-PÚBLICA-

N-2900 REV. B 05 / 2021

Gerenciamento de Alarmes

Procedimento

Esta Norma substitui e cancela a sua revisão anterior.

Cabe à CONTEC - Subcomissão Autora, a orientação quanto à interpretação do
texto desta Norma. A Unidade da PETROBRAS usuária desta Norma é a
responsável pela adoção e aplicação das suas seções, subseções e
enumerações.

Requisito Técnico: Prescrição estabelecida como a mais adequada e que

deve ser utilizada estritamente em conformidade com esta Norma. Uma
CONTEC eventual resolução de não segui-la (“não conformidade” com esta Norma) deve
Comissão de Normalização ter fundamentos técnico-gerenciais e deve ser aprovada e registrada pela
Técnica Unidade da PETROBRAS usuária desta Norma. É caracterizada por verbos de
caráter impositivo.

Prática Recomendada: Prescrição que pode ser utilizada nas condições

previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de
alternativa (não escrita nesta Norma) mais adequada à aplicação específica. A
alternativa adotada deve ser aprovada e registrada pela Unidade da
PETROBRAS usuária desta Norma. É caracterizada por verbos de caráter
não impositivo. É indicada pela expressão: [Prática Recomendada].

Cópias dos registros das “não conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.

Instrumentação e Automação
Industrial
As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.

“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO

S. A. - PETROBRAS, de aplicação interna na PETROBRAS e Subsidiárias,
devendo ser usada pelos seus fornecedores de bens e serviços,
conveniados ou similares conforme as condições estabelecidas em
Licitação, Contrato, Convênio ou similar.
A utilização desta Norma por outras empresas/entidades/órgãos
governamentais e pessoas físicas é de responsabilidade exclusiva dos
próprios usuários.”

Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho
- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.

PROPRIEDADE DA PETROBRAS 38 páginas e Índice de Revisões

 -PÚBLICA-

N-2900 REV. B 05 / 2021

Sumário

1 Escopo ..................................................................................................................................................5

2 Referências Normativas .......................................................................................................................5

3 Termos e Definições .............................................................................................................................5

4 Símbolos e Abreviaturas ................................................................................................................... 10

5 Filosofia de Alarmes .......................................................................................................................... 10

5.1 Objetivo ................................................................................................................................ 10

5.2 Requisitos Básicos ............................................................................................................... 10

5.3 Priorização de Alarmes ........................................................................................................ 11

5.4 Classe de Alarmes ............................................................................................................... 13

5.5 Indicadores de Desempenho ............................................................................................... 14

6 Ciclo de Vida da Atividade de Gerenciamento de Alarmes .............................................................. 14

6.1 Identificação e Racionalização ............................................................................................. 15

6.2 Detalhamento e Implementação .......................................................................................... 18

6.2.1 Características dos Sistemas de Alarmes ................................................................... 18

6.2.2 Implementação de Estratégias de Processamento nos Sistema de Alarmes ............. 18

6.2.3 Práticas para Projeto de Interface no Sistema de Alarmes ......................................... 23

6.3 Comissionamento e Treinamento ........................................................................................ 26

6.4 Operação e Monitoração ...................................................................................................... 26

6.5 Gestão de Mudanças, Manutenção e Auditoria ................................................................... 27

2
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexos

Anexo A - Tópicos para Filosofia de Alarmes ...................................................................................... 28

Anexo B - Exemplo de matriz de responsabilidades para gerenciamento de alarmes ........................ 29

Anexo C - Exemplos de Consequências para Patrimônio e Continuidade Operacional ......................30

Anexo D - Procedimento para Racionalização de Alarmes ..................................................................31

Anexo E - Controle de Mudanças de Alarmes ..................................................................................... 34

Anexo F - Valores de Referência para Ajustes de Banda Morta e Temporização............................... 35

Anexo G - Formulário de referência para Lista de Alarmes e Pontos de Ajuste .................................. 36

3
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Figuras

Figura 1 - Banda Morta do Alarme ..........................................................................................................7

Figura 2 - Console e Estação de Operação (Ref: ISA 101.01) ...............................................................8

Figura 3 - Linha do Tempo da Resposta a Anunciação do Alarme (Ref: IEC 62682) ............................9

Figura 4 - Exemplo de Supressão de Alarmes Configurados na mesma Variável ...............................19

Tabelas

Tabela 1 - Tempos de Resposta Disponível ......................................................................................... 12

Tabela 2 - Determinação de Prioridade por Riscos ao Patrimônio/Continuidade Operacional ............ 12

Tabela 3 - Determinação de Prioridade por Riscos ao Meio Ambiente ................................................ 13

Tabela 4 - Determinação de Prioridade por Riscos a Pessoas ............................................................ 13

Tabela 5 - Resumo de Métricas Recomendadas para Desempenho de Alarmes ................................ 15

Tabela 6 - Documentação de Alarmes .................................................................................................. 16

4
 -PÚBLICA-

N-2900 REV. B 05 / 2021

1 Escopo

1.1 O objetivo desta Norma é definir a filosofia do gerenciamento de alarmes da PETROBRAS. Esta
Norma pode ser complementada com uma filosofia específica de cada segmento de negócio da
Companhia.

1.2 Esta Norma se aplica a projeto, operação e manutenção de sistemas de alarmes em Unidades
da PETROBRAS.

1.3 Esta Norma se aplica a procedimentos iniciados a partir da data de sua edição.

1.4 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas.

2 Referências Normativas

Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos.

PETROBRAS N-2595 - Critérios de Projeto, Operação e Manutenção de Sistemas

Instrumentados de Segurança em Unidades Industriais;

PETROBRAS N-2782 - Técnicas Aplicáveis à Análise de Riscos Industriais;

IEC 62682 - Management of Alarm Systems for the Process Industries;

ISA 18.2 - Management of Alarm Systems for the Process Industries;

ISA 101.01 - Human Machine Interfaces for Process Automation Systems.

3 Termos e Definições

Para os efeitos deste documento aplicam-se os seguintes termos e definições.

3.1
alarme
qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou
equipamento e que requer uma ação em um tempo restrito

NOTA O termo equipamento é aplicável também a sistemas e instrumentos

3.2
alarme de desvio ("deviation alarm")
alarme gerado quando a diferença entre dois valores analógicos excede um limite (exemplo: desvio
entre instrumentos redundantes ou desvio entre a variável de processo e o “setpoint”)

3.3
alarme de discrepância ("discrepancy alarm")
alarme gerado pelo erro entre a comparação de um estado esperado da planta ou equipamento para
o seu estado real (exemplo: falha na partida do motor quando este é comandado)

5
 -PÚBLICA-

N-2900 REV. B 05 / 2021

3.4
alarme incômodo (“nuisance alarm”)
alarme que anuncia excessivamente, desnecessariamente, ou que não retorna para o normal, mesmo
após ação do operador

3.5
alarme intermitente (“chattering alarm” ou “fleeting alarm”)
alarme que transita entre o estado de anunciação e o estado desativado em um período curto de
tempo

3.6
alarme obsoleto (“stale alarm”)
alarmes que permanecem ativos continuamente por longos períodos de tempo (geralmente 24 horas)

3.7
alarme relacionado a SMS (“safety related alarm”)
alarme classificado como crítico em termos de segurança de processos para a proteção de pessoas
ou do meio ambiente, cuja categoria de severidade das consequências seja maior ou igual a III no
risco a pessoas e III no risco ao meio ambiente. Referência: tabelas 3 e 4 desta norma.

