Escolar Documentos
Profissional Documentos
Cultura Documentos
Gerenciamento de Alarmes
Procedimento
Cópias dos registros das “não conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e Automação As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho
- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
Sumário
1 Escopo ..................................................................................................................................................5
2
-PÚBLICA-
Anexos
3
-PÚBLICA-
Figuras
Figura 3 - Linha do Tempo da Resposta a Anunciação do Alarme (Ref: IEC 62682) ............................9
Tabelas
4
-PÚBLICA-
1 Escopo
1.1 O objetivo desta Norma é definir a filosofia do gerenciamento de alarmes da PETROBRAS. Esta
Norma pode ser complementada com uma filosofia específica de cada segmento de negócio da
Companhia.
1.2 Esta Norma se aplica a projeto, operação e manutenção de sistemas de alarmes em Unidades
da PETROBRAS.
1.3 Esta Norma se aplica a procedimentos iniciados a partir da data de sua edição.
2 Referências Normativas
3 Termos e Definições
3.1
alarme
qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou
equipamento e que requer uma ação em um tempo restrito
3.2
alarme de desvio ("deviation alarm")
alarme gerado quando a diferença entre dois valores analógicos excede um limite (exemplo: desvio
entre instrumentos redundantes ou desvio entre a variável de processo e o “setpoint”)
3.3
alarme de discrepância ("discrepancy alarm")
alarme gerado pelo erro entre a comparação de um estado esperado da planta ou equipamento para
o seu estado real (exemplo: falha na partida do motor quando este é comandado)
5
-PÚBLICA-
3.4
alarme incômodo (“nuisance alarm”)
alarme que anuncia excessivamente, desnecessariamente, ou que não retorna para o normal, mesmo
após ação do operador
3.5
alarme intermitente (“chattering alarm” ou “fleeting alarm”)
alarme que transita entre o estado de anunciação e o estado desativado em um período curto de
tempo
3.6
alarme obsoleto (“stale alarm”)
alarmes que permanecem ativos continuamente por longos períodos de tempo (geralmente 24 horas)
3.7
alarme relacionado a SMS (“safety related alarm”)
alarme classificado como crítico em termos de segurança de processos para a proteção de pessoas
ou do meio ambiente, cuja categoria de severidade das consequências seja maior ou igual a III no
risco a pessoas e III no risco ao meio ambiente. Referência: tabelas 3 e 4 desta norma.
3.8
alerta
sinalização menos importante do que o alarme, caracterizando-se por condições operacionais que
requerem atenção, e cujas ações devem ser tomadas quando o tempo permitir
3.9
anunciação do alarme
função do sistema de alarmes para chamar a atenção do operador acerca do alarme
3.10
ativação do alarme
estado no qual a condição do alarme é verdadeira
3.11
avalanche de alarmes ("alarm flood")
condição durante a qual a taxa de alarmes é maior do que aquela que pode ser efetivamente
gerenciada (exemplo: mais de 10 alarmes no intervalo de 10 minutos)
3.12
“bad-actors”
são alarmes que, num intervalo de tempo determinado, apresentam um número de ocorrências muito
superior aos demais
3.13
banda morta do alarme ("alarm deadband")
faixa dentro da qual o alarme não tem seu estado alterado, independentemente da variação do sinal
lido (Figura 1)
6
-PÚBLICA-
Ativação Desativação
do alarme do alarme
Estado do
alarme
Valor de ajuste
do alarme
Banda
morta
PV
Tempo
3.14
classe de alarme
grupo de alarmes com requisitos comuns de gerenciamento tais como: teste, treinamento,
anunciação, auditoria etc
3.15
console de operação
conjunto de hardware, software, gabinetes e mobiliário onde se realiza a monitoração ou controle do
processo. A console pode incluir múltiplas estações de operação, sistemas de comunicação e outros
dispositivos (ex: painel de botoeiras e interfaces de câmeras de circuito interno de TV, etc) (Figura 2)
3.16
desativação do alarme (“Return To Normal” - RTN)
estado no qual a condição para anunciação do alarme deixou de existir
3.17
