Prévia do material em texto
Tema 9 – BTA 1. Evento crítico 2. Controles com probabilidades. 3. Tabela de probabilidades 4. Gerenciando controles e custos Introdução ao BTA quantitativo – Evento crítico Nas ferramentas que permitem explicitar controles, caso se tenha dados suficientes e adequados, pode-se estimar a efetividade destes controles. A efetividade pode ser expressa pela probabilidade do controle de prevenção falhar, e uma ameaça conduzir ao evento crítico. Vamos analisar o caso de controles de prevenção na ferramenta BTA, iniciando pela definição de evento crítico e revendo a hierarquia de controles. Evento crítico Qualquer BTA deve antes de mais nada ter seu evento crítico bem definido. O evento crítico é aquele a partir do qual se perde o controle, e as consequências se desenvolvem. Assim, a seleção correta do evento crítico precede qualquer sistema de controles de prevenção que se queira colocar. Exemplo: A formação de uma atmosfera explosiva, num dado espaço confinado, caracteriza um evento crítico? Consideremos a ferramenta conhecida como triângulo de Coward (TriC). Ela permite se colocar 3 componentes num plano: - a concentração de ar fresco (concentração quando pode se iniciar a explosão / fogo) – 21% O2, 78,6% N2, 0,4% CO2 - a concentração do combustível – CH4, CO, H2, etc. - a concentração de gás um inerte, que pode aumentar a medida que a explosão / fogo se propaga, diminuindo a proporção O2 no ar fresco O TriC permite se definir as regiões que podem explodir quando não se tem ar fresco, mas ar com inertes (como N2 ou CO2.) A existência de uma atmosfera com gás explosivo não é necessariamente uma condição perigosa. A CP só aparece se estivermos dentro do triângulo de Coward (TriC). Neste caso temos uma condição perigosa, que pode gerar um evento crítico se surgir uma fonte de calor com energia suficiente. O momento do início da explosão é o evento crítico, quando se perde o controle do processo químico da reação dos gases. A importância do evento crítico estará diretamente associada à seleção dos controles e ao entendimento de seu funcionamento. Qual o evento crítico? Análise dos controles Vamos discutir: a) São controles de prevenção ou de mitigação? b) Atuam na probabilidade ou na consequência do risco? c) Atuam na condição perigosa (“hazard”), no perigo (“danger”) d) Se inserem em qual nível da hierarquia de controles? Hierarquia acordada: Eliminação – Redução / substituição – Engenharia (isolamento, enclausuramento, EPC) administrativo EPI Exemplo 1 – Robôs A01 PB Exemplo 2 – Faixa de pedestres A02 PB Exemplo 3 – Condições no espaço A03 PB Exemplo 4 – CP ao urinar na estrada A04 PB Estes controles estariam aonde na hierarquia? (verde – nível alto / amarelo – administrativo /vermelho – EPI) hiper aulas/A 01 Petrobot/A01 The PETROBOT Project[1].mp4 hiper aulas/A02 SECURITE ROUTIERE LE SIMULATEUR D'IMPACT.wmv hiper aulas/A03 Dansl_espace.wmv hiper aulas/A04 Quase acidente ao urinar na estrada.mp4 Tema 9 – BTA 1. Evento crítico 2. Controles com probabilidades. 