SIS Sistemas Instrumentados de Segurana Parte 1 IntroduoOs Sistemas Instrumentados de Segurana (SIS) so utilizados para monitorar a condio de valores e parmetros de uma planta dentro dos limites operacionais e quando houver condies de riscos devem gerar alarmes e colocar a planta em uma condio segura ou mesmo na condio de shutdown. As condies de segurana devem ser sempre seguidas e adotadas em plantas e as melhores prticas operacionais e de instalao so deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relao legislao de segurana garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo que instrumentos e alarmes envolvidos com segurana sejam operados com confiabilidade e eficincia. Os Sistemas Instrumentados de Segurana (SIS) so os sistemas responsveis pela segurana operacional e que garantem a parada de emergncia dentro dos limites considerados seguros, sempre que a operao ultrapassar estes limites. O objetivo principal se evitar acidentes dentro e fora das fbricas, como incndios, exploses, danos aos equipamentos, proteo da produo e da propriedade e mais do que isto, evitar riscos de vidas ou danos sade pessoal e impactos catastrficos para a comunidade. Deve-se ter de forma clara que nenhum sistema totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condio segura. Durante muitos anos os sistemas de segurana foram projetados de acordo com os padres alemes (DIN V VDE 0801 e DIN V 19250) que foram bem aceitos durante anos pela comunidade mundial de segurana e que culminou com os esforos para um padro mundial, a IEC 61508, que serve hoje de guardachuva em seguranas operacionais envolvendo sistemas eltricos, eletrnicos, dispositivos programveis para qualquer tipo de indstria. Este padro cobre todos os sistemas de segurana que tm natureza eletromecnica. Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:

Falhas de hardware randmicas Falhas sistemticas Falhas de causas comuns

A IEC 61508 dividida em 7 partes das quais as 4 primeiras so mandatrias e as 3 restantes servem de guias de orientao:

Part 1: General requirements Part 2: Requirements for E/E/PE safety-related systems Part 3: Software requirements Part 4: Definitions and abbreviations Part 5: Examples of methods for the determination of safety integrity levels Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 Part 7: Overview of techniques and measures

Este padro trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema Instrumentado de Segurana) e voltado para a performance exigida do sistema, isto , uma vez atingido o nvel de SIL (nvel de integridade de segurana) desejvel, o nvel de redundncia e o intervalo de teste ficam a critrio de quem especificou o sistema.

A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde esto includos os PLCs, sistemas microprocessados, sistemas de controle distribudo, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos. Recentemente vrios padres sobre o desenvolvimento, projeto e manuteno de SIS foram elaborados, onde j citamos a IEC 61508 (indstrias em geral) e vale citar tambm a IEC 61511, voltada as indstrias de processamento contnuo, lquidos e gases. Na prtica se tem visto em muitas aplicaes a especificao de equipamentos com certificao SIL para serem utilizados em sistemas de controle, e sem funo de segurana. Acredita-se tambm que exista no mercado desinformao, levando a compra de equipamentos mais caros, desenvolvidos para funes de segurana onde na prtica sero aplicados em funes de controle de processo, onde a certificao SIL no traz os benefcios esperados, dificultando inclusive a utilizao e operao dos equipamentos. Alm disso, esta desinformao leva os usurios a acreditarem que tm um sistema de controle seguro certificado, mas na realidade eles possuem um controlador com funes de segurana certificado. Com o crescimento do uso e aplicaes com equipamentos e instrumentao digitais, de extrema importncia aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentao que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurana, que tenham o domnio das ferramentas de clculos e as taxas de riscos que se encontram dentro de limites aceitveis. Alm disso, necessrio:

Entender as falhas em modo comum, saber quais os tipos de falhas seguras e no seguras so possveis em um determinado sistema, como preveni-las e mais do que isto; quando, como, onde e qual grau de redundncia mais adequado para cada caso. Definir o nvel de manuteno preventiva adequado para cada aplicao.

O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si s no garante absolutamente nenhuma melhoria de confiabilidade e segurana de operao, quando comparado com tecnologias tradicionais, exceto quando o sistema implantado com critrios e conhecimento das vantagens e das limitaes inerentes a cada tipo de tecnologia disponvel. Alm disso, deve-se ter em mente toda a questo do ciclo de vida de um SIS. Comumente vemos acidentes relacionados a dispositivos de segurana bypassados pela operao ou durante uma manuteno. Certamente muito difcil evitar na fase de projeto que um dispositivo destes venha a ser bypassado no futuro, mas atravs de um projeto criterioso e que atenda melhor s necessidades operacionais do usurio do sistema de segurana, possvel eliminar ou reduzir consideravelmente o nmero de bypasses no autorizados. Atravs do uso e aplicao de tcnicas com circuitos de lgica fixas ou programveis, tolerantes falha e/ou de falha segura, microcomputadores e conceitos de software, hoje j se pode projetar sistemas eficientes e seguros com custos adequados a esta funo. O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores, colunas de craquamento, caldeiras, fornos so exemplos tpicos de equipamentos que exigem sistemas de intertravamento de segurana cuidadosamente projetados e implementados. O funcionamento adequado de um SIS requer condies de desempenho e diagnsticos superiores aos sistemas convencionais. A operao segura em um SIS composta de sensores, programadores lgicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variveis de processos como presso e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condies no favorveis s condies seguras de operao.

Exemplos tpicos de sistemas de segurana:

Sistema de Shutdown de Emergncia (ESD) Sistema de Shutdown de Segurana (SSD) Sistema de intertravamento de Segurana Sistema de Fogo e Gs

Veremos a seguir, em uma srie de artigos, mais detalhes prticos envolvendo clculos probabilsticos, conceitos de confiabilidade, falhas e segurana, SIS, etc. Iniciaremos com Ciclo de Vida de Segurana e Anlise de Riscos.

Ciclo de Vida de SeguranaDefinio: " um processo de engenharia com o objetivo especfico de atingir e garantir que um SIS seja efetivo e que permita a reduo de nveis de riscos a um custo efetivo durante todo o tempo de vida do sistema. Em outras palavras, o ciclo destina-se a um guia de avaliao de risco durante todo o tempo de vida do sistema, desde a concepo do projeto manuteno no dia-a-dia. Por que o Ciclo de Vida de Segurana?

Acidentes podem acontecer, por isso, existe a necessidade de minimiz-los em frequncia e gravidade. Sistemas de Segurana Instrumentados e Ciclo de Vida de Segurana so projetados para minimizar riscos.

