automação brasken

Prévia do material em texto

<p>UNIVERSIDADE FEDERAL DA BAHIA</p><p>ESCOLA POLITÉCNICA</p><p>PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA INDUSTRIAL</p><p>CURSO DE ESPECIALIZAÇÃO EM AUTOMAÇÃO INDUSTRIAL COM</p><p>ÊNFASE EM INFORMÁTICA, INSTRUMENTAÇÃO, CONTROLE E OTIMIZAÇÃO</p><p>DE PROCESSOS CONTÍNUOS</p><p>ERICK JOMIL BAHIA GARCIA</p><p>APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA</p><p>IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.</p><p>Salvador</p><p>2012</p><p>ERICK JOMIL BAHIA GARCIA</p><p>APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA</p><p>IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.</p><p>Monografia apresentada ao Programa de</p><p>Pós-Graduação em Engenharia Industrial,</p><p>Escola Politécnica, Universidade Federal</p><p>da Bahia, como requisito para obtenção</p><p>do grau de Especialista em Automação</p><p>Industrial.</p><p>Instrutora: Monica Levy Hochleitner, Msc.</p><p>Salvador</p><p>2012</p><p>“Quando você não pode medir, seu</p><p>conhecimento é escasso e insatisfatório.”</p><p>Lord Kelvin, 1883</p><p>RESUMO</p><p>GARCIA, Erick Jomil Bahia; “Aplicação do Ciclo de Vida de Segurança da IEC</p><p>61511 no Projeto PVC Alagoas Braskem S.A.”; Salvador, BA; Programa de Pós</p><p>Graduação em Engenharia Industrial, Escola Politécnica, Universidade Federal da</p><p>Bahia, 2012. 92 f. Monografia (Especialização).</p><p>Dentro do contexto da indústria petroquímica, a especificação do modo de</p><p>operação e dos componentes para funções instrumentadas de segurança</p><p>necessitam ser analisados à luz de padrões internacionais que apresentem as</p><p>melhores práticas de engenharia, sendo hoje o padrão mais utilizado a IEC 61511-1,</p><p>2 e 3:2003 - Functional safety - Safety instrumented systems for the process industry</p><p>sector. Este estudo pretende analisar e avaliar qualitativamente como a Braskem</p><p>S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003</p><p>para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC</p><p>em Alagoas. As etapas do ciclo de vida de segurança serão verificadas por durante</p><p>o estudo com o objetivo de fornecer subsídios para a empresa aprimorar seus</p><p>processos de aplicação da referida norma. O ciclo de vida de segurança utilizado no</p><p>projeto, objeto do estudo, consiste das seguintes etapas: identificação e</p><p>quantificação dos riscos de processos, determinação do nível de integridade de</p><p>segurança (SIL) requerido, criação da especificação de requisitos de segurança,</p><p>seleção de componentes com especificação da arquitetura e relatório de verificação</p><p>das funções instrumentadas de segurança. As etapas do ciclo de vida de segurança</p><p>pós-projeto não serão analisadas. A partir dos resultados da análise, pretende-se</p><p>identificar objetivamente se a norma IEC 61511:2003 foi aplicada em sua totalidade</p><p>ou parcialmente, assim como verificar o grau de aderência aos requerimentos da</p><p>mesma. Através da conclusão do estudo surgem recomendações para o processo</p><p>de engenharia utilizado pela empresa.</p><p>Palavras-chaves: SIL. IEC 61511. SIS. Segurança de processo.</p><p>ABSTRACT</p><p>GARCIA, Erick Jomil Bahia; “Using IEC 61511 Safety Lifecycle in PVC Project</p><p>Alagoas Braskem SA”; Salvador, BA; Programa de Pós Graduação em Engenharia</p><p>Industrial, Escola Politécnica, Universidade Federal da Bahia, 2012. 92 f. Monografia</p><p>(Especialização).</p><p>Within the context of the petrochemical industry, the specification of the</p><p>operation mode and components for safety instrumented functions need to be</p><p>analyzed under international standards that follow the best engineering practices,</p><p>and nowadays IEC 61511-1, 2 and 3:2003 - Functional safety - Safety instrumented</p><p>systems for the process industry sector is the standard more often used and known.</p><p>This study aims to analyze how Braskem SA used the safety life-cycle established by</p><p>the IEC 61511:2003 standard for the design of safety instrumented system (SIS) of</p><p>its new PVC plant in Alagoas. The stages of the safety life-cycle will be verified with</p><p>the objective of providing subsidies to improve their business processes. The safety</p><p>life-cycle used in this project consists of the following steps: identification and</p><p>quantification of processes risks, determining the safety integrity level (SIL) required,</p><p>establishment of safety requirements specification, component selection with</p><p>architecture specification report and verification of safety instrumented functions. The</p><p>stages of the safety life-cycle post project will not be evaluated. From the results, we</p><p>intend to identify objectively if IEC 61511:2003 standard was applied in whole or in</p><p>part, so as to verify the degree of adherence to the requirements. From the</p><p>conclusion of the study, recommendations arise for the engineering flow process</p><p>used by the company.</p><p>Keywords: SIL. IEC 61511. SIS. Process safety.</p><p>LISTA DE ILUSTRAÇÕES</p><p>Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle. ......... 15</p><p>Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação</p><p>funcional de segurança. ............................................................................................ 23</p><p>Figura 3 – Nova planta Braskem de PVC. ................................................................. 33</p><p>Figura 4 – Maquete da planta de PVC. ..................................................................... 34</p><p>Figura 5 – Distribuição das malhas de intertravamento por nível de proteção</p><p>requerido. .................................................................................................................. 37</p><p>Figura 6 – Software utilizado para a realização dos cálculos de verificação de SIL.. 48</p><p>Figura 7 – Resultados da verificação da SIF-31-001. ............................................... 49</p><p>Figura 8 – Resultados da verificação da SIF-31-002. ............................................... 49</p><p>Figura 9 – Resultados da verificação da SIF-31-003. ............................................... 50</p><p>Figura 10 – Resultados da verificação da SIF-32-001. ............................................. 50</p><p>Figura 11 – Resultados da verificação da SIF-32-002. ............................................. 51</p><p>Figura 12 – Resultados da verificação da SIF-32-003/004. ...................................... 51</p><p>Figura 13 – Resultados da verificação da SIF-32-005. ............................................. 52</p><p>Figura 14 – Resultados da verificação da SIF-32-006. ............................................. 52</p><p>Figura 15 – Resultados da verificação da SIF-33-001. ............................................. 53</p><p>Figura 16 – Resultados da verificação da SIF-33-002. ............................................. 53</p><p>Figura 17 – Resultados da verificação da SIF-33-003. ............................................. 54</p><p>Figura 18 – Resultados da verificação da SIF-33-004. ............................................. 54</p><p>Figura 19 – Resultados da verificação da SIF-33-005. ............................................. 55</p><p>Figura 20 – Resultados da verificação das SIF-33-006/007. ..................................... 55</p><p>Figura 21 – Resultados da verificação da SIF-33-008. ............................................. 56</p><p>Figura 22 – Resultados da verificação da SIF-33-009. ............................................. 56</p><p>Figura 23 – Resultados da verificação da SIF-33-010. ............................................. 57</p><p>Figura 24 – Resultados da verificação da SIF-33-011. ............................................. 57</p><p>Figura 25 – Resultados da verificação da SIF-33-012. ............................................. 58</p><p>Figura 26 – Resultados da verificação da SIF-33-013. ............................................. 58</p><p>Figura 27 – Resultados da verificação da SIF-33-014. ............................................. 59</p><p>Figura 28 – Resultados da verificação das SIF-41-001/002/003. .............................. 59</p><p>Figura 29 – Resultados da verificação das SIF-41-004/005/006.</p><p>8 – Resultados da verificação da SIF-31-002.</p><p>50</p><p>Figura 9 – Resultados da verificação da SIF-31-003.</p><p>Figura 10 – Resultados da verificação da SIF-32-001.</p><p>51</p><p>Figura 11 – Resultados da verificação da SIF-32-002.</p><p>Figura 12 – Resultados da verificação da SIF-32-003/004.</p><p>52</p><p>Figura 13 – Resultados da verificação da SIF-32-005.</p><p>Figura 14 – Resultados da verificação da SIF-32-006.</p><p>53</p><p>Figura 15 – Resultados da verificação da SIF-33-001.</p><p>Figura 16 – Resultados da verificação da SIF-33-002.</p><p>54</p><p>Figura 17 – Resultados da verificação da SIF-33-003.</p><p>Figura 18 – Resultados da verificação da SIF-33-004.</p><p>55</p><p>Figura 19 – Resultados da verificação da SIF-33-005.</p><p>Figura 20 – Resultados da verificação das SIF-33-006/007.</p><p>56</p><p>Figura 21 – Resultados da verificação da SIF-33-008.</p><p>Figura 22 – Resultados da verificação da SIF-33-009.</p><p>57</p><p>Figura 23 – Resultados da verificação da SIF-33-010.</p><p>Figura 24 – Resultados da verificação da SIF-33-011.</p><p>58</p><p>Figura 25 – Resultados da verificação da SIF-33-012.</p><p>Figura 26 – Resultados da verificação da SIF-33-013.</p><p>59</p><p>Figura 27 – Resultados da verificação da SIF-33-014.</p><p>Figura 28 – Resultados da verificação das SIF-41-001/002/003.</p><p>60</p><p>Figura 29 – Resultados da verificação das SIF-41-004/005/006.</p><p>Figura 30 – Resultados da verificação da SIF-41-007.</p><p>61</p><p>Figura 31 – Resultados da verificação da SIF-41-008.</p><p>Figura 32 – Resultados da verificação da SIF-41-009.</p><p>62</p><p>Figura 33 – Resultados da verificação das SIF-41-010/011/012.</p><p>Figura 34 – Resultados da verificação das SIF-41-013/014/015.</p><p>63</p><p>Figura 35 – Resultados da verificação das SIF-41-016/017/018.</p><p>Figura 36 – Resultados da verificação das SIF-41-019/020/021.</p><p>64</p><p>Figura 37 – Resultados da verificação das SIF-42-001/002.</p><p>Figura 38 – Resultados da verificação das SIF-42-003.</p><p>65</p><p>Figura 39 – Resultados da verificação das SIF-42-004.</p><p>5.4.7 - Relatório de verificação das SIF</p><p>Ao final do processo de verificação, a disciplina de instrumentação do projeto</p><p>emitiu o relatório de verificação das SIF em forma de documento memória de</p><p>cálculo. Este relatório tem por objetivo apresentar o resultado da verificação,</p><p>constando todo o processo de cálculo para cada SIF com as taxas de falhas e suas</p><p>respectivas documentações comprobatórias. Também foram inseridas informações</p><p>sobre a responsabilidade técnica dos envolvidos nas especificações.</p><p>5.4.8 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa do projeto e verificação das funções instrumentadas de segurança</p><p>está relacionada com a Clause 11 SIS design and engineering como parte integrante</p><p>da documentação comprobatória do Safety life-cycle structure and planning.</p><p>5.5 - TESTE DE ACEITAÇÃO DE FÁBRICA E TESTE DE ACEITAÇÃO DE</p><p>CAMPO DO SIS</p><p>Com as SIF verificadas de acordo com o projeto e utilizando os componentes</p><p>aprovados e ratificados pelo fornecedor do MAC, o projeto de configuração foi</p><p>testado na fábrica do fornecedor pelas equipes de processo, operação e automação</p><p>da Braskem, pela equipe da licenciadora Ineos e pela equipe do fornecedor. O</p><p>documento SRS foi exaustivamente utilizado durante esta fase, tendo servido de</p><p>base para a elaboração dos procedimentos de testes, em conjunto com as</p><p>determinações de funcionamento de toda a operação fornecida pela Ineos.</p><p>66</p><p>Com os sistemas montados em campo, os mesmos foram sendo liberados</p><p>gradativamente para as equipes de comissionamento. A fase de comissionamento</p><p>foi executada e controlada pelas diversas equipes de operação e manutenção da</p><p>ainda futura planta, com suporte das equipes da montadora na solução de desvios.</p><p>As equipes de processo da Braskem e da licenciadora Ineos também participaram</p><p>ativamente desta fase, oferecendo esclarecimentos funcionais sobre as SIF. O</p><p>fornecedor do MAC também apoiou esta fase até a partida unidade.</p><p>5.5.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa de testes das funções instrumentadas de segurança está</p><p>relacionada com a Clauses 14 SIS Installation and commissioning como parte</p><p>integrante da documentação comprobatória do Safety life-cycle structure and</p><p>planning.</p><p>5.6 - VALIDAÇÃO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA</p><p>Com o sistema projetado, montado e comissionado, o objetivo do processo de</p><p>validação foi comprovar, através de análises documentais, que o sistema que foi</p><p>instalado pode cumprir com os requisitos conforme indicado na especificação dos</p><p>requisitos de segurança. Esta etapa do projeto foi realizada analisando-se, além dos</p><p>documentos de projetos e análise de riscos descritos anteriormente, todos os testes</p><p>realizados durante o comissionamento e a pré-partida do sistema, onde os relatórios</p><p>de acompanhamento foram devidamente assinados pelos representantes da</p><p>montadora e da operação. Nesta etapa a SRS foi um documento essencial para</p><p>consolidação de todos os requisitos funcionais requeridos, sem a qual não haveria</p><p>subsídios suficientes para analisar se o SIS está em conformidade com as</p><p>necessidades de redução de riscos do processo.</p><p>5.6.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa de validação das funções instrumentadas de segurança está</p><p>relacionada com a 15 SIS safety validation como parte integrante da documentação</p><p>comprobatória do Safety life-cycle structure and planning.</p><p>67</p><p>CAP. 6 - RESULTADOS</p><p>Os resultados da avaliação qualitativa das fases do projeto do SIS da Planta de</p><p>PVC Alagoas com a IEC 61511:2003 estão descritos abaixo.</p><p>6.1 - FASE AVALIAÇÃO DE PERIGO E RISCO</p><p>Objetivo: determinar os perigos e eventos perigosos do processo e dos</p><p>equipamentos associados, a sequência dos acontecimentos que levaram a eventos</p><p>perigosos, os riscos de processos associados com o evento perigoso, os requisitos</p><p>para a redução de risco e as funções de segurança necessárias para atingir a</p><p>redução de risco necessária.</p><p>Cláusula da IEC 61511: 8 Process Hazard and Risk Assessment.</p><p>Entrada: projeto do processo, layout, disposições gerais, objetivos de</p><p>segurança.</p><p>Saída: descrição dos perigos, as funções de segurança requeridas e a redução</p><p>de risco associada.