n-2595 - criterios para projeto e manutencao para sistemas instrument a dos de seguranca em unidades...

N-2595 REV. B OUT / 2002

PROPRIEDADE DA PETROBRAS 39 páginas, 1 formulário e Índice de Revisão

CRITÉRIOS DE PROJETO E MANUTENÇÃO PARA SISTEMAS INSTRUMENTADOS DE

SEGURANÇA EM UNIDADES INDUSTRIAIS

Procedimento

Esta Norma substitui e cancela a sua revisão anterior.

Cabe à CONTEC - Subcomissão Autora, a orientação quanto à interpretação do texto desta Norma. O Órgão da PETROBRAS usuário desta Norma é o responsável pela adoção e aplicação dos seus itens.

CONTEC Comissão de Normas

Técnicas

Requisito Técnico: Prescrição estabelecida como a mais adequada e que deve ser utilizada estritamente em conformidade com esta Norma. Uma eventual resolução de não segui-la ("não-conformidade" com esta Norma) deve ter fundamentos técnico-gerenciais e deve ser aprovada e registrada pelo Órgão da PETROBRAS usuário desta Norma. É caracterizada pelos verbos: “dever”, “ser”, “exigir”, “determinar” e outros verbos de caráter impositivo.

Prática Recomendada: Prescrição que pode ser utilizada nas condições previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de alternativa (não escrita nesta Norma) mais adequada à aplicação específica. A alternativa adotada deve ser aprovada e registrada pelo Órgão da PETROBRAS usuário desta Norma. É caracterizada pelos verbos: “recomendar”, “poder”, “sugerir” e “aconselhar” (verbos de caráter não-impositivo). É indicada pela expressão: [Prática Recomendada].

SC - 10

Cópias dos registros das “não-conformidades” com esta Norma, que possam contribuir para o seu aprimoramento, devem ser enviadas para a CONTEC - Subcomissão Autora.

As propostas para revisão desta Norma devem ser enviadas à CONTEC - Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, o item a ser revisado, a proposta de redação e a justificativa técnico-econômica. As propostas são apreciadas durante os trabalhos para alteração desta Norma.

Instrumentação e Automação Industrial

“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO S.A. – PETROBRAS, de uso interno na Companhia, e qualquer reprodução para utilização ou divulgação externa, sem a prévia e expressa autorização da titular, importa em ato ilícito nos termos da legislação pertinente, através da qual serão imputadas as responsabilidades cabíveis. A circulação externa será regulada mediante cláusula própria de Sigilo e Confidencialidade, nos termos do direito intelectual e propriedade industrial.”

Apresentação

As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho - GTs (formados por especialistas da Companhia e das suas Subsidiárias), são comentadas pelas Unidades da Companhia e das suas Subsidiárias, são aprovadas pelas Subcomissões Autoras - SCs (formadas por técnicos de uma mesma especialidade, representando as Unidades da Companhia e as suas Subsidiárias) e homologadas pelo Plenário da CONTEC (formado pelos representantes das Unidades da Companhia e das suas Subsidiárias). Uma Norma Técnica PETROBRAS está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são elaboradas em conformidade com a norma PETROBRAS N - 1. Para informações completas sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.

../link.asp?cod=N-0001

N-2595 REV. B OUT / 2002

2

SUMÁRIO

1 OBJETIVO........................................................................................................................................................... 5

2 DOCUMENTOS COMPLEMENTARES............................................................................................................... 5

3 SÍMBOLOS OU SIGLAS...................................................................................................................................... 6

4 DEFINIÇÕES....................................................................................................................................................... 6

4.1 ATUADOR............................................................................................................................................. 6

4.2 CAMADA DE PROTEÇÃO .................................................................................................................... 6

4.3 CLASSE DE UMA MALHA DE SEGURANÇA ...................................................................................... 6

4.4 DEMANDA ............................................................................................................................................ 6

4.5 ELEMENTO FINAL................................................................................................................................ 7

4.6 EXECUTOR DA LÓGICA ...................................................................................................................... 7

4.7 “FAIL SAFE” (FALHA SEGURA) ........................................................................................................... 7

4.8 FALHA................................................................................................................................................... 7

4.9 FALHA ESPÚRIA .................................................................................................................................. 7

4.10 FALHA NA DEMANDA ........................................................................................................................ 7

4.11 FALHA OCULTA ................................................................................................................................. 7

4.12 FATOR DE COBERTURA................................................................................................................... 7

4.13 INICIADOR.......................................................................................................................................... 7

4.14 MALHA DE SEGURANÇA .................................................................................................................. 8

4.15 NÍVEL DE INTEGRIDADE DE SEGURANÇA - SIL............................................................................. 8

4.16 PAINEL DE RELÉS............................................................................................................................. 8

4.17 PERIGO .............................................................................................................................................. 8

4.18 PROBABILIDADE DE FALHA NA DEMANDA - PFD.......................................................................... 8

4.19 REDUNDÂNCIA .................................................................................................................................. 8

4.20 REDUNDÂNCIA DIVERSA ................................................................................................................. 8

4.21 RISCO ................................................................................................................................................. 8

4.22 SISTEMA ELETRÔNICO PROGRAMÁVEL - PES.............................................................................. 9

4.23 SISTEMA INSTRUMENTADO DE SEGURANÇA - SIS ...................................................................... 9

4.24 SISTEMA DE SUPERVISÃO E CONTROLE - SSC............................................................................ 9

4.25 TAXA DE PERIGO .............................................................................................................................. 9

4.26 TOLERÂNCIA A FALHA ESPÚRIA..................................................................................................... 9

4.27 TOLERÂNCIA A FALHA NA DEMANDA............................................................................................. 9

4.28 TOLERÂNCIA A FALHA NA DEMANDA E ESPÚRIA......................................................................... 9

4.29 “TRIP”.................................................................................................................................................. 9

5 CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA........................................................................................... 10

5.1. INTRODUÇÃO ................................................................................................................................... 10

N-2595 REV. B OUT / 2002

3

5.2 CONSIDERAÇÕES INICIAIS .............................................................................................................. 11

5.3 PROCEDIMENTO PARA CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA.................................... 12

5.4 CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA DE ACORDO COM A POSSIBILIDADE DE OCORRÊNCIA DE FALHAS NA DEMANDA...................................................................................... 16

5.4.1 FREQÜÊNCIA DE DEMANDA.................................................................................................. 16

5.4.2 SEGURANÇA PESSOAL.......................................................................................................... 17

5.4.3 PERDA DE PRODUÇÃO E DANOS A EQUIPAMENTOS (VER FIGURA 6)............................ 18

5.4.4 MEIO AMBIENTE (VER FIGURA 7) ......................................................................................... 20

5.4.5 INTERPRETAÇÃO DOS RESULTADOS E REGRAS GERAIS................................................ 21

5.5 CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA DE ACORDO COM A POSSIBILIDADE DE OCORRÊNCIA DE FALHAS ESPÚRIAS............................................................................................ 22

5.6 SÍNTESE DA CLASSIFICAÇÃO.......................................................................................................... 24

5.7 DOCUMENTAÇÃO.............................................................................................................................. 25

6 IMPLEMENTAÇÃO............................................................................................................................................ 25

6.1 CONSIDERAÇÕES INICIAIS .............................................................................................................. 25

6.2 CONSIDERAÇÕES GERAIS .............................................................................................................. 26

6.3 INICIADORES ..................................................................................................................................... 27

6.4 EXECUTOR DA LÓGICA DO SIS....................................................................................................... 28

6.5 ATUADORES ...................................................................................................................................... 29

6.6 ALIMENTAÇÃO ELÉTRICA ................................................................................................................ 31

6.7 INTERFACE HOMEM-MÁQUINA........................................................................................................ 31

6.8 INTERFACE DE COMUNICAÇÃO COM SSC .................................................................................... 33

6.9 BY-PASS PARA MANUTENÇÃO........................................................................................................ 33

6.10 BY-PASS PARA INÍCIO DE OPERAÇÃO ......................................................................................... 33

6.11 RESUMO DA IMPLEMENTAÇÃO..................................................................................................... 34

7 TESTES............................................................................................................................................................. 34

7.1 CONSIDERAÇÕES GERAIS .............................................................................................................. 34

7.2 TESTE DE INICIADORES................................................................................................................... 35

7.3 TESTE DO EXECUTOR DA LÓGICA ................................................................................................. 36

7.4 TESTE DE ATUADORES.................................................................................................................... 36

8 MANUTENÇÃO ................................................................................................................................................. 37

8.1 OBJETIVO........................................................................................................................................... 37

8.2 RESPONSABILIDADE ........................................................................................................................ 37

8.3 TREINAMENTO .................................................................................................................................. 37

8.4 DOCUMENTAÇÃO.............................................................................................................................. 37

8.5 PROGRAMA DE MANUTENÇÃO ....................................................................................................... 37

8.6 MODIFICAÇÕES................................................................................................................................. 38

N-2595 REV. B OUT / 2002

4

8.7 ACESSO ............................................................................................................................................. 38

8.8 AUDITORIA......................................................................................................................................... 38

_____________

/OBJETIVO

N-2595 REV. B OUT / 2002

5

1 OBJETIVO 1.1 Esta Norma fixa as condições exigíveis nos projetos terrestres e manutenção de Sistemas Instrumentados de Segurança, para uso nas instalações terrestres da PETROBRAS. 1.2 Esta Norma fixa as condições exigíveis para projetos iniciados a partir da data de sua edição. 1.3 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas. 2 DOCUMENTOS COMPLEMENTARES Os documentos relacionados a seguir contêm prescrições válidas para a presente Norma.

