Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.

e-mail: ecsconsultorias@ecsconsultorias.com.br


GESTO DE ALARMES NA INDSTRIA QUMICA, PETROQUMICA, LEO E
GS
Autor: Elisio Carvalho Silva
O resumo deste artigo foi aprovado na Abrisco 2013
1. Introduo
Em operaes crticas que necessitam a interveno do homem como camada de
proteo para evitar um acidente, h a necessidade de alarmes a fim de inform-lo que algo
est errado e urge a sua interveno. Da a relevncia dos alarmes como fontes importantes
de informaes para os operadores manterem a planta em condies seguras.
Alarmes so importantes para o segmento industrial, assim como as indstrias so importantes
para a sociedade. Contudo, elas so bem aceitas porque possuem uma frequncia de falha
baixa, ou seja, baixa possibilidade de eventos que afetem a comunidade. Os alarmes e ao
humana so partes importantes dessa reduo de risco. Por isso, uma boa gesto dos alarmes
ir reduzir a possibilidade de falha humana e assim melhorar a preveno de grandes
acidentes.
Para a sua preservao, a sociedade tem o interesse em manter esse segmento de
indstria no alto padro de segurana. Da a importncia deste artigo que tem o objetivo de
discutir pontos importantes da gesto de alarme em plantas qumica, petroqumica, leo e gs
e nuclear, por meio de reviso bibliogrfica. Espera-se que as pessoas que lidam com alarmes
nesse segmento industrial sejam beneficiadas.
2. Histricos do sistema de alarmes
Alguns acidentes j ocorreram devido a m gesto de alarmes. Um dos primeiros
grandes acidentes ocorreu em 1979 na Three Mile Island, nos Estados Unidos, que teve um
custo de cerca de um bilho de dlares conforme mencionam Bransby (1999) e EEMUA 191
(2007). Como esse acidente teve uma grande repercusso mundial e os fatores humanos e a
m gesto de alarme foram fortes contribuintes para o acidente, houve um aumento de ateno
principalmente nos sistemas de alarmes. A partir desse acidente as atenes j se voltaram
para a importncia dos alarmes
Outro acidente que teve grande repercusso foi o ocorrido em 1994 na refinaria de
leo de Milford Haven, na Inglaterra. Houve 26 pessoas com pequenos ferimentos e um dano
de cerca de 48 milhes de libra esterlina (BRANSBY, 1999; EEMUA 191, 2007). Nesse
acidente o operador estava tentando estabilizar a planta, aps uma parada por falta de energia
eltrica, quando foi sobrecarregado por alarmes, cerca de um alarme em 2 a 3 segundos,
sendo que 87% eram de alta prioridade.
A partir da algumas organizaes tomaram aes no intuito de melhorar a gesto de
alarmes. A Health, Safety and Executive (HSE), em 1999, publicou o regulamento Control of
Major Accident Hazard (COMAH) para suportar a diretiva de Seveso. Esse regulamento
incluiu a necessidade de prevenir a sobrecarga do operador por excesso de alarme.
Algumas indstrias tambm tomaram aes em funo da necessidade de melhorar a
gesto de alarmes. Estas aes no esto publicadas, no entanto, foram apresentados artigos

