Tranbordamento em tanque: Caso Capco

por kelvinalexson Postado em

Falha de Instrumentação, Nível alto e falhas encontradas

Você já parou para pensar no que acontece quando um tanque de armazenamento de combustível transborda? Em 23 de outubro de 2009, a Caribbean Petroleum Terminal (Capco), próxima a San Juan (Porto Rico), sofreu uma explosão de grande magnitude após o transbordamento de aproximadamente 200.000 galões de gasolina. O evento destruiu parte substancial da instalação, danificou centenas de residências e estabelecimentos vizinhos e registrou M 2,9 na Escala Richter.

Investigado pelo U.S. Chemical Safety Board (CSB), o caso Capco é estudo obrigatório para engenheiros de processo, instrumentação e manutenção. Ele evidencia como sistemas obsoletos de medição e a ausência de camadas independentes de proteção (Layers of Protection) transformam uma operação cotidiana em catástrofe.

1. Introdução: A Rotina que Virou Catástrofe

Uma transferência de mais de 10 milhões de galões de gasolina não aditivada, prevista para durar mais de 24 horas, foi distribuída entre quatro tanques menores. Em 22 de outubro, os tanques 409 e 411 receberam parte do volume. Com o fallback de monitoramento comprometido, o nível era, na prática, a única barreira de segurança.

Pouco antes da meia-noite, o tanque 409 entrou em overfill pelas ventilações, liberando gasolina para o dique de contenção e gerando uma nuvem de vapor que se espalhou por 107 acres. O vapor alcançou a área de tratamento de efluentes e encontrou fontes elétricas de ignição. Um flash fire percorreu o caminho de volta; sete segundos depois, a explosão destruiu 17 dos 48 tanques.

2. O Enigma da Instrumentação Cega

2.1. Confiança em Sistemas Frágeis

O nível era medido por um dispositivo mecânico de boia e fita. O CSB identificou que esses sistemas:

  • apresentavam alta propensão a falhas mecânicas e manutenção deficiente;
  • dependiam de cartões transmissores suscetíveis a raios e rupturas de cabos, frequentemente desativando a telemetria;
  • operavam sem redundância ou diagnósticos adequados para indicar estado de falha.

No tanque 409, o transmissor estava fora de serviço no dia do evento, e os reparos em geral levavam semanas. Em termos de segurança de processo, isso significa um único ponto de falha para um perigo de alto potencial.

2.2. O Risco do Cálculo Manual

Com a automação indisponível, os operadores registravam leituras manuais por hora e o supervisor estimou enchimento completo para 1:00. O transbordamento começou antes da meia-noite, evidenciando o erro inerente ao gap de amostragem e à incerteza de medição. A fita flutuante era a única camada de controle. Ao falhar, não havia salvaguarda adicional.

3. Engenharia das Camadas de Proteção: o que Faltou

Boas práticas de engenharia (CCPS/RBPS, LOPA) exigem que operações de enchimento tenham barreiras independentes do controle básico. Segundo o CSB, duas camadas adicionais provavelmente teriam evitado o acidente:

  1. Alarme Independente de Alto Nível (IHLA): sensor dedicado e independente do medidor primário, com prova de teste periódico e alarme inequívoco em sala de controle.
  2. Sistema Automático de Prevenção de Overfill (AOPS/SIS): função instrumentada de segurança capaz de interromper ou desviar o fluxo quando o nível atinge alto-alto, com integridade compatível ao risco (p.ex., SIL via IEC 61511), testes periódicos e by-pass controlado.

Essas camadas são independentes do sistema de controle e endereçam o cenário de “enchendo no escuro”, em que a medição principal falha sem detecção.

3.1. Lição Internacional e Regulatória

O caso Capco ecoa Buncefield (Reino Unido, 2005), em que overfill por falha de medição causou explosão catastrófica. Após Buncefield, houve reforço de padrões para alarme independente e prevenção automática de overfill com alto nível de integridade.

O CSB evidenciou uma lacuna regulatória nos EUA: terminais de armazenamento de petróleo, como a Capco, não eram cobertos de forma equivalente pelo PSM/OSHA e RMP/EPA como refinarias e plantas químicas — apesar de manusearem os mesmos inflamáveis em áreas densas. O alinhamento com as melhores práticas internacionais (padrões de overfill, SIS, testes e auditorias) foi recomendado.

Conclusão: Redundância e Testabilidade Não São Opcionais

Embora sem fatalidades, o evento trouxe devastação industrial e comunitária. A lição é inequívoca: não confie em um único instrumento para controlar perigos de alta severidade. Overfill é cenário crítico e requer LODs independentes, instrumentação redundante, provas de teste e disciplina operacional.

Chamada Técnica à Ação

  • 🔹 Implemente IHLA e AOPS/SIS com verificação de independência e testes periódicos (IEC 61511).
  • 🔹 Revise seu LOPA para cenários de overfill, considerando falha de medição e falha de alarme.
  • 🔹 Padronize provas de teste de nível alto/alto-alto, by-pass com autorização e registro de demandas.
  • 🔹 Audite integridade mecânica (cabos, blindagem contra surtos, aterramento, lightning protection) e diagnósticos de instrumentação.
  • 🔹 Amplie escopo regulatório interno para terminais/armazenagem, replicando requisitos de PSM/RMP aplicáveis à sua realidade.

Referências

  • USCSB – U.S. Chemical Safety Board. Filling Blind. [S.l.]: USCSB, 2009.

Tags: overfill, SIS, LOPA, segurança de processo, CSB, Capco, instrumentação, IEC 61511

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *