunto
evaporador-condensador (utilizado anteriormente para a separação do biodiesel com o álcool), para
“secagem”. O resultado deste processo é o biodiesel purificado e seco, o qual é bombeado para os
tanques de armazenamento para utilização.
Todo processo foi mapeado e posto num diagrama para ser estudado. Com o diagrama do
processo e o entendimento das funções e atividades realizadas, foi possível avaliar os riscos do
trabalho na unidade piloto de produção de biodiesel. O diagrama do processo é verificado abaixo na
figura 20. Cada produto que circula nos dutos da unidade foi classificado por uma cor específica,
sendo divididos em: óleo vegetal, óleo + éster + glicerina, biodiesel, catalisador, álcool, óleo
mineral, álcool recuperado, vácuo e glicerina. Os equipamentos estão também identificados, de
forma a facilitar o entendimento do processo.
Figura 20: Planta de produção de biodiesel de Caetés.
3.2. Análise de riscos no processo de produção de biodiesel na unidade piloto de Garanhuns.
Conforme a norma OHSAS 18001, a organização deve estabelecer e manter
procedimentos para identificação de riscos, e implementação das necessárias medidas de controle.
Esses documentos devem incluir:
Atividades rotineiras e não rotineiras;
Atividades de todo pessoal que tem acesso ao local de trabalho (incluindo
subcontratados e visitantes);
Processos que ocorrem no local de trabalho, realizados pela organização ou por
outro;
A metodologia da organização para a identificação do perigo e a avaliação de risco deve:
- Ser definido no que diz respeito a seu escopo, natureza e o sincronismo para assegurá-lo
que é dinâmico um pouco do que reativo;
- Prevê a classificação de riscos e a identificação daqueles que devem ser eliminada ou
controlada por medidas;
- Ser consistente com a experiência de funcionamento e as capacidades das medidas de
controle do risco empregadas;
- Fornecer a entrada na determinação de exigências de requisitos, na identificação de
necessidades de treinamento e/ou no desenvolvimento de controles operacionais;
- Prevê a monitoração de ações exigidas para assegurar a eficácia e a oportunidade de sua
execução.
Os perigos potenciais, os riscos e os controles no trabalho foram avaliados com o uso de
avaliações de risco do trabalho. Esta avaliação foi construída de acordo com o item 4.3.1 da
OHSAS 18001 que exige o processo da identificação de trabalho com cobertura de atividades não
rotineiras assim como atividades rotineiras. Ainda foram classificados de acordo com a natureza da
atividade, sendo riscos de operação e de manutenção. Para compreensão desta avaliação é
necessário ter conhecimento claro das definições utilizadas para esta etapa. Estas definições são:
Controle - Neste contexto, um controle é todo o sistema projetado, equipamento protetor ou
arranjo administrativo que elimina um perigo ou reduz sua probabilidade de causar um
ferimento ou uma doença.
Freqüência - a taxa em que um trabalho específico é executado. Há cinco classes de
freqüência: inferior ou igual a uma vez por ano, inferior ou igual a uma vez por o mês,
inferior ou igual a uma vez por a semana, inferior ou igual a uma vez por o deslocamento e
maior de uma vez por o deslocamento.
Perigo - uma fonte de perigo; uma possibilidade de incorrer a perda ou evento indesejado;
Trabalho - um trabalho é uma seqüência de etapas separadas ou atividades, que juntos
realizem um objetivo do processo.
Fatores de força do trabalho - fatores que podem aumentar a probabilidade potencial de um
ferimento ou de uma doença.
Probabilidade - a possibilidade de ocorrência de um evento que conduz às conseqüências
más. As cinco classes de probabilidade são: extremamente improvável, improvável,
possível, provável, e múltiplo.
Número de pessoas - número de pessoas que executam a etapa de trabalho que são expostas
a um perigo específico.
Prioridade - representa a ordem em que as avaliações de risco iniciais do trabalho são feitas.
Os trabalhos prioritários são os trabalhos que têm uma história recente envolver um
ferimento elevado da severidade, ou um trabalho em que os ferimentos são prováveis
ocorrer, ou um trabalho em que há uma história recente de ocorrências.
Risco - o risco é o produto do número de pessoas que executam a etapa de trabalho, e os
pontos atribuídos à freqüência, à probabilidade e à severidade. Os pontos para a freqüência,
a probabilidade e a severidade são baseados em um sistema numérico por etapas
desenvolvido por liberdade pela organização. Uma escala específica de valores do ponto
para o risco é associada com uma de cinco classes de risco descritivas: insignificante,
aceitável, moderado, substancial e insuportável.
Gravidade – são as conseqüências más de um evento. As cinco classes de severidade são:
tratamento de primeiros socorros, médico, tempo perdido, inabilidade parcial, inabilidade
permanente e morte.
Para melhor avaliar os riscos, a unidade foi mapeada nas cinco áreas abaixo, de acordo
com a natureza mapeada anteriormente na análise do processo:
Armazenamento;
Reação;
Separação;
Recuperação/Secagem;
Lavagem;
Onde a área de armazenamento compreende o conjunto de tanques externos a unidade,
utilizados no recebimento da matéria prima (óleo vegetal, Etanol) e na entrega no produto pronto.
Na área de reação estão localizados os reatores, ciclone com condensador, desumidificador e
tanques de catalisador. A área de separação é composta pelos decantadores e tanques
intermediários. Na recuperação e secagem está localizada a coluna de destilação, evaporadores e
condensadores e o sistema de vácuo. Por fim, na etapa de lavagem estão a centrífuga e o misturador.
A avaliação foi dividida em atividades de operação e manutenção, de modo a contemplar
tarefas de maior e menor freqüência. O formulário aplicado, tabela 3, foi adaptado a partir de um
estudo realizado pelo Brookhaven National Laboratory (BNL) a partir de 2004 e com última
revisão em 2007 para certificação deste na norma OHSAS 18001. Os resultados foram dispostos
em tabelas, as quais estão anexas a este trabalho, contendo a área da unidade, a atividade, o risco
apresentado por esta atividade, os fatores de multiplicação para composição do risco, as ações para
controle inicial e a nova avaliação dos riscos para este controle. A interpretação dos dados da
análise é feita por meio do gabarito, onde são estabelecidos limites para o risco negligenciável,
aceitável, moderado, substancial e intolerável. Após a conclusão desta etapa do trabalho, serão
aplicadas as técnicas de controle utilizando sistemas instrumentados de segurança para os casos
onde o risco for intolerável mesmo após a aplicação do controle inicial.
