Escolar Documentos
Profissional Documentos
Cultura Documentos
SIL 3 Devices Portuguese
SIL 3 Devices Portuguese
(A B C
to
importante
quanto
1 2 3
)
Monica L. Hochleitner, CFSE Engenheira de Segurana exida.com, LLC Rio de Janeiro, RJ, Brazil
William A. Schwartz Gerente de Marketing Brasil exida.com, LLC Sellersville, PA, USA
Hoje existe uma crescente tendncia que os usurios finais optem por fabricantes que tenham equipamentos certificados conforme a norma IEC 61508 (SIL Safety Integrity Level). Esta uma excelente tendncia por diversos motivos. O primeiro porque para se obter a certificao, os fabricantes necessariamente devem fornecer as taxas de falha e modos de falha do produto. Essas informaes so normalmente obtidas a partir de um relatrio conhecido como anlise dos modos de falha, efeitos e diagnsticos (Failure Modes Effects and Diagnostic Analysis - FMEDA). Entre outras coisas, o relatrio FMEDA detalha as restries de arquitetura (Architectural Constraints) e o DU (taxa de falha perigosa no detectada). A partir dos parmetros de manuteno, tais como intervalos de testes, cobertura dos testes peridicos e tempo de reparo, possvel determinar a probabilidade mdia de falha do dispositivo na demanda (PFDavg), isto , quando a situao perigosa est presente e a Funo de Segurana precisa executar sua proteo. Tanto as restries de arquitetura quanto a PFDavg de um dispositivo, junto com a certificao conforme a IEC 61508, so crticas na avaliao se um dispositivo adequado para uso numa Funo de Segurana dado o SIL que se precisa atingir. E ambas caractersticas, junto com a certificao conforme a IEC 61508, devem preocupar os engenheiros envolvidos nos projetos e nas avaliaes de confiabilidade e segurana. As restries de arquitetura de um dispositivo determinam imediatamente qual nvel de redundncia (HFT Hardware Fault Tolerance) deve ser usado para se atingir o SIL correspondente reduo de risco necessria de uma Funo de Segurana. A interpretao da Probabilidade de Falha de um dispositivo mais complexa. Isso porque ela no determina o Nvel de Integridade de Segurana (SIL) do produto, mas sim a contribuio do dispositivo na PFDavg da Funo de Segurana. Por isso, a PFDavg de um dispositivo deve ser considerada junto com a PFDavg de outros dispositivos que sero usados para se determinar o SIL da Funo de Segurana (SIF). Este artigo trata dessas duas caractersticas separadamente, mas antes ele define um conceito mais bsico quanto ao que se entende por SIL 3. Tornou-se comum e conveniente o uso do termo instrumento SIL 1, instrumento SIL 2 ou instrumento SIL 3. Infelizmente esta simplificao pode ser muito perigosa e equivocada. De fato, no existe tal coisa como instrumento SIL 1, instrumento SIL 2 ou instrumento SIL 3. A nica coisa que realmente pode ser classificado como SIL 1 ou SIL 2 ou SIL 3 a Funo de Segurana. por isso que dispositivos certificados recebem em seus certificados o crdito de capaz de atingir a SIL 1 ou capaz de atingir SIL 2 ou capaz de atingir SIL 3. Essa distino faz toda a diferena e essa diferena fica muito clara aps a leitura dos prximos pargrafos.
Restries da Arquitetura (Architectural Constraints). As restries da arquitetura de um dispositivo dependem do tipo do dispositivo (Tipo A ou Tipo B) e da sua Frao de Falha Segura (SFF - Safe Failure Fraction). Um dispositivo Tipo A um subsistema no complexo que utiliza elementos discretos. Um dispositivo Tipo B um subsistema complexo que usa micro processadores ou lgica programvel. Para maiores detalhes, veja o item 7.4.3.1.3 da norma IEC 61508-2.
Tabela
1
restries
de
arquitetura
para
um
Tabela
2
restries
de
arquitetura
para
um
dispositivo
Tipo
A:
dispositivo
Tipo
B:
(*)
Tolerncia a falha igual a zero significa que uma simples falha perigosa no subsistema pode causar a falha perigosa no sistema inteiro. Tolerncia a falha igual a 1 significa que o subsistema consegue tolerar uma simples falha sem falhar perigosamente. Este tipo de situao normalmente conseguida utilizando-se uma arquitetura redundante do subsistema como na votao 1oo2 (um de dois). Por ultimo, a tolerncia a falha igual a 2 significa que um subsistema pode tolerar duas falhas sem falhar perigosamente. possvel conseguir esse tipo de configurao utilizando-se um subsistema triplo redundante, como em uma arquitetura 1oo3 (um de trs).