3.8
alerta
sinalização menos importante do que o alarme, caracterizando-se por condições operacionais que
requerem atenção, e cujas ações devem ser tomadas quando o tempo permitir

3.9
anunciação do alarme
função do sistema de alarmes para chamar a atenção do operador acerca do alarme

3.10
ativação do alarme
estado no qual a condição do alarme é verdadeira

3.11
avalanche de alarmes ("alarm flood")
condição durante a qual a taxa de alarmes é maior do que aquela que pode ser efetivamente
gerenciada (exemplo: mais de 10 alarmes no intervalo de 10 minutos)

3.12
“bad-actors”
são alarmes que, num intervalo de tempo determinado, apresentam um número de ocorrências muito
superior aos demais

3.13
banda morta do alarme ("alarm deadband")
faixa dentro da qual o alarme não tem seu estado alterado, independentemente da variação do sinal
lido (Figura 1)

6
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Ativação Desativação
do alarme do alarme

Estado do
alarme

Valor de ajuste
do alarme

Banda
morta

PV

Tempo

Figura 1 - Banda Morta do Alarme

3.14
classe de alarme
grupo de alarmes com requisitos comuns de gerenciamento tais como: teste, treinamento,
anunciação, auditoria etc

3.15
console de operação
conjunto de hardware, software, gabinetes e mobiliário onde se realiza a monitoração ou controle do
processo. A console pode incluir múltiplas estações de operação, sistemas de comunicação e outros
dispositivos (ex: painel de botoeiras e interfaces de câmeras de circuito interno de TV, etc) (Figura 2)

3.16
desativação do alarme (“Return To Normal” - RTN)
estado no qual a condição para anunciação do alarme deixou de existir

3.17
estação de operação
interface elementar de operação, que inclui um ou mais monitores com as respectivas interfaces dos
software de suporte operacional, incluindo dispositivos como teclado, mouse, reprodutores de áudio,
etc (Figura 2)

3.18
evento
mudança nas condições da planta, de um equipamento ou de uma variável

7
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Figura 2 – Console e Estação de Operação (Ref: ISA 101.01)

3.19
filosofia de alarmes
documentação que estabelece as definições básicas, os princípios e procedimentos para projetar,
implementar e manter um sistema de alarmes

3.20
gerenciamento de alarmes
o processo e as práticas para conceber, projetar, documentar, operar, monitorar e manter um sistema
de alarmes

3.21
grupo de alarmes
um conjunto de alarmes, determinado por algum critério lógico de agrupamento, como: localização
física, função, sistema etc

3.22
prioridade de alarme ("alarm priority")
importância relativa atribuída a um alarme dentro de um sistema de alarmes para indicar a urgência
da resposta

3.23
racionalização
processo de análise dos potenciais alarmes para fundamentar e documentar sua concepção e/ou
uso, a partir da filosofia de alarmes

3.24
reconhecimento ("Acknowledge - ACK")
ação que confirma ciência da anunciação do alarme

NOTA Não significa resolução da causa do alarme

8
 -PÚBLICA-

N-2900 REV. B 05 / 2021

3.25
sistema de alarmes ("alarm system")
sistema de suporte ao operador para geração e tratamento de alarmes com o objetivo de possibilitar
o gerenciamento de situações anormais

NOTA O operador está inserido no sistema de alarmes.

3.26
supressão
qualquer mecanismo para impedir a anunciação do alarme quando a condição anormal está presente

3.27
supressão manual ("shelving")
ação iniciada pelo operador para suprimir temporariamente um alarme, com mecanismos de controle
para remoção desta supressão

3.28
tempo de resposta disponível ("allowable response time")
tempo máximo entre a anunciação do alarme e início de uma ação corretiva no processo,
independente de onde a ação vai ser realizada, para evitar as consequências da condição anormal
(Figura 3)

Figura 3 – Linha do Tempo da Resposta a Anunciação do Alarme (Ref: IEC 62682)

3.29
temporizador do alarme
período contínuo mínimo que a variável deve permanecer além de seu valor de ajuste para que o
alarme seja anunciado

NOTA Este temporizador pode ser aplicado também para remover a anunciação do alarme

9
 -PÚBLICA-

N-2900 REV. B 05 / 2021

3.30
tipo do alarme
atributo do alarme que possibilita distinguir a condição do alarme

3.31
valor de ajuste do alarme ("alarm setpoint")
valor limiar de uma variável de processo ou estado discreto que anuncia o alarme

4 Símbolos e Abreviaturas

ESD - “Emergency Shut Down”, ou Parada de Emergência;

HAZOP - “Hazard and Operability Study” ou Estudo de Perigos e Operabilidade;
IHM - Interface Homem Máquina;
IPL - “Independent Protection Layer” ou Camada de Proteção Independente;
LOPA - “Layers of Protection Analysis” ou Análise de Camadas de Proteção;
PV - “Process Variable” ou Variável de Processo;
SCADA - “Supervisory Control and Data Acquisition System”;
SDCD - Sistema Digital de Controle Distribuído;
SIS - Sistema Instrumentado de Segurança;
SSC - Sistema de Supervisão e Controle;
TRD - Tempo de Resposta Disponível;
UCP - Unidade Central de Processamento.

NOTA Esta Norma utiliza o termo SSC para se referir de forma genérica aos sistemas de controle
e monitoração adotados no âmbito dos diferentes segmentos de negócio da companhia,
substituindo termos como SCADA, SDCD e outros sistemas similares.

5 Filosofia de Alarmes

5.1 Objetivo

5.1.1 A definição de uma filosofia de alarmes tem como objetivos:

— desdobrar a diretriz corporativa de SMS sobre a importância do gerenciamento de

alarmes;
— garantir consistência e uniformidade do gerenciamento de alarmes para todas as plantas
da companhia;
— garantir alinhamento com os objetivos e metas gerenciais em segurança das plantas;
— fornecer insumos para a especificação, implementação, operação, monitoração e
manutenção de um sistema de alarmes robusto e eficiente;

5.1.2 A N-2900 é a base da filosofia de alarmes da Petrobras. Filosofias locais poderão existir
complementando esta norma. O conteúdo de uma filosofia de alarmes pode ser estruturado conforme
Anexo A.

5.1.3 As filosofias locais deverão indicar as equipes responsáveis pela condução das atividades de
gerenciamento de alarmes. O Anexo B apresenta um exemplo de matriz de responsabilidades para
atividades inicialmente identificadas.

5.2 Requisitos Básicos

Para atender à definição, um alarme deve ser projetado considerando-se as limitações humanas, e
deve possuir as seguintes características:

10
 -PÚBLICA-

N-2900 REV. B 05 / 2021

— relevância: deve ter importância operacional definida; se nenhuma resposta está

associada ao sinal gerador do alarme, este sinal não deve ser definido como um alarme;
— singularidade: uma mesma situação anormal não deve ser representada por dois
diferentes alarmes, evitando duplicidade de procedimentos de resposta que podem
confundir e sobrecarregar o operador;
— tempo de resposta adequado: nenhum alarme deve ser apresentado com muita
antecedência à sua resposta requerida ou muito tarde para que uma medida corretiva
seja executada;
— grau de importância: todo alarme deve possuir uma prioridade, facilitando assim a
tomada de decisões do operador;
— clareza: a mensagem do alarme deve ser de fácil compreensão e chamar atenção para
a(s) informação(s) mais importante(s) que se deseja transmitir.

5.3 Priorização de Alarmes

5.3.1 Todos os alarmes devem ser priorizados para que sua interface seja projetada adequadamente
levando-se em consideração as características apresentadas anteriormente.

5.3.2 Os alarmes devem ser priorizados em função do:

- tempo disponível para resposta do operador;

- impactos causados na planta quando da ausência desta resposta.

5.3.2.1 Os impactos podem estar relacionados à perda de produção e de ativos, meio ambiente e
segurança pessoal, consideradas dentro destas categorias os alarmes definidos para atendimento à
legislação local ou a políticas internas da companhia.