Tabela 3: Modelo do formulário de avaliação de riscos aplicado ao estudo. Fonte: Brookhaven National Laboratory, 2006.
Nome(s) dos Membros da Equipe de Risco: Valor por Ponto→
Parametro ↓1 2 3 4 5
Título do Trabalho: Nome do Trabalho ou Identificador do Trabalho: Frequência
(B) <Uma Vez/Ano< Uma Vez
/Mês< Uma Vez
/Semana< Uma
Vez /Dia > Uma Vez /Dia
Descrição do Trabalho: Gravidade
(C)Primeiros Socorros
Tratamento Médico
Afastamento do Trabalho
Invalidez Parcial
Morte ou Invalidez
Permananete
Probabilidade(D)
Extremamente Improvável Improvável Possível Provável MúltiploTreinamento e Lista de Procedimento (Opcional):
Aprovado por: Data:Rev. #:Agentes de Risco Razão para Revisão (se aplicável): Comentarios:
Antes dos ControlesDepois dos Controles
Iniciais
Depois dos controles Adcionais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controle(s) Adcionados a redução do
Risco
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
% R
edu
ção
do
Ris
co
Descrição Adicional Resumida dos Controles Adicionados para a Redução dos Riscos:*Risco: 0 to 20
Negligenciável21 to 40Aceitável
41 to 60Moderado
61 to 80Substancial
81 ou maiorIntolerável
4 Resultados - Prevenção de Riscos Utilizando Sistemas Instrumentados de Segurança.
Após o levantamento dos riscos presentes no ambiente em estudo é necessário analisá-los
para que os dados levantados possam ser transformados em informações necessárias às definições
das ações a serem realizadas para prevenção de riscos utilizando sistemas instrumentados de
segurança. Neste capítulo serão feitas as análises dos dados de riscos e com base nestas análises,
serão definidas as prioridades de ações de prevenção de riscos na unidade.
4.1. Análise dos dados obtidos na avaliação de riscos e definição das ações.
Para se obter uma visão estratégica para a atuação dos sistemas instrumentados de
segurança a avaliação de riscos foi inicialmente agrupada por área. Esta avaliação permite conhecer
a área da unidade que apresenta maior exposição ao risco, assim como maior necessidade de
atuação por parte das medidas de segurança. O critério para obtenção deste agrupamento foi
realizado pelo somatório dos valores de risco obtidos durante a avaliação após a atuação de medidas
de controle iniciais, aplicando-se outra tecnologia. Estes valores só são considerados caso
ultrapassem o limite definido para serem classificados como risco intolerável para cada área da
usina, ou seja, os valores maiores que 81. A quantificação dos perigos e riscos em cada setor da
unidade de biodiesel é mostrada na Tabela 1 do Apêndice. O resultado final define o somatório dos
riscos em cada setor, conforme mostrado na Tabela 4.
Tabela 4: Avaliação de riscos da usina de biodiesel classificado por área.
O resultado, exibido na tabela 4, indicou que a área de recuperação de álcool e secagem do
biodiesel apresenta o maior nível de risco no processo, seguido das áreas de lavagem, reação,
armazenamento e separação. A justificativa para este fato decorre da quantidade de equipamentos
contidos nesta área. Composta de trocadores de calor, condensadores, evaporadores e coluna de
destilação, esta área supera o número de equipamentos e conseqüentemente os pontos de exposição
ao risco.
Os resultados foram também exibidos na figura 21, na forma de gráfico. Estas
informações são importantes na análise, pois serão utilizadas na definição das técnicas de atuação
dos sistemas instrumentados de segurança, uma vez que conhecendo a área com maior necessidade
de atuação, é possível estimar maior utilização de instrumentos, dutos de cabos e outros acessórios
utilizados na implantação.
Figura 21: Avaliação de risco por área da usina.
Uma vez que a área que apresenta maior risco foi conhecida, é necessário saber qual
equipamento da usina possui maior risco na avaliação. Este agrupamento permite conhecer dentro
da rotina de operação na unidade, qual equipamento que apresenta maior necessidade de atuação
por parte das medidas de segurança. A classificação foi realizada dentro dos mesmos critérios da
anterior, utilizando-se o somatório dos valores de risco intoleráveis avaliados durante os
procedimentos de operação para cada equipamento da usina, ou seja, os valores maiores que 81.
Tabela 5: Avaliação de riscos da usina de biodiesel classificado equipamento.
O resultado exibido na tabela 5 indicou que os reatores apresentam maior nível de risco no
processo, seguido da coluna de destilação, centrífuga e evaporador. Neste contexto, pode-se
justificar esta classificação pela presença neste equipamento de todos os componentes da mistura
(catalisador, etanol/metanol, óleo vegetal) na presença de variáveis físicas (temperatura, pressão,
nível) que devem ser rigorosamente controladas, para que o processo ocorra com segurança. Do
mesmo modo o resultado foi exibido na figura 22, na forma de gráfico. O agrupamento de risco por
equipamento permite o planejamento das ações, sejam elas utilizando sistemas instrumentados de
segurança ou outras tecnologias, para tratamento destes riscos estrategicamente focados na maior
demanda.
AVALIAÇÃO DE RISCO POR EQUIPAMENTO
480384
320 288
96 96 96
0
100
200
300
400
500
600
REATOR
COLUNA D
E DESTIL
AÇÃO
CENTRÍFUGA
EVAPORADOR
CONDENSADOR
DECANTADOR
SISTEM
A DE V
ÁCUO
EQUIPAMENTO
ME
DID
A D
O R
ISC
O
Figura 22: Gráfico da avaliação de riscos por equipamento da usina.
Alguns aspectos podem ser reconsiderados antes da aplicação das técnicas de sistemas
instrumentados de segurança para minimizar o risco numa unidade de produção de biodiesel. Estes
aspectos estão baseados nos fundamentos de tecnologias limpas, e sugerem alterações que podem
ser realizadas no processo ou no manuseio das substancias envolvidas.
No processo de transesterificação geralmente é usado o metanol como álcool para reação
com o óleo vegetal. Uma opção mais segura é a utilização do etanol para produzir o biodiesel de
éster etílico, cujo produto pode ser totalmente renovável se a origem do etanol for da cana-de-
açúcar. Outra vantagem do éster etílico é a obtenção de um biodiesel com maior número de cetano e
um ponto de névoa menor do que o éster metílico, melhorando a partida a frio (ENCINAR et al.,
2002). A Tabela 6 abaixo mostra alguns indicadores na produção do biodiesel pela via metílica em
comparação com a etílica.
