Segurança de Processo e Prevenção de Perdas – EQE 592

Júlia Pinto A. Azevedo (Mestranda PEQ COPPE)

 Planos de Emergência

▪ HAZOP: 1974 ... LOPA: 1997 Sistemas de Contenção

▪ Semiquantitativo Sistemas de
Proteção Mecânica
▪ Simplificado (ordem de grandeza) Sistemas
Instrumentados de
▪ Análise de Camadas de Proteção Segurança
▪ Objetivo: Sistemas de
✓ Quão Seguro é Seguro Suficiente? Alarmes
Sistemas
✓ Quantas/Quais Camadas de proteção
de
são necessárias? Controle

Projeto
Mitigação

Planos de Emergência e Contenção

Sistemas de Proteção Mecânica

Prevenção

Sistemas de Shutdown

Sistemas de Alarme e Intervenção Operacional

Controle de Processo
PREVENTIVAS MITIGADORAS

Qualquer dispositivo, sistema ou ação Qualquer dispositivo, sistema ou ação

capaz de interromper a cadeia de capaz de diminuir a severidade da
eventos que segue a causa iniciadora consequência.
do cenário, evitando a consequência
indesejada (possível perda de
contenção).
▪ LOPA não identifica Perigos
Análise
✓ HAZOP, Check-List, FMEA etc sim!
Quantitativa
▪ LOPA seleciona cenários previamente
✓ Severidades
1% Altas
identificados através de outra

Nível de Detalhe
metodologia ✓ Complexidade
Análise Semi- Elevada
Quantitativa
10 a 20%

Análise Qualitativa
100%
 DESVIO CAUSAS CONSEQUÊNCIAS SALVAGUARDAS

Falha da Efeitos a
PAL
Bomba jusante
Efeitos a
Fluxo Menor Erro Humano
jusante
PAL HAZOP
Falha LIC Bomba roda
LAL, LSLL
fechando LV seco

Estimar a É seguro
L L frequência Estimar a Suficiente? Quantas
P do evento severidade da salvaguardas LOPA
iniciador consequência preciso?
 Matriz de Risco,
critério
numérico, etc.

• Verificar se é
uma IPL
• Levantar
• Geralmente, Probabilidade
4) Determinar
cenários de 2) Identificar de Falha na
Demanda frequência do • É seguro
consequência a Causa suficiente?
relevante Iniciadora Cenário

• Estimar 3) Identificar • Considera a 5) Tomar

frequência de Camadas frequência do Decisão
1) Selecionar ocorrência de Proteção evento
Cenário Baseada
Existentes iniciador,
fatores
no Risco
modificadores,
habilitadores e
IPL

Cenários da Banco de
Banco de
Análise de Dados de Cálculos
Dados de PFD
Perigos Frequências
 Um evento ou sequência de eventos não planejados que resultam em um
consequência indesejada

Um par causa-consequência

Camadas de
Evento Iniciador Consequência
proteção
Condição Fator
Evento que leva à Habilitadora Não leva em
consequência, Modificador consideração a ação
considerando-se a Tem que das salvaguardas
acontecer ou Tem que estar
falha de todas as estar presente presente para (cenário potencial)
para que o que a
salvaguardas evento iniciador consequência
leve à mais prejudicial
consequência. ocorra.
 Camadas de Camadas de
Perda de
Evento Iniciador proteção proteção
Contenção
PREVENTIVAS MITIGADORAS

Condição Desvio do modo normal de Gestão da

Normal operação Emergência
▪ Expressa em (número eventos)/ano ▪ Banco de Dados (CCPS, 2001):
▪ Tipos:
▪ Erro Humano
▪ Falha de Equipamento
▪ Eventos Externos
 ▪ É usada como fator de ajuste da frequência da causa iniciadora
▪ Precisa ocorrer ou estar presente para que o evento iniciador leve à consequência
▪ Exemplo: Tempo de existência do Risco
▪ Usado para operações não contínuas

Exercício: Durante a etapa de descarregamento

de matéria prima, pode haver rompimento do
mangote que conecta o caminhão-tanque ao tanque Solução:
𝑓𝑎𝑙ℎ𝑎𝑠 𝑑𝑒 𝑚𝑎𝑛𝑔𝑜𝑡𝑒
de estocagem da unidade. Ocorre, em média, 1 𝐹 = 1 × 10−2 × ቀ1 ×
descarregamento por semana, que dura 𝑎𝑛𝑜
𝑜𝑝 h h 𝒆𝒗𝒆𝒏𝒕𝒐𝒔
aproximadamente 2h. Calcule a frequência do evento 52 ×2 ÷ 8760 ቁ = 𝟏, 𝟏𝟗 × 𝟏𝟎−𝟒
𝑎𝑛𝑜 op ano 𝒂𝒏𝒐
de ruptura durante descarregamento.
▪ IPL = Independent Protection Layer (Camada de proteção Independente)
▪ Toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL
▪ É um dispositivo, sistema ou ação que interrompe a cadeia de eventos após o evento
iniciador, prevenindo ou mitigando a consequência indesejada.
▪ Precisa ser:

EFETIVA INDEPENDENTE AUDITÁVEL

• Detecta o desvio? • É independente do • Consigo provar que

• Tem tempo de agir? evento iniciador? existe?
• Tem capacidade • É independente de • Dimensionamento
para eliminar o outras IPL’s usadas disponível?
cenário? no cenário? • Gestão disponível?
 ▪ Cenário de Sobrepressão
devido a falha na malha de
Tem controle de nível
capacidade de
alívio?
Qual Pressão
de Abertura? LIC LIT
Operador tem tempo
de atuar ao alarme?

