-PÚBLICO-

N-2900 11 / 2011

CONTEC
Comissão de Normalização
Técnica
Gerenciamento de Alarmes
SC-10
Instrumentação e
Automação Industrial 1a Emenda

Esta é a 1a Emenda da PETROBRAS N-2900, e se destina a modificar o seu texto na(s) parte(s)
indicada(s) a seguir:

NOTA 1 A(s) nova(s) página(s) com a(s) alteração(ões) efetuada(s) está(ão) colocada(s) na(s)
posição(ões) correspondente(s).
NOTA 2 A(s) página(s) emendada(s), com a indicação da data da emenda, está(ão) colocada(s) no
final da norma, em ordem cronológica, e não devem ser utilizada(s).

- Subseção 3.22: (1ª Emenda)

Alteração do texto.

- Subseção 5.3.4.2.3: (1ª Emenda)

Alteração do texto.

- Subseção 5.4.1: (1ª Emenda)

Alteração do texto.

- Tabela 6: (1ª Emenda)

Alteração na Tabela.

- Subseção 6.2.1.2: (1ª Emenda)

Alteração do texto.

- Subseção 6.2.2.3.8: (1ª Emenda)

Alteração do texto.

- Subseção 6.2.2.3.13.3: (1ª Emenda)

Inclusão.

- Subseção 6.2.3.6: (1ª Emenda)

Alteração do texto.

- Figura B.1: (1ª Emenda)

Alteração na Figura.

PROPRIEDADE DA PETROBRAS 1 página

 -PÚBLICO-

N-2900 03 / 2011

CONTEC
Comissão de Normalização
Técnica
Gerenciamento de Alarmes
SC-10
Instrumentação e
Automação Industrial 1a Errata

Esta é a 1a Errata da PETROBRAS N-2900 e se destina a modificar o seu texto na(s) parte(s)
indicada(s) a seguir:

NOTA 1 A(s) nova(s) página(s) com a(s) alteração(ões) efetuada(s) está(ão) colocada(s) na(s)
posição(ões) correspondente(s).
NOTA 2 A(s) página(s) corrigida(s), com a indicação da data da errata, está(ão) colocada(s) no final
da norma, em ordem cronológica, e não devem ser utilizada(s).

- Subseção 1.2: (1a Errata)

Substituir ISA 18.2 por ISA 18.2:2009.

- Seção 2: (1a Errata)

Substituir ISA 18.2 por ISA 18.2:2009.

PROPRIEDADE DA PETROBRAS 1 página

 -PÚBLICO-

N-2900 11 / 2010

Gerenciamento de Alarmes

Procedimento

Cabe à CONTEC - Subcomissão Autora, a orientação quanto à interpretação do

texto desta Norma. A Unidade da PETROBRAS usuária desta Norma é a
responsável pela adoção e aplicação das suas seções, subseções e
enumerações.

Requisito Técnico: Prescrição estabelecida como a mais adequada e que

deve ser utilizada estritamente em conformidade com esta Norma. Uma
CONTEC eventual resolução de não segui-la (“não-conformidade” com esta Norma) deve
Comissão de Normalização ter fundamentos técnico-gerenciais e deve ser aprovada e registrada pela
Técnica Unidade da PETROBRAS usuária desta Norma. É caracterizada por verbos de
caráter impositivo.

Prática Recomendada: Prescrição que pode ser utilizada nas condições

previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de
alternativa (não escrita nesta Norma) mais adequada à aplicação específica. A
alternativa adotada deve ser aprovada e registrada pela Unidade da
PETROBRAS usuária desta Norma. É caracterizada por verbos de caráter
não-impositivo. É indicada pela expressão: [Prática Recomendada].

Cópias dos registros das “não-conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.

Instrumentação e Automação As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.

“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO

S.A. - PETROBRAS, de uso interno na PETROBRAS, e qualquer
reprodução para utilização ou divulgação externa, sem a prévia e
expressa autorização da titular, importa em ato ilícito nos termos da
legislação pertinente, através da qual serão imputadas as
responsabilidades cabíveis. A circulação externa será regulada mediante
cláusula própria de Sigilo e Confidencialidade, nos termos do direito
intelectual e propriedade industrial.”

Apresentação

As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho

- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
.

PROPRIEDADE DA PETROBRAS 25 páginas e GT

 -PÚBLICO-

N-2900 11 / 2010

Sumário

1 Escopo................................................................................................................................................. 4

2 Referências Normativas ...................................................................................................................... 4

3 Termos e Definições............................................................................................................................ 4

4 Símbolos e Abreviaturas ..................................................................................................................... 7

5 Filosofia de Alarmes ............................................................................................................................ 7

5.1 Objetivo .................................................................................................................................. 7

5.2 Requisitos Básicos ................................................................................................................. 7

5.3 Priorização de Alarmes .......................................................................................................... 7

5.4 Indicadores de Desempenho ................................................................................................. 9

6 Ciclo de Vida da Atividade de Gerenciamento de Alarmes .............................................................. 10

6.1 Identificação e Racionalização............................................................................................. 10

6.2 Detalhamento e Implementação .......................................................................................... 12

6.2.1 Características dos Sistemas de Alarmes ................................................................... 12

6.2.2 Implementação de Estratégias de Processamento nos Sistema de Alarmes ............. 13

6.2.3 Práticas para Projeto de Interface no Sistema de Alarmes ......................................... 17

6.3 Comissionamento e Treinamento ........................................................................................ 19

6.4 Operação e Monitoração...................................................................................................... 19

6.5 Gestão de Mudanças, Manutenção e Auditoria................................................................... 19

Anexo A - Determinação de Severidade por Perda Financeira e de Ativos ......................................... 21

A.1 Pequenas Perturbações Operacionais ou Danos Reduzidos ou Insignificantes aos Equipamentos 21

A.2 Moderadas Perturbações Operacionais ou Danos Moderados aos Equipamentos...................... 21

A.3 Grandes Perturbações Operacionais ou Danos Graves aos Equipamentos ................................ 21

A.4 Perda de Produção Associada a Dano em Equipamento Essencial............................................. 22

Anexo B - Procedimento para Racionalização de Alarmes .................................................................. 23

Tabelas

Tabela 1 - Tempos de Resposta ............................................................................................................. 8

Tabela 2 - Determinação de Prioridade por Perdas de Produção e de Ativos (Ver Exemplos -

Anexo A) ................................................................................................................................ 9

Tabela 3 - Determinação de Prioridade por Danos ao Meio Ambiente .................................................. 9

2
 -PÚBLICO-

N-2900 11 / 2010

Tabela 4 - Determinação de Prioridade por Danos as Pessoas ............................................................. 9

Tabela 5 - Métricas Após Configuração no Sistema Digital.................................................................. 10

Tabela 6 - Métricas de Desempenho por Prioridade Durante Operação em Regime Permanente ..... 10

Tabela 7 - Conteúdo da Lista de Alarmes e Pontos de Ajuste ............................................................. 11

Figuras

Figura 1 - Banda Morta do Alarme .......................................................................................................... 5

Figura 2 - Exemplo de Supressão de Alarmes Configurados na Mesma Variável ............................... 14

Figura B.1 - Procedimento para Racionalização de Alarmes ............................................................... 23

3
 -PÚBLICO-

N-2900 11 / 2010

1 Escopo

1.1 O objetivo desta Norma é definir a filosofia do gerenciamento de alarmes da PETROBRAS. Esta
Norma se aplica a projeto, operação e manutenção de sistemas de alarmes em unidades da
PETROBRAS.

1.2 Esta Norma complementa a ANSI ISA 18.2:2009.

1.3 Esta Norma se aplica a procedimentos iniciados a partir da data de sua edição.

1.4 Esta Norma contém requisitos técnicos e práticas recomendadas.

2 Referências Normativas

Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos (incluindo emendas).

PETROBRAS N-2595 - Critérios de Projeto e Manutenção para Sistemas Instrumentados de

Segurança em Unidades Industriais;

ANSI ISA 18.2:2009 - Management of Alarm Systems for the Process Industries.

3 Termos e Definições

Para os efeitos deste documento aplicam-se os seguintes termos e definições.

3.1
alarme
qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou
equipamento e que exige uma ação em um tempo restrito

NOTA O termo equipamento é aplicável também a sistemas e instrumentos.