</p><p>Considerações: a determinação dos riscos e eventos perigosos foi realizada</p><p>conforme técnica de análise conhecida e consolidada por profissionais ligados ao</p><p>processo tanto da Braskem quanto da licenciadora Ineos. A técnica de análise foi</p><p>conduzida por profissional experiente e documentada apropriadamente.</p><p>Resultado da avaliação desta fase: projeto aderente com os requisitos da</p><p>norma IEC 61511:2003.</p><p>6.2 - FASE ATRIBUIÇÃO DAS FUNÇÕES DE PROTEÇÃO NAS CAMADAS DE</p><p>PROTEÇÃO</p><p>Objetivo: atribuição das funções de proteção nas camadas de proteção e o</p><p>nível de integridade de segurança associado a cada função instrumentada de</p><p>segurança.</p><p>Cláusula da IEC 61511: 9 Allocation of safety functions to protection layers.</p><p>Entrada: descrição da função instrumentada de segurança requerida e seus</p><p>requisitos integridade de segurança associados.</p><p>Saída: descrição da atribuição dos requisitos de segurança.</p><p>68</p><p>Considerações: a quantificação de SIL para todas as SIF identificadas foi</p><p>realizada conforme técnicas de análises definidas em norma interna e reconhecidas</p><p>pela IEC 61511, assim como realizadas por profissionais ligados ao processo,</p><p>produção, automação e instrumentação da Braskem. A técnica de análise foi</p><p>conduzida por consultoria experiente e documentada apropriadamente.</p><p>Resultado da avaliação desta fase: projeto aderente com os requisitos da</p><p>norma IEC 61511:2003.</p><p>6.3 - ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DO SIS</p><p>Objetivo: especificar os requisitos para cada SIS, em termos das funções</p><p>instrumentadas de segurança e suas integridades de segurança</p><p>associadas, para</p><p>atingir a segurança funcional necessária.</p><p>Cláusula da IEC 61511: SIS Safety requirements specification e 12</p><p>Requirements for application software, including selection criteria for utility software</p><p>Entrada: descrição da atribuição dos requisitos de segurança.</p><p>Saída: requisitos de segurança do SIS; requisitos de segurança de software.</p><p>Considerações: a elaboração dos requisitos de segurança foi desenvolvida</p><p>pelos envolvidos diretamente projeto: fornecedor do MAC, empresa de engenharia,</p><p>processo, automação e instrumentação da Braskem. O documento foi elaborado por</p><p>consultoria experiente e documentada apropriadamente.</p><p>Resultado da avaliação desta fase: projeto aderente com os requisitos da</p><p>norma IEC 61511:2003.</p><p>6.4 - PROJETO E ENGENHARIA DO SIS</p><p>Objetivo: projetar o SIS para satisfazer os requisitos das funções</p><p>instrumentadas de segurança e da integridade de segurança.</p><p>Entradas: requisitos de segurança do SIS; requisitos de segurança de software.</p><p>Saídas: projeto do SIS de acordo com os requisitos de segurança do SIS;</p><p>planejamento para teste de integração do SIS.</p><p>69</p><p>Considerações: a elaboração do projeto do SIS foi desenvolvida pela empresa</p><p>de engenharia e pelo fornecedor do MAC, sob supervisão do processo, automação e</p><p>instrumentação da Braskem. A verificação de SIL foi realizada por profissional</p><p>certificado em especificações de sistemas de segurança da Braskem, com as</p><p>informações advindas da empresa de engenharia e do fornecedor do MAC. Os</p><p>documentos gerados para o projeto foram aprovados pela Braskem e arquivados</p><p>apropriadamente.</p><p>Resultado da avaliação desta fase: projeto aderente com os requisitos da</p><p>norma IEC 61511:2003.</p><p>6.5 - COMISSIONAMENTO DA INSTALAÇÃO E VALIDAÇÃO DO SIS</p><p>Objetivo: integrar e testar o SIS, validar que o SIS atende em todos os aspectos</p><p>os requisitos para segurança nos termos das funções instrumentadas de segurança</p><p>requeridas e da integridade de segurança.</p><p>Entradas: projeto do SIS, Plano de teste de integração do SIS, requisitos de</p><p>segurança do SIS, plano para validação de segurança do SIS.</p><p>Saídas: funcionamento completo do SIS de acordo com o projeto do SIS,</p><p>resultados dos testes de integração do SIS, Resultados da instalação,</p><p>comissionamento e atividades da validação.</p><p>Considerações: o comissionamento do projeto do SIS foi desenvolvido tanto em</p><p>fábrica quanto em campo pela equipes de automação, produção, manutenção e</p><p>instrumentação da Braskem, com o apoio da empresa de engenharia, do fornecedor</p><p>do MAC, da licenciadora e da montadora. Os documentos comprobatórios de cada</p><p>etapa foram aprovados pela Braskem e arquivados apropriadamente. O processo de</p><p>validação do SIS foi realizado por consultoria independente do projeto contratada</p><p>pelo fornecedor do MAC.</p><p>Resultado da avaliação desta fase: projeto aderente com os requisitos da</p><p>norma IEC 61511:2003.</p><p>70</p><p>6.6 - RESULTADO GERAL DO PROJETO DE SIS DA PLANTA DE PVC</p><p>ALAGOAS</p><p>O projeto da planta de PVC Alagoas atendeu as fases descritas nos diversos</p><p>requisitos da norma IEC 61511:2003, tanto nos aspectos qualitativos quanto nos</p><p>aspectos de independência e competência dos executantes entre as diversas fases.</p><p>Estes aspectos são evidenciados pela quantidade e qualidade das empresas e</p><p>equipes que participaram do projeto de SIS: Braskem (processo, automação,</p><p>instrumentação, produção, manutenção), Ineos (licenciadora da tecnologia de</p><p>processo), Genpro (empresa de engenharia), Emerson Process (fornecedor do</p><p>MAC), Exida (consultoria), DNV (consultoria de segurança) e CNO (montagem).</p><p>Todo o projeto foi apropriadamente documentado e está disponível para a produção,</p><p>manutenção e para os gestores de riscos da unidade para que sejam cumpridas as</p><p>próximas fases do ciclo de vida de segurança preconizadas pela norma.</p><p>71</p><p>CAP. 7 - CONCLUSÃO</p><p>O processo de atendimento aos requisitos do ciclo de vida de segurança</p><p>proposto pela IEC 61511 nas fases de projeto depende de uma equipe</p><p>multifuncional de profissionais comprovadamente capacitados para executar cada</p><p>etapa do ciclo.</p><p>Equipes de processo devem estar qualificadas e certificadas em técnicas de</p><p>análise de riscos de processo visando identificar e quantificar apropriadamente os</p><p>riscos de cada processo. Funções instrumentadas de segurança mal dimensionadas</p><p>durante esta importante etapa do projeto podem gerar custos adicionais decorrentes</p><p>de um sobre dimensionamento das exigências de prevenção e/ou mitigação de</p><p>riscos mal analisados. Por outro lado, o processo poderá não ser devidamente</p><p>protegido contra riscos devido aspectos importantes das funções instrumentadas de</p><p>segurança não terem sido detectados durante a fase de identificação dos riscos e</p><p>especificação dos requerimentos.</p><p>Equipes de automação devem estar qualificadas e certificadas em projetos de</p><p>funções instrumentadas de segurança visando entender a importância da</p><p>elaboração dos requisitos funcionais de segurança de tais projetos para que modos</p><p>de falha comum e probabilidades de falhas sistemáticas sejam devidamente</p><p>minimizados. Do mesmo modo, equipes de instrumentação devem estar qualificadas</p><p>e certificadas visando minimizar estas mesmas falhas e cumprir os requerimentos</p><p>para cálculos das probabilidades de falha sob demanda, assim como entender a</p><p>importância da minimização de falhas perigosas não detectáveis durante a fase de</p><p>projeto.</p><p>Hoje a Braskem tem avançado nas especificações de funções instrumentadas</p><p>de segurança coordenando equipes capacitadas e qualificadas de projetos,</p><p>processo das unidades industriais e SSMA e contando com a colaboração de</p><p>consultorias especializadas em quantificação de riscos industriais e na elaboração</p><p>das melhores técnicas de engenharia de SIS. Além de usar a norma IEC</p><p>61511:2003 como referência, o desenvolvimento de uma cultura de segurança</p><p>desde a concepção do projeto até os procedimentos para manutenção do SIL ao</p><p>longo de toda a vida do projeto é fundamental para alcançar o objetivo final que é a</p><p>proteção da sociedade na qual está inserida.</p><p>72</p><p>Esta filosofia de trabalho advém do suporte organizacional da alta</p><p>administração da empresa, expressada através da adoção das melhores práticas de</p><p>governança corporativa e uma forte cultura empresarial que orienta a forma de</p><p>atuação da empresa. A adoção de Elementos Estratégicos como forma de gestão é</p><p>aplicada diretamente no dia-a-dia da empresa, tendo os princípios da política de</p><p>Qualidade, Saúde, Segurança e Meio Ambiente como norteadores para o processo</p><p>de gerenciamento do ciclo de segurança de seus ativos.</p><p>Finalizo este trabalho expressando os conceitos de Summers (2009), onde é</p><p>dito que definir e manter uma estratégia abrangente de redução de riscos requer</p><p>esforço. A melhoria contínua não tem um começo ou fim definido, porque a</p><p>segurança é uma coisa diária. Obter-se segurança não é um processo fácil. Se o</p><p>fosse, não haveria necessidade de tantas práticas e orientações para obtê-la.</p><p>Também não haveria necessidade de relações públicas e tantas campanhas de</p><p>orientação e conscientização.</p><p>Para se ter sucesso, a segurança deve ser um valor de negócio. Alcançá-la é</p><p>uma virtude.</p><p>73</p><p>REFERÊNCIAS BIBLIOGRÁFICA</p><p>AICHE. Guidelines for Hazard Evaluation Procedures. Third Edition. ed. New</p><p>York. New York: John Wiley & Sons, Inc., 2008. ISBN 978-0-47 1-978 15-2.</p><p>BECKMAN, L. Determining the required safety integrity level for your process.</p><p>ISA Transactions, v. 37, n. 2, p. 105-111, 1998 Abril.</p><p>GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification -</p><p>Practical Probabilistic Calculations. Triangle Park, NC: ISA - The Instrumentation,</p><p>Systems and Automation Society, 2005. ISBN 1-55617-909-X.</p><p>GREEN, D. L.; ARTHUR M. DOWELL, I. P. E. How to design, verify and</p><p>validate emergency shutdown systems. ISA Transactions, v. 34, n. 3, p. 261-272,</p><p>Outubro 1995.</p><p>GRUHN, P. et al. Quantifying the impact of partial stroke</p><p>valve testing of safety</p><p>instrumented systems. ISA Transactions, v. 37, n. 2, p. 87-94, Abril 1998.</p><p>GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems - Design, Analysis,</p><p>and Justification. 2nd Edition. ed. Triangle Park, NC: ISA - The Instrumentation,</p><p>Systems, and Automation Society, 2006. ISBN 1-55617-956-1.</p><p>GUO, H.; YANG, X. A simple reliability block diagram method for safety integrity</p><p>verification. Reliability Engineering & System Safety, Barking, Inglaterra, v. 92, n. 9,</p><p>p. 1267-1273, Setembro 2007.</p><p>HEALTH AND SAFETY EXECUTIVE. Out of Control: Why Control Systems Go</p><p>Wrong and How to Prevent Failure. Sheffield, U.K.: [s.n.], 1995.</p><p>HOKSTAD, P.; CORNELIUSSEN, K. Loss of safety assessment and the IEC</p><p>61508 standard. Reliability Engineering and System Safety, Barking, Inglaterra, v.</p><p>83, n. 1, p. 111-120, Janeiro 2004.</p><p>INTERNATIONAL ELECTROTECHNICAL COMMISSION (IEC). IEC 61511</p><p>Functional Safety: Safety Instrumented Systems for the Process Sector. Genebra,</p><p>Suiça: [s.n.], 2003.</p><p>74</p><p>JIN, H.; LUNDTEIGEN, M. A.; RAUSAND, M. Reliability performance of safety</p><p>instrumented systems: A common approach for both low- and high-demand mode of</p><p>operation. Reliability Engineering & System Safety, Barking, Inglaterra, v. 96, n. 3, p.</p><p>365-373, Março 2011.</p><p>LANGERON, Y. et al. Combination of safety integrity levels (SILs): A study of</p><p>IEC 61508 merging rules. Journal of Loss Prevention in the Process Industries, v. 21,</p><p>n. 4, p. 437-449, Julho 2008.</p><p>LIU, Y.; RAUSAND, M. Reliability assessment of safety instrumented systems</p><p>subject to different demand modes. Journal of Loss Prevention in the Process</p><p>Industries, v. 24, n. 1, p. 49-56, Janeiro 2011.</p><p>LUNDTEIGEN, M. A.; RAUSAND, M. Partial stroke testing of process shutdown</p><p>valves: How to determine the test coverage. Journal of Loss Prevention in the</p><p>Process Industries, v. 21, n. 6, p. 579-588, Novembro 2008.</p><p>LUNDTEIGEN, M. A.; RAUSAND, M. Spurious activation of safety instrumented</p><p>systems in the oil and gas industry: Basic concepts and formulas. Reliability</p><p>Engineering & System Safety, Barking, Inglaterra, v. 93, n. 8, p. 1207-1217, Agosto</p><p>2008.</p><p>LUNDTEIGEN, M. A.; RAUSAND, M. Architectural constraints in IEC61508: Do</p><p>they have the intended effect? Reliability Engineering and System Safety, Barking,</p><p>Inglaterra, v. 94, n. 2, p. 520-525, Fevereiro 2009.</p><p>MACDONALD, D. Practical Industrial Safety, Risk Assessment, and Shutdown</p><p>Systems. [S.l.]: Elsevier Science & Technology Books, 2004. ISBN 0750658045.</p><p>ROUVROYE, J. L.; BROMBACHER, A. C. New quantitative safety standards:</p><p>different techniques, different results? Reliability Engineering & System Safety,</p><p>Volume 66, Issue 2, November 1999, Pages 121-125, Barking, Inglaterra, v. 66, n. 2,</p><p>p. 121-125, Novembro 1999.</p><p>SMITH, D. J.; SIMPSON, K. G. L. Functional Safety: A Straightforward Guide to</p><p>applying IEC 61508 and Related Standards. 2nd Edition. ed. Burlington, Inglaterra:</p><p>Elsevier Butterworth-Heinemann, 2004. ISBN 0-7506-6269-7.</p><p>75</p><p>SUBCOMMITTEE, CENTER FOR CHEMICAL PROCESS SAFETY LAYER OF</p><p>PROTECTION ANALYSIS. Layer of Protection Analysis: Simplified Process Risk</p><p>Assessment. New York, New York: AIChe, 2001. ISBN 0-8169-0811-7.</p><p>SUMMERS, A. E. IEC 61511 and the capital project process - A protective</p><p>management system approach. Journal of Hazardous Materials, v. 130, n. 1-2, p. 28-</p><p>32, Março 2006.</p><p>SUMMERS, A. E. Continuous improvement and existing safety systems.</p><p>Journal of Loss Prevention in the Process Industries, v. 22, n. 6, p. 685-688,</p><p>Novembro 2009.</p><p>TIMMS, C. R. IEC 61508/61511- Pain or Gain? Process Safety Progress, v. 22,</p><p>n. 2, p. 105-108, Junho 2003.</p><p>1</p><p>GLOSSÁRIO</p><p>ARQUITETURA - arranjo de elementos de hardware e/ou software em um</p><p>sistema, por exemplo, arranjo de subsistemas de sistemas instrumentados de</p><p>segurança (SIS), estrutura interna de um subsistema SIS ou arranjo de programas</p><p>de softwares.</p><p>CAMADA DE PROTEÇÃO - qualquer mecanismo independente que reduza o</p><p>risco através de controle, prevenção ou mitigação.</p><p>COBERTURA DE DIAGNÓSTICO - razão entre a taxa de falha detectada e a</p><p>taxa de falha total do componente ou subsistema, conforme detectado pelos testes</p><p>de diagnóstico. Cobertura de diagnóstico não diz respeito a quaisquer falhas</p><p>detectadas pelos testes funcionais.