Gerenciamento das camadas de proteção (ou salvaguardas)

As salvaguardas identificadas nas análises de risco (Hazop, APP, What if, etc) e aquelas confirmadas nos poucos cenários críticos avaliadas em LOPA, que são as camadas independentes de proteção, devem ser bem gerenciadas por todo o ciclo de vida da unidade operacional a fim de se obter uma boa confiabilidade e funcionalidade para  minimizar a possibilidade de acidentes de processo.

Por isso, é importante entender um pouco como as falhas nas camadas de proteção podem ocorrer. As falhas nas camadas de proteção são decorrentes de falhas randômicas ou sistemáticas.

Para ocorrer um grande acidente, é preciso que várias camadas falhem simultaneamente. Porém, é pouco provável que essas falhas surjam em função de falhas randômicas se obedecidas as diversidades de hardwares. O mais plausível é que essas falhas simultâneas ocorram devido a falha sistemática, visto que elas decorrem, na sua maioria, de erros humanos (falhas de projetos, manutenção, instalação, etc.), principalmente para sistemas mais complexos como sistemas instrumentados de segurança SIL 2 e SIL 3. Quanto mais complexo o sistema mais factível para ocorrer erros humanos.

Outra falha significativa em processos industriais são as causas comuns de falha (CCF) porque elas desabilitam hardwares mesmo sendo redundantes. Um exemplo pragmático das consequências dessas falhas foi o acidente do voo AF 447, da Air France, do Rio de Janeiro para Paris, que teve como evento iniciador as falhas simultâneas dos dois tubos de pitot (sistemas redundantes para medir a velocidade do avião), possivelmente em função de obstrução por cristais de gelo.

As falhas de hardwares também são chamadas de falhas perigosas ou falhas seguras. As perigosas colocam as camadas de proteção no modo inseguro desde que elas, estando nesse modo de falha, não poderão evitar o acidente, enquanto que a falha segura manterá o hardware no modo que protegerá o sistema. Por exemplo, uma válvula de alívio de pressão ao emperrar aberta estará no modo de falha seguro, enquanto que se emperrar fechada estará no modo inseguro e não evitará que um vaso ou sistema tenha uma falha catastrófica devido a alta pressão.

Entre as falhas perigosas as mais significativas são as não detectadas, que podem também ser chamadas de falhas latentes, porque a camada de proteção falhará e ninguém detectará a sua falha; dessa forma, não prevenirá um acidente quando demandada. Como exemplo pode-se mencionar novamente a válvula de alívio de pressão emperrada fechada. Por isso, é muito importante os testes periódicos desses sistemas com o propósito detectar esses tipos de falhas. Quanto maior o período de teste, maior será a possibilidade de ocorrer uma falha no sistema.

Quando as salvaguardas são camadas independentes de proteção a atenção deve ser ainda maior no intuito de atender as boas práticas aceitas no meio industrial, tais como (Guidelines for initiating events and independent protection layers in layer of protection analysis – CCPS, 2015):

-Independência – deve operar completamente independente de todas as outras camadas e do evento iniciador de um mesmo cenário;

-Funcionalidade – uma camada independente de proteção deve ser especificamente projetada para ser capaz de prevenir as consequências consideradas no projeto;

-Integridade – garantia do conhecimento da magnitude da redução de risco proporcionada pela camada de proteção a fim de proteger de forma adequada contra a consequência do evento em análise;

-Confiabilidade – uma camada independente de proteção deve ser capaz de prevenir as consequências de um evento. Por isso, todas as possíveis falhas devem ser consideradas quando projetá-la;

-Auditabilidade – as camadas de proteção devem ser testadas e mantidas adequadamente. As auditorias são necessárias para assegurar que o nível de redução de risco especificado foi atingido e está sendo mantido;

-Segurança de acesso – ter procedimentos implantados para evitar acessos não autorizados aos sistemas de proteção os quais podem desabilitá-los indevidamente, tornando-os inócuos;

-Gerenciamento de mudança – procedimentos implantados para revisão, aprovação e documentação de mudança realizadas e adoção de medidas de compensação caso uma salvaguarda seja desabilitada.

Fiquem atentos às salvaguardas identificadas em análises de risco, porque são elas os elos mais fortes da corrente para evitar o acidente, e assim devem ser mantidas por todo o seu ciclo de vida.

Precisando de ajuda entre em contato com: ECS Consultorias – Uma Empresa de Engenharia de Segurança e Gerenciamento de Riscos.


Chame no WhatsApp