Tabela 6: Comparação do processo de produção do biodiesel metílico e etílicoFonte: ENCINAR, et AL 2002
Apesar da grande produção de álcool etílico no Brasil e este ser menos agressivo
ambientalmente, a transesterificação etílica é significativamente mais complexa que a metílica,
sendo o uso do metanol vantajoso porque permite a separação simultânea do glicerol. A utilização
do etanol no lugar do metanol reduz a níveis baixos os riscos à segurança do processo, uma vez que
o metanol é altamente tóxico por inalação, facilmente inflamável e apresenta risco de ignição por
carga eletrostática.
A substituição do processo também apresenta vantagens quanto à segurança, uma vez que
atualmente este é realizado manualmente sem acompanhamento constante das características físicas
do material processado. Um processo automatizado e instrumentado possibilita o controle das
condições sob as quais as substancias estão submetidas no processo. Isto pode garantir que
alterações das condições do processo não exponham ao risco as pessoas e os equipamentos, além de
ser responsável pelo rendimento máximo do processo, fazendo com que toda energia cedida, seja
utilizada na elaboração do produto.
Outro ponto a ser considerado para o controle do risco na fonte é a substituição das
válvulas de vedação do tipo globo por válvulas de dupla vedação devidamente dimensionadas de
acordo com as normas internacionais de segurança. Associada a esta medida, deve-se realizar a
classificação das áreas da usina e caso necessário a substituição de bombas e instalações existentes
por outras a prova de explosão. A utilização de tanques de armazenamento com teto flutuante, é
uma medida de controle na fonte que pode ser utilizada, pois faz com que a possibilidade de fogo
seja restrita ao espaço anular entre o teto flutuante e o costado do tanque. Essa reduzida área de
fogo, aliada à facilidade que se tem para extingui-lo, faz com que seja mínima a possibilidade de
ocorrer derramamento com fogo em tanques que possuam teto flutuante.
A técnica de inertização dos tanques de armazenamento do etanol ou metanol. Neste
procedimento o nitrogênio é o substituto do ar nas ocasiões em que há a necessidade da eliminação
do contato com o oxigênio para manter a qualidade do produto e reduzir o risco de fogo e manter a
qualidade do produto. São instaladas válvulas de pressão e vácuo nos tanques, de acordo com as
instalações existentes e o fluxo interno de produto, que vão monitorar variações mínimas de
pressão, corrigindo automaticamente. Podem ser feitas instalações mais simples para tanques
isolados, com controle manual, mas são menos recomendadas em função dos riscos de danificar o
tanque por pressão ou vácuo, principalmente nos momentos de carga e descarga. A Inertização
preserva a qualidade do produto nos períodos em que ele permanece armazenado, mesmo sem
sofrer movimentações freqüentes, pois podem ocorrer problemas de incorporação de oxigênio caso
o tanque não esteja inertizado. Isso ocorre em função do contato da superfície do produto com o ar
no espaço superior do tanque. A definição da política de manutenção preventiva para a usina é
também de suma importância, pois possibilita entre outras coisas o controle de emissões fugitivas
em bombas, válvulas e flanges, além de garantir o perfeito funcionamento dos equipamentos, pela
inspeção e substituição de peças que possam comprometer estes equipamentos.
De acordo com a avaliação de risco, foram descartados os itens com avaliação inferior a
81. Desta forma as atividades de manutenção tiveram o seu risco controlado, pela aplicação de
técnicas convencionais de prevenção, não sendo necessário utilizar sistemas instrumentados de
segurança para estas atividades. Como já verificado, a área que apresenta maior grau de risco é a
área onde ocorre a reação, composta do agitador mecânico, condensador e reator. Nesta área serão
aplicados os sistemas instrumentados de segurança, especificamente no reator por apresentar maior
risco na área.
Seguindo a indicação da avaliação de riscos por equipamento, o reator de
transesterificação é escolhido como alvo da atuação prioritária da função de segurança. Os eventos
levantados na análise, conforme a tabela 7, que o maior ofensor é o risco associado à explosão por
aumento da pressão interna, assim como o risco de fogo ou explosão por aumento na temperatura da
reação. Estes eventos serão analisados detalhadamente na próxima seção. Os outros equipamentos e
áreas da unidade ficarão com sugestão para trabalhos futuros.
Tabela 7: Avaliação de riscos do reator de transesterificação.
4.2. Análise de eventos de risco no reator de transesterificação e aplicação das respectivas
funções de segurança instrumentadas.
Conhecendo os riscos da área a onde o sistema irá atuar, é necessário avaliar as causas dos
eventos de risco para que seja possível encontrar os pontos específicos onde atuarão as funções
instrumentadas de segurança. Para a análise do caso sob o ponto de vista da pressão e temperatura
neste equipamento, foi considerado que o nível de segurança necessária é o de não atingir uma
condição acima do normal com a probabilidade de ocorrência maior que 10-4 em um ano, ou seja,
não poderá haver uma condição anormal nestas variáveis em dez mil operações realizadas
anualmente. Para o evento de nível anormal foi considerado que o nível de segurança é de não
atingir uma condição acima do normal com a probabilidade de ocorrência maior que 10-3 em um
ano, ou seja, não poderá haver uma condição anormal nestas variáveis em mil operações anuais.
Este comportamento ocorre devido à presença de um eficiente sistema de contenção em caso de
vazamentos na unidade.
De acordo com a análise de perigo e risco realizada no item 3.2, foi identificado que uma
condição de pressão elevada pode resultar em uma liberação de material para o ambiente, ou até
explosão do reator se a pressão excedente não for liberada por ocasião de falha na válvula de alívio
de pressão. No caso de alta temperatura pode resultar em fogo ou em alguns casos na explosão do
reator, e conseqüentemente vazamento do material se o sistema de controle de temperatura não
atuar, que além de danos à saúde, resultaria em danos ao meio ambiente e às instalações da unidade.
Para o evento de nível anormal, a conseqüência é o derramamento do material na área da unidade e,
por conseguinte, por ser inflamável, o fogo. Também ocasionaria outras conseqüências devido à
toxidade do material. Estes são eventos iniciais que podem propagar um cenário de acidente
dependendo da resposta do sistema de proteção.
Na análise do evento de pressão elevada, um breve HAZOP (Hazard and Operability
Analysis) foi executado para o processo. Os resultados do estudo de HAZOP identificaram que uma
condição da pressão elevada poderia conduzir a uma liberação do material inflamável ao ambiente.
Este é um evento inicial poderia propagar uma situação de acidente dependendo da resposta dos
sistemas projetados. Deve-se notar que a aproximação usada nesta seção é uma combinação de uma
avaliação quantitativa da probabilidade do evento perigoso ocorrer e de uma avaliação qualitativa
das conseqüências. Esta aproximação é usada para ilustrar o procedimento sistemático que deve ser
seguido para identificar eventos perigosos e funções de segurança. Para um caso mais detalhado,
todas as probabilidades de falha sob demanda dos dispositivos devem ser utilizadas para a
composição da probabilidade de falha sob demanda do sistema.
De modo semelhante, para o caso de aumento da temperatura e nível foram realizadas
análises de HAZOP e os resultados foram arranjados em forma de tabela contemplando todos os
eventos. Vale salientar que esta análise está direcionada para eventos que tem por conseqüência o
aumento do risco para a segurança, ou seja, sempre foi considerado o desvio em que a conseqüência
eleva a probabilidade de um acidente. Caso contrário, deveria abordar outros aspectos inclusive
influências de variações de pressão, temperatura e nível para menos que o especificado. Outra
restrição da análise é que por estar direcionada apenas para o reator de transesterificação, esta
análise não considera outros equipamentos que terão conseqüência direta das ações no reator, como
o decantador e tanques de armazenamento que são diretamente ligados a este equipamento.
Esta análise contém a localização física do equipamento na planta, o parâmetro a ser
analisado, se o desvio é para mais ou para menos neste parâmetro, as possíveis causas deste evento,
as conseqüências, e as ações necessárias para o controle do processo nesta situação. Deste modo a
análise realizada será utilizada para construção dos programas dos controladores lógicos que
realizarão as operações necessárias a manter a planta no estado seguro. A tabela 8 mostra os
resultados da análise.
Tabela 8: Resultado do HAZOP direcionado para eventos de risco a segurança para o reator de transesterificação.
PROJETO UNIDADE CAETÉS DATA 1/1/09
SEÇÃO REATOR DE TRANSESTERIFICAÇÃOPLANTA DE REFERENCIA P&ID
SETORPARAMETRO DO PROCESSO DESVIO POSSÍVEIS CAUSAS CONSEQUÊNCIAS AÇÃO NECESSÁRIA
1 Pressão Maior Fogo externoRompimento do reator e vazamento da mistura. Fechamento de LCV - 47
Falha no controle de pressão Fluxo reverso de óleo Abertura de PCV - 42 Falha no sensor de pressão Fluxo reverso de etanol Fechamento de TCV - 43
Falha do operadorAlteração na composição da reação Desligamento de B - 4
Falha da válvula de alívio de pressão Bomba de óleo danificada Desligamento de B - 18
Valvula de controle de pressão danificada Desligamento de B - 13
Bomba de etanol danificada Acionamento de B - 9
Fluxo reverso de catalizador
SETORPARAMETRO DO PROCESSO DESVIO POSSÍVEIS CAUSAS CONSEQUÊNCIAS AÇÃO NECESSÁRIA
2 Temperatura Maior Fogo externoAlteração das caracteristicas da reação Fechamento de TCV - 43
Falha no controle de temperaturaValvulas de controle danificadas Abertura de PCV - 42
Falha no sensor de temperaturaBomba de drenagem danificada Desligamento de B - 4
Falha do operador Elevação da pressão do reator Desligamento de B - 13
Falha da válvula de controle do fluido de aquecimentoVazamento de vapor pelo aumento da temperatura Desligamento de B - 9
Falha no sistema de resfriamento Fechamento de LCV - 47
SETORPARAMETRO DO PROCESSO DESVIO POSSÍVEIS CAUSAS CONSEQUÊNCIAS AÇÃO NECESSÁRIA
3 Nivel Maior Falha no controle de nívelAlteração das caracteristicas da reação Acionamento de B - 9
Falha no sensor de nível Vazamento do produto Desligamento de B - 4 Falha do operador Fluxo reverso de Óleo Desligamento de B - 13
Falha da válvula de controle de nível Fluxo reverso de Etanol Fechamento de LCV - 47 Bomba de Etanol danificada Fechamento de TCV - 43 Bomba de Óleo danificada Abertura de PCV - 42
Para ser possível a avaliação de segurança na operação do processo para implantação do
sistema instrumentado de segurança foi realizado um simples projeto de instrumentação básica para
o controle do processo no reator, pois atualmente a operação é feita manualmente por funcionários
da usina. Esta instrumentação, ilustrada na figura 23, é constituída de transmissores e controladores
de pressão, temperatura e nível, além de indicadores e alarmes destas três variáveis. Pressão, nível e
temperatura, são monitorados e a estas grandezas são associados alarmes que alertam o operador
para que tome decisões para normalização do processo.
O próximo passo é identificar os fatores que podem contribuir para o desenvolvimento do
evento inicial. Na figura 24, uma análise de árvore de falhas é mostrada como exemplo,
identificando alguns eventos que contribuem para o desenvolvimento de um evento de pressão
elevada no reator. O evento no topo, pressão elevada, é causado devido à falha do sistema de
controle básico do processo, ou um fogo externo. A árvore de falhas é utilizada para ilustrar a falha
o sistema de controle básico no processo. Este sistema não efetua qualquer função de segurança.
Sua falha, entretanto, contribui para o aumento da demanda de operação do SIS. É necessário
destacar a importância deste procedimento na concepção da função de segurança, e que o mesmo
deve ser repetido para todos os eventos com risco potencial.
Figura 23: Instrumentação básica do reator de transesterificação com indicação dos alarmes, controladores, indicadores e válvulas de controle de temperatura, pressão e nível.
Figura 24: Árvore de falhas para análise de alta pressão no reator de transesterificação.
Assume-se então que pelo tipo de reação que a probabilidade de alta pressão neste reator é
de 10-1 em um ano. Esta condição dará início a análise das causas na árvore de eventos.