Figura 1 Exemplo tpico de um Ciclo de Vida de Segurana

O Ciclo de Vida de Segurana envolve anlises de probabilidades de forma a garantir a integridade do projeto de Segurana. Alm disso, permite atravs dos clculos a reduo de riscos a um custo efetivo. Manter a integridade de um SIS durante o ciclo de vida da planta de extrema importncia para o gerenciamento da segurana. Um programa efetivo de gerenciamento deve incluir controles e procedimentos rigorosos que garantam que:

A identificao dos pontos crticos, conceitos e a escolha de equipamentos sensores, tecnologia, logic solver e equipamentos e elementos finais e a necessidade de redundncia atendam os nveis de segurana e reduo de riscos calculada. Uma vez escolhida tecnologia e arquitetura que se tenha um plano de anlise e reviso peridica das mesmas, reavaliando a segurana como um todo. Os testes em cada fase (projeto, instalao, operao, modificao/manuteno) sejam realizados em conformidade com os requisitos de segurana, procedimentos e padres de segurana. Que o SIS retorne ao seu estado de operao normal aps uma manuteno. A integridade do sistema no seja comprometida por acesso no autorizado programao, pontos de trip ou bypasses. Procedimentos de gerenciamento de modificaes sejam sempre obedecidos para qualquer modificao no sistema. A qualidade de modificaes seja verificada e o sistema seja revalidado antes de retornar operao.

O Ciclo de Vida de Segurana deve fazer parte do PSM (Process Safety Management System Sistema de Gerenciamento de Segurana do Processo). Desta forma ser adotado e aplicado convenientemente de forma consciente e envolvendo os colaboradores em todas as suas etapas e nveis da empresa.

Anlise de RiscosQuanto mais riscos um sistema tiver, mais difcil de se atender aos requisitos de um sistema seguro. Basicamente, o risco uma somatria da probabilidade de acontecer algo indesejvel com a conseqncia desta ocorrncia. O risco de um processo pode ser definido como o produto da freqncia de ocorrncia de um determinado evento (F) pela conseqncia resultante da ocorrncia do evento (C). Risco = F x C.

Figura 2 - Consideraes de risco de acordo com a IEC 61508.

Nos sistemas de segurana a busca pela minimizao de riscos em nveis aceitveis e o nvel SIL para uma malha de controle pode ser determinado pela anlise e identificao dos riscos do processo. A verificao do nvel SIL pode ser feita pela probabilidade de falha sob demanda (PFD).

A IEC 61508 define requisitos para funcionalidade e integridade de um sistema. Os requisitos para funcionalidade so baseados no processo e os de integridade esto voltados confiabilidade, que definida como o Nvel de Integridade de Segurana (SIL). Existem 4 nveis discretos e que tm 3 importantes propriedades:

Aplicvel total funo de segurana; Quanto maior o nvel de SIL mais rgidos so os requisitos; Aplicveis aos requisitos tcnicos e no-tcnicos

Tabela 1- Nveis de SIL

Como interpretar o nvel SIL? Como vimos o nvel SIL uma medida de integridade de um SIS e podemos interpretar basicamente de duas maneiras: 1) Levando em conta a reduo de risco e a tabela 1:

SIL1: reduo de risco>= 10 e = 100 e = 10000 e = 10000e 1/100 ano): Falhas em equipamentos simples ou vlvulas, falhas em tubulaes ou um simples erro em atividades rotineiras (1/100 1/1000 ano): Falhas em Equipamentos duplos ou vlvulas, rupturas em tubulaes, vazamentos ou erro humano (1/1000 1/10000 ano): Combinao de falhas em instrumentos e erros humanos ou falhas em pequenas linhas de processos (< 1/10000 ano): Mltiplas falhas em instrumentos e erros humanos ou falhas espontneas em tanques e vasos de processosTabela 4 Faixa de Freqncia - Critrio Qualitativo

Faixa de Conseqncia

Critrio Qualitativo Pessoal: Injrias crticas mltiplas ou fatalidades Pblica: Potencial para Injrias crticas mltiplas ou fatalidades Ambiente: Liberao de inconfinado com impacto ambiental alto Propriedade: Perda > U$100M Pessoal: Potencial para Injrias srias ou pequenas fatalidades Pblica: Potencial para Injrias srias ou pequenas fatalidades Ambiente: Liberao de inconfinado com mdio impacto ambiental Propriedade: Perda entre U$10M e U$100M Pessoal: Injrias srias exigindo emergncia mdica Pblica: Potencial para Injrias srias exigindo emergncia mdica Ambiente: Liberao de inconfinado com baixo impacto ambiental Propriedade: Perda entre U$1M e U$10M Pessoal: Injrias exigindo primeiros socorros Pblica: Odor, rudo/perturbao, sem impacto direto Ambiente: Liberao de confinado com impacto localizado Propriedade: Perda entre U$100k e U$1MTabela 5 Faixa de Conseqncia - Critrio Qualitativo

4

3

2

1

Alguns termos e conceitos envolvidos em sistemas de segurana Demanda: toda condio ou evento que gera a necessidade de atuao de um sistema de segurana PFD (Probabilidade de Falha na Demanda): Indicador de confiabilidade apropriado para sistemas de segurana. MTBF uma medida bsica da confiabilidade em itens reparveis de um equipamento. Pode ser expresso em horas ou anos. comumente usado em anlises de confiabilidade e sustentabilidade em sistemas. MTBF: pode ser calculado pela seguinte frmula: MTBF = MTTR + MTTF Onde: MTTR = Tempo Mdio de Reparo MTTF = Tempo Mdio para Falhar = ao inverso da somatria de todas as taxas de falhas SFF = Safe Failure Fraction, a frao de todas as taxas de falhas de um equipamento que resulta em uma falha segura ou falha no segura, mas diagnosticada.

Tipos de falhas analisadas em um FMDEA (Failure Modes, Effects, and Diagnostic Analysis): 1. Dangerous Detected (DD): falha detectvel e que pode levar a um erro maior do que 2% na sada. 2. Dangerous Undetected (DU): falha no detectvel e que pode levar a um erro maior do que 2% na sada.

3.

Safe Detected (SD): falha detectvel e que no afeta a varivel medida, mas que joga a corrente de sada a um valor seguro e avisa ao usurio 4. Safe Undetected (SU): Neste caso h um problema com o equipamento, mas no se consegue detect-lo, mas a sada opera com sucesso dentro de um limite de 2% de tolerncia de segurana. Se esta tolerncia de segurana usada como parmetro de projeto, este tipo de falha pode ser ignorado. 5. Diagnostic Annunciation Failure (AU): uma falha que no tem impacto imediato, mas que uma segunda ocorrncia pode colocar o equipamento em uma condio de risco. 6. Pode-se ainda caracterizar as seguintes falhas: 7. Falhas aleatrias: Uma falha espontnea de componente (hardware). As falhas aleatrias podem ser permanentes (existem at serem eliminadas) ou intermitentes (ocorrem em determinadas circunstancias e desaparecem em seguida). 8. Falhas Sistemticas: Uma falha escondida dentro do projeto ou montagem (hardware ou tipicamente software) ou falhas devido a erros (incluindo-se enganos e omisses) nas atividades de ciclo de atividades de segurana que fazem o SIS falhar em determinadas circunstncias, sob determinadas combinaes de entradas ou sob uma determinada condio ambiental. 9. Falha em modo comum: O resultado de um defeito em modo comum. 10. Defeito em modo comum: Uma nica causa que pode causar falhas em vrios elementos do sistema. Pode ser interna ou externa ao sistema.