3. Tabela de probabilidades 4. Gerenciando controles e custos Introduzindo probabilidades nos controles de prevenção de um BTA Princípios para entender LOPA (Layers of Protection Analysis) Consideremos um BTA com 4 CPs grafadas CP(a), CP(b), CP(c) e CP(d). Admitamos que cada condição perigosa tenha um único caminho que leve ao evento crítico, cada caminho sendo denominado de ameaça, ou seja, A(a), A(b), A(c) e A(d). Vamos analisar o que acontece quando colocamos controles de prevenção nas ameaças, sejam em série numa única ameaça, sejam em paralelo em diversas ameaças. Quatro CPs (a, b, c, d) , cada uma gerando uma ameaça que conduz ao evento crítico (Aa, Ab, Ac e Ad). Vamos colocar controles nas ameaças, e combinar controles em sistemas de proteção por ameaça e para o grupo de ameaças. Focamos primeiro na ameaça (a). Coloquemos um controle de prevenção C(1,a) = controle número 1 na ameaça a (Aa). Admitamos que a probabilidade de falha tenha sido estimada em 0,1 ou 10% para C(1,a). Lembre-se do queijo suíço! Controle C(1,a) com probabilidade de falha de 0,1. Qual seria a confiabilidade? A probabilidade do controle falhar é 0,1 e a confiabilidade é de: 1 – 0,1 = 0,9. Pode-se imaginar que o controle falhará 10% das vezes em que for acionado. Se esta probabilidade de falha não for aceitável, podemos colocar mais controles em série na mesma ameaça. Seja um segundo controle C(2,a), com probabilidade de falha de 0,15 e um terceiro controle C(3,a) com probabilidade de falha de 0,2. Admitimos que os controles são independentes. Qual seria a probabilidade da ameaça se concretizar no evento crítico, ou seja, se atravessar 3 fatias do queijo suíço? Este valor se localiza em que zona na figura de ALARP / ALARA? É maior que 10-3 ! Seria intolerável! A probabilidade de que o sistema de controle em série da ameaça A(a) falhe é dado pela multiplicação das probabilidades, ou seja: 0,1 x 0,15 x 0,2 = 0,003 = 3 x 10-3 19 Redução do risco independente do custo Boas práticas relevantes Mais Medidas de redução do risco Até Esforço desproporcional ao benefício Manutenção de boas práticas Tolerável se ALARP deve considerar medidas possíveis para reduzir o risco Geralmente Aceitável < 1 x 10-5 Tolerável, mas deve continuar sendo controlado usando um sistema de gerenciamento de risco Risco Intolerável > 1 x 10-3 Requer ação urgente e significativa Se for preciso reduzir a probabilidade, pode-se colocar mais controles, e estes podem ser colocados novamente em série. Ou se for desejável, podemos colocar em substituição aos 3 controles existentes, outros controles de melhor qualidade de modo a se chegar a uma probabilidade de 10-5 ou menos. Por exemplo, colocar controles com as probabilidades de falha de 0,01, 0,02 e 0,03. A probabilidade de falha simultânea deste sistema seria: 0,01 x 0,02 x 0,03 = 0,000 006 = 6 x 10-6 Ou seja, fica-se na zona tolerável. Até agora focamos apenas em uma ameaça, a ameaça A(a). Vamos analisar 2 ameaças em conjunto, quando os controles ficarão numa forma paralela. Sejam os controles C(1,a) para a ameaça A(a) e o controle C(1,b) para a ameaça A(b). Admitamos que cada um seja independente do outro e que suas probabilidades de falha sejam respectivamente 0,1 e 0,2. Qual a probabilidade de que a ameaça a (Aa) ou a ameaça b (Ab), conduzam ao evento crítico pela falha de pelo menos um dos controles (C1,a) ou C(1,b)? Vamos ao espaço amostral das possibilidades: C(1,a) falha e C(1,b) falha = 0,1 x 0,2 = 0,02 C(1,a) falha e C(1,b) não falha = 0,1 x 0,8 = 0,08 C(1,a) não falha e C(1,b) falha = 0,9 x 0,2 = 0,18 C(1,a) não falha e C(1,b) não falha = 0,9 x 0,8 = 0,72 Somatória = 1,00 Probabilidade de falha do sistema: 0,02 + 0,08 + 0,18 = 0,28 Ou: 1 – 0,72 = 0,28 A probabilidade de falha do sistema ocorre quando pelo menos um dos controle falha, sendo de 0,28 A probabilidade de falha para o par de ameaças em paralelo não é a soma 0,1 + 0,2 = 0,3. É apenas 0,28. Caso se tivesse 4 controles, um para cada ameaça, com as taxas