PETROBRAS N-858 - Construção, Montagem e Condicionamento de Instrumentação;

PETROBRAS N-1219 - Cores; PETROBRAS N-1735 - Pintura de Máquinas Equipamentos Elétricos e

Instrumentos; PETROBRAS N-1882 - Critérios para Elaboração de Projetos de

Instrumentação; PETROBRAS N-1883 - Apresentação de Projeto de Instrumentação; PETROBRAS N-2593 - Critérios para Aplicação de Técnicas de Avaliação de

Riscos e Confiabilidade; ABNT NBR 6146 - Invólucros de Equipamentos Elétricos - Proteção; ISA S84.01 - Application of Safety Instrumented Systems for the

Process Industries; ISA 91.00.01 - Identification of Emergency Shutdown Systems and

Controls That are Critical to Maintaining Safety in Process Industries;

AICHE - Guidelines for Safe Automation of Chemical Process; API RP 554 - Process Instrumentation and Control; DIN V 19250 - Control Technology; Fundamental Safety Aspects to

be Considered for Measurement and Control Equipment;

DIN V VDE 0801 - Principles of Computers in Safety Related Systems; IEC 0801 - Eletromagnetic Compatibility for Industrial-Process

Measurement and Control Equipment; IEC 61131 - Programable Controllers, Part 3; IEC 61508 - Function Safety of Electrical/ Electronic/Programmable

Electronic Safety-Related Systems, Parts 1-7; NFPA 8502 - Furnace Explosions/Implosions in Multiple Burner

Boiler.







N-2595 REV. B OUT / 2002

6

3 SÍMBOLOS OU SIGLAS

API - American Petroleum Institute; DIN - Deutsches Institut für Normung (Órgão Normativo da

Alemanha); IEC - International Electrotechnical Commission; IHM - Interface Homem-Máquina; ISA - The Instrumentation, Systems, and Automation

Society; NE - Normalmente Energizado; ND - Normalmente Desenergizado; PES - Programmable Electronic System (Sistema Eletrônico

Programável); PFD - Probabilidade de Falha na Demanda; PFE - Probabilidade de Falha Espúria; SIS - Sistema Instrumentado de Segurança; SIL - Safety Integrity Level (Nível de Integridade de

Segurança); SSC - Sistema de Supervisão e Controle; TÜV - Technische Überwachungs Verein (Organizações de

Inspeção Técnica); UPS - Uninterrupted Power Supply (Sistema Ininterrupto de

Potência); MTBF - Mean Time Between Failure (Tempo Médio Entre

Falhas). 4 DEFINIÇÕES Para os propósitos desta Norma são adotadas as definições indicadas nos itens 4.1 a 4.29. 4.1 Atuador Dispositivo ou combinação de dispositivos incluindo elementos finais, que são acionados pelo executor da lógica para obter redução de risco:

a) fiação, válvula solenóide e válvula “shut-off”; b) relé de interposição e circuito de comando de motor.

4.2 Camada de Proteção Sistema ou subsistema especificamente projetado para reduzir significativamente o risco, ou severidade, de um determinado evento perigoso (AICHE). 4.3 Classe de uma Malha de Segurança Escala de I a VI e X, a qual estabelece requisitos para as malhas de segurança. 4.4 Demanda Uma condição ou evento que requer a atuação de uma malha de segurança.

N-2595 REV. B OUT / 2002

7

4.5 Elemento Final Último elemento de uma malha de segurança que atua sobre o processo. 4.6 Executor da Lógica Componente que recebe os sinais dos iniciadores, processa funções preestabelecidas e comanda, em função do resultado das funções preestabelecidas, a ação dos atuadores. 4.7 “Fail Safe” (Falha Segura) Resultado de uma falha em um componente ou sistema, cujo estado final deve ser mais seguro ou menos perigoso. 4.8 Falha Não cumprimento do serviço esperado de um dispositivo. 4.9 Falha Espúria Falha cujo resultado implica na ação de pelo menos um atuador, sem que tenha ocorrido realmente um evento iniciador que o demandasse. 4.10 Falha na Demanda Falha que se caracteriza pela não ação ou ação incorreta de pelo menos um atuador, quando da ocorrência de um evento iniciador que demande essa ação. 4.11 Falha Oculta Falha cuja ocorrência só é percebida quando a ação de uma malha de segurança é solicitada, seja por demanda ou teste. 4.12 Fator de Cobertura Número que varia de 0 a 1 (100 %), o qual indica o percentual de falhas ocultas que são detectadas, quando um elemento do SIS é submetido a determinado tipo de teste. 4.13 Iniciador Dispositivo ou combinação de dispositivos que dão informações ao executor da lógica, sobre o valor (ou estado) de variáveis de processo ou de equipamentos monitorados:

a) conexões ao processo, sensores, transmissores e fiação; b) chave manual de “trip” e fiação; c) chaves fim-de-curso e fiação.

N-2595 REV. B OUT / 2002

8

4.14 Malha de Segurança Conjunto de um ou mais iniciadores, executor da lógica, e um ou mais atuadores com a função de prevenir determinado perigo. 4.15 Nível de Integridade de Segurança - SIL Indicador de desempenho do SIS, medido através de sua PFD. 4.16 Painel de Relés Executor da lógica do SIS composto de relés eletromecânicos normalmente energizados. 4.17 Perigo Causa potencial de dano à integridade física e saúde, patrimônio, meio ambiente ou perda de produção. 4.18 Probabilidade de Falha na Demanda - PFD Probabilidade de uma malha de segurança falhar em resposta a uma demanda. 4.19 Redundância Uso de 2 ou mais dispositivos distintos, cada qual realizando a mesma função. 4.20 Redundância Diversa Técnica de utilização de diferentes tecnologias, projetos, fabricação, “software”, “firmware”, etc. para se reduzir a influência das falhas de causa comum. Exemplos de métodos que podem ser utilizados para se obter a redundância diversa:

a) medição de diferentes variáveis de processo, tais como pressão e temperatura, nos casos onde o relacionamento entre as variáveis é bem determinado e conhecido;

b) uso de diferentes tecnologias de medição sobre a mesma variável de processo, tais como medição de vazão por vortex e coriolis;

c) uso de diferentes tipos de PES em cada canal de uma arquitetura redundante; d) uso de diversidade geográfica, isto é, rotas alternativas para meios de

comunicação redundantes. 4.21 Risco Combinação da taxa de perigo com as conseqüências do evento perigoso.

N-2595 REV. B OUT / 2002

9

4.22 Sistema Eletrônico Programável - PES Executor da lógica desenvolvido e certificado para aplicações em SIS. 4.23 Sistema Instrumentado de Segurança - SIS Camada de proteção instrumentada, composta de 1 ou mais malhas de segurança, cuja finalidade é de colocar o processo em estado seguro, quando determinadas condições pré-estabelecidas são atingidas. 4.24 Sistema de Supervisão e Controle - SSC Sistema que realiza a aquisição de dados, o controle e permite a monitoração e operação remota de plantas industriais, de produção ou de transferência e distribuição. 4.25 Taxa de Perigo Freqüência de ocorrência de perigo.

Taxa de Perigo = Freqüência de Demanda x Probabilidade de Falha na Demanda 4.26 Tolerância a Falha Espúria Recurso agregado ao projeto de uma malha de segurança, com a finalidade de não ocasionar atuação indevida do SIS, quando da ocorrência de falha espúria, contribuindo para disponibilidade da planta. Exemplo:

VOTAÇÃO 2 de 2 4.27 Tolerância a Falha na Demanda Recurso agregado ao projeto de uma malha de segurança, com a finalidade de não comprometer a execução de sua função de segurança quando da ocorrência de uma falha oculta. Exemplo:

VOTAÇÃO 1 de 2 4.28 Tolerância a Falha na Demanda e Espúria Recurso agregado ao projeto de uma malha de segurança, com a finalidade de contribuir para a disponibilidade da planta e não comprometer a execução de sua função de segurança, quando da ocorrência de uma falha na demanda ou espúria. Exemplo:

VOTAÇÃO 2 de 3 4.29 “Trip” Ação de uma malha de segurança sobre seu(s) atuador(es).

N-2595 REV. B OUT / 2002

10

5 CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA 5.1. Introdução 5.1.1 Esta Norma está baseada em uma abordagem qualitativa de engenharia de confiabilidade, para avaliação do nível de criticidade de malhas de segurança. Não se pretende excluir as etapas de análise quantitativa de engenharia de confiabilidade, mas aproximações foram adotadas para obtermos, de modo prático, SIS adequados. 5.1.2 Os riscos associados à operação de equipamentos e unidades de processo, são consideravelmente reduzidos por meio de diversas técnicas, contempladas durante as fases de projeto. Por exemplo: riscos devidos à sobrepressões são comumente reduzidos através de projetos adequados de espessura das tubulações, torres e vasos. 5.1.3 Um sistema de proteção pode ser baseado em dispositivos mecânicos e/ou de instrumentação. Dispositivos mecânicos são válvulas de segurança, discos de ruptura e válvulas de retenção. Estes dispositivos são projetados de forma a garantir a proteção final da planta, após todas as tentativas de se reduzir a tendência de elevação do risco. Nesta Norma não são tratados tais dispositivos, pois não se enquadram no SIS, mas em camadas de proteção física do processo. 5.1.4 Se a redução de risco obtida com uso de tais técnicas de projeto for considerada suficiente, não se faz necessário a aplicação de um SIS. Por outro lado, caso após a aplicação dessas técnicas, permaneça o grau de risco maior que o aceitável, faz-se necessária a implementação de um SIS, para reduzir este risco a um nível adequado (ver FIGURA 1).

