3

Fatores Importantes na Avaliao de um dispositivo Certificado SIL

(A B C to importante quanto 1 2 3 )
Monica L. Hochleitner, CFSE Engenheira de Segurana exida.com, LLC Rio de Janeiro, RJ, Brazil

William A. Schwartz Gerente de Marketing Brasil exida.com, LLC Sellersville, PA, USA

Hoje existe uma crescente tendncia que os usurios finais optem por fabricantes que tenham equipamentos certificados conforme a norma IEC 61508 (SIL Safety Integrity Level). Esta uma excelente tendncia por diversos motivos. O primeiro porque para se obter a certificao, os fabricantes necessariamente devem fornecer as taxas de falha e modos de falha do produto. Essas informaes so normalmente obtidas a partir de um relatrio conhecido como anlise dos modos de falha, efeitos e diagnsticos (Failure Modes Effects and Diagnostic Analysis - FMEDA). Entre outras coisas, o relatrio FMEDA detalha as restries de arquitetura (Architectural Constraints) e o DU (taxa de falha perigosa no detectada). A partir dos parmetros de manuteno, tais como intervalos de testes, cobertura dos testes peridicos e tempo de reparo, possvel determinar a probabilidade mdia de falha do dispositivo na demanda (PFDavg), isto , quando a situao perigosa est presente e a Funo de Segurana precisa executar sua proteo. Tanto as restries de arquitetura quanto a PFDavg de um dispositivo, junto com a certificao conforme a IEC 61508, so crticas na avaliao se um dispositivo adequado para uso numa Funo de Segurana dado o SIL que se precisa atingir. E ambas caractersticas, junto com a certificao conforme a IEC 61508, devem preocupar os engenheiros envolvidos nos projetos e nas avaliaes de confiabilidade e segurana. As restries de arquitetura de um dispositivo determinam imediatamente qual nvel de redundncia (HFT Hardware Fault Tolerance) deve ser usado para se atingir o SIL correspondente reduo de risco necessria de uma Funo de Segurana. A interpretao da Probabilidade de Falha de um dispositivo mais complexa. Isso porque ela no determina o Nvel de Integridade de Segurana (SIL) do produto, mas sim a contribuio do dispositivo na PFDavg da Funo de Segurana. Por isso, a PFDavg de um dispositivo deve ser considerada junto com a PFDavg de outros dispositivos que sero usados para se determinar o SIL da Funo de Segurana (SIF). Este artigo trata dessas duas caractersticas separadamente, mas antes ele define um conceito mais bsico quanto ao que se entende por SIL 3. Tornou-se comum e conveniente o uso do termo instrumento SIL 1, instrumento SIL 2 ou instrumento SIL 3. Infelizmente esta simplificao pode ser muito perigosa e equivocada. De fato, no existe tal coisa como instrumento SIL 1, instrumento SIL 2 ou instrumento SIL 3. A nica coisa que realmente pode ser classificado como SIL 1 ou SIL 2 ou SIL 3 a Funo de Segurana. por isso que dispositivos certificados recebem em seus certificados o crdito de capaz de atingir a SIL 1 ou capaz de atingir SIL 2 ou capaz de atingir SIL 3. Essa distino faz toda a diferena e essa diferena fica muito clara aps a leitura dos prximos pargrafos.

Restries da Arquitetura (Architectural Constraints). As restries da arquitetura de um dispositivo dependem do tipo do dispositivo (Tipo A ou Tipo B) e da sua Frao de Falha Segura (SFF - Safe Failure Fraction). Um dispositivo Tipo A um subsistema no complexo que utiliza elementos discretos. Um dispositivo Tipo B um subsistema complexo que usa micro processadores ou lgica programvel. Para maiores detalhes, veja o item 7.4.3.1.3 da norma IEC 61508-2.

Tabela 1 restries de arquitetura para um Tabela 2 restries de arquitetura para um dispositivo Tipo A: dispositivo Tipo B:
(*)

Tolerncia a falha igual a zero significa que uma simples falha perigosa no subsistema pode causar a falha perigosa no sistema inteiro. Tolerncia a falha igual a 1 significa que o subsistema consegue tolerar uma simples falha sem falhar perigosamente. Este tipo de situao normalmente conseguida utilizando-se uma arquitetura redundante do subsistema como na votao 1oo2 (um de dois). Por ultimo, a tolerncia a falha igual a 2 significa que um subsistema pode tolerar duas falhas sem falhar perigosamente. possvel conseguir esse tipo de configurao utilizando-se um subsistema triplo redundante, como em uma arquitetura 1oo3 (um de trs).

