SIS – Sistemas Instrumentados de Segurança

Uma visão prática – Parte 5



César Cassiolato

César Cassiolato, Diretor de Marketing, Qualidade, Assistência Técnica e Instalações Industriais - SMAR Equipamentos Industriais Ltda.
cesarcass@smar.com.br

Introdução

Os Sistemas de Seguranças Instrumentados (SIS) são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.

As condições de segurança devem ser sempre seguidas e adotadas em plantas e as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvidos com segurança sejam operados com confiabilidade e eficiência.

Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassar estes limites. O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.

Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões alemães (DIN V VDE 0801 e DIN V 19250) que foram bem aceitos durante anos pela comunidade mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508, que serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos, dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de segurança que têm natureza eletromecânica.

Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:

  • Falhas de hardware randômicas
  • Falhas sistemáticas
  • Falhas de causas comuns

A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes servem de guias de orientação:

  • Part 1: General requirements
  • Part 2: Requirements for E/E/PE safety-related systems
  • Part 3: Software requirements
  • Part 4: Definitions and abbreviations
  • Part 5: Examples of methods for the determination of safety integrity levels
  • Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
  • Part 7: Overview of techniques and measures

Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o intervalo de teste ficam a critério de quem especificou o sistema.

A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.

Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511, voltada as indústrias de processamento contínuo, líquidos e gases.

Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também que exista no mercado desinformação, levando a compra de equipamentos mais caros, desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a utilização e operação dos equipamentos.

Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle seguro certificado, mas na realidade eles possuem um controlador com funções de segurança certificado.

Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se encontram dentro de limites aceitáveis.

Além disso, é necessário:

  • Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando, como, onde e qual grau de redundância é mais adequado para cada caso.
  • Definir o nível de manutenção preventiva adequado para cada aplicação.

O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se ter em mente toda a questão do ciclo de vida de um SIS.

Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir consideravelmente o número de bypasses não autorizados.

Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar sistemas eficientes e seguros com custos adequados a esta função.

O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores, colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem sistemas de intertravamento de segurança cuidadosamente projetados e implementados.

O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores aos sistemas convencionais. A operação segura em um SIS é composta de sensores, programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condições não favoráveis às condições seguras de operação.

Exemplos típicos de sistemas de segurança:

  • Sistema de Shutdown de Emergência (ESD)
  • Sistema de Shutdown de Segurança (SSD)
  • Sistema de intertravamento de Segurança
  • Sistema de Fogo e Gás

Vimos no artigo anterior, na quarta parte, alguns detalhes sobre o Processo de Verificação de SIF.

Nesta quinta e última parte veremos um pouco sobre as soluções típicas de SIF e um exemplo de aplicação.

Soluções Típicas de SIF (Função Instrumentada de Segurança)

Como determinar a arquitetura?
  • A arquitetura de uma SIF é decidida pela tolerância a falha de seus componentes.
  • Pode atingir um nível mais elevado de SIL usando-se redundância.
  • A quantidade de equipamentos vai depender da confiabilidade de cada componente definida em seu FMEDA (Failure Modes, Effects, and Diagnostic Analysis).
  • As três mais comuns arquiteturas são:
    • Simplex ou votação 1oo1 (1 out of 1)
    • Duplex ou votação 1oo2 ou 2oo2
    • Triplex ou votação 2oo3

Simplex ou votação 1oo1 (1 out of 1)

O princípio de votação 1oo1 envolve um sistema de canal único, e é normalmente concebido para aplicações de segurança de baixo nível. Imediatamente resulta na perda da função de segurança ou encerramento do processo.

Duplex ou votação 1oo2 ou 2oo2

O princípio de votação 1oo2 foi desenvolvido para melhorar o desempenho de integridade de segurança de sistemas de segurança baseados em 1oo1. Se ocorre uma falha em um canal, o outro ainda é capaz de desempenhar a função de segurança. Infelizmente, este conceito não melhora a taxa de falsos trips. Pior ainda, a probabilidade de falso trip quase duplica.

2oo2: A principal desvantagem de um sistema de segurança único (ou seja, não-redundante) é que uma única falha leva imediatamente a um trip. A duplicação dos canais em aplicação 2oo2, reduz significativamente a probabilidade de falso trip, uma vez que ambos os canais devem falhar para que o sistema seja colcado em shutdown. Por outro lado, o sistema tem a desvantagem de que a probabilidade de falha na demanda é duas vezes maior do que a de um único canal.


Triplex ou votação 2oo3

2oo3: Nesta votação, há três canais, dois dos quais precisam estar ok para operar e cumprir as funções de segurança. O princípio de votação 2oo3 é melhor aplicado se houver uma separação física completa dos microprocessadores. No entanto, isso exige que elas sejam localizadas em três diferentes módulos.Embora os sistemas mais recentes têm um nível maior de diagnósticos, sistemas de segurança baseados em votação2oo3 ainda conservam a desvantagem de ter uma probabilidade de falha na demanda, que é aproximadamente três vezes maior que a dos sistemas baseados em 1oo2.

Exemplos de Arquiteturas
  • SIL 1


Figura 1 – SIF – SIL 1

  • SIL 2


Figura 2 – SIF – SIL 2

  • 3.SIL 3


Figura 3 – SIF – SIL 3


Figura 4 – SIF – SIL 3 – Votação 2oo3

Exemplo de Aplicação


Figura 5 - Processo com malha básica de controle

A figura 5 mostra um processo simples onde um fluido é adicionado continua e automaticamente a um vaso de processo. Se o sistema de controle falhar por uma condição de pressão muito alta, ocorre um alívio de segurança, produzindo um odor indesejável fora da planta. Considera-se que uma taxa de risco aceitável para tal evento é 0.01/ano ou menos (uma vez em cem anos ou 1 chance em 100 por ano). Vamos especificar um Sistema Instrumentado de Segurança (SIS) que atinja estes requisitos de segurança.

Para se definirem os requisitos de integridade de segurança, a taxa de demanda em relação ao SIS deve ser estimada. Neste exemplo, a taxa de demanda do SIS deve ser a taxa de falha perigosa da malha de controle.

A taxa de falha geral para a malha de controle pode ser estimada a partir das taxas de falhas para os componentes, onde no exemplo assumiremos:

  Falhas / Ano
Transmissor de pressão 0.6
Controlador 0.3
I/P 0.5
Válvula de controle 0.2
Total de falhas 1.6

A malha de controle deste exemplo pode falhar em qualquer direção, assumindo-se que as duas são igualmente prováveis. Pelo fato da malha de controle ativo estar sob supervisão do operador, assume-se que apenas 1 falha em 4 seria repentinamente suficiente para causar uma demanda para uma condição de parada sem uma intervenção prévia do operador. Isto gera o resultado geral de (1 em 2) X (1 em 4) ou 1/8 da taxa de falhas geral, que deve ser usada como a taxa de demanda para uma parada. Diferentes suposições devem ser feitas com base no conhecimento específico do equipamento e condições.

Portanto, a taxa de demanda  =  1.6/8  =  0.2/ano

A indisponibilidade aceitável  =


A disponibilidade requerida é = 1-0.05 = 0.95

Propõe-se um SIS com ligação simples e direta para cortar a alimentação quando a pressão do sistema atinge 80% do valor de ajuste da válvula de segurança.

A conformidade pode ser avaliada pela estimativa da indisponibilidade da malha. Seguem as taxas de falhas, colocadas como exemplo e que poderiam ser consultadas para cada fabricante:

A malha é projetada para falhar na direção segura, assim admite-se que apenas 1 em 3 falhas seria na direção não segura. Todas estas falhas do sistema passivo não seriam diagnosticadas.

Portanto, a taxa de falhas não diagnosticadas = 0.6/3 = 0.2/ano

Com uma freqüência anual de teste, FDT = ½ fT = ½ x 0.2/ano x 1 ano = 0.1

Isto proporciona uma disponibilidade de 0.9, que ainda não atende aos requisitos de segurança. Entretanto, a disponibilidade pode ser aumentada com uma freqüência maior de testes. Com testes mensais temos,

FDT = ½ x 0.2/ano x (1/12) ano = 0.0083

Atingindo uma disponibilidade > 0.99. A freqüência de teste do projeto deve ser especificada como parte da documentação de projeto.

De acordo com a tabela 1, um sistema SIL 1 com testes freqüentes deve prover uma disponibilidade de 0.99 atendendo a disponibilidade de 95% requerida.

 


Tabela 1– Arquitetura de acordo co nível SIL – IEC 61508

Alguns detalhes

Existe uma concepção errada muito comum que os produtos por si só ou componentes são classificados como SIL. Produtos e componentes aplicáveis são a níveis SIL, mas eles não são SIL em separado. Níveis SIL são aplicados às funções de segurança SIFs. O equipamento ou sistema devem ser usados para servir o projeto de redução de risco. Um equipamento certificado para uso em aplicações SIL 2 ou 3 não garante, necessariamente, que o sistema atenderá SIL 2 ou 3.Deve-se analisar todos os compontes da SIF.

Um importante parâmetro de desempenho calculado durante a verificação de SIL é o MTTFsp: Tempo médio entre falhas devido a perturbações ou falsostrips. Esta variável indica quantas vezes o SIS poderá sofrer um falso trip até ir a condição de shudown. A tabela 2 a seguir mostra a estimativa do custo por falsos trips em indústrias de diferentes processos:

 


Tabela 2 – Custos por Falsos Trips.

Conclusão

Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em termos de processos, a minimização da variabilidade com conseqüência direta no aumento da lucratividade.

 

Referências

  • IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
  • IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
  • William M. Goble, Harry Cheddie, "Safety Instrumented Systems Verification: Practical Probabilistic Calculation"
  • http://www.exida.com/images/uploads/CCPS_LA_2010_SIS_EsparzaHochleitner.pdf
  • ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
  • Sistemas Instrumentados de Segurança - César Cassiolato
  • “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
  • Manual LD400-SIS
  • Sistemas Instrumentados de Segurança – Uma visão prática – Parte 4, César Cassiolato

Links Relacionados:

Siga-nos:

Bookmark and Share


© Copyright 2010 | SMAR Equipamentos Industriais Ltda - todos os direitos reservados - websupport@smar.com
Você está recebendo este informativo da SMAR.com.br devido seu relacionamento com o website ser assinante ou Membro Registrado.
Se você deseja ser excluído de futuros e-mails informativos do website SMAR.com.br, por favor clique aqui para atualizar suas preferências .
Este e-mail não pode ser considerado SPAM, pois está em conformidade com o Código de Ética Anti-Spam e Melhores Práticas de Uso de Mensagens Eletrônicas