estação de operação
interface elementar de operação, que inclui um ou mais monitores com as respectivas interfaces dos
software de suporte operacional, incluindo dispositivos como teclado, mouse, reprodutores de áudio,
etc (Figura 2)
3.18
evento
mudança nas condições da planta, de um equipamento ou de uma variável
7
-PÚBLICA-
3.19
filosofia de alarmes
documentação que estabelece as definições básicas, os princípios e procedimentos para projetar,
implementar e manter um sistema de alarmes
3.20
gerenciamento de alarmes
o processo e as práticas para conceber, projetar, documentar, operar, monitorar e manter um sistema
de alarmes
3.21
grupo de alarmes
um conjunto de alarmes, determinado por algum critério lógico de agrupamento, como: localização
física, função, sistema etc
3.22
prioridade de alarme ("alarm priority")
importância relativa atribuída a um alarme dentro de um sistema de alarmes para indicar a urgência
da resposta
3.23
racionalização
processo de análise dos potenciais alarmes para fundamentar e documentar sua concepção e/ou
uso, a partir da filosofia de alarmes
3.24
reconhecimento ("Acknowledge - ACK")
ação que confirma ciência da anunciação do alarme
8
-PÚBLICA-
3.25
sistema de alarmes ("alarm system")
sistema de suporte ao operador para geração e tratamento de alarmes com o objetivo de possibilitar
o gerenciamento de situações anormais
3.26
supressão
qualquer mecanismo para impedir a anunciação do alarme quando a condição anormal está presente
3.27
supressão manual ("shelving")
ação iniciada pelo operador para suprimir temporariamente um alarme, com mecanismos de controle
para remoção desta supressão
3.28
tempo de resposta disponível ("allowable response time")
tempo máximo entre a anunciação do alarme e início de uma ação corretiva no processo,
independente de onde a ação vai ser realizada, para evitar as consequências da condição anormal
(Figura 3)
3.29
temporizador do alarme
período contínuo mínimo que a variável deve permanecer além de seu valor de ajuste para que o
alarme seja anunciado
NOTA Este temporizador pode ser aplicado também para remover a anunciação do alarme
9
-PÚBLICA-
3.30
tipo do alarme
atributo do alarme que possibilita distinguir a condição do alarme
3.31
valor de ajuste do alarme ("alarm setpoint")
valor limiar de uma variável de processo ou estado discreto que anuncia o alarme
4 Símbolos e Abreviaturas
NOTA Esta Norma utiliza o termo SSC para se referir de forma genérica aos sistemas de controle
e monitoração adotados no âmbito dos diferentes segmentos de negócio da companhia,
substituindo termos como SCADA, SDCD e outros sistemas similares.
5 Filosofia de Alarmes
5.1 Objetivo
5.1.2 A N-2900 é a base da filosofia de alarmes da Petrobras. Filosofias locais poderão existir
complementando esta norma. O conteúdo de uma filosofia de alarmes pode ser estruturado conforme
Anexo A.
5.1.3 As filosofias locais deverão indicar as equipes responsáveis pela condução das atividades de
gerenciamento de alarmes. O Anexo B apresenta um exemplo de matriz de responsabilidades para
atividades inicialmente identificadas.
Para atender à definição, um alarme deve ser projetado considerando-se as limitações humanas, e
deve possuir as seguintes características:
10
-PÚBLICA-
5.3.1 Todos os alarmes devem ser priorizados para que sua interface seja projetada adequadamente
levando-se em consideração as características apresentadas anteriormente.
5.3.2.1 Os impactos podem estar relacionados à perda de produção e de ativos, meio ambiente e
segurança pessoal, consideradas dentro destas categorias os alarmes definidos para atendimento à
legislação local ou a políticas internas da companhia.
5.3.3 Para alarmes cuja resposta do operador não tenha sido classificada como IPL, durante a
avaliação destes impactos, devem ser consideradas as camadas de proteção que estão disponíveis
na planta no momento da análise. Estas camadas de proteção podem ser funções instrumentadas de
segurança ou dispositivos mecânicos de proteção, como válvulas de segurança e alívio.