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br



em vrios seminrios e conferncias, como IEE Colloquia nos anos de 1997 e 1998 em
Londres, IBC em 1999 tambm em Londres e IEE People in Control Conference em Bath no
ano de 1999 (BRANSBY, 1999).
A EEMUA publicou em 1999 a primeira edio de Alarm Systems Guide, e a segunda
publicada no ano de 2007.
Em 2009, a International Society of Automation publicou o Management of Alarm
Systems for the Process Industries (ANSI/ISA 18.2), que forneceu grandes contribuies para
a gesto de alarmes.
3. Alarmes e resposta do operador
O tempo de segurana de processo o intervalo de tempo entre o evento iniciador e as
suas consequncias, caso no haja interrupo por camadas de proteo eficazes. O tempo
necessrio para a tomada de ao deve ser a metade do tempo de segurana de processo como
enfatiza a Center for Chemical Process Safety - CCPS (2007). Uma camada de proteo
normalmente utilizada alarme e ao humana. O alarme alertar o ser humano para tomar
ao e evitar a consequncia que ser o acidente. No entanto, para uma ao adequada do ser
humano, o tempo disponvel para ele agir em situaes de emergncia no poder ser menor
que 10 minutos, conforme pesquisas e confirmadas por experincia da rea industrial
(ANSI/ISA-TR 84.00.04, 2005; CCPS, 2007).
A Figura 1 mostra a probabilidade de falha humana em funo do tempo disponvel
para tomar a ao, conforme Swain e Guttmann (1983). Observa-se que a probabilidade de
erro inversamente proporcional ao tempo disponvel para tomar ao. Isto , quanto menos
tempo o homem tem para tomada de ao, maior a probabilidade de erro. Quando prximo
de dez minutos, a probabilidade de erro se aproxima de um.

FIGURA 1 Probabilidade de falha em funo do tempo. Fonte: Swain e Guttmann (1983).
Contudo, mesmo com tempo de resposta maior que dez minutos preciso que haja
uma boa confiabilidade na resposta ao alarme. Para isso, preciso que ele funcione de forma

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br


adequada para passar informaes confiveis para o ser humano e este esteja preparado para
agir. Da a necessidade de implantar um sistema de gesto para toda a sua vida. Esse sistema
de gesto do ciclo de vida do alarme deve ser composto dos seguintes estgios, tal como
menciona a ANSI/ISA 18.02 (2009): filosofia; identificao; racionalizao, projeto
detalhado; implementao; operao; manuteno; gerenciamento de mudana,
monitoramento e avaliao; e auditoria.
4. Gerenciamento dos alarmes
Como j mencionado anteriormente, os acidentes de Three Mile Island e refinaria de
leo de Milford Haven custaram caro para as empresas. O acidente da British Petroleum em
2005, na cidade do Texas, teve como um dos fatores contribuintes a falha do transmissor de
nvel da coluna de destilao e, consequentemente, o alarme tambm no funcionou. Como
consequncia, no foi possvel informar o operador que a coluna estava com nvel elevado.
Esse acidente custou a vida de 15 pessoas alm de 149 feridos (BAKER, 2007). O acidente de
Bhopal, no qual perderam a vida mais de 2000 pessoas, tambm teve um dos fatores
contribuintes a falha do alarme de alta temperatura do metilisocinato. Nesse evento, o set de
alarme foi alterado de 5
o
C para 20
o
C a fim de permitir a parada do sistema de refrigerao,
conforme o programa de reduo de custo da empresa. Isso causou o agravamento do
acidente porque aumentou consideravelmente a formao de vapores orgnicos (LEVESON,
2011).

4.1. Alarmes como camadas de proteo
Alarme e ao humana uma das camadas de proteo normalmente utilizada no
segmento industrial, como mostra a Figura 2. Porm, o fator de reduo de risco limitado
pela probabilidade de falha humana em demanda. O fator de reduo de risco humano como
camada de proteo de 10, como salienta CCPS (2001). ANSI/ISA-TR 84.00.04 (2005) e
CCPS (2007) confirmam a reduo de risco de um fator de 10, porm destacam que pode
aumentar at 100, se o tempo de segurana de processo for maior que 24 horas e o alarme
ficar atuando por esse tempo, assumindo que vrios operadores tero a oportunidade de
detectar o alarme e tomar ao.

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br



FIGURA 2 Camadas de proteo no segmento industrial. Fonte: Alves (2007).
Alm da necessidade do tempo maior que 10 minutos para uma resposta a um alarme de
emergncia, tambm o operador dever estar preparado para agir no tempo disponvel. Para melhorar
o desempenho global da SIF, preciso prover um foco especial ao operador, por meio de
procedimento, treinamento e utilizar simulado, de preferncia num simulador que interprete
bem as condies reais. Dessa forma o treinamento ser bem realstico tanto para as condies
normais como anormais. Adicionalmente, devem ser simulados alarmes esprios e excesso de
alarme para entender como o operador reage (EEMUA 191, 2007).
Swain e Guttmann (1983) mostram graficamente, conforme Figura 3, o resultado do
desempenho humano com simulados de emergncia e sem o simulado. Nota-se que sem o
simulado, a eficcia da emergncia reduz proporo que aumenta o intervalo de realizao
do simulado.

