INSTITUTO SENAI DE EDUCAO SUPERIOR

KLEBERSON MEIRELES DE LIMA

DETERMINAO DO SIL EM MALHAS DE SEGURANA DE UMA TURBINA A GS

Rio de Janeiro 2010

KLEBERSON MEIRELES DE LIMA

DETERMINAO DO SIL EM MALHAS DE SEGURANA DE UMA TURBINA A GS

Monografia apresentada presencialmente, como requisito parcial para a concluso do curso de Especialista em Automao Industrial para Sistemas de Produo, Refino e Transporte de Petrleo. Orientador: Oscar Felizzola Souza

Rio de Janeiro 2010

 2010. Kleberson Meireles de Lima Qualquer parte dessa obra poder ser reproduzida, desde que citada a fonte.

Presidente da FIRJAN Eduardo Eugnio Gouva Vieira Superintendente Diretor Regional SESI-SENAI Maria Lcia Telles Diretora de Educao Andra Marinho de Souza Franco Gerente de Educao Profissional Luis Roberto Arruda Gerente do Instituto SENAI de Educao Superior Carlos Bernardo Ribeiro Schlaepfer Coordenador de Ps-Graduao rea de Petrleo Caetano Moraes

Ficha Catalogrfica elaborada sob orientao da Biblioteca do Instituto SENAI de Educao Superior. LIMA, Kleberson Meireles de Determinao do SIL em malhas de segurana de uma turbina a gs. Rio de Janeiro: FIRJAN/SENAI-Instituto SENAI de Educao Superior, 2010. 85 p. Orientador: Oscar Felizzola Souza. Inclui Bibliografia TURBINAS A GS; AUTOMAO INDUSTRIAL; SEGURANA DE MQUINAS; SISTEMAS INSTRUMENTADOS DE SEGURANA; SIL ................................................................................................... .........

KLEBERSON MEIRELES DE LIMA

DETERMINAO DO SIL EM MALHAS DE SEGURANA DE UMA TURBINA A GS

Monografia apresentada presencialmente, e aprovada como requisito parcial para a concluso do curso de Especialista em Automao Industrial de Sistemas de Produo, Refino e Transporte de Petrleo.

Aprovada em: 10/02/2011.

BANCA EXAMINADORA

Prof. Oscar Felizzola Souza, M.Sc. Instituto SENAI de Educao Superior

Prof. Caetano Moraes, Ph.D. Instituto SENAI de Educao Superior

Prof. Jos Manuel Gonzalez Tubio Perez, M.Sc. Instituto SENAI de Educao Superior

IV

RESUMO

As turbinas a gs so aplicadas em diversos setores da nossa indstria e meios de transporte. Mesmo sendo inicialmente desenvolvidas para a propulso de aeronaves, tornaram-se bastante utilizadas em reas como: propulso naval, trens de ata velocidade, gerao de energia etc. Principalmente, por possurem uma boa relao entre peso e potncia, bem como, uma elevada confiabilidade. Confiabilidade essa que atingida atravs de modernos sistemas de controle automtico e segurana em conjunto com as mais modernas tcnicas de projeto mecnico e de materiais. Isso implica na necessidade da sntese de Sistemas Instrumentados de Segurana, sendo que para projet-los necessrio determinar o nvel de desempenho adequado, fator medido pelo Nvel de Integridade de Segurana (SIL). Este trabalho tem como objetivo apresentar tcnicas qualitativas e quantitativas para determinao do SIL e aplic-las para o caso de uma turbina a gs utilizada em sistemas de propulso de navios.

Palavras-chave: Turbinas a Gs; Automao Industrial; Segurana de Mquinas; Sistemas Instrumentados de Segurana; SIL.

LISTA DE ILUSTRAES

Figura 1 Turbina a gs simples (a) Ciclo aberto (b) Ciclo fechado........ 13 Figura 2 Ciclo Brayton padro a ar.................................................. 14 Figura 3 Digramas do ciclo Brayton Ideal......................................... 14 Figura 4 Turbina com compressor radial.......................................... 15 Figura 5 Turbina com compressor axial............................................ 15 Figura 6 Tpica operao de um combustor....................................... 16 Figura 7 Ps de uma turbina radial.................................................. 17 Figura 8 Esquema de uma turbina axial........................................... 18 Figura 9 Idealizao da operao dos sistemas de proteo e de controle......................................................................................... 23 Figura 10 Modelo representando o comportamento das camadas de proteo......................................................................................... 24 Figura 11 Diagrama da cebola........................................................ 25 Figura 12 Reduo de risco com mltiplas camadas de proteo......... 27 Figura 13 Resumo de documentao que pode ser includo nas SRS.... 30 Figura 14 Diagrama de causa e efeito.............................................. 31 Figura 15 Determinao do risco existente....................................... 37 Figura 16 Corte da turbina GE LM2500............................................. 43 Figura 17 Exemplo de controlador da turbina a gs LM2500................ 44 Figura 18 Esquema simplificado do sistema de combustvel................ 46 Figura 19 Limite de temperatura durante a partida............................ 47 Figura 20 Curva utilizada na deteco de stall................................... 49 Figura 21 Exemplo de um grfico de risco........................................ 52 Figura 22 Questionrio para segurana pessoal.............................. 55 Figura 23 Grfico de Risco para segurana pessoal......................... 56 Figura 24 Questionrio de Perda de Produo e Danos ao Equipamento................................................................................. 58 Figura 25 Grfico de risco para Perda de Produo e Danos ao

VI

Equipamento................................................................................. 59 Figura 26 Questionrio relacionado segurana do meio ambiente...... 60 Figura 27 Grfico de risco para o meio-ambiente.............................. 60

VII

LISTA DE TABELAS

Tabela 1 SIL e desempenho requerido para sistemas de modo de demanda........................................................................................ 38 Tabela 2 SIL e taxas de falhas de sistemas de modo contnuo............. 38 Tabela 3 Exemplo de riscos tolerveis praticados por empresas de classe mundial................................................................................ 39 Tabela 4 Exemplo de frequncia de eventos iniciadores...................... 40 Tabela 5 Lgica de proteo do fornecimento de leo lubrificante........ 45 Tabela 6 Freqncia de Demanda................................................... 54 Tabela 7 Equivalncia entre classe e SIL.......................................... 61 Tabela 8 Resultados obtidos para malhas de uma turbina a gs.......... 63 Tabela 9 Resumo da anlise para Sistema de Lubrificao.................. 65 Tabela 10 Resumo da anlise para Temperatura de entrada na TP....... 65 Tabela 11 Resumo da anlise para Rotao do Gerador de Gs........... 66 Tabela 12 Resumo da anlise para Rotao do Gerador de Gs........... 67 Tabela 13 Resumo da anlise para a Vibrao da Turbina................... 68 Tabela 14 Comparao dos resultados N-2595 x LOPA....................... 72

VIII

SUMRIO

1. Introduo.............................................................................. 10 1.1 Modelo de uma Planta de Gerao de Potncia........................... 12 1.2 Principais Equipamentos Utilizados nas Turbinas a Gs................ 15 1.3 Consideraes Finais............................................................... 18 2. Sistemas Instrumentados de Segurana e Determinao do Nvel de Integridade de Segurana (SIL)..................................................... 19 2.1 O que so Sistemas Instrumentados de Segurana?.................... 19 2.2 Diferenas entre Controle de Processo e Controle de Segurana.................................................................................. 21 2.3 As Camadas de Proteo......................................................... 23 2.4 Especificaes de Segurana.................................................... 28 2.5 Nvel de Integridade de Segurana........................................... 32 2.6 Conceitos Comuns na Anlise de Riscos..................................... 34 2.7 Tcnicas de Determinao do SIL............................................. 36 2.8 Consideraes Finais............................................................... 41 3. Determinao do SIL para turbina GE LM2500............................. 42 3.1 Funes de Segurana e Proteo da Turbina GE LM2500............ 45 3.1.1 Presso do leo Lubrificante................................................. 45 3.1.2 Temperatura do Gs de Entrada na Turbina de Potncia............47 3.1.3 Velocidade do Gerador de Gs............................................... 48 3.1.4 Proteo Contra Stall do Gerador de Gs................................ 48 3.1.5 Controle de Vibrao............................................................ 50 3.2 Determinao do SIL para as Funes de Segurana Comentadas................................................................................ 51 3.2.1 Determinao pelo Mtodo do Grfico de Risco, segundo N-2595.......................................................................................52 3.2.2 Determinao pelo mtodo LOPA........................................... 63 4. Anlise dos resultados e concluses sobre a tcnica qualitativa e quantitativa................................................................................ 69 4.1 Anlise Qualitativa.................................................................. 69

IX

4.2 Anlise Qualitativa.................................................................. 70 4.3 Resultados Qualitativos x Quantitativos..................................... 71 4.4 Consideraes Finais.............................................................. 72 Referncias Bibliogrficas............................................................. 74 Anexo........................................................................................76

