segurança de processo e prevenção de perdas eqe 592 › docentes › cavazjunior ›...
TRANSCRIPT
Segurança de Processo e Prevenção de Perdas – EQE 592
Júlia Pinto A. Azevedo (Mestranda PEQ COPPE)
▪ HAZOP: 1974 ... LOPA: 1997
▪ Semiquantitativo
▪ Simplificado (ordem de grandeza)
▪ Análise de Camadas de Proteção
▪ Objetivo:
✓Quão Seguro é Seguro Suficiente?
✓Quantas/Quais Camadas de proteção
são necessárias?
Planos de Emergência
Sistemas de Contenção
Sistemas de
Proteção Mecânica
Sistemas
Instrumentados de
Segurança
Sistemas de
Alarmes
Sistemas
de
Controle
Projeto
Controle de Processo
Sistemas de Alarme e Intervenção Operacional
Sistemas de Shutdown
Sistemas de Proteção Mecânica
Planos de Emergência e Contenção
Pre
venção
Mitig
ação
PREVENTIVAS
Qualquer dispositivo, sistema ou ação capaz de interromper a cadeia de eventos que segue a causa iniciadora do cenário, evitando a consequência indesejada (possível perda de contenção).
MITIGADORAS
Qualquer dispositivo, sistema ou ação capaz de diminuir a severidade da consequência.
▪ LOPA não identifica Perigos
✓HAZOP, Check-List, FMEA etc sim!
▪ LOPA seleciona cenários previamente identificados através de outra metodologia
Análise Quantitativa
1%
Análise Semi-Quantitativa
10 a 20%
Análise Qualitativa
100%
Nív
el d
e D
eta
lhe
✓ Severidades
Altas
✓ Complexidade
Elevada
DESVIO CAUSAS CONSEQUÊNCIAS SALVAGUARDAS
Fluxo Menor
Falha da
Bomba
Erro Humano
Falha LIC
fechando LV
Efeitos a
jusante
Efeitos a
jusante
Bomba roda
seco
PAL
PAL
LAL, LSLL
LL
P
HAZOP
Estimar a
frequência
do evento
iniciador
Estimar a
severidade da
consequência
É seguro
Suficiente? Quantas
salvaguardas
preciso?
LOPA
Cálculos
• Geralmente, cenários de consequência relevante
1) Selecionar Cenário
• Estimar frequência de ocorrência
2) Identificar a Causa
Iniciadora
• Verificar se é uma IPL
• Levantar Probabilidade de Falha na Demanda
3) Identificar Camadas
de Proteção Existentes
• Considera a frequência do evento iniciador, fatores modificadores, habilitadores e IPL
4) Determinar frequência do
Cenário• É seguro
suficiente?
5) Tomar Decisão Baseada no Risco
Cenários da
Análise de
Perigos
Banco de
Dados de
Frequências
Banco de
Dados de PFD
Matriz de Risco,
critério
numérico, etc.
Condição
HabilitadoraEvento que leva à consequência, considerando-se a falha de todas as salvaguardas
Não leva em consideração a ação das salvaguardas (cenário potencial)
Fator
Modificador
Evento Iniciador Consequência
Um evento ou sequência de eventos não planejados que resultam em um
consequência indesejada
Um par causa-consequência
Camadas de
proteção
Tem que acontecer ou estar presente para que o evento iniciador leve à consequência.
Tem que estar presente para que a consequência mais prejudicial ocorra.
Camadas de
proteção
PREVENTIVAS
Camadas de
proteção
MITIGADORAS
Evento IniciadorPerda de
Contenção
Condição
Normal
Desvio do modo normal de
operação
Gestão da
Emergência
▪ Expressa em (número eventos)/ano
▪ Tipos:
▪ Erro Humano
▪ Falha de Equipamento
▪ Eventos Externos
▪ Banco de Dados (CCPS, 2001):
▪ É usada como fator de ajuste da frequência da causa iniciadora
▪ Precisa ocorrer ou estar presente para que o evento iniciador leve à consequência
▪ Exemplo: Tempo de existência do Risco
▪ Usado para operações não contínuas
Exercício: Durante a etapa de descarregamento
de matéria prima, pode haver rompimento do
mangote que conecta o caminhão-tanque ao tanque
de estocagem da unidade. Ocorre, em média, 1
descarregamento por semana, que dura
aproximadamente 2h. Calcule a frequência do evento
de ruptura durante descarregamento.
Solução:
𝐹 = 1 × 10−2𝑓𝑎𝑙ℎ𝑎𝑠 𝑑𝑒 𝑚𝑎𝑛𝑔𝑜𝑡𝑒
𝑎𝑛𝑜× ቀ
ቁ
1 ×
52𝑜𝑝
𝑎𝑛𝑜× 2
h
op÷ 8760
h
ano= 𝟏, 𝟏𝟗 × 𝟏𝟎−𝟒
𝒆𝒗𝒆𝒏𝒕𝒐𝒔
𝒂𝒏𝒐
▪ IPL = Independent Protection Layer (Camada de proteção Independente)
▪ Toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL
▪ É um dispositivo, sistema ou ação que interrompe a cadeia de eventos após o evento iniciador, prevenindo ou mitigando a consequência indesejada.
