Escolar Documentos
Profissional Documentos
Cultura Documentos
N 2900 PDF
N 2900 PDF
Gerenciamento de Alarmes
Procedimento
Cópias dos registros das “não conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e Automação As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho
- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
Sumário
1 Escopo ................................................................................................................................................. 4
3 Termos e Definições............................................................................................................................ 4
Figuras
2
-PÚBLICO-
Tabelas
3
-PÚBLICO-
1 Escopo
1.1 O objetivo desta Norma é definir a filosofia do gerenciamento de alarmes da PETROBRAS. Esta
Norma pode ser complementada com uma filosofia específica de cada segmento de negócio da
Companhia.
1.2 Esta Norma se aplica a projeto, operação e manutenção de sistemas de alarmes em Unidades
da PETROBRAS.
1.3 Esta Norma se aplica a procedimentos iniciados a partir da data de sua edição.
2 Referências Normativas
3 Termos e Definições
3.1
alarme
qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou
equipamento e que exige uma ação em um tempo restrito
3.2
alarme de desvio ("deviation alarm")
alarme gerado quando a diferença entre dois valores analógicos excede um limite (exemplo: desvio
entre instrumentos redundantes ou desvio entre a variável de processo e o “setpoint”)
3.3
alarme de discrepância ("discrepancy alarm")
alarme gerado pelo erro entre a comparação de um estado esperado da planta ou equipamento para
o seu estado real (exemplo: falha na partida do motor quando este é comandado)
3.4
alarme incômodo (“nuisance alarm”)
alarme que anuncia excessivamente, desnecessariamente, ou que não retorna para o normal, mesmo
após ação do operador
4
-PÚBLICO-
3.5
alarme intermitente (“chattering alarm” ou “fleeting alarm”)
alarme que transita entre o estado de anunciação e o estado desativado em um período curto de
tempo
3.6
alarme obsoleto (“stale alarm”)
alarmes que permanencem ativos continuamente por longos períodos de tempo (geralmente 24
horas)
3.7
alerta
sinalização menos importante do que o alarme, caracterizando-se por condições operacionais que
requerem atenção, e cujas ações devem ser tomadas quando o tempo permitir
3.8
anunciação do alarme
função do sistema de alarmes para chamar a atenção do operador acerca do alarme
3.9
ativação do alarme
estado no qual a condição do alarme é verdadeira
3.10
avalanche de alarmes ("alarm flood")
condição durante a qual a taxa de alarmes é maior do que aquela que pode ser efetivamente
gerenciada (exemplo: mais de 10 alarmes no intervalo de 10 minutos)
3.11
“bad-actors”
são alarmes que, num intervalo de tempo determinado, apresentam um número de ocorrências muito
superior aos demais
3.12
banda morta do alarme ("alarm deadband")
faixa dentro da qual o alarme não tem seu estado alterado, independentemente da variação do sinal
lido (Figura 1)
5
-PÚBLICO-
Ativação Desativação
do alarme do alarme
Estado do
alarme
Valor de ajuste
do alarme
Banda
morta
PV
Tempo
3.13
classe de alarme
grupo de alarmes com requisitos comuns de gerenciamento tais como: teste, treinamento,
anunciação, auditoria etc.
3.14
desativação do alarme (“Return To Normal” - RTN)
estado no qual a condição para anunciação do alarme deixou de existir
3.15
evento
mudança nas condições da planta, de um equipamento ou de uma variável
3.16
filosofia de alarmes
documentação que estabelece as definições básicas, os princípios e procedimentos para projetar,
implementar e manter um sistema de alarmes
3.17
gerenciamento de alarmes
o processo e as práticas para conceber, projetar, documentar, operar, monitorar e manter um sistema
de alarmes
3.18
grupo de alarmes
um conjunto de alarmes, determinado por algum critério lógico de agrupamento, como: localização
física, função, sistema etc.
