Introdução

Os Sistemas de Seguranças Instrumentados (SIS) são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.

As condições de segurança devem ser sempre seguidas e adotadas em plantas e as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvidos com segurança sejam operados com confiabilidade e eficiência.

Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional  e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassar estes limites. O objetivo principal é se evitar acidentes dentro e fora das fábricas,  como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.

Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões alemães (DIN V VDE 0801 e DIN V 19250)  que foram bem aceitos durante anos pela comunidade mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508, que serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos, dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de segurança que têm natureza eletromecânica.

Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:

  • Falhas de hardware randômicas
  • Falhas sistemáticas
  • Falhas de causas comuns

A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes servem de guias de orientação:

  • Part 1: General requirements
  • Part 2: Requirements for E/E/PE safety-related systems
  • Part 3: Software requirements
  • Part 4: Definitions and abbreviations
  • Part 5: Examples of methods for the determination of safety integrity levels
  • Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
  • Part 7: Overview of techniques and  measures

Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez atingido o nível de SIL (nível de integridade de segurança) desejável,  o nível de redundância e  o intervalo de teste ficam a critério de quem especificou o sistema.

A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.

Recentemente vários padrões  sobre o desenvolvimento, projeto e manutenção de SIS foram  elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511, voltada as indústrias de processamento contínuo, líquidos e gases.

Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também que exista no mercado desinformação, levando a compra de equipamentos mais caros, desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a utilização e operação dos equipamentos.

Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle seguro certificado, mas na realidade eles possuem um controlador com funções de segurança certificado.

Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se encontram dentro de limites aceitáveis.

Além disso, é necessário:

  • Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando, como, onde e qual grau de redundância é mais adequado para cada caso.
  • Definir o nível de manutenção preventiva adequado para cada aplicação.

O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se ter em mente toda a questão do ciclo de vida de um SIS.

Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir consideravelmente o número de bypasses não autorizados.

Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar sistemas eficientes e seguros com custos adequados a esta função.

O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores, colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem sistemas de intertravamento de segurança cuidadosamente projetados e implementados.

O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores aos sistemas convencionais. A operação segura em um SIS é composta de sensores, programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de processos como pressão e  temperatura acima dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condições não favoráveis às condições seguras de operação.

Exemplos típicos de sistemas de segurança:

  • Sistema de Shutdown de Emergência  (ESD)
  • Sistema de Shutdown de Segurança (SSD)
  • Sistema de intertravamento de Segurança
  • Sistema de Fogo e Gás

Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.

Iniciaremos com Ciclo de Vida de Segurança e Análise de Riscos.

 

Ciclo de Vida de Segurança

Definição: "É um processo de engenharia com o objetivo específico de atingir e garantir que um SIS seja efetivo e que permita a redução de níveis de riscos a um custo efetivo durante todo o tempo de vida do sistema”.
Em outras palavras, o ciclo destina-se a um guia de avaliação de risco durante todo o tempo de vida do sistema, desde a concepção do projeto à manutenção no dia-a-dia.
Por que o Ciclo de Vida de Segurança?

  • Acidentes podem acontecer, por isso, existe a necessidade de minimizá-los em frequência e gravidade.
  • Sistemas de Segurança Instrumentados e Ciclo de Vida de Segurança são projetados para minimizar riscos.

 

Figura 1 – Exemplo típico de um Ciclo de Vida de Segurança

O Ciclo de Vida de Segurança envolve análises de probabilidades de forma a garantir a integridade do projeto de Segurança. Além disso, permite através dos cálculos a redução de riscos a um custo efetivo. Manter a integridade de um SIS durante o ciclo de vida da planta é de extrema importância para o gerenciamento da segurança. Um programa efetivo de gerenciamento deve incluir controles e procedimentos rigorosos que garantam que:

  • A identificação dos pontos críticos, conceitos e a escolha de equipamentos sensores, tecnologia, logic solver e equipamentos e elementos finais e a necessidade de redundância atendam os níveis de segurança e redução de riscos calculada. Uma vez escolhida tecnologia e arquitetura que se tenha um plano de análise e revisão periódica das mesmas, reavaliando a segurança como um todo.
  • Os testes em cada fase (projeto, instalação, operação, modificação/manutenção) sejam realizados em conformidade com os requisitos de segurança, procedimentos e padrões de segurança.
  • Que o SIS retorne ao seu estado de operação normal após uma manutenção.
  • A integridade do sistema não seja comprometida por acesso não autorizado à programação, pontos de trip ou bypasses.
  • Procedimentos de gerenciamento de modificações sejam sempre obedecidos para qualquer modificação no sistema.
  • A qualidade de modificações seja verificada e o sistema seja revalidado antes de retornar à operação.

O Ciclo de Vida de Segurança deve fazer parte do PSM (Process Safety Management System – Sistema de Gerenciamento de Segurança do Processo). Desta forma será adotado e aplicado convenientemente de forma consciente e envolvendo os colaboradores em todas as suas etapas e níveis da empresa.

 


Análise de Riscos

Quanto mais riscos um sistema tiver, mais difícil é de se atender aos requisitos de um sistema seguro. Basicamente, o risco é uma somatória da probabilidade de acontecer algo indesejável com a conseqüência desta ocorrência.