</p><p>COMPONENTE - uma das partes de um sistema, subsistema ou dispositivo</p><p>desempenhando uma função específica.</p><p>DIVERSIDADE - existência de diferentes modos de se executar uma função</p><p>requerida</p><p>ELEMENTO FINAL - parte de um sistema instrumentado de segurança que</p><p>executa a ação física necessária para se alcançar o estado seguro</p><p>ESTADO SEGURO - estado do processo na qual a segurança foi atingida.</p><p>FALHA - perda da aptidão de parte do sistema em executar uma função</p><p>requerida.</p><p>FALHA ALEATÓRIA DE HARDWARE - falha que ocorre em momento</p><p>aleatório resultante de uma variedade de mecanismos de degradação do hardware.</p><p>FALHA DETECTADA - referem-se às falhas de hardware e software,</p><p>detectadas por testes de diagnóstico ou através da operação normal</p><p>FALHA PERIGOSA - falha que tem o potencial de colocar o sistema</p><p>instrumentado de segurança em estado perigoso ou na impossibilidade de executar</p><p>sua função.</p><p>FALHA POR CAUSA COMUM - falha, que é resultado de um ou mais eventos,</p><p>causando falhas de dois ou mais canais separados em um sistema de canais</p><p>múltiplos, levando a uma falha do sistema.</p><p>2</p><p>FALHA SEGURA - falha que não tem o potencial de colocar o sistema</p><p>instrumentado de segurança em estado de perigo ou impedido de atuar.</p><p>FALHA SISTÊMICA - falha relacionada de forma determinista a certa causa, a</p><p>qual pode ser eliminada através de: modificação do projeto ou do processo</p><p>industrial, procedimentos operacionais, documentação ou outros fatores relevantes.</p><p>FRAÇÃO DE FALHA SEGURA - fração da taxa geral de falha aleatória do</p><p>hardware de um dispositivo que resulte em uma falha segura ou uma falha perigosa</p><p>detectada.</p><p>FUNÇÃO INSTRUMENTADA DE SEGURANÇA (SIF) - função de segurança</p><p>com um SIL (nível de integridade de segurança) especificado, o qual é necessário</p><p>para alcançar a segurança funcional, podendo ser tanto uma função de proteção</p><p>instrumentada de segurança ou uma função de controle instrumentada de</p><p>segurança.</p><p>FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO CONTÍNUO -</p><p>quando no evento de uma falha perigosa da função instrumentada de segurança, um</p><p>perigo potencial ocorrerá independentemente de outras falhas a menos que ações</p><p>sejam tomadas para prevenção.</p><p>FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO DE DEMANDA -</p><p>quando uma ação específica (por exemplo, fechar uma válvula) é tomada em</p><p>resposta a condições do processo ou outras demandas. No evento de uma falha</p><p>perigosa da função instrumentada de segurança, o perigo potencial só ocorre no</p><p>evento de uma falha no processo ou no BPCS.</p><p>INSTRUMENTO - dispositivo usado para executar uma ação (tipicamente</p><p>encontrado em sistemas instrumentados).</p><p>MODO DE OPERAÇÃO - modo no qual uma função instrumentada de</p><p>segurança opera.</p><p>PERIGO - fonte potencial de dano.</p><p>PROTEÇÃO DE ATIVOS - função atribuída à concepção do sistema com o</p><p>propósito de prevenir danos em ativos.</p><p>3</p><p>REDUNDÂNCIA - uso de múltiplos elementos ou sistemas para executar a</p><p>mesma função; a redundância pode ser implementada por elementos idênticos</p><p>(redundância idêntica) ou por elementos diversos (redundância diversificada).</p><p>RISCO - combinação da frequência de ocorrência do dano com a severidade</p><p>deste dano.</p><p>RISCO TOLERÁVEL - risco que é aceito em um determinado contexto</p><p>baseado nos valores atuais de sociedade.</p><p>SEGURANÇA - livre de riscos inaceitáveis.</p><p>SEGURANÇA FUNCIONAL - parte da segurança total relacionada ao processo</p><p>e ao BPCS que depende do correto funcionamento do SIS e de outras camadas de</p><p>proteção.</p><p>SISTEMA BÁSICO DE CONTROLE DE PROCESSO (BPCS) - sistema que</p><p>responde aos sinais de entrada do processo, seus equipamentos associados,</p><p>outros</p><p>sistemas programáveis e/ou a um operador, gerando sinais de saída de modo que o</p><p>processo e seus equipamentos associados operem da maneira desejada, mas que</p><p>não realiza nenhuma função instrumentada de segurança, ou seja, com SIL</p><p>requerido ≥ 1</p><p>SISTEMA DE CONTROLE - sistema que responde aos sinais de entrada do</p><p>processo e/ou de um operador, gerando sinais de saída de modo que o processo</p><p>opere da maneira desejada.</p><p>SISTEMA INSTRUMENTADO DE SEGURANÇA (SIS) - sistema instrumentado</p><p>usado para implementar uma ou mais funções instrumentadas de segurança. Um</p><p>SIS é composto de qualquer combinação de sensor(es), logic solver(s) e</p><p>elemento(s) final(ais).</p><p>TESTE FUNCIONAL - teste executado para revelar falhas não detectadas em</p><p>um sistema instrumentado de segurança para que, se necessário, o sistema possa</p><p>ser restaurado para sua funcionalidade projetada.</p><p>TOLERÂNCIA A FALHAS - aptidão de um componente em manter a função</p><p>requerida mesmo na ocorrência de avarias ou erros.</p><p>4</p><p>USO COMPROVADO (PROVEN-IN-USE) - quando uma avaliação</p><p>documentada, baseadas em usos prévios do componente, mostrou que existem</p><p>evidências apropriadas e suficientes que o mesmo é adequado para uso em um</p><p>sistema instrumentado de segurança.</p><p>VALIDAÇÃO - atividade de demonstrar que a função instrumentada de</p><p>segurança e o sistema instrumentado de segurança, após a instalação, satisfaçam</p><p>todos os aspectos dos requisitos de segurança especificados</p><p>VERIFICAÇÃO - atividade de mostrar para cada fase relevante do ciclo de vida</p><p>de segurança, por análise e/ou testes, que, para entradas específicas, as saídas</p><p>satisfazem todos os aspectos dos requisitos de segurança para a determinada fase.</p><p>1</p><p>ANEXO A – EXEMPLO DE PLANILHA DE LOPA DO PROJETO</p><p>1</p><p>ANEXO B – EXEMPLO DE VERIFICAÇÃO DE SIF</p><p>FIS-41-013 Falha ESS P do R-4101A</p><p>Este anexo apresenta os resultados da análise para a Função Instrumentada</p><p>de Segurança FIS-41-013 Falha ESS P do R-4101A.</p><p>Informações Gerais</p><p>A Função Instrumentada de Segurança é identificada por:</p><p>Nome da SIF Falha ESS P do R-4101A</p><p>Tag da SIF FIS-41-013</p><p>Descrição da SIF Proteção contra descontrole reacional no reator R-4101A devido</p><p>à falha do sistema primário de inibição do reator ou pressão</p><p>muito alta no reator. Abertura das 3 válvulas do sistema de N2 e</p><p>do vaso de inibição XV- 41004A, XV-41005A, XV-41006A (3oo3)</p><p>e as 2 válvulas de injeção no Reator XV-41039A, XV-41040A</p><p>(1oo2).</p><p>Referência da SIF SRS BK-AL03-00099-RT-90-00002 Rev. 0 (exida Consulting)</p><p>Relatório Técnico DNV - Estudos de LOPA (Layer of Protection</p><p>Analysis) e SIL (Safety Integrity Level) para o Projeto de</p><p>Ampliação das Plantas de PVC e MVC da Braskem PVC - AL</p><p>No: 12TS04C-1 Rev. 1, 2010-12-22</p><p>Fluxograma BK-AL03-00041-FX-21-00002_00002</p><p>Fluxograma BK-AL03-00041-FX-21-00006</p><p>Fluxograma BK-AL03-00041-FX-21-00013</p><p>Nome da Unidade PVC</p><p>Perigo Falha do Sistema Primário de Inibição e aumento da Pressão do</p><p>sistema e consequente ruptura do Reator, em caso de falha do</p><p>sistema de inibição e da PSV.</p><p>Consequência Segurança: Liberação de MVC para a atmosfera com formação</p><p>de incêndio em nuvem e explosão em nuvem.</p><p>Meio ambiente: -</p><p>2</p><p>Equipamentos: Danos a equipamentos e instalação devido a</p><p>incêndio em nuvem e explosão em nuvem.</p><p>Níveis de Integridade de Segurança</p><p>O Nível de Integridade de Segurança (determinado) que se deseja atingir por</p><p>esta Função Instrumentada de Segurança é:</p><p>SIL 2 com RRF > 100</p><p>A verificação do SIL concluiu que o Nível de Integridade de Segurança</p><p>alcançado por esta Função Instrumentada de Segurança é:</p><p>SIL 2 com RRF = 302</p><p>SILver</p><p>Esta seção fornece uma visão detalhada da verificação do Nível de Integridade</p><p>de Segurança realizado para a Função Instrumentada de Segurança FIS-41-013</p><p>Falha ESS P do R-4101A. De forma a realizar a parte dos cálculos de confiabilidade</p><p>da verificação do nível de integridade de segurança, são definidas as seguintes</p><p>premissas.</p><p>Tempo de Missão: 2 anos</p><p>Tempo de Partida: 24 horas</p><p>A SIF opera em modo de demanda Baixo.</p><p>3</p><p>A verificação de SIL foi realizada por Erick Jomil Bahia Garcia, CFSP, em 08</p><p>set 2011.</p><p>A capabilidade sistemática dos diversos componentes da Função</p><p>Instrumentada de Segurança FIS-41-013 Falha ESS P do R-4101A não foi</p><p>considerada. Consequentemente, a verificação SIL realizada apenas aborda os</p><p>requisitos quantitativos da IEC 61511.</p><p>Observações: Ver Relatório Técnico DNV No: 12TS04C-1 Rev 1, 2010-</p><p>12-22.</p><p>4</p><p>A partir dos dados de confiabilidade e dos detalhes dos cálculos descritos nas</p><p>próximas subseções deste relatório, a FIS-41-013 Falha ESS P do R-4101A atinge o</p><p>desempenho de segurança funcional mostrado na Tabela 1.</p><p>Tabela 1 Desempenho de Segurança Funcional</p><p>PFDavg RRF SIL</p><p>(PFDavg)</p><p>SIL</p><p>(Restrições da</p><p>Arquitetura IEC</p><p>61508)</p><p>SIL</p><p>(Systematic</p><p>Capability)</p><p>3,31E-03 302 2 2 2</p><p>A FIS-41-013 Falha ESS P do R-4101A também foi avaliada sobre o</p><p>comportamento relativo a intertravamentos espúrios. Os resultados expressos para</p><p>MTTFS são exibidos na Tabela 2.</p><p>Tabela 2 Intertravamentos Falsos</p><p>MTTFS (anos)</p><p>52,37</p><p>5</p><p>Configuração da Parte do Sensor</p><p>A função de segurança e o comportamento de intertravamento falso da parte do</p><p>sensor na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do R-</p><p>4101A é quantificada da seguinte forma:</p><p>PFDavg da parte do Sensor: 2,40E-08</p><p>HFT da parte do Sensor: 4</p><p>MTTFS da parte do Sensor: 57,01 anos</p><p>As Restrições de Arquitetura (IEC 61508) da parte do sensor permitem usar até</p><p>SIL 4.</p><p>A FIS-41-013 Falha ESS P do R-4101A da parte do sensor consiste de 3</p><p>Grupo(s) de Sensor (es). A votação entre esses Grupos Sensores é 1oo3. Foi</p><p>considerado um fator de "causa comum" de 1% entre os grupos de sensores.</p><p>Grupo de Sensores 1: ZSL-41044A/41045A/41046A</p><p>As informações e dados de confiabilidade abaixo descrevem o Grupo de</p><p>Sensores ZSL-41044A/41045A/41046A como foi analisado na verificação do Nível</p><p>de Integridade de Segurança.</p><p>Votação dentro do grupo: 1oo3</p><p>HFT: 2</p><p>Tipo de Votação: Idêntica</p><p>Unidade Equipamento (cada): DXP-L20GNEB - GO SWITCH (Sys. Cap.: 2)</p><p>(My Own)</p><p>Intertravamento em alto</p><p>6</p><p>KFD2-SR2-Ex1.W (Sys. Cap.: 3) (My Own)</p><p>facor-β: 1 [%]</p><p>MTTR: 48 hora</p><p>Intervalo do Roteiro de Teste: 24 meses</p><p>Cobertura do Roteiro de Teste: 0 [%]</p><p>Tabela 3 mostra os dados de confiabilidade usados durante a verificação do</p><p>Nível de Integridade de Segurança do grupo sensor ZSL-41044A/41045A/41046A.</p><p>Tabela 3 Dados de Confiabilidade do Grupo Sensor ZSL-</p><p>41044A/41045A/41046A</p><p>Componente</p><p>Failure Rates [1/h] Tipo</p><p>de</p><p>Arq</p><p>SFF</p><p>[%] Falha</p><p>Baixa</p><p>Falha</p><p>Alta</p><p>Falha</p><p>Det. DD DU SD SU Res.</p><p>Cada Unidade 86,3</p><p>DXP-L20GNEB - GO</p><p>SWITCH</p><p>1,55E-09 3,45E-09 B -</p><p>KFD2-SR2-Ex1.W 2,58E-08 9,21E-08 7,66E-08 B -</p><p>Grupo de Sensores 2: PI-41011A</p><p>As informações e dados de confiabilidade abaixo descrevem o Grupo de</p><p>Sensores PI-41011A como foi analisado na verificação do Nível de Integridade de</p><p>Segurança.</p><p>Votação dentro do grupo: 1oo1</p><p>HFT: 0</p><p>Tipo de Votação: -</p><p>Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)</p><p>Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)</p><p>Intertravamento em alto</p><p>Ajuste de Alarmes: Limite Inferior da Escala</p><p>Filtro de Diagnóstico: On</p><p>Trip On Alarm: On</p><p>KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)</p><p>7</p><p>fator-β: - [%]</p><p>MTTR: 48 hora</p><p>Intervalo do Roteiro de Teste: 24 meses</p><p>Cobertura do Roteiro de Teste: 74 [%]</p><p>Tabela 4 mostra os dados de confiabilidade usados durante a verificação do</p><p>Nível de Integridade de Segurança do grupo sensor PI-41011A.</p><p>Tabela 4 Dados de Confiabilidade do Grupo Sensor PI-41011A</p><p>Componente</p><p>Failure Rates [1/h] Tipo</p><p>de</p><p>Arq</p><p>SFF</p><p>[%] Falha</p><p>Baixa</p><p>Falha</p><p>Alta</p><p>Falha</p><p>Det. DD DU SD SU Res.</p><p>Cada Unidade 95,7</p><p>Rosemount 3051T, SW</p><p>Rev 7.0</p><p>or above</p><p>2,60E-08</p><p>5,80E-08</p><p>2,56E-07</p><p>3,40E-08</p><p>3,40E-08</p><p>3,40E-07</p><p>1,15E-07</p><p>1,15E-07</p><p>B -</p><p>Clean Service</p><p>A -</p><p>KFD2-STC4-Ex1</p><p>2,20E-07</p><p>9,87E-09</p><p>9,87E-09</p><p>2,20E-07</p><p>3,02E-07</p><p>3,02E-07</p><p>A -</p><p>Os dados mostrados em azul e em itálico indicam o efeito do PLC detection</p><p>configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.</p><p>Grupo de Sensores 3: PI-41012A</p><p>As informações e dados de confiabilidade abaixo descrevem o Grupo de</p><p>Sensores PI-41012A como foi analisado na verificação do Nível de Integridade de</p><p>Segurança.</p><p>Votação dentro do grupo: 1oo1</p><p>HFT: 0</p><p>Tipo de Votação: -</p><p>Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)</p><p>Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)</p><p>Intertravamento em alto</p><p>Ajuste de Alarmes: Limite Inferior da Escala</p><p>Filtro de Diagnóstico: On</p><p>Trip On Alarm: On</p><p>8</p><p>KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)</p><p>fator-β: - [%]</p><p>MTTR: 48 hora</p><p>Intervalo do Roteiro de Teste: 24 meses</p><p>Cobertura do Roteiro de Teste: 74 [%]</p><p>Tabela 5 mostra os dados de confiabilidade usados durante a verificação do</p><p>Nível de Integridade de Segurança do grupo sensor PI-41012A.</p><p>Tabela 5 Dados de Confiabilidade do Grupo Sensor PI-41012A</p><p>Componente</p><p>Failure Rates [1/h] Tipo</p><p>de</p><p>Arq</p><p>SFF</p><p>[%] Falha</p><p>Baixa</p><p>Falha</p><p>Alta</p><p>Falha</p><p>Det. DD DU SD SU Res.</p><p>Cada Unidade 95,7</p><p>Rosemount 3051T, SW</p><p>Rev 7.0 or above</p><p>2,60E-08</p><p>5,80E-08</p><p>2,56E-07</p><p>3,40E-08</p><p>3,40E-08</p><p>3,40E-07</p><p>1,15E-07</p><p>1,15E-07</p><p>B -</p><p>Clean Service</p><p>A -</p><p>KFD2-STC4-Ex1</p><p>2,20E-07</p><p>9,87E-09</p><p>9,87E-09</p><p>2,20E-07</p><p>3,02E-07</p><p>3,02E-07</p><p>A -</p><p>Os dados mostrados em azul e em itálico indicam o efeito do PLC detection</p><p>configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.