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br



FIGURA 3 - Efeitos hipotticos da prtica e no prtica para manter a habilidade em emergncias. Fonte: Swain
e Guttmann (1983).
4.2. Definio do alarme
Num sistema de alarme muito importante a definio do ponto de alarme. Os
alarmes tero os seus pontos de acionamento ajustados para que o operador tome a ao no
tempo adequado da segurana de processo. Esse ajuste deve ser realizado conforme a
avaliao feita na anlise de risco e operabilidade do processo. A metodologia mais adequada
para encontrar o ajuste ideal por meio do Hazard Operability Analysis (HAZOP), onde ser
possvel analisar os perigos de segurana e condies operacionais.
Uma vez realizado HAZOP, se confirmar se o alarme ser uma salvaguarda para o
processo. Se o cenrio for considerado de risco que desafie a tolerabilidade de risco aceita

pela organizao, ser necessria uma avaliao mais profunda. Normalmente essa avaliao
feita por uma anlise semiquantitativa denominada de anlise de camada de proteo (Layer
of Protection Analysis LOPA). A anlise ser determinante para confirmar se o alarme
atuar como uma camada independente de proteo. Se for definido que ser uma camada
independente de proteo, juntamente com a ao humana, ento passar a ser um alarme
crtico assim como o procedimento que reger a ao humana.

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br


4.3. Gerenciamento da eficcia do alarme
Conforme a EEMUA 191 (2007), os alarmes so elementos fundamentais nas
indstrias qumica, petroqumica, leo e gs, energia, entre outras. Atualmente so mais
apresentados diretamente em telas de computador e podem tambm ser vistos em
representao grfica ou listas de alarme. Nessa lista devem constar todos os alarmes, quer
sejam crticos ou no. Gill (2013) destaca a importncia de agrupar alarmes crticos para o
operador identific-los com maior facilidade num grfico ou display. Eles devem ser
cuidadosamente projetados e mensurados para que no se tornem um problema para o
processo operacional. De acordo com a ANSI/ISA-18.2 (2009) mais de 10 alarmes por 10
minutos para cada operador j pode ser considerado excesso de alarme, e pode tirar a ateno
do operador para aqueles crticos e potencializar um acidente de processo. Por outro lado, a
HSE (1999) destaca que alarmes crticos precisam ter som com cerca de 10 dB(A) acima do
som ambiente e cor diferenciada para que o operador possa distingui-los no ambiente.
A EEMUA 191 (2007) destaca quatro princpios bsicos para uma boa eficcia numa
gesto de alarmes:
a) Usabilidade os alarmes sero projetados para cumprir com as necessidades dos
usurios. Significa que tero as seguintes caractersticas: relevantes para o
operador desempenhar o seu papel quando requisitado; indicar claramente qual a
resposta necessria do operador; ser acionados em quantidade suficiente que o
operador possa atender; fceis para interpretar.
b) Segurana a contribuio do sistema de alarme para proteger a segurana das
pessoas, o meio ambiente e a propriedade ser claramente identificada. Qualquer
ao do operador para responder ao alarme ser baseada em princpios e dados
conhecidos de desempenho humano.
c) Monitoramento de desempenho ser avaliado o desempenho do sistema de
alarme na fase de projeto e comissionamento para assegurar que ser eficaz nas
condies operacionais. Ter um programa de auditoria regular para confirmar se o
seu bom desempenho est sendo mantido. necessrio o comprometimento
contnuo da liderana mxima da planta.
d) Engenharia e investimento os alarmes sero projetados conforme padres
reconhecidos mundialmente. Quando for projetado novo alarme ou houver
modificaes naqueles j existentes, existir uma gesto para certificar que um
novo alarme realmente necessrio e que ser bem projetado. O investimento