10

1. Introduo

As turbinas a gs so turbomquinas que pertencem ao grupo de motores de combusto e cuja faixa de operao vai desde pequenas potncias na ordem de100 KW at 180 MW, chegando a 350 MW no caso de nucleares, desta forma, elas concorrem tanto com os motores alternativos de combusto interna (DIESEL e OTTO) como com as instalaes a vapor de pequena potncia. Suas principais vantagens so o pequeno peso e volume (espao) que ocupam. Sendo mquinas rotativas as turbinas a gs apresentam uma vantagem bastante grande quando comparadas aos motores

alternativos uma vez que nelas h ausncia de movimentos alternativos e de atrito entre superfcies slidas (pisto/camisa do cilindro). Isto significa a quase inexistncia de problemas de balanceamento e, ao mesmo tempo, um baixo consumo de leo lubrificante, uma vez que o mesmo no entra em contato direto com partes quentes e nem com os produtos de combusto. Disso decorre outra vantagem: a elevada confiabilidade que apresentam. Alm disso, quando comparadas s instalaes a vapor, as turbinas a gs praticamente no necessitam de fluido refrigerante o que facilita muito sua instalao. Outro aspecto bastante favorvel das turbinas a gs a baixa inrcia trmica que lhes permite atingir sua carga plena em um espao de tempo bastante reduzido. No caso de estar pr-aquecida, por exemplo, o tempo entre carga nula e carga plena varia de 2 a 10 segundos. Este

11

aspecto faz com que as turbinas a gs sejam particularmente indicadas para sistema de gerao de energia eltrica de ponta, onde o processo de partida e necessidade da plena carga no menor tempo possvel de suma importncia, bem como, em aplicaes onde a confiabilidade elevada requerida, como por exemplo, as turbinas a gs tem dominado o mercado de propulso de navios de guerra (WOODYARD, 2009). As turbinas a gs possuem campo de aplicao o mais variado possvel e o mais amplo dentre os diversos tipos de motores. Inicialmente elas foram desenvolvidas objetivando fornecimento de trabalho mecnico. Entretanto, o desenvolvimento efetivo s ocorreu em virtude de sua aplicao na aeronutica como elemento propulsor (reator). Enquanto fornecedores de trabalho mecnico as turbinas a gs tem sido utilizadas, de maneira geral, como elemento propulsor para navios; avies (hlice); no setor automotivo, ferrovirio e, principalmente, como acionador de estaes booster de bombeamento (oleodutos e gasodutos) assim como tambm na gerao de eletricidade, principalmente, nas centrais de ponta e sistemas Stand-by e em locais onde peso e volume so levados em conta como o caso das Plataformas Off-shore de extrao de petrleo. Tambm so usadas em locais remotos e de difcil acesso e instalao, pois a sua alta confiabilidade aliada simplicidade de operao permitem inclusive que elas sejam operadas distncia. Como desvantagens das turbinas a gs tm-se o baixo rendimento e a alta rotao, fatores bastante desfavorveis no caso de aplicao industrial (MARTINELLI, 2002).

12

1.1 Modelo de uma Planta de Gerao de Potncia

As plantas de gerao de potncia que utilizam turbina a gs podem operar segundo um ciclo aberto ou fechado (SHAPIRO, 2006). O aberto, exibido na figura 1a, o mais comum. O ar admitido e direcionado ao compressor, onde ter sua presso elevada. Aps isso, entra na cmara de combusto, onde misturado com combustvel e queimado, resultando nos produtos ou gases da combusto que possuem elevada temperatura. Na turbina, esses gases iro se expandir e logo, em seguida, sero liberados para a atmosfera. Parte da potncia gerada pela turbina utilizada para o acionamento do compressor e a potncia restante disponibilizada para gerao de eletricidade, para mover um veculo (navio, helicptero, avio etc) ou para outro propsito. No sistema da figura 1b, o fluido de trabalho recebe energia de uma fonte externa, por exemplo, um reator nuclear. O gs que sai da turbina passa por um trocador de calor, onde resfriado para que possa entrar novamente no compressor.

13

Fig. 1 Turbina a gs simples (a) Ciclo aberto (b) Ciclo fechado.

Com a anlise padro a ar, impede-se lidar com as complexidades do processo de combusto e a mudana de composio durante a combusto (SHAPIRO, 2006). O modelo do ciclo Brayton ideal padro a ar simplifica o estudo das plantas a turbinas a gs consideravelmente e para uma primeira anlise til para se avaliar o comportamento qualitativo de um sistema real. O ciclo Brayton ideal consiste de dois processos isobricos e dois processos isentrpicos (BOYCE, 2001). A figura 2 mostra o esquema do ciclo de brayton padro a ar idealizado, muito semelhante ao ciclo fechado exibido anteriormente, sendo que o reservatrio frio desta mquina trmica, representado em linhas pontilhadas, a prpria atmosfera e o fornecimento de energia considerado externo, da a simplificao do processo de combusto.

14

Fig. 2 Ciclo Brayton padro a ar.

Ignorando as irreversibilidades internas (perda de carga, variao da presso do ar, produo de entropia do processo de expanso etc), este ciclo pode ser representado pelos seguintes diagramas T-s e p-v, representados na figura a seguir.

Fig. 3 Digramas do ciclo Brayton Ideal.

Existem outras configuraes de turbinas a gs que utilizam outros equipamentos (regeneradores, resfriadores etc). Estas outras

configuraes visam aumentar o rendimento do ciclo, tendendo a aproxim-lo do rendimento do ciclo de Carnot (mximo rendimento

15

trmico), entretanto, estes outros arranjos fogem do escopo desta monografia.

1.2 Principais Equipamentos Utilizados nas Turbinas a Gs

Os principais equipamentos constituintes das turbinas a gs so: compressor, cmara de combusto e a turbina. Os compressores utilizados em turbinas a gs so os denominados turbocompressores e se apresentam em dois tipos: o radial ou centrfugo (Fig. 4) e o axial (Fig. 5), classificao realizada conforme a direo de sada do fluxo do fluido de trabalho.

Fig. 4 Turbina com compressor radial.

Fig. 5 Turbina com compressor axial.

16

Compressores radiais geralmente so usados para maiores taxas de compresso e menores vazo, quando comparados s aplicaes dos compressores axiais (BOYCE, 2001). Segundo BOYCE (2001), h turbinas que combinam o uso de compressores radiais em srie com axiais, dessa forma, combinando as caractersticas dos dois tipos de compressores. O calor de entrada para uma turbina a gs, que opera segundo um ciclo Brayton, fornecido pelo combustor ou cmara de combusto (BOYCE, 2001). Ele recebe ar do compressor e entrega gs com temperatura elevada turbina (idealmente sem perda de carga), ver figura 6. H vrios tipos de combustores, independente do tipo de projeto, todos eles possuem trs caractersticas: zona de recirculao

responsvel por atomizar o combustvel, zona de queima finaliza o processo de combusto e zona de diluio responsvel por misturar os gases da combusto com o ar utilizado para refrigerao e entregar tal mistura turbina.

Fig. 6 Tpica operao de um combustor.

17

O equipamento que recebe os gases da combusto e realizada a expanso deles, realizando trabalho, denominado turbina, que pode ser do tipo radial ou axial. A turbina de fluxo radial (figura 7) tem sido usada por muitos anos, ela oriunda das turbinas hidrulicas utilizadas para gerao de energia eltrica. Este tipo de turbina tem a grande vantagem operacional de em um nico estgio produzir o equivalente a dois ou trs estgios de uma axial (BOYCE, 2001). Por isso tem sido utilizada em turbinas de pequeno porte, como em helicpteros e sistemas de stand-by.

Fig. 7 Ps de uma turbina radial.

As turbinas de fluxo axial (figura 8) so as turbinas mais amplamente empregadas com um fluido de trabalho compressvel (BOYCE, 2001). Este tipo de turbina consegue desenvolver maiores potncias, exceto para turbinas de pequeno porte, e tambm mais eficiente na maioria das faixas de operao.

18

Fig. 8 Esquema de uma turbina axial.

1.3 Consideraes Finais

A turbina a gs tornou-se um equipamento de suma importncia para diversas reas como aeronutica, naval, gerao de energia, refrigerao dentre diversas reas, principalmente, por sua boa relao volume/potncia, mesmo possuindo menor rendimento trmico que outros tipos de planta. Devido a este destaque, a confiabilidade tornou-se um requisito fundamental na operao destas mquinas. Manter uma operao segura tanto para o equipamento, que de altssimo custo, quanto para pessoas e meio-ambiente mister. Para isso, surge a necessidade de

implementao de malhas de segurana, que iro constituir os Sistemas Instrumentados de Segurana (SIS), assunto a ser abordado no prximo captulo.

19

2. Sistemas Instrumentados de Segurana e Determinao do Nvel de Integridade de Segurana (SIL)

2.1 O que so Sistemas Instrumentados de Segurana?

Sistemas de Intertravamento e Segurana, Sistemas de Parada de Emergncia, Sistemas de Instrumentados so de Segurana, das Sistemas para

Instrumentados

Proteo

algumas

denominaes

sistemas desenvolvidos para manter a integridade dos equipamentos, do pessoal e do meio ambiente quando da ocorrncia de uma falha na qual haja perigo de acidentes para qualquer destas partes citadas. Segundo a Norma ISA-91 (2001) Identification of Emergency Shutdown Systems and Controls That Are Critical to Maintaining Safety in Process Industries os Sistemas de Parada de Emergncia possuem as seguintes caractersticas: Instrumentao e controle, ou equipamento especfico, voltados

para levar o processo a uma condio segura; No inclui instrumentao e controle de propsito diferente do

definido; Incluem todos os sistemas eltricos, eletrnicos, pneumticos,

hidrulicos, mecnicos etc. (inclusive os programveis); Eles atuam no impedimento que um evento perigoso ocorra.