FIGURA 1 - CONCEITOS GERAIS SOBRE REDUÇÃO DE RISCOS

GRAU DE RISCO ESTABELECIDO

APÓS ADOÇÃO DE UM SIS

GRAU TOLERÁVEL DE RISCO

GRAU DE RISCO COM A ADOÇÃO DE MEDIDAS DE SEGURANÇA SEM A PREVENÇÃO ATRAVÉS

DE UM SIS

RISCO INICIAL SEM A ADOÇÃO DE MEDIDAS DE SEGURANÇA

RISCO NÍVEL DE REDUÇÃO DE RISCO IMPLEMENTADO

POR OUTROS DISPOSITIVOS

NÍVEL NECESSÁRIO DE REDUÇÃO DE RISCO

NÍVEL DE REDUÇÃO DE RISCO IMPLEMENTADO PELO SIS

NÍVEL TOTAL DE REDUÇÃO DE RISCO

N-2595 REV. B OUT / 2002

11

5.1.5 A avaliação da necessidade de implementação de malhas de segurança é parte integrante das práticas de projeto, devendo ser realizada durante o Projeto Básico da planta, e sua necessidade confirmada através da aplicação de técnicas de avaliação de riscos e confiabilidade (ver norma PETROBRAS N-2593). 5.1.6 O objetivo deste Capítulo é prover uma metodologia para a classificação das malhas de segurança de acordo com o seu grau de criticidade. Deve ficar claro que esta Norma não tem como objetivo substituir os estudos de análise de risco, mas complementar sua execução, auxiliando na especificação de um SIS adequado. 5.2 Considerações Iniciais 5.2.1 A classificação das malhas de segurança, de acordo com o grau de criticidade, deve ser realizada quando da elaboração dos fluxogramas de engenharia. Este trabalho é executado durante a fase de Projeto Básico, com vistas a elaboração da especificação do SIS ou durante as revisões que venham a ser realizadas no projeto do SIS de uma planta já em operação. 5.2.2 A equipe designada para classificar as malhas de segurança deve ser multifuncional, composta no mínimo por especialistas das seguintes áreas:

a) projeto de processo; b) operação do processo; c) instrumentação e controle; d) segurança industrial.

5.2.3 Especialistas em equipamentos dinâmicos e térmicos devem ser consultados, quando necessário, durante análise das malhas de segurança relacionadas aos respectivos equipamentos: compressores, bombas de alta potência, turbo expansores, fornos, caldeiras, e outros que possuam SIS próprio. 5.2.4 Os seguintes documentos devem estar disponíveis de modo a viabilizar a classificação das malhas de segurança:

a) fluxograma de engenharia; b) matrizes de causa e efeito; c) folha de dados do processo para instrumentação; d) informação sobre falhas, eventos perigosos e acidentes relacionados ao

processo/equipamentos. 5.2.5 Deve ser instituído um coordenador de equipe para a condução do trabalho de classificação e síntese das conclusões. 5.2.6 A filosofia operacional e a localização da planta devem ser consideradas na avaliação dos impactos decorrentes de um evento de risco. Exemplos típicos são plantas operadas manualmente do campo ou remotamente, plantas isoladas ou localizadas próximo a regiões habitadas.


N-2595 REV. B OUT / 2002

12

5.3 Procedimento para Classificação de Malhas de Segurança 5.3.1 Considera-se como uma malha de segurança, cada conjunto de relacionamentos (“X”) na matriz de causa e efeito vinculados a uma mesma função instrumentada de segurança. 5.3.1.1 Para fins de classificação, devem ser considerados tão somente os relacionamentos (“X”) associados a funções de segurança e excluídos causas e efeitos não relacionados a segurança como no caso de procedimentos operacionais. 5.3.1.2 É recomendável que o coordenador identifique as malhas de segurança antes do início dos trabalhos da equipe de classificação. 5.3.2 A classificação deve ser realizada analisando-se cada malha de segurança individualmente. A identificação das malhas que possuírem um único iniciador e um único atuador, é imediata. 5.3.3 Nas arquiteturas onde existe um único iniciador para mais de um atuador, classifica-se a malha de segurança levando-se em consideração a possibilidade de falha na demanda:

a) de cada atuador, supondo todos os demais componentes da malha em condições normais de funcionamento;

b) o iniciador (ver FIGURA 2). Nota: Considera-se como classificação final da malha de segurança a classificação mais

rigorosa dentre as obtidas no item 5.3.3 alíneas a) e b). 5.3.4 Nas arquiteturas com vários iniciadores e um único atuador, classifica-se a malha de segurança levando-se em consideração a possibilidade de falha na demanda:

a) de cada iniciador, supondo todos os demais componentes da malha em condições normais de funcionamento;

b) do atuador (ver FIGURA 3). Nota: Considera-se como classificação final da malha de segurança a classificação mais

rigorosa dentre as obtidas no item 5.3.4 alíneas a) e b).

N-2595 REV. B OUT / 2002

14

5.3.5 Quando uma ou mais causas levarem a ações sobre um mesmo conjunto de atuadores, cada malha de segurança deve ser classificada de modo distinto. 5.3.6 Sempre considerar a malha de segurança sem qualquer tipo de redundância, inclusive diversa, nos iniciadores e atuadores para efeitos de classificação, mesmo que esta redundância esteja representada nos fluxogramas de engenharia e tabela de causa e efeito. 5.3.7 O processo completo de classificação e implementação das malhas de segurança é indicado na FIGURA 4.

N-2595 REV. B OUT / 2002

16

5.3.8 A metodologia de classificação é dividida em 2 partes:

a) classificação de malhas de segurança de acordo com a possibilidade de ocorrência de falhas na demanda;

b) classificação de malhas de segurança de acordo com a possibilidade de ocorrência de falhas espúrias.

5.3.9 As conseqüências das falhas na demanda e das falhas espúrias nas malhas de segurança devem ser discriminadas em relatório conforme item 5.7. 5.3.10 A classificação das malhas de segurança de acordo com a possibilidade de ocorrência de falhas na demanda deve ser avaliada sobre 3 aspectos:

a) conseqüências sobre a segurança pessoal; b) conseqüências sobre a produção e equipamentos; c) conseqüências sobre o meio ambiente.

5.4 Classificação de Malhas de Segurança de Acordo com a Possibilidade de

Ocorrência de Falhas na Demanda 5.4.1 Freqüência de Demanda 5.4.1.1 A origem da demanda, em uma malha de segurança, pode ser devido ao mal funcionamento de uma malha de controle, falha em equipamento ou erro de operação. 5.4.1.2 A primeira questão a ser colocada pela equipe de classificação é “Qual a freqüência possível de atuação da malha de segurança?”. Esta Norma classifica a freqüência de demanda em termos qualitativos, ou seja, muito baixa, baixa e alta.

TABELA 1 - FREQÜÊNCIA DE DEMANDA (W)

W1 Muito baixa Acima de 10 anos W2 Baixa Uma em cada 1~10 anos W3 Alta Mais de uma por ano

5.4.1.3 Os seguintes critérios devem ser considerados:

a) selecionar W2 quando a dinâmica do processo é conhecida e os sistemas de controle estão em condição normal de funcionamento;

b) selecionar W1 quando durante a vida útil da planta for provável o surgimento de somente uma demanda na malha de segurança; esta classificação requer justificativa;

c) em sistemas de proteção contra fluxo reverso em fluidos limpos e não corrosivos, considerar que a utilização de válvula de retenção reduz a freqüência de demanda em um dígito;

N-2595 REV. B OUT / 2002

17

d) se para cada 10 demandas existe somente 1 possibilidade de ocorrer a

conseqüência dita potencial, a freqüência de demanda deve ser reduzida e um dígito, exemplo: - para cada 10 ocorrências de queima subestequiométrica existe a

possibilidade de ocorrer apenas 1 explosão do forno; nesse caso se a freqüência de demanda considerada inicialmente for W2, deve ser revisada para W1.

5.4.2 Segurança Pessoal 5.4.2.1 Devem ser discutidas 3 questões para a classificação das malhas de segurança sobre o aspecto da segurança pessoal:

a) “qual é o potencial de risco para o ser humano se a malha de segurança falhar na demanda?” caso não haja risco algum (S0), nenhuma classificação relativa a segurança pessoal deve ser requerida, caso contrário, deve se dar prosseguimento as avaliações (ver FIGURA 5);

b) “qual o período de exposição humana na área em que o evento de risco poderia ocorrer?”; este questionamento deve ser feito somente para os casos enquadrados em níveis S2 e S3 (ver FIGURA 5);

c) “é possível que a(s) pessoa(s) presente(s) na área evite(m) se expor ao evento de risco?”; este questionamento deve ser feito somente para os casos enquadrados em nível S2; o uso de equipamentos de proteção individual não são considerados como redutores do grau G2 para G1, mesmo sendo de conhecimento geral que tais equipamentos contribuem significativamente para segurança pessoal (ver FIGURA 5).

