Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassa estes limites.O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal, impactos catastróficos para a comunidade, facilitar a proteção dos empregados e comunidade, assim como a proteção da produção e da propriedade.
Nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo que uma falha aconteça, uma condição segura.
Veremos a seguir mais detalhes envolvendo conceitos de confiabilidade, falhas e segurança, assim como o LD400-SIS, um transmissor de pressão certificado pela TÜV para aplicações de segurança.
Confiabilidade
A confiabilidade de sistemas de medições podem ser quantificadas como o tempo médio entre as falhas que ocorrem no sistema. Neste contexto, falha significa uma ocorrência de uma condição inesperada que causa um valor incorreto na saída.
Princípios da Confiabilidade
A confiabilidade de um sistema de medição é definida como a habilidade do sistema executar sua função dentro de limites e condições operacionais durante um tempo definido.Infelizmente, vários fatores tais como as tolerâncias dos fabricantes de acordo com as condições operacionais dificultam às vezes esta determinação e na prática o que conseguimos é expressar estatisticamente a confiabilidade através da probabilidade das falhas que ocorrerem dentro de um período de tempo.
Na prática nos deparamos com uma grande dificuldade que é determinar o que é uma falha. Quando a saída de um sistema está incorreta é algo difícil de se interpretar quando comparado com a perda total da saída de medição.
Quantificação da Confiabilidade em termos quase-absolutos
Como vimos, a confiabilidade é essencialmente de natureza probabilística e pode ser quantificada em termos quase-absolutos pelo tempo médio entre falhas(MTBF) e tempo médio para falhar(MTTF). Deve ser enfatizado que estes dois tempos são usualmente os valores médios calculados usando-se um número de instrumentos idênticos e portanto, para qualquer instrumento em particular seus valores podem ser diferentes da média.
O MTBF é um parâmetro que expressa o tempo médio entre falhas que ocorrem em um instrumento, calculado em um determinado período de tempo. Em casos onde os equipamentos possuem alta confiabilidade, na prática ficará difícil se contar o número de ocorrências de falhas e poderá ser gerado números não precisos para o MTBF e aí, recomenda-se usar o valor do fabricante.
O MTTF é um modo alternativo de se quantificar a confiablidade. É normalmente usado para dispositivos como termopares, pois são descartados ao falhar.O MTTF expressa o tempo médio antes que a falha ocorra, calculado em um número idêntico de dispositivos.
A confiabilidade final associada em termos de importância ao sistema de medição é expressada pelo tempo médio de reparo (MTTR), ou seja, o tempo médio para reparo de um instrumento ou ainda o tempo médio de substituição de um equipamento.
A combinação do MTBF e do MTTR mostram a disponibilidade:
Disponibilidade = MTBF/(MTBF+MTTR)
A Disponibilidade mede a proporção de tempo no qual o intrumento trabalha sem falhas.
O objetivo em sistemas de medições é maximizar o MTBF e minimizar o MTTR e consequentemente, maximizar a Disponibilidade.
Modelos de Falhas
O modelo de uma falha em um dispositivo pode mudar ao longo do seu ciclo de vida. Pode permanecer inalterado, diminuir ou mesmo aumentar.
Em componentes eletrônicos, é comum termos o comportamento de acordo com a figura 1, também conhecido como “bathtub curve”.
Figura 1 – Curva Típica da variação de confiabilidade de um componente eletrônico
Os fabricantes geralmente aplicam testes de burn-in de forma que se elimina a fase até T1 até que os produtos são colocados no mercado.
Já os componentes mecânicos vão apresentar uma taxa de falha maior no final de seu ciclo de vida, conforme a figura 2.
Figura 2 – Curva Típica da variação de confiabilidade de um componente mecânico
Na prática, onde os sistemas são composições eletrônicas e mecâncias os modelos de falhas são complexos.Quanto mais componentes, maior as incidências e probabilidades de falhas.
Leis da confiabilidade
Na prática usualmente teremos vários componentes e o sistema de medição é complexo. Podemos ter componentes em série e em paralelo.
A confiabilidade de componentes em série deve levar em conta a probabilidade de falha individuais em um período de tempo. Para um sistema de medição com n componentes em série, a confiabilidade Rs é o produto das confiabilidades individuias: Rs = R1xR2...Rn.