Como citado acima, a restrio de arquitetura de um dispositivo est associada a sua Frao de Falha Segura (SFF) , que por sua vez calculada a partir dos dados publicados no FMEDA. tambm funo do tipo de dispositivo: Tipo A ou Tipo B. Pela Tabela 1 vemos que um dispositivo Tipo A com SFF entre 60% e 90% pode ser usado em uma Funo de Segurana SIL 2 sem necessidade de redundncia. Esse mesmo dispositivo adequado para uso em uma Funo de Segurana SIL 3 quando usado em arquitetura redundante do tipo 1oo2. Mas referir-se a este dispositivo que tem o SFF entre 60% e 90% como um dispositivo SIL 3 errneo. Se este dispositivo tivesse certificao de acordo com a norma IEC 61508, ento seu certificado deveria trazer a seguinte descrio: capaz de atingir SIL 2 @ HFT=0 e capaz de atingir SIL 3 @ HFT=1. Como os certificados normalmente so emitidos em Ingls, a indicao no corpo do certificado deve aparecer assim: SIL 2 Capable @ HFT = 0.and SIL 3 Capable @ HFT = 1.

Beta e a Probabilidade de Falha na Demanda.

Primeiro vale repetir que a nica coisa que realmente pode ser classificada como SIL 1, SIL 2 ou SIL 3 uma Funo de Segurana, (SIF). Em modo de operao de baixa demanda:

Para uma SIF ser classificada como SIL 1, sua PFDavg deve ser entre 0,0100 e 0,1000. Para uma SIF ser classificada como SIL 2, sua PFDavg deve ser entre 0,0010 e 0,0100. Para uma SIF ser classificada como SIL 3, sua PFDavg deve ser entre 0,0001 e 0,0010.

Embora existam excees, em aplicaes da indstria de processo as maiores contribuies na PFDavg de uma Funo de Segurana tipicamente so atribudas ao elemento final, a vlvula operada remotamente. Depois disso, as maiores contribuies so tipicamente os sensores e/ou as unidades de processamento da lgica. Em muito menores escalas de contribuio aparecem as barreiras, condicionadores de sinal, repetidores, etc. Por exemplo, se a PFDavg de uma vlvula 0,005, ela vai contribuir com quase 50% da faixa ou limite superior da classificao SIL 2 (0,005/0,010 = 50%). No entanto, como esperada que a contribuio da vlvula na probabilidade de falha perigosa da Funo de Segurana seja alta, esta vlvula pode muito bem ser uma candidata na utilizao em uma Funo de Segurana que precisa atingir SIL 2. Por outro lado, se um condicionador de sinal tivesse a mesma PFDavg, seria pouco provvel (e menos ainda adequado) seu uso em uma Funo de Segurana que precisa atingir SIL 2. Nesta condio, apesar do PFDavg do condicionador de sinal estar dentro da faixa da classificao SIL 2 (isto , abaixo do limite superior da faixa SIL 2), este tipo de dispositivo no deve consumir mais do que 10% da faixa da classificao SIL 2 para que seu uso seja adequado em uma Funo de Segurana que precisa atingir SIL 2. Em outras palavras, sua PFDavg deve ser inferior a 0,001, (10% de 0,010). Eis uma outra forma de se interpretar a questo (lembrando que aqui so considerados valores em ordem de magnitude): considere que um dispositivo com PFDavg de 0,0005 (5,0E-4) usa at 5% da faixa de classificao SIL 2 (5% de 0,0100 = 0,0005). tecnicamente preciso declarar que este mesmo dispositivo usa at 50% da faixa de classificao SIL 3 (50% de 0,0010 = 0,0005). Enquanto a segunda declarao pode ser razovel quando nos referimos a uma vlvula, ela pode ser completamente errnea quando nos referimos a um condicionador de sinal. Isto , considere o limite de PFDavg de 0,01 para uma SIF SIL 2 como voc considera a verba de R$30.000 para a mesma SIF. Para a vlvula, pode-se muito bem gastar R$15.000 (50% da verba) e 0,005 PFDavg (50% do limite SIL 2). Mas para um condicionador de sinal ningum nunca gastaria 50% da verba, nem to pouco gastaria 50% do limite do PFDavg da SIF SIL 2. Usando este dispositivo numa arquitetura com HFT=1, como na votao 1oo2, o dispositivo pode satisfazer as restries de arquitetura e baixar suficientemente o PFDavg, dependendo da frao de falha atribuda a causa comum (Common Cause ).

Certificao Segundo a norma IEC 61508

claro que a confiabilidade de um dispositivo fabricado hoje no pode garantir a confiabilidade desse mesmo dispositivo no futuro. por isso que a considerao final do engenheiro de Segurana se o dispositivo seja certificado segundo a norma IEC 61508. Os processos de projeto e manufatura do fabricante devem atender aos requisitos especficos da norma IEC 61508, baseados no nvel de SIL atendido. Conclui-se ento que, para determinar se um dispositivo adequado para uso em uma Funo de Segurana, existem 3 aspectos crticos a se considerar: 1. As Restries de Arquitetura e a faixa de falhas perigosas no detectadas (DU) do dispositivo. 2. A contribuio real e esperada do dispositivo ao PFDavg da Funo de Segurana. 3. Os processos de projeto e manufatura do fabricante O dispositivo CERTIFICADO? importante saber se o dispositivo seja capaz de atingir SIL 1 ou SIL 2 ou SIL 3... Tambm importa entender as Restries da Arquitetura, a Beta e a PFDavg, e a Certificao