Uma vez que a probabilidade de ocorrência do evento de inicialização foi
estabelecida, o sucesso ou falha do sistema de segurança para responder à condição anormal é
modelado utilizando a análise da árvore de eventos. Os dados de confiabilidade para o desempenho
da segurança podem ser tomados dos dados de campo, bases de dados publicadas ou ser previstos
usando técnicas de modelagem de confiabilidade. Para esta análise, os dados de confiabilidade
foram supostos e não devem ser considerados como a representação do desempenho de sistema
previsto. A Figura 25 mostra os cenários potenciais da liberação que poderiam ser desenvolvidos
pela condição da alta pressão.
Figura 25: Análise dos cenários de falhas de alta pressão sem a presença dos sistemas de segurança.
Os resultados da modelagem do acidente são:
a) A probabilidade de cada conseqüência de acidente ocorrer;
b) As conseqüências em termos da liberação de material inflamável;
Na figura 25 cinco cenários de acidentes são identificados, cada um com probabilidade de
ocorrência e conseqüência de uma potencial liberação. O cenário de acidente 1, não liberação é a
condição projetada para o processo. Os cenários restantes possuem resultados a partir da
probabilidade de ocorrência de 9x10-3 para liberação de material a partir da válvula de alívio de
pressão até 1x10-3 por falha do reator. Como especificado anteriormente, o nível de segurança da
planta foi estabelecido como a não liberação do material com probabilidade de ocorrência maior
que 10-4 em um ano. De acordo com a figura 25 é necessário reduzir o risco para os cenários de
acidentes 2, 3 e 4 para abaixo deste nível de segurança.
Ambos os padrões exigem que os sistemas de segurança de outras tecnologias sejam
empregados antes de estabelecer a necessidade de uma função de segurança executada em um SIS.
Para ilustrar o procedimento, supõe-se que uma válvula de alívio de pressão adicional, figura 26,
com um ponto ajustado mais elevado está introduzida para aumentar os sistemas de segurança
existentes. A Figura 26 mostra o processo com os novos sistemas de segurança. A análise de árvore
de eventos é empregada para desenvolver todos os cenários potenciais do acidente. Nesta figura,
pode-se ver que sete acidentes da liberação podem ocorrer, dado a mesma condição de alta pressão.
Figura 26: Análise dos cenários de falhas de alta pressão utilizando outras tecnologias.
A análise da probabilidade da ocorrência dos eventos perigosos mostra que o nível de
nível de segurança para o reator não foi encontrado porque os cenários 2, 3 e 5 do acidente estão
ainda acima do nível de alvo da segurança. Neste momento a viabilidade de usar funcionalidades
externas da redução do risco deve ser avaliada. Dado que o objetivo da segurança é minimizar o
risco devido a uma liberação do material ao ambiente, supõe-se que as funcionalidades externas
para redução do risco tais como um dique ou uma transferência do material liberado a um tanque
auxiliar não são um esquema alternativo eficiente para redução do risco. Conseqüentemente, uma
vez que nenhuma outra proteção não-SIS pode encontrar o nível de segurança, uma função de
segurança executada em um SIS é necessária para proteger de um evento de alta pressão e à
liberação do material inflamável. A figura 27 mostra o desenho da planta de instrumentação com
duplicidade de equipamentos.
Figura 27: Instrumentação básica do reator de transesterificação com instrumentação e controle duplicado.
O nível de segurança não pode ser alcançado usando sistemas de segurança de outras
tecnologias ou funcionalidades externas de redução de risco. Conseqüentemente, uma função de
segurança nova de SIL 2 executada em um SIS é exigida para encontrar o nível de segurança
necessário. A função de segurança deve reduzir a probabilidade de ocorrência do segundo cenário
de acidente de 9x10-3 em um ano para ou abaixo do nível estabelecido, que é menor que 10-4 em um
ano. Isso requer uma função de segurança SIL 2. Os novos cenários são mostrados na figura 29.
Figura 29: Análise dos cenários de falhas de alta pressão utilizando SIS.
Aplicando a mesma técnica para o caso de temperatura elevada, existe do mesmo modo
um sistema de controle básico do processo que regula a temperatura da mistura no reator. Este
sistema emite alarme caso esta temperatura ultrapasse um valor limite, uma vez que de acordo com
a ficha de informação de produto químico da Petrobrás, a temperatura de auto-ignição do metanol a
partir de 385°C e neste caso haveria a deflagração de incêndio na unidade mesmo sem a presença de
fonte de ignição. Contudo, é importante destacar que o metanol pode causar incêndio quando há
fonte de ignição mesmo em temperaturas tão baixas quanto a temperatura ambiente. O alarme
indica ao operador que uma ação deve ser tomada. Como alternativa de procedimento para
tratamento de elevação de temperatura, é sugerida a adição à planta de uma tubulação interligando o
reator aos trocadores de calor localizados na área de recuperação e secagem. Esta ação pode evitar
que temperaturas indesejáveis possam causar danos aos equipamentos antes mesmo que possam
iniciar incêndio ou explosão. Caso a alta temperatura cause excesso de pressão no reator, este
evento será tratado de acordo com a análise anterior.
Caso não haja ação por parte do operador, entra em ação o sistema automático de
resfriamento da planta, o qual tentará fazer com que a temperatura do equipamento retorne à
condição normal. De acordo com estas observações foi construída a arvore de falha da figura 29.
Figura 29: Análise dos cenários de falhas de alta temperatura.
Na figura 29 cinco cenários de acidentes são identificados, cada um com
probabilidade de ocorrência e conseqüência de uma potencial ignição. O cenário de acidente 1, não
ignição é a condição projetada para o processo. Os cenários restantes possuem resultados a partir da
probabilidade de ocorrência de 9x10-3 para resfriamento do material a partir do sistema dedicado a
este fim. Porém o objetivo do SIS é de que não seja utilizado o sistema de resfriamento, uma vez
que implica em parada do sistema e conseqüentemente custo adicional ao processo. Como
especificado anteriormente, o nível de segurança da planta foi estabelecido como a não liberação do
material com probabilidade de ocorrência maior que 10-4 em um ano. De acordo com a figura 29 é
necessário reduzir o risco para os cenários de acidentes 2, 3 e 4 para abaixo deste nível de
segurança.
Uma vez que deverá haver a redução de risco de 10-2, e de modo semelhante a análise de
alta pressão, uma função de segurança deverá ser utilizada para que o nível de segurança seja.