Curiosidade

Figura 3 Estudo sobre as causas de acidentes envolvendo sistemas de controle - HSE Health and Safety Executive

ConclusoEm termos prticos o que se busca a reduo de falhas e conseqentemente a reduo de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e tambm em termos de processos, a minimizao da variabilidade com conseqncia direta no aumento da lucratividade. Nos prximos artigos desta srie veremos mais detalhes sobre SIS. Na segunda parte veremos um pouco sobre Sistemas de Engenharia de Confiabilidade e alguns clculos.

Parte 2Vimos no artigo anterior, na primeira parte, alguns detalhes de Ciclo de Vida de Segurana e Anlise de Riscos. Veremos agora, na segunda parte, um pouco sobre Engenharia de Confiabilidade

Confiabilidade de Sistemas de MediesA confiabilidade de sistemas de medies pode ser quantificada como o tempo mdio entre as falhas que ocorrem no sistema. Neste contexto, falha significa uma ocorrncia de uma condio inesperada que causa um valor incorreto na sada.

Princpios da ConfiabilidadeA confiabilidade de um sistema de medio definida como a habilidade do sistema executar sua funo dentro de limites e condies operacionais durante um tempo definido. Infelizmente, vrios fatores tais como as tolerncias dos fabricantes de acordo com as condies operacionais dificultam s vezes esta determinao e na prtica o que conseguimos expressar estatisticamente a confiabilidade atravs da probabilidade das falhas que ocorrerem dentro de um perodo de tempo. Na prtica nos deparamos com uma grande dificuldade que determinar o que uma falha. Quando a sada de um sistema est incorreta algo difcil de se interpretar quando comparado com a perda total da sada de medio.

Quantificao da Confiabilidade em termos quase-absolutosComo vimos, a confiabilidade essencialmente de natureza probabilstica e pode ser quantificada em termos quase-absolutos pelo tempo mdio entre falhas (MTBF) e tempo mdio para falhar (MTTF). Deve ser enfatizado que estes dois tempos so usualmente os valores mdios calculados usando-se um nmero de instrumentos idnticos e, portanto, para qualquer instrumento em particular seus valores podem ser diferentes da mdia. O MTBF um parmetro que expressa o tempo mdio entre falhas que ocorrem em um instrumento, calculado em um determinado perodo de tempo. Em casos onde os equipamentos possuem alta confiabilidade, na prtica ficar difcil se contar o nmero de ocorrncias de falhas e podero ser gerados nmeros no precisos para o MTBF e a, recomenda-se usar o valor do fabricante. O MTTF um modo alternativo de se quantificar a confiabilidade. normalmente usado para dispositivos como termopares, pois so descartados ao falhar. O MTTF expressa o tempo mdio antes que a falha ocorra, calculado em um nmero idntico de dispositivos. A confiabilidade final associada em termos de importncia ao sistema de medio expressa pelo tempo mdio de reparo (MTTR), ou seja, o tempo mdio para reparo de um instrumento ou ainda o tempo mdio de substituio de um equipamento. A combinao do MTBF e do MTTR mostra a disponibilidade: Disponibilidade = MTBF/ (MTBF+MTTR) A Disponibilidade mede a proporo de tempo no qual o instrumento trabalha sem falhas. O objetivo em sistemas de medies maximizar o MTBF e minimizar o MTTR e conseqentemente, maximizar a Disponibilidade.

Modelos de FalhasO modelo de uma falha em um dispositivo pode mudar ao longo do seu ciclo de vida. Pode permanecer inalterado, diminuir ou mesmo aumentar. Em componentes eletrnicos, comum termos o comportamento de acordo com a figura 1, tambm conhecido como bathtub curve.

Figura 1 Curva Tpica da variao de confiabilidade de um componente eletrnico

Os fabricantes geralmente aplicam testes de burn-in de forma que se elimina a fase at T1 at que os produtos so colocados no mercado. J os componentes mecnicos vo apresentar uma taxa de falha maior no final de seu ciclo de vida, conforme a figura 2.

Figura 2 Curva Tpica da variao de confiabilidade de um componente mecnico

Na prtica, onde os sistemas so composies eletrnicas e mecnicas os modelos de falhas so complexos. Quanto mais componentes, maior as incidncias e probabilidades de falhas.

Leis da confiabilidadeNa prtica usualmente teremos vrios componentes e o sistema de medio complexo. Podemos ter componentes em srie e em paralelo. A confiabilidade de componentes em srie deve levar em conta a probabilidade de falhas individuais em um perodo de tempo. Para um sistema de medio com n componentes em srie, a confiabilidade Rs o produto das confiabilidades individuais: Rs = R1xR2...Rn. Imagine que tenhamos um sistema de medio formado por um sensor, um elemento de converso e um circuito de processamento de sinal, onde temos as seguintes confiabilidades: 0.9, 0.95 e 0.099, respectivamente. Neste caso a confiabilidade do sistema ser: 0.9x0.95x0.009 = 0.85. A confiabilidade pode ser aumentada colocando-se componentes em paralelo, o que significa que o sistema falha se todos os componentes falharem. Neste caso a confiabilidade Rs dada por: Rs = 1 Fs, Onde: Fs a no confiabilidade do sistema. A no confiabilidade : Fs = F1xF2...F3. Por exemplo, em um sistema de medio segura existem trs instrumentos idnticos em paralelo. A confiabilidade de cada um 0.95 e a do sistema dada por: Rs = 1 [ (1-0.95)x(1-0.95)x(1-0.95)] = 0.999875

Melhorando a confiabilidade de um sistema de medioO que se busca na prtica minimizar o nvel de falhas. Um requisito importante assegurar que se conhea e atue antes do temo T2(vide figuras 1 e 2) quando a freqncia estatstica das falhas aumenta. O ideal fazer com que T(perodo de tempo ou ciclo de vida) seja igual a T2 e com isto maximizamos o perodo sem falhas. Existem vrias maneiras para aumentar a confiabilidade de um sistema de medio:

A Escolha dos instrumentos: deve-se sempre estarem atentos aos instrumentos especificados, suas influncias quanto ao processo, materiais, ambiente, etc. A Proteo dos instrumentos: protegendo os instrumentos com adequadas protees podem ajudar a melhorar e garantir um nvel maior de confiabilidade. Por exemplo, termopares deveriam estar protegidos em condies adversas de operaes. Calibrao regular: a maioria das falhas pode ser causada por drifts que podem alterar e gerar sadas incorretas. Ento, de acordo com as boas prticas da instrumentao recomenda-se que periodicamente os instrumentos sejam checados e calibrados. Redundncia: neste caso, tem-se mais de um equipamento trabalhando em paralelo e chaveado, s vezes, automaticamente. Aqui a confiabilidade melhorada significativamente.