NOTA 1 A ausência de camadas de proteção adequadas tende a fazer com que o alarme adquira
uma prioridade elevada. A disponibilidade de um SIS bem projetado, por exemplo, tende a
reduzir o impacto associado ao meio ambiente e segurança pessoal, e a aumentar o
impacto associado a perda de produção, já que na ausência de resposta do operador ao
alarme, deve ser considerado que o SIS vai atuar. Prioridades elevadas de alarmes podem
indicar eventual necessidade de revisão nas camadas de proteção superiores. De forma
análoga, deve ser verificado o impacto em outras análises (por exemplo, HAZOP,
classificação de funções instrumentadas de segurança) caso algum alarme tenha seu status
alterado para alerta ou caso seja removido.
NOTA 2 O mesmo critério se aplica para plantas que não foram submetidas ao LOPA.
5.3.4 Alarmes cuja resposta do operador tenha sido classificada como IPL devem ser priorizados
desconsiderando a presença de outras camadas de proteção.
5.3.5.1 O critério apresentado a seguir deve ser aplicado para cada alarme. Esta análise resulta na
prioridade, que pode ser utilizada como guia para o operador na escolha de qual alarme deve ser
tratado primeiro, quando dois ou mais alarmes são anunciados simultaneamente.
11
-PÚBLICA-
5.3.5.2.1 A Tabela 1 deve ser utilizada para determinação do tempo de resposta disponível.
TRD Critério
Longo Maior que 10 minutos e menor que 1 hora
Médio Entre 3 minutos e 10 minutos
Curto Menor que 3 minutos
5.3.5.2.2 Para tempos de resposta acima de uma hora a sinalização da anormalidade deve ser
considerada como “ALERTA”.
5.3.5.2.3 Para tempos inferiores a 1 minuto, deve ser avaliado se a ação do operador pode ser
executada adequadamente. Caso esta ação não seja possível, deve ser prevista uma atuação
automática. Para tempos inferiores a 3 minutos, devem ser considerados mecanismos especiais de
anunciação de alarmes e treinamento especial da equipe de operação para responder à
anormalidade.
5.3.5.3.1 As tabelas 2 a 4 devem ser utilizadas para a priorização dos alarmes. O maior valor de
prioridade obtido deve ser adotado. A inexistência de impactos em alguma dimensão destas tabelas
não deve levar a priorização do alarme na respectiva dimensão. As categorias de severidade das
consequências estão alinhadas com a N-2782.
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos catastróficos podendo levar à perda da
V Catastrófica Crítica Crítica Crítica
instalação industrial
12
-PÚBLICA-
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos severos em áreas sensíveis ou se
V Catastrófica Crítica Crítica Crítica
estendendo para outros locais
Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Múltiplas fatalidades intramuros ou fatalidade
V Catastrófica Crítica Crítica Crítica
extramuros
Fatalidade intramuros ou lesões graves
IV Crítica Crítica Crítica Crítica
extramuros
Lesões graves intramuros ou lesões leves
III Média Alta Crítica Crítica
extramuros
5.3.5.3.2 Ampliações ou adaptações de novas instalações em plantas existentes devem passar por
uma revisão do critério de priorização de acordo com esta Norma.
5.4.1 Uma classe de alarmes é utilizada para caracterizar alarmes com requisitos comuns de gestão,
como, por exemplo, frequência definida de testes, tempo máximo para manutenção e estar sujeito à
auditoria.
5.4.2 Os requisitos específicos de uma classe de alarmes devem estar definidos na documentação
do alarme.
5.4.3 Não é obrigatório que um alarme pertença a uma classe de alarmes, contudo, um alarme pode
pertencer a uma ou mais classes.
13
-PÚBLICA-
5.4.4.1 Alarme cuja resposta do operador foi considerada camada de proteção independente (IPL)
através de um estudo de LOPA deve fazer parte de uma classe de alarmes.
5.4.4.2 Um alarme pertencente a esta classe deve atender aos requisitos exigidos pela técnica
LOPA, conforme N-2595 e N-2782, para que a resposta do operador à sua anunciação seja
considerada uma IPL. Adicionalmente os requisitos exigidos nesta norma devem ser considerados.
