Sistemas Instrumentados de Segurança (SIS) Daniel Feliciano

Objetivo Disseminar as Normas que regem o projeto e a manutenção dos sistemas instrumentados de segurança, em especial os que estão ligados às operações de refino de petróleo no Brasil.

Normas Siglas: ISO - International Organization for Standardization IEC - International Electrotechnical Commission AMN - Associação Mercosul de Normalização CEN - European Committee for Standardization ABNT - Associação Brasileira de Normas Técnicas DIN - Deutchs Institut für Normung BSI - British Standards Institution

Normas A norma internacional que rege os Sistemas Instrumentados de Segurança na Indústria de Processo é a IEC-61511 (Functional Safety – Safety Instrumented Systems for the Process Industry Sector) que é oriunda da norma IEC-61508 válida para qualquer segmento e, particularmente, para a indústria fornecedora de dispositivos. Na Petrobras a Norma N-2595 fixa as condições exigíveis nos projetos e na manutenção de Sistemas Instrumentados de Segurança, para uso nas instalações terrestres da PETROBRAS. As Normas da PETROBRAS são de domínio público e podem ser obtidas no site da empresa.

Algumas definições O que é um Sistema de Segurança? “Sistema projetado para responder a determinadas condições na planta que podem ser por si mesmas perigosas ou podem conduzir a uma situação perigosa, (caso nenhuma ação for tomada), gerando ações corretivas capazes de prevenir ou mitigar as consequências do evento perigoso.” Fonte - Health and Safety Executive (HSE), 1987.

Sistemas de Proteção Os riscos devidos à sobrepressões são comumente reduzidos através de projetos adequados de espessura das tubulações, torres e vasos. Quando não é possível mitigar esse risco através do projeto, um sistema de proteção pode ser baseado em dispositivos mecânicos e/ou de instrumentação. Alguns dispositivos mecânicos são válvulas de segurança, discos de ruptura e válvulas de retenção. Estes dispositivos são projetados de forma a garantir a proteção final da planta, após todas as tentativas de se reduzir a tendência de elevação do risco.

Camadas de Proteção

Camadas de Proteção

Então o que é um Sistema Instrumentado de Segurança ? É uma das camadas de proteção de uma planta industrial. É o Sistema instrumentado usado para implementar uma ou mais funções instrumentadas de segurança. Um SIS é composto por qualquer combinação de sensor(es), executor(es) da lógica e elemento(s) final(is). Fonte - IEC 61511, 2003. Função Instrumentada de Segurança – SIF: é a função implementada no SIS cujo objetivo é atingir ou manter o estado seguro do equipamento ou processo em relação a um evento perigoso específico.

Então o que é um Sistema Instrumentado de Segurança ? Para uma descrição funcional podemos dizer que o Sistema Instrumentado de Segurança é composto de sensores, executores da lógica e elementos finais de controle, com o propósito de: 1- Conduzir automaticamente um certo processo ou equipamento industrial a um estado seguro quando determinadas condições são violadas (trip parcial ou total); 2- Permitir que um processo mova-se de modo seguro, de um estado para o outro, quando determinadas condições são satisfeitas (permissões de partida); 3- Tomar ações para mitigar as consequências de um evento industrial perigoso. (detecção de fogo/gás/tóxico) Observação Importante: utilidades como energia elétrica, ar comprimido e fluidos hidráulicos além de linhas de impulso e condicionadores de sinal, necessários para implementar as SIF, também fazem parte integrante do SIS.

Função Instrumentada de Segurança SIF é um conjunto de ações simples e específicas, implementadas por equipamentos necessários, capazes de identificar um determinado evento perigoso e conduzir o processo ao estado seguro.

Por que instalar um SIS ? RISCO COM SIS RISCO ACEITÁVEL RISCO OBTIDO COM MEDIDAS DE SEGURANÇA, SEM SIS RISCO ASSOCIADO AO PROCESSO REDUÇÃO MÍNIMA NECESSÁRIA DE RISCO AUMENTO DE RISCO REDUÇÃO OBTIDA SEM SIS REDUÇÃO OBTIDA PELO SIS REDUÇÃO DE RISCO TOTAL OBTIDA

Redução de Risco Figura retirada da IEC61511, mostra os métodos de redução de risco mais comuns na indústria. Durante o projeto da planta identifica-se as necessidades durante os estudos de HAZOP (Estudo de Perigos e Operabilidade) onde informações importantes como SET POINT, tempo de permanência, limite de concentração, tolerância a falha espúria, entre outras, são definidas.

Ciclo de Vida Gerenciamento, Avaliação e Auditoria Planejamento Avaliação de Perigo e risco Alocação das funções de segurança nas camadas de proteção Especificação dos Requisitos de Segurança para o SIS Projeto Conceitual e Projeto Detalhado do SIS Instalação, Comissionamento e Validação Operação e Manutenção Modificação Desmobilização Projeto e execução de outros meios pra reduzir o risco Planejamento Gerenciamento, Avaliação e Auditoria Verificação

Projeto RISCO ACEITÁVELSIF = C • D • PFDSIF Para cada evento perigoso identificado (DEMANDA) haverá uma SIF e será realizada uma análise do risco considerando a frequência da demanda e a consequência do dano. Cada SIF terá uma classe (ou SIL) associado. Observação conceitual: Não faz sentido falar de SIL do SIS ou de um elemento isolado (iniciador ou atuador). C  consequência do perigo D  frequência de ocorrência da demanda RISCO ACEITÁVELSIF = C • D • PFDSIF

Projeto A PFD total da SIF é que deve ser considerada, sendo fortemente impactada pelo seu componente com maior PFD. O executor da lógica deve atender à classificação da SIF mais rigorosa. A PFD de uma SIF é igual a zero logo após a realização de um teste completo (fator de cobertura = 1) bem sucedido. Entretanto, como a PFD cresce com o tempo um novo teste deve ser realizado antes que a PFD ultrapasse o limite do SIL requerido pela malha.