Imagine que tenhamos um sistema de medição formado por um sensor, um elemento de conversão e um circuito de processamento de sinal, onde temos as seguintes confiabilidades: 0.9, 0.95 e 0.099, respectivamente. Neste caso a confiabilidade do sistema será: 0.9x0.95x0.009 = 0.85.
A confiabilidade pode ser aumentada colocando-se componentes em paralelo, o que significa que o sistema falha se todos os componentes falharem. Neste caso a confiabilidade Rs é dada por:
Rs = 1 – Fs, onde Fs é a não confiabilidade do sistema.
A não confiabilidade é Fs = F1xF2...F3.
Por exemplo, em um sistema de medição segura existem três instrumentos idênticos em paralelo. A confiabilidade de cada um é 0.95 e a do sistema é dada por:
Rs = 1 –[ (1-0.95)x(1-0.95)x(1-0.95)] = 0.999875
Melhorando a confiabilidade de um sistema de medição
O que se busca na prática é minimizar o nível de falhas. Um requisito importante é assegurar que se conheça e atue antes do temo T2(vide figuras 1 e 2) quando a frequência estatística das falhas aumenta.O ideal é fazer com que T(período de tempo ou ciclo de vida) seja igual a T2 e com isto maximizamos o período sem falhas.
Existem várias maneiras para aumentar a confiabilidade de um sistema de medição:
Sistemas de Segurança e Confiabilidade
Os Sistemas de Segurancas são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.
Observe que as condições de segurança devem ser seguidas e adotadas pelas plantas onde as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação a legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvidos com segurança sejam operados com confiabilidade e eficiência.
Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassa estes limites.O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.
Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões alemães DIN V VDE 0801 e DIN V 19250 que foram bem aceitos durante anos pela comunidade mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508 que serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos, dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de segurança que têm natureza eletromecânica.
Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes servem de guias de orientação:
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS e é voltado para a performance exigida do sistema, isto é, uma vez atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o intervalo de teste ficam a critério de quem especificou o sistema.
Na prática a análise e determinação do riscos e do nível SIL deve ser feita de acordo com os padrões e minuciosa análise das malhas de controle e segurança. Isto deve ser feito por profissionais dedicados e com conhecimento adequado, principalmente do processo e da aplicação. O que é “tolerável” depende das consequências das ocorrências de falhas. O que é aceitável de acordo com os padrões foi definido de acordo com o nível de integridade de segurança, o SIL(Vide Tabela 1).
A IEC 61508 busca potencializar as melhorias dos PES(Programmable Electronic Safety, onde estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram elaborados, onde já citamos a IEC 61508(indústrias em geral) e vale citar também a IEC 61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Tem se visto na prática em muitas aplicações a especificação de equipamentos com certificação SIL para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também que exista no mercado desinformação, levando a compra de equipamentos mais caros, desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle de processo, onde a certifição SIL não traz os benefícios esperados, dificultando inclusive a utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle seguro certificado mas na realidade eles possuem um controlador com funções de segurança certificado.
Neste artigo, veremos quais as diferenças básicas que ajudarão nestas especificações e num melhor entendimento.
Sistema de Controle Instrumentado
Um Sistema de Controle Instrumentado é um sistema elétrico, eletrônico ou programável que pode executar algumas ou a totalidade das seguintes funções:
Estas funções são normalmente fornecidas por alarmes, proteções(trip, interlocks, emergency shutdown) e sistemas de controle de processos. Podem ser individuais ou interligados, compartilhando interfaces homem-máquina(indicadores, painéis de visualização, terminais gráficos, alarmes sonoros, e outros), interfaces da planta (como sensores e atuadores), lógicas(relés, controladores, supervisórios e outros), utilidades(fontes de alimentação, sistema de ar, e outros) e sistemas de gerenciamento.
Note que o sistema de controle faz uma função de controle e não de segurança. Nestas condições os equipamentos de campo não precisam ser especificados para excecutar segurança, isto significa que não é necessário pagar mais por algo que não se vai usar, por exemplo, por que comprar um transmissor de pressão com certificação SIL 2 se você vai utilizá-lo em controle de processo e não executando função de segurança?
Uma função de segurança é muito simples.Por exemplo, quando a temperatura em um processo for muito alta, abra a válvula de dreno.Isto é muito mais simples que uma função de controle, onde se a temperatura estiver entre 20°C e 25°C, então abra a válvula 35%. O que fazer quando acontece uma falha na função de controle? Muito difícil de se dizer.Mas a função de segurança é simples, abra a válvula de dreno.