5.4.5.1 Alarmes relacionados a SMS devem fazer parte de uma classe de alarmes.
5.4.5.2 Alguns alarmes cuja resposta do operador é camada independente de proteção poderão
também pertencer a esta classe de alarmes.
5.4.5.3 Os alarmes de detecção de fogo e gás devem fazer parte desta classe de alarmes.
5.4.6 A priorização do alarme pertencente a uma classe deve ser realizada segundo o item 5.3.
5.5.2 Alarmes que são anunciados em consoles de plantas não completamente paradas e com
acompanhamento de operadores devem ser contabilizados nos indicadores. (Ex.: planta sem
produção mas ainda pressurizada, ou em aquecimento, em resfriamento, com circulação de produtos,
etc.).
14
-PÚBLICA-
6.1.1 Todos os alarmes devem ser racionalizados e o resultado desta atividade deve ser a
documentação dos alarmes.
15
-PÚBLICA-
6.1.3 Os alarmes discriminados nas Folhas de Dados de Processo de Instrumentos devem ser
definidos pelo responsável da área (processo, utilidades, equipamento etc.) durante o projeto básico
da planta. Alarmes que não constem na Folha de Dados de Processo (ex.: alarme de razão baixa
entre duas vazões, alarmes de falha de instrumentos) também devem ser documentados.
6.1.4 O projeto básico deve fornecer, no mínimo, as seguintes informações: a causa iniciadora, ação
operacional, tempo de resposta do operador, o impacto ou consequência da não intervenção
operacional, prioridade do alarme e estratégias para supressão, caso aplicáveis.
6.1.5 O projeto de detalhamento deve complementar a Lista de Alarmes e Pontos de Ajuste com as
informações não geradas pelo projeto básico.
Informação Descrição
16
-PÚBLICA-
6.1.6 A documentação dos alarmes deve ser consolidada e continuamente atualizada pelos
responsáveis pela operação da planta.
6.1.7 Sinais que forem repriorizados de alarmes para alertas ou eventos podem ser mantidos na
documentação para efeito de rastreabilidade. [Prática Recomendada]
6.1.8 Recomenda-se que alertas não sejam incluídos na documentação dos alarmes, assim como
TAGs associados a avisos ou mensagens ao operador que não estão relacionados a uma condição
anormal. [Prática Recomendada]
6.1.9 Minimizar o uso de 2 níveis de alarmes (ex.: alto e muito alto, baixo e muito baixo). Dois níveis
de alarmes somente devem ser aplicáveis caso as ações operacionais associadas sejam diferentes.
6.1.10 Uma demanda de intertravamento frequentemente pode ser evitada por uma ação no sentido
do restabelecimento da condição operacional normal, caracterizando, portanto a necessidade de um
alarme de “pré-trip”. Este alarme deve ser ajustado de modo que seja possível a ação do operador
para evitar a atuação do intertravamento.
6.1.11 Após uma atuação de um intertravamento, frequentemente são requeridas ações no sentido
de um restabelecimento mais rápido, mais econômico ou mais seguro da condição operacional,
caracterizando, portanto a necessidade de um alarme de “trip”.
6.1.12 Recomenda-se realizar a racionalização dos alarmes com a participação das equipes de
processo, automação, segurança e operação. Durante a análise de alguns equipamentos, como
compressores e fornos, os especialistas das respectivas áreas podem ser convidados.
[Prática Recomendada]
6.1.13 Durante a concepção dos alarmes, recomenda-se que sejam considerados o “feedback”
operacional e boas práticas adotadas na unidade. A atividade de análise de risco, tal como o HAZOP
da planta constitui também uma oportunidade para racionalização. [Prática Recomendada]
6.1.14 O processo de racionalização de alarmes deve ser executado sempre que novos alarmes
forem concebidos ou ajustes necessários em alarmes existentes forem identificados.
6.1.15 Para plantas existentes, o processo de racionalização deve revisar os alarmes existentes.
Como resultado da revisão, um alarme pode ser adicionado, removido ou ter suas características
(prioridade, ponto de ajuste, lógica de supressão etc.) alteradas.
6.1.17 A documentação dos alarmes deve ser disponibilizada para a Unidade e atualizada em função
do processo de gestão de mudanças ou de um padrão específico local.