3.2
alarme de desvio ("deviation alarm")
alarme gerado quando a diferença entre dois valores analógicos excede um limite

3.3
alarme de discrepância ("discrepancy alarm")
alarme gerado pelo erro entre a comparação de um estado esperado da planta ou equipamento para
o seu estado real

3.4
alarme incômodo (“nuisance alarm”)
alarme que anuncia excessivamente, desnecessariamente, ou não retorna para o normal depois que
a resposta correta é tomada

3.5
alerta
sinalização menos importante do que o alarme, caracterizando-se por condições operacionais que
requerem atenção, e cujas ações devem ser tomadas quando o tempo permitir

4
 -PÚBLICO-

N-2900 11 / 2010

3.6
anunciação do alarme
ato de informar que uma condição de alarme foi atingida

3.7
avalanche de alarmes ("alarm flood")
uma condição durante a qual a taxa de alarmes é maior daquela que pode ser efetivamente
gerenciada

3.8
“bad-actors”
são alarmes que, num intervalo de tempo determinado, apresentam um número de ocorrências muito
superior aos demais

3.9
banda morta do alarme ("alarm deadband")
faixa dentro da qual o alarme não tem seu estado alterado, independentemente da variação do sinal
lido (Figura 1)

Anunciação Desativação
do Alarme do Alarme

Estado do Alarme

Valor de Ajuste
do Alarme
Banda
Morta

PV

Tempo

Figura 1- Banda Morta do Alarme

3.10
desativação do alarme (RTN)
estado no qual a condição para anunciação do alarme deixou de existir

3.11
evento
mudança nas condições da planta, de um equipamento ou de uma variável

3.12
filosofia de alarmes
documentação que estabelece as definições básicas, os princípios e procedimentos para projetar,
implementar e manter um sistema de alarmes

5
 -PÚBLICO-

N-2900 11 / 2010

3.13
filtro temporizador do alarme
tempo mínimo em que a variável deve permanecer continuamente além de seu valor de ajuste para
que o alarme seja anunciado

NOTA Este filtro pode ser aplicado também para remover a anunciação do alarme.

3.14
gerenciamento de alarmes
o processo e as práticas para conceber, projetar, documentar, operar, monitorar e manter um sistema
de alarmes

3.15
grupo de alarmes
um conjunto de alarmes, determinado por algum critério lógico de agrupamento, como: localização
física, função, sistema etc.

3.16
prioridade de alarme ("alarm priority")
importância relativa atribuída a um alarme dentro de um sistema de alarmes para indicar a urgência
da resposta

3.17
racionalização
análise dos alarmes a partir da filosofia de alarmes para fundamentar e documentar sua concepção
e/ou seu uso

3.18
reconhecimento ("Acknowledge - ACK")
ação que confirma ciência da anunciação do alarme

NOTA Não significa resolução da causa do alarme.

3.19
"shelving" (“shelve”)
mecanismo, tipicamente iniciado de forma manual, para temporariamente suprimir um alarme

3.20
sistema de alarmes ("alarm system")
conjunto de “hardware” e “software” que possibilita a detecção de estados de alarme, a anunciação e
registra suas alterações

3.21
supressão
qualquer mecanismo para impedir a anunciação do alarme quando a condição anormal está presente

3.22
tempo de resposta disponível ("allowable response time")
o tempo máximo entre a anunciação do alarme e o início de uma ação corretiva no processo,
independente de onde a ação vai ser realizada, para evitar as consequências da condição anormal.”

3.23
valor de ajuste do alarme ("alarm setpoint")valor limiar de uma variável de processo ou estado
discreto que anuncia o alarme

6
 -PÚBLICO-

N-2900 11 / 2010

4 Símbolos e Abreviaturas

ESD - “Emergency Shutdown”, ou Parada de Emergência;

HAZOP - “Hazard and Operability Study”, ou Análise de Risco e Operabilidade;
IHM - Interface Homem Máquina;
PV - “Process Variable”, ou Variável de Processo;
SCADA - “Supervisory Control and Data Acquisition System”;
SDCD - Sistema Digital de Controle Distribuído;
SIS - Sistema Instrumentado de Segurança;
SSC - Sistema de Supervisão e Controle;
UCP - Unidade Central de Processamento.

NOTA Este documento utilizará o termo SSC para se referir de forma genérica as arquiteturas de
automação adotada no âmbito dos diferentes segmentos de negócio da companhia,
substituindo termos como SCADA, SDCD e outros sistemas similares.

5 Filosofia de Alarmes

5.1 Objetivo

5.1.1 A definição de uma filosofia para o sistema de alarmes tem como objetivos:

— garantir consistência e uniformidade do gerenciamento de alarmes para todas as plantas

da companhia;
— garantir alinhamento com as metas e objetivos gerenciais;
— permitir a especificação, implementação, operação, monitoração e manutenção de um
sistema de alarmes robusto e eficiente.

5.1.2 O sistema de alarmes não substitui o SIS, mas auxilia o operador na tomada de ações que
venham a evitar paradas da planta por ação do sistema instrumentado de segurança.

5.2 Requisitos Básicos

Para atender à definição, um alarme deve ser projetado considerando-se as limitações humanas, e
deve possuir as seguintes características:

— relevância: deve ter importância operacional definida; se nenhuma resposta está

associada ao sinal gerador do alarme, este sinal não deve ser um alarme;
— singularidade: uma mesma informação não deve ser representada por dois diferentes
alarmes, evitando duplicidade de procedimentos de resposta que podem confundir e
sobrecarregar o operador;
— precisão: nenhum alarme deve ser apresentado com muita antecedência à sua resposta
ou muito tarde para que uma medida corretiva seja executada;
— grau de importância: todo alarme deve possuir uma prioridade, facilitando assim a
tomada de decisões do operador;
— clareza: a mensagem do alarme deve ser de fácil compreensão e chamar atenção para
a(s) informação(s) mais importante(s) que se deseja transmitir.

5.3 Priorização de Alarmes

5.3.1 Todos os alarmes devem ser priorizados para que sua interface seja projetada adequadamente
levando-se em consideração as características apresentadas anteriormente.

7
 -PÚBLICO-

N-2900 11 / 2010

5.3.2 Os alarmes devem ser priorizados em função do tempo disponível para resposta do operador, e
dos impactos causados na planta quando da ausência desta resposta. Estes impactos podem estar
relacionados à perda de produção e de ativos, meio ambiente e segurança pessoal, consideradas
dentro destas categorias os alarmes definidos para atendimento à legislação local ou a políticas
internas da companhia.

5.3.3 Durante a avaliação destes impactos, devem ser consideradas as camadas de proteção que
estão disponíveis na planta no momento da análise. Estas camadas de proteção podem ser funções
instrumentadas de segurança ou dispositivos mecânicos de proteção, como válvulas de segurança. A
ausência de camadas de proteção adequadas tende a fazer com que o alarme adquira uma
prioridade elevada. A disponibilidade de um SIS bem projetado, por exemplo, tenderá a reduzir o
impacto associado ao meio ambiente e segurança pessoal, e a aumentar o impacto associado a
perda de produção, já que na ausência de resposta do operador ao alarme, deve ser considerado que
o SIS irá atuar. Prioridades elevadas de alarmes podem indicar eventual necessidade de revisão nas
camadas de proteção superiores. Deve ser verificado o impacto em outras análises (por exemplo,
HAZOP, classificação de malhas de segurança) caso algum alarme tenha seu status alterado para
alerta ou caso seja removido.

5.3.4 Critério para Priorização de Alarmes

5.3.4.1 O critério apresentado a seguir deve ser aplicado para cada alarme. Esta análise resulta na
prioridade, que poderá ser utilizada como guia para o operador na escolha de qual alarme deve tratar
primeiro, quando dois ou mais alarmes são anunciados simultaneamente.

5.3.4.2 Determinação do Tempo de Resposta (TR)

5.3.4.2.1 A Tabela 1 deve ser utilizada para determinação do tempo de resposta.

Tabela 1 - Tempos de Resposta

TR Critério
Longo Maior que 10 minutos e menor que 1 hora
Médio Entre 3 minutos e 10 minutos
Curto Menor que 3 minutos

5.3.4.2.2 Para tempos de resposta acima de uma hora a sinalização da anormalidade deve ser
considerada como “ALERTA”.

5.3.4.2.3 Para tempos inferiores a 1 minuto, deve ser avaliado se a ação do operador pode ser
executada adequadamente. Caso esta ação não seja possível, deve ser prevista uma atuação
automática. Para tempos inferiores a 3 minutos, devem ser considerados mecanismos especiais de
anunciação de alarmes e treinamento especial da equipe de operação para responder a
anormalidade.