Um equipamento destinado à segurança deve ser independente do sistema de controle.
Sistema Instrumentado de Segurança (SIS)
Como vimos, os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela Segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassa estes limites. O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores aos sistemas convencionais. A operação segura em um SIS é composta de sensores, programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados(por exemplo, variáveis de processos como pressão e temperatura acime dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
O Conceito de risco e a determinação e verificação do nível de integridade de segurança (SIL)
Quanto mais riscos tiver um sistema, mais difícil é de se atender aos requisitos de um sistema seguro. Basicamente o risco é uma somatória da probabilidade de acontecer algo indesejável com a conseqüência desta ocorrência.
Figura 3- Considerações de risco de acordo com a IEC 61508.
Nos sistemas de segurança a busca é pela minimização de riscos em níveis aceitáveis e o nível SIL para uma malha de controle pode ser determinado pela análise e identificação dos riscos do processo. A verificação do nível SIL pode ser feita pela probabilidade de falha sob demanda (PFD).
A IEC 61508 define requisitos para funcionalidade e integridade de um sistema. Os requisitos para funcionalidade são baseados no processo e os de integridade estão voltados à confiabilidade, que é definida como o Nível de Integridade de Segurança (SIL). Existem 4 níveis discretos e que têm 3 importantes propriedades:
Tabela 1- Níveis de SIL
Como interpretar o nível SIL? Como vimos o nível SIL é uma medida de integridade de um SIS e podemos interpretar basicamente de duas maneiras:
1)Levando em conta a redução de risco e a tabela 1:
2)Interpretando a tabela 2, onde por exemplo SIL 1 significa que o risco de acidente ou algo indesejável é baixo e que um SIS tem 90% de disponibilidade, ou ainda, 10% de chance de falhar.
Tabela 2- Níveis de SIL e SFF de acordo com a tolerância à falha de hardware
A avaliação de SIL tem crescido nos últimos anos principalmente em aplicações químicas e petroquímicas.Podemos até expressar a necessidade do nível SIL em função do provável impacto na planta e na comunidade:
"4" – Impacto catastrófico para a comunidade.
"3" – Proteção dos empregados e comunidade.
"2" – Proteção da produção e da propriedade. Possível danos aos funcionários.
"1" – Impacto pequeno à propriedade e proteção da produção.
Figura 4 - SIL em função do provável impacto na planta e na comunidade
Esta análise deixa a desejar desde que é difícil classificar o que seja um impacto pequeno e um grande impacto.
Existem vários métodos de identificação dos riscos:
Em termos de nível SIL quanto maior é o nível exigido, maior será o custo, devido à especificações mais complexas e estritas de hardware e software.Normalmente a escolha do SIL de cada função de segurança está associada à experiência dos profissionais, mas pode-se optar pela análise da matriz de HAZOP ou ainda pelo Análise das Camadas de Proteção(LOP – Layers Of Protection), onde inclui-se a política, os procedimentos, as estratégias de segurança e a instrumentação.
Em termos de verificação do nível SIL atingido, onde se confronta com o que se projetou, existem vários métodos, onde vale a pena citar o Modelo de Markov, onde se acrescenta as falhas e taxas de reparos dos mais diversos elementos da malha.
Figura 5- Modelo de Markov para um subsistema 1oo1D, não-redundante
Note ainda na tabela 2 que existe o conceito de Probabilidade de Falha sob Demanda(PFD), onde o risco de acontecer algo indesejável depende da PFD e da freqüência da demanda e com isto podemos através da aplicação que tem seus riscos definidos escolher os melhores equipamentos de acordo com seus PFDs.
PFD = 1 - D, onde D é a disponibilidade.
PFD é a probabilidade de falha que um sistema para prevenção de falhas tem quando uma falha ocorrer. O nível de SIL está relacionado com esta probabilidade de falha em demanda e com o fator de redução de risco( o quanto se precisa proteger para garantir um risco aceitável quando ocorrer um evento de falha).
PFD é o indicador de confiabilidade apropriado para sistemas de segurança.
Se não for testado, a probabilidade de falha tende a 1.0 com o tempo. Testes periódicos mantêm a
probabilidade de falha dentro do limite desejável.
