Você está na página 1de 107

-PBLICO-

N-2595 CONTEC
Comisso de Normalizao Tcnica

REV. C

07 / 2012

SC-10
Instrumentao e Automao Industrial

Critrios de Projeto, Operao e Manuteno de Sistemas Instrumentados de Segurana em Unidades Industriais


2a Emenda

Esta a 2a Emenda da PETROBRAS N-2595 REV. C, que incorpora a 1a emenda, e se destina a modificar o seu texto nas partes indicadas a seguir: NOTA 1 As novas pginas com as alteraes efetuadas esto colocadas nas posies correspondentes. NOTA 2 As pginas emendadas, com a indicao da data da emenda, esto colocadas no final da norma, em ordem cronolgica, e no devem ser utilizadas. - Seo 2: (2a Emenda) Incluso das ABNT NBR 12712, NFPA 72, API STD 670 e ISA TR 84.00.04 Part 1. - Subseo 5.1.3: (2a Emenda) Alterao do texto e incluso de Nota. - Subseo 6.4.9: (2a Emenda) Alterao do texto. - Subseo 6.4.10: (2a Emenda) Alterao do texto. - Subseo 7.6.3: (2a Emenda) Alterao do texto e excluso da Nota. - Subseo 7.7.11: (1a Emenda) Alterao do texto. - Subseo 7.8.2: (1a Emenda) Alterao do texto. - Subseo 7.8.8: (2a Emenda) Alterao do texto.

PROPRIEDADE DA PETROBRAS

3 pginas

-PBLICO-

N-2595

REV. C
2a Emenda

07 / 2012

- Subseo 7.8.12: (1a Emenda) Alterao do texto. - Subseo 7.8.13: (2a Emenda) Excluso da enumerao e) e da Nota. - Subseo 7.8.14: (2a Emenda) Incluso da subseo. - Subseo 7.8.15: (2a Emenda) Incluso da subseo. - Subseo 7.11.1.2: (2a Emenda) Alterao do texto. - Subseo 7.13.3: (2a Emenda) Alterao do texto. - Subseo 7.13.4: (2a Emenda) Alterao do texto. - Subseo 7.14.1: (2a Emenda) Excluso da subseo. - Subseo A.6.1: (2a Emenda) Alterao do texto. - Subseo A.6.2: (2a Emenda) Alterao do texto. - Figura A.3: (2a Emenda) Alterao do ttulo. - Tabela A.4: (2a Emenda) Alterao do contedo.

-PBLICO-

N-2595

REV. C
2a Emenda

07 / 2012

- Subseo A.6.3: (2a Emenda) Alterao do texto. - Seo A.7: (2a Emenda) Alterao do ttulo e do texto. - Tabela B.2: (2a Emenda) Alterao do contedo. - Subseo B.2.4.8: (2a Emenda) Alterao do texto. - Tabela B.8: (2a Emenda) Alterao do contedo. - Subseo B.2.7.7: (2a Emenda) Alterao do texto da Nota. - Subseo B.2.7.8: (2a Emenda) Alterao do ttulo e do texto.

-PBLICO-

N-2595 CONTEC
Comisso de Normalizao Tcnica

REV. C

01 / 2011

SC-10
Instrumentao e Automao Industrial

Critrios de Projeto, Operao e Manuteno de Sistemas Instrumentados de Segurana em Unidades Industriais


1a Errata

Esta a 1a Errata da PETROBRAS N-2595 REV. C, e se destina a modificar o seu texto na(s) parte(s) indicada(s) a seguir: NOTA 1 A(s) nova(s) pgina(s) com a(s) alterao(es) efetuada(s) est(o) colocada(s) na(s) posio(es) correspondente(s). NOTA 2 A(s) pgina(s) corrigida(s), com a indicao da data da errata, est(o) colocada(s) no final da norma, em ordem cronolgica, e no devem ser utilizada(s).

- Subseo 5.1.4: (1 Errata) Eliminar a segunda citao PETROBRAS N-2782. - Subseo 5.4.10: (1 Errata) Eliminar o texto detalhadas nos captulos a seguir. - Subseo 6.2.8: (1 Errata) Substituir o termo neste item por em 6.2.1. - Subseo 7.14.3: (1 Errata) Substituir a citao no 7.12 por em 7.12.2; - Subseo 9.2.1 Nota 6: (1 Errata) Substituir a designao NOTA por NOTA 6. - Subseo 13.1.1: (1 Errata) Substituir a citao deste item pela de 13.1. - Subseo 13.2.1: (1 Errata) Substituir a citao deste item pela de 13.2. - Subseo 13.3.1: (1 Errata) Substituir a citao deste item pela de 13.3; - Subseo 13.4.1: (1 Errata) Substituir a citao deste item pela de 13.4.

-PBLICO-

N-2595

REV. C

12 / 2010

Critrios de Projeto, Operao e Manuteno de Sistemas Instrumentados de Segurana em Unidades Industriais


Procedimento
Esta Norma substitui e cancela a sua reviso anterior. Cabe CONTEC - Subcomisso Autora, a orientao quanto interpretao do texto desta Norma. A Unidade da PETROBRAS usuria desta Norma a responsvel pela adoo e aplicao das suas sees, subsees e enumeraes.

CONTEC
Comisso de Normalizao Tcnica

Requisito Tcnico: Prescrio estabelecida como a mais adequada e que deve ser utilizada estritamente em conformidade com esta Norma. Uma eventual resoluo de no segui-la (no-conformidade com esta Norma) deve ter fundamentos tcnico-gerenciais e deve ser aprovada e registrada pela Unidade da PETROBRAS usuria desta Norma. caracterizada por verbos de carter impositivo. Prtica Recomendada: Prescrio que pode ser utilizada nas condies previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de alternativa (no escrita nesta Norma) mais adequada aplicao especfica. A alternativa adotada deve ser aprovada e registrada pela Unidade da PETROBRAS usuria desta Norma. caracterizada por verbos de carter no-impositivo. indicada pela expresso: [Prtica Recomendada]. Cpias dos registros das no-conformidades com esta Norma, que possam contribuir para o seu aprimoramento, devem ser enviadas para a CONTEC - Subcomisso Autora. As propostas para reviso desta Norma devem ser enviadas CONTEC Subcomisso Autora, indicando a sua identificao alfanumrica e reviso, a seo, subseo e enumerao a ser revisada, a proposta de redao e a justificativa tcnico-econmica. As propostas so apreciadas durante os trabalhos para alterao desta Norma. A presente Norma titularidade exclusiva da PETRLEO BRASILEIRO S.A. - PETROBRAS, de uso interno na PETROBRAS, e qualquer reproduo para utilizao ou divulgao externa, sem a prvia e expressa autorizao da titular, importa em ato ilcito nos termos da legislao pertinente, atravs da qual sero imputadas as responsabilidades cabveis. A circulao externa ser regulada mediante clusula prpria de Sigilo e Confidencialidade, nos termos do direito intelectual e propriedade industrial.

SC - 10
Instrumentao e Automao Industrial

Apresentao
As Normas Tcnicas PETROBRAS so elaboradas por Grupos de Trabalho - GT (formados por Tcnicos Colaboradores especialistas da Companhia e de suas Subsidirias), so comentadas pelas Unidades da Companhia e por suas Subsidirias, so aprovadas pelas Subcomisses Autoras - SC (formadas por tcnicos de uma mesma especialidade, representando as Unidades da Companhia e as Subsidirias) e homologadas pelo Ncleo Executivo (formado pelos representantes das Unidades da Companhia e das Subsidirias). Uma Norma Tcnica PETROBRAS est sujeita a reviso em qualquer tempo pela sua Subcomisso Autora e deve ser reanalisada a cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Tcnicas PETROBRAS so elaboradas em conformidade com a Norma Tcnica PETROBRAS N-1. Para informaes completas sobre as Normas Tcnicas PETROBRAS, ver Catlogo de Normas Tcnicas PETROBRAS. . PROPRIEDADE DA PETROBRAS 68 pginas, 2 formulrios, ndice de Revises e GT

-PBLICO-

N-2595
Sumrio

REV. C

12 / 2010

1 Escopo................................................................................................................................................. 4 2 Referncias Normativas ...................................................................................................................... 4 3 Termos e Definies............................................................................................................................ 5 4 Smbolos ou Siglas............................................................................................................................ 13 5 Avaliao da Necessidade do SIS e Estruturao do Projeto Bsico .............................................. 14 6 Projeto Bsico do SIS - Avaliao das SIFs ..................................................................................... 18 7 Projeto Bsico do SIS - Requisitos de Implementao..................................................................... 22 8 Projeto Bsico do SIS - Verificao do SIL e do MTTFS Requeridos para Cada SIF...................... 32 9 Projeto de Detalhamento do SIS....................................................................................................... 33 10 Teste de Aceitao em Fbrica e Preservao .............................................................................. 34 11 Instalao e Condicionamento para Incio de Operao do SIS .................................................... 37 12 Pr-Operao e Aceitao Final do SIS ......................................................................................... 38 13 Operao, Manuteno, Testes Peridicos e Modificaes ........................................................... 39 Anexo A - Determinao do Nvel de Integridade de Segurana Requerido Utilizando o Mtodo de Grficos de Risco ................................................................................................................ 45 A.1 Introduo ...................................................................................................................................... 45 A.2 Sntese do Grfico de Risco .......................................................................................................... 45 A.3 Documentao Relacionada aos Resultados da Determinao do Nvel de Integridade de Segurana (SIL)............................................................................................................................. 46 A.4 Uso de Grfico de Risco Relativo a Segurana de Pessoas......................................................... 47 A.5 Uso de Grfico de Risco para Consequncias Ambientais ........................................................... 49 A.6 Uso de Grfico de Risco para Consequncias Materiais .............................................................. 51 A.7 Determinao do Nvel da Integridade da Funo Instrumentada de Segurana Quando as Consequncias da Falha Envolvem Mais de Um Tipo de Perda .................................................. 52 Anexo B - Anlise de Camadas de Proteo (LOPA) ........................................................................... 53 B.1 Introduo ...................................................................................................................................... 53 B.2 Procedimento ................................................................................................................................. 53 B.3 Concluso da Anlise .................................................................................................................... 66 B.4 Gerenciamento de Resultados ...................................................................................................... 68

Tabelas
Tabela 1- Escala de SIL para Modo de Demanda ................................................................................ 20 2

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela 2 - Critrio para Determinao do MTTFS Aceitvel ................................................................ 22 Tabela A.1 - Descries dos Parmetros do Grfico de Risco da Indstria de Processo.................... 46 Tabela A.2 - Descries dos Parmetros Utilizados na Figura A.1 ...................................................... 48 Tabela A.3 - Consequncias Ambientais Gerais................................................................................... 50 Tabela A.4 - Classes de Sequencias de Materiais................................................................................ 51 Tabela B.1 - Frequncia Tolervel (FTOL).............................................................................................. 55 Tabela B.2 - Frequncias de Causas Iniciadoras ................................................................................. 56 Tabela B.3 - Fatores Modificadores da Probabilidade de Ignio pela Quantidade de Fontes de Ignio ............................................................................................................................. 59 Tabela B.4 - Fatores Modificadores da Probabilidade de Ignio pelo Tipo do Material Inflamvel .... 59 Tabela B.5 - Fatores Modificadores por Presena de Pessoas............................................................ 59 Tabela B.6 - Salvaguardas Usualmente No Consideradas IPL .......................................................... 60 Tabela B.7 - IPL Passivas e Suas PFDavg Tpicas ................................................................................ 61 Tabela B.8 - IPL Ativas e Suas PFDavg Tpicas..................................................................................... 62 Tabela B.9 - SIL Requerido para a SIF ................................................................................................. 67

Figuras

Figura 1 - Modelo de Camadas de Proteo ........................................................................................ 15 Figura 2 - Representao Grfica da Reduo de Risco ..................................................................... 16 Figura 3 - Modelo de Ciclo de Vida de um SIS ..................................................................................... 17 Figura A.1 - Grfico de Risco Relativo Segurana de Pessoas......................................................... 47 Figura A.2 - Grfico de Risco Relativo Segurana Ambiental ........................................................... 50 Figura A.3 - Grfico de Risco Relativo Proteo de Patrimnio/Produo........................................ 51 Figura B.1 - Fluxo do Procedimento LOPA ........................................................................................... 54 Figura B.2 - Camada de Proteo Mitigadora....................................................................................... 66

-PBLICO-

N-2595
1 Escopo

REV. C

12 / 2010

1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condies mnimas exigveis para projeto, operao e manuteno de Sistemas Instrumentados de Segurana - SIS nas instalaes terrestres da PETROBRAS. 1.2 Esta Norma contm Requisitos Tcnicos e Prticas Recomendadas e fixa condies exigveis para projetos iniciados a partir da data de sua edio. 1.3 Sistemas de deteco de fogo e gs no so tratados nesta norma. 1.4 Qualquer funo com acionamento exclusivamente manual no se enquadra nos Sistemas Instrumentados de Segurana. Por exemplo: isolamento e despressurizao de inventrios.

2 Referncias Normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes dos referidos documentos (incluindo emendas). PETROBRAS N-329 - Bateria de Acumuladores; PETROBRAS N-332 - Retificador para Uso Industrial; PETROBRAS N-858 - Construo, Montagem e Condicionamento de Instrumentao; PETROBRAS N-1219 - Cores; PETROBRAS N-1756 - Projeto e Aplicao de Proteo Contra Fogo em Instalaes Terrestres; PETROBRAS N-1883 - Apresentao de Projetos de Instrumentao / Automao; PETROBRAS N-2782 - Tcnicas Aplicveis Anlise de Riscos Industriais; ABNT NBR 12712 - Projeto de Sistemas de Transmisso e Distribuio de Gs Combustvel; ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations; ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented System (SIS); ISA TR 84.00.04 Part 1 - Guideline for the Implementation of ANSI/ISA-84.00.01-2004 (IEC 61511); ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical to Maintaining Safety in Process Industries; ISA TR 96.05.01 - Partial Stroke Testing of Automated Block Valves; API RP 554 - Process Instrumentation and Control - First Edition 1995 API STD 670 - Machinery Protection Systems; IEC 61131-3 - Programmable Controllers, Part 3: Programming Languages; IEC 61508-1 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 1: General Requirements; Electronic

N-2595

REV. C

12 / 2010

IEC 61508-2 - Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems - Part 2: Requirements for Electrical/Electronic/Programmable Electronic Safety-Related Systems; IEC 61508-3 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 3: Software Requirements; Electronic

4-A

-PBLICO-

N-2595

REV. C

12 / 2010
Electronic

IEC 61508-4 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 4: Definitions And Abbreviations;

IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements; IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels; IEC 62337 - Commissioning of Electrical, Instrumentation and Control Systems in the Process Industry - Specific Phases and Milestones; IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT), Site Acceptance Test (SAT) and Site Integration Test (SIT); NFPA 72 - National Fire Alarm and Signaling Code.

3 Termos e Definies
Para os efeitos deste documento aplicam-se os seguintes termos e definies.

3.1 anlise de camadas de proteo (Layers of Protection Analysis - LOPA) tcnica de avaliao semi-quantitativa da reduo de riscos de processo obtida com a utilizao de camadas de proteo

3.2 anlise de riscos de processo (Process Hazard Analysis - PHA) esforo sistematizado e organizado utilizando uma ou mais das tcnicas listadas na PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevncia dos perigos potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em equipamentos, instrumentao, utilidades, aes humanas, e condies externas que podem afetar o processo

3.3 camada de proteo (protection layer) recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou mais cenrios NOTA 1 O recurso adotado pode ser uma tcnica de engenharia de processo tal como dimensionamento de vaso contendo produto perigoso, um equipamento mecnico tal como vlvula de segurana, uma Funo Instrumentada de Segurana ou mesmo um procedimento administrativo tal como plano de emergncia para situaes de perigo iminente. NOTA 2 Uma camada de proteo pode ser preventiva, quando visa reduzir a frequncia esperada de ocorrncia do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano associado ao evento perigoso. NOTA 3 Uma camada de proteo pode ser passiva (quando no necessita executar uma ao para cumprir a sua funo de proteo) ou ativa (quando necessita mudar de um determinado estado a outro em resposta a uma mudana na propriedade mensurvel do processo em questo). No segundo caso, sua atuao pode ser automtica ou iniciada por ao humana.

3.4 camada de proteo independente (Independent Protection Layer - IPL) camada de proteo que mantm sua funo preventiva ou mitigatria de forma autnoma, sem levar em considerao a causa iniciadora ou a ao de qualquer outra camada de proteo associada ao cenrio 5

-PBLICO-

N-2595

REV. C

12 / 2010

3.5 causa iniciadora (initiating cause) falha em equipamento, ao humana inapropriada ou evento externo que desencadeia um cenrio

3.6 cenrio (scenario) evento ou sequncia de eventos resultante de uma causa iniciadora e que culmina em uma consequncia perigosa

3.7 ciclo de vida do SIS (safety life cycle) conjunto de atividades envolvidas na implementao das SIFs durante o intervalo de tempo que se inicia na fase de projeto conceitual e que termina quando as referidas SIFs so desativadas

3.8 condio habilitadora (Enabling Event - EE) ao ou estado que no causa o cenrio, mas que precisa existir para permitir que a causa iniciadora conduza consequncia indesejada considerada

3.9 consequncia (consequence) efeito indesejado do cenrio acidental NOTA 1 Um exemplo de consequncia a perda de conteno levando a liberao de produto com risco de incndio. NOTA 2 Severidade da consequncia (consequence severity) uma medida qualitativa ou quantitativa do impacto da consequncia segurana de pessoas, ao meio ambiente e ao patrimnio da empresa. Este conceito pode ser exemplificado pela possibilidade de morte decorrente do incndio.