Sistemas de Segurana e ConfiabilidadeOs Sistemas de Seguranas so utilizados para monitorar a condio de valores e parmetros de uma planta dentro dos limites operacionais e quando houver condies de riscos devem gerar alarmes e colocar a planta em uma condio segura ou mesmo na condio de shutdown. Observe que as condies de segurana devem ser seguidas e adotadas pelas plantas onde as melhores prticas operacionais e de instalao so deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relao legislao de segurana garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo que instrumentos e alarmes envolvido com segurana sejam operados com confiabilidade e eficincia. Os Sistemas Instrumentados de Segurana (SIS) so os sistemas responsveis pela segurana operacional e que garantem a parada de emergncia dentro dos limites considerados seguros, sempre que a operao ultrapassa estes limites.O objetivo principal se evitar acidentes dentro e fora das fbricas, como incndios, exploses, danos aos equipamentos, proteo da produo e da propriedade e mais do que isto, evitar riscos de vidas ou danos sade pessoal e impactos catastrficos para a comunidade. Deve-se ter de forma clara que nenhum sistema totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condio segura.

Mtricas utilizadas no campo da Engenharia da Confiabilidade envolvendo SIS1. Confiabilidade R(t)A confiabilidade uma mtrica desenvolvida para determinar a probabilidade de sucesso de uma operao em um determinado perodo de tempo.

Quando l (taxa de falhas) for muito pequeno, a funo de no-confiabilidade (F(t)) ou a Probabilidade de Falha (PF) dada por: PF(t) = lt

Figura 3 Confiabilidade R(t)

2. MTTR - Tempo Mdio de ReparoA medio de confiabilidade exige que um sistema tenha sucesso em operao durante um intervalo de tempo. Neste sentido, aparece a mtrica do MTTR que o tempo no qual se detecta uma falha e se tem o seu reparo (ou restabelecimento do sucesso operacional). A taxa de restabelecimento do sucesso operacional dada por: = 1/MTTR Na prtica no simples estimar esta taxa, principalmente quando atividades de inspeo peridicas acontecem, uma vez que a falha pode acontecer logo aps uma inspeo.

3. MTBF Tempo Mdio entre FalhasO MTBF uma medida bsica da confiabilidade em itens reparveis de um equipamento. Pode ser expresso em horas ou anos. comumente usado em anlises de confiabilidade e sustentabilidade em sistemas e pode ser calculado pela seguinte frmula: MTBF = MTTR + MTTF Onde:

MTTR = Tempo Mdio de Reparo MTTF = Tempo Mdio para Falhar = ao inverso da somatria de todas as taxas de falhas

Como o MTTR muito pequeno na prtica, comum assumir o MTBF = MTTF

4. Disponibilidade A(t) e Indisponibilidade U(t)Outra mtrica muito til a disponibilidade. definida como a probabilidade de que um dispositivo esteja disponvel (sem falhas) quando em um tempo t exige-se que ele opere dentro das condies operacionais para o qual foi projetado. A Indisponibilidade dada por: U(t) = 1 A(t) A disponibilidade uma funo no somente de confiabilidade, mas tambm uma funo de manuteno. A Tabela 1 abaixo mostra a relao entre a confiabilidade, manuteno e disponibilidade. Note que nesta tabela, um aumento na capacidade de manuteno implica em uma diminuio no tempo que leva para realizar aes de manuteno. Confiabilidade Constante Constante Aumenta Diminui Manuteno Diminui Aumenta Constante ConstanteTabela 1 Relao entre Confiabilidade, Manuteno e Disponibilidade

Disponibilidade Diminui Aumenta Aumenta Diminui

Figura 4 Confiabilidade, Disponibilidade e Custos

5. Probabilidade de Falha em Demanda (PFDavg) e Teste e Inspeo PeridicosPFDavg a probabilidade de falha que um sistema (para preveno de falhas) tem quando uma falha ocorrer. O nvel de SIL est relacionado com esta probabilidade de falha em demanda e com o fator de reduo de risco (o quanto se precisa proteger para garantir um risco aceitvel quando ocorrer um evento de falha). PFD o indicador de confiabilidade apropriado para sistemas de segurana. Se no for testado, a probabilidade de falha tende a 1.0 com o tempo. Testes peridicos mantm a probabilidade de falha dentro do limite desejvel

Figura 5 Votao, PFD e Arquitetura

A figura 5 mostra detalhes de arquitetura versus votao e PFD e a figura 6 mostra a correlao em PFD e Fator de Reduo de Risco. Posteriormente, entraremos em mais detalhes nos artigos que complementam esta srie.

Figura 6 Correlao ente a PFDavg e o Fator de Reduo de Risco

Pode-se calcular a Probabilidade de Falha usando-se a seguinte equao: PFAvg = (Cpt x l x TI/2) + ((1-Cpt) x l x L xT/2), onde:

l: taxa de falha Cpt: percentagem de falhas detectada por um teste (proof test) TI: perodo do teste LT: tempo de vida de uma unidade de processo

Vejamos um exemplo: Vamos supor que uma vlvula usada em um sistema instrumentado de segurana e tenha uma taxa de falha anual de 0.002. A cada ano feito um teste de verificao e inspeo. Estima-se que 70% das falhas so detectadas nestes testes. Esta vlvula ser usada durante 25 anos e sua demanda de uso estimada uma vez a cada 100 anos. Qual a probabilidade mdia dela falhar? Usando a equao anterior temos:

l: 0.002 Cpt: 0.7 TI: 1 ano LT: 25 anos PFDavg = (0.7) x 0.002 x + (1-0.7) x 0.002 x 25/2 = 0.0082

ConclusoEm termos prticos o que se busca a reduo de falhas e conseqentemente a reduo de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e tambm em termos de processos, a minimizao da variabilidade com conseqncia direta no aumento da lucratividade. Nos prximos artigos desta srie veremos mais detalhes sobre SIS. Na terceira parte veremos um pouco sobre modelos usando sistemas em srie e paralelo, rvores de falhas (Fault Trees), modelo de Markov e alguns clculos.

