Os Sistemas de Seguranças Instrumentados (SIS) são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.
As condições de segurança devem ser sempre seguidas e adotadas em plantas e as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvidos com segurança sejam operados com confiabilidade e eficiência.
Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassar estes limites. O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.
Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões alemães (DIN V VDE 0801 e DIN V 19250) que foram bem aceitos durante anos pela comunidade mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508, que serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos, dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de segurança que têm natureza eletromecânica.
Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:
- Falhas de hardware randômicas
- Falhas sistemáticas
- Falhas de causas comuns
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes servem de guias de orientação:
- Part 1: General requirements
- Part 2: Requirements for E/E/PE safety-related systems
- Part 3: Software requirements
- Part 4: Definitions and abbreviations
- Part 5: Examples of methods for the determination of safety integrity levels
- Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
- Part 7: Overview of techniques and measures
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também que exista no mercado desinformação, levando a compra de equipamentos mais caros, desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle seguro certificado, mas na realidade eles possuem um controlador com funções de segurança certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se encontram dentro de limites aceitáveis.
Além disso, é necessário:
- Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando, como, onde e qual grau de redundância é mais adequado para cada caso.
- Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores, colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores aos sistemas convencionais. A operação segura em um SIS é composta de sensores, programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
- Sistema de Shutdown de Emergência (ESD)
- Sistema de Shutdown de Segurança (SSD)
- Sistema de intertravamento de Segurança
- Sistema de Fogo e Gás
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Vimos no artigo anterior, na terceira parte, alguns detalhes sobre modelos de análises de árvores de falhas (Fault Trees), modelo de Markov e alguns cálculos.
Na quarta parte veremos um pouco sobre o Processo de Verificação de SIF.
Um Sistema Instrumentado de Segurança (SIS) é uma das camadas críticas para a prevenção de acidentes. Um SIS realiza várias SIF’s (Função Instrumentada de Segurança) e é tipicamente composto por sensores, analisadores lógicos e elementos finais de controle. Probabilidades de falha na demanda aceitáveis (chamadas de SIL –Safety Integrity Level) para cada SIF precisam ser determinadas para o projeto e posterior verificação.
A análise de segurança é feita em cima dos níveis de riscos das SIFs.
- Um transmissor de Pressão e um Posicionador fazem parte da SIF, por exemplo.
Existem diversos métodos para se identificar os SIL’s necessários para as SIF’s. Um deles é a análise de camadas de proteção “Layer of Protection Analysis”, LOPA, uma técnica de análise de riscos que é aplicada em seguida ao uso de uma técnica qualitativa de identificação de perigos, como por exemplo, a HAZOP (Estudo de Perigos e Operabilidade). Derivada de uma ferramenta de análise quantitativa de riscos, a análise de freqüência por árvores de eventos e a LOPA podem ser descritas como técnicas semi-quantitativas, porque geram uma estimativa do risco.
Os sistemas de controle são projetados para manter o processo dentro dos parâmetros de processo específicos considerados aceitáveis para a operação normal e segura da planta. Quando o processo excede o limite normal do funcionamento, pode apresentar risco potencial à vida humana, ao meio ambiente e aos ativos. Na fase de avaliação, os riscos são identificados juntamente com suas conseqüências e são definidos os meios para impedir sua ocorrência.
O risco identificado terá sua probabilidade reduzida tanto quanto o sistema prover de camadas preventivas. A redução do risco estabelece três critérios:
- O equipamento deve ser aprovado para as condições ambientais de onde será instalado;
- Os subsistemas devem possuir tolerância à falha necessária em virtude das falhas perigosas apresentadas pelo processo;
- A Probabilidade de Falha sob Demanda (PFD) da SIF deve ser adequada aos riscos aceitáveis pela empresa.
O usuário deve ter domínio das informações sobre os equipamentos, de modo que seja possível realizar uma boa análise de desempenho da SIF. As técnicas construtivas com visão de tolerância à falha dos componentes impedem que uma única falha cause a falha do dispositivo. Finalmente, o cálculo do desempenho determina se o SIS mantém as expectativas do projeto com relação ao nível de integridade desejado. A confiabilidade do SIS é definida por alguns parâmetros:
- Tempo médio entre falhas (MTBF)
- Arquitetura de votação
- Cobertura dos diagnósticos (DC)
- Intervalo do teste (TI)
- Tempo médio de reparo (MTTR)
- Modo de falha comum
Para cada SIF as seguintes informações devem ser analisadas pelo menos:
- O perigo e suas conseqüências
- A freqüência do perigo
- A definição do estado seguro do processo
- A descrição da SIF
- A descrição das medições do processo e seus pontos de trip
- A relação entre entradas e saídas, incluindo lógicas, funções matemáticas, modos de operação, etc.