G1

G2

II

III

IV

V

VI

X

IW3 W2 W1

A2

G1

G2

II

IIIII III

III III

IIIIV

IV

VI

VI

V

V

X X

I

I

INÍCIO

S0

S1

A1

S2

S3

S4

A2

A1

FIGURA 5 - DIAGRAMA DE RISCO PARA CLASSIFICAÇÃO DE MALHAS DE SEGURANÇA - SEGURANÇA PESSOAL

N-2595 REV. B OUT / 2002

18

5.4.2.2 A classe final da malha de segurança deve ser obtida considerando a freqüência de demanda (W), conforme FIGURA 5, onde:

(S) - Potencial de risco ao ser humano no caso de falha na demanda da malha de segurança: - S0 = nenhum; - S1 = lesões com afastamento; - S2 = invalidez ou morte de uma pessoa; - S3 = invalidez ou morte de várias pessoas; - S4 = catástrofe.

(A) - Grau de presença humana na área de risco:

- A1 = raramente; - A2 = freqüentemente.

(G) - Possibilidade de evitar a exposição ao risco:

- G1 = sob certas condições; - G2 = dificilmente possível.

5.4.3 Perda de Produção e Danos a Equipamentos (Ver FIGURA 6)

INÍCIO

L0

L1

L2

L3

L4

W3

I

II

III

IV

W2 W1

I I

III

IIIII

III III

FIGURA 6 - DIAGRAMA DE RISCO PARA CLASSIFICAÇÃO DE MALHAS DE

SEGURANÇA - PERDA DE PRODUÇÃO E DANOS A EQUIPAMENTOS

5.4.3.1 Seguir o diagrama de risco associado a perda de produção e danos a equipamentos ilustrado na FIGURA 6, onde: 5.4.3.2 (L) - Potencial de perda de produção e equipamento no caso de falha na demanda da malha de segurança:

a) L0 - sem perturbações operacionais ou danos a equipamentos; b) L1 - pequenas perturbações operacionais ou danos reduzidos ao equipamento; c) L2 - moderadas perturbações operacionais ou danos moderados ao

equipamento; d) L3 - grande perturbação operacional ou dano grave ao equipamento; e) L4 - perda de produção associada a dano em equipamento essencial.

N-2595 REV. B OUT / 2002

19

5.4.3.3 Exemplos do grau potencial de perda de produção e danos a equipamentos são indicados a seguir para efeito de melhor entendimento:

L0: Sem perturbações operacionais ou danos a equipamentos: - Perturbação ou dano insuficiente para justificar um procedimento de emergência. Exemplos: falha em controlador resultando em alarme operacional.

L1: Pequenas perturbações operacionais ou danos reduzidos ao equipamento.

Exemplos de Pequenas Perturbações Operacionais:

- produção fora de especificação; - pequenas quantidades de alívio de fluidos.

Exemplos de danos reduzidos ao equipamento: - cavitação de bombas convencionais por baixa pressão na sucção; - possibilidade de danos moderados ou graves em equipamentos essenciais,

ou não essenciais, que são causados por eventos de ação prolongada, mas que não requeiram rápida intervenção do operador (mínimo de 1 dia).

L2: Moderadas perturbações operacionais ou danos moderados ao equipamento: Exemplos de moderadas perturbações operacionais:

- perturbação na área de utilidades afetando outras áreas, como a injeção de líquido em correntes de gás para o sistema de gás combustível;

- grandes quantidades de alívio de fluidos. Exemplos de danos moderados ao equipamento:

- cavitação em bombas de alta rotação ou em bombas de múltiplos estágios que disponham de reserva.

L3: Grande perturbação operacional ou dano grave ao equipamento: Exemplos de grande perturbação operacional:

- alívio abrupto de grandes quantidades de massa causando violenta liberação de energia, como é o caso de brusca despressurização em sistemas de alta pressão;

- transbordamento de fluidos de processo; - solidificação de produtos em linhas não aquecidas, de grandes dimensões,

requerendo custosas ações de correção; - necessidade de reparos de baixo custo em equipamentos essenciais que

trabalhem sem reserva. Exemplos de dano grave ao equipamento:

- necessidade de reparos custosos em equipamentos que disponham de reserva ou equipamentos não essenciais.

L4: Perda de produção associada a dano em equipamento essencial. Exemplos de perda de produção:

- sobre-temperatura em reações exotérmicas fora de controle; - sobrepressão em sistemas onde a malha de segurança é o dispositivo de

proteção final, devido a impossibilidade de instalação de válvulas de segurança.

N-2595 REV. B OUT / 2002

20

Exemplos de dano em equipamento essencial:

- explosão de fornos e caldeiras; - nível alto em vaso de sucção de compressor; - baixa pressão na sucção de bombas de múltiplos estágios.

Nota: Danos em equipamentos essenciais podem ser considerados similares aos

apontados em L2 e L3, com a particularidade de que, nesta caracterização, trazerem maiores perdas econômicas (cifras de milhões de US$) por ocasião da indisponibilidade do equipamento essencial, que não disponha de reserva, devido a extensão do período de reparos ou de substituição.

5.4.3.4 Danos são exemplificados no sentido de caracterizar a necessidade de substituição de peças, dispositivos, custo de reparação e conseqüente prejuízo em função da indisponibilidade. 5.4.3.5 A classe final da malha de segurança deve ser obtida considerando a freqüência de demanda (W) determinada no item 5.4.1. 5.4.4 Meio Ambiente (Ver FIGURA 7)

INÍCIO

E3

E2

E1

E0

VI

W1

IV

X

VI

W3

X

V

III

W2

II

IV

FIGURA 7 - DIAGRAMA DE RISCO PARA CLASSIFICAÇÃO DE MALHAS DE

SEGURANÇA - MEIO AMBIENTE 5.4.4.1 Seguir o diagrama de risco associado às conseqüências ambientais ilustradas na FIGURA 7, onde:

(E) Potencial de Danos ao Meio Ambiente em Caso de Falha na Demanda da Malha de Segurança: E0 = sem liberação ou liberação sem conseqüências ambientais; E1 = liberação para dentro dos limites geográficos da companhia com

conseqüências ambientais conhecidas; E2 = liberação para fora dos limites geográficos da companhia com

conseqüências ambientais conhecidas; E3 = liberação para fora dos limites geográficos da companhia com

conseqüências ambientais desconhecidas.

N-2595 REV. B OUT / 2002

21

5.4.4.2 Descargas para tocha, alívios e ruídos excessivos podem causar impactos negativos na imagem da companhia, e estes efeitos devem ser considerados na classificação. 5.4.4.3 Caso a descarga para tocha esteja dentro dos limites estabelecidos em projeto, nenhuma conseqüência ambiental deve ser considerada para fins de classificação. Caso contrário, considerar que a produção também deve ser interrompida e esta perda deve ser considerada na classificação do item 5.4.3. 5.4.4.4 Caso uma certa conseqüência, apesar de devidamente classificada, traga uma imagem prejudicial para a companhia, deve ser adotado o nível “E” imediatamente superior ao inicialmente estabelecido. 5.4.4.5 A classe final da malha de segurança deve ser obtida considerando a freqüência de demanda (W) determinada no item 5.4.1. 5.4.5 Interpretação dos Resultados e Regras Gerais 5.4.5.1 A maior classificação resultante dos 3 aspectos avaliados deve ser selecionada para a malha de segurança sob análise. 5.4.5.2 Se o método de classificação indicar uma malha cuja classificação seja classe X, esta classe deve ser reduzida através de revisão no projeto. Esta revisão deve ser tal que não se necessite de malha de segurança, ou caso ainda se faça necessária, venha a ter sua classificação abaixo do nível X. 5.4.5.3 Para as classes de II a VI, um pré-alarme deve sempre ser implementado a menos que não seja factível qualquer ação de correção por parte do operador. Lembrar que um pré-alarme pode ocorrer também nos casos em que o “setpoint” de um controlador é forçado para valores próximos do nível de segurança. Neste caso, a própria equipe de operação deve corrigir a ação sobre o “setpoint” do controlador. Os referidos pré-alarmes não requerem classificação. 5.4.5.4 No caso de instalação de chave de “trip” manual, a classificação da malha de segurança associada a essa chave deve ser de mesmo nível que a maior classe presente no respectivo SIS considerado. 5.4.5.5 Em malhas de segurança que se combinem com sistemas de controle seqüenciais tais como partida de fornos, a classificação da malha de segurança deve ser realizada para cada etapa do seqüênciamento, pois a freqüência de demanda e as conseqüências podem ser diferentes.

N-2595 REV. B OUT / 2002

22

5.5 Classificação de Malhas de Segurança de Acordo com a Possibilidade de

Ocorrência de Falhas Espúrias 5.5.1 Os requisitos para se estabelecer a tolerância das malhas de segurança a falhas espúrias, devem ser baseados em um tempo de retorno de 1 ano para amortização dos investimentos. Além disso, o cálculo do custo da falha espúria deve levar em conta não só a perda de produção associada, mas também as possíveis conseqüências relacionadas com o “trip” de equipamentos: quebra de refratários, coqueamento de tubos, possíveis danos ambientais, etc. A tolerância a falhas espúrias é justificada então por:

TFECTFECFE >

Onde:

CFE = Custo da Falha Espúria; CTFE = Custo para Implementar Tolerância a Falha Espúria; TFE = Taxa de Falha Espúria por Ano.

Exemplo:

Para um CTFE de US$ 100.000,00 combinado com uma taxa possível de falha espúria de uma vez a cada 9 anos, e considerando um CFE de US$ 800.000,00 teremos um tempo de retorno de 1,125 anos. Portanto, neste caso, não se justifica a adoção da dispositivos de tolerância a falha espúria.

5.5.2 Para simplificar a necessidade do cálculo anterior para cada malha de segurança, 3 diagramas são sugeridos na FIGURA 8, para diferentes faixas de custos de implementação de tolerância a falhas espúrias.

N-2595 REV. B OUT / 2002

24

5.5.3 Iniciadores e atuadores devem ser classificados separadamente porque o custo para implementar a tolerância a falhas espúrias dos iniciadores é baixo, quando comparado ao dos atuadores. 5.6 Síntese da Classificação 5.6.1 Quando a equipe de classificação concluir que determinada malha de segurança se encontra em nível “não classificada”, a malha de segurança não deve ser removida sem que haja retorno desta informação aos projetistas originais. 5.6.2 Caso seja necessário tolerância a falha na demanda para determinado iniciador de uma malha de segurança, e esse mesmo iniciador seja também iniciador de uma segunda malha de segurança, na qual não se faça necessário tolerância a falha na demanda, deve-se utilizar apenas um dos iniciadores para essa segunda malha de segurança, de modo a não se aumentar a taxa de falha espúria da malha de segurança. 5.6.3 Se uma malha é classificada como classe I ou II enquanto outras, com o mesmo iniciador, são classificadas como classe III ou superior, as primeiras malhas podem ser implementadas no SSC. Implementações desta forma requerem segregação dos instrumentos utilizados para indicação e controle, em relação aqueles instrumentos utilizados para ações de proteção, requerendo na prática o uso de iniciadores distintos para malhas classes I ou II, daqueles empregados para implementar as malhas de classe III ou superiores. 5.6.4 Um controlador do SSC deve ser comutado para o modo “manual” e sua saída forçada para a posição de segurança de forma automática nas seguintes situações:

a) quando a válvula de controle associada for atuada pelo sistema de segurança; b) quando a válvula de controle associada estiver na mesma linha que a válvula

específica do sistema de segurança. 5.6.5 No caso de um iniciador acionar vários atuadores, e também no caso contrário, onde vários iniciadores acionarem um único atuador, torna-se necessário proceder uma “soma” das classificações dos elementos comuns a várias malhas de segurança, para se chegar a classificação final desses elementos. Isso se dá segundo o seguinte critério:

a) somar o número de malhas da mesma classe; b) se o número total de uma mesma classe exceder a 10, cada grupamento de

10 malhas deve corresponder a uma malha de classe imediatamente superior; c) repetir o procedimento caso vierem a existir mais de 10 malhas de mesma

classe; d) adotar o maior valor dentre as classes remanescentes para o elemento

singular. Nota: Exemplo: assumir que existem 31 malhas acionando um mesmo atuador,

22 malhas classe III e 9 malhas classe IV, então temos: total real: 22 x III + 9 x IV, que pode ser decomposto em:

a) 22 x III equivalem a 2 x IV + 2 x III ⇒ total equivalente: 11 x IV + 2 x III; b) 1 x IV equivalem a 1 x V + 1 x IV ⇒ total equivalente: 1 x V + 1 x IV + 2 x III; c) classificação final do atuador: classe V.

N-2595 REV. B OUT / 2002

25

5.6.6 Os critérios para classificação do executor da lógica do SIS estão presentes no item 6.4. 5.7 Documentação 5.7.1 O resultado da classificação deve ser devidamente documentado através de relatório, conforme o ANEXO A. 5.7.2 O relatório de classificação deve estar sempre atualizado em função de qualquer revisão que venha a ocorrer na planta, de modo a ser rastreável e auditável. 5.7.3 Os relatórios de classificação de malhas de seguranças emitidos nos projeto básico devem ser arquivados na planta. 6 IMPLEMENTAÇÃO 6.1 Considerações Iniciais 6.1.1 Os referidos documentos devem estar disponíveis para viabilizar a etapa de implementação:

a) diagrama lógico; b) lista de “setpoints” de alarmes e “trips”; c) diagramas de malha; d) relatório de classificação de malhas de segurança.

6.1.2 Considera-se que a planta onde deve ser instalado o SIS é controlada por meio de um SSC. Se este não for o caso, deve ser realizado estudo específico para definir a interface homem-máquina para o SIS. 6.1.3 De acordo com a norma IEC 61508 e a norma DIN V 19250, tem-se as relações entre PFD, SIL e a escala AK. A TABELA 2 mostra como se dá esse relacionamento, e também a correspondência com os níveis de classificação adotados para as malhas de segurança nesta Norma.

TABELA 2 - PFD x SIL x AK

Classe de Malha de Segurança PFD SIL Classe AK

I ≥10-1 0 - II ≥10-1 0 1 III ≥10-2 - <10-1 1 2-3 IV ≥10-3 - <10-2 2 4 V ≥10-4 - <10-3 3 5 VI ≥10-4 - <10-3 3 6 X ≥10-5 - <10-4 4 7-8

N-2595 REV. B OUT / 2002

26

6.1.4 Aplicando a TABELA 2 obtemos a classificação AK necessária para o executor da lógica de cada malha de segurança do SIS. A malha de segurança de maior classe define a classificação do executor da lógica. 6.1.5 Aplicando a TABELA 2 obtemos a PFD requerida para cada malha. Pode-se obter esta PFD das seguintes maneiras:

a) utilizando iniciadores e atuadores com baixa taxa de falha de demanda; b) aplicando tolerância na falha da demanda, isto é, redundância 1 de 2 em

iniciadores e atuadores; c) realizando testes periódicos com elevado fator de cobertura (ver Capítulo 6).

6.1.6 Segundo os critérios desta Norma, para obtenção de um SIS com PFD requerida, deve-se:

a) classificar as malhas conforme o estabelecido no Capítulo 5; b) implementar o SIS de acordo com as diretrizes do Capítulo 6; c) garantir a PFD do SIS com a realização de testes conforme o Capítulo 7.

6.1.7 Os pré alarmes não necessitam de equipamentos específicos e devem, portanto, ser implementados no SSC. 6.1.8 As malhas de segurança classe I e classe II também não requerem equipamentos específicos, devendo portanto ser implementadas como funções automáticas de liga ou desliga no SSC. 6.1.9 Quando se fizer necessária a tolerância a falha espúria, para determinada malha de segurança, a falha espúria deve ser implementada com redundância 2 de 2. Para o uso dessa arquitetura, deve-se levar em conta os equipamentos e testes envolvidos, de forma a se atingir, de fato, a PFD requerida pela classe da malha de segurança em questão. 6.1.10 Quando a classificação da malha de segurança indicar a necessidade na implantação de tolerância a falha na demanda (votação 1 de 2) e tolerância a falha espúria (votação 2 de 2), deve ser implementado a votação 2 de 3. 6.1.11 Deve se utilizado o conceito de falha segura para os iniciadores e atuadores mantendo-os normalmente energizados. As aplicações onde se fizerem necessários atuadores normalmente desenergizados, devem ser limitadas às classes I, II e III. 6.2 Considerações Gerais 6.2.1 Malhas de segurança classificadas como classe III ou superior devem ser implementadas de forma completamente independente do SSC. Para se obter essa separação os componentes do SIS devem ter suas respectivas tomadas de processo, linhas de impulso, sensores, fusíveis, fiação, ramais de suprimento de ar etc., independentes. Para os elementos primários de medição tipo placa de orifício, venturi, bocal e rodas dentadas para medição de rotação, permite-se o uso comum com o SSC.

N-2595 REV. B OUT / 2002

27

6.2.2 Nas situações onde o sequenciamento e as funções de segurança são difíceis de separar, o SIS deve realizar também o sequenciamento, como por exemplo o acendimento de fornos e caldeiras. 6.2.3 A programação da lógica do SIS/PES não deve ser feita através da linguagem do tipo texto estruturado ou diagrama “Ladder”. 6.2.4 Não utilizar barreiras de segurança intrínseca na implementação das malhas de segurança. [Prática Recomendada] 6.3 Iniciadores 6.3.1 Devem ser utilizados transmissores operando em 4 mA a 20 mA. Instrumentos discretos só podem ser utilizados quando transmissores não forem aplicáveis. Não é permitida a utilização de protocolos de comunicação digital para essa finalidade. 6.3.2 É vetada a utilização de quaisquer ferramentas de configuração específica para os iniciadores (programadores manuais, programas rodando em microcomputadores) em malhas de segurança que estejam operando. 6.3.3 É recomendável que os iniciadores do SIS e os utilizados no SSC para medição das mesmas variáveis, tenham o mesmo range e incertezas compatíveis, para facilitar sua comparação (ver item 8.5.1). [Prática Recomendada] 6.3.4 Os sinais devem ser conectados diretamente aos cartões de entrada do PES. Quando o PES não dispuser de cartões de entrada para algum tipo de variável, esses sinais devem ser convertidos no campo. 6.3.5 Cada canal de entrada analógica do PES deve dispor de recursos para detecção de falha de sinal quando fora da faixa de trabalho de 4 mA a 20 mA. Tais falhas devem acionar um alarme geral no SSC. 6.3.6 Iniciadores com supervisão de linha, devem sempre ter ação direta. Quando não houver supervisão de linha, as malhas de segurança com “set” de “trip” alto devem ter iniciadores de ação reversa. 6.3.7 Ajustes de amortecimento e temporização de sinais analógicos, quando necessários, devem ser implementados no executor da lógica e documentados adequadamente. 6.3.8 É recomendável que a execução de algoritmos, por exemplo extração de raiz quadrada, seja realizada no executor da lógica e não nos iniciadores. [Prática Recomendada]

N-2595 REV. B OUT / 2002

28

6.3.9 Nas malhas de segurança classe I e classe II, recomenda-se a pintura dos iniciadores na cor laranja segurança, conforme norma PETROBRAS N-1219. Para os indicadores de malhas, classe III ou superior, a pintura é obrigatória. A pintura parcial do iniciador é aceitável, exemplo: pintura apenas das tampas de transmissores. 6.3.10 Quando se fizer necessária a implementação de iniciadores redundantes deve ser utilizado redundância para as conexões ao processo. No caso de medição de temperatura aceita-se a utilização de um único poço para mais de um iniciador. 6.3.11 Os iniciadores de malhas de segurança classe V e VI devem ser implementados com tolerância a falha na demanda. 6.3.12 Os iniciadores das malhas classe VI devem ter redundância diversa e sempre que possível com conexões ao processo de tipos diferentes:

a) redundância diversa: - medição de nível por ultra-som e por pressão diferencial;

b) redundância não-diversa: - medição de nível por “displacer” e por pressão diferencial, pois nesses

medidores pode ocorrer a mesma obstrução das tomadas. 6.4 Executor da Lógica do SIS 6.4.1 O executor da lógica deve ser implementado utilizando-se um PES. 6.4.2 O executor da lógica deve atender todos os requisitos para a respectiva classe, determinada na etapa de classificação e possuir certificação segundo a norma IEC 61508, emitida pelo TÜV ou outro órgão credenciado. 6.4.3 Somente versões de “software” e “hardware” certificadas devem ser utilizadas. Novas versões, ou versões para correção de “bugs”, que estejam relacionadas diretamente com a segurança ou disponibilidade do sistema, devem ser implementadas somente após certificação. 6.4.4 O executor da lógica deve possuir entradas, saídas, fontes de alimentação e processadores tolerantes a falha aparente. Cartões de saída atuando em alarmes ou indicações não relacionadas a segurança podem ser do tipo simples (não redundantes). 6.4.5 Deve ser evitada a inclusão de malhas I e II no PES. 6.4.6 Unidades de processo que operam e têm paradas programadas para manutenção independentes, devem possuir PES distintos. 6.4.7 No caso de haver interação entre PES distintos suas ações devem ser coordenadas de modo a garantir a condução do processo como um todo a seu estado seguro (ver norma API RP 554).


N-2595 REV. B OUT / 2002

29

6.4.8 Deve ser implantado no PES o registro do 1° evento de uma seqüência de “trips”, bem como o registro seqüencial dos demais eventos. 6.4.9 É recomendada a utilização de canais em módulos de entrada e saída distintos para interligação de iniciadores e/ou atuadores redundantes. [Prática Recomendada] 6.4.10 Não devem ser usados “links” de comunicação digital entre PES distintos para execução de funções de segurança. 6.4.11 Sempre que possível, os gabinetes do PES devem ser instalados o mais próximo possível dos gabinetes do SSC. 6.4.12 Pelo menos um alarme geral de falha do PES deve ser anunciado no SSC, para que seja solicitada manutenção. Preferencialmente devem ser transmitidas todas as informações de diagnóstico para o SSC. Os alarmes podem ser individuais ou combinados, e mensagens e/ou telas auxiliares podem ser configuradas, dependendo da ação que deve ser tomada, pelo operador. 6.4.13 O acionamento dos atuadores deve ser feito diretamente pelo cartão de saída do PES, não sendo permitido o uso de quaisquer dispositivos de interposição. No caso de acionamento e/ou parada de máquinas elétricas, considera-se o relé de interposição como parte integrante do atuador. 6.5 Atuadores 6.5.1 Em malhas de segurança classe III, ou superior, é vetado o uso de uma válvula única comum ao SSC e ao SIS. 6.5.2 Em malhas de segurança classe IV, V e VI o atuador deve ser tolerante à falha na demanda. 6.5.3 Nas malhas de segurança classe I e classe II, recomenda-se a pintura dos atuadores na cor laranja segurança conforme norma PETROBRAS N-1219. Para os atuadores de malha de segurança classe III ou superior a pintura é obrigatória. A pintura parcial do atuador é aceitável, exemplo: pintura apenas das tampas de válvulas solenóides e cilindros pneumáticos. 6.5.4 Os atuadores das malhas classe VI devem ter:

a) redundância diversa: - atuadores pneumáticos com retorno por mola e atuadores elétricos;

b) redundância não-diversa: - 2 válvulas com atuadores pneumáticos.


N-2595 REV. B OUT / 2002

30

6.5.5 No caso de se utilizar válvulas solenóides ND, devem ser tomados os seguintes cuidados:

a) monitorar a pressão de ar para a válvula do SIS; b) utilizar recurso de supervisão de linha; c) ver item 6.1.11.

6.5.6 Quando for necessária tolerância à falha na demanda em uma válvula do SIS, a segunda válvula pode ser uma válvula de controle. Nesse caso, deve ser garantido que a atuação do SIS é independente da atuação do SSC, utilizando válvula solenóide dedicada a esse fim. Nesses casos a classe de vazamento da válvula de controle deve ser igual a classe de vazamento da válvula do SIS. 6.5.7 Válvulas solenóides com rearme manual mecânico não devem ser utilizadas. 6.5.8 As válvulas do SIS devem:

a) ser acionadas por atuadores pneumáticos com retorno por mola; b) ser comandadas por uma única válvula solenóide; c) possuir chave fim de curso para monitoração da posição de segurança; d) não possuir volantes manuais.

Nota: Exceções são permitidas quando o atuador pneumático, com retorno por mola, for

impraticável ou desnecessário. 6.5.9 Válvulas do SIS que devem atuar simultaneamente de modo a não criar novas situações de risco, podem compartilhar uma mesma válvula solenóide. Exemplo: sistemas de duplo bloqueio com “vent” intermediário. [Prática Recomendada] 6.5.10 Na especificação de válvulas para o SIS devem ser observados:

a) grau de estanqueidade; b) experiência de aplicação com a válvula; c) modos de falha da válvula; d) sentido normal do fluxo tendendo a fechar a válvula; e) velocidade de abertura e fechamento; f) pressão diferencial de vazamento em ambas as direções de fluxo; g) resistência a fogo (corpo e atuador); h) desempenho após longos períodos de tempo na mesma posição; i) adequação dos materiais com as condições de processo; j) treinamento para o pessoal de manutenção; k) definição da posição de falha.

6.5.11 Na especificação de válvulas solenóides para o SIS devem ser observados:

a) temperatura, tensão, classificação de área e potência; b) efeitos da pressão de ar mínima e máxima sobre a válvula; c) capacidade de vazão adequada; d) a montagem da solenóide entre o posicionador e o pistão ou diafragma do

atuador;

N-2595 REV. B OUT / 2002

31

e) posição de montagem; f) proteção dos escapes de ar contra entupimentos, sujeira, insetos e formação

de gelo; g) tipo e origem da alimentação elétrica, exemplo: retificador, banco de baterias.

6.5.12 Para os motores atuados pelo SIS e inseridos em malhas de segurança classe I, classe II e classe III, devem ser enviados ao SIS os sinais de status através dos contatos provenientes dos circuitos de controle. Para motores inseridos em malhas de segurança classe IV até classe VI, monitorar através do SIS uma variável associada que confirme o estado do motor, por exemplo: rotação. 6.6 Alimentação Elétrica 6.6.1 Para o circuito alimentador elétrico do SIS, recomenda-se o uso de um sistema de corrente contínua composto de carregador de baterias, exclusivo para o SIS, fornecendo 120 Vcc, com autonomia de 30 minutos. [Prática Recomendada] 6.6.2 O circuito alimentador do SIS deve ser responsável pelo suprimento de energia para:

a) fontes do executor da lógica; b) fontes de 24 Vcc para os iniciadores analógicos; c) energização dos atuadores, via módulos de saída; d) energização dos canais dos módulos de entrada digital.

6.6.3 As fontes de alimentação do executor da lógica, e para os iniciadores analógicos, devem ser tolerantes a falha aparente, com alarmes indicativos de falta de energia e demais falhas internas, sinalizadas pelo PES. 6.6.4 As práticas de fiação devem obedecer as recomendações do fabricante do executor da lógica do SIS, e normas aplicáveis. 6.7 Interface Homem-Máquina 6.7.1 Todas as atuações das malhas de segurança de classe IIl a VI devem ser alarmadas no SSC. 6.7.2 A interface do SIS com o operador deve ser implementada na console de operação do SSC, contemplando alarmes, registro do primeiro evento, indicações e atuações do operador. 6.7.3 Os alarmes e pré-alarmes associados as malhas de segurança do SIS devem possuir identificação visual ou sonora diferenciada dos demais alarmes do SSC. 6.7.4 Deve-se configurar telas no SSC com as respectivas matrizes de causa e efeito animadas e textos de auxílio.

