Domando o sistema de alarmes selvagens, Parte 1
Como entramos nessa confusão?
25 de abril de 2022
Bill Hollifield
Você já viu isso em filmes. Provavelmente dramatizado demais, mas não muito. Um grande problema em alguma sala de controle (não importa de que tipo) surgiu. Pode ser devido a um defeito, terroristas ou até mesmo alienígenas. As telas de controle do computador acendem e começam a piscar. Buzinas estão tocando e faróis giratórios são ativados. Todos estão chocados e confusos — é uma cena caótica.
Parece exagero? Não é. Nos minutos que antecederam os grandes acidentes envolvendo processo reais, os operadores muitas vezes se depararam com centenas a milhares de alarmes ocorrendo em apenas alguns minutos. Eles se deparam com listas de alarmes rolando rápido demais para serem lidas, processam gráficos de computador cobertos por símbolos brilhantes e avisos sonoros que se repetem assim que são silenciados. O sistema de alarme torna-se uma distração incômoda para o operador, em vez de uma ferramenta útil para ajudar a enfrentar com condições anormais. A probabilidade de um resultado bem-sucedido para a situação diminui e interrupções no processo ou até mesmo danos podem ocorrer. Então, como nossos sistemas de alarme ficaram tão ruins?
Uma breve história
Como muitos problemas, isso começou com a melhor das intenções. Nos velhos tempos (digamos, antes da década de 1990), uma sala de controle típica tinha uma parede repleta de indicadores de processos individuais, luzes, interruptores e gráficos de canetas móveis. Esses itens ocupavam muito espaço, sempre escasso. O sistema de alarme era simples – um conjunto retangular com algumas dezenas (no máximo) de janelas rotuladas que se iluminavam e piscavam individualmente com base na conexão dos processos. Esta caixa de luz também incorporava uma buzina que soaria e um botão de reconhecimento para silenciá-la e mudar a luz piscante para uma luz constante. (Este botão de reconhecimento era muitas vezes modificado pelos operadores com uma cunha de papel ou moeda para segurá-lo e evitar que o ruído infernal ocorresse. Esta modificação do usuário quase certamente estaria em vigor no turno da noite, mas podia ser removida durante o dia.)
O conceito de parede de controle tinha muitas coisas positivas a seu favor. Uma considerável reflexão foi dedicada ao posicionamento e agrupamento dos instrumentos.
Os intervalos normais nos instrumentos foram marcados. As tendências eram sempre visíveis se o papel e a tinta fossem substituídos. A saúde geral do processo geralmente podia ser determinada rapidamente. A exibição de alarmes frequentemente gerava padrões reproduzíveis, dependendo do tipo de perturbação.
Uma parede de controle do início da década de 1990 com uma caixa de luz de alarmes no topo
Esses sistemas também tinham muitas desvantagens. A conectividade entre controladores era praticamente inexistente. A criação de esquemas de controle complexos era difícil e cara. A introdução de novos controles envolvia uma realocação dispendiosa de elementos adjacentes ou o sacrifício do seu posicionamento lógico.
A comunicação de informações do sistema de controle para outros sistemas era geralmente inviável. E análise de dados? Esqueça isso.
Em relação aos alarmes na mesa de luz, a adição de um novo custava caro. Seu número total foi limitado pela disponibilidade de espaço e custo. Portanto, cada um foi avaliado e justificado individualmente (o que era algo bom!)
Esta era a situação anterior à revolução digital e à introdução de controles modernos, como Sistemas de Controle Distribuído (DCSs) e sistemas de Controle de Supervisão e Aquisição de Dados (SCADA). Esses
sistemas fornecem operações substanciais e vantagens de negócio, incluindo capacidade de expansão, facilidade de reconfiguração de estratégias de controle e histórico/análise de dados de processo. Quase tudo no sistema de controle pode ser modificado sem grandes problemas. (No entanto, todos esses atributos trazem consigo seus próprios problemas.) Para estas vantagens, os sistemas de controle mais antigos, como o mostrado na foto, foram convertidos em sistemas DCS e SCADA a partir da década de 1990.
A situação dos alarmes é muito diferente em um DCS e em um sistema mais antigo. Como os alarmes são exibidos em listas de rolagem computadorizadas e em gráficos, eles têm um espaço ilimitado. E como cada “ponto” no DCS é essencialmente uma construção de software, os alarmes tornaram-se gratuitos! A maioria dos tipos de pontos em um DCS tem vários alarmes pré-programados apenas aguardando que o engenheiro de controle ou outro usuário os configure e ative pressionando algumas teclas. Sem justificativas, sem fiação, sem tubulação, sem gravação em plástico – basta clicar, clicar, clicar e você terá um novo alarme.
E nós os criamos! Sem diretrizes consistentes disponíveis, a configuração excessiva massiva de alarmes DCS tornou-se comum. Afinal de contas, se o fabricante forneceu a funcionalidade de alarme Alto, Alto-Alto e até AAA, então eles devem estar aí por um bom motivo, de maneira que vamos usar todos eles!
Sem diretrizes ou custos para a criação de alarmes, práticas inadequadas surgiram – como todos os alarmes serem ativados por padrão, configurações feitas por regras básicas inconsistentes ou configurações de acordo com a preferência de um indivíduo. A consistência era baixa. Sistemas de processos similares implementados por equipes diferentes teriam configurações e comportamentos de alarme significativamente distintos. (Os engenheiros adoram ser criativos quando não recebemos nenhuma orientação!) Os alarmes eram frequentemente utilizados como um método simples para indicar o status (algo está ligado ou desligado), em vez de indicar uma situação anormal real (algo está desligado, mas deveria estar ligado).
O resultado? Para o operador, isso significava que, embora sua antiga “parede de controle” provavelmente tivesse menos de 100 alarmes possíveis, seu novo console DCS provavelmente tinha de 2.000 a 4.000 alarmes configurados, gerando centenas a milhares de anúncios de alarmes diariamente! Mesmo na operação do processo em estado estacionário, o sistema de alarme é ativado quase constantemente, criando muito mais ocorrências de alarmes do que o operador pode entender e agir. Durante uma interrupção do processo, há um aumento de ordem de grandeza no número e na velocidade das ocorrências de alarmes, tornando o sistema de alarme inútil e criando um obstáculo ativo à capacidade do operador de enfrentar a situação. Repetidamente, relatórios investigativos após grandes acidentes industriais mostraram que sistemas de alarme sobrecarregados, desconsiderados ou ignorados desempenharam um papel significativo no agravamento da situação.