5.3.3 Para alarmes cuja resposta do operador não tenha sido classificada como IPL, durante a
avaliação destes impactos, devem ser consideradas as camadas de proteção que estão disponíveis
na planta no momento da análise. Estas camadas de proteção podem ser funções instrumentadas de
segurança ou dispositivos mecânicos de proteção, como válvulas de segurança e alívio.

NOTA 1 A ausência de camadas de proteção adequadas tende a fazer com que o alarme adquira
uma prioridade elevada. A disponibilidade de um SIS bem projetado, por exemplo, tende a
reduzir o impacto associado ao meio ambiente e segurança pessoal, e a aumentar o
impacto associado a perda de produção, já que na ausência de resposta do operador ao
alarme, deve ser considerado que o SIS vai atuar. Prioridades elevadas de alarmes podem
indicar eventual necessidade de revisão nas camadas de proteção superiores. De forma
análoga, deve ser verificado o impacto em outras análises (por exemplo, HAZOP,
classificação de funções instrumentadas de segurança) caso algum alarme tenha seu status
alterado para alerta ou caso seja removido.
NOTA 2 O mesmo critério se aplica para plantas que não foram submetidas ao LOPA.

5.3.4 Alarmes cuja resposta do operador tenha sido classificada como IPL devem ser priorizados
desconsiderando a presença de outras camadas de proteção.

5.3.5 Critério para Priorização de Alarmes

5.3.5.1 O critério apresentado a seguir deve ser aplicado para cada alarme. Esta análise resulta na
prioridade, que pode ser utilizada como guia para o operador na escolha de qual alarme deve ser
tratado primeiro, quando dois ou mais alarmes são anunciados simultaneamente.

11
 -PÚBLICA-

N-2900 REV. B 05 / 2021

5.3.5.2 Determinação do TRD

5.3.5.2.1 A Tabela 1 deve ser utilizada para determinação do tempo de resposta disponível.

Tabela 1 - Tempos de Resposta Disponível

TRD Critério
Longo Maior que 10 minutos e menor que 1 hora
Médio Entre 3 minutos e 10 minutos
Curto Menor que 3 minutos

5.3.5.2.2 Para tempos de resposta acima de uma hora a sinalização da anormalidade deve ser
considerada como “ALERTA”.

5.3.5.2.3 Para tempos inferiores a 1 minuto, deve ser avaliado se a ação do operador pode ser
executada adequadamente. Caso esta ação não seja possível, deve ser prevista uma atuação
automática. Para tempos inferiores a 3 minutos, devem ser considerados mecanismos especiais de
anunciação de alarmes e treinamento especial da equipe de operação para responder à
anormalidade.

5.3.5.3 Determinação da Prioridade

5.3.5.3.1 As tabelas 2 a 4 devem ser utilizadas para a priorização dos alarmes. O maior valor de
prioridade obtido deve ser adotado. A inexistência de impactos em alguma dimensão destas tabelas
não deve levar a priorização do alarme na respectiva dimensão. As categorias de severidade das
consequências estão alinhadas com a N-2782.

Tabela 2 - Determinação de Prioridade por Riscos ao Patrimônio/Continuidade

Operacional

Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos catastróficos podendo levar à perda da
V Catastrófica Crítica Crítica Crítica
instalação industrial

IV Crítica Danos severos a sistemas (reparação lenta) Alta Alta Crítica

III Média Danos moderados a sistemas Média Média Alta

II Marginal Danos leves a sistemas / equipamentos Baixa Baixa Média

Danos leves a equipamentos sem

I Desprezível Baixa Baixa Baixa
comprometimento da continuidade operacional
NOTA Ver exemplos - Anexo C

12
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Tabela 3 - Determinação de Prioridade por Riscos ao Meio Ambiente

Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Danos severos em áreas sensíveis ou se
V Catastrófica Crítica Crítica Crítica
estendendo para outros locais

IV Crítica Danos severos com efeito localizado Alta Crítica Crítica

III Média Danos moderados Alta Alta Crítica

II Marginal Danos leves Média Alta Alta

I Desprezível Danos mínimos Baixa Baixa Média

Tabela 4 - Determinação de Prioridade por Riscos a Pessoas

Categorias de TRD
severidade das Descrição/características
Longo Médio Curto
consequências
Múltiplas fatalidades intramuros ou fatalidade
V Catastrófica Crítica Crítica Crítica
extramuros
Fatalidade intramuros ou lesões graves
IV Crítica Crítica Crítica Crítica
extramuros
Lesões graves intramuros ou lesões leves
III Média Alta Crítica Crítica
extramuros

II Marginal Lesões leves Média Alta Alta

I Desprezível No máximo casos de primeiros socorros Baixa Média Média

5.3.5.3.2 Ampliações ou adaptações de novas instalações em plantas existentes devem passar por
uma revisão do critério de priorização de acordo com esta Norma.

5.4 Classe de Alarmes

5.4.1 Uma classe de alarmes é utilizada para caracterizar alarmes com requisitos comuns de gestão,
como, por exemplo, frequência definida de testes, tempo máximo para manutenção e estar sujeito à
auditoria.

5.4.2 Os requisitos específicos de uma classe de alarmes devem estar definidos na documentação
do alarme.

5.4.3 Não é obrigatório que um alarme pertença a uma classe de alarmes, contudo, um alarme pode
pertencer a uma ou mais classes.

5.4.4 Alarme cuja resposta do operador é camada de proteção independente (IPL).

13
 -PÚBLICA-

N-2900 REV. B 05 / 2021

5.4.4.1 Alarme cuja resposta do operador foi considerada camada de proteção independente (IPL)
através de um estudo de LOPA deve fazer parte de uma classe de alarmes.

5.4.4.2 Um alarme pertencente a esta classe deve atender aos requisitos exigidos pela técnica
LOPA, conforme N-2595 e N-2782, para que a resposta do operador à sua anunciação seja
considerada uma IPL. Adicionalmente os requisitos exigidos nesta norma devem ser considerados.

5.4.5 Alarmes relacionados a SMS

5.4.5.1 Alarmes relacionados a SMS devem fazer parte de uma classe de alarmes.

5.4.5.2 Alguns alarmes cuja resposta do operador é camada independente de proteção poderão
também pertencer a esta classe de alarmes.

5.4.5.3 Os alarmes de detecção de fogo e gás devem fazer parte desta classe de alarmes.

5.4.5.4 O alarme relacionado a esta classe deve:

- possuir os mesmos requisitos dos alarmes cuja resposta do operador é camada

independente de proteção;
- ser monitorado quanto a sua frequência de anunciação;
- ser monitorado em relação a problemas na sua anunciação devido a falha no sistema de
alarmes, inclusive por ação operacional como supressão manual;
- possuir prazo estabelecido para retorno a normalidade após falha;
- possuir procedimento para operação da planta durante situação de falha;
- possuir procedimento baseado em análise de risco para permitir a supressão manual do
alarme.

5.4.6 A priorização do alarme pertencente a uma classe deve ser realizada segundo o item 5.3.

5.5 Indicadores de Desempenho

5.5.1 Os valores recomendados para os indicadores de desempenho são apresentados na Tabela 5.

[Prática Recomendada]

5.5.2 Alarmes que são anunciados em consoles de plantas não completamente paradas e com
acompanhamento de operadores devem ser contabilizados nos indicadores. (Ex.: planta sem
produção mas ainda pressurizada, ou em aquecimento, em resfriamento, com circulação de produtos,
etc.).

6 Ciclo de Vida da Atividade de Gerenciamento de Alarmes

A atividade de “Gerenciamento de Alarmes” é um processo que pode ser observado na forma de um

ciclo, conforme apresentado pela IEC 62682. A atividade de gerenciamento de alarmes deve envolver
os projetos básicos e detalhamento da planta, a etapa de configuração e teste de sistemas digitais e
a fase de operação e manutenção da planta.