6.1.18 Recomenda-se que a documentação dos alarmes seja única, elaborada em meio digital, e de
fácil consulta e atualização. No caso da existência de diversos documentos de alarmes, recomenda-
se que estes sejam organizados de modo a facilitar o processo de racionalização de alarmes.
[Prática Recomendada]
17
-PÚBLICA-
6.2.1.2 Como parte do sistema de alarmes, deve ser disponibilizado um sistema de coleta de dados
para tratamento estatístico dos alarmes, preferencialmente em tempo real, de modo a possibilitar a
avaliação de desempenho da planta frente a situações anormais e o gerenciamento dos alarmes ao
longo da vida útil da planta.
6.2.1.3 É recomendado que toda informação acerca dos alarmes da planta seja incorporada na base
de dados deste sistema, que pode incluir toda documentação histórica do alarme permitindo sua
atualização durante os processos de gestão de mudanças ou de padrão específico local. [Prática
Recomendada]
6.2.1.4 Devem ser previstos um mecanismo de armazenamento e uma política de retenção da base
de dados do sistema de alarmes.
18
-PÚBLICA-
EXEMPLO 1:
Partida automática de bomba reserva - quando uma bomba reserva parte automaticamente
por pressão baixa na descarga, o alarme de pressão baixa deve ser anunciado somente
após um tempo ajustável, que leva em consideração o transiente de recuperação de
pressão ocasionado pela partida da bomba. Caso a pressão não se restabeleça após este
tempo, o alarme deve ser anunciado. O estado de operação da bomba reserva deve ser
anunciado como um evento.
EXEMPLO 2:
6.2.2.3.2.1 Quando da existência de dois alarmes para uma mesma variável, em dois níveis,
recomenda-se que o segundo alarme suprima o primeiro. Assim, alarmes do tipo “muito alto” podem
suprimir alarmes do tipo “alto”, e alarmes do tipo “muito baixo” podem suprimir alarmes do tipo
“baixo”. [Prática Recomendada]
6.2.2.3.2.2 Essa supressão, quando possível, costuma ser aplicada para dois alarmes associados a
um mesmo instrumento.
6.2.2.3.2.3 O reconhecimento do alarme muito alto (HH) ou muito baixo (LL) pode implicar no
reconhecimento para o alarme alto (H) ou baixo (L), respectivamente. [Prática Recomendada]
HH
PV
Tempo
19
-PÚBLICA-
6.2.2.3.3.2 O valor de ajuste para a detecção do desvio entre os sensores deve considerar a
incerteza entre instrumentos e a necessidade de temporizadores de modo a evitar alarmes
incômodos.
Devem ser configurados alarmes para a situação de detecção de inconsistência entre o comando e
sua atuação.
EXEMPLO 1:
Falha no comando de partida ou de parada de motores deve ser considerada como alarme
de discrepância.
EXEMPLO 2:
Falha no comando de válvulas de controle ou “ON-OFF” deve ser considerada como alarme
de discrepância, assim como o fechamento ou abertura espúria da válvula.
NOTA Indicação associada a chaves de fim de curso de válvulas de controle ou “ON-OFF” não
deve ser configurada como alarme, quando a indicação estiver em conformidade com o
comando executado, devendo fazer parte da listagem de eventos da planta.
6.2.2.3.5.1 A prioridade de alarmes associados à falha do sensor ou transmissor pode ser definida
considerando-se o serviço realizado por este instrumento. Alternativamente, confirmando-se um
tempo de resposta disponível acima de uma hora, estes poderão ser considerados como alertas.
[Prática recomendada]
6.2.2.3.5.2 Recomenda-se que seja prevista interface indicando todos os instrumentos em estado de
falha, ordenados pela prioridade do alarme associado a cada instrumento. [Prática recomendada]
6.2.2.3.5.3 Falhas de UCP e comunicação entre sistemas digitais normalmente requerem tempo de
resposta elevado, podendo ser considerados como alertas. [Prática recomendada]
20
-PÚBLICA-
EXEMPLO:
Para um mesmo alerta que é gerado de forma repetitiva a uma certa periodicidade, pode-se
implementar uma retenção do alerta. A retenção pode ocorrer a partir da identificação de
um padrão de anunciação intermitente, como 10 alertas em um intervalo de 10 minutos, e
ela é desfeita quando esta intermitência deixar de existir.