Qual o elemento final

da SIF?

Não é
IPL!
▪ PFD = Probability of Failure on demand (Probabilidade de Falha na Demanda)
▪ PFDméd = Pode ser calculado com as taxas de falha forncecidas pelo fabricante,
estimadas com base em dados históricos. Valores médios tabelados.
▪ PFD = Probability of Failure on demand (Probabilidade de Falha na Demanda)

Fator de Redução de Risco

Medida do desempenho de uma
camada de proteção dada pela
razão entre os riscos sem e com a
implementação desta camada de
proteção. Pode ser expresso
matematicamente como o inverso
da probabilidade média de falha na
demanda da camada de proteção;

RRF (Risk Reduction Factor)

= 1/PFD
▪ Uma determinada função instrumentada de segurança (SIF) pode ser realizada de
três diferentes formas. Qual a PFDméd de cada SIF?

PFDméd (falha/ano)
Opção 1 Opção 2 Opção 3
PLC
Sensor 9,64E-03 1,24E-04 1,24E-04
PLC 3,50E-03 3,50E-03 3,50E-03
XV 8,32E-03 8,32E-03 9,23E-05
SIF ? ? ?
2,15E-02 1,19E-02 3,72E-03
 Função Fator de
Probabilidade
Instrumentada Redução de Arquitetura Típica
▪ SIL = Safety de Segurança
de Falha na
Risco (RRF) (depende de cálculo detalhado)
Integrity Level Demanda (PFD)
(SIF)
(Nível de SIL 1 0,01 – 0,1 100 - 10 Único sensor, processador
Integridade de lógico e elemento final
Segurança) (redundância para
tolerância a falha)
▪ Trata-se da
confiabilidade de SIL2 0,001 – 0,01 1.000 - 100 Múltiplos (votação)
sensores, processadores
uma função
lógico e elementos finais
instrumentada de (redundância para
segurança, SIF, tolerância a falha)
medida em SIL 3 0,0001 – 0,001 10.000 – 1.000 Múltiplos (votação)
probabilidade de sensores, processadores
falha na demanda lógico e elementos finais
SIL 4 0,00001 – 0,0001 100.000 – 10.000 Dificilmente é alcançado
na indústria química
▪ Uma determinada função instrumentada de segurança (SIF) pode ser realizada de
três diferentes formas. Qual o SIL de cada SIF?

PFDméd (falha/ano)
Opção 1 Opção 2 Opção 3
PLC
Sensor 9,64E-03 1,24E-04 1,24E-04
PLC 3,50E-03 3,50E-03 3,50E-03
XV 8,32E-03 8,32E-03 9,23E-05
SIF 2,15E-02 1,19E-02 3,72E-03
SIL1 SIL1 SIL2
 𝑓𝑖𝐶 → 𝑓𝑟𝑒𝑞𝑢ê𝑛𝑐𝑖𝑎 𝑑𝑜 𝑐𝑒𝑛á𝑟𝑖𝑜 𝑖
▪ Cálculo Conservativo: 𝑓𝑖𝐼 → 𝑓𝑟𝑒𝑞𝑢ê𝑛𝑐𝑖𝑎 𝑑𝑜 𝑒𝑣𝑒𝑛𝑡𝑜 𝑖𝑛𝑖𝑐𝑖𝑎𝑑𝑜𝑟 𝑖
𝐽 𝑃𝐹𝐷𝑖,𝑗 → PFD da IPL j para o cenário 𝑖
𝑓𝑖𝐶 = 𝑓𝑖𝐼 × ෑ 𝑃𝐹𝐷𝑖,𝑗 pignição , ppessoas , pdanos → probabilidae de
presença de fonte de ignição,
𝑗 pessoas e de provocar danos,
respectivamente
▪ Consideração de Fatores Modificadores:
𝐽

𝑓𝑖𝐶 = 𝑓𝑖𝐼 × ෑ 𝑃𝐹𝐷𝑖,𝑗 × pignição × ppessoas × pdanos (se aplicável)

𝑗

Fatores Modificadores
 Andar de avião é seguro?