J a segundo a Norma IEC-61508 (2003) Functional safety of electrical/ electronic/ programmable electronic safety-related systems os

20

Sistemas de Instrumentados de Segurana (SIS) so caracterizados da seguinte forma: SIS so sistemas relacionados segurana, com foco nas realizados por equipamentos eltricos, eletrnicos e

pessoas,

eletrnicos programveis; Ou seja, rels do estado slido e sistemas baseados em software.

Apesar da nfase da segurana a pessoas, h hoje uma tendncia com uma preocupao com o maquinrio da companhia (a proteo do ativo desta instituio) e tambm com o meio ambiente (responsabilidade ambiental e social). Portanto, este assunto, no de interesse apenas dos engenheiros de automao e controle, mas tambm de profissionais da rea de processo em indstrias de processamento, operadores de mquinas, aviao civil e militar, meio naval e todas as reas onde h vultosos investimentos na aquisio de equipamentos, bem como, onde h grande risco para pessoas e meio ambiente no caso de falhas e acidentes. Para projeto e sntese de tais sistemas, as principais referncias so normas internacionais como, por exemplo, a IEC-61508 (j citada anteriormente), a IEC-61511 Functional Safety: Safety Instrumented Systems for the Process Industry Sector, ISA-84 (IEC-61511 Modificada) e US MIL 882D Systems Safety Practice. Para a aplicao de todas elas preciso no somente entend-las, mas tambm, conhecer aplicao, visto que estas normas no so receitas de bolo, elas apenas

21

estabelecem requisitos a serem atingidos, mas no como chegar ao objetivo.

2.2 Diferenas entre Controle de Processo e Controle de Segurana

Segundo a ISA-91 (2001), h uma distino entre trs tipos de controle, sendo de maior interesse para o presente estudo, apenas os dois primeiros: Controle de processo bsico: equipamento instalado para

controle regulatrio (95% do que existe instalado nas plantas industriais); Sistemas de Parada de Emergncia: com o propsito de levar a

planta a um estado seguro (ou na partida ou em regime de operao); Controle Crtico de Segurana: para controlar falhas de operao

que possam levar a catstrofes. Os sistemas de controle de processos so de natureza dinmica, possuem entradas e sadas analgicas, realizam clculos matemticos, geralmente possuem realimentao e na ocorrncia de falhas, estas logo sero visveis e haver dvidas quanto ao funcionamento correto, devem ser flexveis o bastante para permitir alteraes, os parmetros so dos controladores podem ser modificados (ganhos do PID) e podem ser desviados atravs dos modos manual e automtico.

22

os

sistemas

utilizados

para

segurana

devem

possuir

caractersticas justamente contrrias s dos sistemas de controle de processos. Eles so considerados passivos (ou estticos), pois passam a maior parte do tempo inoperantes (GRUHN & CHEDDIE, 2006). H uma grande controvrsia se o controle pode ficar junto do intertravamento. confiveis e Hoje os componentes como de hardware so bastante Lgicos

redundantes,

CLPs

(Controladores

Controlveis) e SDCDs (Sistemas Digitais de Controle Distribudo). Contudo, todas as normas recomendam que o controle esteja separado do intertravamento (GRUHN & CHEDDIE, 2006). Segundo a ANSI/ISA84 (2004), por exemplo: sensores dos SIS devem ser separados dos sensores do controle bsico de processo, apenas duas excees so permitidas ou se h redundncia suficiente ou se a anlise de risco determinar que deva existir outra camada de proteo que fornea proteo suficiente, a norma ainda afirma que toda a lgica do controle deve estar separada da lgica do intertravamento. O funcionamento do sistema de controle e do sistema de segurana pode ser idealizado pela figura a seguir.

23

Fig. 9 Idealizao da operao dos sistemas de proteo e de controle.

Entretanto, a experincia mostra que nem sempre isso possvel, seja por inviabilidade definida pela engenharia econmica ou por questes tcnicas da natureza do funcionamento do equipamento, nestes casos o controle e a segurana esto interligados que no h como haver tal separao. Segundo GRUHN & CHEDDIE (2006), caso no seja possvel essa separao, o sistema de controle deve ser projetado como um sistema tolerante a falhas, um exemplo a ser citado o controle de turbinas a gs.

2.3 As Camadas de Proteo

Acidentes

raramente

acontecem

devido

uma

nica

falha.

Normalmente, os acidentes so uma combinao de eventos raros que as pessoas inicialmente atriburam independncia entre eles, os quais no poderiam acontecer ao mesmo tempo (GRUHN & CHEDDIE, 2006).

24

Acidentes acontecem quando mltiplas camadas falham. A figura a seguir tenta mostrar a inteno de camadas mltiplas. Se todas elas so efetivas e robustas a falha nunca ir se propagar, contudo, na realidade as camadas no so placas slidas, elas se parecem com um queijo suo. Os furos so causados por falhas no gerenciamento, manuteno, operao etc. Esses furos esto se movendo, aparecendo e desaparecendo o tempo todo. Quando um evento iniciador coincide com vrios desses furos, um evento perigoso acontece.

Fig. 10 Modelo representando o comportamento das camadas de proteo.

A prxima figura exibe o Diagrama da Cebola, ele mostra como so e quais so as camadas existentes. A principal informao dado por tal diagrama que no se deve colocar toda a proteo em uma nica camada, pois caso ela falhe, todo o sistema ir falhar.

25

Fig. 11 Diagrama da cebola.

As camadas de proteo so aquelas desenvolvidas para reduzir a probabilidade de um evento perigoso ocorrer. So elas: Planta ou processo o prprio projeto ou a natureza da planta ou

processo pode levar a uma menor probabilidade de ocorrncia de um evento perigoso, para isso, ainda no projeto bsico deve ser realizado um estudo chamado HAZOP (HAZard and OPerability studies). Desenvolvimentos deste tipo, normalmente, possuem custo inicial mais elevado, porm, as plantas tendem a ser mais simples, o que implicar na reduo de riscos; Controle alm de otimizar uso de combustveis, qualidade do

produto etc., tambm mantm valores de variveis, como: presso, velocidade, temperatura etc., em nveis seguros. Entretanto, em um evento perigoso o controle poder falhar, pois nos sistemas reais ocorre a saturao, ou seja, o atuador no consegue mais alterar o

26

valor da varivel manipulada devido as suas prprias limitaes de operao. Logo, apesar da automao, a interferncia humana ainda necessria; Sistemas de Alarme, Interferncia do operador os alarmes so

gerados quando o controle falha na manuteno dos valores das variveis dentro de uma faixa segura e so usados como base para que o operador possa interferir no processo. Vale lembrar que nem tudo pode ser automatizado, praticamente impossvel que os projetistas consigam prever tudo, logo, o operador importante para a tomada deciso. Entretanto, a confiabilidade do operador questionvel e ainda h a necessidade de outras camadas; Sistemas Instrumentados de Segurana ocorrendo falha das

camadas anteriores, sistemas automticos de parada de emergncia devem entrar em ao. So normalmente separados dos sistemas das camadas anteriores e devem ser responsveis por permitir ao processo caminhar de maneira segura quando as condies

especificadas permitirem, levar o processo automaticamente a um estado seguro no caso de violao das especificaes e tomar medidas para impedir as conseqncias de um perigo industrial; Proteo fsica so equipamentos, em geral, de natureza utilizados para impedir vazamentos de materiais

mecnica,

perigosos, os principais exemplos so as vlvulas de segurana e discos de ruptura.

27

As chamadas camadas de mitigao so aquelas implementadas para amenizar a severidade ou as conseqncias de um evento perigoso que j ocorreu. Podem conter ou neutralizar ou at mesmo dispersar o material liberado. So elas os sistemas de deteno (diques e tanques), neutralizadores e flares, Sistemas de F&G (Fire and gas) de halon ou CO2 e tambm os planos de evacuao de reas, tanto do pessoal da planta quanto da populao residente nas redondezas. O benefcio das mltiplas camadas pode ser visto na figura 11, ela bastante proveitosa para que se entenda o conceito de Anlise de Camadas de Proteo (LOPA Layer of Protection Analysis), assunto que ser abordado mais adiante nesta monografia. Imagine a freqncia de um evento perigoso que pode causar mltiplas fatalidades uma vez a cada ano. Ningum considera tolervel um risco de tal magnitude desejvel, tem-se um risco tolervel de 1/100.000 por ano. Com base nestas informaes (risco inerente ao processo e risco tolervel), iremos identificar a reduo de risco desejvel e poderemos determinar as camadas necessrias.

Fig. 12 Reduo de risco com mltiplas camadas de proteo.