inicial ser suficiente para evitar problemas operacionais, riscos de segurana, meio
ambiente e, assim, controlar o custo no decorrer do seu tempo de vida.
Para se antecipar a problemas de gesto de alarme, deve-se ficar atento a alguns
pontos essenciais referentes ao projeto, organizao e procedimento, conforme menciona a
HSE (1993), e evitar que eles aconteam. Por exemplo:
Projeto
O som do alarme abaixo do nvel do som do ambiente e por isso no pode ser
ouvido;
Alarmes acionados acima da capacidade do operador atend-los;
Falsos alarmes ou alarmes so acionados quando a planta est parada.

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br


Organizao/Procedimento
Operador no tem tempo suficiente para agir aps acionamento do alarme;
Alarmes no so percebidos porque nem sempre o operador est presente;
Falta de controle para adicionar novos alarmes conforme sugestes de grupos de
anlise de risco.
4.4. As ferramentas e elementos de gerenciamento de alarmes
A ANSI/ISA 18.2 (2009) menciona o gerenciamento do ciclo de vida de sistema de
alarme para que todo o ciclo de vida do sistema seja mantido um alto nvel de confiabilidade.
Abaixo esto os elementos do ciclo de vida:
Filosofia inicia com a definio bsica e se estende at a definio operacional, tal
como, prioridades, classes, medidas de desempenho, limites do desempenho. A necessidade
de relatrio baseada nos objetivos, definies e princpios.
Identificao a identificao geralmente feita por anlise de risco, especificaes
de segurana, recomendaes de investigao de incidentes, boas prticas de manufatura,
desenvolvimento de diagrama de instrumentao e tubulao, etc.
Racionalizao - a juno da identificao e filosofia do alarme. Nesse momento
definida claramente toda a documentao do sistema de alarme, incluindo qualquer tcnica
avanada de alarme que poder ser utilizada para completar o projeto.
Implementao momento da instalao do sistema de alarme at a operao,
incluindo os testes. Como o operador pea importante do sistema de alarme, nesse estgio
ser considerado o seu treinamento.
Operao o alarme est ativo e faz a sua funo como projetado. Ser considerado
retreinamento em relao a sua filosofia e objetivo do alarme.
Manuteno o estgio do teste e reparo para garantir que o alarme ir funcionar
como projetado. Ser seguida a programao de manuteno peridica.
Monitoramento e avaliao monitorar e avaliar o desempenho do sistema em relao
s mtricas estabelecidas.
Gerenciamento de mudana qualquer alterao do sistema de alarme passar por
aprovao. O processo de mudana seguir cada estgio do ciclo de vida, desde a
identificao at a implementao.
Auditoria o estgio que far avaliao de todo o sistema de gesto do alarme.
5. Consideraes Finais
Um gerenciamento de sistema de alarme fundamental para manter uma planta
industrial no estado seguro. Alarmes e ao humana so importantes camadas de proteo
supervisria de uma unidade fabril, principalmente na indstria qumica, petroqumica e de
leo e gs.
Se um alarme considerado como uma camada independente de proteo, seguir a
IEC 61511 ou IEC 61508 no intuito de manter o nvel de confiabilidade desejada. Tambm
levar em considerao a confiabilidade humana para responder o alarme de forma eficaz.
Para isso, necessrio que o operador seja treinado, participe de simulado para a garantia de
uma resposta adequada em um momento de estresse. Tambm preciso levar em
considerao o retreinamento. Wright, Turner e Horbury (2003) sugerem que retreinamento