- O SIL requirido
- O período dos testes de prova (proof tests)
- A máxima taxa de trip permitida
- Máximo tempo de resposta para a SIF
- Requisitos para ativação da SIF
- Requisitos para reset da SIF
- Resposta da SIF no caso de falha de diagnósticos
- Requisitos de interface humana, isto é, o que deve ser mostrado em Displays, supervisórios, etc
- Requisitos de manutenção
- Estimativa de MTTR após um trip
- Condições ambientais esperadas nas diversas situações: operação normal e emergência.
Deve-se estar atentos na escolha de equipamentos que atuaram em sistemas de segurança. Deve-se especificar equipamentos certificados de acordo com a IEC61508 ou que atendam os critérios de “prior use” de acordo com a IEC61511.
O Proven in Use (PIU) é uma característica definida pela IEC61511(clausula 11.4.4) onde se um equipamento já foi usado com sucesso em aplicações de segurança e satisfaz algumas exigências (vide a seguir), então se pode reduzir o HTF (hardware Tolerance Fault) e com isto utilizá-lo em aplicações seguras com custos bem menores
- Deve se considerar o sistema de qualidade do fornecedor
- Versão de hardware e software do equipamento
- A documentação de performance e aplicação em sistemas de segurança
- O equipamento não pode ser programado e deve permitir configuração, por exemplo, da faixa de operação
- O equipamento de possuir o comando de write protection ou Jumper
- Neste caso o SIF é SIL 3 ou menor.
A grande vantagem é que se pode padronizar Equipamentos para uso em controle e Equipamentos para segurança com um custo bem menor.
Através de análises de hardware, chamadas de FMEDA (Failure Modes Effects and Diagnostics Analysis) também se pode determinar as taxas de falhas e os modos dos instrumentos. Este tipo de análise é uma extensão do conhecido método FMEA, a metodologia de Análise do Tipo e Efeito de Falha, conhecida em inglês como Failure Mode and Effect Analysis. Neste caso, a FMEDA identifica e calcula as taxas de falhas nas seguintes categorias: seguras detectáveis, seguras não detectáveis, perigosas detectáveis e perigosas não detectáveis. Essas taxas de falhas são usadas para calcular o fator de cobertura da segurança e o fator de risco.
Uma vez calculado o nível de integridade de segurança e seus requisitos deve-se então, escolher os equipamentos, os níveis de redundância e os testes de acordo com a demanda da SIF. Após isto, de posse das informações de cada equipamento e dispositivo calcula-se através de equações, análise de árvores, modelo de Markov e outras técnicas se os equipamentos escolhidos atenderam os requisitos de segurança.
- Pode atingir um nível mais elevado de SIL usando-se redundância.
- A quantidade de equipamentos vai depender da confiabilidade de cada componente definida em seu FMEDA (Failure Modes, Effects, and Diagnostic Analysis).
- As três mais comuns arquiteturas são:
- Simplex ou votação 1oo1 (1 out of 1)
- Duplex ou votação 1oo2 ou 2oo2
- Triplex ou votação 2oo3
A figura 1 mostra exemplos comuns de arquitetura para sistemas de segurança, onde várias técnicas são usadas de acordo com o sistema de votação e SIL desejável:
Figura 1 - Exemplos típicos de arquitetura para sistemas de segurança
Para SIF’s, a probabilidade da falha pode ser interpretada como a transição de um dispositivo do estado de funcionamento ao estado onde o mesmo deixa de exercer a função para qual foi especificado.
Quando o dispositivo é testado, o PFD (t) é reduzido ao valor inicial. Isto envolve duas suposições implícitas:
- Toda a falha do dispositivo é detectada pela inspeção e pelo teste de prova.
- O dispositivo é reparado e retornado ao serviço em condições de novo. O efeito do teste de prova é ilustrado pela forma do dente da serra mostrada na figura 2.
Como resultado, temos que o intervalo de teste é fator imperativo para determinação da classificação SIL alcançada.
Figura 2- Estados de transição e PFD
- O período de tempo é um parâmetro que afeta a o PFD significativamente e, portanto o SIL
- É comum aumentar a freqüência de testes e com isto diminuem-se as probabilidades de falhas (ex: testes em válvulas, partial strokes)
- Suponha que uma SIF atenda SIL 2, mas o intervalo de testes é longo, com isto pode atender SIL 1.
- Da mesma forma, se tiver 2 equipamentos SIL 2 em votação e o intervalo for pequeno, pode atender SIL 3.
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em termos de processos, a minimização da variabilidade com conseqüência direta no aumento da lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na quinta parte veremos um pouco sobre Soluções Típicas de SIF.
- IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
- IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
- William M. Goble, Harry Cheddie, "Safety Instrumented Systems Verification: Practical Probabilistic Calculation"
- ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
- Sistemas Instrumentados de Segurança - César Cassiolato
- “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
- Manual LD400-SIS
- Sistemas Instrumentados de Segurança – Uma visão prática – Parte 3, César Cassiolato
- http://www.numa.org.br/conhecimentos/conhecimentos_port/pag_conhec/FTA.htm