Parte 3Vimos no artigo anterior, na segunda parte, alguns detalhes sobre Engenharia de Confiabilidade. Veremos agora, sobre modelos usando sistemas em srie e paralelo, rvores de falhas (Fault Trees), modelo de Markov e alguns clculos.

Anlise de Falhas rvore de Falhas (Fault Trees)Existem algumas metodologias de anlises de falhas. Uma delas e bastante utilizada a anlise da rvore de falhas (Fault Tree Analysis FTA), que visa melhorar a confiabilidade de produtos e processos atravs da anlise sistemtica de possveis falhas e suas conseqncias, orientando na adoo de medidas corretivas ou preventivas. O diagrama da rvore de falhas mostra o relacionamento hierrquico entre os modos de falhas identificados. O processo de construo da rvore tem incio com a percepo ou previso de uma falha, que a seguir decomposto e detalhado at eventos mais simples. Dessa forma, a anlise da rvore de falhas uma tcnica top-down, pois parte de eventos gerais que so desdobrados em eventos mais especficos. A seguir mostrado um exemplo de um diagrama FTA aplicado a uma falha em um motor de eltrico. O evento inicial, que pode ser uma falha observada ou prevista, chamado de evento de topo, e est indicado pela seta azul. A partir desse evento so detalhadas outras falhas at chegar a eventos bsicos que constituem o limite de resoluo do diagrama. As falhas mostradas em amarelo compem o limite de resoluo deste diagrama.

Figura 1 - Exemplo de FTA

possvel adicionar ao diagrama elementos lgicos, tais como e e ou, para melhor caracterizar os relacionamentos entre as falhas. Dessa forma possvel utilizar o diagrama para estimar a probabilidade de uma falha acontecer a partir de eventos mais especficos. O exemplo a seguir mostra uma rvore aplicada ao problema de superaquecimento em um motor eltrico utilizando elementos lgicos.

Figura 2 - Exemplo de FTA usando elementos lgicos

A anlise da rvore de Falhas foi desenvolvida no incio dos anos 60 pelos engenheiros da Bell Telephone Company.Smbolos Lgicos usados na FTA A realizao da FTA uma representao grfica da inter-relao entre as falhas de equipamentos ou de operao que podem resultar em um acidente especfico. Os smbolos mostrados a seguir so usados na construo da rvore para representar est inter-relao.

PORTA OU: indica que a sada do evento ocorre quando h uma entrada de qualquer tipo.

PORTAE: indica que a sada do evento ocorre somente quando h uma entrada simultnea de todos os eventos.

PORTA DE INIBIO: indica que a sada do evento ocorre quando acontece a entrada e a condio inibidora satisfeita.

PORTA DE RESTRIO: indica que a sada do evento ocorre quando a entrada acontece e o tempo especfico de atraso ou restrio expirou.

EVENTO BSICO: representa a FALHA BSICA do equipamento ou falha do sistema que no requer outras falhas ou defeitos adicionais.

EVENTO INTERMEDIRIO: representa uma falha num evento resultado da interao com outras falhas que so desenvolvidas atravs de entradas lgicas como as acima descritas.

EVENTO NO DESENVOLVIDO: representa uma falha que no examinada mais, porque a informao no est disponvel ou porque suas conseqncias so insignificantes.

EVENTO EXTERNO: representa uma condio ou um evento que suposto existir como uma condio limite do sistema para anlise.

TRANSFERNCIAS: indica que a rvore da falhas desenvolvida de forma adicional em outras folhas. Os smbolos de transferncia so identificados atravs de nmeros ou letras.

Figura 3 - Smbolos Lgicos usados na FTA

Modelos de MarkovUm modelo de Markov um diagrama de estado onde se identificam os diversos estados de falha de um sistema. Os estados so ligados por arcos identificados com as taxas de falha ou as taxas de reparo que levam o sistema de um estado para outro (vide figura 4 e figura 5).. Os modelos de Markov so conhecidos tambm como diagramas de espao de estados ou diagramas de estado. O espao de estados definido como o conjunto de todos os estados em que o sistema pode se encontrar.

Figura 4 Exemplo de modelo de Markov

Para um determinado sistema, um modelo de Markov consiste em uma lista dos estados possveis desse sistema, os caminhos possveis de transio entre os estados, e as taxas de falhas de tais transies. Na anlise da confiabilidade das transies consistem geralmente de falhas e reparos. Ao representar um

modelo de Markov graficamente, cada estado representado como um crculo", com setas indicando os caminhos de transio entre os estados, como mostrado na figura 4. O mtodo de Markov uma tcnica til para modelar a confiabilidade de sistemas nos quais as falhas so estatisticamente independentes e as taxas de falha e reparo so constantes. Entende-se como estado de um componente o conjunto de possveis valores que seus parmetros podem assumir. Estes parmetros so chamados variveis de estado e descrevem a condio do componente. O espao de estados o conjunto de todos estados que um componente pode apresentar. O modelo de Markov de um verdadeiro sistema geralmente inclui um "full-up" do estado (ou seja, o estado com todos os elementos operacionais) e um conjunto de estados intermedirios que representam uma condio de falha parcial, levando ao estado totalmente em falha, ou seja, o estado em que o sistema incapaz de desempenhar a sua funo de projeto. O modelo pode incluir caminhos de reparao de transio, bem como os caminhos de transio de falha. Em geral, cada caminho de transio entre dois estados reduz a probabilidade do estado que ele est partindo, e aumenta a probabilidade do estado em que est entrando, a uma taxa igual ao parmetro de transio multiplicada pela probabilidade atual do estado de origem. O fluxo de probabilidade total em um determinado estado a soma de todas as taxas de transio para esse estado, cada um multiplicado pela probabilidade do estado na origem dessa transio. A sada de fluxo probabilidade de um dado estado a soma de todas as transies que saem do estado multiplicado pela probabilidade daquele determinado estado. Para ilustrar, os fluxos de entrada e sada tpica de um estado e de estados vizinhos esto representados na Figura 4. Neste modelo todas as falhas so classificadas como falhas perigosas ou como falhas seguras. Uma falha perigosa aquela que pe o sistema de segurana em um estado em que ele no estar disponvel para parar o processo se isto vier a ser necessrio. Uma falha segura aquela que leva o sistema a parar o processo em uma situao onde no existe perigo. A falha segura normalmente chamada de "trip falso ou esprio. Os modelos de Markov incluem fatores de cobertura de diagnstico para todos os componentes e taxas de reparos. Os modelos consideram que as falhas que no forem detectadas sero diagnosticadas e reparadas por testes de prova peridicos (proof tests). Os modelos de Markov incluem ainda taxas de falhas associadas a falhas funcionais e falhas comuns de hardware. A modelagem do sistema deve incluir todos os tipos possveis de falhas e estas podem ser agrupadas em duas categorias: 1. 2. Falhas fsicas Falhas funcionais