28

2.4 Especificaes de Segurana

Uma

das

necessidades

para

um

Sistema

Instrumentado

de

Segurana identificar o Nvel de Integridade de Segurana (SIL, do ingls Safety Integrity Level) estabelecido para cada Funo

Instrumentada de Segurana, para isso preciso estabelecer nveis de segurana (SRS Safety Requirement Specification). A SRS lista as especificaes para todas as funes realizadas pelo sistema e consiste de duas partes principais: especificaes funcionais e especificaes de integridade, o prprio SIL. As especificaes funcionais descrevem a lgica do sistema, ou seja, o que cada sistema deve fazer, como, por exemplo: baixa presso no vaso A ir causar o fechamento da vlvula B. As especificaes de integridade descrevem a performance do sistema, como, por exemplo: a probabilidade que a vlvula B ir fechar quando ocorrer baixa presso no vaso B deve ser maior que 99%. Aps projeto conceitual do sistema e da anlise de riscos deve-se gerar documentao das especificaes de segurana do SIS, geralmente, o pessoal da engenharia de automao ou instrumentao, sendo ela simples o bastante para que qualquer um possa entender o que est sendo realizado, um resumo de tal resumo pode ser exemplificado na figura 13.

29

Um fator importante que as especificaes de segurana devem afirmar o que dever ser realizado e no necessariamente como (GRUHN & CHEDDIE, 2006). Isso permite maior liberdade ao projetista na escolha da melhor forma de atingir os objetivos e tambm permite o uso de novas tcnicas e conhecimentos, um bom exemplo seria uma tabela de causa e efeito, como pode ser observada na figura 14.

30

Fig. 13 Resumo de documentao que pode ser includo nas SRS.

31

Fig. 14 Diagrama de causa e efeito.

Segundo a ANSI/ISA84 (2004), h vrios itens que a documentao das especificaes de segurana deve atender, os quais podem ser observados no item 12.2. Como exemplo, pode-se citar: Descrio de todas as SIF necessrias para atingir determinada

funo de segurana; A definio do estado seguro para cada SIF; Tempos de teste para cada SIF; Tempos de resposta requeridos para cada SIF levar o processo a

um estado seguro; O SIL e o modo de operao (demanda/contnuo) de cada SIF; MTTR de cada SIF.

32

Segundo GRUHN & CHEDDIE (2006), todas as informaes devem estar num nico pacote e os quatro itens a seguir descrevem o que a documentao chave deve possuir: Descrio do processo P&Is; descrio da operao do

processo; descrio do controle (filosofia, tipo, alarmes etc.); normas reguladoras; confiabilidade, qualidade e dados ambientais; publicaes de manuteno e operao; Diagramas de causa e efeito; Diagramas lgicos mquinas de estado, SFCs (IEC-61131) ou

diagramas segundo a ISA-5.2.1976; Datasheets do processo dados de vazo, natureza do fluido,

presso etc.

2.5 Nvel de Integridade de Segurana

Os padres (ou normas) atuais para sistemas de segurana so baseados na performance no recomendam qual tecnologia, nvel de redundncia, intervalo de teste ou lgica que deve ser utilizada. Basicamente, eles afirmam que quanto maior o risco, melhor dever ser o sistema para control-lo. Segundo GRUHN & CHEDDIE (2006), h uma enorme gama de tcnicas para avaliao de risco e h tambm uma grande quantidade de formas para equacionar o risco para o desempenho requerido de um sistema de segurana, um dos termos usados para

33

descrever este desempenho o Nvel de Integridade de Segurana, normalmente chamado SIL. importante entender o verdadeiro significado do SIL. O Nvel de Integridade de Segurana, como j dito anteriormente, uma medida de desempenho requerida pelo sistema de segurana. O sistema consiste de um sensor, um executor da lgica (Controlador Lgico Programvel, rels eletromecnicos, rels do estado slido etc.) e um ou mais elementos finais (atuadores). Logo, no h sentido em falar que um determinado dispositivo de SIL3, por exemplo. O dispositivo pode ser adequado (certificado) para uso em malhas de at SIL3, contudo, caso ele seja usado em uma malha com apenas um dispositivo certificado para SIL1, toda a malha ser classificada como SIL1. Tambm importante frisar que o SIL no uma medida do risco do processo ou planta, seria incorreto dizer que h um processo SIL2. Segundo GRUHN & CHEDDIE (2006), h vrias tcnicas para determinao do SIL requerido por uma malha e no se pode afirmar que uma mais correta que a outra. Acontece que alguns mtodos podem ser mais ou menos conservadores. Pode-se dizer que h dois tipos de tcnicas: as qualitativas e as quantitativas. Infelizmente, o uso de tcnicas diferentes pode levar a resultados diferentes, apesar disso todos os mtodos so vlidos e seus respectivos resultados, apesar de diferentes, esto corretos. As tcnicas qualitativas, em geral, so de aplicao mais simples e rpida, contudo, a experincia tem mostrado que elas levam a resultados

34

mais conservadores (GRUHN & CHEDDIE, 2006), pois levam a um SIL mais alto e, conseqente, a um projeto mais caro, j que diferena entre os equipamentos certificados para nveis de segurana menores e maiores significativa. J as tcnicas quantitativas requerem uma maior esforo para o desenvolvimento e uso, entretanto, a experincia tem mostrado que conduz a nveis de segurana mais baixos, portanto, pelos fatores j citados anteriormente, estas dificuldades iniciais de aplicao dessas tcnicas pode ser vantajosa em relao ao custo do projeto. Em geral, se o uso de uma tcnica qualitativa indica um SIL requerido que no seja maior que SIL1, pode-se continuar com esta especificao. Entretanto, se so encontradas vrias malhas com nveis de segurana SIL2 ou SIL3, o uso de uma tcnica quantitativa deve ser considerado, como por exemplo: LOPA (Layer Of Protection Analysis). A reduo de custos obtida nestes casos ir justificar o uso de tal tcnica, de acordo com GRUHN & CHEDDIE (2006).

2.6 Conceitos Comuns na Anlise de Riscos

No importa qual a tcnica utilizada para anlise de riscos, alguns fatores sero comuns a para todas elas (GRUHN & CHEDDIE, 2006). Por exemplo, todos os mtodos envolvem a avaliao de dois componentes de risco, probabilidade e severidade, usualmente categorizados em diferentes nveis.

35

H diferentes eventos perigosos associados a cada unidade da planta ou processo e cada evento est associado a um risco. Peguemos como exemplo um vaso de presso no qual se mede presso, temperatura e vazo. A medio de presso provavelmente para detectar e prevenir uma possvel exploso, este evento teria seu correspondente nvel de risco (probabilidade e severidade). Uma vazo baixa resultaria na queima de uma bomba, que teria uma severidade e probabilidade totalmente diferente do evento citado anteriormente, logo, exigindo um SIL diferente. Uma temperatura acima do normal poderia acarretar em um produto fora de especificao, que poderia ter uma probabilidade e severidade totalmente diferente, acarretando em outro SIL. Isso quer dizer que no se pode determinar um SIL para todo um processo ou planta, deve-se determinar o SIL requerido para cada funo de segurana (SIF), ou seja, para cada malha de segurana. Os riscos esto presentes em todos os lugares, no importa se estamos numa rea fabril, em casa ou em um avio, sempre haver algum tipo de risco. Riscos so inerentes a qualquer atividade. O risco zero o objetivo de muitas organizaes, entretanto, por ser inatingvel, deve-se estabelecer qual o risco aceitvel ou tolervel para cada atividade. Quanto menor o risco aceitvel maior ser o custo da planta (GRUHN & CHEDDIE, 2006). O AIChE (American Institute of Chemical Engineers) define perigo como uma caracterstica fsica ou qumica com o potencial de causar danos a pessoas, ativos da companhia ou meio ambiente. A combinao

36

desses perigos com um evento no planejado pode ocasionar um acidente. O objetivo minimizar ou eliminar eventos perigosos ou acidentes. Risco normalmente definido como a combinao da severidade com a probabilidade de um evento perigoso. Em outras palavras, a freqncia que ele ocorre e quo mal ele quando ocorre, o que pode ser observado na figura 15. O risco pode ser avaliado tanto qualitativamente quanto quantitativamente. Alguns dos fatores de risco de que podem ser considerados: pessoal, parada de produo ou indisponibilidade, o custo do equipamento ou material, meio ambiente, a imagem da corporao e perda de capital devido a aes judiciais. A determinao do risco tolervel no somente uma questo tcnica, pois envolve fatores filosficos, morais e legais (GRUHN & CHEDDIE, 2006). Logo, pode ser bastante complicado de se determin-lo. Normalmente no h uma base de dados para que se possa fazer uma analise estatstica do problema. Entretanto, no se pode construir dez plantas qumicas e verificar quando elas explodem, por exemplo. A tcnica mais usual para se determinar o risco tolervel a da ALARP (As Low As Reasonably Practicable) tambm h proveitosos guias como o publicado por Edward Marzal, disponvel em www.exatida.com.

37

Fig. 15 Determinao do risco existente.

2.7 Tcnicas de Determinao do SIL

O SIL, como j dito anteriormente, a medida de desempenho do sistema de segurana, no uma medida direta do risco do processo. Os padres internacionais e guias tem utilizado quatro nveis de segurana para classificar o desempenho requerido pelas malhas de segurana. Entretanto, nos padres americanos a classificao s vai at o SIL3, segundo GRUHN & CHEDDIE (2006). Isso tambm est

relacionado com a dificuldade de se encontrar produtos que a atendam a este grau de desempenho, o SIL at 2006 s possui dois fornecedores de executor de lgica na Europa e s utilizado em aplicaes aeroespaciais e em alguns sistemas militares. A tabela 1 exibe os valores correspondentes ao SIL de probabilidade de falha na demanda, reduo de risco e segurana disponvel, para sistemas que trabalham em modo de

38

demanda. J a tabela 2, exibe os valores de SIL com os respectivos valores de taxas de falhas para sistemas que trabalham em modo contnuo.