Como citado acima, a restrio de arquitetura de um dispositivo est associada a sua Frao de Falha Segura (SFF) , que por sua vez calculada a partir dos dados publicados no FMEDA. tambm funo do tipo de dispositivo: Tipo A ou Tipo B. Pela Tabela 1 vemos que um dispositivo Tipo A com SFF entre 60% e 90% pode ser usado em uma Funo de Segurana SIL 2 sem necessidade de redundncia. Esse mesmo dispositivo adequado para uso em uma Funo de Segurana SIL 3 quando usado em arquitetura redundante do tipo 1oo2. Mas referir-se a este dispositivo que tem o SFF entre 60% e 90% como um dispositivo SIL 3 errneo. Se este dispositivo tivesse certificao de acordo com a norma IEC 61508, ento seu certificado deveria trazer a seguinte descrio: capaz de atingir SIL 2 @ HFT=0 e capaz de atingir SIL 3 @ HFT=1. Como os certificados normalmente so emitidos em Ingls, a indicao no corpo do certificado deve aparecer assim: SIL 2 Capable @ HFT = 0.and SIL 3 Capable @ HFT = 1.
Para uma SIF ser classificada como SIL 1, sua PFDavg deve ser entre 0,0100 e 0,1000. Para uma SIF ser classificada como SIL 2, sua PFDavg deve ser entre 0,0010 e 0,0100. Para uma SIF ser classificada como SIL 3, sua PFDavg deve ser entre 0,0001 e 0,0010.
Embora
existam
excees,
em
aplicaes
da
indstria
de
processo
as
maiores
contribuies
na
PFDavg
de
uma
Funo
de
Segurana
tipicamente
so
atribudas
ao
elemento
final,
a
vlvula
operada
remotamente.
Depois
disso,
as
maiores
contribuies
so
tipicamente
os
sensores
e/ou
as
unidades
de
processamento
da
lgica.
Em
muito
menores
escalas
de
contribuio
aparecem
as
barreiras,
condicionadores
de
sinal,
repetidores,
etc.
Por
exemplo,
se
a
PFDavg
de
uma
vlvula
0,005,
ela
vai
contribuir
com
quase
50%
da
faixa
ou
limite
superior
da
classificao
SIL
2
(0,005/0,010
=
50%).
No
entanto,
como
esperada
que
a
contribuio
da
vlvula
na
probabilidade
de
falha
perigosa
da
Funo
de
Segurana
seja
alta,
esta
vlvula
pode
muito
bem
ser
uma
candidata
na
utilizao
em
uma
Funo
de
Segurana
que
precisa
atingir
SIL
2.
Por
outro
lado,
se
um
condicionador
de
sinal
tivesse
a
mesma
PFDavg,
seria
pouco
provvel
(e
menos
ainda
adequado)
seu
uso
em
uma
Funo
de
Segurana
que
precisa
atingir
SIL
2.
Nesta
condio,
apesar
do
PFDavg
do
condicionador
de
sinal
estar
dentro
da
faixa
da
classificao
SIL
2
(isto
,
abaixo
do
limite
superior
da
faixa
SIL
2),
este
tipo
de
dispositivo
no
deve
consumir
mais
do
que
10%
da
faixa
da
classificao
SIL
2
para
que
seu
uso
seja
adequado
em
uma
Funo
de
Segurana
que
precisa
atingir
SIL
2.
Em
outras
palavras,
sua
PFDavg
deve
ser
inferior
a
0,001,
(10%
de
0,010).
Eis
uma
outra
forma
de
se
interpretar
a
questo
(lembrando
que
aqui
so
considerados
valores
em
ordem
de
magnitude):
considere
que
um
dispositivo
com
PFDavg
de
0,0005
(5,0E-4)
usa
at
5%
da
faixa
de
classificao
SIL
2
(5%
de
0,0100
=
0,0005).
tecnicamente
preciso
declarar
que
este
mesmo
dispositivo
usa
at
50%
da
faixa
de
classificao
SIL
3
(50%
de
0,0010
=
0,0005).
Enquanto
a
segunda
declarao
pode
ser
razovel
quando
nos
referimos
a
uma
vlvula,
ela
pode
ser
completamente
errnea
quando
nos
referimos
a
um
condicionador
de
sinal.
Isto
,
considere
o
limite
de
PFDavg
de
0,01
para
uma
SIF
SIL
2
como
voc
considera
a
verba
de
R$30.000
para
a
mesma
SIF.
Para
a
vlvula,
pode-se
muito
bem
gastar
R$15.000
(50%
da
verba)
e
0,005
PFDavg
(50%
do
limite
SIL
2).
Mas
para
um
condicionador
de
sinal
ningum
nunca
gastaria
50%
da
verba,
nem
to
pouco
gastaria
50%
do
limite
do
PFDavg
da
SIF
SIL
2.
Usando
este
dispositivo
numa
arquitetura
com
HFT=1,
como
na
votao
1oo2,
o
dispositivo
pode
satisfazer
as
restries
de
arquitetura
e
baixar
suficientemente
o
PFDavg,
dependendo
da
frao
de
falha
atribuda
a
causa
comum
(Common
Cause
).