5.3.4.3 Determinação da Prioridade

5.3.4.3.1 A prioridade do alarme deve ser obtida a partir do tempo de resposta disponível pelo
operador frente ao alarme e o impacto sobre a planta caso a ação operacional não seja aplicada.
Esta análise deve ser realizada utilizando as Tabelas 2 a 4. O maior valor de prioridade obtido deve
ser adotado.

8
 -PÚBLICO-

N-2900 11 / 2010

Tabela 2 - Determinação de Prioridade por Perdas de Produção e de Ativos (Ver

Exemplos - Anexo A)

Pequenas Moderadas
perturbações perturbações Grandes
Perda de produção
operacionais ou operacionais ou perturbações
associada a dano
TR danos reduzidos danos moderados operacionais ou
em equipamento
/ insignificantes aos equipamentos danos graves aos
essencial
aos reparáveis e de equipamentos
equipamentos baixo custo
Curto Baixa Média Alta Alta
Médio Baixa Baixa Média Alta
Longo Baixa Baixa Baixa Média

Tabela 3 - Determinação de Prioridade por Danos ao Meio Ambiente

Liberação para dentro dos limites Liberação para fora dos limites
TR geográficos da companhia com geográficos da companhia com
conseqüências ambientais conseqüências ambientais
Curto Alta Crítica
Médio Alta Crítica
Longo Média Alta

Tabela 4 - Determinação de Prioridade por Danos as Pessoas

TR Lesão com ou sem afastamento Invalidez ou morte

Curto Crítica Crítica
Médio Crítica Crítica
Longo Alta Crítica

5.3.4.3.2 Não devem existir, para uma mesma planta, critérios de priorização diferentes. Ampliações
ou adaptações de novas instalações em plantas existentes devem passar por uma revisão do critério
de priorização de acordo com esta norma.

5.4 Indicadores de Desempenho

5.4.1 Para plantas operando em regime permanente deve-se buscar o valor de 12 alarmes por hora
por operador, independente da prioridade, como valor máximo gerenciável.

5.4.2 Avalanche de alarmes é caracterizada na ANSI ISA 18.2 como mais de 10 alarmes
em 10 minutos, por operador. Avalanche de alarmes deve ser evitada através da implementação de
estratégias de detalhamento e implementação indicadas nesta Norma.

5.4.3 Recomenda-se que a distribuição de prioridades para todos os alarmes configurados seja
baseada na Tabela 5. [Prática recomendada]

9
 -PÚBLICO-

N-2900 11 / 2010

Tabela 5 - Métricas Após Configuração no Sistema Digital

Prioridade do alarme Número de alarmes configurados

Crítico Menor ou igual a 1 % do total
Alto Cerca de 5 % do total
Médio Cerca de 15 % do total
Baixo Cerca de 80 % do total

5.4.4 A distribuição estatística de alarmes por prioridade durante a operação de uma planta em
regime permanente deve ser conforme a Tabela 6.

Tabela 6 - Métricas de Desempenho por Prioridade Durante Operação em Regime

Permanente

Prioridade do alarme Taxa máxima a ser buscada por operador

Crítico Ver Nota
Alto Menor do que 5 por turno
Médio Menor do que 2 por hora
Baixo Menor do que 10 por hora
NOTA Devido às conseqüências associadas a este tipo de alarme é
desejável que a taxa a ser buscada seja zero.

6 Ciclo de Vida da Atividade de Gerenciamento de Alarmes

A atividade de “Gerenciamento de Alarmes” é um processo que pode ser observado na forma de um

ciclo, conforme apresentado pela ANSI ISA 18.2.

A atividade de gerenciamento de alarmes deve envolver os projetos básicos e detalhamento da

planta, a etapa de configuração e teste de sistemas digitais e a fase de operação e manutenção da
planta.

6.1 Identificação e Racionalização

6.1.1 Os alarmes discriminados nas Folhas de Dados de Processo de Instrumentos devem ser
definidos pelo responsável da área (processo, utilidades, equipamento etc.) durante o projeto básico
da planta.

6.1.2 Todos os alarmes deverão ser racionalizados e documentados. Informações complementares a

respeito dos alarmes definidos durante o projeto básico deverão ser fornecidas na Lista Preliminar de
Alarmes e Pontos de Ajuste.

6.1.3 A Lista Preliminar de Alarmes e Pontos de Ajuste deve incluir a causa iniciadora, ação
operacional, tempo de resposta do operador, o impacto ou conseqüência da não intervenção
operacional, prioridade do alarme e estratégias para supressão, caso aplicáveis.

10
 -PÚBLICO-

N-2900 11 / 2010

6.1.4 Alarmes que não constem na Folha de Dados de Processo (ex.: alarme de razão baixa entre
duas vazões) também devem ser documentados na Lista Preliminar de Alarmes e Pontos de Ajuste.

6.1.5 O projeto executivo deve elaborar uma Lista de Alarmes e Pontos de Ajuste, contendo as
informações constantes nas Folhas de Dados de Processo, na Lista Preliminar de Alarmes e Pontos
de Ajuste e demais alarmes identificados ao longo do ciclo de vida do projeto.

6.1.6 A Lista de Alarmes e Pontos de Ajuste deve conter, pelo menos, as informações apresentadas
na Tabela 7.

Tabela 7 - Conteúdo da Lista de Alarmes e Pontos de Ajuste

Informação Descrição

TAG Identificação do alarme ou ação automática

Descrição Descrição do alarme ou ação automática

Causa(s) iniciadora(s) Fator(es) que desencadeia(m) a situação anormal

Procedimento operacional decorrente da identificação da

Ação
situação anormal
Tempo disponível entre a anunciação do alarme e o
Tempo de resposta do operador instante em que o operador deve iniciar a ação corretiva,
de acordo com o campo “TR” da Tabela 1
Conseqüência sobre a planta em caso da ação não ser
Impacto
executada

Importância relativa atribuída a um alarme dentro de um

Prioridade do alarme
sistema de alarmes para indicar a urgência da resposta

Estratégia para supressão Condição na qual o alarme pode ser suprimido

Valor limite, ou estado discreto de uma variável do

Valor de ajuste
processo que dispara o alarme ou ação automática

Filtro temporizador do alarme ou ação automática, caso

Filtro
aplicável

Banda morta do alarme ou ação automática, caso

Banda morta
aplicável

Notas Notas aplicáveis

6.1.7 Todos os alarmes configurados no SSC devem estar documentados na Lista de Alarmes e
Pontos de Ajuste.

6.1.8 Sinais que forem reclassificados de alarmes para eventos devem ser mantidos na Lista de
Alarmes e Pontos de Ajuste para efeito de rastreabilidade.

11
 -PÚBLICO-

N-2900 11 / 2010

6.1.9 Minimizar o uso de 2 níveis de alarmes (ex.: alto e muito alto, baixo e muito baixo). Dois níveis
de alarmes somente devem ser aplicáveis caso as ações operacionais associadas sejam diferentes.

6.1.10 Uma demanda do SIS frequentemente pode ser evitada por uma ação no sentido do
restabelecimento da condição operacional normal, caracterizando, portanto a necessidade de um
alarme de “pré-trip”. Este alarme deve ser ajustado de modo que seja possível a ação do operador
para evitar a atuação do SIS.

6.1.11 Após uma atuação do SIS, frequentemente são requeridas ações no sentido de um
restabelecimento mais rápido, mais econômico ou mais seguro da condição operacional,
caracterizando, portanto a necessidade de um alarme de “trip”.

6.1.12 Anunciações que venham a ser caracterizadas como alertas também devem ser incluídas na
Lista de Alarmes e Pontos de Ajuste para efeito de rastreabilidade. Neste caso sugere-se indicar esta
condição como uma nota.

6.1.13 Recomenda-se realizar a racionalização dos alarmes com a participação das disciplinas de
processo, automação e operação. Durante a análise de alguns equipamentos, como compressores e
fornos, os especialistas das respectivas áreas poderão ser convidados. [Prática Recomendada]

6.1.14 Durante a concepção dos alarmes, devem ser considerados o “feedback” operacional e boas
práticas adotadas na unidade. A atividade de análise de risco e operabilidade (HAZOP) da planta
constitui também uma oportunidade para racionalização.

6.1.15 O processo de racionalização de alarmes deve ser executado sempre que novos alarmes
forem concebidos.

6.1.16 Para plantas existentes, o processo de racionalização deve revisar os alarmes existentes e,
se necessário, acrescentar novos alarmes. Como resultado da revisão, um alarme pode ser removido
ou ter suas características (prioridade, ponto de ajuste, lógica de supressão etc.) alteradas.

6.1.17 O procedimento de racionalização é apresentado no Anexo B.

6.1.18 A documentação dos alarmes deve ser disponibilizada para a Unidade e atualizada em função
do processo de gestão de mudanças.