6.2.2.3.5.5 Para comunicação entre equipamentos por meio de redes, em caso de anunciação do
alarme de falha de comunicação, é recomendável que nenhum alarme adicional seja gerado além da
própria falha de comunicação. [Prática recomendada]
Apenas os alarmes ou um resumo de alarmes, que demandam ação do operador da sala de controle
devem ser enviados dos equipamentos fornecidos por terceiros (ex.: compressores) para a lista de
alarmes no SSC.
6.2.2.3.7.1 Alarmes podem ser configurados de acordo com o estado do equipamento. Os seguintes
estados podem ser caracterizados para um equipamento: “em partida”, “operação normal”, "em
parada" e “parado”. Assim, é recomendável que alarmes que se aplicam somente ao equipamento em
“operação normal” sejam suprimidos quando no modo “em partida”, "em parada" ou “parado”.
[Prática recomendada]
EXEMPLO 1:
EXEMPLO 2:
EXEMPLO 3:
Alarmes de corrente elevada de motores de bombas devem ser suprimidos por um tempo
pré-determinado durante a partida destas bombas.
EXEMPLO 4:
Parada indevida de bomba deve gerar alarme associado à anormalidade que causou sua
parada. Parada da bomba comandada pelo operador não deve gerar um alarme.
21
-PÚBLICA-
6.2.2.3.8.1 Alarmes de instrumentos redundantes podem ser exibidos como um único alarme quando
ocorrer a situação anormal. [Prática recomendada]
6.2.2.3.8.2 É recomendado que a supressão de alarmes redundantes somente seja realizada caso
não existam alarmes de desvio entre os instrumentos redundantes. [Prática recomendada]
EXEMPLO:
Quando para uma mesma variável existir um instrumento associado a uma malha de
controle e 3 instrumentos associados ao SIS (por exemplo: iniciadores em votação 2oo3),
um único alarme de “pré-trip” pode ser anunciado quando o primeiro destes instrumentos
acusar a situação anormal. Existindo alarmes de desvio entre os instrumentos, a supressão
não será realizada e todos os alarmes de cada instrumento deverão ser anunciados.
6.2.2.3.9.1 Os alarmes que antecederem a um evento de “trip”, e forem relacionados ao “trip”, devem
ser suprimidos caso o “trip” venha a ocorrer.
6.2.2.3.9.2 Alarmes em cascata após alarmes que levam a um “trip”, e que possuem a mesma
resposta do operador devem ser evitados.
EXEMPLO:
Após “trip” por pressão muito alta em um compressor, evitar alarmes como de "trip atuado".
Neste caso, a informação de "trip atuado" deve ser considerado um evento.
Quando da existência de alarmes estreitamente relacionados, somente um deles deve ser anunciado.
EXEMPLO:
Suprimir o segundo alarme entre vazão baixa e pressão baixa na descarga de uma bomba
caso ambos demandem uma única ação operacional.
As bandas mortas são recomendadas para reduzir a quantidade de alarmes incômodos. Valores de
referência iniciais em função da variável de processo são apresentados no Anexo F. Estes valores
devem ser ajustados a partir da experiência operacional. Bandas mortas excessivas podem ser
causadoras de alarmes obsoletos.
6.2.2.3.12 Temporizadores
22
-PÚBLICA-
6.2.2.3.12.4 Ajustes nos valores devem ser realizados a partir da experiência operacional,
especialmente em função do tempo de resposta disponível para o operador.
6.2.2.3.13.1 Alarmes de baixa prioridade podem ser reconhecidos automaticamente pelo SSC,
quando a condição para anunciação do alarme deixar de existir. [Prática Recomendada]
6.2.2.3.14.2 O critério para supressão manual de alarmes pode ser definido por filosofia específica
para a planta. [Prática recomendada]
6.2.2.3.14.3 Nesta filosofia devem constar o prazo máximo aceitável para alarmes em supressão
manual e a definição das responsabilidades dos envolvidos.