</p><p>Configuração da Parte do Controlador Lógico</p><p>A função de segurança e o comportamento de intertravamento falso da parte do</p><p>controlador lógico na Função Instrumentada de Segurança FIS-41-013 Falha ESS P</p><p>do R-4101A é quantificada da seguinte forma:</p><p>PFDavg da parte do Controlador Lógico: 3,48E-05</p><p>HFT da parte do Controlador Lógico: 0</p><p>MTTFS da parte do Controlador Lógico: 717,57 anos</p><p>As Restrições de Arquitetura (IEC 61508) da parte do Controlador Lógico</p><p>permitem usar até SIL 3.</p><p>A informação e dados de confiabilidade abaixo descrevem o grupo de</p><p>Controlador Lógico CLP de Segurança como analisado durante a verificação do</p><p>Nível de Integridade de Segurança.</p><p>9</p><p>Nome do Controlador Lógico: CLP de Segurança</p><p>Equipamento: Emerson DeltaV SIS Redundant SLS</p><p>MTTR: 24 horas</p><p>Intervalo do Roteiro de Teste: 12 meses</p><p>Cobertura do Roteiro de Teste: 80 [%]</p><p>fator-β: 2 [%]</p><p>Tipo de Restrição da Arquitetura: B</p><p>Tabela 6 os dados de confiabilidade utilizados durante a verificação de SIL do</p><p>grupo do Controlador Lógico CLP de Segurança.</p><p>Tabela 6 Dados de Confiabilidade do Controlador Lógico CLP de Segurança</p><p>Componente</p><p>Número</p><p>usado em</p><p>análise por</p><p>Unidade</p><p>Taxa de Falhas [1/h]</p><p>SFF</p><p>[%] SD SU DD DU Res.</p><p>Processador Principal</p><p>[Emerson SLS1508 Main</p><p>Processor]</p><p>1 1,10E-06 1,50E-08 1,30E-06 6,00E-09 6,89E-07 99,86</p><p>Fonte de Alimentação</p><p>[Generic Power Supply]</p><p>1 2,25E-06 2,50E-07 100,00</p><p>Canal de Entrada Analógica 2 2,90E-08 2,30E-08 8,00E-12 4,10E-08 -</p><p>Canalde Entrada Digital 3 1,30E-08 2,70E-08 1,30E-08 4,60E-08 -</p><p>Canal de Saída Digital de</p><p>Baixa (Tensão)</p><p>5 2,00E-08 1,20E-08 1,40E-08 -</p><p>Com Enhanced Diagnostics: Sim</p><p>Switchover every 6 meses</p><p>Configuração da Parte do Elemento Final</p><p>A função de segurança e o comportamento de intertravamento falso da parte do</p><p>elemento final na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do</p><p>R-4101A é quantificada da seguinte forma.</p><p>PFDavg da parte do Elemento Final: 3,27E-03</p><p>HFT da parte do Elemento Final: 0</p><p>MTTFS da parte do Elemento Final: 6155,14 anos</p><p>As Restrições de Arquitetura (IEC 61508) da parte do Elemento Final permitem</p><p>usar até SIL 2.</p><p>10</p><p>A parte do Elemento Final na Função Instrumentada de Segurança FIS-41-013</p><p>Falha ESS P do R-4101A consiste do 2 Grupo(s) de Elementos Finais. A votação</p><p>entre os Grupos de Elementos Finais é 2oo2. Foi considerado um fator de "causa</p><p>comum" de 1% entre os grupos de elementos finais.</p><p>Grupo do Elemento Final 1: XV-41004A/5A/6A</p><p>As informações e dados de confiabilidade abaixo descrevem o Grupo do</p><p>Elemento Final XV-41004A/5A/6A como analisado durante a verificação do Nível de</p><p>Integridade de Segurança.</p><p>Votação dentro do grupo: 3oo3</p><p>HFT: 0</p><p>Tipo de votação: Idêntica</p><p>Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-</p><p>(Ex)1.LK.**** (Sys. Cap.: 3)</p><p>ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.</p><p>Cap.: 3)</p><p>El-O-Mastic E-Series, Spring-Return (Sys. Cap.: 2)</p><p>F30-CSJR (Bray) (Sys. Cap.: 3) (My Own)</p><p>Serviço em Ambiente Limpo, Full Stroke, Abre para</p><p>Intertravar</p><p>Fator-β: 1 [%]</p><p>MTTR: 96 horas</p><p>Intervalo do Roteiro de Testes: 1 meses</p><p>Cobertura do Roteiro de Testes: 95 [%]</p><p>11</p><p>Tabela 7 mostra os dados de confiabilidade usados durante a verificação do</p><p>Nível de Integridade de Segurança do grupo do Elemento Final XV-41004A/5A/6A.</p><p>Tabela 7 Dados de Confiabilidade do Grupo do Elemento Final XV-</p><p>41004A/5A/6A</p><p>Componente</p><p>Taxa de Falha [1/h] Tipo de</p><p>Arq.</p><p>SFF</p><p>[%] DD DU SD SU Residual</p><p>Cada Unidade 80,6</p><p>Pepperl+Fuchs KFD2-SL2-</p><p>(Ex)1.LK.****</p><p>1,03E-08 3,38E-07 3,66E-07 A -</p><p>ASCO Series 551/552/553 NC,</p><p>CAI, 3/2, Single</p><p>5,07E-07 4,14E-07 1,19E-06 A -</p><p>El-O-Matic E-Series, Spring-</p><p>Return</p><p>3,42E-07 7,60E-08 1,55E-06 A -</p><p>F30-CSJR (Bray) 3,38E-07 1,03E-06 A -</p><p>Grupo do Elemento Final 2: XV- 41010A/XV- 41011A</p><p>As informações e dados de confiabilidade abaixo descrevem o Grupo do</p><p>Elemento Final XV- 41010A/XV- 41011A como analisado durante a verificação do</p><p>Nível de Integridade de Segurança.</p><p>Votação dentro do grupo: 1oo2</p><p>HFT: 1</p><p>Tipo de votação: Idêntica</p><p>Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-</p><p>(Ex)1.LK.**** (Sys. Cap.: 3)</p><p>ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.</p><p>Cap.: 3)</p><p>El-O-Matic E-Series, Spring-Return (Sys. Cap.: 2)</p><p>F15-SSJG (Bray) (Sys. Cap.: 3) (My Own)</p><p>Serviço em Ambiente Limpo, Full Stroke, Abre para</p><p>Intertravar</p><p>Fator-β: 1 [%]</p><p>MTTR: 96 horas</p><p>Intervalo do Roteiro de Testes: 24 meses</p><p>12</p><p>Cobertura do Roteiro de Testes: 63 [%]</p><p>Tabela 8 mostra os dados de confiabilidade usados durante a verificação do</p><p>Nível de Integridade de Segurança do grupo do Elemento Final XV- 41010A/XV-</p><p>41011A.</p><p>Tabela 8 Dados de Confiabilidade do Grupo do Elemento Final XV- 41010A/XV-</p><p>41011A</p><p>Componente</p><p>Taxa de Falha [1/h] Tipo de</p><p>Arq.</p><p>SFF</p><p>[%] DD DU SD SU Residual</p><p>Cada Unidade 78,2</p><p>Pepperl+Fuchs KFD2-SL2-</p><p>(Ex)1.LK.****</p><p>1,03E-08 3,38E-07 3,66E-07 A -</p><p>ASCO Series 551/552/553 NC,</p><p>CAI, 3/2, Single</p><p>5,07E-07 4,14E-07 1,19E-06 A -</p><p>El-O-Matic E-Series, Spring-</p><p>Return</p><p>3,42E-07 7,60E-08 1,55E-06 A -</p><p>F15-SSJG (Bray) 4,83E-07 8,84E-07 A -</p><p>.............................. 60</p><p>Figura 30 – Resultados da verificação da SIF-41-007. ............................................. 60</p><p>Figura 31 – Resultados da verificação da SIF-41-008. ............................................. 61</p><p>Figura 32 – Resultados da verificação da SIF-41-009. ............................................. 61</p><p>Figura 33 – Resultados da verificação das SIF-41-010/011/012. .............................. 62</p><p>Figura 34 – Resultados da verificação das SIF-41-013/014/015. .............................. 62</p><p>Figura 35 – Resultados da verificação das SIF-41-016/017/018. .............................. 63</p><p>Figura 36 – Resultados da verificação das SIF-41-019/020/021. .............................. 63</p><p>Figura 37 – Resultados da verificação das SIF-42-001/002. ..................................... 64</p><p>Figura 38 – Resultados da verificação das SIF-42-003. ............................................ 64</p><p>Figura 39 – Resultados da verificação das SIF-42-004. ............................................ 65</p><p>LISTA DE TABELAS</p><p>Tabela 1 – Nível de integridade de segurança: probabilidade de falha na</p><p>demanda.....................................................................................................................20</p><p>Tabela 2 – Visão geral do ciclo de vida de segurança do SIS. .................................20</p><p>Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas............37</p><p>LISTA DE ABREVIATURAS E SIGLAS</p><p>AD Annunciation detected – alarme detectado pelo diagnóstico.</p><p>AU Annunciation undetected – alarme não detectado pelo diagnóstico.</p><p>CCF Commom cause failures – falhas de causa comum.</p><p>DD Dangerous detected – falha perigosa detectada pelo diagnóstico.</p><p>DU Dangerous undetected – falha perigosa não detectada pelo</p><p>diagnóstico.</p><p>EUC Equipment under control – equipamento sob controle.</p><p>HFT Hardware fault tolerance – tolerância a falhas do equipamento.</p><p>IEC</p><p>International electrotechnical commission – comissão eletrotécnica</p><p>internacional.</p><p>IHM Interface humano máquina.</p><p>IPL</p><p>Independent protection layers – camadas de proteção</p><p>independentes.</p><p>MAC</p><p>Main automation contractor – contrato de fornecimento global de</p><p>automação.</p><p>MTTR Mean time to repair – tempo médio para reparo.</p><p>PFDavg</p><p>Probabilidade média de falha sob demanda (aplicado ao modo de</p><p>baixa demanda de falha).</p><p>PFH</p><p>Probabilidade de falha perigosa por hora (aplicado aos modos</p><p>contínuo ou de alta demanda de falha).</p><p>PIU Proven in use – de uso comprovado para o SIL requerido.</p><p>PST Partial stroke test – teste de curso parcial.</p><p>RRF Risk reduction factor – fator de redução de risco.</p><p>SD Safe detected – falha segura detectada pelo diagnóstico.</p><p>SERH</p><p>Safety equipment reliability databook - base de dados de</p><p>confiabilidade do equipamento de segurança.</p><p>SFF Safe failure fraction – fração de falha segura.</p><p>SIF</p><p>Safety instrumented function – função instrumentada de</p><p>segurança.</p><p>SIL Safety integrity level – nível de integridade de segurança.</p><p>SILachieved Safety integrity level achieved – nível de integridade de segurança</p><p>alcançado, calculado na fase de verificação de SIL.</p><p>SILtarget Safety integrity level target – nível de Integridade de segurança</p><p>que se deseja atingir pela SIF para prevenir ou minimizar</p><p>determinado risco. É conhecido por SIL alvo ou SIL requerido,</p><p>calculado na fase de análise de risco conhecido como seleção ou</p><p>determinação de SIL.</p><p>SIS Safety instrumented system – sistema instrumentado de</p><p>segurança.</p><p>SRS Safety requirements specification – especificação dos requisitos de</p><p>segurança.</p><p>SU Safe undetected – falha segura não detectada pelo diagnóstico.</p><p>SUMÁRIO</p><p>CAP. 1 - Introdução ....................................................................................... 13</p><p>1.1 - A motivação ........................................................................................... 13</p><p>1.2 - A norma IEC 61511:2003 ...................................................................... 15</p><p>1.3 - O método de verificação ........................................................................ 15</p><p>1.4 - Estrutura do estudo de caso .................................................................. 16</p><p>CAP. 2 - Fundamentos Téoricos ................................................................... 17</p><p>2.1 - Apresentação da norma IEC 61511:2003.............................................. 17</p><p>2.2 - Objetivo da norma IEC 61511:2003 ...................................................... 18</p><p>2.3 - Etapas da norma IEC 61511:2003 ........................................................ 20</p><p>CAP. 3 - Revisão bibliográfica ....................................................................... 25</p><p>CAP. 4 - A Braskem e o projeto da Planta PVC 200 kt/ano ........................... 32</p><p>CAP. 5 - O projeto do SIS da Planta PVC Alagoas ....................................... 35</p><p>5.1 - Etapa de identificação dos riscos .......................................................... 35</p><p>5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 35</p><p>5.2 - Determinação do SIL requerido ............................................................. 35</p><p>5.2.1 - Padrão Normativo Braskem ............................................................ 35</p><p>5.2.2 - Determinação do SIL requerido ...................................................... 36</p><p>5.2.3 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 39</p><p>5.3 - Especificação de Requisitos de Segurança........................................... 39</p><p>5.3.1 - Elaboração do documento SRS ...................................................... 39</p><p>5.3.2 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 41</p><p>5.4 - Detalhamento das funções instrumentadas de segurança .................... 42</p><p>5.4.1- Considerações Iniciais ..................................................................... 42</p><p>5.4.2 - Detalhamento prático ...................................................................... 43</p><p>5.4.3 - Seleção de componentes para o projeto de funções instrumentadas</p><p>de segurança ..................................................................................................... 46</p><p>5.4.4 - Especificação da arquitetura ........................................................... 47</p><p>5.4.5 - Cálculo das funções instrumentadas de segurança ........................ 47</p><p>5.4.6 - Resultados dos cálculos das SIF .................................................... 48</p><p>5.4.7 - Relatório de verificação das SIF ..................................................... 65</p><p>5.4.8 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 65</p><p>5.5 - Teste de aceitação de fábrica e teste de aceitação de campo do sis .... 65</p><p>5.5.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 .......... 66</p><p>5.6 - Validação das funções instrumentadas de segurança .......................... 66</p><p>5.6.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 66</p><p>CAP. 6 - Resultados ...................................................................................... 67</p><p>6.1 - Fase Avaliação de perigo e risco ........................................................... 67</p><p>6.2 - Fase Atribuição das funções de proteção nas camadas de proteção ... 67</p><p>6.3 - Especificação dos Requisitos de Segurança do SIS ............................. 68</p><p>6.4 - Projeto e engenharia do SIS .................................................................. 68</p><p>6.5 - Comissionamento da instalação e validação do SIS ............................. 69</p><p>6.6 - Resultado geral do projeto de SIS da Planta de PVC alagoas .............. 70</p><p>CAP. 7 - Conclusão ....................................................................................... 71</p><p>Glossário</p><p>Anexo A – Exemplo de planilha de LOPA do projeto</p><p>Anexo B – Exemplo de verificação de SIF</p><p>13</p><p>CAP. 1 - INTRODUÇÃO</p><p>1.1 - A MOTIVAÇÃO</p><p>As questões</p><p>de segurança de processo das instalações industriais se tornaram</p><p>mais evidentes com o aumento da preocupação com os aspectos relacionados às</p><p>ações que as empresas devem tomar para garantir que suas operações não</p><p>exponham um risco para a sociedade.</p><p>No caso específico da Braskem, empresa brasileira produtora de químicos</p><p>básicos, petroquímicos e combustíveis, estas questões são norteadas pela sua</p><p>atuação baseada em valores e princípios expressos em seu Compromisso Público,</p><p>divulgado em agosto de 2002. Eles incluem o comprometimento com a excelência</p><p>em suas práticas gerenciais e com a moderna governança corporativa, baseado no</p><p>desenvolvimento sustentável, na gestão responsável de seus negócios e na</p><p>transparência de suas ações, seus processos e indicadores financeiros e sociais.</p><p>Para transformar essas crenças em atitudes, assumiu diversos compromissos, os</p><p>quais estão expressos em sua política de Qualidade, Saúde, Segurança e Meio</p><p>Ambiente. Dentre eles, o compromisso de melhorar continuamente os seus</p><p>processos, produtos e serviços, estimulando a inovação e atendendo padrões legais</p><p>e voluntários é o que serve de motivador para o desenvolvimento deste trabalho.</p><p>Este compromisso está explícito em seu princípio 8 da política de Qualidade, Saúde,</p><p>Segurança e Meio Ambiente, onde é dito:</p><p>”Gerenciamos todos os riscos das nossas operações. Além dos programas de</p><p>prevenção e controle dos riscos, planos de mitigação são adequadamente</p><p>implementados. Programas de seguros são adquiridos sempre que existam riscos</p><p>de perdas acima das condições de absorção do negócio. Não produzimos,</p><p>manuseamos, usamos, vendemos, transportamos ou descartamos um produto a</p><p>menos que possamos fazê-lo de forma segura e com impacto mínimo ao meio</p><p>ambiente.”</p><p>14</p><p>Diante deste contexto, a especificação do modo de operação e dos</p><p>componentes para funções instrumentadas de segurança necessita ser analisado à</p><p>luz de padrões internacionais que apresentem as melhores práticas de engenharia,</p><p>sendo hoje o padrão mais utilizado a IEC 61511-1, 2 e 3:2003 - Functional safety -</p><p>Safety instrumented systems for the process industry sector. Estas avaliações</p><p>apresentam-se extremamente relevantes, conforme é demonstrado pelo histórico de</p><p>acidentes industriais, e.g. Three Mile Island (1979), Bhopal (1984), Chernobyl</p><p>(1986), Texas City (2005) e mais recentemente no Golfo do México (2010) e</p><p>Fukushima (2011). Apesar de algumas investigações ainda não estarem</p><p>completamente concluídas, é certo que houve falhas nos sistemas de proteção.</p><p>Conforme levantamento realizado pelo Health and Safety Executive (1995),</p><p>44% dos acidentes industriais devem-se a erros de especificação. Dentro deste</p><p>contexto, incluem-se desde o subdimensionamento do risco até o erro na</p><p>especificação da função instrumentada de segurança necessária para prevenir ou</p><p>mitigar o risco. Se acrescentarmos os erros provocados no projeto, implementação,</p><p>instalação e comissionamento, este percentual sobe para 64%. Estas questões são</p><p>citadas diversas vezes na literatura especializada disponível. Os estudiosos</p><p>destacam a importância da fase de identificação dos riscos envolvidos nos</p><p>processos industriais, assim como explicitam métodos de aplicação das técnicas de</p><p>análises de riscos para quantificação do nível de integridade de segurança (SIL)</p><p>necessário para mitigar e prevenir os riscos do processo industrial. Outro importante</p><p>aspecto que será abordado durante o estudo são as questões relacionadas aos</p><p>custos de projeto, as quais muitas vezes erroneamente são tratadas de maneira</p><p>superficial e equivocadas. A Figura 1 a seguir demonstra o levantamento da HSE.</p><p>15</p><p>Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle.</p><p>Fonte: Health and Safety Executive</p><p>Sendo assim, o estudo se justifica na medida da sua contribuição para a</p><p>melhoria da aplicação da referida norma em projetos de sistemas instrumentados de</p><p>segurança (SIS).</p><p>1.2 - A NORMA IEC 61511:2003</p><p>Nesta norma internacional são definidos os parâmetros para que seja</p><p>estabelecido o nível de integridade de segurança (SIL) para cada função</p><p>instrumentada de segurança (SIF), assim como são tratados aspectos relevantes</p><p>sobre as especificações de componentes de acordo com as suas taxas de falhas e</p><p>sobre normas construtivas para garantir a confiabilidade da função de segurança e</p><p>de todo o sistema.</p><p>1.3 - O MÉTODO DE VERIFICAÇÃO</p><p>Neste estudo de caso é analisado e avaliado qualitativamente como a Braskem</p><p>S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003</p><p>para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC</p><p>em Alagoas.</p><p>O estudo será iniciado com o levantamento de dados a partir do acesso a</p><p>documentação emitida pelo projeto, a saber:</p><p>• Relatório de análise de risco com as diversas técnicas explicitadas;</p><p>16</p><p>• Especificação de requisitos de segurança (este documento traz todas as</p><p>informações necessárias para a especificação das funções</p><p>instrumentadas de segurança);</p><p>• Memória de cálculo das funções instrumentadas de segurança (este</p><p>documento explicita como as funções instrumentadas de segurança</p><p>foram projetadas e demonstra os cálculos utilizados).</p><p>A documentação do projeto será então confrontada com as várias etapas do</p><p>ciclo de vida de segurança estabelecido pela norma IEC 61511:2003, onde será</p><p>avaliada qualitativamente sua aderência aos requerimentos dispostos.</p><p>1.4 - ESTRUTURA DO ESTUDO DE CASO</p><p>No capítulo 2 é apresentado o fundamento teórico deste trabalho, ou seja, a</p><p>norma IEC 61511:2003, seus requerimentos e suas etapas detalhadas. O envelope</p><p>deste estudo de caso é demonstrado frente a todos os requerimentos da norma.</p><p>No capítulo 3 é mostrada a revisão bibliográfica, onde são apontados os vários</p><p>estudos realizados para o desenvolvimento do trabalho, com suas devidas citações</p><p>pertinentes.</p><p>No capítulo 4 é apresentado um breve resumo do projeto da planta de PVC da</p><p>Braskem em Alagoas.</p><p>No capítulo 5 são apresentadas as entregas do projeto e sua relação com os</p><p>aspectos da norma de referência.</p><p>No capítulo 6 são apresentados os resultados da verificação da aderência das</p><p>entregas do projeto com os aspectos da norma de referência.</p><p>No capítulo 7 é apresentada a conclusão do estudo com suas recomendações.</p><p>Após este capítulo, são apresentados as referências bibliográficas e os anexos.</p><p>17</p><p>CAP. 2 - FUNDAMENTOS TEÓRICOS</p><p>2.1 - APRESENTAÇÃO DA NORMA IEC 61511:2003</p><p>Os sistemas instrumentados de segurança têm sido utilizados há vários anos</p><p>para realizar funções instrumentadas de segurança nas indústrias de processo. Se</p><p>alguma instrumentação for efetivamente utilizada para desempenhar funções</p><p>instrumentadas de segurança, é essencial que esta instrumentação apresente</p><p>determinados padrões e níveis de desempenho mínimos.</p><p>Para o desenvolvimento da especificação dos sistemas instrumentados de</p><p>segurança também é necessária a avaliação de risco e perigos do processo. Outros</p><p>sistemas de segurança são considerados apenas quando influenciam nos requisitos</p><p>de desempenho dos sistemas instrumentados de segurança. Adicionalmente, a</p><p>mesma contém dois conceitos que são fundamentais para a sua aplicação: o ciclo</p><p>de vida da segurança e o nível de integridade de segurança.</p><p>O sistema de instrumentado de segurança inclui todos os componentes e</p><p>subsistemas necessários para executar a função instrumentada de segurança,</p><p>desde os sensores até os elementos finais. A norma se aplica a sistemas</p><p>instrumentados de segurança baseados no uso de tecnologia elétrica, eletrônica e</p><p>eletrônica programável, assim como também se aplica a sensores e elementos finais</p><p>de sistemas instrumentados de segurança independentemente da tecnologia</p><p>utilizada.</p><p>A norma é específica para a indústria de processo dentro da estrutura criada</p><p>pela norma IEC 61508 e estabelece uma abordagem para as atividades do ciclo de</p><p>vida da segurança de maneira a atingir padrões mínimos.</p><p>Para facilitar esta abordagem, a norma IEC 61511:2003:</p><p>• requer que a avaliação de riscos e perigos identifique os requisitos de</p><p>segurança como um todo;</p><p>• requer a atribuição de requisitos de segurança aos sistemas instrumentados</p><p>de segurança;</p><p>• detalha atividades específicas, tais como o gerenciamento da segurança, que</p><p>sejam aplicáveis à obtenção da segurança funcional.</p><p>18</p><p>Resumindo, esta norma de sistemas instrumentados de segurança aplicada à</p><p>indústria de processo aborda todas as fases do ciclo de vida de segurança, desde a</p><p>concepção inicial, projeto, implementação, operação e manutenção até a</p><p>desativação.</p><p>2.2 - OBJETIVO DA NORMA IEC 61511:2003</p><p>Esta norma foi desenvolvida para facilitar a implementação da norma IEC</p><p>61508 para o setor de processo e tem o propósito de elevar o nível de consistência</p><p>dentro da indústria de processo (por exemplo, pelos princípios que a norteiam,</p><p>terminologia, informação) e com isto proporcionar benefícios de segurança e</p><p>econômicos. Também fornece os requisitos para especificação, projeto, instalação,</p><p>operação e manutenção de um sistema instrumentado de segurança de modo que</p><p>seja confiavelmente garantido que este sistema coloque e/ou mantenha o processo</p><p>em um estado seguro.</p><p>Esta norma, em particular:</p><p>a) especifica os requisitos para se atingir a segurança funcional, mas não</p><p>especifica quem é responsável por implementar os requisitos (por exemplo,</p><p>engenharia, fornecedores, companhia operadora/proprietária, empreiteira). A</p><p>responsabilidade deve ser atribuída a diferentes entidades de acordo com o</p><p>planejamento de segurança e com a regulamentação nacional;</p><p>b) aplica-se a uma ampla variedade de indústrias no setor de processo,</p><p>incluindo indústria química, refino de petróleo, produção de óleo e gás, papel</p><p>e celulose, geração de energia não-nuclear;</p><p>c) delineia a relação entre funções instrumentadas de segurança e outras</p><p>funções;</p><p>d) resulta na identificação dos requisitos funcionais e requisitos de integridade</p><p>de segurança da(s) função (ões) instrumentada(s) de segurança levando em</p><p>consideração a redução de risco obtida por outros meios;</p><p>e) especifica os requisitos para arquitetura do sistema e configuração de</p><p>hardware, software e integração do sistema;</p><p>f) pode ser aplicada a aplicações não voltadas à segurança, como proteção de</p><p>ativos;</p><p>19</p><p>g) usa o ciclo de vida de segurança e define uma lista de atividades que são</p><p>necessárias para se determinar os requisitos funcionais e os requisitos de</p><p>integridade de segurança para o sistema instrumentado de segurança;</p><p>h) requer que seja realizada a avaliação de riscos e perigos para que se possa</p><p>definir os requisitos funcionais de segurança e níveis de integridade de</p><p>segurança para cada função instrumentada de segurança;</p><p>i) estabelece objetivos numéricos para a probabilidade média de falha sob</p><p>demanda e frequência de falhas perigosas por hora para os níveis de</p><p>integridade de segurança;</p><p>j) especifica requisitos mínimos para tolerância a falha do hardware;</p><p>k) especifica técnicas e medidas exigidas para se atingir níveis de integridade</p><p>especificados;</p><p>l) define um nível máximo de desempenho (SIL 4) que pode ser atingido por</p><p>uma função instrumentada de segurança que foi implementada segundo a</p><p>norma;</p><p>m) define um nível mínimo de desempenho (SIL 1) abaixo do qual esta norma</p><p>não se aplica;</p><p>n) fornece uma estrutura para estabelecer níveis de integridade de segurança,</p><p>mas não determina o nível de integridade de segurança que uma aplicação</p><p>específica deve ter, o qual deve ser estabelecido com base no conhecimento</p><p>da aplicação particular;</p><p>o) especifica requisitos para todas as partes do sistema instrumentado de</p><p>segurança, desde o(s) sensor (es) até o(s) elemento(s) final (ais);</p><p>p) define a informação que é necessária durante o ciclo de vida de segurança.</p><p>Para cada função instrumentada de segurança operando no modo de</p><p>demanda, o SIL requerido deve ser especificado de acordo com a Tabela 1</p><p>20</p><p>Tabela 1 – Nível de integridade de segurança: probabilidade de falha na</p><p>demanda.</p><p>MODO DE DEMANDA DE OPERAÇÃO</p><p>Nível de integridade</p><p>de segurança (SIL)</p><p>Objetivo médio de</p><p>probabilidade de falha na</p><p>demanda</p><p>Objetivo de redução</p><p>de risco</p><p>4 ≥10-5 a <10-4 >10,000 a ≤100,000</p><p>3 ≥10-4 a <10-3 >1000 a ≤10,000</p><p>2 ≥10-3 a <10-2 >100 a ≤1000</p><p>1 ≥10-2 a <10-1 >10 a ≤100</p><p>Fonte: IEC 61511:2003.</p><p>2.3 - ETAPAS DA NORMA IEC 61511:2003</p><p>Cada fase do ciclo de vida de segurança deve ser definida em termos de suas</p><p>entradas, saídas e atividades de verificação, conforme demonstrado na Tabela 2 e</p><p>na figura 2 a seguir.</p><p>Tabela 2 – Visão geral do ciclo de vida de segurança do SIS.</p><p>Atividade ou fase do</p><p>ciclo de vida de</p><p>segurança</p><p>Objetivos</p><p>Requisitos</p><p>Cláusula ou</p><p>subcláusula</p><p>da</p><p>IEC 61511</p><p>Entradas</p><p>Saídas</p><p>Número</p><p>da caixa</p><p>da</p><p>Figura 1</p><p>Título</p><p>1 Avaliação</p><p>de perigo</p><p>e risco</p><p>Determinar os</p><p>perigos e eventos</p><p>perigosos do</p><p>processo e dos</p><p>equipamentos</p><p>associados, a</p><p>sequência dos</p><p>acontecimentos que</p><p>levaram a eventos</p><p>perigosos, os riscos</p><p>de processos</p><p>associados com o</p><p>evento perigoso, os</p><p>requisitos para a</p><p>redução de risco e</p><p>as funções de</p><p>segurança</p><p>necessárias para</p><p>atingir a redução de</p><p>risco necessária</p><p>8 Projeto do</p><p>Processo,</p><p>layout,</p><p>disposições</p><p>gerais,</p><p>objetivos de</p><p>segurança</p><p>Descrição dos</p><p>perigos, as</p><p>funções de</p><p>segurança</p><p>requeridas e a</p><p>redução de</p><p>risco</p><p>associada.</p><p>21</p><p>2 Atribuição</p><p>das</p><p>funções de</p><p>proteção</p><p>nas</p><p>camadas</p><p>de proteção</p><p>Atribuição das</p><p>funções de</p><p>proteção nas</p><p>camadas de</p><p>proteção e o nível</p><p>de integridade de</p><p>segurança</p><p>associado a cada</p><p>função</p><p>instrumentada de</p><p>segurança.</p><p>9 Uma</p><p>descrição da</p><p>função</p><p>instrumentad</p><p>a de</p><p>segurança</p><p>requerida e</p><p>seus</p><p>requisitos</p><p>integridade</p><p>de</p><p>segurança</p><p>associados.