de falha respectivamente de 0,1, 0,15, 0,20 e 0,25, qual seria a probabilidade de falha do sistema relativo aos 4 controles agindo simultaneamente? Para que nenhum controle falhasse teríamos: 0,9 x 0,85 x 0,80 x 0,75 = 0,459 Portanto P(falha, sistema): 1 – 0,459 = 0,541 Assim 0,541 (54%) reflete a probabilidade de pelo menos 1 controle falhar e se chegar ao evento crítico !!!!! Ou seja, mais de 50% de chance de alguma ameaça levar ao evento crítico. É necessário se melhorar os controles, ou colocar em cada ameaça mais controles em série. n P(falha) = 1 - (1- Pj) j=1 A generalização deste problema leva a fórmula a seguir. Exercício: Aplicar a fórmula abaixo aos exemplos dados e checar os resultados numéricos. Tema 9 – BTA 1. Evento crítico 2. Controles com probabilidades. 3. Tabela de probabilidades4. Gerenciando controles e custos Tabela de probabilidades dos controles Podemos considerar um sistema de controles de prevenção, seguindo a nomenclatura usada até agora e os colocar numa tabela de probabilidades. Sejam m ameaças, cada uma com n controles. A tabela terá m colunas, e n linhas. Os controles da ameaça J ficarão na coluna J. Admitimos que todos os controles são independentes. A figura ilustra a disposição dos controles e das ameaças. C(1,1) C(1,2) C(1,3) ........... C(1,m) C(2,1) C(2,2) C(2,3) ........... C(2,m) C(3,1) C(3,2) C(3,3) ........... C(3,m) ......... .......... ........... ........... ........... C(n,1) C(n,2) C(n,3) ......... C(n, m) Ameaça 1 Ameaça 2 Ameaça 3 Ameaça m Controle 1 Controle 2 Controle 3 Controle n ........... .. . . Tabela de ameaças, controles e probabilidades Se ornarmos a tabela com mais uma linha inferior, podemos colocar nela as probabilidades de falha de cada ameaça com seus n controles em série. C(1,1) C(1,2) C(1,3) ........ C(1,m) C(2,1) C(2,2) C(2,3) ......... C(2,m) C(3,1) C(3,2) C(3,3) ........ C(3,m) ....... ....... ....... ....... ......... C(n,1) C(n,2) C(n,3) ......... C(n, m) C(j,1) C(j,2) ....... ...... C(j,m)j = 1, ... n Esta última linha se refere às probabilidades de falha conjunta de todos os controles em série de uma dada ameaça. Se quisermos calcular a probabilidade de falha de todas as m ameaças, cada uma com seu conjunto de n controles, basta usar a fórmula para a última linha n: P(falha) = 1 - (1- Pj) (j = 1, ...., n) Exemplo: Seja um sistema de controle de prevenção de ameaças, com 2 ameaças e 2 controles por ameaça. Sejam todas as probabilidades de falha de cada controle igual a 0,01. Solução - Teremos uma tabela quadrada, 2 x 2, da forma: 0,01 0,01 0,01 0,01 0,000 1 0,000 1 P (falha sistema) = 1 – (0,9999) x (0,9999) = 1 – 0,999 800 0 1 P (falha sistema) = 0,000 199 999 ou cerca de 0,000 2 = 0,02% Assim, a probabilidade de falha do sistema de 2 ameaças com 2 controles em cada uma é de: P(falha sistema) = 0,000 199 99 = 1,9999 x 10-4 Ou seja , cerca de 2 x 10-4 Assim, estamos dentro da zona média de ALARP e temos as alternativas: 1 - colocar mais controles em série em cada ameaça 2 - melhorar os controles já existentes Tema 9 – BTA 1. Evento crítico 2. Controles com probabilidades. 