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br


pode ser realizado com frequncia de um a trs anos ou at seis meses, dependendo dos riscos
envolvidos.
Por outro lado, Gill (2013) enfatiza que alarmes crticos cumpriro os seguintes
critrios: sero designados como alarmes de segurana e categorizado como SIL 1; sero
independentes do sistema bsico de controle de processo; o operador ser treinado na falha
especfica da planta que o alarme indicar; sero bvios para o operador e distinguvel de
outros alarmes; sero classificados como de alta prioridade no sistema; sero mantidos na
vista do operador enquanto ele estiver ativo; o operador ter um procedimento escrito de
resposta para o alarme; a resposta do operador ao alarme ser simples, bvia e invariante; a
interface do operador ser projetada para que todas as informaes relevantes da falha da
planta sejam facilmente acessveis; o desempenho necessrio do operador ser auditado.
Aplicando essas tcnicas ser possvel projetar alarmes eficazes e contribuir para a
reduo de incidentes ou acidentes de processo e manter as plantas industriais ainda mais
seguras.
Referncias
ALVES, C. L. Uma Aplicao da tcnica de Anlise de Camadas de Proteo (LOPA) na Avaliao de
Risco de Incndios nas Rotas de Cabos de Desligamento de Um reator Nuclear. COPPE/UFRJ, 2007.
Disponvel em: <http://www.con.ufrj.br/MSc%20Dissertacoes/2007/dissertacao_camille_alves.pdf>. Acesso em
15 jan 2010.
BRANSBY, M. Best Practices in Alarm System Management. North Carolina: International Society
Automation, 1999.
BRANSBY, M. L.; JENKINSON, J. The Management of Alarm Systems. Norwich: Crown, 1998.

BAKER, J. A. The Report of BP U.S. refineries Independent Safety Review Panel. Disponvel em: <
http://www.bp.com/liveassets/bp_internet/globalbp/globalbp_uk_english/SP/STAGING/local_assets/assets/pdfs/
Baker_panel_report.pdf>. Acesso em: 25 de Fev. 2007
CENTER FOR CHEMICAL PROCESS SAFETY. Guidelines for Safe and Reliable Instrumented Protective
Systems. New Jersey: John Wiley & Sons, 2007.
GILL. S. Management of Critical Alarms: Connecting the Dots. Process Safety Progress, v.32, No.1, Mar.
2013.
HEALTH AND SAFETY EXECUTIVE. HSE Human Factors Briefing Note No. 9. Alarm Handling. 1993.
Disponvel em: < http://www.hse.gov.uk/humanfactors/topics/09alarms.pdf>. Acesso em: 15 mai. 2013.
HEALTH AND SAFETY EXECUTIVE. Better alarm handling. 1999. Disponvel em: <
http://www.hse.gov.uk/pubns/chis6.pdf>. Acesso em: 15 mai. 2013.
HEALTH AND SAFETY EXECUTIVE. Reducing Risks, Protecting People. 1
st
Edition. Norwich: Crown,
2001.
INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61511: Functional Safety Safety
Instrumented Systems for the process Industry Sector, Partes 1-3. Geneva 20, Switzerland, 2003
INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508: Functional Safety of
Electrical/Electronic/Programmable Electronic Safety-Related Systems, Partes 1-7. Management Centre: Avenue
Marnix 17, B - 1000 Brussels: BSI Standards Publication, 2010.
INTERNATIONAL SOCIETY OF AUTOMATION. ISA-TR84.00.04: Guidelines for the Implementation of
ANSI/ISA-84.00.01-2004. Research Triangle Park, North Carolina 27709, 2005.
SWAIN, A. D.; GUTTMANN, H. E. Handbook of Human Reliability Analysis with Emphasis on Nuclear
Power Plant Applications Final Report. Albuquerque, New Mexico 87185: Sandia National Laboratories,
1983.
THE ENGINEERING EQUIPMENT AND MATERIALS USERS ASSOCIATION. EEMUA 191: Alarm
Systems, a Guide to Design, Management and Procurement. London, 2007.

Rua Dr. Jos Peroba, 275, Edf. Metrpolis Empresarial, sala 610. Stiep - Salvador Bahia.
e-mail: ecsconsultorias@ecsconsultorias.com.br


WRIGHT, M.; HORBURY, C.; TURNER, D. Competence, Assessment and Major Accident Prevention. In:
Institution of Chemical Engineers Symposium Series. Norwich: Crown, 2003.