14
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Tabela 5 - Resumo de Métricas Recomendadas para Desempenho de Alarmes

Métricas de desempenho de alarmes

baseadas em um período de pelo menos 30 dias
Métrica Meta

Alarmes anunciados por console de operação Aceitável Máximo gerenciável

Alarmes anunciados por dia ~ 144 ~ 288

Alarmes anunciados por hora ~ 6 (média) ~ 12 (média)

Alarmes anunciados por período de 10 minutos ~ 1 (média) ~ 2 (média)

Percentual de horas com incidência superior

~ < 1%
a 30 alarmes
Percentual de períodos de 10 minutos com
~ < 1%
incidência superior a 10 alarmes
Número máximo de alarmes em um período de
≤ 10
10 minutos
Percentual de tempo que o sistema de alarmes
~ < 1%
permanece em condição de avalanche
Contribuição percentual dos 10 alarmes mais ~ < 1 % até o máximo de 5 %, com planos de
frequentes em relação ao total de alarmes ação para correção das deficiências
Zero. Deve ser implantado plano de ação para
Quantidade de alarmes intermitentes
corrigir qualquer ocorrência
Menos de 5 por dia, com plano
Quantidade de alarmes obsoletos
de ação para correção
Distribuição de prioridade dos alarmes ~80 % Baixa, ~15 % Média, ~5 % Alta,
anunciados ~1 % Crítica
Nenhum alarme deve ser suprimido sem
Supressão não autorizada de alarmes
mecanismos de autorização e controle
Nenhum atributo de alarme deve ser modificado
Mudança não autorizada de atributos de alarmes sem mecanismos de autorização ou gestão de
mudanças
NOTA 1 Cada Unidade deve possuir um procedimento de controle de alarmes suprimidos. O
controle deve incluir informações quanto à justificativa, prazo de supressão, níveis
hierárquicos de autorização e medidas de mitigação.
NOTA 2 Embora a distribuição de prioridades dos alarmes configurados possa ser diferente dos
alarmes anunciados, deve-se buscar a mesma distribuição estatística na racionalização
dos alarmes.

6.1 Identificação e Racionalização

6.1.1 Todos os alarmes devem ser racionalizados e o resultado desta atividade deve ser a
documentação dos alarmes.

6.1.2 A Lista de Alarmes e Pontos de Ajuste deverá conter as informações da Tabela 6. Um

formulário de referência para este documento é apresentado no Anexo G.

15
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.1.3 Os alarmes discriminados nas Folhas de Dados de Processo de Instrumentos devem ser
definidos pelo responsável da área (processo, utilidades, equipamento etc.) durante o projeto básico
da planta. Alarmes que não constem na Folha de Dados de Processo (ex.: alarme de razão baixa
entre duas vazões, alarmes de falha de instrumentos) também devem ser documentados.

6.1.4 O projeto básico deve fornecer, no mínimo, as seguintes informações: a causa iniciadora, ação
operacional, tempo de resposta do operador, o impacto ou consequência da não intervenção
operacional, prioridade do alarme e estratégias para supressão, caso aplicáveis.

6.1.5 O projeto de detalhamento deve complementar a Lista de Alarmes e Pontos de Ajuste com as
informações não geradas pelo projeto básico.

Tabela 6 - Documentação de Alarmes

Informação Descrição

TAG Identificação do alarme

Mensagem a ser configurada na IHM do operador com a

Mensagem descrição do alarme citando, no mínimo, a situação
anormal e o equipamento ou sistema impactado

Causa(s) iniciadora(s) Fator(es) que desencadeia(m) a situação anormal

Procedimento operacional claro e objetivo decorrente da

Ação
identificação da situação anormal
Tempo disponível entre a anunciação do alarme e o
Tempo de resposta disponível instante em que o operador deve iniciar a ação corretiva,
de acordo com o campo “TRD” da Tabela 1
Consequência sobre a planta em caso da ação não ser
Impacto
executada

Importância relativa atribuída a um alarme dentro de um

Prioridade do alarme
Classe do Alarme
sistema de alarmes para indicar a urgência da resposta
Grupo de alarmes com requisitos comuns de
gerenciamento tais como: teste, treinamento, anunciação,
auditoria etc., caso aplicável

Estratégia para supressão Condição na qual o alarme pode ser suprimido

Valor limite, ou estado discreto de uma variável do

Valor de ajuste
processo que dispara o alarme

Temporizador Temporizador do alarme, caso aplicável

Banda morta Banda morta do alarme, caso aplicável

Notas Notas aplicáveis

16
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.1.6 A documentação dos alarmes deve ser consolidada e continuamente atualizada pelos
responsáveis pela operação da planta.

6.1.7 Sinais que forem repriorizados de alarmes para alertas ou eventos podem ser mantidos na
documentação para efeito de rastreabilidade. [Prática Recomendada]

6.1.8 Recomenda-se que alertas não sejam incluídos na documentação dos alarmes, assim como
TAGs associados a avisos ou mensagens ao operador que não estão relacionados a uma condição
anormal. [Prática Recomendada]

6.1.9 Minimizar o uso de 2 níveis de alarmes (ex.: alto e muito alto, baixo e muito baixo). Dois níveis
de alarmes somente devem ser aplicáveis caso as ações operacionais associadas sejam diferentes.

6.1.10 Uma demanda de intertravamento frequentemente pode ser evitada por uma ação no sentido
do restabelecimento da condição operacional normal, caracterizando, portanto a necessidade de um
alarme de “pré-trip”. Este alarme deve ser ajustado de modo que seja possível a ação do operador
para evitar a atuação do intertravamento.

6.1.11 Após uma atuação de um intertravamento, frequentemente são requeridas ações no sentido
de um restabelecimento mais rápido, mais econômico ou mais seguro da condição operacional,
caracterizando, portanto a necessidade de um alarme de “trip”.

6.1.12 Recomenda-se realizar a racionalização dos alarmes com a participação das equipes de
processo, automação, segurança e operação. Durante a análise de alguns equipamentos, como
compressores e fornos, os especialistas das respectivas áreas podem ser convidados.
[Prática Recomendada]

6.1.13 Durante a concepção dos alarmes, recomenda-se que sejam considerados o “feedback”
operacional e boas práticas adotadas na unidade. A atividade de análise de risco, tal como o HAZOP
da planta constitui também uma oportunidade para racionalização. [Prática Recomendada]

6.1.14 O processo de racionalização de alarmes deve ser executado sempre que novos alarmes
forem concebidos ou ajustes necessários em alarmes existentes forem identificados.

6.1.15 Para plantas existentes, o processo de racionalização deve revisar os alarmes existentes.
Como resultado da revisão, um alarme pode ser adicionado, removido ou ter suas características
(prioridade, ponto de ajuste, lógica de supressão etc.) alteradas.

6.1.16 O procedimento de racionalização é apresentado no Anexo D.

6.1.17 A documentação dos alarmes deve ser disponibilizada para a Unidade e atualizada em função
do processo de gestão de mudanças ou de um padrão específico local.

6.1.18 Recomenda-se que a documentação dos alarmes seja única, elaborada em meio digital, e de
fácil consulta e atualização. No caso da existência de diversos documentos de alarmes, recomenda-
se que estes sejam organizados de modo a facilitar o processo de racionalização de alarmes.
[Prática Recomendada]

17
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2 Detalhamento e Implementação

6.2.1 Características dos Sistemas de Alarmes

6.2.1.1 Os sistemas de alarmes das plantas devem incorporar os seguintes requisitos:

— capacidade de segregar alarmes, alertas e eventos;

— capacidade de segregar alarmes por prioridade;
— capacidade de identificar alarmes por diferentes meios (cor, símbolos ou sons);
— filtros para apresentação do sumário de alarmes por grupos e classes;
— funcionalidades para supressão manual de alarmes;
— capacidade de supressão automática de alarmes;
— capacidade de configurar banda morta e temporizadores;
— capacidade de encadear alarmes com mensagens de orientação ao operador e ações
em batelada;
— capacidade de monitoração e avaliação de desempenho dos alarmes;
— facilidades para geração de relatórios.