6
-PÚBLICO-
3.19
prioridade de alarme ("alarm priority")
importância relativa atribuída a um alarme dentro de um sistema de alarmes para indicar a urgência
da resposta
3.20
racionalização
processo de análise dos potenciais alarmes para fundamentar e documentar sua concepção e/ou
uso, a partir da filosofia de alarmes
3.21
reconhecimento ("Acknowledge - ACK")
ação que confirma ciência da anunciação do alarme
3.22
"shelving" (“shelve”)
ação iniciada pelo operador para suprimir temporariamente um alarme, com mecanismos de controle
para remoção desta supressão
3.23
sistema de alarmes ("alarm system")
conjunto de “hardware” e “software” que possibilita a detecção de estados de alarme, a anunciação e
registra suas alterações
3.24
supressão
qualquer mecanismo para impedir a anunciação do alarme quando a condição anormal está presente
3.25
tempo de resposta disponível ("allowable response time")
tempo máximo entre a anunciação do alarme e início de uma ação corretiva no processo,
independente de onde a ação vai ser realizada, para evitar as consequências da condição anormal.
Referência: Figura 4 da IEC 62682.
3.26
temporizador do alarme
tempo mínimo em que a variável deve permanecer continuamente além de seu valor de ajuste para
que o alarme seja anunciado
NOTA Este temporizador pode ser aplicado também para remover a anunciação do alarme
3.27
valor de ajuste do alarme ("alarm setpoint")
valor limiar de uma variável de processo ou estado discreto que anuncia o alarme
7
-PÚBLICO-
4 Símbolos e Abreviaturas
NOTA Esta Norma utiliza o termo SSC para se referir de forma genérica aos sistemas de controle
e monitoração adotados no âmbito dos diferentes segmentos de negócio da companhia,
substituindo termos como SCADA, SDCD e outros sistemas similares.
5 Filosofia de Alarmes
5.1 Objetivo
5.1.1 A definição de uma filosofia para o sistema de alarmes tem como objetivos:
5.1.2 O sistema de alarmes não substitui o SIS, mas auxilia o operador na tomada de ações que
venham a evitar paradas da planta por ação do sistema instrumentado de segurança, reduzindo a sua
demanda.
Para atender à definição, um alarme deve ser projetado considerando-se as limitações humanas, e
deve possuir as seguintes características:
8
-PÚBLICO-
5.3.1 Todos os alarmes devem ser priorizados para que sua interface seja projetada adequadamente
levando-se em consideração as características apresentadas anteriormente.
5.3.2 Os alarmes devem ser priorizados em função do tempo disponível para resposta do operador,
e dos impactos causados na planta quando da ausência desta resposta. Estes impactos podem estar
relacionados à perda de produção e de ativos, meio ambiente e segurança pessoal, consideradas
dentro destas categorias os alarmes definidos para atendimento à legislação local ou a políticas
internas da companhia.
5.3.3 Para alarmes cuja resposta do operador não tenha sido classificada como IPL, durante a
avaliação destes impactos, devem ser consideradas as camadas de proteção que estão disponíveis
na planta no momento da análise. Estas camadas de proteção podem ser funções instrumentadas de
segurança ou dispositivos mecânicos de proteção, como válvulas de segurança.
NOTA 1 A ausência de camadas de proteção adequadas tende a fazer com que o alarme adquira
uma prioridade elevada. A disponibilidade de um SIS bem projetado, por exemplo, tende a
reduzir o impacto associado ao meio ambiente e segurança pessoal, e a aumentar o
impacto associado a perda de produção, já que na ausência de resposta do operador ao
alarme, deve ser considerado que o SIS vai atuar. Prioridades elevadas de alarmes podem
indicar eventual necessidade de revisão nas camadas de proteção superiores. Deve ser
verificado o impacto em outras análises (por exemplo, HAZOP, classificação de funções
instrumentadas de segurança) caso algum alarme tenha seu status alterado para alerta ou
caso seja removido.
NOTA 2 O mesmo critério se aplica para plantas que não foram submetidas ao LOPA.
5.3.4 Alarmes cuja resposta do operador tenha sido classificada como IPL devem ser priorizados
desconsiderando a presença de camadas de proteção.
5.3.5.1 O critério apresentado a seguir deve ser aplicado para cada alarme. Esta análise resulta na
prioridade, que pode ser utilizada como guia para o operador na escolha de qual alarme deve ser
tratado primeiro, quando dois ou mais alarmes são anunciados simultaneamente.
5.3.5.2.1 A Tabela 1 deve ser utilizada para determinação do tempo de resposta disponível.
TRD Critério
Longo Maior que 10 minutos e menor que 1 hora
Médio Entre 3 minutos e 10 minutos
Curto Menor que 3 minutos
5.3.5.2.2 Para tempos de resposta acima de uma hora a sinalização da anormalidade deve ser
considerada como “ALERTA”.
9
-PÚBLICO-
5.3.5.2.3 Para tempos inferiores a 1 minuto, deve ser avaliado se a ação do operador pode ser
executada adequadamente. Caso esta ação não seja possível, deve ser prevista uma atuação
automática. Para tempos inferiores a 3 minutos, devem ser considerados mecanismos especiais de
anunciação de alarmes e treinamento especial da equipe de operação para responder à
anormalidade.
5.3.5.3.1 A prioridade do alarme deve ser obtida a partir do tempo de resposta disponível para o
operador frente ao alarme e do impacto sobre a planta caso a ação operacional não seja aplicada.
Esta análise deve ser realizada utilizando as Tabelas 2 a 4, quando aplicável. O maior valor de
prioridade obtido deve ser adotado. As categorias de severidade das consequências estão alinhadas
com a N-2782.
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos catastróficos podendo levar à perda da
V Catastrófica Crítica Crítica Crítica
instalação industrial
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos severos em áreas sensíveis ou se
V Catastrófica Crítica Crítica Crítica
estendendo para outros locais
10
-PÚBLICO-
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Múltiplas fatalidades intramuros ou fatalidade
V Catastrófica Crítica Crítica Crítica
extramuros
Fatalidade intramuros ou lesões graves
IV Crítica Crítica Crítica Crítica
extramuros
Lesões graves intramuros ou lesões leves
III Média Alta Crítica Crítica
extramuros
5.3.5.3.2 Ampliações ou adaptações de novas instalações em plantas existentes devem passar por
uma revisão do critério de priorização de acordo com esta Norma.
5.4.1 Uma classe de alarmes é utilizada para caracterizar alarmes com requisitos comuns de gestão,
como, por exemplo, frequência definida de testes, tempo máximo para manutenção e estar sujeito à
auditoria.
5.4.2 Os requisitos específicos de uma classe de alarmes devem estar definidos na documentação
do alarme.
5.4.3 Não é obrigatório que um alarme pertença a uma classe de alarmes, contudo, um alarme pode
pertencer a uma ou mais classes.
5.4.4.1 Alarmes podem ser utilizados como camada de proteção independente a partir de estudos de
LOPA. Estes alarmes devem fazer parte de uma classe de alarmes.
a) ser projetado de forma que nenhuma condição presente na planta seja capaz de falsear
sua anunciação, por exemplo, num cenário de ruptura de linha de vapor, pode haver
indicação falsa de nível alto devido à formação de bolhas na fase líquida, fazendo com
que o alarme de nível baixo no gerador de vapor não acuse imediatamente o desvio;
b) ser identificado de forma diferente e ser distinguível dos outros alarmes;
c) possuir um procedimento operacional específico em resposta ao mesmo, considerando
que a ação do operador deve ser suficiente para evitar a consequência indesejada;
d) estar inserido em programas de treinamento, manutenção e auditoria estabelecidos.
11
-PÚBLICO-
5.4.5 A priorização do alarme pertencente a uma classe deve ser realizada segundo o 5.3.
12
-PÚBLICO-
6.1.2 Os alarmes discriminados nas Folhas de Dados de Processo de Instrumentos devem ser
definidos pelo responsável da área (processo, utilidades, equipamento etc.) durante o projeto básico
da planta.