▪ Precisa ser:
EFETIVA INDEPENDENTE AUDITÁVEL
• Detecta o desvio?
• Tem tempo de agir?
• Tem capacidade
para eliminar o
cenário?
• É independente do
evento iniciador?
• É independente de
outras IPL’s usadas
no cenário?
• Consigo provar que
existe?
• Dimensionamento
disponível?
• Gestão disponível?
▪ Cenário de Sobrepressãodevido a falha na malha de controle de nível
LITLIC
Tem
capacidade de
alívio?
Qual Pressão
de Abertura?
Não é
IPL!
Operador tem tempo
de atuar ao alarme?
Qual o elemento final
da SIF?
▪ PFD = Probability of Failure on demand (Probabilidade de Falha na Demanda)
▪ PFDméd = Pode ser calculado com as taxas de falha forncecidas pelo fabricante, estimadas com base em dados históricos. Valores médios tabelados.
▪ PFD = Probability of Failure on demand (Probabilidade de Falha na Demanda)
Fator de Redução de Risco
Medida do desempenho de uma
camada de proteção dada pela
razão entre os riscos sem e com a
implementação desta camada de
proteção. Pode ser expresso
matematicamente como o inverso
da probabilidade média de falha na
demanda da camada de proteção;
RRF (Risk Reduction Factor)
= 1/PFD
▪ Uma determinada função instrumentada de segurança (SIF) pode ser realizada de três diferentes formas. Qual a PFDméd de cada SIF?
PFDméd (falha/ano)
Opção 1 Opção 2 Opção 3
Sensor 9,64E-03 1,24E-04 1,24E-04
PLC 3,50E-03 3,50E-03 3,50E-03
XV 8,32E-03 8,32E-03 9,23E-05
SIF ? ? ?
2,15E-02 1,19E-02 3,72E-03
PLC
▪ SIL = SafetyIntegrity Level(Nível de Integridade de Segurança)
▪ Trata-se da confiabilidade de uma função instrumentada de segurança, SIF, medida em probabilidade de falha na demanda
Função
Instrumentada
de Segurança
(SIF)
Probabilidade
de Falha na
Demanda (PFD)
Fator de
Redução de
Risco (RRF)Arquitetura Típica
(depende de cálculo detalhado)
SIL 1 0,01 – 0,1 100 - 10 Único sensor, processador
lógico e elemento final
(redundância para
tolerância a falha)
SIL2 0,001 – 0,01 1.000 - 100 Múltiplos (votação)
sensores, processadores
lógico e elementos finais
(redundância para
tolerância a falha)
SIL 3 0,0001 – 0,001 10.000 – 1.000 Múltiplos (votação)
sensores, processadores
lógico e elementos finais
SIL 4 0,00001 – 0,0001 100.000 – 10.000 Dificilmente é alcançado
na indústria química
▪ Uma determinada função instrumentada de segurança (SIF) pode ser realizada de três diferentes formas. Qual o SIL de cada SIF?
PFDméd (falha/ano)
Opção 1 Opção 2 Opção 3
Sensor 9,64E-03 1,24E-04 1,24E-04
PLC 3,50E-03 3,50E-03 3,50E-03
XV 8,32E-03 8,32E-03 9,23E-05
SIF 2,15E-02 1,19E-02 3,72E-03
SIL1 SIL1 SIL2
PLC
▪ Cálculo Conservativo:
𝑓𝑖𝐶 = 𝑓𝑖
𝐼 ×ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗
▪ Consideração de Fatores Modificadores:
𝑓𝑖𝐶 = 𝑓𝑖
𝐼 ×ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗 × pignição × ppessoas × pdanos(se aplicável)
Fatores Modificadores
𝑓𝑖𝐶 → 𝑓𝑟𝑒𝑞𝑢ê𝑛𝑐𝑖𝑎 𝑑𝑜 𝑐𝑒𝑛á𝑟𝑖𝑜 𝑖
𝑓𝑖𝐼 → 𝑓𝑟𝑒𝑞𝑢ê𝑛𝑐𝑖𝑎 𝑑𝑜 𝑒𝑣𝑒𝑛𝑡𝑜 𝑖𝑛𝑖𝑐𝑖𝑎𝑑𝑜𝑟 𝑖𝑃𝐹𝐷𝑖,𝑗 → PFD da IPL j para o cenário 𝑖
pignição, ppessoas, pdanos → probabilidae depresença de fonte de ignição,pessoas e de provocar danos,
respectivamente
Andar de avião é seguro?