6.2.1.2 Como parte do sistema de alarmes, deve ser disponibilizado um sistema de coleta de dados
para tratamento estatístico dos alarmes, preferencialmente em tempo real, de modo a possibilitar a
avaliação de desempenho da planta frente a situações anormais e o gerenciamento dos alarmes ao
longo da vida útil da planta.

6.2.1.3 É recomendado que toda informação acerca dos alarmes da planta seja incorporada na base
de dados deste sistema, que pode incluir toda documentação histórica do alarme permitindo sua
atualização durante os processos de gestão de mudanças ou de padrão específico local. [Prática
Recomendada]

6.2.1.4 Devem ser previstos um mecanismo de armazenamento e uma política de retenção da base
de dados do sistema de alarmes.

6.2.2 Implementação de Estratégias de Processamento nos Sistema de Alarmes

6.2.2.1 Estratégias para processamento de alarmes devem ser implementadas em nível de

configuração no SSC para supressão de alarmes em tempo real, viabilizando a disponibilização
racional de informações para o operador, minimizando a quantidade de alarmes e aumentando a
confiabilidade da planta.

6.2.2.2 As estratégias de processamento devem ser implementadas a partir do conhecimento da

planta e do equipamento de modo a levá-las sempre para uma situação de melhor confiabilidade
operacional.

6.2.2.3 Estratégias de Processamento

6.2.2.3.1 Alarmes Associados a Controles Automáticos do Tipo “ON-OFF”

Ações associadas a controles automáticos do tipo liga-desliga equipamento ou abre-fecha válvula

“ON-OFF” devem operar segundo a seguinte estratégia: quando o equipamento for comandado e
este responder corretamente ao comando, não deve ser gerado um alarme. Esta ação deve ser
caracterizada como um evento. O alarme só deve ser gerado caso o resultado da ação seja diferente
do esperado.

18
 -PÚBLICA-

N-2900 REV. B 05 / 2021

EXEMPLO 1:

Partida automática de bomba reserva - quando uma bomba reserva parte automaticamente
por pressão baixa na descarga, o alarme de pressão baixa deve ser anunciado somente
após um tempo ajustável, que leva em consideração o transiente de recuperação de
pressão ocasionado pela partida da bomba. Caso a pressão não se restabeleça após este
tempo, o alarme deve ser anunciado. O estado de operação da bomba reserva deve ser
anunciado como um evento.

EXEMPLO 2:

Esgotamento automático de líquido de vasos - quando um controlador comanda a abertura

de uma válvula a partir do nível alto em um vaso, nem o comando nem a abertura da
válvula em si devem gerar alarmes; o alarme deve ser anunciado caso a válvula não venha
a ser aberta após um tempo esperado, ou o nível atinja um valor alto acima do valor
ajustado para abertura automática da válvula.

6.2.2.3.2 Alarmes Configurados na mesma Variável

6.2.2.3.2.1 Quando da existência de dois alarmes para uma mesma variável, em dois níveis,
recomenda-se que o segundo alarme suprima o primeiro. Assim, alarmes do tipo “muito alto” podem
suprimir alarmes do tipo “alto”, e alarmes do tipo “muito baixo” podem suprimir alarmes do tipo
“baixo”. [Prática Recomendada]

6.2.2.3.2.2 Essa supressão, quando possível, costuma ser aplicada para dois alarmes associados a
um mesmo instrumento.

6.2.2.3.2.3 O reconhecimento do alarme muito alto (HH) ou muito baixo (LL) pode implicar no
reconhecimento para o alarme alto (H) ou baixo (L), respectivamente. [Prática Recomendada]

HH

PV

Tempo

Figura 4 - Exemplo de Supressão de Alarmes Configurados na mesma Variável

19
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2.2.3.2.4 Na Figura 4, é mostrada a evolução da variável de processo (PV). Na medida em que o

tempo progride, o valor da PV passa de normal para alto (H), para muito alto (HH), e retorna para alto
e para normal:

— quando o valor atingir “nível alto”, o alarme H deve ser anunciado;

— quando atingir “nível muito alto”, o alarme HH deve ser anunciado, e o H deve ser
suprimido;
— quando a condição para anunciação do alarme HH deixa de existir, o alarme H somente
deve voltar a ser anunciado caso requeira uma ação operacional;
— quando o valor retorna ao normal, o alarme H deve deixar de ser anunciado.

6.2.2.3.3 Alarmes de Desvio

6.2.2.3.3.1 Quando em um ponto de medida houver mais de um sensor, recomenda-se a

configuração da detecção de divergência entre estas medidas. [Prática Recomendada]

6.2.2.3.3.2 O valor de ajuste para a detecção do desvio entre os sensores deve considerar a
incerteza entre instrumentos e a necessidade de temporizadores de modo a evitar alarmes
incômodos.

6.2.2.3.4 Alarmes de Discrepância

Devem ser configurados alarmes para a situação de detecção de inconsistência entre o comando e
sua atuação.

EXEMPLO 1:

Falha no comando de partida ou de parada de motores deve ser considerada como alarme
de discrepância.

EXEMPLO 2:

Falha no comando de válvulas de controle ou “ON-OFF” deve ser considerada como alarme
de discrepância, assim como o fechamento ou abertura espúria da válvula.

NOTA Indicação associada a chaves de fim de curso de válvulas de controle ou “ON-OFF” não
deve ser configurada como alarme, quando a indicação estiver em conformidade com o
comando executado, devendo fazer parte da listagem de eventos da planta.

6.2.2.3.5 Alarmes de Falha do Instrumento ou de Sistema

6.2.2.3.5.1 A prioridade de alarmes associados à falha do sensor ou transmissor pode ser definida
considerando-se o serviço realizado por este instrumento. Alternativamente, confirmando-se um
tempo de resposta disponível acima de uma hora, estes poderão ser considerados como alertas.
[Prática recomendada]

6.2.2.3.5.2 Recomenda-se que seja prevista interface indicando todos os instrumentos em estado de
falha, ordenados pela prioridade do alarme associado a cada instrumento. [Prática recomendada]

6.2.2.3.5.3 Falhas de UCP e comunicação entre sistemas digitais normalmente requerem tempo de
resposta elevado, podendo ser considerados como alertas. [Prática recomendada]

20
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2.2.3.5.4 Recomenda-se aplicar estratégias de processamento para redução de alertas incômodos

e intermitentes gerados por falhas em sistemas. [Prática Recomendada]

EXEMPLO:

Para um mesmo alerta que é gerado de forma repetitiva a uma certa periodicidade, pode-se
implementar uma retenção do alerta. A retenção pode ocorrer a partir da identificação de
um padrão de anunciação intermitente, como 10 alertas em um intervalo de 10 minutos, e
ela é desfeita quando esta intermitência deixar de existir.

6.2.2.3.5.5 Para comunicação entre equipamentos por meio de redes, em caso de anunciação do
alarme de falha de comunicação, é recomendável que nenhum alarme adicional seja gerado além da
própria falha de comunicação. [Prática recomendada]

6.2.2.3.5.6 É desejável que após a normalização da comunicação, os alarmes, não relacionados à

própria falha de comunicação, que previamente estavam anunciados e que continuarem neste estado
não requeiram novo reconhecimento. [Prática recomendada]

6.2.2.3.6 Alarmes de “Pacotes”

Apenas os alarmes ou um resumo de alarmes, que demandam ação do operador da sala de controle
devem ser enviados dos equipamentos fornecidos por terceiros (ex.: compressores) para a lista de
alarmes no SSC.