6.1.3 O projeto básico deve fornecer, no mínimo, as seguintes informações: a causa iniciadora, ação
operacional, tempo de resposta do operador, o impacto ou consequência da não intervenção
operacional, prioridade do alarme e estratégias para supressão, caso aplicáveis.
6.1.4 Alarmes que não constem na Folha de Dados de Processo (ex.: alarme de razão baixa entre
duas vazões) também devem ser documentados.
6.1.5 O projeto executivo deve elaborar um documento específico para alarmes contendo, no
mínimo, as informações da Tabela 6.
Informação Descrição
13
-PÚBLICO-
Informação Descrição
6.1.6 A documentação dos alarmes deve ser consolidada e continuamente atualizada pelos
responsáveis pela operação da planta.
6.1.7 Sinais que forem reclassificados de alarmes para eventos devem ser mantidos na
documentação para efeito de rastreabilidade.
6.1.8 Minimizar o uso de 2 níveis de alarmes (ex.: alto e muito alto, baixo e muito baixo). Dois níveis
de alarmes somente devem ser aplicáveis caso as ações operacionais associadas sejam diferentes.
6.1.9 Uma demanda do SIS frequentemente pode ser evitada por uma ação no sentido do
restabelecimento da condição operacional normal, caracterizando, portanto a necessidade de um
alarme de “pré-trip”. Este alarme deve ser ajustado de modo que seja possível a ação do operador
para evitar a atuação do SIS.
6.1.10 Após uma atuação do SIS, frequentemente são requeridas ações no sentido de um
restabelecimento mais rápido, mais econômico ou mais seguro da condição operacional,
caracterizando, portanto a necessidade de um alarme de “trip”.
6.1.11 Anunciações que venham a ser caracterizadas como alertas também devem ser incluídas na
documentação dos alarmes para efeito de rastreabilidade. Neste caso sugere-se indicar esta
condição como uma nota.
6.1.12 Recomenda-se realizar a racionalização dos alarmes com a participação das equipes de
processo, automação, segurança e operação. Durante a análise de alguns equipamentos, como
compressores e fornos, os especialistas das respectivas áreas podem ser convidados.
[Prática Recomendada]
6.1.13 Durante a concepção dos alarmes, recomenda-se que sejam considerados o “feedback”
operacional e boas práticas adotadas na unidade. A atividade de análise de risco, tal como o HAZOP
da planta constitui também uma oportunidade para racionalização. [Prática Recomendada]
14
-PÚBLICO-
6.1.14 O processo de racionalização de alarmes deve ser executado sempre que novos alarmes
forem concebidos.
6.1.15 Para plantas existentes, o processo de racionalização deve revisar os alarmes existentes e,
se necessário, acrescentar novos alarmes. Como resultado da revisão, um alarme pode ser removido
ou ter suas características (prioridade, ponto de ajuste, lógica de supressão etc.) alteradas.
6.1.17 A documentação dos alarmes deve ser disponibilizada para a Unidade e atualizada em função
do processo de gestão de mudanças.
6.2.1.2 Como parte do sistema de alarmes, deve ser disponibilizado um sistema de coleta de dados
para tratamento estatístico dos alarmes, preferencialmente em tempo real, de modo a possibilitar a
avaliação de desempenho da planta frente a situações anormais e o gerenciamento dos alarmes ao
longo da vida útil da planta.
6.2.1.3 Toda informação acerca dos alarmes da planta deve ser incorporada na base de dados deste
sistema, que deve incluir toda documentação histórica do alarme permitindo sua atualização durante
os processos de gestão de mudanças.
6.2.1.4 Devem ser previstos um mecanismo de armazenamento e uma política de retenção da base
de dados do sistema de alarmes.
15
-PÚBLICO-
EXEMPLO 1
Partida automática de bomba reserva - quando uma bomba reserva parte automaticamente
por pressão baixa na descarga, o alarme de pressão baixa deve ser anunciado somente
após um tempo ajustável, que leva em consideração o transiente de recuperação de
pressão ocasionado pela partida da bomba. Caso a pressão não se restabeleça após este
tempo, o alarme deve ser anunciado. O estado de operação da bomba reserva deve ser
anunciado como um evento.