O risco de um processo pode ser definido como o produto da freqüência de ocorrência de um determinado evento (F) pela conseqüência resultante da ocorrência do evento (C).

Risco = F x C.

Figura 2 - Considerações de risco de acordo com a IEC 61508.

Nos sistemas de segurança a busca é pela minimização de riscos em níveis aceitáveis e o nível SIL para uma malha de controle pode ser determinado pela análise e identificação dos riscos do processo. A verificação do nível SIL pode ser feita pela probabilidade de falha sob demanda (PFD).

A IEC 61508 define requisitos para funcionalidade e integridade de um sistema. Os requisitos para funcionalidade são baseados no processo e os de integridade estão voltados à confiabilidade, que é definida como o Nível de Integridade de Segurança (SIL). Existem 4 níveis discretos e que têm 3 importantes propriedades:

  • Aplicável à total função de segurança;
  • Quanto maior o nível de SIL mais rígidos são os requisitos;
  • Aplicáveis aos requisitos técnicos e não-técnicos

 

Tabela 1- Níveis de SIL

 

Como interpretar o nível SIL? Como vimos o nível SIL é uma medida de integridade de um SIS e podemos interpretar basicamente de duas maneiras:

 

1) Levando em conta a redução de risco e a tabela 1:

  • SIL1: redução de risco>= 10 e <=100
  • SIL2: redução de risco>= 100 e <=1000
  • SIL3: redução de risco>= 10000 e <=10000
  • SIL4: redução de risco>= 10000e <=100000

2) Interpretando a tabela 2, onde, por exemplo, SIL 1 significa que o risco de acidente ou algo indesejável é baixo e que um SIS tem 90% de disponibilidade, ou ainda, 10% de chance de falhar.

Tabela 2- Níveis de SIL e SFF de acordo com a tolerância à falha de hardware

A avaliação de SIL tem crescido nos últimos anos principalmente em aplicações químicas e petroquímicas. Podemos até expressar a necessidade do nível SIL em função do provável impacto na planta e na comunidade:

"4" – Impacto catastrófico para a comunidade.
"3" – Proteção dos empregados e comunidade.
"2" – Proteção da produção e da propriedade. Possíveis danos aos funcionários.
"1" – Impacto pequeno à propriedade e proteção da produção.
 

Figura 3 - SIL em função do provável impacto na planta e na comunidade

Esta análise deixa a desejar desde que é difícil classificar o que seja um impacto pequeno e um grande impacto.
Existem vários métodos de identificação dos riscos:

  • Técnica de HAZOP (Hazard and Operability Study): onde se identifica os riscos e onde são necessários níveis maiores de SIL;
  • Técnica de Check Lists;
  • Técnica de FMEA (Modos de Falhas e seus Efeitos), onde se analisa a falha de cada equipamento e componente na malha de controle.

Em termos de nível SIL quanto maior for o nível exigido, maior será o custo, devido às especificações mais complexas e estritas de hardware e software. Normalmente a escolha do SIL de cada função de segurança está associada à experiência dos profissionais, mas pode-se optar pela análise da matriz de HAZOP ou ainda pela Análise das Camadas de Proteção (LOP – Layers Of Protection), onde se inclui a política, os procedimentos, as estratégias de segurança e a instrumentação.

Seguem algumas etapas e detalhes da Análise de Riscos:

  • Identificação dos riscos potenciais
    •  Começe com HAZOP (Estudo de Perigo e Problemas Operacionais)
    • A empresa deve ter um grupo de experts no processo e em seus riscos
    • Pode ser aplicado várias metodologias como a PHA (Processo de Análise de Perigos),HAZOP para a identificação de riscos, HAZOP modificados, conseqüências de acidentes,  Matriz de Riscos, Diagrama de Riscos ou Análise Quantitativa para identificação do nível de segurança a ser alcançado.
    • As normas sugerem metodologias para identificação da SIL
    • Os métodos disponíveis são qualitativos, quantitativos ou semi-quantitativos
    • Determinar o SIL apropriado para o SIS, onde o risco inerente ao processo deve ser igual ou inferior ao nível de risco aceitável, garantindo a segurança necessária para a operação da planta.
       
  • Avaliar a probabilidade de risco potencial relacionado a
    • Falha de equipamentos
    • Erros humanos
       
  • Avaliar os riscos potenciais e conseqüências dos impactos de eventos

Freqüência

4

SIL 2

SIL 3

SIL 4

SIL 4

3

SIL 2

SIL 3

SIL 3

SIL 4

2

SIL 1

SIL 2

SIL 3

SIL 3

1

SIL 1

SIL 1

SIL 2

SIL 2

Severidade da Conseqüência

1

2

3

4

 

Tabela 3 – Exemplo de Matriz de Riscos

 

Faixa de Freqüência

Critério Qualitativo

4

(> 1/100 ano): Falhas em equipamentos simples ou válvulas, falhas em tubulações ou um simples erro em atividades rotineiras