6.2.2.3.7 Alarmes e Estados de Equipamentos

6.2.2.3.7.1 Alarmes podem ser configurados de acordo com o estado do equipamento. Os seguintes
estados podem ser caracterizados para um equipamento: “em partida”, “operação normal”, "em
parada" e “parado”. Assim, é recomendável que alarmes que se aplicam somente ao equipamento em
“operação normal” sejam suprimidos quando no modo “em partida”, "em parada" ou “parado”.
[Prática recomendada]

6.2.2.3.7.2 A detecção da condição de operação normal do equipamento pode ser automática, em

função de uma ou mais variáveis operacionais, ou informada pelo operador.

EXEMPLO 1:

Forno parado não requer alarme de ausência de carga.

EXEMPLO 2:

Falta de chama em pilotos e queimadores de fornos e caldeiras devem ser considerados

alarmes somente a partir do momento em que houver demanda por existência de chama.

EXEMPLO 3:

Alarmes de corrente elevada de motores de bombas devem ser suprimidos por um tempo
pré-determinado durante a partida destas bombas.

EXEMPLO 4:

Parada indevida de bomba deve gerar alarme associado à anormalidade que causou sua
parada. Parada da bomba comandada pelo operador não deve gerar um alarme.

21
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2.2.3.8 Alarmes Associados a Instrumentos Redundantes

6.2.2.3.8.1 Alarmes de instrumentos redundantes podem ser exibidos como um único alarme quando
ocorrer a situação anormal. [Prática recomendada]

6.2.2.3.8.2 É recomendado que a supressão de alarmes redundantes somente seja realizada caso
não existam alarmes de desvio entre os instrumentos redundantes. [Prática recomendada]

EXEMPLO:

Quando para uma mesma variável existir um instrumento associado a uma malha de
controle e 3 instrumentos associados ao SIS (por exemplo: iniciadores em votação 2oo3),
um único alarme de “pré-trip” pode ser anunciado quando o primeiro destes instrumentos
acusar a situação anormal. Existindo alarmes de desvio entre os instrumentos, a supressão
não será realizada e todos os alarmes de cada instrumento deverão ser anunciados.

6.2.2.3.9 Alarmes e SIS

6.2.2.3.9.1 Os alarmes que antecederem a um evento de “trip”, e forem relacionados ao “trip”, devem
ser suprimidos caso o “trip” venha a ocorrer.

6.2.2.3.9.2 Alarmes em cascata após alarmes que levam a um “trip”, e que possuem a mesma
resposta do operador devem ser evitados.

EXEMPLO:

Após “trip” por pressão muito alta em um compressor, evitar alarmes como de "trip atuado".
Neste caso, a informação de "trip atuado" deve ser considerado um evento.

6.2.2.3.10 Alarmes relacionados a mesma causa

Quando da existência de alarmes estreitamente relacionados, somente um deles deve ser anunciado.

EXEMPLO:

Suprimir o segundo alarme entre vazão baixa e pressão baixa na descarga de uma bomba
caso ambos demandem uma única ação operacional.

6.2.2.3.11 Banda Morta

As bandas mortas são recomendadas para reduzir a quantidade de alarmes incômodos. Valores de
referência iniciais em função da variável de processo são apresentados no Anexo F. Estes valores
devem ser ajustados a partir da experiência operacional. Bandas mortas excessivas podem ser
causadoras de alarmes obsoletos.

6.2.2.3.12 Temporizadores

6.2.2.3.12.1 Os temporizadores podem ser previstos com 2 parâmetros: um para anunciação

(“on-delay”) e outro para remover a anunciação (“off-delay”).

22
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2.2.3.12.2 Este mecanismo de temporização deve ser atendido de forma diferenciada do

mecanismo que executa a filtragem de sinais de ruído em transmissores.

6.2.2.3.12.3 Valores de referência iniciais para anunciação (“on-delay”) em função da variável de

processo são apresentados no Anexo F. O valor de referência poderá ser diferente para remoção da
anunciação.

6.2.2.3.12.4 Ajustes nos valores devem ser realizados a partir da experiência operacional,
especialmente em função do tempo de resposta disponível para o operador.

6.2.2.3.13 Reconhecimento Automático de Alarmes

6.2.2.3.13.1 Alarmes de baixa prioridade podem ser reconhecidos automaticamente pelo SSC,
quando a condição para anunciação do alarme deixar de existir. [Prática Recomendada]

6.2.2.3.13.2 Alarmes de outras prioridades devem ser reconhecidos pelo operador.

6.2.2.3.13.3 Alarmes sem reconhecimento automático, ao deixarem de ser suprimidos, podem

retornar no mesmo estado em que estavam no momento da supressão. [Prática Recomendada]

6.2.2.3.14 Alarmes em Supressão Manual (“Shelving”)

6.2.2.3.14.1 As operações envolvendo supressão manual devem ser registradas e controladas. As

informações mínimas que devem constar neste registro são: data de início e término, prazo previsto
para sua permanência neste estado e justificativa para a supressão.

6.2.2.3.14.2 O critério para supressão manual de alarmes pode ser definido por filosofia específica
para a planta. [Prática recomendada]

6.2.2.3.14.3 Nesta filosofia devem constar o prazo máximo aceitável para alarmes em supressão
manual e a definição das responsabilidades dos envolvidos.

6.2.2.3.14.4 Recomenda-se que sejam implementados temporizadores para contagem do tempo em

supressão manual ou do tempo remanescente para que o alarme seja retirado deste estado.
[Prática Recomendada]

6.2.2.3.14.5 Recomenda-se que a retirada do alarme em estado de supressão manual seja

automática após a expiração do prazo definido no momento de sua supressão.
[Prática Recomendada]

6.2.3 Práticas para Projeto de Interface no Sistema de Alarmes

6.2.3.1 Os alarmes de prioridade mais alta devem ser destacados em relação aos alarmes de
prioridade mais baixa, sonora e visualmente.

23
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.2.3.2 A critério da Unidade, os alarmes classificados como de prioridade crítica podem ser
anunciados também da mesma forma como os de prioridade alta.

6.2.3.3 Sugere-se a utilização de painéis anunciadores de alarmes, ligados diretamente ao cartão de

saída dos controladores, para os alarmes de prioridade crítica da planta. [Prática Recomendada]

6.2.3.4 A lista de alarmes deve estar separada da lista de eventos nas IHM e deve conter os alarmes
de todas as prioridades.

6.2.3.5 Alarmes relacionados a SMS e aqueles cuja resposta do operador pertençam à IPL devem
ser apresentados de forma distinta dos demais alarmes, como por exemplo, através do TAG,
descrição, símbolo, som, cor, ou até mesmo da localização física.

6.2.3.6 Os alarmes devem ser listados por estado, iniciando pelos não reconhecidos, e por ordem
cronológica. Deve existir a possibilidade de filtragem ou ordenação por prioridade, estado, grupo,
classe e tipo de alarme.

EXEMPLO:

Grupos de alarmes: alarmes de sistemas, alarmes de falha de instrumentos, alarmes de

processo etc.

6.2.3.7 Recomenda-se que os alertas sejam listados de forma segregada dos alarmes.
[Prática Recomendada]

6.2.3.8 Nos casos onde não seja utilizada esta segregação, quando da ordenação por prioridade, os
alertas devem ser listados após os alarmes de prioridade baixa.

6.2.3.9 A anunciação do alerta deve ter um tratamento visual e sonoro diferente do alarme.

6.2.3.10 A indicação de falha de instrumento ou equipamento deve ser configurada como alarme ou
alerta, dependendo da urgência para acionamento da equipe de manutenção.

6.2.3.11 Alarmes de instrumentos inoperantes e em manutenção devem ser agrupados. A inserção

neste agrupamento deve ser controlada.

6.2.3.12 Os alarmes também devem ser agrupados e apresentados filtrados por área da planta.
Estes grupos podem ser apresentados em estações de operação distintas dependendo de como deve
ser distribuída a responsabilidade de operação das diversas áreas da planta.