</p><p>Descrição da</p><p>atribuição dos</p><p>requisitos de</p><p>segurança</p><p>(ver Cláusula</p><p>9)</p><p>3 Especifica-</p><p>ção dos</p><p>Requisitos</p><p>de</p><p>Segurança</p><p>do SIS</p><p>Especificar os</p><p>requisitos para</p><p>cada SIS, em</p><p>termos das funções</p><p>instrumentadas de</p><p>segurança e suas</p><p>integridades de</p><p>segurança</p><p>associadas, para</p><p>atingir a segurança</p><p>funcional</p><p>necessária</p><p>10 Descrição da</p><p>atribuição</p><p>dos</p><p>requisitos de</p><p>segurança</p><p>(ver cláusula</p><p>9)</p><p>Requisitos de</p><p>segurança do</p><p>SIS; requisitos</p><p>de segurança</p><p>de software</p><p>4 Projeto e</p><p>engenharia</p><p>do SIS</p><p>Projetar o SIS para</p><p>satisfazer os</p><p>requisitos das</p><p>funções</p><p>instrumentadas de</p><p>segurança e da</p><p>integridade de</p><p>segurança</p><p>11 e 12.4 Requisitos</p><p>de</p><p>segurança</p><p>do SIS;</p><p>requisitos de</p><p>segurança</p><p>de software</p><p>Projeto do</p><p>SIS de acordo</p><p>com os</p><p>requisitos de</p><p>segurança do</p><p>SIS;</p><p>planejamento</p><p>para teste de</p><p>integração do</p><p>SIS</p><p>5 Comissio-</p><p>namento da</p><p>instalação</p><p>e validação</p><p>do SIS</p><p>Integrar e testar o</p><p>SIS</p><p>Validar que o SIS</p><p>atende em todos os</p><p>aspectos os</p><p>requisitos para</p><p>segurança nos</p><p>termos das funções</p><p>instrumentadas de</p><p>segurança</p><p>requeridas e da</p><p>integridade de</p><p>segurança</p><p>12.3, 14, 15 Projeto do</p><p>SIS</p><p>Plano de</p><p>teste de</p><p>integração</p><p>do SIS</p><p>Requisitos</p><p>de</p><p>segurança</p><p>do SIS</p><p>Plano pra</p><p>validação de</p><p>segurança</p><p>do SIS</p><p>Funcionament</p><p>o completo do</p><p>SIS de acordo</p><p>com o projeto</p><p>do SIS</p><p>Resultados</p><p>dos testes de</p><p>integração do</p><p>SIS</p><p>Resultados</p><p>da instalação,</p><p>comissioname</p><p>nto e</p><p>atividades da</p><p>validação</p><p>22</p><p>6 Operação e</p><p>manutençã</p><p>o do SIS</p><p>Garantir que a</p><p>segurança</p><p>funcional do SIS é</p><p>mantida durante a</p><p>operação e</p><p>manutenção</p><p>16 Requisitos</p><p>do SIS</p><p>Projeto do</p><p>SIS</p><p>Plano para</p><p>operação e</p><p>manutenção</p><p>do SIS</p><p>Resultados</p><p>das atividades</p><p>de operação e</p><p>manutenção</p><p>7 Modificaçã</p><p>o do SIS</p><p>Realizar correções,</p><p>melhorias ou</p><p>adaptações do SIS,</p><p>garantindo que o</p><p>nível de integridade</p><p>de segurança</p><p>exigido seja</p><p>alcançado e</p><p>mantido</p><p>17 Requisitos</p><p>de</p><p>segurança</p><p>do SIS</p><p>revisados</p><p>Resultados</p><p>da</p><p>modificação</p><p>do SIS</p><p>8 Desativaçã</p><p>o</p><p>Garantir revisão</p><p>adequada,</p><p>organização do</p><p>setor, e garantir</p><p>que</p><p>a FIS continue</p><p>apropriada</p><p>18 Requisitos</p><p>de</p><p>segurança</p><p>conforme</p><p>construído e</p><p>informação</p><p>do processo</p><p>SIF retirada</p><p>de serviço</p><p>9 Verificação</p><p>do SIS</p><p>Testar e avaliar os</p><p>resultados de uma</p><p>determinada fase</p><p>para garantir a</p><p>exatidão e</p><p>consistência no que</p><p>diz respeito aos</p><p>produtos e padrões</p><p>fornecidos como</p><p>entrada para esta</p><p>fase</p><p>7, 12.7 Plano de</p><p>verificação</p><p>do SIS para</p><p>cada fase</p><p>Resultados</p><p>da verificação</p><p>do SIS para</p><p>cada fase</p><p>10 Auditoria</p><p>de</p><p>segurança</p><p>funcional</p><p>do SIS</p><p>Investigar e obter</p><p>um julgamento</p><p>sobre a segurança</p><p>funcional alcançada</p><p>pelo SIS</p><p>5 Planejament</p><p>o para</p><p>auditoria de</p><p>segurança</p><p>funcional do</p><p>SIS</p><p>Requisitos</p><p>de</p><p>segurança</p><p>do SIS</p><p>Resultados</p><p>da auditoria</p><p>de segurança</p><p>funcional do</p><p>SIS</p><p>Fonte: IEC 61511:2003.</p><p>23</p><p>Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação</p><p>funcional de segurança.</p><p>Fonte: IEC 61511:2003.</p><p>As fases do ciclo de vida de segurança da IEC 61511:2003 que serão</p><p>analisadas neste estudo de caso são:</p><p>1 - Avaliação de perigo e risco.</p><p>2 - Atribuição das funções de proteção nas camadas de proteção.</p><p>3 - Especificação dos Requisitos de Segurança do SIS.</p><p>4 - Projeto e engenharia do SIS.</p><p>5 -Comissionamento da instalação e validação do SIS.</p><p>24</p><p>As demais etapas do ciclo de vida de segurança que não foram avaliadas</p><p>fazem parte das fases pós-projeto do SIS, i.e. operação e manutenção. Outras</p><p>etapas tratam da avaliação histórica do SIS, validando se cada SIF consegue atingir</p><p>o objetivo de mitigação e prevenção dos riscos a quais estão associadas.</p><p>25</p><p>CAP. 3 - REVISÃO BIBLIOGRÁFICA</p><p>Além da norma de referência, existe disponível uma ampla literatura</p><p>especializada elaborada por profissionais reconhecidos no meio de segurança de</p><p>processo. Dentre a literatura abundante sobre o assunto, citamos 3 livros de</p><p>referência que obrigatoriamente tem que ser estudados pelos interessados no</p><p>assunto. São eles:</p><p>Goble e Cheddie (2005) explica claramente como utilizar cálculos</p><p>probabilísticos para realizar a verificação de SIL para sistemas de segurança.</p><p>Começando com uma descrição do ciclo de vida de segurança, os autores mostram</p><p>onde e como a verificação de SIL se encaixa nas principais atividades do projeto</p><p>conceitual até o comissionamento.</p><p>Grunh e Cheddie (2006) ensina a prática de como realizar análises, projeto,</p><p>aplicação e instalação de SIS. Este autor recomenda sua utilização por engenheiros</p><p>de sistemas de controle nas indústrias de processo, que são responsáveis pelo</p><p>projeto, instalação e manutenção de sistemas instrumentados de segurança.</p><p>CCPS (2001) fala do método simplificado de avaliação de riscos de segurança</p><p>de processo por meio da análise de camadas de proteção (LOPA), a qual fornece</p><p>um meio termo entre a análise qualitativa tradicional e a geralmente dispendiosa</p><p>análise de risco quantitativa. Também fornece uma excelente abordagem para</p><p>determinar o nível de integridade de segurança necessário para um SIS, conforme</p><p>preconizada pela IEC 61511:2003.</p><p>Além destes 3 livros de referência também foram avaliados diversos artigos</p><p>técnicos disponíveis, onde foram levantadas algumas considerações interessantes.</p><p>26</p><p>Summers (2006) exemplifica que muitas empresas já têm aplicado o processo</p><p>da IEC 61511 para outros sistemas instrumentados com benefício econômico</p><p>significativo, especialmente quando aplicado a sistemas de proteção de ativos.</p><p>Sistemas de gerenciamento de proteção fazem sentido como boas práticas de</p><p>engenharia, porque eles são a forma mais eficaz de conseguir resultados previsíveis</p><p>e consistentes para a unidade de processo. Um sistema de gestão efetivo utiliza</p><p>uma abordagem sistemática para gerenciar o ciclo de vida inteiro da camada de</p><p>proteção. A maioria das empresas tem políticas e procedimentos já existentes para</p><p>muitas das fases do ciclo de vida. A finalidade do sistema global consiste em</p><p>amarrar todos essas políticas e procedimentos em um programa abrangente que</p><p>agiliza os processos e elimina a duplicação de esforço.</p><p>Summers (2009) informa que os líderes do setor reconhecem que o</p><p>investimento em recursos e equipamentos de segurança para evitar incidentes de</p><p>processo é essencial para se atingir um menor custo do ciclo de vida. Sem cuidados</p><p>e atenção, invariavelmente incidentes acontecem quando as condições erradas</p><p>ocorrem no momento errado. Todos os envolvidos devem perceber que a gestão de</p><p>risco de segurança é uma parte inerente do processo de concepção e operação e</p><p>que a demonstração de operação segura deve ser necessária para a licença</p><p>operacional.</p><p>Timms (2003) lembra que a interpretação prática da norma tem sido percebida</p><p>como difícil. Mas, com a orientação e formação adequadas, os engenheiros logo se</p><p>tornam confortáveis com a metodologia e o conceito de ciclo de vida simplesmente</p><p>passam a equivaler ao senso comum.</p><p>27</p><p>Rouvroye e Brombacher (1999) concluem de resultados de cálculos que</p><p>técnicas de análise de confiabilidade diferentes podem conduzir a SIL diferentes,</p><p>mesmo quando se usa o mesmo conjunto de dados. O valor mais baixo para a</p><p>probabilidade de falha por demanda para modelos de Markov é dá-se pelo fato de</p><p>que, em geral, em um modelo de Markov todos os estados do sistema (incluindo os</p><p>chamados estados seguros) são levados em consideração. Isto significa que haverá</p><p>uma certa probabilidade de que o sistema está em um estado de segurança e,</p><p>assim, não pode estar em um estado perigoso. Isso resulta em uma menor</p><p>contribuição para a probabilidade de falha em demanda. Este aspecto não pode ser</p><p>coberto pela maioria das outras técnicas de análise, porque estas técnicas só podem</p><p>lidar com um modo de falha do sistema de cada vez.</p><p>Guo e Yang (2007) defende que o método de diagrama de blocos de</p><p>confiabilidade (RBD) pode ser aplicado para a verificação quantitativa de SIL,</p><p>enfatizando que modelos RBD são intuitivos e fáceis de criar, semelhante ao método</p><p>avaliado pela IEC 61508-6. Neste artigo em particular não concordamos com os</p><p>autores, lembrando que os métodos quantitativos propostos pela IEC 61511, i.e.</p><p>modelos Markov, determinam resultados mais robustos e confiáveis. Langeron</p><p>(2008) mostra que o método baseado em ambas as regras de mesclagem em séries</p><p>e paralelas sugerida pelo padrão IEC 61508:2010 é realmente fácil de aplicar, mas</p><p>ainda não se encontram com uma abordagem robusta. Os valores esperados de SIL</p><p>padrão são, em alguns casos, maiores do que os resultados obtidos a partir do</p><p>método Markov.</p><p>28</p><p>Green e Dowell (2005) reforçam que redundância pode fornecer proteção</p><p>contra falhas ocultas ou fornecer tolerância a falhas para as falhas reveladas. Falhas</p><p>de causa comum (CCF) podem ser provocadas por um componente não-redundante</p><p>único ou por erros sistemáticos em componentes redundantes. Cita os métodos</p><p>existentes que podem ser utilizados para a análise quantitativa de uma emergência</p><p>ou a probabilidade de sucesso ou fracasso do SIS. Análise de árvore de falhas</p><p>(FTA), análise de árvore de eventos (ETA), diagrama de bloco de confiabilidade</p><p>(RBD), modelos de markov, tempo morto fracionário (FDT) e simulação de Monte</p><p>Carlo, por exemplo, podem ser usados para estimar a probabilidade de falha de um</p><p>SIS para executar sua função de proteção em face de uma demanda. Reforça o</p><p>aspecto que a lógica é de diversas ordens de magnitude mais confiável do que os</p><p>elementos de campo. Conclui que os elementos de campo determinam a</p><p>confiabilidade do sistema, e não o agente de resolução da lógica ou a tecnologia do</p><p>logic solver. Explica que aumentar a redundância do sistema aumenta a integridade</p><p>do sistema, mas CCF limitam de forma significativa a redução da probabilidade de</p><p>falha além de SIL 2. Conclui que aumentando a diversidade reduz-se o CCF e</p><p>permite maior confiabilidade do sistema do que seria possível com redundância</p><p>idêntica. Summers e Raney (1999) aponta que, infelizmente, há uma</p><p>grande</p><p>discordância entre os especialistas sobre como definir CCF e que eventos</p><p>específicos compreendem um CCF. Cita como exemplos de causas de falhas</p><p>comuns: erro de calibração ou nenhuma calibração dos sensores, entupimento de</p><p>tomadas de processo comuns, manutenção incorreta ou nenhuma manutenção, by-</p><p>pass indevido, estresse ambiental sobre o dispositivo de campo, fluido do processo</p><p>ou contaminantes bloqueando válvulas.</p><p>29</p><p>Gruhn (1998) defende a utilização de partial stroke test (PST) em SIS, citando</p><p>que as outras opções são a parada da planta em uma base não regular para testar</p><p>as válvulas ou conceber o sistema de tal modo que não seja necessário parar a</p><p>planta a fim de testar as válvulas. A primeira opção, embora possível, não é</p><p>simplesmente viável para unidades de produtos de petroquímicos em grande escala,</p><p>onde os problemas econômicos inerentes de uma parada de tais plantas são</p><p>proibitivos. A outra opção então seria instalar válvulas redundantes, as quais podem</p><p>aumentar a ordem de magnitude da segurança, sendo esta a opção tradicionalmente</p><p>realizada em aplicações com válvulas de alto risco. A desvantagem óbvia, no</p><p>entanto, é o custo. Não só o custo de capital para as válvulas dobra, mas o trabalho</p><p>de manutenção de teste aumenta, visto que que existem agora duas vezes mais</p><p>válvulas que precisam ser testadas periodicamente. Lundteigen e Rausand (2008)</p><p>tratam do aumento da confiabilidade que é adquirida através da introdução de PST,</p><p>o qual pode ser utilizado para melhorar a segurança e/ou para reduzir o custo. A</p><p>segurança é melhorada se o PST é adicionado sem alterar o intervalo entre os</p><p>testes periódicos funcionais. O custo é reduzido se a confiabilidade obtida é</p><p>prolongada o intervalo de teste funcional.</p><p>Hokstad e Corneliussen (2004) explicam muito bem as diferenças entre falhas</p><p>randômicas e falhas sistemáticas e chama a atenção para a utilização de fatores</p><p>beta diferentes para arquiteturas diferentes. Lembra que na IEC 61508, o parâmetro</p><p>PFD é usado para quantificar a perda de segurança devido a falhas randômicas. O</p><p>fator beta padrão, como sugerido na IEC 61508, não permite uma comparação</p><p>adequada somente ao dizer que diferentes votações 1oo2, 1oo3 ou 2oo3 são</p><p>utilizadas. Defende que este modelo normalmente não deve ser aplicado, a menos</p><p>que uma análise mais rigorosa seja realizada.</p><p>30</p><p>Jin, Lundteigen e Rausand (2011) mostram que as características de</p><p>confiabilidade de um SIS de alta demanda e um SIS de baixa demanda são</p><p>diferentes. O artigo conclui que sistemas de baixa demanda são homogêneos e</p><p>podem ser tratados como um grupo separado. O mesmo se aplica para sistemas de</p><p>alta demanda. No entanto, não há distinção clara entre os dois grupos e existe um</p><p>grupo significativo que pode ser classificado como sistemas de média demanda.</p><p>Explora o fato de que quando existem vários componentes de segurança ou muitos</p><p>estados em um SIS muito grande (com grande quantidade de pontos e cenários), a</p><p>abordagem de Markov pode levar a cálculos intratáveis. Neste caso, recomenda que</p><p>uma abordagem de rede de Petri pode ser uma alternativa melhor, a qual também</p><p>deverá será indicada na próxima revisão da norma IEC 61508. Em artigo posterior,</p><p>Liu e Rausand (2011) discute uma série de questões importantes relacionadas com</p><p>o desempenho de confiabilidade da modelagem de quantificação do SIS, tanto para</p><p>baixa demanda quanto para alta demanda. Questões como a duração da demanda e</p><p>verificação de funcionalidade testes funcionais, respostas bem sucedidas a</p><p>demandas e ativação espúrias são destacados. A fronteira entre baixa demanda e</p><p>alta demanda do modo de operação também é discutida.