As falhas fsicas so as que ocorrem quando a funo desempenhada por um mdulo, um componente, etc., apresenta um desvio em relao funo especificada devido degradao fsica. As falhas fsicas podem ser falhas por envelhecimento natural ou falhas provocadas pelo ambiente. Para se utilizar s falhas fsicas nos modelos de Markov deve-se determinar a causa das falhas e seus efeitos nos mdulos, etc. As falhas fsicas devem ser categorizadas como falhas dependentes ou independentes. Falhas independentes so aquelas que nunca afetam mais do que um mdulo, enquanto que as falhas dependentes podem vir a causar a falha de vrios mdulos. As falhas funcionais so as que ocorrem quando o equipamento fsico est em operao embora sem capacidade de desempenhar a funo especificada devido a uma deficincia funcional ou a um erro

humano. Exemplos de falhas funcionais so: erros de projeto do sistema de segurana, de software, na ligao do hardware, erros de interao humana e erros de projeto do hardware. Nos modelos de Markov as falhas funcionais so separadas em falhas seguras e em falhas perigosas. Supe-se que uma falha funcional segura resultar em um trip esprio. De modo similar, uma falha funcional perigosa resultar em um estado de falha-para-atuar, isto , aquela que o sistema no estar disponvel para parar o processo. A avaliao da taxa de falha funcional deve levar em considerao muitas causas possveis, como por exemplo: 1. Erros de projeto do sistema de segurana Aqui se incluem erros de especificao lgica do sistema de segurana, escolha de arquitetura inadequada para o sistema, seleo incorreta de sensores e atuadores, erros no projeto da interface entre os PLCs e os sensores e atuadores. 2. Erros de implementao do hardware Esses erros incluem erros na ligao dos sensores e dos atuadores aos PLCs. A probabilidade de erro cresce com a redundncia de E/S se o usurio tiver que ligar cada sensor e cada atuador a vrios terminais de E/S. A utilizao de sensores e atuadores redundantes tambm acarretar em uma maior probabilidade de erros de ligao. 3. Erros de software Esses erros incluem os erros em softwares desenvolvidos tanto pelo fornecedor quanto pelo usurio. Os softwares de fornecedores tipicamente incluem o sistema operacional, as rotinas de E/S, funes aplicativas e linguagens de operao. Os erros de software do fornecedor podem ser minimizados ao se assegurar um bom projeto de software e a observncia dos procedimentos de codificao e testes. A realizao de testes independentes por outras organizaes tambm pode ser muito til. Os erros de software desenvolvidos pelo usurio incluem erros no programa aplicativo, diagnsticos e rotinas de interface do usurio (displays, etc.). Engenheiros especializados em software de sistemas de segurana podem ajudar a minimizar os erros de software do usurio. Devese tambm realizar testes exaustivos dos softwares. 4. Erros de interao humana Aqui se incluem os erros de projeto e de operao da interface homem-mquina do sistema de segurana, os erros cometidos durante testes peridicos do sistema de segurana e durante a manuteno de mdulos defeituosos do sistema de segurana. Os erros de manuteno podem ser reduzidos atravs de um bom diagnstico do sistema de segurana que identifique o mdulo defeituoso e que inclua indicadores de falha nos mdulos defeituosos. Vale lembrar aqui que no existe um diagnstico perfeito ou a prova de falhas. 5. Erros de projeto do hardware Entre esses erros, incluem-se os erros do projeto de fabricao dos PLCs, sensores e atuadores, bem como os erros do usurio na interface entre o sistema de segurana e o processo. Em configuraes redundantes de PLCs, sensores e elementos de atuao, algumas falhas funcionais podem ser reduzidas atravs da utilizao de diversos hardwares e/ ou softwares. As falhas dependentes devem ser modeladas de modo diferente, j que possvel que ocorram falhas mltiplas simultaneamente. Do ponto de vista da modelagem, as falhas dependentes dominantes so falhas de causa comum. As falhas de causa comum so o resultado direto de uma causa bsica comum. Um exemplo disso a interferncia de rdio freqncia que causa a falha simultnea de mdulos mltiplos. A

anlise desse tipo de falhas bastante complexa e exige um profundo conhecimento do Sistema, tanto em nvel de hardware e de software quanto do prprio ambiente.

Figura 5 Exemplo de modelo de Markov em sistema redundante

Certamente com equipamentos e ferramentas certificadas de acordo com o padro IEC 61508 se tem o conhecimento das taxas de falhas dos produtos facilitando clculos e arquiteturas de segurana.

ConclusoEm termos prticos o que se busca a reduo de falhas e conseqentemente a reduo de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e tambm em termos de processos, a minimizao da variabilidade com conseqncia direta no aumento da lucratividade. Nos prximos artigos desta srie veremos mais detalhes sobre SIS. Na quarta parte veremos um pouco sobre o Processo de Verificao de SIF.

Parte 4Na quarta parte veremos um pouco sobre o Processo de Verificao de SIF.

Processo de Verificao de SIF (Funo Instrumentada de Segurana)Um Sistema Instrumentado de Segurana (SIS) uma das camadas crticas para a preveno de acidentes. Um SIS realiza vrias SIFs (Funo Instrumentada de Segurana) e tipicamente composto por sensores, analisadores lgicos e elementos finais de controle. Probabilidades de falha na demanda aceitveis (chamadas de SIL Safety Integrity Level) para cada SIF precisam ser determinadas para o projeto e posterior verificao. A anlise de segurana feita em cima dos nveis de riscos das SIFs.

Um transmissor de Presso e um Posicionador fazem parte da SIF, por exemplo.

Existem diversos mtodos para se identificar os SILs necessrios para as SIFs. Um deles a anlise de camadas de proteo Layer of Protection Analysis, LOPA, uma tcnica de anlise de riscos que aplicada em seguida ao uso de uma tcnica qualitativa de identificao de perigos, como por exemplo, a HAZOP (Estudo de Perigos e Operabilidade). Derivada de uma ferramenta de anlise quantitativa de riscos, a anlise de freqncia por rvores de eventos e a LOPA podem ser descritas como tcnicas semiquantitativas, porque geram uma estimativa do risco. Os sistemas de controle so projetados para manter o processo dentro dos parmetros de processo especficos considerados aceitveis para a operao normal e segura da planta. Quando o processo excede o limite normal do funcionamento, pode apresentar risco potencial vida humana, ao meio ambiente e aos ativos. Na fase de avaliao, os riscos so identificados juntamente com suas conseqncias e so definidos os meios para impedir sua ocorrncia. O risco identificado ter sua probabilidade reduzida tanto quanto o sistema prover de camadas preventivas. A reduo do risco estabelece trs critrios:

O equipamento deve ser aprovado para as condies ambientais de onde ser instalado; Os subsistemas devem possuir tolerncia falha necessria em virtude das falhas perigosas apresentadas pelo processo; A Probabilidade de Falha sob Demanda (PFD) da SIF deve ser adequada aos riscos aceitveis pela empresa.