EXEMPLO 1:

Em plantas de produção, pode-se implementar os seguintes grupos por estação de

operação:
— Produção e Fogo & Gás;
— Facilidades e Fogo & Gás;
— Embarcação e Fogo & Gás.

EXEMPLO 2:

Em plantas de refino, pode-se implementar os seguintes grupos por estação de operação:

24
 -PÚBLICA-

N-2900 REV. B 05 / 2021

— Unidade de Destilação;
— Unidade de Craqueamento Catalítico Fluido;
— Utilidades;
— Transferência e Estocagem.

6.2.3.13 Para instalações de produção, agrupar alarmes também de acordo com a classificação dos
níveis de parada de emergência (ESD) das plataformas de petróleo. Estes alarmes são:

— alarmes que acusam ESD-3, fogo e gás e outros que sejam identificados como alarmes
de prioridade crítica;
— alarmes que antecedem à ocorrência do ESD-2, identificados como alarmes de
prioridade alta;
— alarmes que acusam ESD-2 e ESD-1, identificados como alarmes de prioridade média;
— demais alarmes identificados como de prioridade baixa.

6.2.3.14 As mensagens de alarmes devem ser claras, direcionando a atenção do operador para o
problema a ser tratado. Não devem ser utilizadas janelas do tipo “pop-up” para apresentação de
alarmes, tendo em vista a grande quantidade de janelas que podem inviabilizar a identificação da
anormalidade.

6.2.3.15 As mensagens devem conter, no mínimo, as seguintes informações: data, hora, TAG e
descrição, a prioridade do alarme e o estado do alarme.

6.2.3.16 A descrição deve informar a localização na planta ou equipamento, e o serviço do

equipamento na planta. As abreviaturas, quando utilizadas, devem ser padronizadas e aplicadas de
forma uniforme em toda a unidade.

6.2.3.17 Adotar padrão para cores e terminologias para os alarmes, minimizando diversidades.
Informações estáticas e sem animação devem ser configuradas com cores suaves. Indicações visuais
diferenciadas devem ser previstas conforme o estado do alarme.

6.2.3.18 Mensagens de texto de alarmes não devem ser intermitentes, porque geram dificuldade
para que estas sejam lidas com clareza.

6.2.3.19 Devem ser previstas interfaces distintas para alarmes com responsáveis diferentes.

EXEMPLO:

Alarmes cuja ação é de responsabilidade da equipe de operação, e alarmes cuja

responsabilidade é da equipe de manutenção.

6.2.3.20 O alarme e seu respectivo reconhecimento devem ser disponibilizados em todos os

consoles associados ao acompanhamento da mesma planta.

6.2.3.21 Os alarmes retirados do sumário de alarmes através de supressão manual também devem
ser listados em uma interface separada e serem apresentados através das mesmas funcionalidades
dos alarmes listados no sumário principal.

6.2.3.22 Prever flexibilidade para ocultar TAG de instrumentos e equipamentos a partir de um

comando operacional de modo a diminuir a quantidade de informação na IHM, facilitando a
visualização de alarmes. [Prática Recomendada]

25
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.3 Comissionamento e Treinamento

6.3.1 Testes no sistema de alarmes devem ser realizados durante o comissionamento dos
instrumentos no SSC. Estes testes devem envolver verificação da atuação do alarme para o
respectivo ponto de ajuste configurado e as estratégias de processamento do alarme.

6.3.2 Deve ser previsto treinamento na filosofia de gerenciamento e racionalização de alarmes

aplicados ao projeto para:

— operadores, técnicos de projeto de processo e instrumentação/automação;

— técnicos de acompanhamento operacional (engenheiros e operadores);
— técnicos de implantação e integração de sistemas;
— técnicos de manutenção das áreas de instrumentação e automação.

6.3.3 Prever treinamento específico para todos os alarmes cuja resposta do operador pertencer a
uma IPL e alarmes relacionados a SMS.

6.3.4 Prever treinamento no Sistema de Análise Estatística de Alarmes para: [Prática

Recomendada]

— operadores;
— técnicos de acompanhamento operacional e manutenção.

6.4 Operação e Monitoração

6.4.1 A análise estatística de alarmes deve fazer parte da rotina operacional, e sua frequência de
acompanhamento deve ser pelo menos mensal conforme definido na matriz de responsabilidade da
filosofia local de alarmes.

6.4.2 Os principais indicadores a serem avaliados durante a operação do sistema de alarmes são:

— alarmes mais frequentes por período (a cada dez minutos, hora, dia, semana, mês) por
console de operação;
— tempo médio de duração de cada alarme;
— distribuição de alarmes por grupo;
— distribuição de alarmes por prioridade;
— avalanche de alarmes;
— quantidade de alarmes não reconhecidos;
— quantidade de alarmes suprimidos.

6.4.3 A partir destes dados, devem ser tomadas ações para alcançar as métricas indicadas nesta
Norma.

6.4.4 Para os alertas, recomenda-se dar especial ênfase a monitoração dos "bad actors", condição
de avalanche, tempo em condição de anunciação (duração do alerta) e tempo sem reconhecimento.
[Prática Recomendada]

6.4.5 Recomenda-se que as bases de dados dos alarmes permaneçam disponíveis para consulta por
um período mínimo de 2 anos. Dados mais antigos poderão ser mantidos em cópias de “back-up”.
[Prática Recomendada]

26
 -PÚBLICA-

N-2900 REV. B 05 / 2021

6.5 Gestão de Mudanças, Manutenção e Auditoria

6.5.1 Toda alteração requerida em valores de ajuste, supressão do alarme, cancelamento ou

inclusão de alarme, estratégias de configuração do sistema digital etc., deve ser controlada por meio
de um processo de gestão de mudanças ou de um padrão específico local. O Anexo E apresenta os
graus de formalização a serem considerados para estas alterações.

6.5.2 A responsabilidade do desempenho do sistema de alarmes deve ser designada às equipes de

operação, podendo esta ser compartilhada junto às equipes de processo, de automação e de
manutenção. Deve ser constituído de um grupo operacional, com membros de cada especialidade,
para acompanhamento do desempenho, implementação de ações corretivas e melhorias no sistema
de alarmes. O Anexo B apresenta sugestões em relação as atribuições das equipes envolvidas.

6.5.3 Deve ser constituído um grupo gestor para o sistema de alarmes, para garantir que as filosofias
e práticas adotadas sejam aplicadas uniformemente em todas as plantas existentes e para aquelas
que vierem a ser projetadas futuramente na Unidade.

6.5.4 Auditorias periódicas devem ser conduzidas de modo a verificar as filosofias e procedimentos
vigentes ou mesmo identificar a necessidade de revisá-las diante de “feedbacks” das áreas de
projeto, operação e manutenção.

27
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo A – Tópicos para Filosofia de Alarmes

Conteúdo Teor da Informação

Objetivo do sistema de alarmes Relevante
Definições Relevante
Referências Opcional
Atividades e responsáveis pelo gerenciamento de alarmes Relevante
Princípios para projeto de alarmes Relevante
Determinação do ponto de ajuste de alarmes Opcional
Método de priorização de alarmes Relevante (*)
Definição de classe de alarmes Relevante
Definição de alarmes de gestão diferenciada Opcional
Racionalização Relevante
Documentação de alarmes Relevante
Orientação para projeto de alarmes Relevante
Considerações específicas para projeto de alarmes Opcional
Princípios para projeto de IHM Relevante
Técnicas aprovadas para tratamento avançado e melhorias no Opcional
processamento e anunciação de alarmes
Orientações para implementação Relevante
Procedimentos de resposta ao alarme Relevante
Treinamento Relevante
Supressão manual de alarmes Relevante
Manutenção do sistema de alarmes Relevante
Testes de alarmes Relevante
Monitoramento de desempenho do sistema de alarmes Relevante (**)
Preservação do histórico de alarmes Relevante
Gestão de mudanças Relevante
Auditoria do gerenciamento de alarmes Relevante
Procedimentos locais específicos Opcional

(*) Metodologia existente na N-2900.