Tabela 1: SIL e desempenho requerido para sistemas de modo de demanda.

Fonte: (GRUHN & CHEDDIE, 2006). Tabela 2: SIL e taxas de falhas de sistemas de modo contnuo.

Fonte: (GRUHN & CHEDDIE, 2006).

A tcnica da matriz de riscos encontrada em muitos padres. Muitas corporaes possuem um mtodo baseado nesta tcnica para determinao do SIL requerido, sendo grande parte deles similares ao encontrado na norma militar americana MIL STD 882 (GRUHN & CHEDDIE, 2006). J a tcnica LOPA (Layer of Protection Analysis) foi desenvolvida para suprir a necessidade por mtodos quantitativos ou tentar evitar questionamentos da repetibilidade dos resultados de mtodos qualitativos. Por exemplo, para um mesmo problema, grupos de anlise diferentes

39

poderiam levar a resultados diferentes, ento, surge o questionamento sobre qual dos resultados o correto e tambm sobre a qualidade destes resultados. O primeiro passo neste mtodo estabelecer o risco tolervel, tarefa j comentada anteriormente. A tabela a seguir mostra alguns valores para risco tolervel por ano que so utilizados por algumas indstrias de classe mundial, os nomes, porm, foram trocados por nomes fictcios.

Tabela 3 Exemplo de riscos tolerveis praticados por empresas de classe mundial

Fonte: (GRUHN & CHEDDIE, 2006).

O passo seguinte envolve determinar a frequncia ou probabilidade do evento iniciador ocorrer, o qual pode ser um evento externo (por exemplo, uma sobretemperatura) ou a falha de uma camada predecessora (por exemplo, a falha do sistema de controle por saturao). preciso determinar cada valor para todos os eventos em anlise. A tabela 4 exibe valores como um exemplo.

40

Tabela 4 Exemplo de frequncia de eventos iniciadores.

Fonte: (GRUHN & CHEDDIE, 2006).

O passo seguinte, ainda da tcnica LOPA, determinar o nvel de performance de cada camada. H algumas regras que podem ser consideradas uma camda independente de proteo (IPL, do ingls Independent Protection Layer), como por exemplo: Especificidade uma IPL projetada para impedir ou mitigar as

consequncias de um nico evento perigoso. Causas diveras podem levar a um mesmo evento perigoso, portanto, cenrios de mltiplos eventos podem iniciar a ao de uma IPL; Independncia uma IPL independente de uma outra camada

associada com o perigo identificado. A falha de uma no pode impedir a outra de executar a funo para a qual foi projetada; Dependabilidade os modos de falha sistemticos e aleatrios

devem ser levados em conta no desenvolvimento de uma IPL; Auditabilidade necessria para facilitar a comprovao da

eficcia e validao da permanente funcionabilidade da proteo. Testes e manuteno devem ser obrigatrios, bem como, a documentao destas atividades.

41

2.8 Consideraes Finais

Neste

captulo

alguns

conceitos

relacionados

aos

Sistemas

Instrumentados de Segurana foram apresentados e duas tcnicas para determinao do Nvel de Integridade de Segurana foram discutidas, sendo uma qualitativa e outra quantitativa. Esses conceitos mostram-se importantes para aplicao de SIS a equipamentos de alto custo (como o caso de uma turbina a gs) e equipamentos que possuem certo risco s pessoas ao redor como ao meio ambiente. A turbina a gs LM2500 da General Electric uma destas mquinas citadas, equipamento responsvel pela propulso de navios,

principalmente, de embarcaes de aplicao militar em regime de fuga. Portanto, o projeto de sistemas que a protejam de suma importncia. No captulo a seguir conhecer-se- um pouco mais sobre estas turbinas e suas protees.

42

3. Determinao do SIL para turbina GE LM2500

A General Electric (GE) produziu sua primeira turbina a gs aeroderivada, a LM100, em 1959 e no mesmo ano a LM1500, derivadas da bem sucedida turbina para aviao J79. As primeiras aplicaes foram principalmente em propulso de embarcaes, acionamento de bombas e compressores em plantas off-shore e gerao de energia. Com o sucesso de tais aplicaes, chega em 1969 ao mercado a primeira verso da LM2500 que poderia gerar uma potncia em torno de 15 MW. Segundo WOODYARD (2009), a Valiosa experincia de turbinas a gs da srie LM em aplicaes de propulso naval variando de embarcaes de patrulha a porta-avies foi aproveitado pela GE Marine, tornado-a uma das lderes de mercado. Atualmente a turbina LM2500 possui potncia instalada em torno de 25MW e com rendimento trmico de 37,1%, de acordo com WOODYARD (2009). Derivada da turbina turbofan GE TF39 para propulso de avies militares e comerciais, a LM2500 marine uma turbina a gs que opera segundo o ciclo convencional (Ciclo Brayton aberto), possui dois eixos, sendo um para o conjunto gerador de gs e compressor e outro para a turbina de potncia livre e a respectiva carga. Possui tambm, anexada a ela, o sistema de bombas de leo lubrificante e combustvel e um sistema de controle e governador de velocidade. Os seus quatro principais elementos pode ser visto na figura 16, sendo eles:

43

Um compressor de 16 estgios, com uma relao de compresso

de 18:1; Cmara de combusto anular; Dois estgios na turbina de alta presso, o que aciona no

compressor; Seis estgios na turbina de baixa presso, acoplados

aerodinamicamente ao gerador de gs.

Fig. 16 Corte da turbina GE LM2500.

Como citado anteriormente, as turbinas a gs constituem uma das poucas excees, pois o controle no est implementado separadamente do intertravamento de segurana do equipamento. No caso da turbina a gs instalada na Corveta Barroso da Marinha do Brasil, o controlador, ver figura 17, utilizado o Woodward Atlas PC, que incorpora o poder da tecnologia PC em um sistema de controle robusto e determinstico, totalmente programvel para as mais diversas aplicaes de controle e intertravamento da turbina. O sistema inclui um processador pentium e uma estrutura de barramentos PC/104+, como base para os requisitos de

44

I/O. Alm disso, pode-se fazer uso de I/O distribudos que podem ser integrados a partir de comunicao serial ou de uma rede Ethernet.

Fig. 17 Exemplo de controlador da turbina a gs LM2500.

Como j se sabe, quando excedidos os limites de operao, o controlador poder comandar o desligamento da turbina e impedindo que as vlvulas de combustvel sejam abertas at a parada total do gerador de gs e posterior rearme do sistema. O controle tambm prev alarmes anteriores aos limites de operao para que a turbina seja desacelerada automaticamente ou para que seja tomada uma ao pelo operador. No tpico seguinte, sero descritos algumas das malhas de segurana da turbina a gs GE LM2500, que sero alvo do presente estudo.

45

3.1 Funes de Segurana e Proteo da Turbina GE LM2500

3.1.1 Presso do leo Lubrificante

A presso do leo lubrificante opera normalmente entre 25 e 60 psi para velocidades do gerador de gs (NGG) maiores que 8000 rpm. Caso, a esta velocidade, a presso caia abaixo de 25 psi, um alarme gerado, o que requer a ao imediata do operador. Caso a presso continue caindo e atinja nveis menores que 15 psi, a mquina ser desligada em emergncia (trip). Para velocidades entre, 4500 e 8000 rpm, presses abaixo de 8 psi resultaro em alarme e quedas abaixo de 6 psi acarretaro em desligamento imediato do equipamento, ou seja,

fechamento das vlvulas de combustvel, sendo esta condio ignorada na partida da turbina at que a rotao de 4500 rpm seja atingida, condio suficiente para que a bomba desenvolva a presso adequada ao fornecimento de leo lubrificante. Esta lgica pode ser resumida atravs da tabela 5.

Tabela 5 Lgica de proteo do fornecimento de leo lubrificante.

Fonte: (GENERAL ELECTRIC, 2004).

46

A figura a seguir mostra um esquema simplificado do sistema de combustvel da turbina LM2500. Um transmissor de presso antes da vlvula externa (que se encontra fora do invlucro da turbina) indica a presso de fornecimento de combustvel, varivel a qual utilizada pela lgica de intertravamento de partida, j as vlvulas FSOV1 e FSOV2 so utilizadas para corte de combustvel no caso de algumas das condies descritas quando ocorre um trip. Sendo este sistema responsvel pelas paradas de emergncia desta mquina.

Fig. 18 Esquema simplificado do sistema de combustvel.

47

3.1.2 Temperatura do Gs de Entrada na Turbina de Potncia

Temperaturas do gs de entrada na turbina de potncia livre maiores que 1643F (equivalente a 895C) acionam um alarme que requer ao imediata do operador. Temperaturas maiores que 1668F (equivalente equipamento. No momento de partida da mquina, tambm h um limitador PID, durante os primeiros 80 s que seguem a ignio, caso a temperatura exceda os limites descritos pela curva exibida, figura 19, a partida abortada. a 909C) provocam o desligamento imediato do

Fig. 19 Limite de temperatura durante a partida.