O risco de se morrer num

Probabilidade de O transporte O risco de
acidente de avião é 29 vezes
acidentes aéreo registra 90 envolvimento de
menor do que andar de
rodoviários é 266 vezes menos um avião num
carro, 10 vezes menor do
vezes maior que a vítimas que o de acidente é de um
que trabalhar, 8 vezes menor
dos aéreos carro em 3 milhões
do que andar a pé
▪ Cada companhia ou organização ou órgão define seu critério de tolerabilidade de
risco
▪ O cálculo do risco comparado ao critério de tolerabilidade permite:
✓ Gerenciar o risco residual
✓ Modificar o processo para tornar o risco residual tolerável
✓ Interromper operações devido a risco muito alto
▪ É a medida do potencial dano a pessoas, patrimônio e/ ou meio ambiente expressos
em termos da frequência de ocorrência do dano e sua magnitude.
▪ Risco de acidentes com fatalidade nos transportes públicos da Europa (apenas
ilustrativo)
✓ Ônibus e Trens: 2 fatalidades por 100 milhões de pessoas por hora de viagem
✓ Avião: 16 fatalidades por 100 milhões de pessoas por hora de viagem
✓ Carro: 25 fatalidades por 100 milhões de pessoas por hora de viagem
▪ Suponha que uma determinada companhia deseja estabelecer um critério de
tolerabilidade de risco tal que a possibilidade de fatalidade de um empregado não
seja maior que a o risco dele estar em uma viagem automotiva. Calcule a ordem de
grandeza da frequência de tolerável a 1 fatalidade (em fatalidade/ano).
Dados:
Acidente de Carro: 25 fatalidades por 100 milhões de pessoas por hora de viagem
Horas Trabalhadas: 44 h semanais

Solução:
𝟐𝟓𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆𝒔 𝟒𝟒𝒉 𝟓𝟐 𝒔𝒆𝒎𝒂𝒏𝒂𝒔
𝒇𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆,𝒂𝒖𝒕𝒐 = 𝟔
× ×
𝟏𝟎𝟎 × 𝟏𝟎 𝒑𝒆𝒔𝒔𝒐𝒂𝒔 × 𝒉 𝒔𝒆𝒎𝒂𝒏𝒂 𝒂𝒏𝒐
= 𝟓, 𝟕𝟒 × 𝟏𝟎−𝟒 → 𝒇𝒇𝒂𝒕𝒂𝒍𝒊𝒅𝒂𝒅𝒆,𝒕𝒐𝒍 = 𝟏 × 𝟏𝟎−𝟒
 ▪ Proposta de Matriz de Risco com Base no exercício anterior:
Severidade a Pessoas
Danos Sem
>1 fatalidade 1 fatalidade Danos Leves
Permanentes consequências
Frequência (cenário/ano)

T = Risco
1×10^(-5) T T T ResidualT T
Tolerável
1×10^(-4) M T T T T
M = Moderado
1×10^(-3) NT M T T ou T
ALARP = As low
NT = as reasonably
1×10^(-2) NT Não NT M T T
practicable
tolerável.
1×10^(-1) NT NT NT M T
 𝐽

≅ 1 − ෑ 𝑃𝐹𝐷𝑖,𝑗
𝑗

IPLs atuam Condição Segura

Causa
Iniciadora
𝑓𝑖𝐶 ≤ 𝑓𝑖𝑡𝑜𝑙
𝑓𝑖𝐼
Consequência
IPLs falham
Indesejada
𝐽
𝐽

ෑ 𝑃𝐹𝐷𝑖,𝑗 𝑓𝑖𝐶 = 𝑓𝑖𝐼 × ෑ 𝑃𝐹𝐷𝑖,𝑗

𝑗
𝑗 𝑓𝑖𝐶 > 𝑓𝑖𝑡𝑜𝑙
Rever as IPL’s!
▪ Cenário de Lopa
▪ Evento Iniciador
▪ Condição Habilitadora
▪ IPL x Salvaguarda
▪ PFD x RRF
▪ SIL
▪ Fatores Modificadores
▪ Critério de Aceitabilidade de Risco
▪ ALARP x Risco Residual
 ▪ Um cenário envolvendo 1 fatalidade, tem frequência do evento iniciador de 1/10anos.
O processo dispõe de duas IPLs: um dispositivo mecânico de alívio (PFD =
1/100anos) e uma SIF. Determine o SIL requerido da SIF para que o cenário esteja
dentro do critério de tolerabilidade de risco. Desconsidere condições habilitadores ou
fatores modificadores.
Severidade a Pessoas 𝐽
Danos Sem
𝑓𝑖𝐶 = 𝑓𝑖𝐼 × ෑ 𝑃𝐹𝐷𝑖,𝑗 ≤ 𝑓 𝑡𝑜𝑙
>1 fatalidade 1 fatalidade Danos Leves
Permanentes consequências
Frequência (cenário/ano)

1×10^(-5) T T T T T 𝑗

1×10^(-4) M T T T T
0,1 × 0,01 × 𝑃𝐷𝐹𝑆𝐼𝐹 ≤ 1 × 10−4
1×10^(-3) NT M T T T

1×10^(-2) NT NT M T T ∴ 𝑃𝐷𝐹𝑆𝐼𝐹 ≤ 1 × 10−1 → 𝑆𝐼𝐿 1

1×10^(-1) NT NT NT M T
▪ CCPS. Layer of Protection Analysis: Simplified Process Risk Assessment, 2001.
▪ CROWL, D.; LOUVAR, J. Chemical Process Safety: Fundamentals with
Applicattions. 2. ed. 2002.