3. Tabela de probabilidades 4. Gerenciando controles e custos Neste ponto entram as seguintes considerações técnico-econômicas: a) Quanto custa cada controle adicional a ser colocado em série em cada ameaça? b) Quantos destes controles em série serão necessários até se atingir o nível de controle da zona tolerável sob ALARP? c) Quanto custa melhorar cada controle pré-existente? d) Quantos controles pré-existentes deverão ser melhorados individualmente até se atingir a zona tolerável ALARP? e) Se as probabilidades de falha dos controles fossem diferentes, qual ameaça seria a mais crítica e qual deveria ser gerenciada primeiro? Exercício – Seja o conjunto de 4 ameaças, cada uma com seu número específico de controles e cada controle com sua probabilidade de falha. A figura ilustra este sistema. Pede-se: 1 – qual a probabilidade de falha de cada ameaça? 2 – para cada ameaça em que zona se está com relação ao risco: zona tolerável, ALARP ou zona intolerável? 3 – qual a probabilidade de falha do sistema de ameaças em conjunto? 4 - para esta falha do sistema de ameaças em que zona se está: tolerável. ALARP ou intolerável? 5 – desejando-se chegar a valor igual ou menor que 10-5, qual o melhor caminho econômico para cada ameaça e para o sistema? Os controles tem suas probabilidades de falha e preços: para 10-1, 5 mil reais; para 10-2, 10 mil reais; para 10-3, 25 mil reais; para 10-4, 100 mil reais. As probabilidades de falhas individuais e independentes de cada controle são: C(1,a) = 0,01 C(2,a) = 0,02 C(1,b) = 0,03 C(1,c) = 0,04 C(1,d) = 0,05 C(2,d) = 0,05 C(3,d) = 0,01 Solução: 1 - Vamos montar a tabela de probabilidades de falha. Ela não será retangular, mas na forma de uma poligonal. Para se ter uma tabela completa retangular, podemos preenche-la com controles fictícios com probabilidade de falha igual a 1. Ou seja, como se não existisse controle. 0,01 0,03 0,04 0,05 0,02 1 1 0,05 1 1 1 0,01 0,000 2 0,03 0,04 0,000 025 2 x 10-4 ALARP 3 x 10-2 Não tolerável 4 x 10-2 Não tolerável 2,5 x 10-5 ALARP A última linha nos mostra as probabilidades de falha em notação adequada para se comparar com as zonas tolerável, ALARP e não tolerável. 2 - A ameaça 1 está na zona ALARP e precisa ser analisada com cautela. As ameaças 2 e 3 estão na zona intolerável e precisam de imediatas melhorias nos controles. A ameaça 4 tem controle num nível quase adequado. 3 - Para o sistema de 4 ameaças a probabilidade de falha será: P(sistema falhar) = 1 – {(1-0,0002) x (1-0,03) x (1-0,04) x x (1 – 0,000 025) } P = 1 – {0,9998 x 0,97 x 0,96 x 0,999 975 } P = 1 – 0,930 990 484 = 0,069 009 = 6,9% P = 6,9 x 10-2 4 - O sistema tem probabilidade de falha na zona intolerável. Medidas de controle devem ser tomadas imediatamente. 5 - O sistema está numa zona requerendo ação imediata quanto ao controle das ameaças. Temos quase 7% de chance de se atingir o evento crítico! As ameaças 2 e 3 devem ser imediatamente gerenciadas. Para as ameaças 2 e 3 devemos implementar controles, de modo a passar de 10-2 para 10-5. E os controles tem os preços: para 10-1, 5 mil reais; para 10-2, 10 mil reais; para 10-3, 25 mil reais; para 10-4, 100 mil reais. Poder-se-ia tentar as alternativas: A - Colocar 3 controles em série, cada um com probabilidade de falha de 0,1 ou 10-1, tanto para a ameaça 2 como para a 3. Custo: 15 mil + 15 mil = 30 mil reais B - Colocar um controle de probabilidade de falha 10-3 em cada ameaça. Custo: 25 mil + 25 mil = 50 mil reais. Vamos analisar o que acontece no caso A e depois no caso B. 0,01 0,03 0,04 0,05 0,02 0,1 0,1 0,05 1 0,1 0,1 0,01 1 0,1 0,1 1 0,000 2 0,000 03 0,000 04 0,000 025 ALARP ALARP ALARP ALARP Caso A Individualmente melhoramos as ameaças 2 e 3. Vamos ver como fica o conjunto de ameaças. P(A) = 1 – { (1 - 0,000 2) x (1 – 0,000 03) x (1 – 0,000 04) x X (1 – 0,000 025) } P(A) = 1 – { 0,999 8 x 0,999 97 x 0,999 96 x 0,999 975 } P(A) = 1 – 0,999 705 P(A) = 0,000 295 Ou seja, a probabilidade de alguma ameaça conduzir ao evento crítico é de 2,95 x 10-4, dentro da zona ALARP. A decisão deve ser muito cuidadosa quanto a não melhorar os controles. Custo até aqui 30 mil reais. 