48

3.1.3 Velocidade do Gerador de Gs

Caso a velocidade do gerador de gs exceda 9850 rpm, acionado um para ao imediata do operador. Se a velocidade atingir a 9950 rpm, a mquina desligada imediatamente. Isto tambm ocorre caso ocorra a perda do sinal do sensor de velocidade, deve-se lembrar que a turbina equipada com apenas um pick-up magntico no gerador de gs, a falha considerada caso haja alguma leitura fora da faixa de 250 a 12000 rpm, sendo esta proteo ignorada na partida.

3.1.4 Proteo Contra Stall do Gerador de Gs

considerada condio de stall da turbina quando so excedidas simultaneamente a taxa de variao da presso de descarga e a quantidade dessa variao de acordo com a curva exibida na figura 20.

49

Fig. 20 Curva utilizada na deteco de stall.

50

O stall detectado quando a taxa de variao de presso (dPS3/dt) excede os limites definidos por A e a presso instantnea PS3 excede os limites definidos por B, tendo como base a presso inicial PS3. Caso a um stall seja detectado com velocidade menor que 7500 rpm, a turbina desacelerada para ralanti (modo de operao com velocidade mnima e sem carga) e mantida esta velocidade at que o operador o rearme e aumente a velocidade da turbina novamente. Caso tal fenmeno ocorra a velocidade maiores que 7500 rpm, comandada a parada normal da turbina. Esta a nica parada da que no realiza o corte repentino de combustvel, ou seja, a nica parada automtica que realiza os passos de uma parada normal, como o resfriamento em ralanti. Caso o stall ocorra quando a turbina estiver em ralanti, provocada a parada automtica da turbina.

3.1.5 Controle de Vibrao

O controle da vibrao de suma importncia para manuteno da integridade fsica da turbina a gs, no apenas para se evitar que suas freqncias de ressonncia sejam atingidas, mas tambm, para que sejam detectadas anomalias em seus conjuntos mecnicos. Na turbina LM2500 est instalado o sistema de monitoramento de vibraes Bently 3500, ele responsvel pelo monitoramento nos eixos x e y, pela vibrao gerada pela turbina de potncia no gerador de gs e pela vibrao gerada pelo gerador de gs gerado na turbina de potncia.

51

Tal sistema recebe sinais de quatro transdutores de vibrao e repassa ao controlador as informaes, podendo ser gerados alarmes ou o

desligamento da mquina. Nveis de vibrao da turbina de potncia e do gerador de gs acima de 7mil (sabe-se que 1mil equivale a 25,4 micrometros) so considerados altos e acima de 10mil so considerados perigosos, filtrados na faixa de 3 a 5 Hz . Para os movimentos nas direes x e y, os valores considerados so como limiar para alarme e trip so, respectivamente, 4mil e 7mil, filtrados na faixa de freqncia de 75 a 200 Hz. Estes valores so enviados ao controlador da turbina que efetua a parada de emergncia.

3.2

Determinao

do

SIL

para

as

Funes

de

Segurana

Comentadas

Uma vez que algumas malhas de segurana que normalmente so utilizadas pelas turbinas a gs j so conhecidas, pode-se realizar a especificao do Nvel de Integridade de Segurana (SIL) para elas. O objetivo que o SIL seja determinar por uma tcnica qualitativa, Grfico de Riscos, e uma quantitativa, LOPA.

52

3.2.1 Determinao pelo Mtodo do Grfico de Risco, segundo N-2595

O mtodo do Grfico de Risco foi desenvolvido por alemes e suecos, de forma diferente, porm similarmente, para a determinao do SIL. Segundo GRUHN & CHEDDIE (2006), um mtodo figurativo e propositalmente vago e aberto a interpretaes, devendo, portanto, ser mais bem explicitado e adaptado por cada companhia a sua realidade. Logo, os padres apenas mostram a metodologia, porm, para que esta tcnica possa ser empregada a prpria empresa deve desenvolver a sua metodologia prpria. A figura a seguir mostra um exemplo de grfico de riscos. Neste exemplo, para cada conseqncia de um evento perigoso e com base na freqncia, possibilidade de impedimento e probabilidade de ocorrncia determina-se o SIL, seguindo-se a letra escolhida (a

classificao realizada) e as setas, aliando-se ao cruzamento com coluna da freqncia de ocorrncia.

Fig. 21 Exemplo de um grfico de risco.

53

A norma N-2595 (Petrobras), reviso B, de 2008, estabelece os procedimentos para determinao do SIL requerido para cada malha de segurana, utilizando a tcnica do Grfico de Risco. Para determinao do SIL para a possibilidade de falha na demanda, Inicialmente, estabelecida a freqncia de ocorrncia do evento perigoso, atravs da tabela a seguir e com base nas seguintes recomendaes: Selecionar W2 quando a dinmica do processo conhecida e os

sistemas de controle esto em condio normal de funcionamento; Selecionar W1 quando durante a vida til da planta for provvel o

surgimento de somente uma demanda na malha de segurana; esta classificao requer justificativa; Em sistemas de proteo contra fluxo reverso em fluidos limpos e

no corrosivos, considerar que a utilizao de vlvula de reteno reduz a freqncia de demanda em um dgito; Se para cada 10 demandas existe somente uma possibilidade de

ocorrer a conseqncia dita potencial, a freqncia de demanda deve ser reduzida e um dgito, exemplo: para cada 10 ocorrncias de queima subestequiomtrica existe a possibilidade de ocorrer apenas 1 exploso do forno; nesse caso se a freqncia de demanda considerada inicialmente for W2, deve ser revisada para W1.

54

Tabela 6 Freqncia de Demanda.

Fonte: N-2595 (2008), PETROBRAS.

Segue-se para o questionrio sobre a segurana pessoal, ver figura 22, sendo as escolhas baseadas no questionamento das trs perguntas: Qual o potencial de risco para o ser humano se a malha de

segurana falhar na demanda? caso no haja risco algum (S0), nenhuma classificao relativa segurana pessoal deve ser requerida, caso contrrio, deve se dar prosseguimento as avaliaes (ver figura 22); Qual o perodo de exposio humana na rea em que o evento

de risco poderia ocorrer? Este questionamento deve ser feito somente para os casos enquadrados em nveis S2 e S3 (ver figura 22); possvel que a(s) pessoa(s) presente(s) na rea evite(m) se

expor ao evento de risco? Este questionamento deve ser feito somente para os casos enquadrados em nvel S2, o uso de equipamentos de proteo individual no so considerados como redutores do grau G2 para G1, mesmo sendo de conhecimento geral que tais equipamentos contribuem significativamente para

segurana pessoal (ver figura 22).

55

Fig. 22 Questionrio para segurana pessoal.

Atravs do caminho realizado pelas respostas, ver figura 23, e com o cruzamento da informao da freqncia a classe determinada, o SIL s terminado atravs de outra tabela, que ser mostrada mais adiante, que faz a correlao entre a classe o SIL especificado. O resultado obtido no grfico de risco a classe da malha e baseada na norma alem que estabelece os requisitos para SIS, DIN V19250.

56

Fig. 23 Grfico de Risco para segurana pessoal.

Para a classificao quanto a Perda de Produo e Danos ao Equipamento realizada atravs do questionrio exibido na figura 24. A norma ainda uma oferece uma elucidao atravs de exemplos para a classificao em questo, transcritos a seguir: L0: Sem perturbaes operacionais ou danos a equipamentos:

perturbao ou dano insuficiente para justificar um procedimento de emergncia. Exemplos: falha em controlador resultando em alarme operacional. L1: Pequenas perturbaes operacionais ou danos reduzidos ao

equipamento. Exemplos de Pequenas Perturbaes Operacionais: produo fora de especificao; pequenas quantidades de alvio de

57

fluidos. Exemplos de danos reduzidos ao equipamento: cavitao de bombas convencionais por baixa presso na suco; possibilidade de danos moderados ou graves em equipamentos essenciais, ou no essenciais, que so causados por eventos de ao prolongada, mas que no requeiram rpida interveno do operador (mnimo de um dia). ao L2: Moderadas perturbaes operacionais ou danos moderados equipamento. Exemplos de moderadas perturbaes

operacionais: perturbao na rea de utilidades afetando outras reas, como a injeo de lquido em correntes de gs para o sistema de gs combustvel; grandes quantidades de alvio de fluidos. Exemplos de danos moderados ao equipamento: cavitao em bombas de alta rotao ou em bombas de mltiplos estgios que disponham de reserva. L3: Grande perturbao operacional ou dano grave ao

equipamento. Exemplos de grande perturbao operacional: alvio abrupto de grandes quantidades de massa causando violenta liberao de energia, como o caso de brusca despressurizao em sistemas de alta presso; transbordamento de fluidos de processo; solidificao de produtos em linhas no aquecidas, de grandes dimenses, requerendo custosas aes de correo; necessidade de reparos de baixo custo em equipamentos essenciais que trabalhem sem reserva. Exemplos de dano grave ao equipamento: necessidade

58

de reparos custosos em equipamentos que disponham de reserva ou equipamentos no essenciais. L4: Perda de produo associada a dano em equipamento

essencial. Exemplos de perda de produo: sobretemperatura em reaes exotrmicas fora de controle; sobrepresso em sistemas onde a malha de segurana o dispositivo de proteo final, devido impossibilidade de instalao de vlvulas de segurana. Exemplos de dano em equipamento essencial: exploso de fornos e caldeiras; nvel alto em vaso de suco de compressor; baixa presso na suco de bombas de mltiplos estgios. Nota: danos em equipamentos aos apontados essenciais em L2 e podem L3, com ser a

considerados

similares

particularidade de que, nesta caracterizao, trazerem maiores perdas econmicas (cifras de milhes de US$) por ocasio da indisponibilidade do equipamento essencial, que no disponha de reserva, devido extenso do perodo de reparos ou de

substituio.