3.10 controlador programvel de segurana (Programmable Electronics - PE) controlador programvel projetado e desenvolvido especificamente para atuar como Executor da Lgica do SIS NOTA A denominao CP de Segurana vem substituir o antigo termo PES como era usado no mbito da Petrobras, de modo a eliminar conflito com IEC 61508-4 e IEC 61511-1, nas quais o termo PES designa todo o conjunto de dispositivos (iniciadores + Executor da Lgica + elementos finais) do SIS.

3.11 dano (harm) impacto, consequncia concretizada ou resultado final de um evento perigoso sobre seres humanos, meio-ambiente e/ou patrimnio, expresso em termos de nmero de fatalidades, prejuzos ao meio ambiente, destruio de propriedades, perda de produo etc. NOTA 1 Impactos ambientais podem incluir gastos com limpeza das instalaes e descontaminao do meio-ambiente, multas de rgos fiscalizadores, indenizaes civis e trabalhistas, dificuldade na obteno de novas licenas, danos imagem da companhia etc. NOTA 2 Entende-se como patrimnio os equipamentos, instalaes, produtos e processos.

3.12 defeito (fault) condio anormal que pode causar reduo ou perda da capacidade de um dispositivo executar sua funo 6

-PBLICO-

N-2595

REV. C

12 / 2010

3.13 demanda (demand) condio ou evento perigoso que requer a atuao de uma SIF 3.14 dispositivo (device) equipamento capaz de executar uma funo especfica 3.15 elemento final (final element) dispositivo integrante do SIS que implementa a ao fsica necessria para atingir um estado seguro NOTA Os exemplos mais comuns so: a) vlvula, incluindo atuador e solenide; b) circuito de comando e rel de interposio de motor eltrico. 3.16 especificao de requisitos de segurana (Safety Requirements Specification - SRS) documentao que contm todos os requisitos que cada SIF deve apresentar quando implementada no SIS 3.17 estado seguro (safe state) estado de um processo ou equipamento cujo risco se encontra dentro dos limites estabelecidos como tolerveis 3.18 estudo de perigos e operabilidade (Hazards and Operability Study - HAZOP) tcnica indutiva e estruturada para identificar perigos de processo e potenciais problemas de operao, associando, de forma sistemtica, um conjunto de palavras-guias s variveis de processo; para cada desvio identificado so relacionadas suas causas, conseqncias, modos de deteco e salvaguardas existentes, recomendando medidas adicionais quando necessrio 3.19 executor da lgica (logic solver) dispositivo integrante do SIS que recebe os sinais dos iniciadores, processa funes programadas e envia comandos para os elementos finais 3.20 falha (failure) evento caracterizado pela cessao da capacidade de um dispositivo cumprir sua funo NOTA Excluem-se desse conceito incapacidades provocadas por aes planejadas, como manuteno preventiva.

3.21 falha aleatria de hardware (random hardware failure) falha que ocorre em um instante imprevisvel como resultado de uma variedade de processos de degradao atuando sobre os componentes internos de um dispositivo NOTA 1 Devido a tolerncias de fabricao, tais processos de degradao possuem dinmicas diferentes em componentes distintos, conferindo carter aleatrio ao instante da falha. NOTA 2 Devido a sua natureza, a falha aleatria de hardware pode ser quantificada de forma estatstica. Por exemplo: pela observao de diversos dispositivos iguais, operando nas mesmas condies, a respectiva taxa de falha pode ser determinada. 7

-PBLICO-

N-2595

REV. C

12 / 2010

3.22 falha de causa comum (common cause failure) falhas em mais de um dispositivo, componente ou sistema em decorrncia de uma mesma causa direta, num perodo de tempo relativamente curto e no sendo tais falhas uma conseqncia da outra NOTA Como exemplos de causa comum podem ser citados ao de atmosfera corrosiva, interferncia eletromagntica, vibrao mecnica, entupimento das tomadas de um stand-pipe, perda de alimentao eltrica, perda de presso pneumtica ou hidrulica, incndio, exploso, descarga atmosfrica, procedimento inadequado (de fabricao, instalao, condicionamento, operao, ou manuteno), treinamento inadequado (idem), vcio ou limitao de projeto.

3.23 falha na demanda (failure on demand) no atuao de uma SIF quando a mesma submetida a uma demanda real

3.24 falha oculta (undetected failure) falha que s percebida quando uma SIF demandada ou testada

3.25 falha perigosa (dangerous failure, unsafe failure, fail-to-function failure) falha que apresenta potencial de impedir que uma funo de segurana atue quando houver uma demanda real NOTA Uma nica falha perigosa geralmente insuficiente para impedir que uma funo de segurana redundante atue quando requerida.

3.26 falha segura (safe failure, spurious trip failure, nuisance trip failure, false trip failure, fail-to-safe failure) falha que apresenta potencial de causar atuao de uma funo de segurana quando esta no requerida NOTA Uma nica falha segura geralmente insuficiente para efetivamente causar trip esprio em uma funo de segurana redundante.

3.27 falha sistemtica (systematic failure) falha relacionada de forma determinstica com certa causa NOTA 1 Trs tipos principais de erro podem conduzir a falhas sistemticas: erro de projeto (especificaes erradas ou omissas, tais como: dimensionamento incorreto de equipamento, seleo inapropriada de materiais); falha de equipamento (erro no processo de fabricao, m instalao, procedimento de manuteno ou de operao inadequado); erro de programa (programao ou modificao de software). NOTA 2 Uma falha sistemtica s pode ser eliminada por meio de modificaes apropriadas na causa da mesma. Intervenes de manuteno corretiva sem a implementao destas modificaes no eliminam a falha sistemtica. NOTA 3 Devido a sua natureza, causas de falhas sistemticas no podem ser facilmente previstas ou quantificadas de forma estatstica.

-PBLICO-

N-2595

REV. C

12 / 2010

3.28 fator de cobertura (coverage) nmero que varia de 0 a 1 (100 %) e que indica o percentual de falhas ocultas que so detectadas quando um dispositivo do SIS submetido a determinado teste ou diagnstico 3.29 fator de reduo de risco (Risk Reduction Factor - RRF) medida do desempenho de uma camada de proteo dada pela razo entre os riscos sem e com a implementao desta camada de proteo; pode ser expresso matematicamente como o inverso da PFDavg da camada de proteo considerada: RRF = 1/PFDavg 3.30 fator modificador (Modification Factor - MF) condio especfica que pode modificar a consequncia de um cenrio 3.31 frequncia da causa iniciadora (Initiating Cause Frequency - ICF) frequncia esperada de ocorrncia da causa que pode levar ao cenrio considerado 3.32 frequncia da consequncia (Frequency of Consequence - FC) frequncia esperada de ocorrncia da consequncia indesejada, levando-se em conta a frequncia da causa iniciadora, a probabilidade de existncia da condio habilitadora, as probabilidades mdias de falha na demanda das camadas de proteo no SIF e os fatores modificadores aplicveis 3.33 Frequncia Tolervel - FTOL (scenario risk tolerance criteria) critrio de tolerabilidade de risco dado pela frequncia acima da qual incidentes de uma determinada severidade no so tolerados 3.34 funo instrumentada de segurana (Safety Instrumented Function - SIF) funo de proteo implementada em um SIS com o objetivo de atingir ou manter um estado seguro de um processo ou equipamento atravs de ao automtica especfica frente a um determinado desvio operacional NOTA A cada SIF so associados um SIL e um MTTFS.

3.35 grficos de risco (risk graphs) tcnica de avaliao qualitativa da reduo do risco que utiliza representaes grficas do critrio de tolerabilidade de risco 3.36 iniciador (sensor) dispositivo ou combinao de dispositivos que do informaes ao Executor da Lgica, sobre o valor ou estado de variveis de processo ou de equipamentos monitorados disparando a atuao da SIF: NOTA 1 Os exemplos mais comuns so: a) transmissores, incluindo conexes ao processo, sensores, e fiao completa; b) chaves fim-de-curso, incluindo fiao completa; c) chave manual de trip e fiao completa. NOTA 2 O termo iniciador como definido nesta Norma mais abrangente que o termo sensor usado na IEC. 9

-PBLICO-

N-2595

REV. C

12 / 2010

3.37 interface de operao (operator interface) meios pelos quais estabelecida a comunicao entre o operador humano e o SIS. A interface de operao tambm conhecida como Interface Humano-Mquina (IHM) NOTA Como exemplos de interface de operao podem ser citados: monitores de vdeo, lmpadas indicadoras, push-buttons, sirenes e anunciadores de alarmes.

3.38 nvel de integridade de segurana (Safety Integrity Level - SIL) Indicador discreto do desempenho de uma SIF, em termos de sua PFDavg e de seu RRF, expresso em uma escala de nmeros inteiros de 1 a 4 NOTA O projeto da SIF deve considerar todas as falhas (aleatrias de hardware e sistemticas) que podem impedir que o estado seguro seja alcanado. Para as falhas aleatrias de hardware o SIL relacionado com a PFDavg quantificada da SIF. Para as falhas sistemticas necessrio o uso de abordagens especficas tais como FMEA, FMECA, rvore de falhas etc.

3.39 perigo (hazard) condio ou propriedade, inerente a uma substncia, a uma atividade, a um sistema, ou a um processo, com potencial para causar danos a integridade fsica das pessoas, meio ambiente, patrimnio ou perda de produo NOTA O termo inclui perigos que se apresentam em curtos intervalos de tempo (exemplo: fogo ou exploso) e em longos intervalos de tempo (exemplo: liberao de produtos txicos).

3.40 probabilidade de falha na demanda (Probability of Failure on Demand - PFD) probabilidade de uma camada de proteo falhar em realizar a sua funo especfica em resposta a uma demanda

3.41 probabilidade mdia de falha na demanda (Average Probability of Failure on Demand PFDavg) indicador da confiabilidade de uma camada de proteo dado pela probabilidade mdia, em um dado intervalo de tempo, de que a mesma falhe quando demandada NOTA O intervalo de tempo considerado no clculo da mdia usualmente o intervalo entre testes peridicos (normalmente igual ao perodo de campanha da planta ou equipamento).

3.42 programa aplicativo (application software) programa especfico para a aplicao do usurio; em geral, contm sequncias lgicas, permisses, limites e expresses necessrias para satisfazer seus requisitos funcionais

3.43 programa embutido (embedded software) programa especfico que parte integrante do sistema eletrnico programvel, fornecido pelo respectivo fabricante, e que imprescindvel a operao e no acessvel a modificaes por parte do usurio; tambm conhecido como firmware ou software do sistema

10

-PBLICO-

N-2595

REV. C

12 / 2010

3.44 programa utilitrio (utility software) conjunto de ferramentas de programao necessrias para a criao, modificao e documentao do programa aplicativo; essas ferramentas de programao no so necessrias para a operao do sistema eletrnico programvel

3.45 redundncia (redundancy) existncia de mais de um meio para realizar uma mesma funo, normalmente para aumentar a confiabilidade e/ou disponibilidade de um sistema NOTA Redundncia pode ser implementada atravs de dispositivos idnticos (redundncia idntica) ou por dispositivos diferentes (redundncia diversa).

3.46 redundncia diversa (diverse redundancy) recurso normalmente empregado para reduzir a influncia das falhas de causa comum atravs da utilizao de diferentes tecnologias, projetos, fabricao, programao etc. para realizar uma mesma funo NOTA Como exemplos de mtodos usuais para se obter a redundncia diversa podem ser citados: a) medio de diferentes variveis de processo, tais como presso e temperatura, nos casos onde a correlao entre essas variveis bem determinada e conhecida; b) medio de uma mesma varivel de processo por meio de diferentes tecnologias, tais como medio de vazo por vrtex e coriolis; c) uso de rotas area e subterrnea com traados distintos para meios de comunicao redundantes; d) uso de modelos diversos de controladores em uma arquitetura redundante, programados com mtodos distintos, por tcnicos com formaes diferentes.

3.47 risco (risk) combinao da probabilidade ou da frequncia esperada de ocorrncia de um evento perigoso com a severidade da consequncia deste evento perigoso NOTA 1 O risco pode ser expresso matematicamente como o produto da frequncia esperada de ocorrncia de um evento perigoso pela severidade de sua consequncia: Risco = frequncia x severidade NOTA 2 A frequncia esperada de ocorrncia normalmente expressa em termos de quantidade de eventos por ano; NOTA 3 A severidade da consequncia normalmente expressa em termos de valor monetrio (perdas de produo e/ou danos a patrimnio) e/ou nmero de fatalidades.

3.48 risco de processo ou equipamento (process risk) risco inerente a condies de processo ou equipamento originadas por eventos anormais (que incluem defeitos no SSC), sem levar em considerao as camadas de proteo NOTA 1 No contexto desta norma, o risco do processo ou equipamento aquele risco especfico para o qual uma camada de proteo prov reduo. NOTA 2 Perigos de processo incluem fogo, exploso, liberao txica, e exposio a radiao ionizante, mas no incluem perigos no relacionados ao processo, normalmente controlados por outros meios, tais como proteo auricular, luvas, culos de segurana, guarda-corpo, ou housekeeping, e perigos ocupacionais tais como escorreges, tropeos e quedas. 11

-PBLICO-

N-2595
3.49 risco tolervel (tolerable risk) risco definido como aceitvel em um dado contexto NOTA

REV. C

12 / 2010

No contexto desta norma, o termo aceitvel refere-se a um consenso entre a sociedade, analistas de riscos e agncias especializadas (exemplo: HSE) em conviver com um determinado risco de forma a obter certos benefcios, na confiana de que este risco est sendo apropriadamente controlado e, portanto, estes benefcios valem o risco assumido.

3.50 Sistema Instrumentado de Segurana (Safety Instrumented System - SIS) sistema instrumentado usado para implementar uma ou mais funes instrumentadas de segurana; um SIS composto por um conjunto de iniciadores, executores da lgica e elementos finais

3.51 Sistema de Superviso e Controle - SSC (Basic Process Control System - BPCS) sistema que monitora e processa sinais de entrada provenientes do processo ou equipamento e responde gerando sinais de sada que conduzem o mesmo a operar de maneira desejada, atravs de controles regulatrios contnuos (tipo PID), controles discretos (tipo on-off) e controles seqenciais

3.52 tempo de resposta da SIF (response time) intervalo de tempo entre o surgimento de uma demanda e a concluso da atuao de uma SIF; este tempo inclui o tempo de deteco (rise time) da condio de demanda pelo(s) iniciador(es), o tempo de processamento dos sinais no Executor da Lgica e o tempo de atuao do(s) elemento(s) final(is)

3.53 tempo de retardo da SIF retardo de tempo adicionado intencionalmente ao processamento da lgica de uma SIF, insuficiente para que se verifique(m) o(s) dano(s) a ser(em) evitado(s) frente a uma demanda real, e necessrio para se evitar trips esprios por oscilaes normais / esperadas do processo que no representam perigo, mas podem atingir o limiar de atuao da SIF

3.54 tempo de segurana do processo (process safety time) intervalo de tempo entre o surgimento de uma demanda real e o perigo NOTA 1 Recomenda-se que o tempo requerido para se atingir o estado seguro seja menor ou igual metade do tempo de segurana do processo. [Prtica Recomendada] NOTA 2 O tempo requerido para se atingir o estado seguro normalmente a soma do tempo de resposta da SIF com o tempo de retardo da SIF.

3.55 tolerncia a falha na demanda (failure on demand tolerance) capacidade de uma SIF executar sua funo quando demandada, mesmo na presena de falha(s) perigosa(s) NOTA Como exemplo de arquitetura que possui tolerncia a falha na demanda, pode ser citada a votao tipo 1 de 2.

3.56 tolerncia a trip esprio (spurious trip tolerance) capacidade de uma SIF no provocar trip esprio, mesmo na presena de falha(s) segura(s)

12

-PBLICO-

N-2595

REV. C

12 / 2010

NOTA 1 Como exemplo de arquitetura que possui tolerncia a "trip" esprio, pode ser citada a arquitetura de votao tipo 2 de 2. NOTA 2 A arquitetura de votao tipo 2 de 3 geralmente empregada em dispositivos do SIS quando se deseja obter simultaneamente tolerncia a falha na demanda e tolerncia a trip esprio.

3.57 trip atuao do(s) elemento(s) final(is) de uma SIF, seja por demanda real, por foramento manual, ou por falha da SIF (trip esprio)

3.58 trip esprio (spurious trip) trip ocorrido sem que tenha havido demanda real, ou foramento intencional (trip manual) dessa condio; normalmente ocorre devido a falha de um ou mais dispositivos da SIF NOTA Nem todo trip esprio pode ser categorizado como falha segura, haja vista que atuaes esprias totais ou parciais de algumas SIFs podem ser causas iniciadoras de cenrios de risco.

3.59 validao (validation) atividade de demonstrar que o SIS instalado atende efetivamente as especificaes das suas SIFs, incluindo todos os aspectos de suas funcionalidades e de seus requisitos de desempenho

3.60 verificao (verification) atividade de demonstrar para cada fase do ciclo de vida do SIS atravs de anlises e/ou testes que, para as condies especificadas, so atingidos todos os objetivos e requisitos estabelecidos na especificao funcional daquela fase NOTA Exemplos de atividades de verificao incluem: revises dos produtos (p.ex.:documentos) de todas as fases do ciclo de vida de segurana para garantir conformidade com os objetivos e requisitos de cada fase, levando em conta as suas entradas especficas; revises do projeto; testes realizados com os produtos concebidos naquela fase para assegurar que o seu desempenho est de acordo com a sua especificao; testes de integrao realizados com as diferentes partes de um sistema sendo colocadas juntas passo-a-passo e com a realizao de testes ambientais para garantir que todas as partes trabalham em conjunto da forma especificada.

4 Smbolos ou Siglas
ABNT AIChE ALARP ANSI API APR CCPS CP EE EEL Associao Brasileira de Normas Tcnicas; American Institute of Chemical Engineers; As Low As Reasonably Practicable (To Baixo Quanto Razoavelmente Praticvel); American National Standards Institute; American Petroleum Institute; Anlise Preliminar de Riscos; Center for Chemical Process Safety; Controlador Programvel; Condio Habilitadora (Enabling Event); Probabilidade da Condio Habilitadora (Enabling Event Likelihood); 13

-PBLICO-

N-2595
FC FCC FTOL HAZOP HSE ICF IEC IHM IPL ISA LOPA MF MTBF MTTF MTTFS MTTR NFPA PCC PFD PFDavg RRF SDV SIF SIL SIS SRS SSC TAF TV UPS -

REV. C

12 / 2010

Freqncia da Consequncia (Frequency of Consequence); Craqueamento Cataltico Fluido (Fluid Catalytic Cracking); Freqncia Tolervel; Hazards and Operability Study (Estudo de Perigos e Operabilidade); UK Health & Safety Executive; Frequncia da Causa Iniciadora (Initiating Cause Frequency); International Electrotechnical Commission; Interface Humano-Mquina; Camada de Proteo Independente (Independent Protection Layer); The Instrumentation, Systems, and Automation Society; Layers of Protection Analysis (Anlise de Camadas de Proteo); Fator Modificador (Modification Factor); Mean Time Between Failures (Tempo Mdio entre Falhas); Mean Time to Fail (Tempo Mdio para Falhar) Mean Time to Fail Safe (Tempo Mdio para Falhar no modo Seguro); Mean Time to Repair (Tempo Mdio para Reparo) National Fire Protection Association; Painel de Corrente Contnua; Probabilidade de Falha na Demanda; Probabilidade Mdia de Falha da Demanda; Risk Reduction Factor (Fator de Reduo de Risco); Shutt Down Valve; Safety Instrumented Function (Funo Instrumentada de Segurana); Safety Integrity Level (Nvel de Integridade de Segurana); Sistema Instrumentado de Segurana (Safety Instrumented System); Safety Requirements Specification (Especificao de Requisitos de Segurana); Sistema de Superviso e Controle; Teste de Aceitao em Fbrica (Factory Acceptance Test); Techinische berwachungs Verein (Agncia de Inspeo Tcnica); Uninterruptible Power Supply (Sistema Ininterrupto de Potncia).

5 Avaliao da Necessidade do SIS e Estruturao do Projeto Bsico


A avaliao da necessidade de implementao de uma ou mais SIFs parte integrante das prticas de projeto, devendo ser realizada durante a etapa de elaborao do projeto bsico da planta, atravs da aplicao de uma ou mais tcnicas de anlise de riscos, seguida da adoo de camadas de proteo apropriadas.

5.1 Anlise de Riscos

5.1.1 Dentre as diversas tcnicas para avaliao de riscos de processo citadas na PETROBRAS N-2782, recomenda-se a aplicao de HAZOP por uma equipe multidisciplinar formada por profissionais das reas de processo, instrumentao e controle, operao e segurana industrial, utilizando como referncia documentos de projeto que viabilizem a identificao dos cenrios e a avaliao dos riscos associados a cada cenrio [Prtica Recomendada].

5.1.2 As condies de contorno impostas pelo local de instalao da planta ou equipamento, bem como pela sua filosofia operacional devem estar definidas quando da anlise dos impactos decorrentes de um cenrio de risco. Exemplos tpicos so equipamentos operados remotamente ou manualmente do campo e plantas localizadas em regies isoladas ou prximas a regies habitadas.

14

-PBLICO-

N-2595

REV. C

12 / 2010

5.1.3 Uma vez determinado o risco associado a um cenrio, deve-se avaliar se o mesmo tolervel, tomando-se por base as polticas corporativas refletidas nos critrios da PETROBRAS N-2782, a legislao local e as regulamentaes aplicveis. NOTA Tambm podem ser considerados na determinao do risco tolervel: normas e referncias internacionais, informaes de companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade local. [Prtica Recomendada]

5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco no ser tolervel (estar fora da regio T - tolerable) diferente de ser no tolervel (estar na regio NT - unacceptable), porm deve-se frisar que deixar o risco final na regio M (moderado) deve ser justificado aps se ter lanado mo de todos os recursos para reduzi-lo, em aderncia ao conceito ALARP).

5.2 Camadas de Proteo

5.2.1 Caso a avaliao do risco de um cenrio indique que este maior que o limite estabelecido como tolervel, deve-se buscar reduzir a frequncia esperada de ocorrncia do evento perigoso ou a severidade do dano associado a este cenrio atravs da aplicao de medidas de reduo de risco, normalmente chamadas de salvaguardas ou camadas de proteo (ver Figura 1).

PLANO DE EMERGNCIA - COMUNIDADE SITUAO DE EMERGNCIA GERAL

PLANO DE EMERGNCIA - UNIDADE INDUSTRIAL PROCEDIMENTOS DE EVACUAO SISTEMAS DE MITIGAO FSICOS (DIQUES, BACIAS DE CONTENO etc.) INTERVENO OPERACIONAL SISTEMAS DE ALVIO E PROTEO MECNICA (PSV, TOCHA, etc.) SISTEMAS INSTRUMENTADOS DE SEGURANA

SISTEMAS DE ALARME DE PROCESSO COM AO OPERACIONAL CORRETIVA SISTEMAS DE SUPERVISO E CONTROLE -SSC SUPERVISO OPERACIONAL PROJETO DA INSTALAO PROCESSO

Figura 1 - Modelo de Camadas de Proteo

15

-PBLICO-

N-2595

REV. C

12 / 2010

5.2.2 Como primeira camada de proteo, um cenrio associado a operao de equipamentos e/ou processos pode ter seu risco consideravelmente reduzido, ou mesmo ser completamente eliminado, por meio de tcnicas de projeto especficas ou de um projeto inerentemente seguro. Exemplos: riscos devidos a presso excessiva podem ser reduzidos atravs de especificao adequada da espessura de tubulao ou da limitao do head da bomba abaixo da presso de projeto do vaso para onde a mesma descarrega, riscos devidos a temperaturas elevadas podem ser reduzidos atravs de projetos adequados de trocadores de calor, riscos devidos a vibraes podem ser reduzidos prevendo-se suportes adequados para as tubulaes, riscos a pessoas podem ser bastante reduzidos atravs da instalao da planta em local desabitado, riscos de incndio ou exploso podem ser eliminados se for possvel trocar o produto por outro no inflamvel. 5.2.3 Como segunda camada de proteo, normalmente dispe-se de sistemas de controle automtico do processo ou equipamento, podendo-se obter uma terceira camada com a superviso contnua por pessoal de operao qualificado com auxlio de um sistema de alarmes adequado. 5.2.4 A camada de proteo seguinte, constituda por um SIS, objeto principal desta norma, geralmente acompanha outra, formada por sistemas de alvio e de preveno baseados em dispositivos mecnicos, tais como vlvulas de segurana, discos de ruptura e vlvulas de reteno. 5.2.5 Recomenda-se que um SIS somente seja adotado caso aps a aplicao das demais medidas de reduo de risco mencionadas, o risco residual permanea maior que o tolervel (ver Figura 2). [Prtica Recomendada]

Figura 2 - Representao Grfica da Reduo de Risco


5.3 Ciclo de Vida do SIS 5.3.1 Uma vez confirmada a necessidade de uma ou mais SIFs, sua aplicao passa a constituir um SIS propriamente dito. As etapas necessrias para a implantao de um SIS incluem concepo, projeto, instalao, operao, manuteno e desativao, e so chamadas ciclo de vida do SIS (ver Figura 3).

16

-PBLICO-

N-2595
INICIO - Projeto Bsico de processo

REV. C

12 / 2010
Procedimentos de operao e de manuteno (seo 13)

Avaliao da SIF (SIL e MTTFS) (seo 6)

Anlise de Riscos
no Aplicao de outros meios para reduo dos riscos identificados

SIF confirmada?

sim
Verificao do SIL e do MTTFS (seo 8)

Operao, manuteno e testes funcionais peridicos do SIS (seo 13)

SIF Recomendada? no Documentao

Projeto de Detalhamento do SIS (seo 9) sim TAF, Instalao, condicionamento e properao (sees 10, 11 e 12)

Modificao ou desativao? desativao Desativao da SIF

modificao

Legenda:

- escopo desta norma - escopo de outras normas

Figura 3 - Modelo de Ciclo de Vida de um SIS


5.3.2 Para viabilizar a aplicao e operacionalizao de um SIS, necessrio que exista implantado um sistema de gesto do seu ciclo de vida com base em um Plano de Segurana conforme IEC 61511-1 capaz de garantir que: a) as pessoas e organizaes envolvidas em cada etapa do ciclo de vida sejam identificadas e as respectivas responsabilidades, atribudas; b) os treinamentos necessrios sejam aplicados; c) cada etapa prevista seja realizada e documentada; d) os documentos gerados sejam distribudos, controlados e mantidos atualizados; e) verificaes de controle sejam realizadas periodicamente. 5.4 Estruturao do Projeto Bsico do SIS 5.4.1 O projeto bsico do SIS deve estabelecer e registrar, de modo organizado e sistemtico, os requisitos tcnicos de especificao necessrios para cada uma das SIFs que compem o SIS, tanto aquelas criadas durante a fase de projeto bsico do processo (normalmente registradas nos fluxogramas de engenharia e matrizes de causa e efeito), quanto aquelas criadas como recomendaes da tcnica de identificao de perigos aplicada na fase de anlise de riscos da planta. 5.4.2 Deve-se considerar como SIF as funes automticas que atuam especificamente para evitar a(s) conseqncia(s) perigosa(s) de um determinado desvio, o qual pode estar associado a diferentes cenrios. 5.4.3 Todas as SIFs devem ser executadas pelo SIS. No permitido execuo de SIF pelo SSC. 5.4.4 Recomenda-se que a incluso no SIS de funes automticas no relacionadas a segurana seja limitada aos casos em que sua separao seja impraticvel. Exemplo: sequncia de acendimento de fornos, caldeiras e tochas. [Prtica Recomendada] 17

-PBLICO-

N-2595

REV. C

01 / 2011

5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porm no utilizados em lgica de SIF (p.ex. indicao do estado de elemento final) no devem ser ligados ao Executor da Lgica do SIS. [Prtica Recomendada] 5.4.6 frequente a matriz de causa e efeito indicar uma mesma causa para aes de segurana e para aes no relacionadas a segurana. Recomenda-se que uma SIF somente inclua os dispositivos estritamente necessrios para executar sua ao de segurana. [Prtica Recomendada] 5.4.7 Cada SIF deve possuir um identificador alfa-numrico exclusivo (tag) e ser documentada numa folha de dados que rena as principais especificaes da SIF, suas funcionalidades, seus requisitos de desempenho (tais como SIL e MTTFS) e critrios adotados nos clculos (como intervalo entre testes peridicos), compondo um conjunto de informaes equivalente ao Safety Requirements Specification - SRS definido na IEC 61511-1. 5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das SIFs. [Prtica Recomendada] 5.4.8 A documentao de projeto bsico do SIS deve formar um conjunto distinto e destacado dos demais documentos de projeto no relacionados ao SIS (ver ISA 91.00.01). 5.4.9 A documentao de projeto bsico do SIS acompanhar o SIS ao longo de todo o seu ciclo de vida, devendo ser arquivada no sistema de documentao tcnica da respectiva instalao industrial e estar sempre atualizada, de modo rastrevel e auditvel, em funo de qualquer reviso que venha a ocorrer na planta.

5.4.10 A elaborao do projeto bsico do SIS deve consistir, fundamentalmente, na execuo das seguintes tarefas: a) b) c) d) identificao das SIFs (no coberta por esta norma); avaliao das SIFs (ver seo 6); definio dos requisitos de implementao do SIS (ver seo 7); verificao do SIL e do MTTFS requeridos para cada SIF (ver seo 8);

5.4.11 Ao final do projeto bsico, todas as folhas de dados de SIF devem estar completamente preenchidas.

6 Projeto Bsico do SIS - Avaliao das SIFs


6.1 Consideraes Gerais

6.1.1 A etapa de avaliao consiste, basicamente, em se determinar dois importantes parmetros de desempenho, com vistas elaborao da especificao do SIS, a saber:
a) Nvel de Integridade de Segurana - SIL; b) Tempo Mdio para Falhar no modo Seguro - MTTFS;

6.1.2 A avaliao das SIFs deve ser efetuada durante a fase de projeto bsico de uma nova planta e durante as revises que venham a ser realizadas no projeto de uma planta existente.
6.1.3 A avaliao das SIFs no deve substituir os estudos de anlise de riscos, mas complementar sua execuo, auxiliando na especificao de um SIS adequado.

18

-PBLICO-

N-2595

REV. C

01 / 2011

6.1.4 Recomenda-se que a avaliao das SIFs seja efetuada pela mesma equipe da anlise de riscos, em conjunto com ou imediatamente aps a realizao desta. [Prtica Recomendada] 6.2 Composio da Equipe de Avaliao das SIFs 6.2.1 A equipe designada para avaliar as funes instrumentadas de segurana deve ser multidisciplinar, composta, ao longo de toda a realizao da atividade, por um lder de equipe e por profissionais representantes de, pelo menos, as seguintes reas: a) b) c) d) Processo; Instrumentao e Controle; Operao; SMS.

6.2.2 Especialistas de reas especficas, tais como equipamentos estticos, trmicos, dinmicos ou eltricos, devem ser consultados pela equipe de avaliao sempre que houver necessidade de se confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades. 6.2.3 O representante de Processo deve ter participado do projeto bsico especfico a ser analisado, de forma a garantir um bom conhecimento sobre o mesmo.

6.2.4 O representante de Instrumentao e Controle deve possuir experincia e/ou treinamento especfico em Sistemas Instrumentados de Segurana.

6.2.5 O representante da operao deve: a) possuir experincia no processo em questo; b) estar vinculado com a operao futura da planta em questo.

6.2.6 O representante de SMS deve: a) conhecer as polticas, diretrizes, normas e legislaes de SMS aplicveis planta em questo; b) estar vinculado com a operao futura da planta em questo.

6.2.7 O lder da equipe de avaliao deve ter experincia em anlise de riscos, possuir treinamento no mtodo especfico a ser utilizado e ter participado anteriormente de outros processos de avaliao de SIF.

6.2.8 Admite-se que o lder da equipe de avaliao acumule a funo de representante de qualquer uma das reas relacionadas em 6.2.1, desde que atenda s exigncias para tal.

6.2.9 O lder da equipe de avaliao deve assegurar a aplicao organizada, sistemtica e consistente do mtodo utilizado, orientando neste sentido os demais membros da equipe.

6.2.10 Recomenda-se que, antes do incio das anlises, o lder da equipe de avaliao promova um nivelamento do entendimento do mtodo a ser utilizado por todos os participantes, de modo a garantir um mnimo de familiaridade com a tcnica e suas terminologias particulares. [Prtica Recomendada]

6.2.11 Ao final do estudo, o relatrio deve estar elaborado e acordado por toda a equipe. Nos itens em que no tenha sido possvel alcanar um consenso, as razes devem ser registradas.

19

-PBLICO-

N-2595
6.3 Preparao para a Avaliao das SIFs

REV. C

12 / 2010

6.3.1 Os seguintes documentos devem estar disponveis em suas revises mais recentes para uso no processo de avaliao das funes instrumentadas de segurana: a) fluxogramas de engenharia; b) descritivo das aes automticas (matriz de causa e efeito, diagrama lgico, ou outro documento equivalente); c) relatrio da anlise de riscos, caso tenha sido emitido. 6.3.2 Informaes adicionais sobre falhas, eventos perigosos e acidentes relacionados ao processo ou equipamento objeto da proteo pela SIF tambm podem ser utilizadas, desde que suas fontes sejam devidamente documentadas na Folha de Dados de SIF. 6.3.3 Dentre os cenrios identificados pela anlise de riscos, devem ser selecionados para avaliao todos aqueles onde haja SIF como salvaguarda ou como recomendao. Outros cenrios podem ser avaliados a critrio da equipe.