Conseqüentemente, uma função de segurança nova de SIL 2 executada em um SIS é exigida para
encontrar o nível de segurança necessário. A função de segurança deve reduzir a probabilidade de
ocorrência do segundo cenário de acidente de 9x10-3 em um ano para ou abaixo do nível
estabelecido, que é menor que 10-4 em um ano. Os novos cenários são mostrados na figura 29.
Figura 29: Análise dos cenários de falhas de alta temperatura utilizando SIS.
Do mesmo modo para o evento de nível elevado, existe um sistema de controle básico do
processo que regula o nível da mistura no reator. Este sistema emite alarme caso este nível
ultrapasse um valor limite, uma vez que se isto acontecer ocorrerá o fluxo inverso do material,
podendo danificar bombas e também o derramamento da mistura por junções das tubulações.
Diferentemente dos eventos anteriores, caso ocorra falha do operador, o vazamento poderá
acontecer mais facilmente, pois não há dispositivo de alívio que possa atuar neste momento.
Existem diques que isolam a área da unidade, mas são dispositivos de contenção e atuam quando já
ocorreu o derrame. Conforme já mencionado, foi considerado que o nível de segurança é de não
atingir uma condição acima do normal com a probabilidade de ocorrência maior que 10-3 em um
ano, ou seja, não poderá haver uma condição anormal nestas variáveis em dez mil operações
realizadas em um ano. De acordo com estas observações foi construída a arvore de falha da figura
30.
Figura 30: Análise dos cenários de falhas de nível anormal.
Na figura 30 três cenários de acidentes são identificados, cada um com probabilidade de
ocorrência e conseqüência de um potencial derrame. O cenário de acidente 1, não derrame é a
condição projetada para o processo. Os cenários restantes possuem resultados a partir da
probabilidade de ocorrência de 1x10-2 até 1x10-3 para derrame do material. Como especificado
anteriormente, o nível de segurança da planta foi estabelecido como a não liberação do material
com probabilidade de ocorrência maior que 10-3 em um ano. De acordo com a figura 30 é necessário
reduzir o risco para os cenários de acidentes 2 e 3 para abaixo deste nível de segurança. Para isto
será adicionada uma função de segurança mostrada na figura 31.
Figura 31: Análise dos cenários de falhas de nível anormal com função de segurança.
Após esta análise é necessário realizar um projeto detalhado da função de segurança.
Entretanto, um conceito geral de uma nova função deve ser considerado. Por exemplo, a nova
função de segurança pode usar sensores de pressão numa configuração 1oo2 (utilização de sensores
redundantes) enviando sinal para um controlador lógico. A saída do controlador lógico controla
uma válvula de parada adicional. A nova função de SIL 2 é usada para minimizar a probabilidade
de liberação a partir do reator pressurizado devido a uma pressão acima da pressão suportada. A
figura 31 apresenta a nova camada de função de segurança e aborda todos os cenários de potenciais
acidentes. Como pode ser visto nesta figura, a probabilidade de haver a liberação a partir do reator
pode ser reduzida para 10-4 ou menor e o nível de segurança pode ser obtido com os requisitos de
SIL 2. De posse destas informações foi construído o diagrama do sistema instrumentado de
segurança a ser aplicado ao reator de transesterificação apresentado na figura 32. Este é composto
de sensores transmissores controladores e válvulas de segurança, as quais irão atuar em caso de
falha no controle básico do processo. Conforme a tabela 8, a qual exibe o HAZOP, o sistema atuará
em diversas bombas na planta, porém apenas a interligação do sistema com a bomba B-9 está
exibida, devido ao fato de as outras bombas estarem em outras áreas da planta.
Figura 32: Sistema instrumentado de segurança aplicado ao reator de transesterificação
5 Conclusões, melhorias possíveis e trabalhos futuros.
5.1 Conclusões
O método semi-quantitativo utilizado, mostrou que as área que contem maior risco na usina
são respectivamente na ordem decrescente, recuperação/secagem, lavagem, reação, armazenamento
e separação. Porém o risco agrupado por equipamento apontou para o reator como o maior ofensor
deste indicado, seguido da coluna de destilação, centrífuga, evaporador, condensador, decantador,
sistema de vácuo respectivamente na ordem decrescente. Os passos seguintes foram realizados
conforme a seqüência abaixo:
1. Pela análise dos indicadores de risco foi possível eleger a área com
maior prioridade de atuação: a área de reação foi eleita pelo maior
risco por equipamento encontrado (reator);
2. A análise realizada através do HAZOP utilizando os riscos da área a
onde o sistema irá atuar para encontrar os pontos específicos onde
atuarão as funções instrumentadas de segurança;
3. Os dados obtidos no HAZOP foram utilizados numa uma análise de
árvore de falhas para identificar os fatores que podem contribuir
para o desenvolvimento do evento inicial e definir o SIL a ser
utilizado na implementação do sistema;
4. O sistema instrumentado de segurança foi concebido
implementando funções mapeadas no HAZOP para atuar em
anormalidades relacionadas a pressão, temperatura e nível no reator
de transesterificação.
Os seguintes componentes foram acrescentados na planta para atuar no sistema
instrumentado de segurança:
Para pressão foi acrescentada uma válvula de segurança
(PCV–242) ligada a um controlador de pressão (PIC–19) e
um transmissor (PT–29), ambos de SIL 2. Este conjunto irá
acionar a bomba B-9, a qual aliviará o reator, levando óleo
aos tanques intermediários, abrirá a válvula PCV–242,
interrompendo o fluxo de óleo térmico e desligará as
bombas B–4, B–18, B–13 e fechará as válvulas TCV-243 e
LCV-244.
A temperatura foi trabalhada pelo conjunto
transmissor/controlador (TT–23/TIC–13), os quais regulam
o fluxo de óleo térmico para o reator através da válvula de
segurança TCV-243. Este conjunto, assim como o anterior
acionará a bomba B-9, desligará as bombas B-4 e B-13,
fechará as válvulas TCV-243 interrompendo o transporte do
olé vegetal para o reator, e LCV-244 e abrirá PCV–242.
O controle de nível foi implementado com o conjunto
transmissor/controlador (LT-21/LIC-22) juntamente com a
válvula de segurança LCV-244. Diante de anormalidade,
esta válvula é fechada, assim como TCV-243 e PCV-242 é
aberta. A bomba B-9 é acionada e B-4 e B-13 são
desligadas.