6.2 Detalhamento e Implementação

6.2.1 Características dos Sistemas de Alarmes

6.2.1.1 Os sistemas de alarmes das plantas devem incorporar os seguintes requisitos:

— capacidade de segregar alarmes, alertas e eventos;

— capacidade de segregar alarmes por prioridade;
— capacidade de identificar alarmes por diferentes meios (cor, símbolos ou sons);
— filtros para apresentação do sumário de alarmes por grupos;
— funcionalidades para “shelving” de alarmes;
— capacidade de supressão de alarmes;
— capacidade de configurar banda morta ou filtros;
— capacidade de encadear alarmes com mensagens de orientação ao operador e ações
em batelada;

12
 -PÚBLICO-

N-2900 11 / 2010

— capacidade de monitoração e avaliação de desempenho dos alarmes;

— facilidades para geração de relatórios.

6.2.1.2 Como parte do sistema de alarmes, deve ser disponibilizado um sistema de coleta de dados
para tratamento estatístico dos alarmes, de modo a possibilitar a avaliação de desempenho da planta
frente a situações anormais e o gerenciamento dos alarmes ao longo da vida útil da planta.

6.2.1.3 Toda informação acerca dos alarmes da planta deverá ser incorporada na base de dados
deste sistema, que deverá incluir toda documentação histórica do alarme permitindo sua atualização
durante os processos de gestão de mudanças.

6.2.2 Implementação de Estratégias de Processamento nos Sistema de Alarmes

6.2.2.1 Estratégias para processamento de alarmes devem ser implementadas em nível de

configuração no SSC para supressão de alarmes em tempo real, viabilizando a disponibilização
racional de informações para o operador, minimizando a quantidade de alarmes e aumentando a
confiabilidade da planta.

6.2.2.2 As estratégias de processamento devem ser implementadas a partir do conhecimento da

planta e do equipamento de modo a levá-las sempre para uma situação de melhor confiabilidade
operacional.

6.2.2.3 Estratégias de Processamento

6.2.2.3.1 Alarmes Associados a Controles Automáticos do Tipo “ON-OFF”

Ações associadas a controles automáticos do tipo liga-desliga equipamento ou abre-fecha válvula

“ON-OFF” devem operar segundo a seguinte estratégia: quando o equipamento for comandado e
este responder corretamente ao comando, não deve ser gerado um alarme. Esta ação deve ser
caracterizada como um evento.

EXEMPLO 1

Partida automática de bomba reserva - quando uma bomba reserva parte automaticamente
por pressão baixa na descarga, o alarme de pressão baixa deve ser anunciado somente
após um tempo ajustável, que leva em consideração o transiente de recuperação de
pressão ocasionado pela partida da bomba. Caso a pressão não se restabeleça após este
tempo, o alarme deve ser anunciado. O estado de operação da bomba reserva deve ser
anunciado como um evento.

EXEMPLO 2

Esgotamento automático de líquido de vasos - quando um controlador comanda a abertura

de uma válvula a partir do nível alto em um vaso, nem o comando nem a abertura da válvula
em si devem gerar alarmes; o alarme deve ser anunciado caso a válvula não venha a ser
aberta após um tempo esperado, ou o nível atinja um valor alto acima do valor ajustado
para abertura automática da válvula.

6.2.2.3.2 Alarmes Configurados na Mesma Variável

6.2.2.3.2.1 Quando da existência de dois alarmes para uma mesma variável, em dois níveis, o
segundo alarme deve suprimir o primeiro. Assim, alarmes do tipo “muito alto” devem suprimir alarmes
do tipo “alto”, e alarmes do tipo “muito baixo” devem suprimir alarmes do tipo “baixo”.

13
 -PÚBLICO-

N-2900 11 / 2010

6.2.2.3.2.2 Essa supressão deve ser aplicada para dois alarmes associados a um mesmo
instrumento.

6.2.2.3.2.3 O reconhecimento do alarme muito alto (HH) ou muito baixo (LL) deve implicar no
reconhecimento para o alarme alto (H) ou baixo (L), respectivamente.

HH

PV

Tempo

Figura 2 - Exemplo de Supressão de Alarmes Configurados na Mesma Variável

6.2.2.3.2.4 Na Figura 2, é mostrada a evolução da variável de processo (PV). Na medida em que o

tempo progride, o valor da PV passa de normal para alto (H), para muito alto (HH), e retorna para alto
e para normal:

— quando o valor atingir “nível alto”, o alarme H será anunciado;

— quando atingir “nível muito alto”, o alarme HH deve ser anunciado, e o H deve ser
suprimido;
— quando a condição para anunciação do alarme HH deixa de existir, o H volta a ser
anunciado;
— quando o valor retorna ao normal, o alarme H deve deixar de ser anunciado.

6.2.2.3.3 Alarmes de Desvio

6.2.2.3.3.1 Quando em um ponto de medida houver mais de um sensor, recomenda-se a

configuração da detecção de divergência entre estas medidas. [Prática Recomendada]

6.2.2.3.3.2 Estes desvios devem ser caracterizados como alertas quando o tempo de resposta for
indeterminado. O valor de ajuste para a detecção do desvio entre os sensores deve considerar a
incerteza máxima entre instrumentos e a necessidade de filtros temporizadores de modo a evitar
alarmes incômodos.

6.2.2.3.4 Alarmes de Discrepância

Devem ser configurados alarmes para a situação de detecção de inconsistência entre o comando e
sua atuação.

14
 -PÚBLICO-

N-2900 11 / 2010

EXEMPLO 1

Falha no comando de partida de motores deve ser considerada como alarme de

discrepância.

EXEMPLO 2

Falha no comando de válvulas de controle ou “ON-OFF” deve ser considerada como alarme
de discrepância, assim como o fechamento ou abertura espúria da válvula.

NOTA Indicação associada a chaves de fim de curso de válvulas de controle ou “ON-OFF” não
deve ser configurada como alarme, quando a indicação estiver em conformidade com o
comando executado, devendo fazer parte da listagem de eventos da planta.

6.2.2.3.5 Alarmes de Falha do Instrumento ou de Sistema

6.2.2.3.5.1 A prioridade de alarmes associados à falha do sensor ou transmissor deve ser definida
considerando-se o serviço realizado por este instrumento [Prática recomendada]

6.2.2.3.5.2 Deve ser prevista interface indicando todos os instrumentos em estado de falha,
ordenados pela prioridade do alarme associado a cada instrumento. [Prática recomendada]

6.2.2.3.5.3 Falhas de UCP e comunicação entre sistemas digitais devem ser mantidos como
alarmes.

6.2.2.3.6 Alarmes de “Pacotes”

Apenas os alarmes ou um resumo de alarmes, que demandam ação do operador da sala de controle
devem ser enviados dos equipamentos fornecidos por terceiros (ex.: compressores) para a lista de
alarmes no SSC.

6.2.2.3.7 Alarmes e Estados de Equipamentos

6.2.2.3.7.1 Alarmes devem ser configurados de acordo com o estado do equipamento. Os seguintes
estados podem ser caracterizados para um equipamento: “em partida”, “operação normal”, "em
parada" e “parado”. Assim, alarmes que se aplicam somente ao equipamento em “operação normal”
devem ser suprimidos quando no modo “em partida”, "em parada" ou “parado”.

6.2.2.3.7.2 A detecção da condição de operação normal do equipamento poderá ser automática, em

função de uma ou mais variáveis operacionais, ou informada pelo operador.

EXEMPLO 1

Forno parado não deve alarmar ausência de carga.

EXEMPLO 2

Falta de chama em pilotos e queimadores de fornos e caldeiras devem ser considerados

alarmes somente a partir do momento em que houver demanda por existência de chama.

EXEMPLO 3

Alarmes de corrente elevada de motores de bombas devem ser suprimidos por um tempo
pré-determinado durante a partida destas bombas.

15
 -PÚBLICO-

N-2900 11 / 2010

EXEMPLO 4

Parada indevida de bomba deve gerar alarme associado a anormalidade que causou sua
parada. Parada da bomba comandada pelo operador não deve gerar um alarme.

6.2.2.3.8 Alarmes Associados a Instrumentos Redundantes

Alarmes de instrumentos redundantes devem ser exibidos como um único alarme quando ocorrer a
condição anormal. Todos os alarmes, no entanto, devem ser registrados.

EXEMPLO

Quando para uma mesma variável existir um instrumento associado a uma malha de
controle e 3 instrumentos associados ao SIS (por exemplo: iniciadores em votação 2oo3),
um único alarme deve ser anunciado quando qualquer destes instrumentos acusar a
situação anormal. Telas de detalhe podem mostrar, no entanto, todos os alarmes
associados a cada instrumento.