3

(1/100 – 1/1000 ano): Falhas em Equipamentos duplos ou válvulas, rupturas em tubulações, vazamentos ou erro humano

2

(1/1000 – 1/10000 ano): Combinação de falhas em instrumentos e erros humanos ou falhas em pequenas linhas de processos

1

(< 1/10000 ano): Múltiplas falhas em instrumentos e erros humanos ou falhas espontâneas em tanques e vasos de processos

 

Tabela 4 – Faixa de Freqüência - Critério Qualitativo

 

Faixa de Conseqüência

Critério Qualitativo

4

Pessoal: Injúrias críticas múltiplas ou fatalidades
Pública: Potencial para Injúrias críticas múltiplas ou fatalidades
Ambiente: Liberação de inconfinado com impacto ambiental alto
Propriedade: Perda > U$100M

3

Pessoal: Potencial para Injúrias sérias ou pequenas fatalidades
Pública: Potencial para Injúrias sérias ou pequenas fatalidades
Ambiente: Liberação de inconfinado com médio impacto ambiental
Propriedade: Perda entre U$10M e U$100M

2

Pessoal: Injúrias sérias exigindo emergência médica
Pública: Potencial para Injúrias sérias exigindo emergência médica
Ambiente: Liberação de inconfinado com baixo impacto ambiental
Propriedade: Perda entre U$1M e U$10M

1

Pessoal: Injúrias exigindo primeiros socorros
Pública: Odor, ruído/perturbação, sem impacto direto
Ambiente: Liberação de confinado com impacto localizado
Propriedade: Perda entre U$100k e U$1M

 

Tabela 5 – Faixa de Conseqüência - Critério Qualitativo

 

Alguns termos e conceitos envolvidos em sistemas de segurança

  • Demanda: toda condição ou evento que gera a necessidade de atuação de um sistema de segurança
  • PFD (Probabilidade de Falha na Demanda): Indicador de confiabilidade apropriado para sistemas de segurança.
  • MTBF é uma medida básica da confiabilidade em itens reparáveis de um equipamento. Pode ser expresso em horas ou anos. É comumente usado em análises de confiabilidade e sustentabilidade em sistemas.
  • MTBF: pode ser calculado pela seguinte fórmula:
  • MTBF = MTTR + MTTF

    Onde:
    • MTTR = Tempo Médio de Reparo 
    • MTTF = Tempo Médio para Falhar = ao inverso da somatória de todas as taxas de falhas

     
  • SFF = Safe Failure Fraction, é a fração de todas as taxas de falhas de um equipamento que resulta em uma falha segura ou falha não segura, mas diagnosticada.




     
  • Tipos de falhas analisadas em um FMDEA (Failure Modes, Effects, and Diagnostic Analysis):
    1. Dangerous Detected (DD): falha detectável e que pode levar a um erro maior do que 2% na saída.
    2. Dangerous Undetected (DU): falha não detectável e que pode levar a um erro maior do que 2% na saída.
    3. Safe Detected (SD): falha detectável e que não afeta a variável medida, mas que joga a corrente de saída a um valor seguro e avisa ao usuário
    4. Safe Undetected (SU): Neste caso há um problema com o equipamento, mas não se consegue detectá-lo, mas a saída opera com sucesso dentro de um limite de 2% de tolerância de segurança. Se esta tolerância de segurança é usada como parâmetro de projeto, este tipo de falha pode ser ignorado.
    5. Diagnostic Annunciation Failure (AU): uma falha que não tem impacto imediato, mas que uma segunda ocorrência pode colocar o equipamento em uma condição de risco.
    6. Pode-se ainda caracterizar as seguintes falhas:
    • Falhas aleatórias: Uma falha espontânea de componente (hardware). As falhas aleatórias podem ser permanentes (existem até serem eliminadas) ou intermitentes (ocorrem em determinadas circunstancias e desaparecem em seguida).
    • Falhas Sistemáticas: Uma falha escondida dentro do projeto ou montagem (hardware ou tipicamente software) ou falhas devido a erros (incluindo-se enganos e omissões) nas atividades de ciclo de atividades de segurança que fazem o SIS falhar em determinadas circunstâncias, sob determinadas combinações de entradas ou sob uma determinada condição ambiental.
    • Falha em modo comum: O resultado de um defeito em modo comum.
    • Defeito em modo comum: Uma única causa que pode causar falhas em vários elementos do sistema. Pode ser interna ou externa ao sistema.

 

Curiosidade

Figura 3 – Estudo sobre as causas de acidentes envolvendo sistemas de controle - HSE – Health and Safety Executive

Conclusão

Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em termos de processos, a minimização da variabilidade com conseqüência direta no aumento da lucratividade.

Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na segunda parte veremos um pouco sobre Sistemas de Engenharia de Confiabilidade e alguns cálculos.

Autor

  • César Cassiolato


Referências

  • IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
  • IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
  • ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
  • Sistemas Instrumentados de Segurança - César Cassiolato
  • “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
  • Manual LD400-SIS

Links Relacionados:

WhatsApp

Este site usa cookies para garantir que você obtenha a melhor experiência, para saber mais leia nossa Política de Privacidade. ACEITO!