O usurio deve ter domnio das informaes sobre os equipamentos, de modo que seja possvel realizar uma boa anlise de desempenho da SIF. As tcnicas construtivas com viso de tolerncia falha dos componentes impedem que uma nica falha cause a falha do dispositivo. Finalmente, o clculo do desempenho determina se o SIS mantm as expectativas do projeto com relao ao nvel de integridade desejado. A confiabilidade do SIS definida por alguns parmetros:

Tempo mdio entre falhas (MTBF) Arquitetura de votao Cobertura dos diagnsticos (DC) Intervalo do teste (TI) Tempo mdio de reparo (MTTR) Modo de falha comum

Para cada SIF as seguintes informaes devem ser analisadas pelo menos:

O perigo e suas conseqncias A freqncia do perigo A definio do estado seguro do processo A descrio da SIF A descrio das medies do processo e seus pontos de trip A relao entre entradas e sadas, incluindo lgicas, funes matemticas, modos de operao, etc. O SIL requirido O perodo dos testes de prova (proof tests) A mxima taxa de trip permitida Mximo tempo de resposta para a SIF Requisitos para ativao da SIF Requisitos para reset da SIF Resposta da SIF no caso de falha de diagnsticos Requisitos de interface humana, isto , o que deve ser mostrado em Displays, supervisrios, etc Requisitos de manuteno Estimativa de MTTR aps um trip Condies ambientais esperadas nas diversas situaes: operao normal e emergncia.

Seleo de EquipamentosDeve-se estar atentos na escolha de equipamentos que atuaram em sistemas de segurana. Devese especificar equipamentos certificados de acordo com a IEC61508 ou que atendam os critrios de prior use de acordo com a IEC61511. O Proven in Use (PIU) uma caracterstica definida pela IEC61511(clausula 11.4.4) onde se um equipamento j foi usado com sucesso em aplicaes de segurana e satisfaz algumas exigncias (vide a seguir), ento se pode reduzir o HTF (hardware Tolerance Fault) e com isto utiliz-lo em aplicaes seguras com custos bem menores

Deve se considerar o sistema de qualidade do fornecedor Verso de hardware e software do equipamento A documentao de performance e aplicao em sistemas de segurana O equipamento no pode ser programado e deve permitir configurao, por exemplo, da faixa de operao O equipamento de possuir o comando de write protection ou Jumper Neste caso o SIF SIL 3 ou menor.

A grande vantagem que se pode padronizar Equipamentos para uso em controle e Equipamentos para segurana com um custo bem menor. Atravs de anlises de hardware, chamadas de FMEDA (Failure Modes Effects and Diagnostics Analysis) tambm se pode determinar as taxas de falhas e os modos dos instrumentos. Este tipo de anlise uma extenso do conhecido mtodo FMEA, a metodologia de Anlise do Tipo e Efeito de Falha, conhecida em ingls como Failure Mode and Effect Analysis. Neste caso, a FMEDA identifica e calcula as taxas de falhas nas seguintes categorias: seguras detectveis, seguras no detectveis, perigosas detectveis e perigosas no detectveis. Essas taxas de falhas so usadas para calcular o fator de cobertura da segurana e o fator de risco. Uma vez calculado o nvel de integridade de segurana e seus requisitos deve-se ento, escolher os equipamentos, os nveis de redundncia e os testes de acordo com a demanda da SIF. Aps isto, de posse das informaes de cada equipamento e dispositivo calcula-se atravs de equaes, anlise de rvores, modelo de Markov e outras tcnicas se os equipamentos escolhidos atenderam os requisitos de segurana.

Como determinar a arquitetura?

A arquitetura de uma SIF decidida pela tolerncia a falha de seus componentes.Pode atingir um nvel mais elevado de SIL usando-se redundncia. A quantidade de equipamentos vai depender da confiabilidade de cada componente definida em seu FMEDA (Failure Modes, Effects, and Diagnostic Analysis). As trs mais comuns arquiteturas so: o Simplex ou votao 1oo1 (1 out of 1) o Duplex ou votao 1oo2 ou 2oo2 o Triplex ou votao 2oo3

A figura 1 mostra exemplos comuns de arquitetura para sistemas de segurana, onde vrias tcnicas so usadas de acordo com o sistema de votao e SIL desejvel:

Figura 1 - Exemplos tpicos de arquitetura para sistemas de segurana

Para SIFs, a probabilidade da falha pode ser interpretada como a transio de um dispositivo do estado de funcionamento ao estado onde o mesmo deixa de exercer a funo para qual foi especificado. Quando o dispositivo testado, o PFD (t) reduzido ao valor inicial. Isto envolve duas suposies implcitas:

Toda a falha do dispositivo detectada pela inspeo e pelo teste de prova. O dispositivo reparado e retornado ao servio em condies de novo. O efeito do teste de prova ilustrado pela forma do dente da serra mostrada na figura 2.

Como resultado, temos que o intervalo de teste fator imperativo para determinao da classificao SIL alcanada.

Figura 2- Estados de transio e PFD

Estabelecendo Intervalo de Testes Funcionais O perodo de tempo um parmetro que afeta a o PFD significativamente e, portanto o SIL comum aumentar a freqncia de testes e com isto diminuem-se as probabilidades de falhas (ex: testes em vlvulas, partial strokes) Suponha que uma SIF atenda SIL 2, mas o intervalo de testes longo, com isto pode atender SIL 1. Da mesma forma, se tiver 2 equipamentos SIL 2 em votao e o intervalo for pequeno, pode atender SIL 3.

ConclusoEm termos prticos o que se busca a reduo de falhas e conseqentemente a reduo de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e tambm em termos de processos, a minimizao da variabilidade com conseqncia direta no aumento da lucratividade. Nos prximos artigos desta srie veremos mais detalhes sobre SIS. Na quinta parte veremos um pouco sobre Solues Tpicas de SIF.

Parte 5Nesta quinta e ltima parte veremos um pouco sobre as solues tpicas de SIF e um exemplo de aplicao.