6.2.2.3.9 Alarmes e SIS

Os alarmes que antecederem a um evento de “trip”, e forem relacionados ao “trip”, devem ser
suprimidos caso o “trip” venha a ocorrer.

6.2.2.3.10 Alarmes Relacionados

Quando da existência de alarmes estreitamente relacionados, somente um deles deve ser anunciado.

EXEMPLO

Suprimir o segundo alarme entre vazão baixa e pressão baixa na descarga de uma bomba
caso por detrás destes alarmes somente venha a existir uma única ação operacional.

6.2.2.3.11 Banda Morta

As bandas mortas são recomendadas para reduzir a quantidade de alarmes incômodos. Os valores
para estas bandas são uma referência inicial e são sugeridas em função da variável de processo. Os
valores de referência para banda morta estão descritos na ANSI ISA 18.2. Ajustes nos valores devem
ser realizados a partir da experiência operacional.

6.2.2.3.12 Filtros Temporizadores

6.2.2.3.12.1 Devem ser previstos 2 parâmetros para filtros temporizadores: um para anunciação
(“on-delay”) e outro para remover a anunciação (“off-delay”).

6.2.2.3.12.2 Este mecanismo de filtragem deve ser atendido de forma diferenciada do mecanismo
que executa a filtragem de sinais de ruído em transmissores.

6.2.2.3.12.3 O valor de referência para todos os tipos de variáveis medidas é de 5 s, podendo ser
diferentes para a anunciação ou remoção da anunciação.

6.2.2.3.12.4 Os valores desses filtros são uma referência inicial. Ajustes nos valores devem ser
realizados a partir da experiência operacional, especialmente em função do tempo de resposta
disponível para o operador.

16
 -PÚBLICO-

N-2900 11 / 2010

6.2.2.3.13 Reconhecimento Automático de Alarmes

6.2.2.3.13.1 Alarmes de baixa prioridade podem ser reconhecidos automaticamente pelo SSC,
quando a condição para anunciação do alarme deixar de existir. [Prática Recomendada]

6.2.2.3.13.2 Alarmes de outras prioridades preferencialmente devem ser reconhecidos pelo operador.
[Prática Recomendada]

6.2.2.3.13.3 Alarmes sem auto-reconhecimento, ao deixarem de ser suprimidos, podem retornar no

mesmo estado em que estavam no momento da supressão. [Prática Recomendada]

6.2.3 Práticas para Projeto de Interface no Sistema de Alarmes

6.2.3.1 Os alarmes de prioridade mais alta devem ser destacados em relação aos alarmes de
prioridade mais baixa, sonora e visualmente.

6.2.3.2 A critério da unidade, os alarmes classificados como de prioridade crítica poderão ser
anunciados também da mesma forma como os de prioridade alta.

6.2.3.3 Sugere-se a utilização de painéis anunciadores de alarmes, ligados diretamente ao cartão de

saída dos controladores, para os alarmes de prioridade crítica da planta. [Prática Recomendada]

6.2.3.4 A lista de alarmes deve estar separada da lista de eventos nas IHM e deve conter os alarmes
de todas as prioridades.

6.2.3.5 Os alarmes devem ser listados por estado, iniciando pelos não reconhecidos, e por ordem
cronológica. Deve existir a possibilidade de filtragem ou ordenação por prioridade, estado, grupo e
tipo de alarme.

EXEMPLO

Grupos de alarmes: alarmes de sistemas, alarmes de falha de instrumentos, alarmes de

processo etc.

6.2.3.6 A anunciação dos alertas deve ser inserida na lista de alarmes. Em caso de ordenação por
prioridade, os alertas devem ser listados após os alarmes de prioridade baixa. A anunciação do alerta
deve ter um tratamento visual e sonoro diferente do alarme.

6.2.3.7 A indicação de falha de instrumento ou equipamento deve ser configurada como alarme ou
alerta, dependendo da urgência para acionamento da equipe de manutenção.

6.2.3.8 Alarmes de instrumentos inoperantes e em manutenção devem ser agrupados. A inserção

neste agrupamento deve ser controlada.

6.2.3.9 Os alarmes também devem ser agrupados e apresentados filtrados por área da planta. Estes
grupos poderão ser apresentados em estações de operação distintas dependendo de como será
distribuída a responsabilidade de operação das diversas áreas da planta.

17
 -PÚBLICO-

N-2900 11 / 2010

EXEMPLO 1

Em plantas de produção, pode-se implementar os seguintes grupos por estação de

operação:

— Produção e Fogo&Gás;

17-A
 -PÚBLICO-

N-2900 11 / 2010

— Facilidades e Fogo&Gás;
— Embarcação e Fogo&Gás.

EXEMPLO 2

Em plantas de refino, pode-se implementar os seguintes grupos por estação de operação:

— Unidade de Destilação;
— Unidade de FCC;
— Utilidades;
— Transferência e Estocagem.

6.2.3.10 Para instalações de produção, agrupar alarmes também de acordo com a classificação dos
níveis de parada de emergência (ESD) das plataformas de petróleo. Estes alarmes são:

— alarmes que acusam ESD-3, fogo e gás e outros que sejam identificados como alarmes
de prioridade crítica;
— alarmes que antecedem a ocorrência do ESD-2, identificados como alarmes de
prioridade alta;
— alarmes que acusam ESD-2 e ESD-1, identificados como alarmes de prioridade média;
— demais alarmes identificados como de prioridade baixa.

6.2.3.11 As mensagens de alarmes deverão ser claras direcionando a atenção do operador para o
problema a ser tratado. Não devem ser utilizadas janelas do tipo “pop-up” para apresentação de
alarmes tendo em vista a grande quantidade de janelas que poderão inviabilizar a identificação da
anormalidade.

6.2.3.12 As mensagens devem conter no mínimo as seguintes informações: data, hora, TAG e
descrição, a prioridade do alarme e o estado do alarme, segundo ANSI ISA 18.2.

6.2.3.13 A descrição deve informar a localização na planta ou equipamento, e o serviço do

equipamento na planta. As abreviaturas, quando utilizadas, devem ser padronizadas e aplicadas de
forma uniforme em toda a unidade.

6.2.3.14 Adotar padrão para cores e terminologias para os alarmes, minimizando diversidades.
Informações estáticas e sem animação deverão ser configuradas com cores suaves. Informações de
alarmes deverão possuir cores mais fortes para que seja possível detectar as anormalidades através
de contrastes.

6.2.3.15 Mensagens de texto de alarmes não devem ser intermitentes, gerando dificuldade para que
estas sejam lidas com clareza.

6.2.3.16 Devem ser previstas interfaces distintas para alarmes com responsáveis diferentes.

EXEMPLO

Alarmes cuja ação é de responsabilidade da equipe de operação, e alarmes cuja

responsabilidade é da equipe de manutenção.

6.2.3.17 O alarme e seu respectivo reconhecimento devem ser disponibilizados em todos os

consoles associados ao acompanhamento da mesma planta.

6.2.3.18 Os alarmes retirados do sumário de alarmes através de “shelving” também devem ser
listados em uma interface separada e serem apresentados através das mesmas funcionalidades dos
alarmes listados no sumário principal.

18
 -PÚBLICO-

N-2900 11 / 2010

6.2.3.19 Prever flexibilidade para ocultar TAG de instrumentos e equipamentos a partir de um

comando operacional de modo a diminuir a quantidade de informação na IHM. [Prática
Recomendada]

6.3 Comissionamento e Treinamento

6.3.1 Testes no sistema de alarmes deverão ser realizados durante o comissionamento dos
instrumentos no SSC. Estes testes deverão envolver verificação da atuação do alarme para o
respectivo ponto de ajuste configurado e as estratégias de supressão.

6.3.2 Os treinamentos descritos em 6.3.2.1 e 6.3.2.2 devem ser previstos.

6.3.2.1 Filosofia de Gerenciamento e Racionalização de Alarmes Aplicados ao Projeto [Prática

Recomendada]

Este treinamento é recomendado para:

— operadores, técnicos de projeto de processo e instrumentação/automação;

— técnicos de acompanhamento operacional (engenheiros e operadores);
— técnicos de implantação e integração de sistemas;
— técnicos de manutenção das áreas de instrumentação e automação.

6.3.2.2 Sistema de Análise Estatística de Alarmes [Prática Recomendada]

Este treinamento é recomendado para:

— operadores;
— técnicos de acompanhamento operacional (engenheiros e operadores).