0,01 0,03 0,04 0,05 0,02 0,001 0,001 0,05 1 1 1 0,01 0,000 2 0,000 03 0,000 04 0,000 025 2 x 10-4 ALARP 3 x 10- 5 ALARP 4 x 10-5 ALARP 2,5 x 10-5 ALARP Caso B - um controle de probabilidade de falha 10-3 em cada ameaça. Chegamos a resultado similar ao caso A, mas com uma solução mais cara, 50 mil reais. Uma alternativa C seria agora mexer na ameaça 1, que está na zona ALARP, em adição às ações do caso A. Adicionemos mais um controle de probabilidade de falha 0,1 na ameaça 1. 0,01 0,03 0,04 0,05 0,02 0,1 0,1 0,05 0,1 0,1 0,1 0,01 1 0,1 0,1 1 0,000 02 0,000 03 0,000 04 0,000 025 ALARP ALARP ALARP ALARP Vamos então verificar para o sistema de ameaças: P(C) = 1 - { (1 – 0,000 02) x (1 – 0,000 03) x (1 – 0,000 04) x x (1 – 0,000 025) } P(C) = 1 – {0,999 98) x 0,999 97 x 0,999 96 x 0,999 975 } P(C) = 1 – 0,999 885 005 P(C) = 1,149 951 x 10-4 Com relação ao caso A, reduzimos de 2,95 x 10-4 para 1,15 x 10-4 mas o sistema ainda está dentro da zona ALARP. Olhando a tabela para o caso C, a ameaça 3 agora tem o mais alto valor. Deveríamos tentar mais controle nela e na ameaça 2. Lembramos que já gastamos até agora 35 mil reais. 0,01 0,03 0,04 0,05 0,02 0,1 0,1 0,05 0,1 0,1 0,1 0,01 1 0,1 0,1 1 0,000 02 0,000 03 0,000 04 0,000 025 ALARP ALARP ALARP ALARP As análises prosseguem até que tenhamos zona tolerável para cada ameaça e para o sistemade ameaças. Sempre devemos manter: Um olhar no micro (cada ameaça individual) E UM OLHAR NO MACRO (sistema paralelo de ameaças). Observações finais Hierarquia de controles e a tabela de probabilidades de falha 1 - Esta análise deve ser conduzida até que todas as ameaças individuais se tornem toleráveis e o sistema como um todo também. 2 - O quanto se deseja de controle está relacionado ao nível de risco que você admite e aos custos que podem ser arcados. 3 - Existem muitos tipos de controle, controles mais ou menos inteligentes, mais ou menos caros, mais ou menos automatizados, etc. A seleção de controles deve sempre ter por base a experiência operacional (é essencial). 4 - Na tabela de probabilidades de falha dos controles, a atividade de um controle inoperante, pode ser feita com a introdução do número 1. Isto significa que o controle falhará sempre, ou seja, ele não funcionará. É como se não existisse naquele intervalo de tempo de duração de sua inatividade. Um exemplo seria um controle que dependesse de energia elétrica, se ela faltar, ele não funcionará e podemos colocar o número 1 na célula correspondente da tabela. Este valor unitário será mantido pelo tempo em que faltar eletricidade. 5 - No topo da hierarquia de controles, temos o melhor controle que é a eliminação da condição perigosa. A eliminação de uma condição perigosa, elimina a ameaça, e isto equivale a colocar um zero na coluna correspondente aos controles da ameaça. A probabilidade de falha se anula para aquela ameaça. 6 – Na base da hierarquia de controles, temos o EPI. Ele pode controlar uma ameaça, atuando na prevenção quanto a se atingir o evento crítico. Por exemplo, usar luvas de borracha para evitar choques. Neste contexto pode ocorrer da luva apenas diminuir o choque, não deixando ele atingir um nível crítico, que cause lesões ou ferimentos. Mas é difícil quantificar a probabilidade associada, pois depende de muitos fatores não mensuráveis ou de difícil obtenção de dados. O EPI pode também aparecer no lado direito do BTA, mitigando as consequências decorrentes do evento crítico. Neste caso ele não é um controle de prevenção e não poderia aparecer na tabela de probabilidades de falha dos controles de prevenção. O EPI não se adequa bem à tabela de probabilidades de falha numa posição de prevenção. 