Solues Tpicas de SIF (Funo Instrumentada de Segurana)Como determinar a arquitetura? A arquitetura de uma SIF decidida pela tolerncia a falha de seus componentes. Pode atingir um nvel mais elevado de SIL usando-se redundncia. A quantidade de equipamentos vai depender da confiabilidade de cada componente definida em seu FMEDA (Failure Modes, Effects, and Diagnostic Analysis). As trs mais comuns arquiteturas so: o Simplex ou votao 1oo1 (1 out of 1) o Duplex ou votao 1oo2 ou 2oo2 o Triplex ou votao 2oo3

Simplex ou votao 1oo1 (1 out of 1)O princpio de votao 1oo1 envolve um sistema de canal nico, e normalmente concebido para aplicaes de segurana de baixo nvel. Imediatamente resulta na perda da funo de segurana ou encerramento do processo.

Duplex ou votao 1oo2 ou 2oo2O princpio de votao 1oo2 foi desenvolvido para melhorar o desempenho de integridade de segurana de sistemas de segurana baseados em 1oo1. Se ocorre uma falha em um canal, o outro ainda capaz de desempenhar a funo de segurana. Infelizmente, este conceito no melhora a taxa de falsos trips. Pior ainda, a probabilidade de falso trip quase duplica. 2oo2: A principal desvantagem de um sistema de segurana nico (ou seja, no-redundante) que uma nica falha leva imediatamente a um trip. A duplicao dos canais em aplicao 2oo2, reduz significativamente a probabilidade de falso trip, uma vez que ambos os canais devem falhar para que o sistema seja colcado em shutdown. Por outro lado, o sistema tem a desvantagem de que a probabilidade de falha na demanda duas vezes maior do que a de um nico canal.

Triplex ou votao 2oo32oo3: Nesta votao, h trs canais, dois dos quais precisam estar ok para operar e cumprir as funes de segurana. O princpio de votao 2oo3 melhor aplicado se houver uma separao fsica completa dos microprocessadores. No entanto, isso exige que elas sejam localizadas em trs diferentes mdulos.Embora os sistemas mais recentes tm um nvel maior de diagnsticos, sistemas de segurana baseados em votao2oo3 ainda conservam a desvantagem de ter uma probabilidade de falha na demanda, que aproximadamente trs vezes maior que a dos sistemas baseados em 1oo2.

Exemplos de ArquiteturasSIL 1

Figura 1 SIF SIL 1

SIL 2

Figura 2 SIF SIL 2

3.SIL 3

Figura 3 SIF SIL 3

Figura 4 SIF SIL 3 Votao 2oo3

Exemplo de Aplicao

Figura 5 - Processo com malha bsica de controle

A figura 5 mostra um processo simples onde um fluido adicionado continua e automaticamente a um vaso de processo. Se o sistema de controle falhar por uma condio de presso muito alta, ocorre um alvio de segurana, produzindo um odor indesejvel fora da planta. Considera-se que uma taxa de risco aceitvel para tal evento 0.01/ano ou menos (uma vez em cem anos ou 1 chance em 100 por ano). Vamos especificar um Sistema Instrumentado de Segurana (SIS) que atinja estes requisitos de segurana. Para se definirem os requisitos de integridade de segurana, a taxa de demanda em relao ao SIS deve ser estimada. Neste exemplo, a taxa de demanda do SIS deve ser a taxa de falha perigosa da malha de controle. A taxa de falha geral para a malha de controle pode ser estimada a partir das taxas de falhas para os componentes, onde no exemplo assumiremos: Falhas / Ano Transmissor de presso Controlador I/P Vlvula de controle Total de falhas 0.6 0.3 0.5 0.2 1.6

A malha de controle deste exemplo pode falhar em qualquer direo, assumindo-se que as duas so igualmente provveis. Pelo fato da malha de controle ativo estar sob superviso do operador, assume-se que apenas 1 falha em 4 seria repentinamente suficiente para causar uma demanda para uma condio de parada sem uma interveno prvia do operador. Isto gera o resultado geral de (1 em 2) X (1 em 4) ou 1/8 da taxa de falhas geral, que deve ser usada como a taxa de demanda para uma parada. Diferentes suposies devem ser feitas com base no conhecimento especfico do equipamento e condies. Portanto, a taxa de demanda = 1.6/8 = 0.2/ano

A indisponibilidade aceitvel =

A disponibilidade requerida = 1-0.05 = 0.95 Prope-se um SIS com ligao simples e direta para cortar a alimentao quando a presso do sistema atinge 80% do valor de ajuste da vlvula de segurana. A conformidade pode ser avaliada pela estimativa da indisponibilidade da malha. Seguem as taxas de falhas, colocadas como exemplo e que poderiam ser consultadas para cada fabricante: A malha projetada para falhar na direo segura, assim admite-se que apenas 1 em 3 falhas seria na direo no segura. Todas estas falhas do sistema passivo no seriam diagnosticadas. Portanto, a taxa de falhas no diagnosticadas = 0.6/3 = 0.2/ano Com uma freqncia anual de teste, FDT = fT = x 0.2/ano x 1 ano = 0.1 Isto proporciona uma disponibilidade de 0.9, que ainda no atende aos requisitos de segurana. Entretanto, a disponibilidade pode ser aumentada com uma freqncia maior de testes. Com testes mensais temos, FDT = x 0.2/ano x (1/12) ano = 0.0083 Atingindo uma disponibilidade > 0.99. A freqncia de teste do projeto deve ser especificada como parte da documentao de projeto. De acordo com a tabela 1, um sistema SIL 1 com testes freqentes deve prover uma disponibilidade de 0.99 atendendo a disponibilidade de 95% requerida.

Tabela 1 Arquitetura de acordo co nvel SIL IEC 61508

Alguns detalhesExiste uma concepo errada muito comum que os produtos por si s ou componentes so classificados como SIL. Produtos e componentes aplicveis so a nveis SIL, mas eles no so SIL em separado. Nveis SIL so aplicados s funes de segurana SIFs. O equipamento ou sistema devem ser usados para servir o projeto de reduo de risco. Um equipamento certificado para uso em aplicaes SIL 2 ou 3 no garante, necessariamente, que o sistema atender SIL 2 ou 3.Deve-se analisar todos os compontes da SIF. Um importante parmetro de desempenho calculado durante a verificao de SIL o MTTFsp: Tempo mdio entre falhas devido a perturbaes ou falsostrips. Esta varivel indica quantas vezes o SIS poder sofrer um falso trip at ir a condio de shudown. A tabela 2 a seguir mostra a estimativa do custo por falsos trips em indstrias de diferentes processos:

Tabela 2 Custos por Falsos Trips.

ConclusoEm termos prticos o que se busca a reduo de falhas e conseqentemente a reduo de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e tambm em termos de processos, a minimizao da variabilidade com conseqncia direta no aumento da lucratividade.