6.4 Operação e Monitoração

6.4.1 A análise estatística de alarmes deve fazer parte da rotina operacional, e sua frequência de
acompanhamento deve ser pelo menos mensal.

6.4.2 Os principais indicadores a serem avaliados durante a operação do sistema de alarmes são:

— alarmes mais frequentes por período (a cada dez minutos, hora, dia, semana, mês) por
estação de operação;
— tempo médio de duração de cada alarme;
— distribuição de alarmes por grupo;
— distribuição de alarmes por prioridade;
— avalanche de alarmes;
— quantidade de alarmes não reconhecidos.
— quantidade de alarmes suprimidos.

6.4.3 A partir destes dados, devem ser tomadas ações para alcançar as métricas indicadas nesta
Norma e na ANSI ISA 18.2 (item referente à métrica de desempenho de um Sistema de Alarmes). Em
caso de divergência, as métricas indicadas nesta Norma devem prevalecer.

6.5 Gestão de Mudanças, Manutenção e Auditoria

6.5.1 Toda alteração requerida em valores de ajuste, supressão do alarme, cancelamento ou

inclusão de alarme, estratégias de configuração do sistema digital etc., deverá ser controlada.

19
 -PÚBLICO-

N-2900 11 / 2010

6.5.2 A responsabilidade do desempenho do sistema de alarmes deve ser designada as equipes de

operação, podendo esta ser compartilhada junto às equipes de processo, de automação e de
manutenção. Deve ser constituído de um grupo operacional, com membros de cada especialidade,
para acompanhamento do desempenho, implementação de ações corretivas e melhorias no sistema
de alarmes.

6.5.3 Deve ser constituído um grupo gestor para o sistema de alarmes para garantir que as filosofias
e práticas adotadas sejam aplicadas uniformemente em todas as plantas existentes e para aquelas
que vierem a ser projetadas futuramente na Unidade.

6.5.4 Auditorias periódicas devem ser conduzidas de modo a verificar as filosofias e práticas vigentes
ou mesmo identificar a necessidade de revisá-las diante de “feedbacks” das áreas de projeto,
operação e manutenção.

20
 -PÚBLICO-

N-2900 11 / 2010

Anexo A - Determinação de Severidade por Perda Financeira e de Ativos

A.1 Pequenas Perturbações Operacionais ou Danos Reduzidos ou Insignificantes aos

Equipamentos

Exemplos de pequenas perturbações operacionais:

— produção fora de especificação;

— pequenas quantidades de alívio de fluidos.

Exemplos de danos reduzidos ao equipamento:

— cavitação de bombas convencionais;

— possibilidade de danos moderados ou graves em equipamentos essenciais ou não
essenciais que são causados por eventos de duração prolongada, mas que não
requerem rápida intervenção do operador.

A.2 Moderadas Perturbações Operacionais ou Danos Moderados aos Equipamentos

Exemplos de moderadas perturbações operacionais:

— perturbação na área de utilidades afetando outras áreas, como a injeção de líquido em

correntes de gás para o sistema de gás combustível;
— grandes quantidades de alívio de fluidos;
— redução de produção ou carga na unidade por até 60 minutos.

Exemplos de danos moderados ao equipamento:

— danos em equipamentos não essenciais que não dispõe de reserva;

— necessidade de reparos não custosos em equipamentos essenciais que dispõe de
reserva.

A.3 Grandes Perturbações Operacionais ou Danos Graves aos Equipamentos

Exemplos de grande perturbação operacional:

— alívio abrupto de grandes quantidades de massa causando violenta liberação de energia,

como brusca despressurização em sistemas de alta pressão;
— transbordamento de fluidos de processo;
— parada de produção total ou parcial menor que 60 minutos.

Exemplos de dano grave ao equipamento:

— cavitação em bombas de alta rotação ou em bombas de múltiplos estágios;

— necessidade de reparos custosos em equipamentos essenciais que dispõe de reserva;
— necessidade de reparos de baixo custo em equipamentos essenciais que não dispõe de
reserva.

21
 -PÚBLICO-

N-2900 11 / 2010

A.4 Perda de Produção Associada a Dano em Equipamento Essencial

Exemplos de perda de produção:

— sobretemperatura em reações exotérmicas fora de controle;

— sobrepressão em sistemas onde a malha de segurança é o dispositivo de proteção final,
devido à impossibilidade de instalação de dispositivo de alívio e segurança;
— parada total da planta por tempo indeterminado.

Exemplos de dano em equipamento essencial:

— explosão de fornos e caldeiras;

— danos mecânicos a compressores, que não dispõe de reserva, devido a passagem de
líquido;
— solidificação de produtos em linhas de grandes dimensões requerendo custosas ações
de correção;
— necessidade de reparos custosos em equipamentos essenciais que não dispõe de
reserva.

22
 -PÚBLICO-

N-2900 11 / 2010

Anexo B - Procedimento para Racionalização de Alarmes

Figura B.1 - Procedimento para Racionalização de Alarmes

23
 -PÚBLICO-

N-2900 11 / 2010

Figura B.1 - Procedimento para Racionalização de Alarmes (Continuação)

24
 -PÚBLICO-

N-2900 11 / 2010

Figura B.1 - Procedimento para Racionalização de Alarmes (Continuação)

25
 -PÚBLICO-

N-2900 11 / 2010

1 Escopo

1.1 O objetivo desta Norma é definir a filosofia do gerenciamento de alarmes da PETROBRAS. Esta
Norma se aplica a projeto, operação e manutenção de sistemas de alarmes em unidades da
PETROBRAS.

1.2 Esta Norma complementa a ANSI ISA 18.2.

1.3 Esta Norma se aplica a procedimentos iniciados a partir da data de sua edição.

1.4 Esta Norma contém requisitos técnicos e práticas recomendadas.

2 Referências Normativas

Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos (incluindo emendas).

PETROBRAS N-2595 - Critérios de Projeto e Manutenção para Sistemas Instrumentados de

Segurança em Unidades Industriais;

ANSI ISA 18.2 - Management of Alarm Systems for the Process Industries.

3 Termos e Definições

Para os efeitos deste documento aplicam-se os seguintes termos e definições.

3.1
alarme
qualquer meio auditivo ou visual que indique uma condição anormal associada ao processo ou
equipamento e que exige uma ação em um tempo restrito

NOTA O termo equipamento é aplicável também a sistemas e instrumentos.

3.2
alarme de desvio ("deviation alarm")
alarme gerado quando a diferença entre dois valores analógicos excede um limite

3.3
alarme de discrepância ("discrepancy alarm")
alarme gerado pelo erro entre a comparação de um estado esperado da planta ou equipamento para
o seu estado real

3.4
alarme incômodo (“nuisance alarm”)
alarme que anuncia excessivamente, desnecessariamente, ou não retorna para o normal depois que
a resposta correta é tomada

3.5
alerta
sinalização menos importante do que o alarme, caracterizando-se por condições operacionais que
requerem atenção, e cujas ações devem ser tomadas quando o tempo permitir

4
 -PÚBLICO-

N-2900 11 / 2010

3.13
filtro temporizador do alarme
tempo mínimo em que a variável deve permanecer continuamente além de seu valor de ajuste para
que o alarme seja anunciado

NOTA Este filtro pode ser aplicado também para remover a anunciação do alarme.

3.14
gerenciamento de alarmes
o processo e as práticas para conceber, projetar, documentar, operar, monitorar e manter um sistema
de alarmes

3.15
grupo de alarmes
um conjunto de alarmes, determinado por algum critério lógico de agrupamento, como: localização
física, função, sistema etc.

3.16
prioridade de alarme ("alarm priority")
importância relativa atribuída a um alarme dentro de um sistema de alarmes para indicar a urgência
da resposta

3.17
racionalização
análise dos alarmes a partir da filosofia de alarmes para fundamentar e documentar sua concepção
e/ou seu uso

3.18
reconhecimento ("Acknowledge - ACK")
ação que confirma ciência da anunciação do alarme

NOTA Não significa resolução da causa do alarme.