6.4 Avaliao do Nvel de Integridade de Segurana requerido para uma SIF 6.4.1 A cada SIF deve ser atribudo um SIL de acordo com a reduo de risco requerida para a mesma (ver Tabela 1).

Tabela 1- Escala de SIL para Modo de Demanda


RRF > 10 a 100 > 100 a 1.000 > 1.000 a 10.000 > 10.000 a 100.000 NOTA PFDavg 10-2 a < 10-1 10-3 a < 10-2 10-4 a < 10-3 10-5 a < 10-4 SIL 1 2 3 4

Para SIFs que operam em modo contnuo ou com alta demanda (mais de uma demanda por ano ou duas ou mais demandas a cada intervalo entre testes) o SIL correlacionado com uma frequncia de falhas perigosas por hora, sendo, por exemplo, SIL 1 equivalente a uma frequncia entre 10-6 por hora e 10-5 por hora (ver Tabela 4 da IEC 61511-1:2003).

6.4.2 A avaliao do SIL requerido para uma SIF deve considerar as consequncias sobre: a) segurana pessoal (S); b) meio ambiente (E); c) patrimnio da companhia (L). 6.4.3 O SIL requerido para a SIF deve ser o maior dentre os determinados para cada um destes trs aspectos. 6.4.4 Caso uma mesma SIF seja salvaguarda para diversos cenrios, o SIL requerido deve ser o maior dentre os obtidos para cada cenrio. 6.4.5 Nesta norma so apresentados dois mtodos distintos de avaliao do SIL requerido para uma SIF, a saber:

20

-PBLICO-

N-2595

REV. C

12 / 2010

a) Grficos de Risco (Anexo A): mtodo qualitativo, de aplicao mais simples e mais imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com SILs mais elevados e maior nmero de SIFs; b) LOPA (Anexo B): mtodo semi-quantitativo que leva em conta redues de risco por outras camadas de proteo diferentes do SIS, permitindo avaliaes mais consistentes dos cenrios e produzindo uma documentao mais completa.

6.4.6 Deve-se levar em conta para a escolha do mtodo de avaliao mais adequado: complexidade do processo, natureza e severidade dos riscos, disponibilidade de informaes sobre os cenrios de risco, capacitao e experincia das pessoas disponveis para o trabalho de avaliao.

6.4.7 Recomenda-se a aplicao do mtodo LOPA. [Prtica Recomendada]

6.4.8 Uma vez determinado o nvel de integridade de segurana requerido, este SIL deve ser registrado na Folha de Dados da respectiva SIF.

6.4.9 Caso o resultado da avaliao de uma SIF indique um SIL requerido maior que 3, devem ser aplicados outros meios de reduo de risco, de modo que a SIF venha a ter seu nvel de integridade de segurana requerido abaixo de SIL 4. Orientaes e cuidados a serem tomados para reduzir o SIL requerido de forma segura podem ser encontrados na ISA TR 84.00.04 Part 1 Anexo J.

6.4.10 Caso o resultado da avaliao de uma SIF indique no haver SIL requerido, deve ser observado o disposto em 5.4.4

6.5 Avaliao da Frequncia de Trips Esprios Aceitvel para uma SIF

6.5.1 Visando no comprometer a disponibilidade da planta ou equipamento, objeto de proteo pela SIF, deve ser estipulado um valor mnimo, tido como aceitvel na aplicao, para o tempo mdio para a SIF falhar no modo seguro (MTTFS), relacionado com trips esprios.

6.5.2 A instalao industrial deve possuir um critrio para determinao do valor aceitvel de MTTFS. Duas alternativas possveis so apresentadas em 6.5.2.1 e 6.5.2.2.

6.5.2.1 Indisponibilidade O tempo de indisponibilidade devido a trips esprios do SIS deve ser desprezvel (menor que 1/10) em relao ao tempo total de indisponibilidade (paradas e redues de carga no programadas) da planta ao longo de um dado perodo de tempo. Exemplo: numa unidade de processo na qual sejam historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como um todo no poderia ser responsvel por mais que 10 dias parados a cada campanha, ou 2 dias por ano. Supondo que este SIS possua 20 SIFs, cujos trips esprios resultam, em mdia, em 12 h de unidade parada por trip, teramos o limite de 1 trip esprio a cada 5 anos por SIF, ou um MTTFS de 5 anos para cada SIF.

6.5.2.2 Custo do Trip Esprio O custo do trip esprio deve levar em conta, alm da perda de produo (lucro cessante), tambm os custos associados a outras possveis consequncias relacionadas com a parada imprevista e com a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratrios, coqueamento de tubos, etc.), penalizaes contratuais por interrupo da produo, danos ambientais (alvio excessivo para a tocha, rudo de abertura de vlvulas de segurana), danos imagem da companhia etc. 21

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela 2 - Critrio para Determinao do MTTFS Aceitvel


Custo do trip esprio (US$) 10 000 > 10 000 a 100 000 > 100 000 a 1 000 000 > 1 000 000 a 10 000 000 > 10 000 000 MTTFS aceitvel (anos) 1 2 5 10 20

6.5.3 Deve-se levar em conta que a atuao de uma SIF pode vir a desencadear outras aes de proteo. Por exemplo: baixa vazo de gs causa trip do compressor, o qual, por sua vez, causa trip da bomba de carga. 6.5.4 Uma vez determinado o MTTFS requerido, o mesmo deve ser registrado na Folha de Dados da respectiva SIF. 6.5.5 Caso os riscos pessoal e ambiental sejam ambos desprezveis, fazendo com que o SIL seja determinado apenas pelo risco associado ao aspecto do patrimnio da companhia, recomenda-se a realizao de anlise custo-benefcio para determinar se vale a pena ou no implementar a SIF. [Prtica Recomendada]

7 Projeto Bsico do SIS - Requisitos de Implementao


7.1 Segregao entre SIS e SSC 7.1.1 As SIFs devem ter suas respectivas implementaes fsicas separadas das malhas do SSC. Portanto, devem ser segregados pelo menos os seguintes componentes: a) b) c) d) e) f) g) h) i) j) k) NOTA tomadas de processo; linhas de impulso; iniciadores; cabeamentos de sinal; caixas de juno; multicabos; rguas de bornes; painis de controle e de rearranjo; fusveis e disjuntores; Executor da Lgica; elementos finais.

Admite-se o compartilhamento de tomadas de processo ou bocais de instrumentos do SSC com iniciadores redundantes do SIS.

7.1.2 Admite-se o compartilhamento entre SIS e o SSC dos seguintes componentes: a) b) c) d) elementos primrios de vazo tipo placa de orifcio, venturi ou v-cone; rodas dentadas (medio de rotao); poo de termoelemento; ramais de suprimento de ar.

7.1.3 Admite-se o uso de vlvulas de controle como elemento final do SIS somente nos casos onde a segregao seja impraticvel. Por exemplo: vlvulas de catalisador gasto e catalisador regenerado das unidades de FCC. 22

-PBLICO-

N-2595

REV. C

12 / 2010

7.1.4 Caso seja necessrio o uso de mais de dois pares de tomadas para uma mesma placa de orifcio, recomenda-se que o terceiro par de tomadas seja na tubulao (pipe tap). [Prtica Recomendada]

7.2 Segregao entre SIS distintos

7.2.1 Plantas que operem de modo independente ou tenham paradas programadas para manuteno independentes devem possuir SIS distintos.

7.2.2 Para equipamentos de processo localizados dentro de uma mesma planta, os quais tenham paradas programadas de manuteno independentes, recomenda-se segregar os seguintes itens componentes de cada respectivo SIS: caixas de juno, multicabos, mdulos de I/O e programas aplicativos. [Prtica Recomendada]

7.2.3 Recomenda-se que o SIS seja segregado de outros sistemas de segurana regidos por normas especficas. [Prtica Recomendada] EXEMPLO NFPA 72 para sistemas de alarme de incndio; ABNT NBR 12712 para estaes de reduo de presso de gs; API 670 para sistemas de proteo de mquinas.

7.3 Segregao Entre Canais Redundantes de uma SIF

7.3.1 Para SIFs com redundncia de iniciadores e/ou de elementos finais, recomenda-se segregar os seguintes componentes de cada respectivo canal [Prtica Recomendada]: a) b) c) d) e) f) g) h) tomadas de processo; linhas de impulso; cabeamentos de sinal; caixas de juno; multicabos; rguas de bornes; fusveis e disjuntores; mdulos de I/O.

7.3.2 No caso de medio de temperatura redundante admite-se a utilizao de um nico poo para mais de um iniciador.

7.4 Alimentao Eltrica

7.4.1 A alimentao eltrica para o SIS deve ser fornecida a partir de um sistema de corrente contnua redundante constitudo por dois conjuntos de carregadores, dois bancos de baterias e dois quadros de distribuio (PCC) com disjuntor para interligao, sendo um quadro igual (espelho) ao outro e cada um desses conjuntos, energizado por alimentadores independentes.

7.4.2 Tal sistema deve distribuir a alimentao eltrica para: a) b) c) d) mdulos de alimentao do Executor da Lgica; fontes para alimentao dos iniciadores analgicos; energizao dos circuitos dos iniciadores discretos; energizao dos circuitos dos elementos finais; 23

-PBLICO-

N-2595

REV. C

12 / 2010

7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores. 7.4.4 Os mdulos de alimentao eltrica do Executor da Lgica, bem como as fontes de alimentao para os iniciadores e elementos finais devem ser redundantes. 7.4.5 Recomenda-se que os mdulos de alimentao eltrica do Executor da Lgica, bem como as fontes de alimentao para os iniciadores e elementos finais disponham de entradas independentes de alimentao eltrica, sendo cada uma alimentada por um PCC distinto. [Prtica Recomendada] 7.5 Comunicao entre Dispositivos de Campo e Executor da Lgica 7.5.1 No permitida utilizao de protocolos de comunicao digital para transmisso de sinais de processo em funes de segurana. 7.5.2 O uso de protocolo de comunicao digital HART permitido somente para fins de diagnstico, devendo ser inibida a funcionalidade de configurao remota. 7.5.3 Recomenda-se no utilizar painis de rearranjo, barreiras de segurana intrnseca, isoladores, conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lgica. [Prtica Recomendada] NOTA No caso de circuitos de acionamento de mquinas eltricas (motores) considera-se o rel de interposio como parte integrante do elemento final.

7.5.4 Caso a aplicao de barreiras de segurana intrnseca e/ou de isoladores de sinal se fizer necessria, tais elementos devem ser: a) instalados no mesmo painel que o Executor da Lgica, e no distribudos em outros locais/paineis; b) alimentados pelas fontes localizadas no painel do Executor da Lgica. 7.6 Iniciadores 7.6.1 Devem ser implementados por transmissores operando no modo analgico na faixa de 4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lgica do SIS. 7.6.2 Nos casos em que o uso de transmissores como iniciadores no seja tecnicamente vivel (por exemplo: chaves de indicao de posio), os respectivos contatos utilizados para acionamento da SIF devem ser mantidos fechados e energizados quando da condio normal de operao da planta ou equipamento. 7.6.3 Visando minimizar a ocorrncia de trips esprios, recomenda-se que o diagnstico interno dos transmissores seja configurado de modo a, em caso de falha, conduzir o sinal de sada para os seguintes valores: [Prtica Recomendada] a) abaixo de 3,6 mA (sub-range) para os casos onde a atuao de trip ocorra no sentido do aumento do sinal de sada do transmissor; b) acima de 21 mA (sobre-range) para os casos onde a atuao de trip ocorra no sentido da diminuio do sinal de sada do transmissor. NOTA CANCELADA - EMENDA 07/2012.

24

-PBLICO-

N-2595

REV. C

12 / 2010

7.6.4 Recomenda-se que a execuo de funes como extrao de raiz quadrada, ajuste de amortecimento e temporizao sejam realizadas no programa aplicativo do Executor da Lgica e no nos iniciadores. [Prtica Recomendada] 7.6.5 Recomenda-se que os iniciadores do SIS e os sensores utilizados no SSC para medio das mesmas variveis, tenham o mesmo range e incertezas compatveis, de modo a permitir sua comparao direta, podendo ser implementado alarme de desvio no SSC. [Prtica Recomendada] 7.6.6 Os iniciadores devem ser pintados na cor laranja segurana conforme a PETROBRAS N-1219. A pintura parcial do iniciador aceitvel. Exemplo: pintura apenas das tampas de transmissores. 7.6.7 Para os iniciadores das SIFs avaliadas como SIL 3 recomenda-se o uso de redundncia diversa. [Prtica Recomendada]

7.7 Elementos Finais 7.7.1 Recomenda-se que vlvulas do SIS utilizem atuadores pneumticos. Atuadores eltricos ou hidrulicos podem ser utilizados nos casos em que os atuadores pneumticos sejam impraticveis. Por exemplo, indisponibilidade de ar de instrumento. [Prtica Recomendada] 7.7.2 Atuadores de vlvulas do SIS devem operar normalmente pressurizados ou energizados, sendo que a falta de tal pressurizao, ou energizao, deve implicar no retorno da vlvula posio estabelecida como segura, por ao de dispositivo acumulador de energia (exemplo: mola previamente comprimida, acumulador hidrulico etc.). 7.7.3 Vlvulas do SIS no devem dispor de volantes para acionamento manual. 7.7.4 Para vlvulas do SIS e respectivos atuadores, devem ser especificados, no mnimo, os seguintes itens: a) adequao do tipo de vlvula e de seus materiais s condies de processo e de operao (especialmente para baixa demanda); b) grau de estanqueidade requerido; c) modos de falha do atuador da vlvula; d) sentido normal do fluxo tendendo a levar a vlvula para a posio de segurana; e) tempos de abertura e de fechamento do conjunto vlvula e atuador, compatveis com os requisitos da SIF; f) dispositivo para monitorao da posio de segurana. 7.7.5 No caso de elementos finais da SIF serem circuitos de acionamento de mquinas eltricas (motores) os status destes equipamentos devem ser sinalizados na interface de operao. 7.7.6 Recomenda-se para SIF avaliada como SIL 3, cuja atuao seja feita em motor eltrico, que a confirmao do estado do motor se d atravs da monitorao de variveis tais como rotao do eixo ou corrente eltrica. [Prtica Recomendada] 7.7.7 Em aplicaes envolvendo proteo de equipamentos essenciais acionados por motor eltrico, recomenda-se utilizar a funo Break Failure - BF no rel de proteo eltrica do disjuntor de acionamento do motor. NOTA Deve-se avaliar os impactos do desligamento das demais cargas afetadas pela atuao do BF. 25

-PBLICO-

N-2595

REV. C

12 / 2010

7.7.8 Recomenda-se que os rels de interposio sejam instalados na caixa de bornes terminais de interface com equipamentos eltricos. [Prtica Recomendada] 7.7.9 Para vlvulas solenides de comando de atuadores pneumticos devem ser especificados os seguintes itens: a) b) c) d) condio normal de operao: bobina energizada; presso de ar mnima de operao; capacidade de vazo adequada ao tempo de atuao requerido; proteo dos escapes de ar contra entupimentos por sujeira, insetos e formao de gelo.

7.7.10 Recomenda-se que vlvulas solenides com rearme manual mecnico no sejam utilizadas. [Prtica Recomendada] 7.7.11 Caso a Folha de Dados de SIF indique a necessidade da execuo de testes de movimentao parcial de vlvulas (ver ISA TR 96.05.01), estes devem ser implementados por dispositivos especialmente projetados para esta aplicao e com certificao de atendimento ao SIL requerido, conforme IEC 61508-1. O certificado deve ser submetido para aprovao da Petrobras. Certificados emitidos pela TV esto pr-aprovados. 7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurana conforme a PETROBRAS N-1219. A pintura parcial aceitvel, exemplo: pintura apenas das tampas de vlvulas solenides e carcaas de atuadores de vlvulas. 7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundncia diversa. [Prtica Recomendada] 7.8 Executor da Lgica 7.8.1 O Executor da Lgica deve atender a todos os requisitos tcnicos expressos nas Folhas de Dados de Especificao das SIFs que compem o SIS. 7.8.2 O Executor da Lgica deve possuir certificao de conformidade com a IEC 61508-1 para aplicaes com nvel de integridade de segurana igual ou maior que o maior SIL requerido dentre as SIFs alocadas no mesmo. O certificado deve ser submetido para aprovao da Petrobras. Certificados emitidos pela TV esto pr-aprovados. 7.8.3 O Executor da Lgica deve ser implementado fisicamente atravs de um CP de Segurana em todas as aplicaes onde a quantidade total de iniciadores e elementos finais seja igual ou superior a 20. 7.8.4 O Executor da Lgica pode, mediante anuncia expressa da Unidade Organizacional da Companhia, ser implementado fisicamente atravs de tecnologia eletrnica no programvel em SIS onde a quantidade total de iniciadores e elementos finais seja inferior a 20 e a lgica requerida seja de baixa complexidade. 7.8.5 Devem ser observadas as restries de aplicao do equipamento selecionado indicadas no seu manual de segurana e no seu certificado de conformidade com o atendimento ao SIL requerido. 7.8.6 Recomenda-se o uso de CP de segurana adequado para aplicaes SIL 3 como Executor da Lgica do SIS, mesmo que no seja requerido SIL 3 para nenhuma das respectivas SIFs associadas. Tal prtica propicia maior flexibilidade no projeto das SIFs. [Prtica Recomendada]

26

-PBLICO-

N-2595

REV. C

12 / 2010

7.8.7 Todos os mdulos do CP de segurana (mdulos de entrada, sada, fontes de alimentao e processadores) relacionados com a execuo da lgica das SIFs devem: a) no provocar trip esprio por falha singela; b) possibilitar intervenes de manuteno sem a necessidade de desenergizao ou interrupo da execuo da lgica (troca a quente).