EXEMPLO 2
6.2.2.3.2.1 Quando da existência de dois alarmes para uma mesma variável, em dois níveis, o
segundo alarme deve suprimir o primeiro. Assim, alarmes do tipo “muito alto” devem suprimir alarmes
do tipo “alto”, e alarmes do tipo “muito baixo” devem suprimir alarmes do tipo “baixo”.
6.2.2.3.2.2 Essa supressão deve ser aplicada para dois alarmes associados a um mesmo
instrumento.
6.2.2.3.2.3 O reconhecimento do alarme muito alto (HH) ou muito baixo (LL) deve implicar no
reconhecimento para o alarme alto (H) ou baixo (L), respectivamente.
16
-PÚBLICO-
HH
PV
Tempo
6.2.2.3.3.2 Estes desvios devem ser caracterizados como alertas quando o tempo de resposta for
indeterminado. O valor de ajuste para a detecção do desvio entre os sensores deve considerar a
incerteza máxima entre instrumentos e a necessidade de temporizadores de modo a evitar alarmes
incômodos.
Devem ser configurados alarmes para a situação de detecção de inconsistência entre o comando e
sua atuação.
EXEMPLO 1
17
-PÚBLICO-
EXEMPLO 2
Falha no comando de válvulas de controle ou “ON-OFF” deve ser considerada como alarme
de discrepância, assim como o fechamento ou abertura espúria da válvula.
NOTA Indicação associada a chaves de fim de curso de válvulas de controle ou “ON-OFF” não
deve ser configurada como alarme, quando a indicação estiver em conformidade com o
comando executado, devendo fazer parte da listagem de eventos da planta.
6.2.2.3.5.1 A prioridade de alarmes associados à falha do sensor ou transmissor pode ser definida
considerando-se o serviço realizado por este instrumento [Prática recomendada]
6.2.2.3.5.2 Deve ser prevista interface indicando todos os instrumentos em estado de falha,
ordenados pela prioridade do alarme associado a cada instrumento. [Prática recomendada]
6.2.2.3.5.3 Falhas de UCP e comunicação entre sistemas digitais devem ser mantidos como
alarmes.
Apenas os alarmes ou um resumo de alarmes, que demandam ação do operador da sala de controle
devem ser enviados dos equipamentos fornecidos por terceiros (ex.: compressores) para a lista de
alarmes no SSC.
6.2.2.3.7.1 Alarmes podem ser configurados de acordo com o estado do equipamento. Os seguintes
estados podem ser caracterizados para um equipamento: “em partida”, “operação normal”, "em
parada" e “parado”. Assim, alarmes que se aplicam somente ao equipamento em “operação normal”
devem ser suprimidos quando no modo “em partida”, "em parada" ou “parado”. [Prática
recomendada]
EXEMPLO 1
EXEMPLO 2
EXEMPLO 3
Alarmes de corrente elevada de motores de bombas devem ser suprimidos por um tempo
pré-determinado durante a partida destas bombas.
18
-PÚBLICO-
EXEMPLO 4
Parada indevida de bomba deve gerar alarme associado à anormalidade que causou sua
parada. Parada da bomba comandada pelo operador não deve gerar um alarme.
Alarmes de instrumentos redundantes devem ser exibidos como um único alarme quando ocorrer à
condição anormal. Todos os alarmes, no entanto, devem ser registrados.
EXEMPLO
Quando para uma mesma variável existir um instrumento associado a uma malha de
controle e 3 instrumentos associados ao SIS (por exemplo: iniciadores em votação 2oo3),
um único alarme deve ser anunciado quando qualquer destes instrumentos acusar a
situação anormal. Telas de detalhe podem mostrar, no entanto, todos os alarmes
associados a cada instrumento.
Os alarmes que antecederem a um evento de “trip”, e forem relacionados ao “trip”, devem ser
suprimidos caso o “trip” venha a ocorrer.