3.19
"shelving" (“shelve”)
mecanismo, tipicamente iniciado de forma manual, para temporariamente suprimir um alarme

3.20
sistema de alarmes ("alarm system")
conjunto de “hardware” e “software” que possibilita a detecção de estados de alarme, a anunciação e
registra suas alterações

3.21
supressão
qualquer mecanismo para impedir a anunciação do alarme quando a condição anormal está presente

3.22
tempo de resposta disponível ("allowable response time")
o tempo máximo entre a anunciação do alarme e o início de uma ação corretiva que deve ser tomada
para evitar as consequências da condição anormal

3.23
valor de ajuste do alarme ("alarm setpoint")
valor limiar de uma variável de processo ou estado discreto que anuncia o alarme

6
 -PÚBLICO-

N-2900 11 / 2010

5.3.2 Os alarmes devem ser priorizados em função do tempo disponível para resposta do operador,
e dos impactos causados na planta quando da ausência desta resposta. Estes impactos podem estar
relacionados à perda de produção e de ativos, meio ambiente e segurança pessoal, consideradas
dentro destas categorias os alarmes definidos para atendimento à legislação local ou a políticas
internas da companhia.

5.3.3 Durante a avaliação destes impactos, devem ser consideradas as camadas de proteção que
estão disponíveis na planta no momento da análise. Estas camadas de proteção podem ser funções
instrumentadas de segurança ou dispositivos mecânicos de proteção, como válvulas de segurança. A
ausência de camadas de proteção adequadas tende a fazer com que o alarme adquira uma
prioridade elevada. A disponibilidade de um SIS bem projetado, por exemplo, tenderá a reduzir o
impacto associado ao meio ambiente e segurança pessoal, e a aumentar o impacto associado a
perda de produção, já que na ausência de resposta do operador ao alarme, deve ser considerado que
o SIS irá atuar. Prioridades elevadas de alarmes podem indicar eventual necessidade de revisão nas
camadas de proteção superiores. Deve ser verificado o impacto em outras análises (por exemplo,
HAZOP, classificação de malhas de segurança) caso algum alarme tenha seu status alterado para
alerta ou caso seja removido.

5.3.4 Critério para Priorização de Alarmes

5.3.4.1 O critério apresentado a seguir deve ser aplicado para cada alarme. Esta análise resulta na
prioridade, que poderá ser utilizada como guia para o operador na escolha de qual alarme deve tratar
primeiro, quando dois ou mais alarmes são anunciados simultaneamente.

5.3.4.2 Determinação do Tempo de Resposta (TR)

5.3.4.2.1 A Tabela 1 deve ser utilizada para determinação do tempo de resposta.

Tabela 1 - Tempos de Resposta

TR Critério
Longo Maior que 10 minutos e menor que 1 hora
Médio Entre 3 minutos e 10 minutos
Curto Menor que 3 minutos

5.3.4.2.2 Para tempos de resposta acima de uma hora a sinalização da anormalidade deve ser
considerada como “ALERTA”.

5.3.4.2.3 Para tempos inferiores a 1 minuto, a ação do operador deve ser substituída por atuação
automática; para tempos entre 1 minuto e 3 minutos, devem ser considerados mecanismos especiais
de anunciação de alarmes e treinamento especial da equipe de operação para responder a
anormalidade.

5.3.4.3 Determinação da Prioridade

5.3.4.3.1 A prioridade do alarme deve ser obtida a partir do tempo de resposta disponível pelo
operador frente ao alarme e o impacto sobre a planta caso a ação operacional não seja aplicada.
Esta análise deve ser realizada utilizando as Tabelas 2 a 4. O maior valor de prioridade obtido deve
ser adotado.

8
 -PÚBLICO-

N-2900 11 / 2010

Tabela 2 - Determinação de Prioridade por Perdas de Produção e de Ativos (Ver

Exemplos - Anexo A)

Pequenas Moderadas
perturbações perturbações Grandes
Perda de produção
operacionais ou operacionais ou perturbações
associada a dano
TR danos reduzidos danos moderados operacionais ou
em equipamento
/ insignificantes aos equipamentos danos graves aos
essencial
aos reparáveis e de equipamentos
equipamentos baixo custo
Curto Baixa Média Alta Alta
Médio Baixa Baixa Média Alta
Longo Baixa Baixa Baixa Média

Tabela 3 - Determinação de Prioridade por Danos ao Meio Ambiente

Liberação para dentro dos limites Liberação para fora dos limites
TR geográficos da companhia com geográficos da companhia com
conseqüências ambientais conseqüências ambientais
Curto Alta Crítica
Médio Alta Crítica
Longo Média Alta

Tabela 4 - Determinação de Prioridade por Danos as Pessoas

TR Lesão com ou sem afastamento Invalidez ou morte

Curto Crítica Crítica
Médio Crítica Crítica
Longo Alta Crítica

5.3.4.3.2 Não devem existir, para uma mesma planta, critérios de priorização diferentes. Ampliações
ou adaptações de novas instalações em plantas existentes devem passar por uma revisão do critério
de priorização de acordo com esta norma.

5.4 Indicadores de Desempenho

5.4.1 Para plantas operando em regime permanente deve-se buscar o valor de 12 alarmes por hora
por operador, como valor máximo gerenciável.

5.4.2 Avalanche de alarmes é caracterizada na ANSI ISA 18.2 como mais de 10 alarmes
em 10 minutos, por operador. Avalanche de alarmes deve ser evitada através da implementação de
estratégias de detalhamento e implementação indicadas nesta Norma.

5.4.3 Recomenda-se que a distribuição de prioridades para todos os alarmes configurados seja
baseada na Tabela 5. [Prática recomendada]

9
 -PÚBLICO-

N-2900 11 / 2010

Tabela 5 - Métricas Após Configuração no Sistema Digital

Prioridade do alarme Número de alarmes configurados

Crítico Menor ou igual a 1 % do total
Alto Cerca de 5 % do total
Médio Cerca de 15 % do total
Baixo Cerca de 80 % do total

5.4.4 A distribuição estatística de alarmes por prioridade durante a operação de uma planta em
regime permanente deve ser conforme a Tabela 6.

Tabela 6 - Métricas de Desempenho por Prioridade Durante Operação em Regime

Permanente

Prioridade do alarme Taxa máxima a ser buscada

Crítico Ver Nota
Alto Menor do que 5 por turno
Médio Menor do que 2 por hora
Baixo Menor do que 10 por hora
NOTA Devido às conseqüências associadas a este tipo de alarme é
desejável que a taxa a ser buscada seja zero.

6 Ciclo de Vida da Atividade de Gerenciamento de Alarmes

A atividade de “Gerenciamento de Alarmes” é um processo que pode ser observado na forma de um

ciclo, conforme apresentado pela ANSI ISA 18.2.

A atividade de gerenciamento de alarmes deve envolver os projetos básicos e detalhamento da

planta, a etapa de configuração e teste de sistemas digitais e a fase de operação e manutenção da
planta.

6.1 Identificação e Racionalização

6.1.1 Os alarmes discriminados nas Folhas de Dados de Processo de Instrumentos devem ser
definidos pelo responsável da área (processo, utilidades, equipamento etc.) durante o projeto básico
da planta.

6.1.2 Todos os alarmes deverão ser racionalizados e documentados. Informações complementares a

respeito dos alarmes definidos durante o projeto básico deverão ser fornecidas na Lista Preliminar de
Alarmes e Pontos de Ajuste.

6.1.3 A Lista Preliminar de Alarmes e Pontos de Ajuste deve incluir a causa iniciadora, ação
operacional, tempo de resposta do operador, o impacto ou conseqüência da não intervenção
operacional, prioridade do alarme e estratégias para supressão, caso aplicáveis.

10
 -PÚBLICO-

N-2900 11 / 2010

— capacidade de monitoração e avaliação de desempenho dos alarmes;

— facilidades para geração de relatórios.

6.2.1.2 Como parte do sistema de alarmes, deverá ser disponibilizado um sistema de coleta de
dados para tratamento estatístico dos alarmes, preferencialmente em tempo real, de modo a
possibilitar a avaliação de desempenho da planta frente a situações anormais e o gerenciamento dos
alarmes ao longo da vida útil da planta.

6.2.1.3 Toda informação acerca dos alarmes da planta deverá ser incorporada na base de dados
deste sistema, que deverá incluir toda documentação histórica do alarme permitindo sua atualização
durante os processos de gestão de mudanças.

6.2.2 Implementação de Estratégias de Processamento nos Sistema de Alarmes

6.2.2.1 Estratégias para processamento de alarmes devem ser implementadas em nível de

configuração no SSC para supressão de alarmes em tempo real, viabilizando a disponibilização
racional de informações para o operador, minimizando a quantidade de alarmes e aumentando a
confiabilidade da planta.

6.2.2.2 As estratégias de processamento devem ser implementadas a partir do conhecimento da

planta e do equipamento de modo a levá-las sempre para uma situação de melhor confiabilidade
operacional.