A conformidade com o padrão exige uma análise dos perigos e riscos para estabelecer as
exigências de segurança para as funções instrumentadas nos termos de níveis da segurança. Todas
as funções de segurança identificadas devem ser integradas em um SIS. Diversas técnicas para
executar a análise de risco do processo devem ser discutidas e suas vantagens e desvantagens
devem ser identificadas no sentido de escolher a melhor para cada caso. Os benefícios de cada
técnica, nos termos do preço inicial, custo da flexibilidade e de ciclo de vida devem ser discutidos.
Para o caso em análise foi utilizada uma técnica semi-quantitativa para mapeamento dos riscos na
usina e outra técnica também semi-quantitativa para verificar a eficácia dos métodos de controle de
riscos. Uma implementação deve ser composta da avaliação do risco associado a um processo novo
a fim determinar as funções de segurança que serão incorporadas a um SIS e devem cumprir com
os padrões definidos na norma.
O sucesso de toda a técnica de avaliação do risco dependerá da perícia da equipe da
análise e de sua experiência com o processo sob a investigação. Se um funcionário da companhia
desenvolveu uma base significativa de experiência com a operação de um processo particular, os
perigos são provavelmente conhecidos por ele, e conseqüentemente um método qualitativo ou semi-
quantitativo pode ser usado para identificar as funções de segurança que devem ser executadas em
um SIS.
A conformidade aos padrões e ao uso da metodologia acima mencionada fornece diversos
benefícios às indústrias de processo como:
Conformidade com um padrão internacional tal como o IEC 61508 que reduz
custos globais de operação para companhias;
Alcance do nível reconhecido de segurança do processo;
Decisões embasadas escolher um produto de segurança para uma aplicação
específica;
Potencial para operações e a rentabilidade melhoradas:
o Poucas perdas;
o Poucas interrupções do processo e conseqüentemente partidas e
desligamentos não programados;
o Produtividade e utilização do processo elevadas;
5.2 Melhorias possíveis e trabalhos futuros
Deve-se estender a análise dos cenários para outras partes do processo e integrar todas as
funções de segurança em um único sistema, identificar todas as funções de segurança exigidas
proteger o processo e avaliar o SIL de cada função de segurança. Para o exemplo ilustrativo, supor
que três funções de segurança adicionais formam o agrupamento identificado com uma exigência de
SIL 1 e de SIL 2. Todas as quatro funções de segurança serão executadas em um SIS. O SIS novo
deve então ser projetado de acordo com as exigências para o SIL mais elevado determinado na
análise das funções de segurança. O que isto implica claramente é que os elementos comuns do SIS,
tais como o controlador lógico, devem cumprir as exigências de SIL 2. Entretanto, elementos do
SIS que podem ser mostrados para ser independentes, como sensores, pode ser projetado cumprir as
exigências específicas da função de segurança SIL.
A análise para classificação de áreas na unidade em questão é necessária uma vez que dará
suporte à especificação dos equipamentos que podem ser utilizados na implementação de um
sistema de um SIS este trabalho poderá dar suporte aos procedimentos de manutenção e
implantação de novos equipamentos. Este aspecto importante, de política de manutenção
preventiva, e que deve ser abordado em trabalhos que futuros deve ser bem definido no sentido de
realizar testes de simulação nos sensores, alarmes e controladores para garantir o perfeito
funcionamento do sistema. Outro aspecto que pode complementar este trabalho é a especificação de
cada equipamento e instrumento de acordo com os disponíveis no mercado, aproveitando para fazer
uma análise da viabilidade financeira para implementação do projeto.
Referências Bibliográficas
[1] Mangan, C.L., Non-Food Crops and Non-Food uses in EC Research Programs, Biomass for Energy and Industry, 7th. E.C. Conference, Florenza, 1995
[2] Thyson, K.S., Biodiesel Research Progress 1992-1997, National Renewable Energy Laboratory, Golden, 1998
[3] Lastella, Joseph P. (Adelanto, CA, US) 2005 Continuous flow method and apparatus for making biodiesel fuel United States 20050081435 http://www.freepatentsonline.com/20050081435.html
[4] DORADO M.P., BALLESTEROS E.,MITTELBACH M., LOPEZ F.J., Kinetic parameters affecting the alkali-catalyzed transesterification process of used olive oil, Energy & Fuels 18 (5): 1457-1462, 2004.
[5] GERPEN, J. V. Biodiesel processing and production, Fuel Processing Technology, v 86, p 1097– 1107, 2005.
[6] GERPEN, J. V., CLEMENTS, D., KNOTHE, G., Biodiesel production technology, August 2002 – January 2004, National Renewable Energy Laboratory 1617 Cole Boulevard, Golden, Colorado 80401-3393 303-275-3000 • www.nrel.gov.
[7] R. M. Park (ed.), Manual on the Use of Thermocouples in Temperature Measurement, MNL 12, 4th ed., Philadelphia, PA, American Society for Testing and Materials, 1993.
[8] Kevin H.-L. Chau. Pressure and Sound Measurement, CRC Press, p 641 – 651, 1999.
[8] Brumbi, D. Level Measurement, CRC Press, p 375 – 395, 1999.
[9] MINISTÉRIO DO TRABALHO E EMPREGO. Normas Regulamentadoras do Ministério do Trabalho. Disponível em http://www.mte.gov.br/Empregador/segsau/legislacao - acesso em 05 de fevereiro de 2008
[10] INTERNATIONAL LABOR ORGANIZATION-ILO. ILO-OSH 2001-Gidelines on occupational safety and health management systems, Geneva, 2001. 40p
[11] LAPA, R. P. Metodologia de Construção de Sistemas de Gerenciamento de Riscos Ocupacionais. – São Paulo, 2006. 90p
[12] Smith D J, Simpson K G L, 2004, Functional Safety, 2th Edition (Butterworth Heinemann UK) ISBN 0 7506 6269 7.
[13] Alves, Camile Uma Aplicação da Técnica de análise de Camadas de Proteção (LOPA) na Avaliação de Risco de Incêndios nas Rotas de Cabos de Desligamento de um Reator Nuclear [Rio de Janeiro] 2007
[14]Understanding Safety Instrumented Systems, 2007 www.magnetrol.com/v2/pdf/MII/41-299.pdf acesso em 02/11/2008
[15] Portal do biodiesel http://www.biodieselbr.com/ - acesso em 05 de fevereiro de 2008
[16] ENCINAR, J.M.; GONZALEZ, J.F.; RODRIGUEZ, J.J.; TEJEDOR, A. Biodiesel fuels from vegetable oils: Transesterification of Cynara cardunculus L. Oils with ethanol, Energy and Fuels, 16, 443-450, 2002.