7 – O controle de redução da CP aparece na tabela como uma ameaça distinta, para a qual os controles devem ser reestudados. Por exemplo, se o estoque de 10 mil litros de querosene for reduzido a 100 litros, os controles para dez mil litros poderão ser distintos dos controles para 100 litros. O mesmo ocorre para a substituição da CP, pois outra CP surge e diferentes controles devem ser analisados. Exemplo - Substituir amianto por lã de vidro introduz problemas decorrentes do uso da lã de vidro, que são distintos daqueles causados pelo amianto. 8 – Os controles ditos de engenharia, englobando barreiras, enclausuramento, isolamento e EPC ( equipamentos de proteção coletiva) não atuam na CP. Eles atuam no perigo, ou seja, tentam eliminar ou diminuir a exposição ou contato com a condição perigosa. Exemplo - Consideremos um leão. Em si ele é uma condição perigosa mas dentro de uma jaula, está controlado pelo enclausuramento. A eficiência do controle dependerá da grossura e da resistência das barras da jaula, do seu estado de conservação, do espaçamento entre elas, etc. Estes controles (EPC) em geral procuram eliminar ou diminuir muito o contato / exposição. Neste contexto, o valor na tabela seria zero para eliminação do contato, podendo variar até próximo de zero para ampla redução da exposição. 9 – Os controles administrativos podem ser considerados de prevenção, mas as suas probabilidades de falha são de difícil estimativa, pois a falha estará associada a algum dos 6 tipos de erro humano. O modelo do queijo suíço, com inúmeros “furos” estáticos, é adequado à tabela de probabilidades de falhas para instrumentação e equipamentos. As probabilidades de falha podem ser substituídas por frequências de falha, obtidas de cadastros ao longo de anos. Já o modelo de membranas, mais apropriado ao erro humano, não é adequado para introdução na tabela de probabilidades de falha usada nos exemplos dados. Isto decorre da dificuldade de introduzir quantificação de probabilidades de falha para erros humanos, mesmo com o uso de ferramentas como THERP, ATHEANA, CREAM ou HEART. Exemplo - A exceção seria, por exemplo, eliminar o erro humano nas construções de paredes, eliminando-se o elemento erro humano e colocando robôs. A05 PB Exemplo - Porque errar é humano. Como controlar o erro humano em trabalho em altura ( > 1,8 m)? A06 PB Exemplo - Filme Internet das coisas A07 PB hiper aulas/A05 O fim dos pedreiros.wmv hiper aulas/A06 Trabalho em altura em casa video.mp4 hiper aulas/A07 filme internet das coisa na mina.mp4 BTA Boa Tarde Amigos! “The only man who makes no mistake is the man who does nothing.” Theodore Roosevelt Tema 9 – BTA ✓ Evento crítico ✓ Controles com probabilidades. ✓ Tabela de probabilidades ✓ Gerenciando controles e custos Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27 Slide 28 Slide 29 Slide 30 Slide 31 Slide 32 Slide 33 Slide 34 Slide 35 Slide 36 Slide 37 Slide 38 Slide 39 Slide 40 Slide 41 Slide 42 Slide 43 Slide 44 Slide 45 Slide 46 Slide 47 Slide 48 Slide 49 Slide 50 Slide 51 Slide 52 Slide 53 Slide 54 Slide 55 Slide 56 Slide 57 Slide 58 Slide 59 Slide 60 Slide 61 Slide 62 Slide 63 Slide 64 Slide 65