6.2.3.1 Os alarmes de prioridade mais alta devem ser destacados em relação aos alarmes de
prioridade mais baixa, sonora e visualmente.
23
-PÚBLICA-
6.2.3.2 A critério da Unidade, os alarmes classificados como de prioridade crítica podem ser
anunciados também da mesma forma como os de prioridade alta.
6.2.3.4 A lista de alarmes deve estar separada da lista de eventos nas IHM e deve conter os alarmes
de todas as prioridades.
6.2.3.5 Alarmes relacionados a SMS e aqueles cuja resposta do operador pertençam à IPL devem
ser apresentados de forma distinta dos demais alarmes, como por exemplo, através do TAG,
descrição, símbolo, som, cor, ou até mesmo da localização física.
6.2.3.6 Os alarmes devem ser listados por estado, iniciando pelos não reconhecidos, e por ordem
cronológica. Deve existir a possibilidade de filtragem ou ordenação por prioridade, estado, grupo,
classe e tipo de alarme.
EXEMPLO:
6.2.3.7 Recomenda-se que os alertas sejam listados de forma segregada dos alarmes.
[Prática Recomendada]
6.2.3.8 Nos casos onde não seja utilizada esta segregação, quando da ordenação por prioridade, os
alertas devem ser listados após os alarmes de prioridade baixa.
6.2.3.9 A anunciação do alerta deve ter um tratamento visual e sonoro diferente do alarme.
6.2.3.10 A indicação de falha de instrumento ou equipamento deve ser configurada como alarme ou
alerta, dependendo da urgência para acionamento da equipe de manutenção.
6.2.3.12 Os alarmes também devem ser agrupados e apresentados filtrados por área da planta.
Estes grupos podem ser apresentados em estações de operação distintas dependendo de como deve
ser distribuída a responsabilidade de operação das diversas áreas da planta.
EXEMPLO 1:
EXEMPLO 2:
24
-PÚBLICA-
— Unidade de Destilação;
— Unidade de Craqueamento Catalítico Fluido;
— Utilidades;
— Transferência e Estocagem.
6.2.3.13 Para instalações de produção, agrupar alarmes também de acordo com a classificação dos
níveis de parada de emergência (ESD) das plataformas de petróleo. Estes alarmes são:
— alarmes que acusam ESD-3, fogo e gás e outros que sejam identificados como alarmes
de prioridade crítica;
— alarmes que antecedem à ocorrência do ESD-2, identificados como alarmes de
prioridade alta;
— alarmes que acusam ESD-2 e ESD-1, identificados como alarmes de prioridade média;
— demais alarmes identificados como de prioridade baixa.
6.2.3.14 As mensagens de alarmes devem ser claras, direcionando a atenção do operador para o
problema a ser tratado. Não devem ser utilizadas janelas do tipo “pop-up” para apresentação de
alarmes, tendo em vista a grande quantidade de janelas que podem inviabilizar a identificação da
anormalidade.
6.2.3.15 As mensagens devem conter, no mínimo, as seguintes informações: data, hora, TAG e
descrição, a prioridade do alarme e o estado do alarme.
6.2.3.17 Adotar padrão para cores e terminologias para os alarmes, minimizando diversidades.
Informações estáticas e sem animação devem ser configuradas com cores suaves. Indicações visuais
diferenciadas devem ser previstas conforme o estado do alarme.
6.2.3.18 Mensagens de texto de alarmes não devem ser intermitentes, porque geram dificuldade
para que estas sejam lidas com clareza.
6.2.3.19 Devem ser previstas interfaces distintas para alarmes com responsáveis diferentes.
EXEMPLO:
6.2.3.21 Os alarmes retirados do sumário de alarmes através de supressão manual também devem
ser listados em uma interface separada e serem apresentados através das mesmas funcionalidades
dos alarmes listados no sumário principal.
25
-PÚBLICA-
6.3.1 Testes no sistema de alarmes devem ser realizados durante o comissionamento dos
instrumentos no SSC. Estes testes devem envolver verificação da atuação do alarme para o
respectivo ponto de ajuste configurado e as estratégias de processamento do alarme.