</p><p>Em Lundteigen e Rausand (2008) cita-se que operação e manutenção de</p><p>procedimentos, ferramentas e processos de trabalho, procedimentos de concepção,</p><p>implementação e instalação, competência e treinamento, e exposição ambiental</p><p>podem influenciar a probabilidade de falhas sistemática. Lembra que há outras</p><p>causas para paradas espúrias, e.g. a perda de serviços públicos de hidráulica,</p><p>pneumática ou energia. A perda de utilidades também pode levar diretamente a</p><p>paradas espúrias se a SIF é projetada para falhas seguras (que é a situação típica</p><p>em instalações de petroléo e gás).</p><p>31</p><p>Lundteigen e Rausand (2009) considera que a fração de falha segura (SFF)</p><p>não é um indicador suficiente das propriedades de confiabilidade de um componente</p><p>do SIS. Dois componentes com a mesma SFF podem ter características bastante</p><p>diferentes no que diz respeito à taxa de operações espúrias, taxa de falhas</p><p>perigosas e cobertura de diagnóstico. Uma SFF alta nem sempre indica um</p><p>componente seguro, da mesma forma que um SFF baixo nem sempre é sinônimo de</p><p>um componente inseguro. Uma SFF pode dar crédito para projetos inseguros, bem</p><p>como punir projetos com a segurança adequada. Como um acréscimo às restrições</p><p>de arquitetura, acredita que mais atenção deve ser dada para a construção de</p><p>modelos de funcionalidade, e de sistemas e análises funcionais nas quais os</p><p>modelos se baseiam. Com recursos mais complexos dos componentes do SIS é</p><p>importante para a análise o funcionamento de cada componente, em vez de se</p><p>assumir previamente um certo comportamento, e também levar em conta todas suas</p><p>interações.</p><p>32</p><p>CAP. 4 - A BRASKEM E O PROJETO DA PLANTA PVC 200</p><p>KT/ANO</p><p>Formada em 2002 a partir da fusão de seis empresas brasileiras, a Braskem</p><p>possui uma trajetória crescente no setor químico e petroquímico. Por meio de seus</p><p>escritórios nas Américas, Europa e Ásia, a Braskem atua em parceria com clientes</p><p>em mais de 70 países do mundo, firmando-se como um importante player global no</p><p>mercado de resinas termoplásticas (polipropileno, polietileno e PVC) e produtos</p><p>químicos. Ao todo, são 16 milhões de toneladas de produtos fabricados em 35</p><p>unidades industriais instaladas no Brasil, nos Estados Unidos e na Alemanha. A</p><p>filosofia da Braskem é desenvolver parcerias de sucesso e agregar valor e</p><p>competitividade ao negócio do cliente, por meio de um atendimento personalizado e</p><p>da oferta de produtos com qualidade certificada, além de serviços como assistência</p><p>técnica pré e pós-venda, logística diferenciada e estrutura para testes e</p><p>desenvolvimentos de produtos específicos.</p><p>A Braskem iniciou o projeto de construção das unidades de MVC/PVC de 200</p><p>kt/ano visando atender às demandas do mercado nacional e internacional. As</p><p>unidades localizam-se no pólo multifabril José Aprígio Brandão Vilela em Marechal</p><p>Deodoro – Alagoas. Com esta nova planta, Alagoas passou a ser o maior produtor</p><p>de PVC das Américas. A fábrica representa o maior investimento da Braskem no</p><p>país, em torno de R$ 1bilhão.</p><p>A resina de PVC é matéria-prima utilizada principalmente em obras de</p><p>saneamento e infraestrutura como tubos, conexões, portas, janelas, esquadrias e</p><p>telhas, entre outros produtos. A resina também está presente em brinquedos,</p><p>calçados, móveis, produtos médicos, na indústria automobilística e na alimentícia.</p><p>A nova planta consiste de uma unidade de MVC e outra de PVC, e tem</p><p>capacidade produtiva de 200 mil toneladas anuais, tornando Alagoas o maior</p><p>produtor de PVC da América Latina e contribuindo para o fortalecimento do pólo de</p><p>transformação dessa resina já existente no estado. A figura 3 mostra parcialmente a</p><p>nova planta de PVC em Alagoas.</p><p>33</p><p>Figura 3 – Nova planta Braskem de PVC.</p><p>A tecnologia empregada foi adquirida da Ineos, envolvendo processos de</p><p>oxicloração do eteno, purificação, craqueamento, polimerização e recuperação do</p><p>MVC, secagem, silagem e ensacamento do PVC.</p><p>A Ineos é uma empresa privada química multinacional com sede em Rolle,</p><p>Suíça. É a terceira maior empresa de produtos químicos do mundo e a maior</p><p>empresa privada do Reino Unido.</p><p>A empresa de engenharia Genpro foi contratada para executar o projeto de</p><p>detalhamento. Neste projeto foram utilizadas diversas técnicas</p><p>avançadas de</p><p>projetos, entre elas sua elaboração em maquetes 3D, conforme demonstrado na</p><p>figura 4.</p><p>34</p><p>Figura 4 – Maquete da planta de PVC.</p><p>35</p><p>CAP. 5 - O PROJETO DO SIS DA PLANTA PVC ALAGOAS</p><p>5.1 - ETAPA DE IDENTIFICAÇÃO DOS RISCOS</p><p>Na etapa do projeto conceitual e durante o projeto básico, foi realizado o</p><p>Estudo de Perigos e Operabilidade (Hazop) para avaliar os riscos do processo. A</p><p>técnica denominada Hazop visa identificar os perigos e os problemas de</p><p>operabilidade de uma instalação de processo. Este método é baseado em um</p><p>procedimento que gera perguntas de maneira estruturada e sistemática através do</p><p>uso apropriado de um conjunto de palavras-guia. O principal objetivo de um Hazop é</p><p>investigar de forma minuciosa e metódica cada segmento de um processo, visando</p><p>descobrir todos os possíveis desvios das condições normais de operação,</p><p>identificando as causas responsáveis por tais desvios e as respectivas</p><p>consequências. Uma vez verificadas as causas e as consequências de cada tipo de</p><p>desvio, o método procura propor medidas para eliminar ou controlar o perigo ou</p><p>ainda para sanar o problema de operabilidade da instalação.</p><p>O estudo de Hazop foi realizado pela equipe de processo Braskem em conjunto</p><p>com a empresa detentora da tecnologia Ineos, utilizando os critérios de</p><p>aceitabilidade dispostos na norma Braskem PR-0603-00021 - Análise e</p><p>Gerenciamento de Impactos e Riscos de Processos e Serviços.</p><p>5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa da identificação de riscos está relacionada com a Clause 8 Process</p><p>Hazard and Risk Assessment como parte integrante da documentação</p><p>comprobatória do Safety life-cycle structure and planning.</p><p>5.2 - DETERMINAÇÃO DO SIL REQUERIDO</p><p>Nesta etapa, além das equipes de processo, instrumentação e automação da</p><p>Braskem, utilizou-se o apoio técnico das empresas DNV (Det Norske Veritas) e</p><p>exida.</p><p>5.2.1 - Padrão Normativo Braskem</p><p>A norma Braskem PR-0603-00021 - Análise e Gerenciamento de Impactos e</p><p>Riscos de Processos e Serviços prevê 2 métodos de análise que podem ser usados</p><p>para determinação de SIL. São eles:</p><p>36</p><p>Análise de Camadas de Proteção (LOPA), conforme previsto no Anexo F da</p><p>IEC 61511-3; e Gráfico de Risco Calibrado, conforme previsto no Anexo D da IEC</p><p>61511-3.</p><p>5.2.2 - Determinação do SIL requerido</p><p>Após definidos os intertravamentos, realizou-se as análises de risco</p><p>complementares para definição do nível de integridade de segurança (SIL) requerido</p><p>para cada intertravamento. Ambos os métodos foram utilizados: análise de camadas</p><p>de proteção (layer of protection analysis – LOPA) e o gráfico de risco calibrado. Foi</p><p>utilizado o software ORBIT SIL, desenvolvido pela DNV Energy Solutions, quando da</p><p>aplicação do gráfico de risco calibrado.</p><p>A aplicação do gráfico de risco calibrado pelo grupo de trabalho teve como</p><p>ponto inicial a definição dos EUCs (Equipment Under Control), ou seja, os</p><p>equipamentos aos quais estão associadas às funções instrumentadas de segurança</p><p>(SIF) nos trechos inicialmente propostos.</p><p>De acordo com a premissa adotada, foi também objetivo deste estudo a análise</p><p>de LOPA (Layer of Protection Analysis) para a definição do SIL das SIF, quando esta</p><p>metodologia seja a melhor aplicação a ser feita. A análise de LOPA é feita através</p><p>da quantificação da frequência de ocorrência e da probabilidade de atuação de</p><p>todas as camadas de proteção identificadas no sistema. Entre os objetivos principais</p><p>para a utilização do LOPA está a possibilidade de responder a questões relativas ao</p><p>número e eficiência das salvaguardas existentes, através de uma abordagem</p><p>sistemática. Questões de subjetividade de classificação de cenários a que as</p><p>técnicas qualitativas estão sujeitas são minimizadas nesta técnica.</p><p>37</p><p>Figura 5 – Distribuição das malhas de intertravamento por nível de proteção</p><p>requerido.</p><p>Os critérios e metodologia utilizados neste estudo seguiram o Anexo 9 (Nível de</p><p>Integridade de Segurança (SIL)) e o Anexo 10 (Análise de Camadas de Proteção</p><p>(LOPA)) do PR-0603-00021 (Análise e Gerenciamento de Impactos e Riscos de</p><p>Processos e Serviços). As reuniões ocorreram nas instalações da Braskem com a</p><p>participação de profissionais da DNV e BRASKEM. As malhas de intertravamentos</p><p>que atingiram ao menos SIL 1 foram nomeadas funções instrumentadas de</p><p>segurança e seu projeto definido através dos requisitos da IEC 61511:2003.</p><p>As SIF definidas com o SIL requerido para o projeto estão descritas na Tabela</p><p>3.</p><p>Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas.</p><p>Tag SIF Serviço SIL requerido</p><p>SIF-31-001 Pressão Muito Alta no D-103 1</p><p>SIF-31-002 Vazão Muito Baixa de recirculação na P-253A/B. 2</p><p>SIF-31-003 Temperatura Muito Alta na linha de fundo da Torre T-253 1</p><p>SIF-32-001 Proteção contra mistura explosiva alimentação para F-3201 1</p><p>SIF-32-002 Pressão Muito Baixa na alimentação da fornalha D-201 2</p><p>SIF-32-003 Vazão Muito Baixa do 1o passo da alimentação da fornalha D-201 2</p><p>SIF-32-004 Vazão Muito Baixa do 2o passo da alimentação da fornalha D-201 2</p><p>SIF-32-005 Temperatura Muito Alta na linha de saída da fornalha F-201 1</p><p>SIF-32-006 Pressão Muito Alta na descarga da B-3244 1</p><p>38</p><p>SIF-33-001 Proteção contra falta de HC 1</p><p>SIF-33-002 Proteção para parada segura falha do PLC C-301 2</p><p>SIF-33-003 Proteção contra mistura explosiva R-301 e R-302 3</p><p>SIF-33-004 Proteção contra fluxo reverso de etileno para a linha de oxigênio 2</p><p>SIF-33-005 Proteção contra mistura explosiva sistema de oxicloração 2</p><p>SIF-33-006 Proteção contra Temperatura muito alta nos Reatores R-301 1</p><p>SIF-33-007 Proteção contra Temperatura muito alta nos Reatores R-302 1</p><p>SIF-33-008 Proteção contra falta de N2 para purga nos MX301 e MX302 1</p><p>SIF-33-009 Proteção em caso de purga ineficiente parada do C-301 1</p><p>SIF-33-010 Retorno de HCl e Etileno para a linha de O2 1</p><p>SIF-33-011 Retorno de HCl e Etileno para a linha de O2 1</p><p>SIF-33-012 Retorno de HCl e Etileno para a linha de O2 1</p><p>SIF-33-013 Pressão Muito Alta no T-304 ou D-304 1</p><p>SIF-33-014 Nível Muito Baixo na T-305 1</p><p>SIF-41-001 Proteção contra Pressão Muito Alta no Vaso de Blow Down 1</p><p>SIF-41-002 Proteção contra Pressão Muito Alta no Vaso de Blow Down 1</p><p>SIF-41-003 Proteção contra Pressão Muito Alta no Vaso de Blow Down 2</p><p>SIF-41-004 Proteção contra Vazamento de MVC/PVC do Reator R-4101A 2</p><p>SIF-41-005 Proteção contra Vazamento de MVC/PVC do Reator R-4101B 2</p><p>SIF-41-006 Proteção contra Vazamento de MVC/PVC do Reator R-4101C 1</p><p>SIF-41-007 Proteção contra liberação de MVC para a atmosfera 1</p><p>SIF-41-008 Proteção contra entrada de oxigênio para os compressores 1</p><p>SIF-41-009 Proteção contra liberação de PVC (lama) e MVC 2</p><p>SIF-41-010 Parada do agitador R301A 2</p><p>SIF-41-011 Parada do agitador R301B 2</p><p>SIF-41-012 Parada do agitador R301C 2</p><p>SIF-41-013 Falha do Sistema Primário de Inibição R301A 2</p><p>SIF-41-014 Falha do Sistema Primário de Inibição R301B 2</p><p>39</p><p>SIF-41-015 Falha do Sistema Primário de Inibição R301C 2</p><p>SIF-41-016 Pressão muito alta no Reator R301A 2</p><p>SIF-41-017 Pressão muito alta no Reator R301B 2</p><p>SIF-41-018 Pressão muito alta no Reator R301C 2</p><p>SIF-41-019 Temperatura muito alta no Reator R301A 2</p><p>SIF-41-020 Temperatura muito alta no Reator R301B 2</p><p>SIF-41-021 Temperatura muito alta no Reator R301C 1</p><p>SIF-42-001 Temperatura alta na descarga da bomba P402A 1</p><p>SIF-42-002 Temperatura alta na descarga da bomba P410A 1</p><p>SIF-42-003 Nível muito alto no V405 1</p><p>SIF-42-004 Concentração de oxigênio na alimentação de MVC gás para E403 1</p><p>5.2.3 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa da determinação do SIL está relacionada com a Clause 9 Allocation</p><p>of safety functions to protection layers como parte integrante da documentação</p><p>comprobatória do Safety life-cycle structure and planning.</p><p>5.3 - ESPECIFICAÇÃO DE REQUISITOS DE SEGURANÇA</p><p>Os requisitos de segurança devem derivar da</p><p>alocação das funções</p><p>instrumentadas de segurança. Tais requisitos do SIS devem ser expressos e</p><p>estruturados de maneira que sejam:</p><p>• claros, precisos, auditáveis, mantidos e factíveis; e</p><p>• escritos de maneira a ajudar a compreensão daqueles que são prováveis</p><p>de utilizar a informação em qualquer fase do ciclo de vida.</p><p>5.3.1 - Elaboração do documento SRS</p><p>Com as determinações de SIL estabelecidas pela equipe de processo</p><p>participantes do projeto e o relatório conclusivo emitido, a etapa de elaboração da</p><p>especificação dos requisitos de segurança pôde ser iniciada. Para este projeto foi</p><p>contratada a consultoria da empresa exida para elaboração do documento.</p><p>40</p><p>Na Braskem, a emissão deste documento para os projetos é de</p><p>responsabilidade da disciplina de Automação. Este fato deve-se às diversas</p><p>informações relevantes que necessitam ser verificadas para que o projeto de</p><p>automação esteja consistente com o requerido pelo processo. Paralelamente, o</p><p>projeto de automação começa a ser desenvolvido para atender os mesmos</p><p>requisitos. É importante que as equipes de produção e manutenção da planta</p><p>também ratifiquem alguns parâmetros importantes para os cálculos, tais como tempo</p><p>de partida, intervalo entre testes funcionais e MTTR para os componentes das SIF.