A figura 6 mostra exemplos comuns de arquitetura para sistemas de segurança, onde várias técnicas são usadas de acordo com o sistema de votação e SIL desejável:
Figura 6 - Exemplos típicos de arquitetura para sistemas de segurança
Figura 7 – Votação, PFD e Arquitetura
Alguns termos e conceitos envolvidos em sistemas de segurança
Onde:
LD400-HART-SIS – Transmissor de Pressão para aplicações exigindo SIL
O LD400 HART - SIS é um Transmissor Inteligente de Pressão usado na medição de pressão diferencial, absoluta, manométrica e aplicações com nível e vazão. O sinal de saída 4 a 20 mA do LD400-SIS corresponde à pressão aplicada. Estas informações são transmitidas a um PLC e podem ser mostradas no display LCD ou monitorada remotamente via comunicação HART. O LD400-SIS é certificado pela TÜV para aplicações de segurança.
Figura 8 - LD400-SIS – Transmissor de Pressão para aplicações de segurança
O LD400-SIS fornece diagnóstico em diversos níveis permitindo manutenção rápida e segura:
O LD400 realiza o diagnósico avançado desde o momento em que o transmissor é energizado. Para que o dispositivo trabalhe adequadamente, é verificada a integridade de vários dados importantes, como: dados de caracterização, dados inseridos pelo cliente, dados de calibração e memória RAM.
Figura 9 - LD400-SIS – Leitura Totalmente Digital, Diagnósticos Avançados e Certificado pela TÜV
Durante a operação, a validação da pressão medida é verificada continuamente. Usando algoritmos avançados, o transmissor pode identificar a ocorrência de uma falha e se esta acontece devido a um defeito de hardware ou condição de sobrecarga do processo. O usuário pode configurar a condição de falha de acordo com as especificações NAMUR NE43. Quando o resultado da falha pode causar uma saída incorreta, o transmissor muda imediatamente a corrente de saída, permitindo que o usuário identifique e corrija o problema.
Além de todos esses diagnósticos citados anteriormente, ainda possui alguns diagnósticos extras para alcançar o nível de segurança desejado. São eles:
Função de Segurança
O transmissor LD400 SIS mede a pressão dentro da exatidão segura e converte a saída analógica 4 a 20 mA selecionando umas das funções de transferência disponíveis e trata a corrente de saída de acordo com as especificações da NAMUR NE-43. Em caso de falha no sensor ou no circuito é implementado um auto-diagnóstico (software ou hardware) e a corrente é levada para um valor menor que 3,6 e maior que 21 mA que são os estados de segurança definidos para cada equipamento.
A fim de avaliar o comportamento da falha no LD400-SIS, as seguintes definições mostradas na Tabela 3 foram consideradas.
Tabela 3 – Modos de Falha
Figura 10 – Nível de Alarmes
Propriedades de Segurança Funcional
A Tabela 4 mostra os Valores de Segurança Funcional obtidos para o LD400-SIS.
Tabela 4 - Valores de Segurança Funcional
O LD400-SIS disponibiliza várias informações de diagnósticos através do HART permitindo baixos valores de PFDs e altos SFFs.
Imagine que o LD400-SIS tenha uma falha e não consiga medir a pressão dentro de suas especificações e nesta situação o loop de corrente pode ser comprometido. O LD400-SIS possui diagnósticos avançados e informará através do HART o que está acontecendo e o processo pode ser colocado em um estado seguro. Desta forma a falha se torna segura, caracterizando o alto valor de SFF (Fração de Falha Segura). Desta forma, usando o HART melhora-se a SFF em medidas envolvendo segurança e proteção.
Para mais detalhes sobre o LD400-SIS, consulte: https://www.smar.com.br/public/img/produtos/arquivos/ld400gsp.pdf
Conclusão
Em termos práticos o que se busca é a redução de falhas e consequentemente a redução de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em termos de processos a miminização da variabilidade com consequência direta no aumento da lucratividade.Softwares poderosos de Manutenção e Gerenciamento de Ativos fazem com que a confiabilidade e disponibilidade sejam maximizadas. Exemplo, AssetView da Smar, uma poderosa ferramenta que via WEB permite que se tenha dados operacionais e dos instrumentos, facilitando a manutenção preventiva e proativa.
Para mais detalhes sobre gerenciamento de ativos, acesse: https://www.smar.com.br/pt/produto/assetview-ferramenta-gerencial-de-equipamentos-de-campo.