6.3.3 Prever treinamento específico para todos os alarmes cuja resposta do operador pertencer a
uma IPL e alarmes relacionados a SMS.
— operadores;
— técnicos de acompanhamento operacional e manutenção.
6.4.1 A análise estatística de alarmes deve fazer parte da rotina operacional, e sua frequência de
acompanhamento deve ser pelo menos mensal conforme definido na matriz de responsabilidade da
filosofia local de alarmes.
6.4.2 Os principais indicadores a serem avaliados durante a operação do sistema de alarmes são:
— alarmes mais frequentes por período (a cada dez minutos, hora, dia, semana, mês) por
console de operação;
— tempo médio de duração de cada alarme;
— distribuição de alarmes por grupo;
— distribuição de alarmes por prioridade;
— avalanche de alarmes;
— quantidade de alarmes não reconhecidos;
— quantidade de alarmes suprimidos.
6.4.3 A partir destes dados, devem ser tomadas ações para alcançar as métricas indicadas nesta
Norma.
6.4.4 Para os alertas, recomenda-se dar especial ênfase a monitoração dos "bad actors", condição
de avalanche, tempo em condição de anunciação (duração do alerta) e tempo sem reconhecimento.
[Prática Recomendada]
6.4.5 Recomenda-se que as bases de dados dos alarmes permaneçam disponíveis para consulta por
um período mínimo de 2 anos. Dados mais antigos poderão ser mantidos em cópias de “back-up”.
[Prática Recomendada]
26
-PÚBLICA-
6.5.3 Deve ser constituído um grupo gestor para o sistema de alarmes, para garantir que as filosofias
e práticas adotadas sejam aplicadas uniformemente em todas as plantas existentes e para aquelas
que vierem a ser projetadas futuramente na Unidade.
6.5.4 Auditorias periódicas devem ser conduzidas de modo a verificar as filosofias e procedimentos
vigentes ou mesmo identificar a necessidade de revisá-las diante de “feedbacks” das áreas de
projeto, operação e manutenção.
27
-PÚBLICA-
(**) Métricas existentes na N-2900, podendo haver ajustes conforme filosofia local.
28
-PÚBLICA-
1 2 3 4 5 6 7 8 9 10 11 12 13
Desenvolvimento I A I I I R R R I I I I
da filosofia de
alarmes
Identificação dos A R R A R R
alarmes
Racionalização e I I I R A C C C R
priorização dos (*)
alarmes
Implementação de I I I I I A R I I I I I
melhorias aos
alarmes
Sugestão e revisão A A R C C C C I
para melhoria dos
alarmes
Treinamento de A C C R C C C A
operadores
Teste de alarmes A A R C C C R I
Implementação de A I I I I C R
melhorias na
instrumentação
Autorização de I I A R A C R A
melhorias no
sistema de alarmes
Gestão do log de I I I R C C A
alarmes
Desenvolvimento e I I C C C A R C I I I
implementação de
métricas de
alarmes
Verificação de I I A R R R C C I I I I
desempenho sobre
as métricas dos
alarmes
Auditoria I I I I A C R
29
-PÚBLICA-
C.2 Consequências Marginais (perda financeira entre US$ 100 000 e US$ 1 000 000)
C.3 Consequências Médias (perda financeira entre US$ 1 000 000 e US$ 10 000 000)
C.4 Consequências Críticas (perda financeira entre US$ 10 000 000 e US$ 100 000 000)
C.5 Consequências Catastróficas (perda financeira superior a US$ 100 000 000)
30
-PÚBLICA-
1 2
31
-PÚBLICA-
1 2
S
O tempo de resposta é maior do que
Tratar como um ALERTA
uma hora?
3 2
32
-PÚBLICA-
3 2
N
Documentar que o alarme
É permitido a supressão do alarme?
não permite supressão
33
-PÚBLICA-
(*) Formal significa que deve haver algum procedimento de controle e registro.
34
-PÚBLICA-
35
-PÚBLICA-
36
-PÚBLICA-
37
-PÚBLICA-
38
-PÚBLICA-
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
Todas Revisadas
REV. B
Partes Atingidas Descrição da Alteração
Todas Revisadas
IR 1/1