Fig. 24 Questionrio de Perda de Produo e Danos ao Equipamento.

59

Mais uma vez, primeiramente se determina a classe com o grfico de risco, conforme figura 25, para em seguida se estabelecer o SIL.

Fig. 25 Grfico de risco para Perda de Produo e Danos ao Equipamento.

A norma N-2565 tambm estabelece para a determinao do SIL um requisito de segurana relacionado ao meio ambiente. Este item da norma, inclusive, supera a preocupao de normas internacionais como a IEC-61511, que visam somente segurana em relao aos equipamentos e pessoas. Isto conseqncia da preocupao da companhia em relao das multas que pode ser impostas pelas autoridades ambientais, bem como, da preocupao com a prpria imagem da companhia que um de seus importas ativos. Para tanto, faz-se do questionrio exibido na figura 26 associado a recomendaes da que retratam a grande preocupao com a imagem, tanto que nvel E pode at ser elevado em um nvel se a imagem da companhia estiver em jogo.

60

Fig. 26 Questionrio relacionado segurana do meio ambiente.

A informao da classificao E cruzada com a freqncia de demanda para se obter a classe da malha, conforme a figura 27.

Fig. 27 Grfico de risco para o meio-ambiente.

Uma vez obtidos os resultados para os trs grficos de risco, devese cruzar as classes obtidas com a tabela a seguir, dessa forma, obtendose o SIL requerido pela malha avaliada.

61

Tabela 7 Equivalncia entre classe e SIL.

Fonte: N-2595 (2008), PETROBRAS.

Com posse destes resultados, deve-se definir como o SIL definitivo da malha o maior valor encontrado entre os trs avaliados. A norma faz uma ressalva quando o SIL encontrado for o SIL4, deve-se refazer o projeto conceitual ou se utilizar outras camadas para a reduo do risco. Isto est coerente com o afirmado pela literatura do tema, pois segundo GRUHN & CHEDDIE (2006), o SIL4 praticamente restrito a aplicaes aeroespaciais e nucleares. Os resultados obtidos aps a aplicao da tcnica do grfico de risco, segundo a N-2595, para as malhas de segurana de uma turbina a gs podem ser resumidos na tabela 8. Para a definio das demandas de ocorrncia dos eventos perigosos relacionados a cada respectiva SIF, foi utilizada a figura 28, que segundo (BOYCE, 2001) mostra o percentual das principais causas de falhas em turbinas a gs utilizadas para gerao de energia, associada informao de taxa de falhas. De acordo com US ARMY, CORPS OF ENGINEERS (2006), a taxa de falhas para turbinas a gs utilizadas em unidades de gerao de energia de 0,43410 falhas/ano. Tambm foi considerada

62

para o sistema de lubrificao a ocorrncia de um evento perigoso mais de uma vez por ano. Alm disso, para as respostas para dos questionrios da norma, levou-se em considerao as informaes contidas na Tabela 5 de HSE (2006), em anexo, a qual exibe os modos de falha e perigos correlatos aos principais componentes das turbinas a gs.

Fig. 28 Contribuio nas falhas dos principais componentes de uma turbina gs.

63

Tabela 8 Resultados obtidos para malhas de uma turbina a gs. Malhas de Segurana

1 Demanda = S= A= G= SIL = L= SIL = E= SIL = SIL = Legenda:

4 W3 S1 X X

5 W2 S1 X X 0 L4 1 E0 0 1

W3 W2 W2 Segurana Pessoal S3 A1 X S1 X X S0 X X

3 0 X 0 Perda de Produo e Danos ao Equipamento L4 2 Meio Ambiente E0 0 Resultado Final 3 1 1 1 E0 0 E0 0 E0 0 L4 1 L3 1 L3 1

1. Presso do leo Lubrificante 2. Temperatura do Gs de Entrada na Turbina de Potncia 3. Velocidade do Gerador de Gs 4. Proteo Contra Stall do Gerador de Gs 5. Controle de Vibrao

3.2.2 Determinao pelo mtodo LOPA

As freqncias

dos eventos perigosos relacionados a cada SIF

especfica foi estimada com base nos dados fornecidos por US ARMY, CORPS OF ENGINEERS (2006). Para a estimativa de eventos relacionados ao sistema de lubrificao, foi considerado o percentual de falhas ocorridas proporcionalmente s falhas em rolamentos, de acordo com a figura 28, ou seja, 27% do total de falhas por ano. De maneira similar foi

64

realizada a estimativa de freqncia de eventos perigosos para as demais zonas de avaliao, sendo a temperatura de entrada da turbina de potncia, a rotao do gerador de gs, stall do gerador de gs e vibrao na turbina relacionada, respectivamente, s falhas na turbina de potncia, gerador de gs e a combinao de rolamentos, selos e acoplamentos, tanto para o stall quanto para a vibrao. Essa abordagem mostra-se bastante conservadora, pois a uma superposio da freqncia de eventos perigosos que so contabilizados para mais de uma vez, superestimando a ocorrncia das situaes de perigo, como exemplifica o uso do mesmo ndice para duas SIFs diferentes. As PFDs de cada IPL foram determinadas de acordo com

VASCONCELOS (2008) e OLF (2004). As tabelas a seguir resumem a anlise quantitativa e especificam o SIL para cada SIF, se aplicvel. Como o risco tolervel, adotou-se o a valor de 10-4, uma escolha dentro da faixa mais utilizada, de acordo com MARZAL (2001). O cenrio resumido na Tabela 9 aborda o nvel de integridade de segurana para uma malha responsvel pela segurana do sistema de lubrificao da turbina. Falhas detectadas por este sistema podem evitar desde problemas mecnicos no equipamento a indicar o tempo certo de uma troca de filtro ou limpeza, podendo-se utilizar esta monitorao para fins de manuteno preditiva. E ainda, segundo HSE (2006), falhas neste sistema podem acarretar no somente danos moderados ao equipamento e risco ao pessoal quanto risco de incndio ou exploso na instalao.

65

Tabela 9 Resumo da anlise para Sistema de Lubrificao. Zona de avaliao: Sistema de lubrificao Freqncia IPLs PFD 3,04E-02 Transmissor de presso 1,30E-03 Operador 1,00E-01 Risco 3,95E-06 Sim No Aceitou a condio de X risco? Reduo de Risco X Necessria SIL Requerido 0

A Tabela 10 resume o cenrio para a temperatura de entrada na turbina de potncia, problemas no impedidos por esta malha podem danificar severamente o material empregado na construo das paredes, ps e demais partes de uma turbina, segundo HSE (2006), ocorre a degradao trmica do material, comprometendo a vida til do

equipamento o mesmo inutilizando-o.

Tabela 10 Resumo da anlise para Temperatura de entrada na TP. Temperatura do gs na entrada Zona de avaliao: da turbina de potncia Freqncia IPLs PFD 8,68E-03 Controle Automtico 1,00E-01 (BPCS) Operador 1,00E-01 Risco 8,68E-05 Sim No Aceitou a condio de X risco? Reduo de Risco X Necessria SIL Requerido 0

66

O cenrio resumido na Tabela 11 aborda a segurana para sobrevelocidade do gerador de gs. Falhas neste contexto podem levar ao comprometimento mecnico do equipamento, alm de instabilidade no sistema acionado pela turbina, seja ele um gerador eltrico ou um sistema de propulso de uma embarcao.

Tabela 11 Resumo da anlise para Rotao do Gerador de Gs. Zona de avaliao: Rotao Gerador de Gs Freqncia IPLs PFD 7,38E-02 Controle Automtico 1,00E-01 (BPCS) Operador 1,00E-01 Risco 7,38E-04 Sim No Aceitou a condio de X risco? Reduo de Risco X Necessria SIL Requerido 1

O cenrio descrito pela tabela 12 aborda o impedimento do problema que ocorre em turbomquinas, chamado stall, que poder levar ao surto (do termo em ingls surge) do compressor do gerador de gs. Falhas devidas a este problema levar a turbina a operar numa faixa de instabilidade, que acarretar em alta vibrao e parada da turbina (algo inaceitvel em turbinas utilizadas para propulso de aeronaves),

comprometendo severamente partes mecnicas como rolamentos e acoplamentos.