7.8.8 Recomenda-se que o executor da lgica seja dotado de recursos para detectar sinal de iniciador fora da faixa normal de trabalho e atribuir ao mesmo um status de falha (out of specification) quando abaixo de 3,6 mA ou acima de 21 mA. [Prtica Recomendada]

7.8.9 O Executor da Lgica e seus equipamentos auxiliares devem ser instalados em painel exclusivo para essa finalidade. Esse conjunto deve ser compatvel com as condies ambientais e eltricas especficas do local de instalao.

7.8.10 O painel do Executor da Lgica e as caixas de juno do SIS devem possuir identificao diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja segurana e inscrio SIS na plaqueta de identificao do painel.

7.8.11 No caso de haver interao entre executores da lgica distintos, suas aes devem ser coordenadas de modo a garantir a conduo do processo como um todo a um estado seguro.

7.8.12 A execuo de SIF utilizando enlace de comunicao digital entre CPs de segurana distintos fica condicionada a certificao do nvel de integridade de segurana atingido por todo o conjunto, incluindo o respectivo enlace de comunicao, conforme IEC 61508 - Partes 1, 2 e 3. O certificado deve ser submetido para aprovao da Petrobras. Certificados emitidos pela TV esto praprovados.

7.8.13 O programa aplicativo deve: a) ser desenvolvido em conformidade com o diagrama lgico do projeto de detalhamento do SIS; NOTA 1 Recomenda-se utilizar linguagem de programao tipo Function Blocks (ver IEC 61131-3). [Prtica Recomendada] NOTA 2 Recomenda-se no utilizar linguagens de programao tipo texto estruturado ou diagrama Ladder. [Prtica Recomendada] b) ser desenvolvido considerando as restries pertinentes ao uso do programa utilitrio, compatveis com o nvel de integridade requerido, indicadas no manual de segurana do CP selecionado; c) possuir um tempo de varredura (scan time) menor que a metade do menor tempo de resposta requerido pelas SIFs em execuo no CP de segurana; d) fornecer informaes ao SSC conforme o 7.12; e) CANCELADA - EMENDA 07/2012. NOTA CANCELADA - EMENDA 07/2012.

7.8.14 Visando minimizar a ocorrncia de trips esprios, recomenda-se que iniciadores identificados como em estado de falha sejam contornados automaticamente pelo programa aplicativo, respeitando as limitaes impostas por 7.11.3. [Prtica Recomendada] NOTA 1 A durao deste contorno automtico deve ser definida na fase do projeto de detalhamento, no podendo exceder 8 horas. Durante esse perodo, a operao da unidade deve definir sobre o acionamento ou no do contorno manual de manuteno do iniciador em questo. 27

N-2595

REV. C

12 / 2010

NOTA 2 A durao total do contorno (automtico + manual) deve respeitar o limite estabelecido no procedimento especfico para a SIF em questo. NOTA 3 Caso a temporizao do contorno automtico chegue ao fim sem que tenha sido acionado manualmente o contorno para manuteno conforme 7.11.3.5, o programa aplicativo deve atribuir ao iniciador em falha o status de trip, seguindo-se da as conseqncias programadas na lgica da SIF.

7.8.15 Recomenda-se que o programa aplicativo trate os casos de SIFs com iniciadores redundantes de modo a evitar "trips" esprios por falso diagnstico de falha simultnea de todos os iniciadores devido a excurso real da varivel de processo para fora da faixa normal de trabalho no sentido contrrio ao do "trip". [Prtica Recomendada] EXEMPLO Reavaliar a faixa de operao e/ou considerar a possibilidade de estender os limites de sub/sobre-range alm daqueles estabelecidos em 7.6.3. NOTA Uma eventual implementao de lgica especfica para evitar este tipo de "trip" esprio deve ser precedida por uma avaliao cuidadosa das possibilidades de falha de causa comum dos iniciadores.

7.9 Comando Manual de Trip 7.9.1 A quantidade e a abrangncia dos comandos manuais de trip da planta ou equipamento devem ser definidas na etapa de projeto bsico de processo e descritas nas respectivas Folhas de Dados de SIF.

27-A

-PBLICO-

N-2595
NOTA

REV. C

12 / 2010

Acionamento manual constitui uma opo de atuao dos elementos finais de uma SIF pelo operador prevista no projeto de processo, mas no faz parte da funo automtica de proteo e, portanto, no deve ser considerada nos clculos de desempenho da SIF (SIL ou MTTFS).

7.9.2 Recomenda-se que os comandos manuais de trip sejam implementados atravs de botoeiras eletromecnicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em srie, instaladas em local de fcil acesso pela equipe de operao e dotadas de proteo contra acionamento indevido. [Prtica Recomendada]

7.9.3 Os sinais de comando manual de trip devem ser processados pelo Executor da Lgica do SIS.

7.9.4 Comandos manuais de trip a partir da interface de operao do SSC devem ser implementados hardwired do controlador do SSC para o Executor da Lgica.

7.10 Rearme (Reset) de SIF

7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reincio controlado de operao da planta ou equipamento objeto de proteo pela SIF, quando aps um evento de trip no seja mais verificada qualquer condio de demanda.

7.10.2 Aps a ocorrncia de uma demanda e o consequente acionamento da respectiva SIF, o sinal de comando para o elemento final deve permanecer no estado acionado at recebimento de um comando de rearme manual pelo operador.

7.10.3 No permitido rearme automtico de SIF.

7.10.4 O comando manual de rearme somente deve ser implementado atravs de botoeira fsica localizada no campo quando requerido na Folha de Dados da SIF.

7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta durao.

7.11 Contorno (By-Pass) de SIF

7.11.1 Consideraes Gerais

7.11.1.1 O objetivo do contorno restringir a atuao de uma SIF, seja por necessidade de incio de operao ou de interveno de manuteno durante a operao da planta ou equipamento.

7.11.1.2 Todo contorno acionado manualmente deve ser feito por intermdio de telas prconfiguradas na IHM do SSC, possuindo necessariamente sinalizao de confirmao de estado.

7.11.1.3 No pode haver contorno das sadas do Executor da Lgica da SIF.

7.11.1.4 No pode haver contorno do comando manual de trip.

28

-PBLICO-

N-2595

REV. C

12 / 2010

7.11.1.5 No permitido o foramento de variveis no programa aplicativo do CP de segurana com fins de contorno de SIF. 7.11.1.6 O contorno de uma SIF no pode suprimir funes de alarme. 7.11.2 Contorno (By-Pass) para Incio de Operao 7.11.2.1 Somente devem dispor de comando de contorno para incio de operao as SIFs que, devido ao estado inicial do processo, impeam a partida da planta ou equipamento objeto de proteo. Exemplos: presso baixa no header de gs para o forno, velocidade baixa de rotao do compressor, baixa vazo de carga, etc. 7.11.2.2 Recomenda-se que os comandos de contorno para incio de operao sejam desativados atravs de funes automticas, evitando-se o uso de comando manual para essa finalidade. [Prtica Recomendada] EXEMPLO condio de processo: monitora o valor de varivel de processo at que se caracterize o trmino da condio incio de operao; tempo: ajuste para um intervalo de tempo pouco superior ao necessrio para execuo normal do procedimento de partida; combinao dos anteriores. 7.11.2.3 Os comandos de contorno para incio de operao devem ser mantidos desativados quando a planta ou equipamento objeto de proteo pelo SIS no estiver em procedimento de partida. 7.11.3 Contorno (By-Pass) para Manuteno 7.11.3.1 Recomenda-se no permitir que mais de uma SIF pertencente a uma mesma planta ou equipamento esteja contornada ao mesmo tempo (ver API RP 554:1995). [Prtica Recomendada] 7.11.3.2 A durao do contorno para manuteno deve ser a menor possvel. 7.11.3.3 Para as SIFs que disponham de iniciadores tolerantes a falha, o contorno para manuteno deve ser de somente um iniciador por vez e, quando acionado, deve degradar as respectivas arquiteturas de votao da seguinte forma: a) de 1 de 2 para 1 de 1; b) de 2 de 2 para 1 de 1; c) de 2 de 3 para 1 de 2. 7.11.3.4 Para as SIFs que no disponham de iniciadores tolerantes a falha, somente deve haver comando de contorno para manuteno nas SIFs que satisfaam simultaneamente aos seguintes requisitos: a) existncia de outro meio para monitorar a varivel de processo em questo; b) a dinmica do processo permita ao operador acionar em tempo hbil o comando manual de trip. 7.11.3.5 O contorno de SIF deve ser realizado de acordo com procedimento especfico para esse fim desenvolvido na etapa de projeto de detalhamento do SIS. Tal procedimento deve incluir o controle do tempo de durao do contorno (ver 13.1.5) e estar em conformidade com os padres de operao da planta ou equipamento objeto de proteo pelo SIS. 29

-PBLICO-

N-2595
EXEMPLO

REV. C

12 / 2010

O operador, aps receber autorizao, aciona um comando de solicitao de contorno, especfico para o respectivo iniciador pretendido, por intermdio da IHM do SSC. A seguir, cabe ao tcnico de manuteno acionar uma chave fsica no painel do Executor da Lgica do SIS, a qual habilita o respectivo comando de contorno solicitado. Enquanto o contorno estiver ativo um alerta pode ser anunciado periodicamente. Se o dispositivo em contorno no for reparado dentro do MTTR assumido nos clculos de confiabilidade, uma ao pr-definida em procedimento especfico deve ser tomada de modo a manter a planta ou equipamento em estado seguro. O exemplo mais comum de ao especfica a adoo de um regime operacional especial (reduo de carga da unidade de processo, operao em estado de alerta etc.), podendo culminar no disparo manual da funo de segurana.

7.12 Interface de Operao 7.12.1 Considera-se que a planta ou equipamento objeto de proteo pelo SIS monitorada e controlada por meio de um SSC, cuja IHM serve tambm de interface do SIS com o operador da planta. Dessa forma, devem ser apresentados na IHM do SSC as seguintes informaes do SIS: a) indicao de atuao das SIFs (eventos de trip); b) indicao de primeiro evento em uma sequncia de trip; c) indicao de estado (vlvula aberta/fechada, motor ligado/desligado) e diagnstico (bom/em falha) dos elementos finais; d) representaes grficas da lgica mostrando estados das entradas e sadas no Executor da Lgica em tempo real com valores de trip (exemplo:matrizes causa efeito animadas); e) textos de auxlio; f) status de contorno (by-pass) de iniciadores; g) resumo de alarmes do Executor da Lgica (falha de alimentao eltrica, temperatura alta no painel, mdulos em falha, rompimento de fiao, falhas de hardware do CP de segurana, erros de software do CP de segurana etc.); h) indicaes e diagnsticos dos iniciadores analgicos; i) estados dos iniciadores discretos; j) alarmes que antecedem a atuao das SIFs (alarmes de pr-trip); k) falha de comunicao do CP de segurana. 7.12.2 Devem ser previamente configurados e enviados da interface de operao do SSC para o Executor da Lgica do SIS os seguintes comandos: a) b) c) d) e) reconhecimento de primeiro evento; reconhecimento de alarmes; contorno (by-pass) para incio de operao; contorno (by-pass) para manuteno; rearme de SIF.

7.12.3 Recomenda-se que toda falha identificada de forma automtica em algum dispositivo do SIS, seja por funo especfica de diagnstico, por desvio no valor da varivel monitorada, ou por qualquer outro mtodo, gere um alarme na interface de operao do SSC. [Prtica Recomendada] NOTA Por desvio no valor da varivel monitorada, pode-se entender uma diferena maior que duas vezes o erro total provvel entre os valores dos sensores analgicos do SIS e do sistema de controle para a mesma varivel de processo.

7.12.4 recomendado que seja implementada sincronizao entre os relgios internos do SSC e do Executor da Lgica do SIS, de modo a viabilizar anlises de sequncias de eventos. [Prtica Recomendada] 30

-PBLICO-

N-2595

REV. C

12 / 2010

7.12.5 aceitvel um atraso mximo de at 3 segundos entre a ocorrncia de uma ao de trip iniciada por uma SIF e a respectiva indicao na interface de operao do SSC.

7.12.6 Sempre que houver tempo suficiente para a ao corretiva pelo operador deve haver alarme de pr-trip. 7.12.7 Recomenda-se que os alarmes do SIS possuam identificao visual e sonora diferenciada dos demais alarmes do SSC. [Prtica Recomendada] 7.12.8 A identificao visual para o primeiro evento de uma sequncia de trip deve ser apresentada de modo destacado na interface de operao. 7.13 Interface para Manuteno e Engenharia 7.13.1 A interface para manuteno e engenharia deve ser realizada em microcomputador tipo PC industrial, devendo possuir as seguintes funes: a) configurao do CP de Segurana e armazenamento de sua configurao; b) diagnstico com indicao de todos os detalhes de falhas detectadas no Executor da Lgica; c) armazenamento de histrico auditvel de aes/intervenes no SIS, com TAG, data, hora e identificao pessoal, de forma a se poder analisar as ocorrncias posteriormente. 7.13.2 A interface para manuteno e engenharia deve ser dotada de senha de acesso. 7.13.3 Para os diversos CPs de Segurana de uma instalao industrial deve existir pelo menos uma estao de engenharia/manuteno interligada em rede com os mesmos. 7.13.4 Recomenda-se que haja uma porta local de comunicao em cada CP de Segurana para o caso de indisponibilidade da rede. [Prtica Recomendada] 7.14 Interface de Comunicao com o SSC 7.14.1 CANCELADA - EMENDA 07/2012 7.14.2 Recomenda-se o uso de mdulos e cabos de comunicao redundantes entre o Executor da Lgica e o SSC. [Prtica Recomendada] 7.14.3 Recomenda-se que o protocolo de comunicao utilizado impea comandos para o Executor da Lgica vindos do SSC diferentes daqueles previamente definidos no 7.12.2. [Prtica Recomendada] 7.14.4 Em caso de falha, a interface de comunicao deve: a) no comprometer a execuo das SIFs; b) no causar trip esprio; c) anunciar a falha na interface de operao.

31

-PBLICO-

N-2595

REV. C

12 / 2010

8 Projeto Bsico do SIS - Verificao do SIL e do MTTFS Requeridos para Cada SIF
8.1 A etapa de verificao tem por objetivo prover maior consistncia ao projeto bsico, evitando modificaes significativas durante o projeto de detalhamento.

8.2 Deve-se considerar, inicialmente, uma arquitetura de votao simples (1 de 1) e componentes de uso geral, aumentando-se gradativamente a complexidade da arquitetura e adotando-se componentes especiais, nesta ordem, at que se verifique conformidade com os valores de SIL e de MTTFS requeridos para a SIF, atravs da aplicao de clculos de engenharia de confiabilidade (por exemplo, conforme a metodologia apresentada na ISA TR 84.00.02 - Part 2: 2002). NOTA A indicao pelos clculos de que no requerida tolerncia a falha no invalida a aplicao de outros critrios de redundncia, tais como flexibilidade operacional, inclusive para a execuo de testes de SIF durante a operao da planta ou equipamento.

8.3 Os clculos de confiabilidade de cada SIF devem ser registrados em uma memria de clculo especfica, contendo as seguintes informaes: a) arquitetura de votao dos dispositivos da SIF; b) dispositivos utilizados (descrio, marca e modelo); c) taxas de falhas dos dispositivos utilizados nas condies de processo consideradas (ver Notas 1 e 2); d) fator de cobertura de diagnstico do dispositivo; e) fator de cobertura de testes; f) fator de causa comum; g) MTTR considerado na instalao industrial em questo; h) intervalo de tempo entre testes peridicos considerado; i) mtodo de clculo adotado; j) identificao das fontes dos dados de falha utilizados; k) requisitos e meios para realizar testes durante a campanha normal de operao, caso necessrio; exemplo: testes de deslocamentos parciais em vlvulas (partial stroke tests); l) requisitos especiais aplicveis; exemplos: utilizao de barreira de segurana intrnseca (ver Nota 3), energiza para trip (ver Nota 4); m) critrios de clculo considerados. Exemplo: todas as falhas detectadas durante os testes so corrigidas, os dispositivos consertados ficam em estado de novo (as good as new), as taxas de falhas so constantes no tempo etc.). NOTA 1 As taxas de falha de dispositivos a serem utilizadas devem ser obtidas em bancos de dados definidos pela Unidade Operacional. EXEMPLO EXIDA SINTEF OREDA CCPS IEEE Safety Equipment Reliability Handbook; Reliability Data for Control and Safety Systems; Offshore Reliability Data; Guidelines for Process Equipment Reliability Data; STD 500 Reliability Data.