N-2595 REV. B OUT / 2002

32

6.7.5 As botoeiras de parada de emergência devem ser montadas junto da console de operação do SSC. Tais botoeiras devem ter retenção e lâmpada indicadora, acionada pelo SIS, de forma a se confirmar o recebimento do comando. 6.7.6 É aceitável um atraso de até 3 segundos entre uma ação de “trip” iniciada pelo SIS e seu anúncio na console do SSC. 6.7.7 As seguintes informações devem ser transmitidas do SIS para o SSC:

a) medição dos sensores analógicos; b) status de entradas e saídas digitais; c) valores e alarmes de “trip”; d) status de diagnóstico de entradas e saídas; e) indicação de primeiro evento em uma série; f) status de forçamento (by-pass) de entradas; g) alarmes de sistema, alimentação elétrica e temperatura do PES.

6.7.8 O alarme do primeiro evento que gera uma ação de “trip” deve ser mostrado de maneira destacada. 6.7.9 Os seguintes comandos devem ser enviados do SSC para o SIS:

a) “trips” parciais e total da unidade; b) reconhecimento de primeira ocorrência; c) by-pass de início de operação e manutenção.

6.7.10 As ações de “trip”, iniciadas pela lógica do SIS ou por comando do operador, devem também iniciar ações no SSC, de forma a ambos os sistemas atuarem simultaneamente no sentido da segurança (ver item 5.6.4). 6.7.11 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC, devendo ter as seguintes funções:

a) armazenar todo o histórico de ações/intervenções no SIS, com TAG, data, hora e identificação pessoal, de forma a se poder analisar posteriormente as ocorrências;

b) diagnóstico: indicar todos os detalhes de falhas aparentes detectadas pelo executor da lógica;

c) configurar o PES, armazenar sua configuração, e possibilitar mudanças com a unidade em operação.

6.7.12 Para os diversos PES de uma planta deve-se ter um mínimo de estações de engenharia/manutenção. Portanto recomenda-se:

a) interligar os PES em rede com a estação de engenharia/manutenção; b) dispor de uma porta de comunicação direta em cada PES para o caso de

indisponibilidade da rede. [Prática Recomendada]

N-2595 REV. B OUT / 2002

33

6.8 Interface de Comunicação com SSC 6.8.1 A Interface de comunicação do SIS com o SSC deve ser:

a) individual para cada PES; b) digital, serial e tolerante a falha aparente.

6.8.2 Em caso de falha a interface de comunicação deve:

a) não comprometer a função de segurança da aplicação; b) não causar “trip”; c) anunciar falha na console do SSC.

6.9 By-Pass para Manutenção 6.9.1 O by-pass para manutenção tem a função de gerar sinais que prevalecem sobre os iniciadores de modo a permitir intervenção para manutenção e testes. Tal recurso só deve ser utilizado quando:

a) se dispuser de um outro meio para supervisionar a variável em questão; b) a dinâmica do processo permita ao operador acompanhar e comandar em

tempo hábil o “trip” manual. 6.9.2 O by-pass para manutenção deve ser executado para 1 único iniciador de cada vez, por subsistemas (ver norma API RP 554), e sua duração deve ser a menor possível. Exemplos de subsistemas:

Fornos, conversor de FCC e caldeira. 6.9.3 Para iniciadores em configuração 2 de 2, o by-pass deve atuar de forma a degradar o sistema para a configuração 1 de 1. Para os iniciadores em configuração 2 de 3, o by-pass deve degradar a configuração para 1 de 2. 6.9.4 Não deve haver by-pass das saídas do executor da lógica. 6.9.5 Não deve haver inibição das funções de alarme, nem das chaves de “trip” manuais. 6.10 By-Pass para Início de Operação 6.10.1 Somente deve ter by-pass ativado para início de operação, as malhas que impedem a partida da unidade. 6.10.2 A função de by-pass de partida não deve estar operante durante a operação normal da unidade.

N-2595 REV. B OUT / 2002

34

6.10.3 É desejável que os “reset” dos by-pass do SIS sejam implementados através de funções automáticas temporizadas, ajustadas para um período de tempo 10 % maior que o necessário para execução normal do procedimento de partida. Deve evitar-se o uso de “reset” manual para a ativação do SIS. 6.11 Resumo da Implementação A TABELA 3 apresenta como devem ser implementadas as malhas de segurança de acordo com a classificação obtida.

TABELA 3 - RESUMO DA IMPLEMENTAÇÃO

Classe de Malha de Segurança

Iniciador Executor da Lógica

Atuador Válvula

Atuador Equipamento

Elétrico Observação

I O mesmo que

o utilizado pelo SSC.

SSC A mesma

utilizada pelo SSC.

Relé de interposição

Apenas alarmes no SSC se for garantida a

atuação do operador.

II O mesmo que

o utilizado pelo SSC.

SSC A mesma

utilizada pelo SSC.


Funções automáticas de liga ou desliga no SSC.

III Distinto do

utilizado pelo SSC

PES certificado para SIL 1

Distinta da utilizada pelo

SSC


Se não for necessário estanqueidade a válvula

pode ser a mesma utilizada pelo SSC,

atuada por solenóide.

IV Distinto do

utilizado pelo SSC



SSC com tolerância a

falha na demanda.


A segunda válvula pode ser uma válvula de controle atuada por

solenóide.

V

Distinto do utilizado pelo


falha na demanda.




falha na demanda.

Relé de interposição com tolerância a falha

na demanda.


solenóide.

VI

Distinto do utilizado pelo


falha na demanda.




falha na demanda e redundância

diversa

Relé de interposição com tolerância a falha

na demanda.


solenóide.

7 TESTES 7.1 Considerações Gerais 7.1.1 Cada malha do SIS deve ser periodicamente submetida a teste para detectar e corrigir as falhas ocultas de forma a se manter o SIL requerido (ver normas ISA 91.00.01 e API RP 554).

N-2595 REV. B OUT / 2002

35

Nota: A PFD de uma malha é igual a zero logo após a realização de um teste completo

(fator de cobertura = 1) bem sucedido. Entretanto, como a PFD cresce com o tempo um novo teste deve ser realizado antes que a PFD ultrapasse o limite do SIL requerido pela malha.

7.1.2 Os testes das malhas do SIS devem ser realizados:

a) durante o comissionamento; b) periodicamente, conforme TABELA 4; c) durante as paradas programadas para manutenção da planta.

TABELA 4 - PERÍODO ENTRE TESTES RECOMENDADO POR MALHA [Prática

Recomendada]

SIL da Malha Período Máximo 1 24 meses

2 12 meses

3 6 meses 7.1.3 Os testes parciais dos componentes do SIS devem ser realizados após a execução de alterações, tais como:

a) ajustes de ranges; b) ajustes de “setpoint” de “trips”; c) modificações de “software” / “hardware”.

7.1.4 Todos os testes devem estar baseados em procedimentos documentados. 7.1.5 A documentação de registro dos testes do SIS deve conter, no mínimo, as seguintes informações:

a) data do teste; b) nome do executante; c) número de série ou outro identificador único do equipamento (não utilizar

apenas TAG); d) resultados dos testes e comparação com critério de aceitação definido pelo

usuário; e) descrição do teste executado (pode associar ao número do procedimento

previamente elaborado). 7.2 Teste de Iniciadores 7.2.1 Os iniciadores devem ser testados simulando-se, o mais próximo possível, as condições de operação. As linhas de impulso devem estar incluídas no teste, para aumentar o fator de cobertura.

N-2595 REV. B OUT / 2002

36

7.2.2 Para os iniciadores analógicos, os testes periódicos podem ser implementados através da comparação entre os valores dos iniciadores do SIS e os respectivos sensores analógicos do sistema de controle, os quais correspondem às mesmas variáveis de processo. Sempre que for constatada diferença relativa maior que 5 % entre os 2 valores correspondentes, deve ser anunciado um alarme no console de operação do SSC. 7.2.3 Para os iniciadores discretos, os testes periódicos devem ser realizados mediante o acionamento do by-pass para manutenção e através da simulação das condições de “trip”. Exemplo: bloqueio e drenagem de chave de nível. 7.2.4 Durante as paradas programadas de manutenção todos os iniciadores, independente da classificação e da existência de monitoração, devem ser testados em oficina, e as respectivas linhas de impulso devem ser limpas, obtendo-se assim o fator de cobertura o mais próximo possível de 1 (ver norma API RP 554). 7.3 Teste do Executor da Lógica 7.3.1 Os sistemas instrumentados de segurança existentes, baseados em relés eletromecânicos devem ser plenamente testados a cada parada programada de manutenção, de modo a obter-se o fator de cobertura igual a 1. 7.3.2 Os PES somente devem ser testados para se verificar a existência de falhas ocultas introduzidas por modificações de “software” ou “hardware”. 7.4 Teste de Atuadores 7.4.1 Para obter-se fator de cobertura maior possível, todos os atuadores (inclusive os normalmente energizados) devem ser testados forçando-se a atuação das respectivas saídas do SIS. 7.4.2 Durante as paradas programadas de manutenção, todos os atuadores devem ser testados e inspecionados em oficina e após montagem no campo, de modo a se obter o fator de cobertura igual a 1. Atenção especial deve ser dada aos atuadores dos quais é requerido vedação total (ver norma API RP 554). 7.4.3 Testes parciais de abertura e fechamento de válvulas não devem ser implementados, a não ser que se utilizem dispositivos especialmente projetados e certificados para essa finalidade. 7.4.4 Testes de fechamento e abertura plenos em válvulas, podem ser realizados desde que as condições operacionais permitam a ação dos atuadores em curtos intervalos de tempo, ou a instalação seja dotada de recursos que permitam o by-pass e/ou bloqueio dos atuadores. Nota: Deve ser considerada a possibilidade do elemento final falhar na posição de

segurança, durante a realização desse procedimento.