(**) Métricas existentes na N-2900, podendo haver ajustes conforme filosofia local.

28
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo B – Exemplo de matriz de responsabilidades para gerenciamento de alarmes

A – Aprovador; R – Responsável pela Execução; C – Consultado; I – Informado

1 Gerente da UN 8 Especialista de Processo e Controle

2 Gerente da Planta 9 Técnico de Manutenção
3 Supervisor de Turno 10 Suporte de TIC
4 Responsável pela Operação 11 Encarregado para Treinamento
5 Operador do Console 12 SMS
6 Responsável pelo Sistema Alarmes 13 Engenharia de Projeto / Fornecedores
de Pacotes
7 Especialista do Sistema Automação

1 2 3 4 5 6 7 8 9 10 11 12 13
Desenvolvimento I A I I I R R R I I I I
da filosofia de
alarmes
Identificação dos A R R A R R
alarmes
Racionalização e I I I R A C C C R
priorização dos (*)
alarmes
Implementação de I I I I I A R I I I I I
melhorias aos
alarmes
Sugestão e revisão A A R C C C C I
para melhoria dos
alarmes
Treinamento de A C C R C C C A
operadores
Teste de alarmes A A R C C C R I
Implementação de A I I I I C R
melhorias na
instrumentação
Autorização de I I A R A C R A
melhorias no
sistema de alarmes
Gestão do log de I I I R C C A
alarmes
Desenvolvimento e I I C C C A R C I I I
implementação de
métricas de
alarmes
Verificação de I I A R R R C C I I I I
desempenho sobre
as métricas dos
alarmes
Auditoria I I I I A C R

(*) Durante a fase de projeto

29
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo C - Exemplos de Consequências para Patrimônio e Continuidade Operacional

C.1 Consequências Desprezíveis (perda financeira até US$ 100 000)

— alívio de pequenas quantidades de fluidos;

— cavitação de bombas convencionais.

C.2 Consequências Marginais (perda financeira entre US$ 100 000 e US$ 1 000 000)

— produção fora de especificação;

— possibilidade de danos em equipamentos essenciais ou não essenciais que são
causados por eventos de duração prolongada, mas que não requerem rápida
intervenção do operador.

C.3 Consequências Médias (perda financeira entre US$ 1 000 000 e US$ 10 000 000)

— perturbação na área de utilidades afetando outras áreas, como a injeção de líquido em

correntes de gás para o sistema de gás combustível;
— alívio de grandes quantidades de fluidos;
— transbordamento de fluidos de processo;
— redução ou parada de produção ou carga na unidade por até 60 minutos;
— cavitação em bombas de alta rotação ou em bombas de múltiplos estágios;
— danos em equipamentos não essenciais que não dispõem de reserva.

C.4 Consequências Críticas (perda financeira entre US$ 10 000 000 e US$ 100 000 000)

— alívio abrupto de grandes quantidades de massa causando violenta liberação de energia,

como brusca despressurização em sistemas de alta pressão;
— solidificação de produtos em linhas de grandes dimensões requerendo custosas ações
de correção;
— danos mecânicos a compressores, que não dispõe de reserva, devido à passagem de
líquido;
— parada de produção ou carga na unidade superior a 60 minutos;
— necessidade de reparos custosos em equipamentos essenciais que dispõe de reserva;
— necessidade de reparos de baixo custo em equipamentos essenciais que não dispõe de
reserva.

C.5 Consequências Catastróficas (perda financeira superior a US$ 100 000 000)

— sobre temperatura em reações exotérmicas fora de controle;

— sobre pressão em sistemas onde a malha de segurança é o dispositivo de proteção final,
devido à impossibilidade de instalação de dispositivo de alívio e segurança;
— parada total da planta por tempo indeterminado;
— explosão de fornos e caldeiras;
— necessidade de reparos custosos em equipamentos essenciais que não dispõem de
reserva.

30
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo D - Procedimento para Racionalização de Alarmes

Iniciar a racionalização do alarme

Descrever os seguintes dados do

alarme:
indicador (tag);
tipo do alarme;
possíveis causas; e
possíveis impactos

Existe no mínimo uma ação que o N

operador deve executar para tratar este Tratar como EVENTO
alarme?

Descrever as ações que devem ser

executadas pelo operador para que a 4
condição que ativou o alarme retorne
para a sua condição de normalidade

O tempo para que o operador execute

S Implementar uma ação
as ações necessárias é menor do que
automática
um minuto?

Selecionar, na tabela de “Tempo de

Resposta Disponível”, o tempo
necessário para que o operador
execute todas as ações

1 2

Figura D.1 - Procedimento para Racionalização de Alarmes

31
 -PÚBLICA-

N-2900 REV. B 05 / 2021

1 2

S
O tempo de resposta é maior do que
Tratar como um ALERTA
uma hora?

Selecionar a prioridade na tabela

“Riscos ao Patrimônio/Continuidade
Operacional” considerando o tempo
de resposta definido (caso aplicável)

Selecionar a prioridade na tabela

“Riscos ao Meio Ambiente”
considerando o tempo de resposta
definido (caso aplicável)

Selecionar a prioridade na tabela

“Riscos a pessoas” considerando o
tempo de resposta definido (caso
aplicável)

A prioridade do alarme deve ser a

maior prioridade encontrada dentre
as três prioridades identificadas
anteriormente (patrimônio/
continuidade operacional, meio
ambiente e pessoas, caso aplicável)

3 2

Figura D.1 - Procedimento para Racionalização de Alarmes (Continuação)

32
 -PÚBLICA-

N-2900 REV. B 05 / 2021

3 2

N
Documentar que o alarme
É permitido a supressão do alarme?
não permite supressão

Informar a estratégia de supressão

O valor do ajuste do alarme está muito Alterar o ponto de ajuste do

próximo do ponto de operação e isso pode S alarme ou implementar
provocar o acionamento do alarme mais estratégias de
frequentemente? processamento

Encerrar a racionalização do alarme

Figura D.1 - Procedimento para Racionalização de Alarmes (Continuação)

33
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo E – Controle de Mudanças de Alarmes

Tipo de Mudança Tipo de Procedimento

Mudança de ponto de ajuste Formal
Tipo Formal
Prioridade Formal
Mensagem Informal
Forma de apresentação na IHM Formal
Inclusão e exclusão Formal
Forçar o estado do alarme (anunciado ou não) Formal
Colocação ou retirada de serviço Formal
Lógica de supressão automática Formal
Inclusão e exclusão de banda morta Formal
Inclusão e exclusão de temporizador Formal
Lógica de supressão baseada em estado Formal
Supressão manual Formal

(*) Formal significa que deve haver algum procedimento de controle e registro.

34
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo F – Valores de Referência para Ajustes de Banda Morta e Temporização

Variável Banda Morta (% range) Temporizador

Nível 5% 10 s
Pressão 2% 5s
Temperatura 1% 10 s
Vazão 5% 5s

35
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo G – Formulário de referência para Lista de Alarmes e Pontos de Ajuste

36
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo G – Formulário de referência para Lista de Alarmes e Pontos de Ajuste

(Continuação)

37
 -PÚBLICA-

N-2900 REV. B 05 / 2021

Anexo G – Formulário de referência para Lista de Alarmes e Pontos de Ajuste (Continuação)

38
 -PÚBLICA-

N-2900 REV. B 05 / 2021

ÍNDICE DE REVISÕES

REV. A
Partes Atingidas Descrição da Alteração

Todas Revisadas

REV. B
Partes Atingidas Descrição da Alteração

Todas Revisadas

IR 1/1