NOTA 2 Recomenda-se no utilizar taxas de falha informadas por fabricantes, pois as mesmas no incluem as falhas causadas pela instalao (entupimento de tomada, por exemplo), nem levam em conta as condies reais do processo (temperatura de operao, fluido corrosivo, ambiente agressivo etc.). [Prtica Recomendada] NOTA 3 Caso seja necessria a utilizao de algum elemento entre dispositivos de campo e Executor da Lgica (barreira de segurana intrnseca, isolador, conversor de sinal, rel de interposio etc.), sua taxa de falha dever ser considerada nos clculos de SIL e de MTTFS da SIF. NOTA 4 Normalmente, uma falha da UPS causa trip esprio, mas sua taxa de falha no deve ser contabilizada no clculo de MTTFS. Por outro lado, se uma SIF necessitar de alimentao eltrica para atuar, a taxa de falha do UPS deve ser contabilizada no clculo da sua PFD. 32

-PBLICO-

N-2595

REV. C

12 / 2010

8.4 O MTTR assumido nos clculos de confiabilidade deve incluir os tempos de notificao do problema Gerncia de Manuteno, de execuo do reparo propriamente dito e dos testes psreparo, e de restaurao do dispositivo sua condio operacional normal. 8.5 O intervalo de tempo entre testes peridicos deve ser igual ou maior que o perodo de campanha previsto, entendido como o intervalo de tempo entre paradas programadas peridicas de manuteno da planta ou equipamento. 8.6 Um intervalo de tempo entre testes menor que o perodo de campanha s deve ser adotado nos casos em que seja comprovadamente demonstrado que o SIL requerido no possa ser atingido de outra forma. 8.7 Caso seja adotado um intervalo de tempo entre testes menor que o perodo de campanha, a respectiva SIF deve ser dotada de recursos/facilidades que permitam a realizao de testes peridicos durante a campanha normal de operao da planta ou equipamento, sem comprometer a sua integridade nem sua disponibilidade (perdas de produo). Tais recursos/facilidades fazem parte integrante do projeto da SIF.

9 Projeto de Detalhamento do SIS


Este captulo estabelece requisitos para a elaborao e apresentao, de modo organizado e sistemtico, do conjunto de documentos que viabilizam a correta implantao fsica e funcional do SIS.

9.1 Requisitos Gerais 9.1.1 A execuo do projeto de detalhamento do SIS deve considerar os requisitos de implementao estabelecidos na Seo 7 desta Norma. 9.1.2 Os seguintes documentos devem estar disponveis para iniciar a etapa de projeto de detalhamento: a) Folhas de Dados de SIF; b) Memria de Clculo de Verificao do SIL e do MTTFS da SIF; c) Folha de Dados de Processo dos instrumentos do SIS.

9.2 Documentao 9.2.1 Os documentos relacionados a seguir devem ser elaborados durante a fase de projeto de detalhamento do SIS e estar em conformidade com a PETROBRAS N-1883, formando um conjunto distinto e destacado dos demais documentos do projeto de detalhamento (ver ISA S.91.00.01): a) b) c) d) e) f) g) h) i) j) k) lista de SIFs e de instrumentos do SIS (ver Nota 1); folha de dados de instrumentos do SIS; lista de pontos de ajuste do SIS; memria de clculo de verificao do SIL e do MTTFS da SIF (Nota 2); diagrama lgico do SIS; diagrama de malhas do SIS; diagrama de interligao do SIS; lista de comunicao do SIS; lista de entradas e sadas do Executor da Lgica do SIS; lista de cargas eltricas do SIS (ver Nota 3); especificao tcnica do Executor da Lgica do SIS; 33

-PBLICO-

N-2595
a) b) c) d) e) f) g) h) i)

REV. C

01 / 2011

especificao tcnica de painis do SIS; manual tcnico (do fabricante) do Executor da Lgica do SIS (ver Nota 4); manuais tcnicos (dos fabricantes) dos iniciadores do SIS (ver Nota 4); manuais tcnicos (dos fabricantes) dos elementos finais do SIS (ver Nota 4); programa aplicativo do Executor da Lgica (listagem) do SIS; desenhos de painis do SIS; plano de TAF do SIS (ver Nota 5); manual de operao do SIS (ver Nota 6); plano de manuteno do SIS (ver Nota 7).

NOTA 1 A lista de SIFs e de instrumentos do SIS um documento dividido em duas partes: a primeira parte deve relacionar em ordem numrica cada SIF do SIS (tag, descrio e SIL requerido) com os tags dos instrumentos (iniciadores e elementos finais) que a compe. A segunda parte deve relacionar em ordem alfabtica cada instrumento do SIS (tag, servio, fluxograma ou desenho de origem e folha de dados) com os tags das SIFs das quais fazem parte. NOTA 2 A memria de clculo de verificao do SIL e do MTTFS do projeto de detalhamento deve conter os mesmos clculos efetuados durante o projeto bsico, porm considerando as arquiteturas de votao e os modelos especficos de iniciadores, Executor da Lgica e elementos finais efetivamente adotados, e incluir os clculos do tempo de resposta da SIF e do tempo de retardo, caso necessrio. NOTA 3 A lista de cargas eltricas do SIS ser necessria caso a alimentao eltrica do SIS seja exclusiva. NOTA 4 Os manuais tcnicos devem incluir, sempre que aplicvel, os respectivos certificados e relatrios de compatibilidade com o nvel de integridade de segurana conforme a IEC 61508-1. NOTA 5 O contedo do Plano de TAF do SIS est definido no 10.2 desta Norma. NOTA 6 O contedo do manual de operao do SIS est definido no 13.1 desta Norma. NOTA 7 O contedo do plano de manuteno do SIS est definido no 13.2 desta Norma.

9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informaes consolidadas dos documentos mencionados em a), b), c) e d) do 9.2.1.

9.2.3 Depois de concluda a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados de SIF, manuais, planos e relatrios, devem ser agrupados de modo a compor o Manual do Sistema Instrumentado de Segurana.

10 Teste de Aceitao em Fbrica e Preservao


10.1 Teste de Aceitao em Fbrica - TAF

10.1.1 O TAF do SIS deve ser executado aps a concluso do projeto de detalhamento do Executor da Lgica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalao e de condicionamento do Executor da Lgica (ver IEC 62381).

10.1.2 O objetivo do TAF verificar a conformidade da operao do conjunto Executor da Lgica e programa aplicativo segundo os requisitos previamente estabelecidos nas folhas de dados de SIF e no diagrama lgico. O TAF deve ser planejado e executado de modo detalhado para soluo de no conformidades, equipamentos defeituosos e soluo de pendncias.

10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possveis combinaes lgicas de cada SIF.

34

-PBLICO-

N-2595
10.2 Pr-Requisitos para Realizao do TAF

REV. C

12 / 2010

10.2.1 Durante a etapa de projeto de detalhamento do SIS deve ser elaborado um planejamento prprio e especfico para o TAF. Tal planejamento deve ser estruturado e apresentado em um documento intitulado Plano de TAF, o qual deve incluir os seguintes itens: a) local de realizao; b) documentos de referncia, dentre os quais se destaca a Especificao Tcnica do Executor da Lgica do SIS; c) competncia do pessoal designado para superviso e execuo dos testes; d) responsabilidade pela execuo e registros dos testes; e) responsabilidade pelo acompanhamento, testemunho e liberao; f) cronograma de execuo; g) descrio da plataforma de teste e ferramentas; h) relao dos testes a serem executados; i) procedimento de execuo elaborado especificamente para cada tipo de teste; j) critrios de aceitao; k) modelo de relatrio de registro dos resultados - Relatrio do TAF; l) procedimentos de ao corretiva; m) classificao das pendncias e formulrio para registro das mesmas; n) relatrios dos testes internos realizados (pr-TAF). 10.2.2 Os critrios de aceitao so parte integrante do procedimento de teste e devem ser baseados na ET do Executor da Lgica. 10.2.3 O Plano de TAF deve ser submetido para anlise e liberao por parte da PETROBRAS. Somente aps a liberao do Plano de TAF pode-se dar prosseguimento execuo do TAF propriamente dita.

10.3 Execuo do TAF 10.3.1 O TAF deve ser realizado com os mesmos equipamento e programas aplicativos, utilitrios e embutido que sero efetivamente instalados no campo. 10.3.2 Recomenda-se o uso de recursos de simulao de processo com visualizao grfica para auxlio execuo do TAF. [Prtica Recomendada] 10.3.3 O TAF deve ser conduzido de acordo com o Plano de TAF, incluindo a realizao de testes dos seguintes tipos: a) b) c) d) e) f) inspeo visual; testes eltricos: isolamento, continuidade; testes funcionais: verificao da lgica propriamente dita; verificao do mapa de memria e concordncia com o projeto; testes de desempenho: medio de scan time etc.; testes de compatibilidade ambiental: compatibilidade eletromagntica, operao sob a maior temperatura ambiente especificada etc.; g) testes de tolerncia a falha: operao em modo degradado; h) testes de interface: leitura e escrita de todos os canais, analgicos e digitais, de entrada/sada, bem como de todos os nveis de diagnsticos; exemplo: 2 mA em sinal de 4 mA a 20 mA; simulao de cabo partido em sinal de entrada digital monitorado; variao da tenso da alimentao eltrica; verificao da comunicao de rede; verificao da pressurizao, se aplicvel, no range de presso definido. 35

-PBLICO-

N-2595

REV. C

12 / 2010

NOTA 1 Os testes de entradas analgicas devem ser executados em pelo menos cinco pontos representativos da faixa de medio. Exemplo: 0 %, 25 %, 50 %, 75 % e 100 %. NOTA 2 Uma IHM provisria com telas grficas especficas deve ser prevista para os testes. 10.3.4 Para cada teste executado devem ser registrados: a) b) c) d) e) f) g) h) nmero do documento Plano de TAF associado; tag da SIF e a respectiva funcionalidade objeto do teste; nmero do documento de procedimento de teste associado; identificao dos equipamentos e ferramentas utilizadas; descrio das atividades realizadas; resultados obtidos individuais para cada SIF; conformidade com os critrios de aceitao e relao de pendncias; assinatura do executante e dos responsveis pelo testemunho.

10.3.5 Os registros dos testes realizados devem ser agrupados em um documento intitulado Relatrio do TAF, o qual deve ser submetido para anlise e liberao pela PETROBRAS. 10.3.6 No caso da execuo de um teste no ser bem sucedida, o respectivo evento deve ser registrado no relatrio, analisado e aplicadas as aes corretivas previstas. 10.3.7 Durante a execuo do TAF no devem ser feitas modificaes no programa aplicativo que alterem a funcionalidade ou integridade das SIFs. Qualquer modificao deve ser feita em conformidade com o 13.4 desta Norma. 10.3.8 Objetivando uma melhor anlise da funcionalidade da lgica implementada, recomenda-se a incluso, na equipe de acompanhamento e testemunho do TAF, de pessoal de operao da planta ou equipamento para o qual o Executor da Lgica ser instalado. [Prtica Recomendada]

10.4 Preservao 10.4.1 O objetivo desta etapa o de prover informaes para manuteno da integridade fsica do Executor da Lgica durante os perodos de transporte e armazenamento, antecedendo a etapa de instalao. 10.4.2 Deve ser elaborado um documento intitulado Plano de Preservao, o qual deve incluir os seguintes itens: a) descrio da embalagem para transporte, incluindo recomendaes de manuseio; b) condies extremas a que o equipamento pode ser submetido, tais como acelerao, temperatura, umidade, presso etc.; NOTA: Caso a sensibilidade do equipamento a aceleraes seja um fator crtico, o uso de detectores de choque para o transporte deve ser avaliado. c) descrio dos procedimentos de recebimento e inspeo no parque de montagem d) descrio dos procedimentos para preservao nas etapas pr e ps instalao.

36

-PBLICO-

N-2595

REV. C

12 / 2010

11 Instalao e Condicionamento para Incio de Operao do SIS


11.1 Instalao 11.1.1 A etapa de instalao tem por objetivo garantir que todos os dispositivos do SIS so efetivamente instalados de acordo com suas especificaes tcnicas e demais requisitos estabelecidos na etapa de projeto. 11.1.2 Deve ser elaborado um documento intitulado Plano de Instalao o qual deve conter: a) lista de materiais e equipamentos a serem instalados; b) descrio das atividades de instalao as quais devem incluir verificao das condies previstas no plano de preservao; c) procedimentos e tcnicas a serem utilizadas na instalao; d) cronograma de execuo das atividades de instalao; e) relao de pessoal responsvel pela superviso das atividades de instalao; f) procedimentos de ao corretiva. 11.1.3 O SIS deve ser instalado de acordo com o Plano de Instalao, o qual deve observar os requisitos presentes na PETROBRAS N-858. 11.1.4 Durante a execuo da instalao qualquer impedimento de se seguir o previsto em projeto (exemplo: interferncia fsica, espao reduzido, comprimento insuficiente de cabo eltrico etc.) deve ser registrado em relatrio de instalao e encaminhado para anlise dos responsveis pela elaborao do projeto, os quais devem indicar soluo a ser adotada que no degrade os requisitos tcnicos estabelecidos no projeto do SIS. A documentao de projeto deve ser atualizada de acordo.

11.2 Condicionamento 11.2.1 A etapa de condicionamento tem por objetivo garantir que todos os dispositivos do SIS estejam individualmente operacionais de forma a viabilizar a realizao da etapa de pr-operao (ver IEC 62337). 11.2.2 Deve ser elaborado um documento intitulado Plano de Condicionamento, contendo: a) lista de equipamentos a serem condicionados (iniciadores, Executor da Lgica, elementos finais etc.); b) relao das pendncias levantadas no TAF ainda no sanadas; c) descrio das atividades de condicionamento; d) procedimentos e tcnicas a serem utilizadas no condicionamento (calibrao, teste de estanqueidade etc.); e) cronograma de execuo das atividades de condicionamento; f) relao de pessoal responsvel pela superviso e registro das atividades de condicionamento. 11.2.3 As atividades de condicionamento devem incluir as seguintes tarefas: a) b) c) d) e) inspeo visual; verificao de ligaes e resistncia de aterramento eltrico; verificao das fontes de energia eltrica, pneumtica e hidrulica; parametrizao e calibrao dos iniciadores e elementos finais; verificao das interligaes eltricas entre iniciadores e elementos finais com o painel do Executor da Lgica, incluindo continuidade e isolamento; 37

-PBLICO-

N-2595

REV. C

12 / 2010

f) verificao de todas as vlvulas de bloqueio e de drenagem na posio de operao normal; g) verificao de todos os dispositivos do SIS energizados e com diagnstico interno indicando status operacional bom; h) verificao do correto envio e recebimento de informaes a partir da interface de operao (IHM); i) medio dos tempos de atuao dos elementos finais; j) confirmao da imunidade a interferncia eletromagntica. 11.2.4 Os dispositivos do SIS devem ser condicionados de acordo com o Plano de Condicionamento, o qual deve observar os requisitos da PETROBRAS N-858. Durante a execuo das atividades de condicionamento devero ser feitos registros e elaborado relatrio de condicionamento de modo a demonstrar conformidade com os requisitos tcnicos estabelecidos no projeto do SIS.

12 Pr-Operao e Aceitao Final do SIS


12.1 Pr-Operao 12.1.1 A etapa de Pr-Operao deve ser executada aps a concluso das etapas de instalao e condicionamento. A realizao completa e bem sucedida desta etapa requisito para o incio de operao da planta ou equipamento objeto de proteo pelo SIS. 12.1.2 A etapa de pr-operao tem por objetivo validar o SIS por intermdio da realizao de simulaes e testes funcionais exaustivos, abrangendo no somente a operao conjunta de todos os dispositivos do SIS, mas tambm destes com os demais sistemas e/ou equipamentos interligados e efetivamente instalados em campo. 12.1.3 Deve ser elaborado um documento intitulado Plano de Pr-Operao do SIS, contendo: a) Lista de Atividades de Validao, incluindo todos os modos relevantes de operao do processo ou equipamento associado ao SIS (partida, regime permanente, parada, manuteno etc.); b) procedimentos e tcnicas a serem utilizadas; c) cronograma de execuo das atividades de validao; d) relao de pessoas e organizaes responsveis pela execuo, registro e acompanhamento das atividades de validao; e) relao de documentos de projeto que devem ser utilizados como padro de referncia para validao (folhas de dados de SIF, matriz de causa e efeito, diagrama lgico etc.). 12.1.4 Recomenda-se que o Plano de Pr-Operao no imponha excessivo nmero de demandas durante os testes aos elementos finais. [Prtica Recomendada] 12.1.5 A Lista de Atividades de Validao deve incluir, no mnimo: a) simulao da atuao de cada SIF, evidenciando a funcionalidade de projeto do conjunto iniciador(es), Executor da Lgica e elemento(s) final(is), incluindo arquiteturas de votao; b) confirmao dos valores limite para atuao de cada SIF (set points de trip), bem como dos valores de tempo de retardo; c) simulao passo a passo da sequncia de partida da planta ou equipamento, incluindo os comandos de contorno e a atuao de cada SIF; d) testes de desempenho, incluindo tempo de resposta das SIFs; e) confirmao da correta atuao dos comandos de partida e parada manuais; 38

-PBLICO-

N-2595

REV. C

01 / 2011

a) confirmao da correta atuao dos comandos de contorno (by-pass) para manuteno; b) confirmao da correta atuao dos comandos de rearme; c) confirmao da correta comunicao com a interface de operao, incluindo indicaes, alarmes gerados pelas SIFs, registro de eventos, matriz de causa e efeito animada etc.; d) confirmao do comportamento esperado de cada SIF nos casos de ocorrncia de: medio fora de range, falta de energia eltrica, perda de pressurizao pneumtica ou hidrulica.