O risco de se morrer num
acidente de avião é 29 vezes
menor do que andar de
carro, 10 vezes menor do
que trabalhar, 8 vezes menor
do que andar a pé
Probabilidade de
acidentes
rodoviários é 266
vezes maior que a
dos aéreos
O transporte
aéreo registra 90
vezes menos
vítimas que o de
carro
O risco de
envolvimento de
um avião num
acidente é de um
em 3 milhões
▪ Cada companhia ou organização ou órgão define seu critério de tolerabilidade de risco
▪ O cálculo do risco comparado ao critério de tolerabilidade permite:
✓Gerenciar o risco residual
✓Modificar o processo para tornar o risco residual tolerável
✓ Interromper operações devido a risco muito alto
▪ É a medida do potencial dano a pessoas, patrimônio e/ ou meio ambiente expressos em termos da frequência de ocorrência do dano e sua magnitude.
▪ Risco de acidentes com fatalidade nos transportes públicos da Europa (apenas ilustrativo)
✓Ônibus e Trens: 2 fatalidades por 100 milhões de pessoas por hora de viagem
✓Avião: 16 fatalidades por 100 milhões de pessoas por hora de viagem
✓Carro: 25 fatalidades por 100 milhões de pessoas por hora de viagem
▪ Suponha que uma determinada companhia deseja estabelecer um critério detolerabilidade de risco tal que a possibilidade de fatalidade de um empregado nãoseja maior que a o risco dele estar em uma viagem automotiva. Calcule a ordem degrandeza da frequência de tolerável a 1 fatalidade (em fatalidade/ano).
Dados:
Acidente de Carro: 25 fatalidades por 100 milhões de pessoas por hora de viagem
Horas Trabalhadas: 44 h semanais
Solução:
𝒇𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆,𝒂𝒖𝒕𝒐 =𝟐𝟓𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆𝒔
𝟏𝟎𝟎 × 𝟏𝟎𝟔𝒑𝒆𝒔𝒔𝒐𝒂𝒔 × 𝒉×
𝟒𝟒𝒉
𝒔𝒆𝒎𝒂𝒏𝒂×𝟓𝟐 𝒔𝒆𝒎𝒂𝒏𝒂𝒔
𝒂𝒏𝒐= 𝟓, 𝟕𝟒 × 𝟏𝟎−𝟒 → 𝒇𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆,𝒕𝒐𝒍 = 𝟏 × 𝟏𝟎−𝟒
>1 fatalidade 1 fatalidadeDanos
PermanentesDanos Leves
Sem
consequências
1×10^(-5) T T T T T
1×10^(-4) M T T T T
1×10^(-3) NT M T T T
1×10^(-2) NT NT M T T
1×10^(-1) NT NT NT M T
Severidade a Pessoas
Fre
qu
ên
cia
(ce
nár
io/a
no
)
▪ Proposta de Matriz de Risco com Base no exercício anterior:
M = Moderado
ou
ALARP = As low
as reasonably
practicable
NT =
Não
tolerável.
T = Risco
Residual
Tolerável
Causa
Iniciadora
IPLs atuam
IPLs falham
ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗
𝑓𝑖𝐼
≅ 1 −ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗
Condição Segura
Consequência
Indesejada
𝑓𝑖𝐶 = 𝑓𝑖
𝐼 ×ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗
𝑓𝑖𝐶 ≤ 𝑓𝑖
𝑡𝑜𝑙
Rever as IPL’s!𝑓𝑖𝐶 > 𝑓𝑖
𝑡𝑜𝑙
▪ Cenário de Lopa
▪ Evento Iniciador
▪ Condição Habilitadora
▪ IPL x Salvaguarda
▪ PFD x RRF
▪ SIL
▪ Fatores Modificadores
▪ Critério de Aceitabilidade de Risco
▪ ALARP x Risco Residual
▪ Um cenário envolvendo 1 fatalidade, tem frequência do evento iniciador de 1/10anos. O processo dispõe de duas IPLs: um dispositivo mecânico de alívio (PFD = 1/100anos) e uma SIF. Determine o SIL requerido da SIF para que o cenário esteja dentro do critério de tolerabilidade de risco. Desconsidere condições habilitadores ou fatores modificadores.
>1 fatalidade 1 fatalidadeDanos
PermanentesDanos Leves
Sem
consequências
1×10^(-5) T T T T T
1×10^(-4) M T T T T
1×10^(-3) NT M T T T
1×10^(-2) NT NT M T T
1×10^(-1) NT NT NT M T
Severidade a Pessoas
Fre
qu
ên
cia
(ce
nár
io/a
no
)
𝑓𝑖𝐶 = 𝑓𝑖
𝐼 ×ෑ
𝑗
𝐽
𝑃𝐹𝐷𝑖,𝑗 ≤ 𝑓𝑡𝑜𝑙
0,1 × 0,01 × 𝑃𝐷𝐹𝑆𝐼𝐹 ≤ 1 × 10−4
∴ 𝑃𝐷𝐹𝑆𝐼𝐹 ≤ 1 × 10−1 → 𝑆𝐼𝐿 1
▪ CCPS. Layer of Protection Analysis: Simplified Process Risk Assessment, 2001.
▪ CROWL, D.; LOUVAR, J. Chemical Process Safety: Fundamentals with Applicattions. 2. ed. 2002.