[17] Cadernos NAE / Núcleo de Assuntos Estratégicos da Presidência da República. Nº 2 (julho 2004). Brasília: Núcleo de Assuntos Estratégicos da Presidência da República, Secretaria de Comunicação de Governo e Gestão Estratégica, 2004.
Apêndice 1
Nome(s) dos Membros da Equipe de Risco: Valor por Ponto→
Parametro ↓1 2
Título do Trabalho:
Nome do Trabalho ou Identificador do Trabalho: Frequência
(B)<Uma
Vez/Ano< Uma
Vez /Mês
< Uma Vez
/Semana
Descrição do Trabalho: Gravidade
(C)Primeiros Socorros
Tratamento Médico
Afastamento do
Trabalho
Probabilidade(D)
Extremamente Improvável Improvável Possível
Treinamento e Lista de Procedimento (Opcional):
Aprovado por: Data:Rev. #:Agentes de Risco Razão para Revisão (se aplicável):
Antes dos Controles Depois dos Controles Iniciais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Armazenamento
Manuseio de etanol/biodiesel
Fogo, Explosão
N 4 4 5 3 240 Isolamento dos tanques de risco, localização com ventilação apropriada, PPE apropriado, tanque de contenção secundário, ações em caso de derramamento, sinalização apropriada, treinamento
4 4 4 3 192
Armazena-mento
Manuseio de etanol/biodiesel
Reações Químicas
N 4 4 3 3 144 Isolamento dos tanques de risco, localização com
ventilação apropriada, EPI
apropriado, tanque de contenção
secundário, ações
4 4 2 3 96
Antes dos ControlesDepois dos
Controles Iniciais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
em caso de derramamento,
sinalização apropriada, treinamento
Exposição através de inalação
N 4 4 2 4 128 4 4 1 4 64
Derrama-mento com exposição por inalação
N 4 4 2 3 96 4 4 1 3 48
Reação
Manuseio do Neutralizador (Solda Caustica)
Exposição através de inalação
N 4 3 3 4 144 Utilizar EPI apropriado para evitar contato direto com o produto, treinamento.
4 3 2 4 96
Derramamento com exposição por inalação ou contato
N 4 3 3 3 108 Utilizar EPI apropriado para evitar contato direto com o produto, treinamento.
4 3 2 3 72
Operação dos
reatores
Explosão por
aumento na pressão
interna
N 4 4 5 3 240 Isolamento da área, manutenção preventiva, treinamento
4 4 4 3 192
Reações Químicas
N 4 4 3 3 144 Isolamento dos tanques de risco, localização com ventilação apropriada, EPI apropriado, tanque de contenção secundário, ações em caso de derramamento, sinalização apropriada, treinamento
4 4 2 3 96
Antes dos ControlesDepois dos
Controles Iniciais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Fogo por aumento na temperatura da reação.
N 4 4 5 4 240 Utilizar EPI apropriado, treinamento, manutenção preventiva da caldeira.
4 4 4 4 192
Reação
Manuseio do
Cataliza-dor
Exposição através de inalação
N 4 4 2 4 128 Utilizar EPI apropriado para evitar contato direto com o produto, treinamento.
4 4 1 4 64
Derramamento com exposição por inalação ou contato
N 4 3 3 3 144 Utilizar EPI apropriado para evitar contato direto com o produto, treinamento.
4 3 2 3 96
Separação
Operação dos
Decanta-dores
Exposição através de inalação
N 4 4 2 4 128 Isolamento da área, manutenção preventiva, treinamento
4 4 1 4 64
Derrama-mento com exposição por inalação ou contato
N 4 4 3 3 144 Utilizar EPI apropriado, treinamento, manutenão preventiva da caldeira.
4 4 2 3 96
Recuperação/ Secagem
Operação do
Sistema de Vácuo
Exposição através de inalação
N 4 4 2 4 128 Utilização de EPI apropriado, aterramento, treinamento.
4 4 1 4 64
Derrama-mento com exposição por inalação ou contato
N 4 4 3 3 144 4 4 2 3 96
Antes dos ControlesDepois dos
Controles Iniciais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Operação dos Evapora-dores e Conden-sadores
Fogo, Explosão
N 4 4 5 3 240 Isolamento dos tanques de risco, local com ventilação apropriada, EPI apropriado, ações em caso de derramamento, sinalização apropriada, treinamento
4 4 4 3 192
Altas tempera-turas
N 4 4 3 3 144 EPI apropriado, sinalização apropriada, treinamento.
4 4 2 3 96
Recuperação/ Secagem
Operação da Coluna
de Destilaçã
o
Altas tempera-turas
N 4 4 3 3 144 EPI apropriado, sinalização apropriada, treinamento
4 4 2 3 96
Fogo, Explosão
N 4 4 5 3 240 Isolamento dos tanques de risco, local com ventilação apropriada, EPI apropriado, ações em caso de derramamento, sinalização apropriada, treinamento
4 4 4 3 192
Derrama-mento com exposição por inalação ou contato
N 4 4 3 3 144 Utilização de EPI apropriado, aterramento, treinamento.
4 4 2 3 96
Lavagem Manuseio do
biodiesel
Fogo, Explosão
N 4 4 5 3 240 Isolamento dos tanques de risco, localização com ventilação apropriada, PPE apropriado, tanque de contenção secundário, ações
4 4 4 3 192
Reações Químicas
N 4 4 3 3 144 4 4 2 3 96
Exposição através de inalação
N 4 4 2 4 128 4 4 1 4 64
Antes dos ControlesDepois dos
Controles Iniciais
Area Tarefa Risco
Str
esso
rs Y
/N
# d
e P
esso
as A
Fre
qu
enci
a B
A
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Controles Iniciais
# d
e P
esso
as A
Fre
qu
enci
a B
Gra
vid
ade
C
Pro
bab
ilid
ade
D
Ris
co*
AxB
xCxD
Derramamento com exposição por inalação ou contato
N 4 4 3 3 144 4 4 2 3 96
Descrição Adicional Resumida dos Controles Adicionados para a Redução dos Riscos:*Risco: 0 to 20
Negligenciável21 to 40Aceitável
41 to 60Moderado
61 to 80Substancial
Anexo 1