</p><p>As seguintes informações foram inseridas e tabuladas para gerar a</p><p>especificação das funções instrumentadas de segurança:</p><p>1) Tag de engenharia;</p><p>2) Tag do relatório;</p><p>3) Tag do sistema;</p><p>4) P&ID relacionado;</p><p>5) Datasheets do processo;</p><p>6) Descrição da SIF;</p><p>7) Definição do estado seguro do processo;</p><p>8) Risco potencial de processo;</p><p>9) Causa comum de falha do processo;</p><p>10) Requisitos de regulamentação;</p><p>11) SIL requerido;</p><p>12) Tempo de campanha;</p><p>13) Tempo de partida após trip;</p><p>14) Tempo de resposta da SIF;</p><p>15) Taxa de demanda esperada;</p><p>16) Intervalo de testes funcionais;</p><p>17) Requisitos de teste de manutenção para alcançar o SIL necessário;</p><p>18) Requisitos de confiabilidade para trips espúrios;</p><p>19) Arquitetura que atende ao SIL;</p><p>20) Evento iniciador;</p><p>21) Range e set de trip;</p><p>22) Barreira de segurança intrínseca;</p><p>23) Elemento de comparação;</p><p>41</p><p>24) Local do elemento comparação;</p><p>25) Tolerância da comparação;</p><p>26) Ação da comparação;</p><p>27) Diagnose elemento inicial;</p><p>28) Modo de falha de todos os sensores e transmissores;</p><p>29) Ação da diagnose;</p><p>30) MTTR dos elementos iniciadores;</p><p>31) MTTR dos elementos lógicos;</p><p>32) MTTR dos elementos finais;</p><p>33) Diagrama de causa e efeito;</p><p>34) Documento do diagrama lógico;</p><p>35) Folha do diagrama lógico;</p><p>36) Trip manual;</p><p>37) Tag trip manual;</p><p>38) Ação de by-pass;</p><p>39) Tipo de override de partida;</p><p>40) HS override;</p><p>41) Tipo de reset;</p><p>42) HS reset;</p><p>43) Solenóides;</p><p>44) Ação;</p><p>45) Elemento Final;</p><p>46) Modo de falha do elemento final;</p><p>47) Ação a ser tomada em falta de energia; e</p><p>48) Requisitos para IHM.</p><p>5.3.2 - Relação com o Ciclo de Vida de Segurança da IEC 61511</p><p>Esta etapa da especificação de requisitos de segurança para as funções</p><p>instrumentadas de segurança está relacionada com as Clauses 10 SIS Safety</p><p>requirements specification e 12 Requirements for application software, including</p><p>selection criteria for utility software como parte integrante da documentação</p><p>comprobatória do Safety life-cycle structure and planning.</p><p>42</p><p>5.4 - DETALHAMENTO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA</p><p>O projeto do SIS deve estar de acordo com as especificações dos requisitos de</p><p>segurança do SIS. A probabilidade de falha na demanda média de cada função</p><p>instrumentada de segurança deve ser igual, ou inferior, ao objetivo de falha</p><p>especificado conforme as especificações dos requisitos de segurança. Esta</p><p>probabilidade obrigatoriamente deve ser verificada por cálculos de confiabilidade.</p><p>Tendo sido estabelecido pelas etapas anteriores que o SIS irá operar em modo</p><p>de baixa demanda, o projeto deve então calcular para que a probabilidade média de</p><p>falha na demanda de cada função instrumentada de segurança seja igual, ou</p><p>inferior, ao objetivo de SIL requerido. A capabilidade dos componentes em relação à</p><p>IEC 61508 também deve ser avaliada: componentes e subsistemas selecionados</p><p>para uso como parte de um sistema instrumentado de segurança para aplicações de</p><p>SIL 1 até SIL 3 devem estar de acordo com a IEC 61508, assim como devem</p><p>atender a requisitos mínimos de tolerâncias a falhas de hardware (HFT). Tolerância</p><p>a falha de hardware é a habilidade de um componente ou subsistema de continuar a</p><p>ser capaz de empreender a função instrumentada de segurança exigida na presença</p><p>de uma ou mais falhas perigosas de hardware. Uma tolerância a falhas de hardware</p><p>de 1 significa que há, por exemplo, dois dispositivos e a arquitetura é tal que a falha</p><p>perigosa de um dos dois componentes ou subsistemas não impede que a ação de</p><p>segurança ocorra. A tolerância mínima a falhas de hardware é definida para aliviar</p><p>eventuais deficiências nos projetos de SIF devido ao número de suposições</p><p>assumidas tanto no projeto quanto na incerteza das taxas de falha dos componentes</p><p>ou subsistemas utilizados em diferentes aplicações de processos.</p><p>5.4.1- Considerações Iniciais</p><p>A probabilidade de falha calculada de cada função instrumentada de segurança</p><p>devido a falhas de hardware deve considerar:</p><p>a) a arquitetura do SIS no que se refere a cada função instrumentada de</p><p>segurança em questão;</p><p>b) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,</p><p>em qualquer dos modos que causaria uma falha perigosa do SIS, mas que não</p><p>sejam detectadas por testes de diagnóstico;</p><p>43</p><p>c) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,</p><p>em qualquer dos modos que causaria uma falha perigosa do SIS que sejam</p><p>detectadas por testes de diagnóstico;</p><p>d) a suscetibilidade do SIS a falhas de causa comum;</p><p>e) a cobertura de diagnóstico de quaisquer testes periódicos de diagnóstico</p><p>(determinado de acordo com IEC 61511-2), o intervalo de testes de diagnóstico</p><p>associados e a confiabilidade das instalações de diagnóstico;</p><p>f) a periodicidade com que são realizados testes funcionais;</p><p>g) os tempos de reparo de falhas detectadas;</p><p>h) a taxa de falha perigosa estimada de qualquer processo de comunicação em</p><p>qualquer dos modos que causaria uma falha perigosa do SIS (ambas detectadas e</p><p>não detectadas por testes de diagnóstico);</p><p>i) a taxa de falha perigosa estimada de qualquer resposta humana em qualquer</p><p>dos modos que causaria uma falha perigosa do SIS (ambas detectadas e não</p><p>detectadas por testes de diagnóstico);</p><p>j) a susceptibilidade a distúrbios CEM (compatibilidade eletromagnética) (por</p><p>exemplo, de acordo com IEC 61326-1); e</p><p>k) a susceptibilidade às condições climáticas e mecânicas (por exemplo, de</p><p>acordo com IEC 60654-1 e IEC 60654-3).</p><p>5.4.2 - Detalhamento prático</p><p>De forma geral e prática, o projeto de uma SIF é um processo iterativo que</p><p>consiste de:</p><p>1) Estudar os requisitos de segurança para as SIF</p><p>a) Conhecer o processo;</p><p>b) SIL requerido;</p><p>c) Tempo de campanha;</p><p>d) Taxa mínima de trips espúrios;</p><p>e) Tempo de atuação;</p><p>f) Requerimentos para os componentes (ex.: TSO - tight shut-off - para</p><p>válvulas, selos para transmissores);</p><p>44</p><p>g) MTTR; e</p><p>h) Tempo de partida.</p><p>2) Especificar todos os componentes das SIF</p><p>a) Estudar as melhores tecnologias aplicáveis;</p><p>b) Avaliar implicações dos modos de falhas de cada componente;</p><p>c) Avaliar os fatores de cobertura dos componentes; e</p><p>d) Avaliar as documentações disponíveis.</p><p>3) Calcular o PFDavg (ou PFH nos casos de alta demanda ou demanda</p><p>contínua) das SIF</p><p>a) Avaliar necessidade de redundância e diversidade de tecnologias;</p><p>b) Avaliar necessidade de diagnóstico e sua cobertura;</p><p>c) Avaliar necessidade e periodicidade de intervalo de teste funcionais em</p><p>operação; e</p><p>d) Avaliar necessidade e periodicidade de Partial Stroke Test (teste</p><p>de</p><p>curso parcial) para válvulas on-off.</p><p>Embora faça parte dos cálculos de verificação das SIF, o mesmo não endereça</p><p>preocupações relacionadas ao projeto do PLC tampouco da sua configuração, tendo</p><p>seu foco direcionado para os aspectos relacionados à performance da</p><p>instrumentação de campo. Estas considerações do projeto de Automação são</p><p>avaliadas durante a elaboração da especificação dos requisitos de segurança.</p><p>Como regra geral, os dispositivos de campo podem ser responsáveis por</p><p>aproximadamente 90% das falhas de um sistema instrumentado de segurança. O</p><p>sistema de lógica em geral é responsável por apenas 10%. Obviamente estas taxas</p><p>podem variar significativamente em diferentes tecnologias e configurações.</p><p>Dispositivos de campo devem ser selecionados e instalados para minimizar falhas</p><p>que podem resultar em informações imprecisas devido às condições decorrentes do</p><p>processo e condições ambientais. Condições que devem ser consideradas incluem</p><p>corrosão, congelamento de materiais em tubulações, sólidos em suspensão,</p><p>polimerização, coqueamento, temperaturas e pressões extremas, condensação na</p><p>perna seca de linhas de impulso e condensação insuficiente em pernas cheias de</p><p>linhas de impulso.</p><p>45</p><p>É importante ressaltar que os dados gerais de taxas de falhas são válidos</p><p>somente para falhas aleatórias. Falhas sistemáticas (e.g., especificações</p><p>inadequadas, processos de má manutenção, erros de calibração, treinamento, etc.)</p><p>também podem ter um impacto significativo no desempenho global do sistema.</p><p>Taxas de falhas sistemáticas dos dispositivos de campo podem ser maiores do que</p><p>para os equipamentos do sistema de lógica porque existem mais atividades</p><p>centradas nestes dispositivos.</p><p>Com base no exposto acima, temos como um dos objetivos desta etapa do</p><p>projeto, além do cálculo para garantir que a probabilidade de falha média sob</p><p>demanda e a taxa de falha espúria ou trip espúrio do sistema instrumentado de</p><p>segurança atendam o exigido pela especificação de requisitos de segurança, evitar</p><p>que falhas sistemáticas devido a erros de especificação de componentes por</p><p>aplicabilidade ao processo, fatores de causa comum e arquiteturas mal</p><p>dimensionadas também venham a contribuir para a falha do sistema instrumentado</p><p>de segurança em cumprir com os requisitos necessários.</p><p>Sendo assim, com o uso de uma ferramenta de software, esta parte do projeto</p><p>consistiu das seguintes etapas:</p><p>a) Levantamento das especificações de todos os componentes utilizados</p><p>na construção das SIF;</p><p>b) Levantamento e verificação dos dados de falhas de todos os</p><p>componentes;</p><p>c) Inserção dos dados informativos de cada SIF, incluindo o SIL requerido;</p><p>d) Inserção dos dados da especificação dos requisitos de segurança (e.g.,</p><p>tempo de campanha, MTTR, etc.).</p><p>e) Inserção dos dados de falhas de cada componente em software</p><p>específico.</p><p>f) Análise e cálculo de desempenho iterativo, testando várias arquiteturas</p><p>visando a melhor relação custo/benefício. Nesta fase, opta-se por tentar</p><p>a arquitetura mais simples e que se aproxime o máximo possível do</p><p>tempo de campanha atingindo o SIL requerido. Se viável e não</p><p>comprometer a funcionalidade de segurança, a necessidade de testes</p><p>funcionais deve ser minimizada visando evitar a introdução de falhas</p><p>sistemáticas no SIS devido a erros em procedimentos de manutenção.</p><p>46</p><p>g) Verificação do desempenho de cada malha em atingir o SIL requerido,</p><p>assim como análise das taxas para falhas espúrias (MTTFS),</p><p>capabilidade em relação a IEC 61508, etc.</p><p>h) Emissão do relatório conclusivo.</p><p>5.4.3 - Seleção de componentes para o projeto de funções instrumentadas de</p><p>segurança</p><p>Conforme descrito na IEC 61511:2003, os profissionais envolvidos em todas as</p><p>etapas do ciclo de vida de segurança devem ter experiência comprovada nas</p><p>respectivas fases que estão envolvidos. Para este processo de especificação dos</p><p>componentes, torna-se de suma importância que profissionais de instrumentação</p><p>com grau de senioridade assumam esta atividade. Isto se deve ao fato que diversos</p><p>aspectos relacionados à disciplina de instrumentação devam ser considerados</p><p>visando minimizar riscos de falhas perigosas ocultas, tais como:</p><p>• Definição de tecnologia de medição adequada;</p><p>• Definição de características construtivas de elementos finais (e.g., tipos</p><p>de internos de válvulas de controle para evitar fenômenos de “cold-</p><p>flow”).</p><p>Adicionalmente, a qualidade da documentação para o processo de verificação é</p><p>de extrema importância para que o resultado final seja confiável. Conforme já</p><p>exposto, componentes e subsistemas para uso em sistemas instrumentados de</p><p>segurança devem estar de acordo com a norma IEC 61508 ou cumprir os requisitos</p><p>para a seleção baseada no uso prévio conforme a IEC 61511.</p><p>47</p><p>5.4.4 - Especificação da arquitetura</p><p>É necessário quantificar a probabilidade de falha separadamente para cada</p><p>função instrumentada de segurança porque diferentes modos de falha de</p><p>componentes podem se aplicar e a arquitetura do SIS (em termos de redundância)</p><p>também pode variar. Deve-se buscar sempre a melhor arquitetura para atender os</p><p>requisitos tanto de segurança quanto de disponibilidade. Antes da emissão das</p><p>normas IEC 61508 e IEC 61511, era muito comum as malhas de intertravamento</p><p>serem especificadas diretamente como “2oo3 pois é a que melhor atende”. Com os</p><p>métodos de cálculo previsto pelas normas IEC esta definição tornou-se mais segura</p><p>e realista, pois se define o atendimento aos requisitos de forma mais científica e</p><p>baseada em dados de falhas de componentes. Arquiteturas como 1oo2 ou 2oo2</p><p>passaram a ser melhor consideradas para atendimentos a alguns requisitos</p><p>funcionais de segurança e disponibilidade assim como também aspectos financeiros</p><p>começaram a ser melhor analisados.</p><p>5.4.5 - Cálculo das funções instrumentadas de segurança</p><p>De posse da documentação comprobatória das taxas de falhas seguras</p><p>detectáveis, falhas seguras não detectáveis, falhas perigosas detectáveis e falhas</p><p>perigosas não detectáveis e com as informações constantes da Especificação dos</p><p>Requisitos de Segurança (tempo de campanha, tempo de partida, MTTR fornecido</p><p>pela manutenção, etc.) é possível, através de software dedicado, se testar diversas</p><p>configurações e intervalos de testes buscando-se sempre a melhor relação custo</p><p>benefício e a que seja mais interessante para a planta em relação aos intervalos de</p><p>testes e necessidade de partial stroke test para as válvulas on-off. Neste caso</p><p>buscou-se o intervalo de teste de 24 meses para todos os componentes, visando-se</p><p>eliminar a necessidade de partial stroke test e realizando-se o full stroke test para as</p><p>válvulas on-off.</p><p>O software utilizado para realização dos cálculos foi o exSILentia version</p><p>2.5.1.7.</p><p>48</p><p>Figura 6 – Software utilizado para a realização dos cálculos de verificação de</p><p>SIL.</p><p>O banco de dados utilizado para obtenção das taxas de falhas dos</p><p>componentes das SIF foi o que consta no próprio software. A versão do banco de</p><p>dados está referenciada no relatório automático emitido que está anexado ao</p><p>relatório final de verificação de SIL. Para os componentes que não estavam</p><p>inseridos no banco de dados do exSILentia, foram utilizados os certificados e</p><p>documentos comprobatórios enviados pelos fornecedores. Este software dedicado</p><p>utiliza modelos Markov para realização dos cálculos de verificação. A utilização</p><p>desta técnica é uma entre as diversas aprovadas pela IEC 61511 conforme disposto</p><p>no item 11.9.2 Note 1 e na IEC 61508-7 Annex C. O software também possui</p><p>certificação pela IEC 61508 para utilização em projetos de SIS.</p><p>5.4.6 - Resultados dos cálculos das SIF</p><p>Com os dados inseridos e calculados, obtiveram-se as configurações e</p><p>resultados para cada SIF, tendo todas atendendo ao SIL requerido conforme</p><p>demonstradas nas figuras 7 a 39 a seguir.</p><p>49</p><p>Figura 7 – Resultados da verificação da SIF-31-001.</p><p>Figura</p>