N-2595 REV. B OUT / 2002

37

8 MANUTENÇÃO 8.1 Objetivo O objetivo deste Capítulo é garantir que o SIS seja tratado dentro de padrões mínimos de manutenção, permitindo uma operação confiável durante todo seu ciclo de vida. 8.2 Responsabilidade A responsabilidade de manutenção de cada SIS deve ser designada e identificada nominalmente. Uma mesma pessoa pode ser responsável pela manutenção de mais de um SIS. 8.3 Treinamento O pessoal envolvido nas atividades de manutenção do SIS deve ser adequadamente treinado para essas tarefas. O treinamento deve ser registrado de forma apropriada a garantir sua rastreabilidade. 8.4 Documentação O pessoal responsável pelas atividades de manutenção do SIS deve possuir documentação adequada para esse fim (ver itens 6.1.1 e 7.1.4). Tal documentação deve estar incluída em rotina específica que garanta a sua atualização e distribuição de forma que o usuário esteja sempre de posse de sua última revisão. 8.5 Programa de Manutenção 8.5.1 O responsável pela manutenção do SIS deve estabelecer um programa apropriado de manutenção para garantir a integridade e confiabilidade do sistema durante todo o seu ciclo de vida. Esse programa deve incluir, no mínimo, procedimentos para manutenção, testes e reparos do SIS. 8.5.2 O programa de manutenção deve incluir, pelo menos, as seguintes tarefas:

a) plano regular de testes funcionais do SIS; b) plano regular de manutenção preventiva (por exemplo, substituição de

ventiladores, baterias, “back-ups” de programas, calibrações); c) reparos das falhas do sistema seguidos de testes apropriados de confirmação

da não mais existência das falhas. 8.5.3 O usuário deve possuir sistemática que permita a rastreabilidade do programa de manutenção (registros de manutenção) que garanta a recuperação, no mínimo, das seguintes informações:

a) descrição e data de realização da tarefa; b) responsável(eis) pela execução e tempos empregados;

N-2595 REV. B OUT / 2002

38

c) descrição e ação corretiva no caso de reparos; d) registro de atuações do SIS, identificando se a causa foi por demanda real,

falha de instrumentação, falha do sistema, erro humano ou desconhecida. 8.5.4 Estão incluídas nessa sistemática as tarefas relativas a testes periódicos citados no Capítulo 7. 8.5.5 É recomendável que o usuário adote uma sistemática de codificação das tarefas, falhas, ações corretivas e atuações de modo a permitir a realização de análises estatísticas de ocorrências do SIS. [Prática Recomendada] 8.5.6 As informações devem ser mantidas durante todo o ciclo de vida últil do SIS. 8.6 Modificações 8.6.1 Modificações na lógica implementada no SIS, com o sistema em operação, devem ser evitadas. 8.6.2 O usuário deve ter procedimentos específicos para realização de modificações da lógica implementada no SIS contemplando, no mínimo, os seguintes aspectos:

a) aplicação dos procedimentos de classificação e implementação adotados nesta Norma;

b) aprovação dos responsáveis pelo projeto do SIS e revisão da documentação existente antes da implementação e carregamento no sistema;

c) a modificação deve ser exaustivamente submetida a testes e verificações antes de sua implementação;

d) o carregamento, no sistema, das modificações deve ser acompanhado pelos responsáveis pela operação e manutenção da planta.

8.6.3 Modificações de versão de “software” e “firmware” devem ser evitadas, quando não implicarem em correção de problemas já detectados ou potenciais. Nos casos onde forem aplicáveis, devem seguir estritamente as recomendações e procedimentos do fabricante do equipamento e devem ser registradas (ver item 7.3). 8.7 Acesso O acesso ao executor da lógica do SIS deve ser restrito ao pessoal autorizado pelo responsável pela manutenção. A quantidade de pessoas com autorização de acesso deve ser a menor possível. 8.8 Auditoria Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes itens:

N-2595 REV. B OUT / 2002

39

a) procedimento adotado para implementações de modificações; b) procedimento adotado de testes e verificação de sua periodicidade; c) sistemática de registros e análises de manutenção; d) treinamento de pessoal de manutenção; e) integridade e atualização da documentação.

_____________

/ANEXO A

TÍTULO:

RELATÓRIO DE CLASSIFICAÇÃO DE MALHA DE SEGURANÇA

ÍNDICE DE REVISÕES

REV. DESCRIÇÃO E/OU FOLHAS ATINGIDAS

REV. 0 REV. A REV. B REV. C REV. D REV. E REV. F REV. G REV. H DATA PROJETO EXECUÇÃO VERIFICAÇÃO APROVAÇÃO AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.

FORMULÁRIO PERTENCENTE À NORMA PETROBRAS N-2595 REV. B ANEXO A - FOLHA 01/02.

TITULO:

RELATÓRIO DE CLASSIFICAÇÃO DE MALHA DE SEGURANÇA

SERVIÇO:

FLUXOGRAMA(S) DE ENGENHARIA:

IDENTIFICAÇÃO DO(S) INICIADOR(ES):

IDENTIFICAÇÃO DO(S) ATUADOR(ES) DA MALHA DE SEGURANÇA:

CONSEQÜÊNCIA DE FALHA NA DEMANDA:

DEMANDA W:

SEGURANÇA PESSOAL S: A: G: CLASSE ASSOCIADA:

PERDA DE PROD/EQUIP. L: CLASSE ASSOCIADA:

MEIO AMBIENTE E: CLASSE ASSOCIADA:

CLASSE FINAL PARA FALHA NA DEMANDA DA MALHA DE SEGURANÇA:

CONSEQÜÊNCIA DE FALHA ESPÚRIA DA MALHA DE SEGURANÇA:

FREQÜÊNCIA DE FALHA ESPÚRIA T:

PERDA FINANCEIRA ASSOCIADA A OCORRÊNCIA DE FALHA ESPÚRIA C:

IMPLEMENTAR TOLERÂNCIA A FALHA ESPÚRIA? (S/N)

ESQUEMA DE VOTAÇÃO SELECIONADO PARA O(S) INICIADOR(ES): ( ) 1 DE 1 ( ) 1 DE 2 ( ) 2 DE 2 ( ) 2 DE 3

ESQUEMA DE VOTAÇÃO SELECIONADO PARA O(S) ATUADOR(ES): ( ) 1 DE 1 ( ) 1 DE 2 ( ) 2 DE 2 ( ) 2 DE 3

COMENTÁRIOS:

AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.

FORMULÁRIO PERTENCENTE À NORMA PETROBRAS N-2595 REV. B ANEXO A - FOLHA 02/02.

N-2595 REV. B OUT / 2002

IR 2/2

ÍNDICE DE REVISÕES

REV. A

Partes Atingidas Descrição da Alteração

1 Revisados e renumerados

2 Revisado

3 Revisado

4 ao 4.2.9 Revisados e renumerados

4.30 Excluído

5 ao 5.1 Revisados e renumerados

5.1.1 Revisado e renumerado

5.1.2 ao 5.7.3 Incluídos


6.1.7 ao 6.1.11 Incluídos

6.2 ao 6.24 Revisados e renumerados

6.2.5 ao 6.2.6 Excluídos

6.3 ao 6.30.10 Revisados e renumerados

6.3.11 e 6.3.12 Incluídos


6.4.8.1 ao 6.4.8.5 Excluídos

6.4.9 ao 6.4.11 Revisados e renumerados

6.4.12 e 6.4.13 Incluídos


6.6 ao 6.11 Incluídos


7.1.6 Excluído







N-2595 REV. B OUT / 2002

IR 2/2

REV. A


8 e 8.1 Revisados e renumerados


8.2 Revisado e renumerado



8.3.1 e 8.3.2 Excluídos


8.4.1 e 8.4.2 Excluídos


8.5.2.1 ao 8.5.2.3 Excluídos

8.5.4 ao 8.8 Incluídos

9 ao 9.7 Excluídos

Anexo A Revisado

REV. B


5.3 Revisado

5.4.5.4 Revisado

5.5.1 Revisado

5.6.6 Revisado

6.5.4 Revisado

6.5.5 Revisado

6.5.9 Revisado

7.4.3 Revisado

Anexo A Revisado

_____________

n-2595 - criterios para projeto e manutencao para sistemas instrument a dos de seguranca em unidades...

Documents