12.1.6 As atividades executadas na etapa de Pr-Operao do SIS devem ser registradas em um relatrio de validao.

12.2 Aceitao Final do SIS

12.2.1 O objetivo desta etapa registrar de forma conclusiva o final da etapa de Pr-Operao do SIS, liberando-o para incio de operao.

12.2.2 Deve ser elaborado um documento intitulado Declarao de Aceitao do SIS, o qual deve incluir os seguintes registros: a) b) c) d) e) f) g) nmero do Plano de Pr-Operao do SIS utilizado; verso validada do programa aplicativo; ferramentas e equipamentos de teste utilizados; identificao de cada SIF examinada e os resultados dos respectivos testes; resultados dos testes com os demais sistemas interligados (SSC, outros SIS); descrio das discrepncias constatadas; nome e assinatura dos responsveis pela operao da planta ou equipamento.

12.2.3 Toda discrepncia constatada entre o resultado obtido e o esperado deve ser submetida a anlise, por parte dos responsveis pela elaborao do projeto, de forma a decidir-se corretamente se o SIS pode ser aceito, ou se devida uma reviso nos documentos de projeto. O relatrio de anlise bem como a deciso tomada sobre o tratamento a ser dado (s) discrepncia(s) deve fazer parte integrante da Declarao de Aceitao do SIS.

12.2.4 Toda pendncia que degrade requisito tcnico estabelecido no projeto do SIS deve ser tratada.

12.2.5 Como atividade final deve ser efetuada uma inspeo no SIS de modo a assegurar que: a) todas as funes de contorno foram deixadas nas respectivas posies normais de operao; b) todos os elementos finais (vlvulas de bloqueio, contorno etc.) se encontram nas respectivas posies de segurana; c) todos os materiais e dispositivos de teste se encontram removidos; d) todas as variveis ou condies foradas no programa aplicativo foram removidas.

13 Operao, Manuteno, Testes Peridicos e Modificaes


13.1 Operao

13.1.1 O objetivo de 13.1 o de estabelecer requisitos que contribuam para a operao adequada do SIS ao longo de seu ciclo de vida.

39

-PBLICO-

N-2595

REV. C

01 / 2011

13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de Operao do SIS, o qual deve apresentar de forma organizada o seguinte contedo: a) Descrio funcional e detalhada de cada SIF, abordando: evento perigoso que a SIF se destina a proteger; consequncias potenciais associadas ao evento perigoso; provveis causas de demanda para a SIF; descrio do estado seguro e da atuao correta da SIF; valores de set point de alarme e trip; descrio de alarmes e apresentao das interfaces (telas, anunciadores luminosos e sonoros etc.) associadas; procedimentos operacionais especficos quando da operao com a SIF em contorno. b) descrio passo a passo da sequncia de partida do processo ou equipamento associado ao SIS, explicitando: comandos de contorno; condies de processo que devem ser satisfeitas em cada passo e respectivas SIFs associadas; intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de purga etc.); funes de reset. c) descrio individual de cada comando de contorno, seja para partida ou manuteno, discriminando as condies em que os mesmos devem ser utilizados; d) descrio individual de cada comando de parada manual, identificando as possveis situaes em que os mesmos devem ser acionados; e) instruo sobre a necessidade de realizao de Testes Peridicos nas SIFs para manuteno de sua integridade; f) procedimentos associados ocorrncia de alarmes de diagnstico do SIS.

13.1.3 O Manual de Operao do SIS deve fazer referncia e estar em conformidade com os demais documentos de projeto do SIS, tais como: relatrios de anlise de risco, folhas de dados de SIF, matriz de causa e efeito, diagrama lgico etc.

13.1.4 O pessoal responsvel pela operao da planta ou equipamento objeto de proteo pelo SIS deve ser submetido a treinamento com objetivo de serem instrudos nas informaes e procedimentos contidos no manual de operao do SIS. O treinamento deve ser registrado de forma apropriada a garantir sua rastreabilidade.

13.1.5 No caso de uma SIF ficar indisponvel deve ser utilizado procedimento especfico para contorno temporrio. NOTA Recomenda-se que Recomendada] a) b) c) d) e) o documento de registro do contorno contenha: [Prtica

descrio da SIF a ser contornada; razes da indisponibilidade; intervalo de tempo previsto para o contorno; aes complementares de operao durante o perodo de contorno; assinatura da autoridade competente.

13.2 Manuteno

13.2.1 O objetivo de 13.2 estabelecer requisitos que viabilizem a manuteno da integridade e da confiabilidade do SIS ao longo de seu ciclo de vida.

40

-PBLICO-

N-2595

REV. C

12 / 2010

13.2.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Plano de Manuteno do SIS, o qual deve apresentar de forma organizada o seguinte contedo: a) relao de testes peridicos a serem executados, para cada SIF, abordando: descrio funcional da SIF; nvel de integridade de segurana a ser mantido; valores de set point de alarme e trip; periodicidade mnima necessria de realizao; procedimento detalhado de execuo do teste peridico.

b) relao de inspees de rotina a serem realizadas, abordando: verificao de integridade fsica da instalao: eletrodutos e bandejas, caixas de ligao, suportes, tubings, cadeados e selos em vlvulas e disjuntores etc.; substituio programada de baterias, ventiladores etc.; verificao das cpias de segurana (back-ups) do programa aplicativo. c) formulrios de registro de manuteno para testes peridicos, inspees de rotina e reparos de falhas, contendo, no mnimo, as seguintes informaes: descrio da tarefa; data de realizao da tarefa; responsvel(eis) pela execuo e tempos empregados; modo de deteco da falha e descrio da ao corretiva, caso aplicvel. d) cronograma de execuo de testes e inspees peridicos; e) descrio das ferramentas e dos equipamentos necessrios; f) relao de pessoal e organizaes responsveis pela execuo dos testes peridicos, das inspees de rotina e dos respectivos registros. 13.2.3 recomendado que o usurio adote uma sistemtica de codificao das tarefas, falhas, aes corretivas e atuaes de modo a permitir a realizao de anlises estatsticas de ocorrncias do SIS. [Prtica Recomendada] 13.2.4 A execuo de intervenes programadas de manuteno no SIS deve seguir o Plano de Manuteno do SIS, sendo que toda a documentao de registro de execuo deve estar disponvel para consulta. 13.2.5 O Plano de Manuteno do SIS deve fazer referncia e estar em conformidade com os demais documentos de projeto do SIS, tais como: relatrios de anlise de risco, folhas de dados de SIF, matriz de causa e efeito, diagrama lgico etc. 13.2.6 Recomenda-se que outras camadas de proteo diferentes do SIS sejam includas no Plano de Manuteno do SIS, caso tenham sido consideradas na reduo de riscos. [Prtica Recomendada] 13.2.7 Os responsveis pelas atividades de manuteno do SIS devem ser submetidos a treinamento com objetivo de serem instrudos nas informaes e procedimentos contidos no respectivo Plano de Manuteno do SIS. O treinamento deve ser registrado de forma apropriada a garantir sua rastreabilidade. 13.2.8 O acesso ao Executor da Lgica do SIS deve ser restrito ao pessoal autorizado pelo responsvel pela manuteno. A quantidade de pessoas com autorizao de acesso deve ser limitada e controlada.

41

-PBLICO-

N-2595

REV. C

01 / 2011

13.2.9 Toda a documentao do SIS deve estar includa em um sistema de controle de revises que garanta a sua atualizao e distribuio, de forma que seus usurios estejam sempre de posse de sua ltima reviso.

13.2.10 Devem ser previstas auditorias peridicas para a confirmao do cumprimento dos seguintes itens: a) b) c) d) e) procedimento adotado para implementaes de modificaes; procedimento adotado de testes e verificao de sua periodicidade; sistemtica de registros e anlises de manuteno; treinamento de pessoal de manuteno; integridade e atualizao da documentao.

13.3 Testes Peridicos

13.3.1 O objetivo de 13.3 estabelecer requisitos para a execuo de testes peridicos no SIS, de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a integridade das SIFs.

13.3.2 A execuo dos testes peridicos deve ser realizada de acordo com os procedimentos elaborados e escritos especificamente para cada SIF, presentes no Plano de Manuteno do SIS. NOTA Recomenda-se utilizar como referncia a ISA TR 84.00.03. [Prtica Recomendada]

13.3.3 A periodicidade de execuo dos testes deve ser tal que mantenha o SIL de cada SIF, conforme previsto na Folhas de Dados de SIF (projeto bsico) e confirmado aps a etapa de verificao do SIL (projeto de detalhamento).

13.3.4 Durante as paradas programadas de manuteno todas as SIFs, independentemente do SIL e da existncia de monitorao, devem ser testadas com fator de cobertura igual a 1.

13.3.5 Os testes peridicos devem abranger todos os dispositivos da SIF, a saber: iniciadores, Executor da Lgica e elementos finais.

13.3.6 Iniciadores devem ser testados simulando-se, o mais prximo possvel, as condies reais de operao, incluindo linhas de impulso, elementos primrios e instalao eltrica. Exemplo: bloqueio e drenagem de chave de nvel.

13.3.7 Elementos finais devem ser testados forando-se a atuao das respectivas sadas do Executor da Lgica, inclusive para os normalmente energizados.

13.3.8 Nos casos onde no seja vivel a execuo de teste completo do elemento final em regime de operao normal, os procedimentos de teste especficos devem incluir: a) execuo de teste completo durante parada do processo ou equipamento; b) execuo de teste(s) parcial(is) durante o regime de operao do processo ou equipamento, envolvendo os seguintes componentes: circuitos de sada, rels de interposio, vlvulas solenide e deslocamento parcial de vlvulas de bloqueio.

13.3.9 Deve ser prevista ao contingencial no caso de o elemento final falhar na posio de segurana durante a realizao do teste.

42

-PBLICO-

N-2595

REV. C

01 / 2011

13.3.10 Caso seja constatada a existncia de falha oculta em decorrncia da execuo dos testes peridicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.

13.3.11 Os registros de execuo dos testes peridicos devem conter as seguintes informaes: a) b) c) d) e) f) g) nmero do procedimento de teste; data de realizao do teste; nome da pessoa responsvel pela execuo do teste; tag e nmero de srie dos dispositivos submetidos ao teste; resultado do teste como encontrado, incluindo descrio da falha (se houver); resultado do teste como deixado, conforme critrio de aceitao no procedimento; descrio dos trabalhos realizados, incluindo as partes substitudas (se houver) e o tempo utilizado.

13.3.12 Os registros de execuo dos testes peridicos devem ser mantidos ao longo de toda a vida til do SIS, de modo que: a) possam ser verificados a qualquer tempo; b) permitam avaliaes de desempenho em longo prazo.

13.3.13 A critrio da Unidade Operacional, pode-se considerar trips reais ou esprios como testes das SIFs, desde que observadas as seguintes condicionantes: a) o evento de trip deve ser registrado em formulrio especfico, contendo no mnimo: data e hora do evento, SIF atuada, alarmes, modo de deteco, causa identificada (varivel de processo em desvio, dispositivo(s) em falha, ao humana), aes subsequentes e nome do responsvel; o formulrio de registro de trip deve ser arquivado no sistema de documentao tcnica da Unidade Operacional, de modo rastrevel; b) trips com causa desconhecida no podem ser usados como teste de SIF; c) em um trip esprio causado por falha do elemento final, nenhum dos dispositivos da SIF pode ser considerado como testado; d) em um trip esprio causado por falha de mdulo de sada do CP de segurana, apenas o elemento final pode ser considerado como testado; e) em um trip esprio causado por falha na CPU do Executor da Lgica, apenas o mdulo de sada do CP de segurana e o elemento final podem ser considerados como testados; f) em um trip esprio causado por falha de mdulo de entrada do CP de segurana, toda a SIF, exceto o iniciador e o mdulo de entrada do CP de segurana, pode ser considerada como testada; g) em um trip esprio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode ser considerada como testada; h) em um trip real, somente os dispositivos que comprovadamente (a partir dos registros do evento) tenham operado corretamente podem ser considerados como testados.

13.4 Modificaes

13.4.1 O objetivo de 13.4 estabelecer requisitos de modo que modificaes realizadas no SIS no impactem a segurana da planta ou do equipamento associado.

13.4.2 Toda proposta de modificao no SIS deve ser embasada em fatos e dados registrados em um documento intitulado Solicitao de Modificao no SIS, o qual deve conter: a) descrio da modificao proposta; b) razes para realizao da modificao; c) condies ou eventos perigosos relacionados.

43

-PBLICO-

N-2595

REV. C

12 / 2010

13.4.3 Toda modificao proposta deve ser submetida a uma anlise inicial pela equipe tcnica responsvel pelo SIS, de modo a se classificar a mesma como: a) modificao tipo 1: no altera estrutura lgica, SIL ou MTTFS da(s) SIF(s) envolvida(s). Exemplos: alteraes de parmetros de programao, tais como valores de range, de set point de alarme ou trip, ou de retardos de tempo; b) modificao tipo 2: pode alterar funcionalidade, SIL, ou MTTFS da(s) SIF(s) envolvida(s); exemplos: acrscimo ou remoo de iniciadores ou elementos finais, alteraes na arquitetura de votao, no tipo de equipamento, ou na lgica do programa aplicativo. 13.4.4 Recomenda-se evitar: [Prtica Recomendada] a) alteraes na lgica do programa aplicativo durante operao do processo ou equipamento associado ao SIS; b) modificaes de firmware, exceto quando requeridas para correo de falhas detectadas pelo fabricante. 13.4.5 Aps a anlise inicial, o documento de Solicitao de Modificao no SIS deve ser: a) submetido a aprovao pelo responsvel pela operao da instalao industrial; b) arquivado de forma a viabilizar consultas durante e aps o processo de modificao. 13.4.6 Caso a solicitao de modificao seja aprovada, a equipe tcnica responsvel deve emitir reviso nos documentos tcnicos pertinentes, incluindo os procedimentos de testes, de operao e de manuteno. A documentao revisada deve ser identificada como REVISO PROVISRIA PARA MODIFICAO NO SIS e referenciar a correspondente Solicitao de Modificao no SIS. 13.4.7 Antes da reviso dos documentos afetados por uma modificao tipo 2, deve ser feita a revalidao da anlise de riscos e da avaliao de SIL e MTTFS. 13.4.8 Antes da execuo de qualquer tipo de modificao no SIS, deve ser feita a revalidao dos testes de verificao da funcionalidade da(s) SIF(s) envolvida(s) na modificao. 13.4.9 Toda execuo de modificao no SIS deve ser planejada observando os procedimentos de autorizao de acesso e de trabalho vigentes na Unidade Operacional. 13.4.10 A execuo de modificaes no programa aplicativo deve incluir verificaes adicionais para garantir a inexistncia de alteraes nas demais SIFs no envolvidas na modificao implementada. 13.4.11 Aps concludos os testes funcionais de verificao, a descrio da reviso dos documentos tcnicos afetados pela modificao deve ser mudada para REVISADO CONFORME SOLICITAO DE MODIFICAO NO SIS N....

44

-PBLICO-

N-2595

REV. C

12 / 2010

Anexo A - Determinao do Nvel de Integridade de Segurana Requerido Utilizando o Mtodo de Grficos de Risco A.1 Introduo
A.1.1 Este anexo descreve o mtodo de grficos de risco que permite que o nvel de integridade de segurana de uma SIF seja determinado a partir do conhecimento dos fatores de risco associados ao processo e ao sistema de controle bsico de processo. Trata-se de um mtodo semi-qualitativo, e foi desenvolvido a partir do anexo D da IEC 61511-3:2003. A.1.2 Nesta abordagem so usados parmetros, que juntos descrevem a natureza da situao perigosa que ocorre no caso da inexistncia ou de falha do SIS. So utilizados quatro conjuntos de parmetros, e os parmetros selecionados so combinados para se determinar o nvel de integridade de segurana da SIF. Estes parmetros representam fatores chave para as avaliaes dos riscos e permitem uma classificao escalonada dos riscos. A.1.3 Este anexo apresenta exemplos de grficos de risco e de tabelas de parmetros desenvolvidos para atender os critrios tpicos de unidades de processo. Antes de serem utilizados em qualquer projeto importante que sejam validados pela rea responsvel pela segurana da planta. Nesta oportunidade podem ser feitos ajustes nos parmetros a fim de adequ-los s situaes especficas. A.1.4 Neste anexo so apresentados grficos de risco relacionados com a segurana de pessoas nas indstrias de processo e com os aspectos de proteo ambiental e de proteo patrimonial.