67

Tabela 12 Resumo da anlise para Rotao do Gerador de Gs. Zona de avaliao: Stall do Gerador de Gs Freqncia IPLs PFD 5,64E-02 Transmissor de presso 1,30E-03 Operador 1,00E-01 Risco 7,34E-06 Sim No Aceitou a condio de X risco? Reduo de Risco X Necessria SIL Requerido 0

O cenrio em resumido na Tabela 13 relativo vibrao na turbinas. Vibrao excessiva em equipamentos mecnicos pode levar a danos severos a qualquer mquina, principalmente, se a operao for prxima de alguma velocidade crtica do equipamento e com um baixo amortecimento, caracterizando o fenmeno da ressonncia. Segundo HSE (2206), vibrao excessiva pode acarretar em baixa performance da turbina, bem como, em danos graves a dispositivos como selos, que,

inclusive, podem levar a incndios ou risco de exploso.

68

Tabela 13 Resumo da anlise para a Vibrao da Turbina. Zona de avaliao: Vibrao da Turbina Freqncia IPLs Sistema de Monitoramento de Vibrao Operador Risco Aceitou a condio de risco? Reduo de Risco Necessria SIL Requerido PFD 5,64E-02

1,00E-01 1,00E-01 Sim 5,64E-04 No X X 1

69

4. Anlise dos resultados e concluses sobre a tcnica qualitativa e quantitativa.

Resultados foram obtidos pelas duas tanto para a qualitativa quanto para a quantitativa. Aps isso preciso interpret-los e, posteriormente, tirar concluses sobre eles.

4.1 Anlise Qualitativa

Pode-se perceber que a tcnica para determinao do SIL requerido pelas malhas de segurana de certa forma rpida e de fcil

compreenso a todos os profissionais envolvidos da especificao de requerimentos de segurana para equipamentos e/ou processos, sendo eles das reas de operao, manuteno, segurana do trabalho e instrumentao e automao e controle, tcnicos ou engenheiros.

Entretanto, requer certa expertise para estes profissionais envolvidos. Portanto, necessrio que haja na equipe pessoas com vasta experincia de campo e no ramo da aplicao da mquina ou processo, algo que nem sempre possvel ou to barato. A norma N-2595 da Petrobras mostrou de fcil aplicabilidade e apesar de ser uma norma de uma companhia, devido ao seu pioneirismo no pas, pode ser utilizada por outras instituies brasileiras, em particular as do ramo offshore, e servir como base para uma futura norma nacional elaborada pela Associao Brasileira de Normas Tcnicas.

70

4.2 Anlise Quantitativa

A tcnica LOPA mostrou-se, apesar de simples, onerosa para a equipe responsvel pelas especificaes de segurana. O principal obstculo encontrar uma base dados confivel, com dados de taxas de falhas para as partes do equipamento e no somente para o total de falhas dele. A base de dados utilizada para a estimativa de freqncia de ocorrncia dos eventos perigosos foi elaborada por uma iniciativa do Corpo de Engenheiros do Exrcito Americano, que atenta para

equipamentos utilizados em unidades de gerao de energia. H outras iniciativas como o OREDA (Offshore REliability Data), elaborado h algumas dcadas pelo rgo noruegus DNV (Norwegian Petroleum Directore, em ingls). O OREDA tem se mostrado a principal ferramenta para atribuio de risco atualmente e at mesmo extrapolando o setor do petrleo, principalmente, por apresentar dados detalhados como: populao avaliada, taxas de falhas crticas e esprias, taxas de falhas por subcomponente ou subsistemas etc. Contudo, para a

elaborao deste trabalho, tal publicao se mostrou invivel, devido ao alto custo de aquisio e dificuldade para encontr-la em bibliotecas nacionais. Entretanto, a no utilizao desta fonte de informao, no invalida o trabalho, pois, com pequenas alteraes, pode-se efetuar uma nova anlise para esta base de dados. Vale salientar que a fonte de dados utilizada, apesar de no difundida, similarmente confivel.

71

Para a determinao da probabilidade de falha na demanda, foram utilizados os dados j calculados previamente, baseado nas normas IEC 61508 e 61511, o que no constituiu tanta dificuldade, visto que j haviam sido utilizados por trabalhos acadmicos anteriores. Apesar da dificuldade j comentada para obteno de uma base de dados do equipamento, a aplicao da tcnica LOPA mostrou-se rpida e fcil. Com auxlio de um programa elaborado em qualquer linguagem ou at mesmo com o uso de uma planilha eletrnica, podem-se efetuar rapidamente os clculos necessrios. E com base no risco tolervel por cada companhia, pode-se determinar a necessidade ou no de um Sistema Instrumentado de Segurana.

4.3 Resultados Qualitativos x Quantitativos

De acordo com GRUHN & CHEDDIE (2006), esperado que tcnicas quantitativas levem a resultados com menor desempenho requerido pelas malhas de segurana. Algo que se refletiu no presente trabalho. Mostrando a no necessidade de utilizao de instrumentos e atuadores certificados, portanto, menos onerosos, acarretando em um projeto mais enxuto do ponto de vista da engenharia econmica. Este a fato mostra o perfil mais conservador das tcnicas qualitativas e reafirma, ainda mais, a necessidade de utilizao de uma tcnica quantitativa quanto maior for o projeto, mquina ou processo. A Tabela 14 exibe uma comparao entre o SIL especificado por cada tcnica.

72

Tabela 14 Comparao dos resultados N-2595 x LOPA. Malha: 1 2 3 4 5 N-2595 3 1 1 1 1 LOPA 0 0 1 0 1 Legenda: 1. Presso do leo Lubrificante 2. Temperatura do Gs de Entrada na Turbina de Potncia 3. Velocidade do Gerador de Gs 4. Proteo Contra Stall do Gerador de Gs 5. Controle de Vibrao

Como se pode observar, na maioria das malhas o SIL especificado pela tcnica LOPA foi inferior ao determinado pela N-2595, inclusive no determinando a necessidade de um Sistema Instrumentado de Segurana. Nas demais malhas, o SIL especificado pelas duas tcnicas foi equivalente. Contudo, no houve um SIL especificado pela LOPA que fosse maior que o determinado pela tcnica qualitativa.

4.4 Consideraes Finais

Apesar de os resultados encontrados serem diferentes, que est de acordo com GRUHN & CHEDDIE (2006), no se pode concluir que um deles est errado e o outro correto. Esta diferena entre tcnicas apenas reflete a diferena entre grau de conservadorismo alcanado por cada uma delas. As duas tcnicas, como j dito anteriormente, se mostraram prticas e simples. Algo importante, pois tcnicas muito complexas inviabilizam

73

sua aplicabilidade na indstria em geral, a presso por resultados rpidos e eficazes inibe a maior dedicao pesquisa detalhado de certos assuntos na grande maioria das corporaes, at mesmo nas de classe mundial. Essa simplicidade as valoriza e as torna uma boa ferramenta para o mundo real. Para trabalhos futuros fica a proposta da utilizao de outras bases de dados para confronto entre tcnicas qualitativas e quantitativas.

74

Referncias Bibliogrficas

ANSI/ISA-84.00.01. Functional Safety: Safety Instrumented Systems for the Process Industry Sector. 2004. ANSI/ISA-91.00.01. Identification of Emergency Shutdown Systems and Controls That Are Critical to Maintaining Safety in Process Industries. 2001. BOYCE, M.P. Gas Turbine Engineering Handbook. Oxford, 2001. Gulf Professional Publishing. 817p. GRUHN, Paul.; CHEDDIE, Harry. Safety Instrumented Systems: Design, Analyses, and Justification. 2. Ed. New York, 2006. ISA. 314p. HSE Health and Safety Executive. Offshore gas turbines (and major driven equipment) integrity and inspection guidance notes. Oxfordshire, 2006. IEC-61508. Functional Safety of lectrical/Electronic/Programmable Electronic Safety-Related Systems. 2003. MARTINELLI, L.C. Mquinas Trmicas II. Disponvel http://www.scribd.com/doc/7326125/Maquinas-Termicas-II >. Acesso em Maio de 2010. em <

MARZAL, Edward M. Tolerable risk guidelines. Disponvel em < http://findarticles.com/p/articles/mi_qa3739/is_200101/ai_n8933952/>. Acesso em Julho de 2010. OLF. Application of IEC 61508 and 61511 in the Norewegian Petroleum Industry. 2004. 214p. PETROBRAS. N-2595: Critrios De Projeto E Manuteno Para Sistemas Instrumentados De Segurana Em Unidades Industriais. Rev. B, 2008. 46p. SHAPIRO, H. N.; MORAN, M.J. Fundamentals of Thermodynamics. 5. Ed. London, 2006. Wiley. Cap. 9.

US ARMY. TM 5-698-5: Survey Of Reliability And Availability Information For Power Distribution, Power Generation, And Heating, Ventilating & Air Conditioning (HVAC) Components For Commercial, Industrial, And Utility Installations. Washington D.C., 2006. 35p.

75

VASCONCELOS, Flvia Moo. Uma aplicao da tcnica de anlise de camadas de proteo (LOPA) na avaliao do risco do sistema de hidrognio de refrigerao do gerador eltrico principal de uma usina nuclear. Dissertao de mestrado. Rio de janeiro, maro de 2008. UFRJ/COPPE. p.53. WOODYARD, Doug. Pounders Marine Diesel Engines. 9. Ed. Oxford, UK, 2009. Elsevier. 905p.

76

ANEXO Tabela 5 de HSE (2006)

77

78

79

80

81

82

83

84

85