Quando da existência de alarmes estreitamente relacionados, somente um deles deve ser anunciado.
EXEMPLO
Suprimir o segundo alarme entre vazão baixa e pressão baixa na descarga de uma bomba
caso por detrás destes alarmes somente venha a existir uma única ação operacional.
As bandas mortas são recomendadas para reduzir a quantidade de alarmes incômodos. Os valores
devem ser ajustados a partir da experiência operacional, em função da variável de processo.
6.2.2.3.12 Temporizadores
6.2.2.3.12.4 Os valores desses temporizadores são uma referência inicial. Ajustes nos valores
devem ser realizados a partir da experiência operacional, especialmente em função do tempo de
resposta disponível para o operador.
19
-PÚBLICO-
6.2.2.3.13.1 Alarmes de baixa prioridade podem ser reconhecidos automaticamente pelo SSC,
quando a condição para anunciação do alarme deixar de existir. [Prática Recomendada]
6.2.2.3.13.3 Alarmes sem autor reconhecimento, ao deixarem de ser suprimidos, podem retornar no
mesmo estado em que estavam no momento da supressão. [Prática Recomendada]
6.2.2.3.14.2 O critério para “shelving” de alarmes deve ser definido por filosofia específica para a
planta. Nesta filosofia devem constar o prazo máximo aceitável para alarmes em “shelving” e a
definição das responsabilidades dos envolvidos.
6.2.2.3.14.4 Recomenda-se que a retirada do alarme em estado de “shelving” seja automática após a
expiração do prazo definido no momento de sua supressão. [Prática Recomendada]
6.2.3.1 Os alarmes de prioridade mais alta devem ser destacados em relação aos alarmes de
prioridade mais baixa, sonora e visualmente.
6.2.3.2 A critério da unidade, os alarmes classificados como de prioridade crítica podem ser
anunciados também da mesma forma como os de prioridade alta.
6.2.3.4 A lista de alarmes deve estar separada da lista de eventos nas IHM e deve conter os alarmes
de todas as prioridades.
6.2.3.5 Alarmes que sejam classificados como pertencentes à IPL devem ser apresentados de forma
distinta dos demais alarmes, como por exemplo, através do TAG, descrição, símbolo, som, cor, ou
até mesmo da localização física.
20
-PÚBLICO-
6.2.3.6 Os alarmes devem ser listados por estado, iniciando pelos não reconhecidos, e por ordem
cronológica. Deve existir a possibilidade de filtragem ou ordenação por prioridade, estado, grupo,
classe e tipo de alarme.
EXEMPLO
6.2.3.7 A anunciação dos alertas deve ser inserida na lista de alarmes. Em caso de ordenação por
prioridade, os alertas devem ser listados após os alarmes de prioridade baixa. A anunciação do alerta
deve ter um tratamento visual e sonoro diferente do alarme.
6.2.3.8 A indicação de falha de instrumento ou equipamento deve ser configurada como alarme ou
alerta, dependendo da urgência para acionamento da equipe de manutenção.
6.2.3.10 Os alarmes também devem ser agrupados e apresentados filtrados por área da planta.
Estes grupos podem ser apresentados em estações de operação distintas dependendo de como deve
ser distribuída a responsabilidade de operação das diversas áreas da planta.
EXEMPLO 1
EXEMPLO 2
— Unidade de Destilação;
— Unidade de Craqueamento Catalítico Fluido;
— Utilidades;
— Transferência e Estocagem.
6.2.3.11 Para instalações de produção, agrupar alarmes também de acordo com a classificação dos
níveis de parada de emergência (ESD) das plataformas de petróleo. Estes alarmes são:
— alarmes que acusam ESD-3, fogo e gás e outros que sejam identificados como alarmes
de prioridade crítica;
— alarmes que antecedem à ocorrência do ESD-2, identificados como alarmes de
prioridade alta;
— alarmes que acusam ESD-2 e ESD-1, identificados como alarmes de prioridade média;
— demais alarmes identificados como de prioridade baixa.