Falha As falhas randômicas ou físicas são aquelas atribuídas a um componente ou módulo quando é submetido a um esforço para o qual não foi projetado (descarga atmosférica, temperatura elevada, etc) ou por envelhecimento. Existem, também, as falhas sistemáticas ou funcionais, que ocorrem numa combinação infeliz de coisas muito particulares. Quando todos os componentes físicos do sistema estão funcionando e mesmo assim ocorre uma falha. São causadas por erros de programação, por exemplo, ou falhas de especificação, ou de projeto, ou de instalação, ou de manutenção. Não é possível definir uma taxa de falha para esses tipos de erros e, portanto, a discussão sobre PFD não se aplica. O melhor remédio para esse tipo de falha é um projeto bem planejado, bem gerenciado e bem executado

Falha Falhas Físicas: Rompimento de fiação; Falha em componente eletrônico; Corrosão acarretando interrupção de circuito; Perda de capacidade de bateria. Falhas Funcionais: Bug de software; Acionamento de comando errôneo; Erros de projeto; Carregamento de configuração errada; Substituição incorreta.

Falha Resumo das diferenças entre falhas aleatórias e sistemáticas   Falhas aleatórias (físicas) Falhas sistemáticas (Funcionais) Sempre ocorre sobre as mesmas condições Não Sim Efetivamente previnido por redundância Efetivamente prevenido por redundância diversa Parcialmente Nem sempre é possível eliminar todas as falhas de modo comum

Projeto Conceito de LOPA (Layer of Protection Analysis) (AEI – Auditável, Efetiva e Independente) É efetiva para o cenário específico É independente de outras Camadas de Proteção (PL) É auditável, validada regularmente sucesso

Sempre privilegiada a segurança Na desconexão do instrumento ou controlador, na falta de energia ou ar de instrumento, a planta deve sempre ir para a condição de segurança. PES +V normal alarme trip INPUT PES +V alarme trip normal INPUT

Votação A Deixa de proteger se A “e” B falharem colados Em caso de falha espúria: desliga a unidade se A “ou” B falharem abertos 1oo2 B SEGURANÇA 2oo2 Deixa de proteger se A “ou” B falharem colados Em caso de falha espúria: só desliga a unidade se A “e” B falharem abertos DISPONIBILIDADE Deixa de proteger se A “e” B falharem colados “ou” A “e” C falharem colados “ou” B “e” C falharem colados 2oo3 SEGURANÇA E DISPONIBILIDADE

Votação 1 de 2 (++ segurança, -- disponibilidade) PES PT1 PT2

Documentação técnica O resultado da classificação deve ser devidamente documentado através de relatório, que deve ser atualizado e arquivado. Em documentos como fluxogramas de processo e P&ID, conforme a norma ANSI/ISA-5.1-2009 (Instrumentation Symbols and Identification) utiliza-se a simbologia abaixo para representar os SIS. Na revisão de 2009 foi incluída a letra modificadora Z para diferenciar os instrumentos de segurança dos demais, porém apenas em unidades novas será possível ver essas mudanças. Sistema Instrumentado de Segurança Controle Básico de Processo (SDCD) PV01 PT01 PZV01 PZT01

Manutenção O responsável pela manutenção do SIS deve estabelecer um programa apropriado de manutenção para garantir a integridade e confiabilidade do sistema durante todo o seu ciclo de vida. Esse programa deve incluir, no mínimo, procedimentos para manutenção, testes e reparos do SIS. plano regular de testes funcionais do SIS plano regular de manutenção preventiva (por exemplo, substituição de ventiladores, baterias, “back-ups” de programas, calibrações) reparos das falhas do sistema seguidos de testes apropriados de confirmação da não mais existência das falhas. Sempre com registro de data, executante, ações e as atuações do sistema com seus resultados. O acesso ao executor da lógica do SIS deve ser restrito ao pessoal autorizado pelo responsável pela manutenção.

Modificações Modificações na lógica implementada no SIS, com o sistema em operação, devem ser evitadas. Modificações de versão de “software” e “firmware” devem ser evitadas, quando não implicarem em correção de problemas já detectados ou potenciais. Se as modificações forem necessárias deve-se garantir: a aplicação dos procedimentos de classificação a revisão da documentação existente antes da implementação e carregamento no sistema a verificação exaustiva com testes em laboratório o acompanhamento do carregamento pelos responsáveis pela operação e manutenção da planta.

Conclusões O Sistema de controle (SDCD) é o coração da empresa, e sua otimização leva diretamente a aumento do faturamento e lucro, por isso é mais fácil o investimento nessa área. O Sistema Instrumentado de Segurança não é o NEGÓCIO da empresa, É ONDE SE GASTA DINHEIRO. Pode ser comparado a um seguro de vida, você contrata mas não com o desejo de usar. Quanto maior for a segregação entre o BPCS e o SIS, maior será o custo desse último. Tal questão não se trata apenas de engenharia, mas basicamente do risco que a empresa pode ou está disposta a correr em suas instalações. Na PETROBRAS a N-2595 recomenda não incluir lógicas de controle nos PES executores de lógica de SIS e distingue o mesmo do SDCD.

Obrigado Contato: Daniel Feliciano danielff@terra.com.br