6.2.2.3 Estratégias de Processamento

6.2.2.3.1 Alarmes Associados a Controles Automáticos do Tipo “ON-OFF”

Ações associadas a controles automáticos do tipo liga-desliga equipamento ou abre-fecha válvula

“ON-OFF” devem operar segundo a seguinte estratégia: quando o equipamento for comandado e
este responder corretamente ao comando, não deve ser gerado um alarme. Esta ação deve ser
caracterizada como um evento.

EXEMPLO 1

Partida automática de bomba reserva - quando uma bomba reserva parte automaticamente
por pressão baixa na descarga, o alarme de pressão baixa deve ser anunciado somente
após um tempo ajustável, que leva em consideração o transiente de recuperação de
pressão ocasionado pela partida da bomba. Caso a pressão não se restabeleça após este
tempo, o alarme deve ser anunciado. O estado de operação da bomba reserva deve ser
anunciado como um evento.

EXEMPLO 2

Esgotamento automático de líquido de vasos - quando um controlador comanda a abertura

de uma válvula a partir do nível alto em um vaso, nem o comando nem a abertura da
válvula em si devem gerar alarmes; o alarme deve ser anunciado caso a válvula não venha
a ser aberta após um tempo esperado, ou o nível atinja um valor alto acima do valor
ajustado para abertura automática da válvula.

6.2.2.3.2 Alarmes Configurados na Mesma Variável

6.2.2.3.2.1 Quando da existência de dois alarmes para uma mesma variável, em dois níveis, o
segundo alarme deve suprimir o primeiro. Assim, alarmes do tipo “muito alto” devem suprimir alarmes
do tipo “alto”, e alarmes do tipo “muito baixo” devem suprimir alarmes do tipo “baixo”.

13
 -PÚBLICO-

N-2900 11 / 2010

EXEMPLO 4

Parada indevida de bomba deve gerar alarme associado a anormalidade que causou sua
parada. Parada da bomba comandada pelo operador não deve gerar um alarme.

6.2.2.3.8 Alarmes Associados a Instrumentos Redundantes

Alarmes de instrumentos redundantes devem ser exibidos como um único alarme quando ocorrer a
condição anormal.

EXEMPLO

Quando para uma mesma variável existir um instrumento associado a uma malha de
controle e uma redundância 2 de 3 entre instrumentos associados ao SIS, um único alarme
deverá ser anunciado quando qualquer destes instrumentos acusarem a situação anormal.
Telas de detalhe poderão mostrar, no entanto, todos os alarmes associados a cada
instrumento.

6.2.2.3.9 Alarmes e SIS

Os alarmes que antecederem a um evento de “trip”, e forem relacionados ao “trip”, deverão ser
suprimidos caso o “trip” venha a ocorrer.

6.2.2.3.10 Alarmes Relacionados

Quando da existência de alarmes estreitamente relacionados, somente um deles deve ser anunciado.

EXEMPLO

Suprimir o segundo alarme entre vazão baixa e pressão baixa na descarga de uma bomba
caso por detrás destes alarmes somente venha a existir uma única ação operacional.

6.2.2.3.11 Banda Morta

As bandas mortas são recomendadas para reduzir a quantidade de alarmes incômodos. Os valores
para estas bandas são uma referência inicial e são sugeridas em função da variável de processo. Os
valores de referência para banda morta estão descritos na ANSI ISA 18.2. Ajustes nos valores devem
ser realizados a partir da experiência operacional.

6.2.2.3.12 Filtros Temporizadores

6.2.2.3.12.1 Devem ser previstos 2 parâmetros para filtros temporizadores: um para anunciação
(“on-delay”) e outro para remover a anunciação (“off-delay”).

6.2.2.3.12.2 Este mecanismo de filtragem deve ser atendido de forma diferenciada do mecanismo
que executa a filtragem de sinais de ruído em transmissores.

6.2.2.3.12.3 O valor de referência para todos os tipos de variáveis medidas é de 5 s, podendo ser
diferentes para a anunciação ou remoção da anunciação.

6.2.2.3.12.4 Os valores desses filtros são uma referência inicial. Ajustes nos valores devem ser
realizados a partir da experiência operacional, especialmente em função do tempo de resposta
disponível para o operador.

16
 -PÚBLICO-

N-2900 11 / 2010

6.2.2.3.13 Reconhecimento Automático de Alarmes

6.2.2.3.13.1 Alarmes de baixa prioridade podem ser reconhecidos automaticamente pelo SSC,
quando a condição para anunciação do alarme deixar de existir. [Prática Recomendada]

6.2.2.3.13.2 Alarmes de outras prioridades preferencialmente devem ser reconhecidos pelo

operador. [Prática Recomendada]

6.2.3 Práticas para Projeto de Interface no Sistema de Alarmes

6.2.3.1 Os alarmes de prioridade mais alta devem ser destacados em relação aos alarmes de
prioridade mais baixa, sonora e visualmente.

6.2.3.2 A critério da unidade, os alarmes classificados como de prioridade crítica poderão ser
anunciados também da mesma forma como os de prioridade alta.

6.2.3.3 Sugere-se a utilização de painéis anunciadores de alarmes, ligados diretamente ao cartão de

saída dos controladores, para os alarmes de prioridade crítica da planta. [Prática Recomendada]

6.2.3.4 A lista de alarmes deve estar separada da lista de eventos nas IHM e deve conter os alarmes
de todas as prioridades.

6.2.3.5 Os alarmes devem ser listados por estado, iniciando pelos não reconhecidos, e por ordem
cronológica. Deve existir a possibilidade de filtragem ou ordenação por prioridade, estado, grupo e
tipo de alarme.

EXEMPLO

Grupos de alarmes: alarmes de sistemas, alarmes de falha de instrumentos, alarmes de

processo etc.

6.2.3.6 A anunciação dos alertas deve ser inserida na lista de alarmes. Em caso de ordenação por
prioridade, os alertas deverão ser listados após os alarmes de prioridade baixa.

6.2.3.7 A indicação de falha de instrumento ou equipamento deve ser configurada como alarme ou
alerta, dependendo da urgência para acionamento da equipe de manutenção.

6.2.3.8 Alarmes de instrumentos inoperantes e em manutenção devem ser agrupados. A inserção

neste agrupamento deve ser controlada.

6.2.3.9 Os alarmes também devem ser agrupados e apresentados filtrados por área da planta. Estes
grupos poderão ser apresentados em estações de operação distintas dependendo de como será
distribuída a responsabilidade de operação das diversas áreas da planta.

EXEMPLO 1

Em plantas de produção, pode-se implementar os seguintes grupos por estação de

operação:

— Produção e Fogo&Gás;

17
 -PÚBLICO-

N-2900 11 / 2010

Anexo B - Procedimento para Racionalização de Alarmes

Iniciar a
racionalização do
alarme

Descrever os seguintes dados do

alarme:
identificador (tag);
tipo do alarme;
possíveis causas; e
possíveis impactos.

Existe no mínimo
uma ação que o N
operador deve Tratar como EVENTO.
executar para
tratar este

Descrever as ações que devem ser

executadas pelo operador para que
a condição que ativou o alarme 4
retorne para a sua condição de
normalidade.

O tempo para
que o operador S Implementar uma ação
execute as ações automática.
necessárias é
menor do que um

Selecionar, na “Tabela de Tempo de

Resposta“, o tempo
necessário para que o operador
execute todas as ações.

1 2

Figura B.1 - Procedimento para Racionalização de Alarmes

23
 -PÚBLICO-

N-2900 11 / 2010

1 2

O tempo de
S
resposta Tratar como um ALERTA.
é maior do que
uma hora?

Selecionar a prioridade na tabela

“Danos à Produção / Equipamento”
considerando o tempo de resposta
definido.

Selecionar a prioridade na tabela

“Danos ao meio ambiente”
considerando o tempo de resposta
definido.

Selecionar a prioridade na tabela

“Danos as pessoas” considerando o
tempo de resposta definido.

A prioridade do alarme será a maior

prioridade encontrada dentre as três
prioridades identificadas
anteriormente
(produção/equipamentos, meio
ambiente e pessoas).

3 2

Figura B.1 - Procedimento para Racionalização de Alarmes (Continuação)

24
 -PÚBLICO-

N-2900 11 / 2010

3 2

É permitido a supressão N Documentar que o alarme

do alarme? não permite supressão.

Informar a estratégia de supressão.

O valor
do ajuste do alarme
está muito próximo do ponto S Alterar o a ponto de ajuste do
de operação e isso pode
alarme.
provocar o acionamento do
alarme mais
frequentemente?

N 4

Encerrar a racionalização do alarme.

Figura B.1 - Procedimento para Racionalização de Alarmes (Continuação)

25