6.2.3.12 As mensagens de alarmes devem ser claras, direcionando a atenção do operador para o
problema a ser tratado. Não devem ser utilizadas janelas do tipo “pop-up” para apresentação de
alarmes, tendo em vista a grande quantidade de janelas que podem inviabilizar a identificação da
anormalidade.
21
-PÚBLICO-
6.2.3.13 As mensagens devem conter, no mínimo, as seguintes informações: data, hora, TAG e
descrição, a prioridade do alarme e o estado do alarme.
6.2.3.15 Adotar padrão para cores e terminologias para os alarmes, minimizando diversidades.
Informações estáticas e sem animação devem ser configuradas com cores suaves. Informações de
alarmes devem possuir cores mais fortes para que seja possível detectar as anormalidades através
de contrastes.
6.2.3.16 Mensagens de texto de alarmes não devem ser intermitentes, gerando dificuldade para que
estas sejam lidas com clareza.
6.2.3.17 Devem ser previstas interfaces distintas para alarmes com responsáveis diferentes.
EXEMPLO
6.2.3.19 Os alarmes retirados do sumário de alarmes através de “shelving” também devem ser
listados em uma interface separada e serem apresentados através das mesmas funcionalidades dos
alarmes listados no sumário principal.
6.3.1 Testes no sistema de alarmes devem ser realizados durante o comissionamento dos
instrumentos no SSC. Estes testes devem envolver verificação da atuação do alarme para o
respectivo ponto de ajuste configurado e as estratégias de processamento do alarme.
22
-PÚBLICO-
— operadores;
— técnicos de acompanhamento operacional e manutenção.
6.4.1 A análise estatística de alarmes deve fazer parte da rotina operacional, e sua frequência de
acompanhamento deve ser pelo menos mensal.
6.4.2 Os principais indicadores a serem avaliados durante a operação do sistema de alarmes são:
— alarmes mais frequentes por período (a cada dez minutos, hora, dia, semana, mês) por
posição de operação;
— tempo médio de duração de cada alarme;
— distribuição de alarmes por grupo;
— distribuição de alarmes por prioridade;
— avalanche de alarmes;
— quantidade de alarmes não reconhecidos;
— quantidade de alarmes suprimidos.
6.4.3 A partir destes dados, devem ser tomadas ações para alcançar as métricas indicadas nesta
Norma.
6.5.3 Deve ser constituído um grupo gestor para o sistema de alarmes, para garantir que as filosofias
e práticas adotadas sejam aplicadas uniformemente em todas as plantas existentes e para aquelas
que vierem a ser projetadas futuramente na Unidade.
6.5.4 Auditorias periódicas devem ser conduzidas de modo a verificar as filosofias e procedimentos
vigentes ou mesmo identificar a necessidade de revisá-las diante de “feedbacks” das áreas de
projeto, operação e manutenção.
23
-PÚBLICO-
A.2 Consequências Marginais (perda financeira entre US$ 100 000 e US$ 1 000 000)
A.3 Consequências Médias (perda financeira entre US$ 1 000 000 e US$ 10 000 000)
A.4 Consequências Críticas (perda financeira entre US$ 10 000 000 e US$ 100 000 000)
A.5 Consequências Catastróficas (perda financeira superior a US$ 100 000 000)
24
-PÚBLICO-
1 2
25
-PÚBLICO-
1 2
S
O tempo de resposta é maior do que
Tratar como um ALERTA
uma hora?
3 2
26
-PÚBLICO-
27
-PÚBLICO-
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
1.1 Revisado
1.2 Incluído
2 Revisado
3.9 Incluído
3.13 Incluído
3.21 Renumerado
3.24 Renumerado
3.26 Incluído
Tabelas 2, 3 e 4 Revisadas
IR 1/2
-PÚBLICO-
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
5.4 Incluído
5.5 Renumerado
6 Revisado
6.1 Incluído
6.1.11 Revisado
Anexo B Revisado
IR 2/2