A.2 Sntese do Grfico de Risco


A.2.1 O risco definido como uma combinao da probabilidade da ocorrncia do dano e da severidade desse dano (ver definies). Tipicamente, no setor de processo, o risco uma funo dos seguintes quatro parmetros: severidade da consequncia do evento perigoso (C); ocupao ou grau de presena humana (probabilidade da rea exposta estar ocupada) (F); probabilidade de evitar a exposio ao evento perigoso (P); frequncia de demanda (nmero de vezes por ano em que o evento perigoso ocorreria na ausncia da funo instrumentada de segurana que est sendo considerada) (W).

45

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela A.1 - Descries dos Parmetros do Grfico de Risco da Indstria de Processo


Parmetro Descrio Nmero de fatalidades e/ou de ferimentos graves resultantes da ocorrncia do evento perigoso. Determinado levando-se em conta o nmero de pessoas na rea exposta quando a rea estiver ocupada e a vulnerabilidade ao evento perigoso. Probabilidade que a rea exposta ao perigo esteja ocupada no momento da ocorrncia do evento perigoso. determinado calculando-se a frao do tempo em que rea est ocupada na ocorrncia do evento perigoso. Deve ser considerada a possibilidade de aumento de presena na rea exposta associada investigao de situaes anormais que podem existir antes da ocorrncia do evento perigoso. (isto deve ser considerado tambm para determinao do parmetro C). A probabilidade de as pessoas expostas ao perigo poderem evitar o dano devido a falha na demanda da funo instrumentada de segurana. Depende de existirem mtodos independentes que alertem as pessoas antes da ocorrncia do evento perigoso e da possibilidade de evacuao. O nmero de vezes por ano que o evento perigoso ocorreria na ausncia da funo instrumentada de segurana sendo analisada. Isto pode ser determinado considerando todas as falhas que podem conduzir ao evento perigoso e estimando a taxa total para a ocorrncia. Podem-se incluir outras camadas de proteo na anlise.

Severidade da Consequncia

Ocupao

Probabilidade de evitar o dano

Frequncia de demanda

A.2.2 O grfico de risco relaciona combinaes especficas de parmetros de risco e nveis de integridade de segurana. O relacionamento entre as combinaes de parmetros do risco e de nveis da integridade de segurana estabelecido considerando o risco tolervel associado a perigos especficos.

A.3 Documentao Relacionada aos Resultados da Determinao do Nvel de Integridade de Segurana (SIL)
importante que todas as decises tomadas durante a determinao do SIL sejam registradas em documentos controlados. A documentao deve indicar claramente as razes pelas quais, a equipe selecionou os parmetros especficos associados a cada funo de segurana. Os formulrios que registram o resultado e as hipteses consideradas em cada determinao de SIL de cada funo de segurana devem ser compilados em um relatrio. O relatrio deve tambm incluir as seguintes informaes adicionais: o grfico do risco usado junto com as descries de todas as escalas dos parmetros; os nmeros e revises de todos os desenhos usados; as referncias s hipteses consideradas e eventuais estudos de consequncias que foram utilizados para avaliar os parmetros; as referncias s falhas que conduzem s demandas e qualquer modelo da propagao de falha usados para determinar taxas de demanda; as referncias s fontes dos dados usados para determinar taxas de demanda.

46

-PBLICO-

N-2595

REV. C

12 / 2010

A.4 Uso de Grfico de Risco Relativo a Segurana de Pessoas


A.4.1 A Tabela A.2 apresenta descries e escalas para cada parmetro utilizado na Figura A.1 relativo segurana de pessoas.

C1

W3 --1 2 3 X X

W2 ----1 2 3 X

W1 ------1 2 3

C2 Incio C3 C4

F1 F2 F1 F2 F1 F2

P1 P2 P1 P2 P1 P2 P1 P2

C = Consequncia F = Ocupao P = Probabilidade de evitar o evento perigoso W = Taxa de demanda

--- = Sem requisitos de segurana 1, 2, 3 = SIL X = ver 6.4.9 desta Norma

Figura A.1 - Grfico de Risco Relativo Segurana de Pessoas


A.4.2 O conceito de vulnerabilidade foi introduzido para modificar o parmetro da consequncia, pois nem sempre uma falha causa imediatamente uma fatalidade. A vulnerabilidade de um receptor uma considerao importante na anlise do risco porque a dose recebida por um indivduo s vezes no grande o bastante para causar uma fatalidade. A vulnerabilidade de um receptor a uma consequncia funo da concentrao do perigo a que ele foi exposto e a durao da exposio. Um exemplo disto quando uma falha causa a elevao da presso em um equipamento ultrapassando a presso de operao, mas no atingindo a presso de teste. O resultado provvel normalmente ser limitado ao vazamento em juntas de flanges. Nesses casos, a taxa de progresso do perigo provavelmente deve ser lenta e a equipe de operao poder normalmente escapar das consequncias. Mesmo nos casos de vazamentos de grandes inventrios de lquidos, o agravamento da situao pode ser suficientemente lento para permitir que a equipe de operao possa evitar o dano. H naturalmente os casos onde uma falha pode conduzir a uma ruptura de tubulaes ou vasos onde a vulnerabilidade da equipe de operao pode ser elevada. A.4.3 Deve ser considerada a possibilidade do aumento do nmero de pessoas nas proximidades quando de evento perigoso, como consequncia de verificaes de sintomas que podem ocorrer durante a formao do referido evento. Logo, deve ser considerado o pior cenrio. A.4.4 importante ressaltar diferena entre vulnerabilidade (V) e probabilidade de evitar o evento perigoso (P) de modo que no seja considerado duas vezes para o mesmo fator. A vulnerabilidade uma medida que se relaciona velocidade de progresso depois que o perigo ocorre, enquanto o parmetro de P uma medida que se relaciona com a preveno do perigo. O parmetro P deve ser usado somente nos casos onde o perigo pode ser impedido por ao do operador, depois de que ele esteja ciente que a respectiva SIF associada tenha falhado. 47

-PBLICO-

N-2595

REV. C

12 / 2010

A.4.5 Alguns cuidados devem ser tomados na seleo dos parmetros de ocupao. O fator de ocupao deve ser selecionado baseando-se na pessoa mais exposta e no na mdia de todos os expostos. A.4.6 Quando no possvel enquadrar um parmetro nas escalas especificadas, necessrio utilizao de outros mtodos de reduo do risco.

Tabela A.2 - Descries dos Parmetros Utilizados na Figura A.1


Parmetro de risco Severidade da Consequncia (C) C1 Classificao Sem leses significativas Comentrios

Deve ser calculada multiplicando a vulnerabilidade ao perigo identificado pelo nmero de pessoas presentes na rea C2 exposta ao perigo (C=NxV). A vulnerabilidade determinada pela natureza do perigo da seguinte forma: C3 V = 0,01 Pequena liberao de material inflamvel ou txico; V = 0,1 Grande liberao de material inflamvel ou txico; V = 0,5 A mesma liberao acima, mas com probabilidade elevada de C4 fogo ou de material altamente txico; V = 1 Ruptura ou exploso.

0,01 C < 0,1

1) A severidade da consequncia representa o nmero de feridos graves e de fatalidades.

0,1 C < 1,0 2) C1, C2, C3 e C4 devem ser interpretadas levando em conta tambm as condies do restabelecimento dos feridos.

C 1,0

Ocupao (F) Este parmetro calculado determinando a durao proporcional do tempo no qual a zona exposta ao perigo ocupada em um F1 turno de trabalho. NOTA 1 Se o tempo na rea perigosa for diferente dependendo do turno de operao o valor mximo deve ser selecionado. NOTA 2 A utilizao do parmetro F adequada apenas se for possvel demonstrar que a taxa de demanda aleatria e que no F2 ligada ao perodo durante o qual a ocupao superior normal. Este o caso, por exemplo, em partidas ou durante a investigao de anomalias. Exposio de rara a pouco frequente na zona perigosa Ocupao menor que 10% do tempo (F < 0,1).

Ver comentrio 1 acima Exposio de frequente a permanente na zona perigosa Ocupao maior que 10% do tempo (F 0,1).

48

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela A.2 - Descries dos Parmetros Utilizados na Figura A.1 (Continuao)


Parmetro de risco Classificao Comentrios

3) P1 somente deve ser selecionado se todas as condies seguintes forem Adotado se todas verdadeiras: as condies na P1 coluna Comentrios so previstos meios para alertar o operador forem satisfeitas que o SIS falhou; so previstos meios independentes de parada do processo a Probabilidade de evitar o evento perigoso fim de evitar o perigo ou para permitir que as (P) se o sistema de proteo falhar. pessoas sejam evacuadas para uma rea segura; Adotado se uma ou o tempo, entre o mais das condies momento em que o P2 da coluna operador avisado e o Comentrios no momento em que o forem satisfeitas evento ocorre excede 1 h ou suficiente para empreender as aes necessrias. Taxa de demanda (W) Taxa de demanda W1 menor que 0,1 por 4) A finalidade do fator W O nmero de vezes por o ano que o estimar a frequncia do ano evento perigoso ocorreria na ausncia de perigo sem a existncia do SIF sob anlise. SIS. Para determinar a taxa de demanda Taxa de demanda necessrio considerar todas as fontes da W2 entre 0,1 e 1 por falha que podem conduzir a um evento ano perigoso. Na determinao da taxa de demanda, confiabilidade limitada deve ser creditada ao sistema de controle. O desempenho do sistema de controle W3 Taxa de demanda entre 1 e 10 por ano limitado abaixo das escalas de desempenho associadas com o SIL1.

5) Para taxas de demanda maiores que 10 por ano, o SIL tem que ser determinado por outro mtodo.

A.5 Uso de Grfico de Risco para Consequncias Ambientais A.5.1 O nvel da integridade de segurana requerido depende das caractersticas da substncia liberada e da sensibilidade do ambiente. A Tabela A.3 mostra classes de consequncias ambientais. Durante a etapa de projeto deve-se determinar o que pode ser aceito em cada local da instalao industrial.

49

-PBLICO-

N-2595

REV. C
W3 --1 2 3 X X W2 ----1 2 3 X W1 ------1 2 3

12 / 2010

E1 Incio E2 E3 E4

P1 P2 P1 P2 P1 P2 P1 P2

E = Consequncia ambiental P = Probabilidade de evitar o evento perigoso W = Taxa de demanda

--- = Sem requisitos de segurana 1, 2, 3 = SIL X = ver 6.4.9 desta Norma

Figura A.2 - Grfico de Risco Relativo Segurana Ambiental


A.5.2 As consequncias acima devem ser usadas conjuntamente com o grfico de risco conforme Figura A.2. Deve-se notar que o parmetro de F no usado neste grfico de risco porque o conceito de ocupao no se aplica. Os parmetros P e W se aplicam e as definies podem ser idnticas quelas usadas para o grfico de segurana pessoal.

Tabela A.3 - Consequncias Ambientais Gerais


Parmetro de risco Exemplos Um vazamento moderado em um Sem liberao ou liberao com danos flange ou vlvula menores, mas grande o bastante para Um pequeno vazamento de lquido ser relatado gerncia de planta Pequena poluio do solo sem afetar o lenol fretico Uma nuvem do vapor insalubre deslocando-se para fora da Liberao dentro dos limites da instalao industrial aps companhia com danos significativos rompimento de junta de flanges ou falha de selo de compressor Liberao para fora dos limites da Uma liberao de vapor ou companhia com danos significativos aerossol, com ou sem precipitao que podem ser limpos rapidamente sem de lquido, que causa danos consequncias duradouras temporrios flora ou fauna significativas Vazamento significativo de lquido em um rio ou no mar; Liberao de vapor ou de aerossol, Liberao para fora dos limites da com ou sem precipitao de lquido, companhia com danos significativos que causa danos duradouros flora que no podem ser limpos rapidamente ou fauna; ou com consequncias duradouras Liberao de slidos (poeira, catalisador, fuligem, cinzas); Vazamento lquido que possa afetar o lenol fretico Classificao

E1

E2

Consequncia Ambiental (E)

E3

E4

50

-PBLICO-

N-2595

REV. C

12 / 2010

A.6 Uso de Grfico de Risco para Consequncias Materiais


A.6.1 O uso de grfico de risco para determinar o nvel da integridade de segurana associado a conseqncias materiais deve levar em considerao todas as perdas econmicas decorrentes da falha na demanda da funo, incluindo custos de reparo de equipamentos e instalaes, perdas de produo, custos de limpeza e recomposio, multas contratuais, multas de rgos governamentais etc. A.6.2 O grfico de risco da Figura A.3 deve ser usado em conjunto com as classes de consequncias materiais descritas na Tabela A.4.
W3 --1 P1 P2 2 P1 P2 P1 P2 P1 P2 3 X X W2 ----1 2 3 X W1 ------1 2 3

L1 L2 Incio L3 L4

L = Consequncia material P = Probabilidade de evitar o evento perigoso W = Taxa de demanda

--- = Sem requisitos de segurana 1, 2, 3 = SIL X = ver 6.4.9 desta Norma

Figura A.3 - Grfico de Risco para Consequncias Materiais Tabela A.4 - Classes de Consequncias Materiais
Parmetro do risco Classificao Exemplos

L1

Perdas entre US$ 100.000 e US$ 1.000.000

produo fora de especificao; perda de produto por abertura de PSV; danos por cavitao em bombas de pequeno porte.

Consequncia Material (L) perda de grande quantidade de produto por abertura de PSV ou transbordamento de reservatrio; danos por cavitao em bombas de alta rotao ou em bombas de mltiplos estgios que disponham de reserva; danos financeiros por produo adiada, incluindo multa por atraso na entrega.

L2

Perdas entre US$ 1.000.000 e US$ 10.000.000

51

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela A.4 - Classes de Consequncias Materiais (Continuao)


Parmetro do risco Classificao Exemplos

L3

Perdas entre US$ 10.000.000 e US$ 100.000.000

Consequncia Material (L)

coqueamento de tubos de forno; danos por suco de lquido ou por bloqueio da suco ou da descarga em compressor de grande porte; danos decorrentes de grande derramamento de produto, incluindo custos de limpeza e multa por rgo de fiscalizao ambiental; reparos de baixo custo em equipamentos essenciais que trabalhem sem reserva; reparos custosos em equipamentos no essenciais ou que disponham de reserva.

L4

Perdas superiores a US$ 100.000.000

exploso de reator; ruptura de sistema pressurizado; exploso de forno; exploso de caldeira.

A.6.3 As classes de consequncias materiais apresentadas na Tabela A.4 so definidas primariamente pelas faixas de valores monetrios indicadas. Os exemplos so meramente ilustrativos de casos que tipicamente resultam em perdas financeiras naquela faixa e podem servir como orientao para a equipe de anlise. Deve-se notar que o parmetro F no usado neste grfico de risco porque o conceito de ocupao no se aplica. Os parmetros P e W se aplicam e as definies podem ser idnticas quelas da Tabela A.2.

A.7 Determinao do Nvel da Integridade da Funo Instrumentada de Segurana Quando a sua Falha Leva a Mais de Um Tipo de Consequncia
Quando uma falha na demanda leva a mais de um tipo de consequncia (a pessoas, ao meio ambiente e materiais), os requisitos de integridade associados com cada um dos aspectos envolvidos devem ser determinados em separado e o maior dentre eles deve ser o nvel de integridade especificado para a funo.

52

-PBLICO-

N-2595

REV. C

12 / 2010

Anexo B - Anlise de Camadas de Proteo (LOPA) B.1 Introduo


B.1.1 Este anexo estabelece um procedimento padronizado para avaliao do Nvel de Integridade de Segurana (SIL) requerido para Funes Instrumentadas de Segurana (SIFs), utilizando o mtodo de Anlise de Camadas de Proteo (LOPA) descrito no livro-conceito do AIChE CCPS. B.1.2 Anlise de Camadas de Proteo (LOPA) um mtodo semi-quantitativo de avaliao de riscos, cuja finalidade primria determinar se as medidas de proteo presentes contra um evento indesejado so suficientes para reduzir seu risco a um nvel tolervel. Isto feito, atribuindo-se valores numricos s frequncias das possveis causas iniciadoras e s probabilidades mdias de falha na demanda de cada camada de proteo existente, e comparando-se o valor do risco assim obtido com o valor pr-estipulado do risco tolervel. B.1.3 Se o risco estimado para um cenrio no for tolervel, outras camadas de proteo devem ser adicionadas a fim de se atingir a reduo de risco necessria. LOPA no define quais camadas de proteo adicionar ou como projet-las, mas auxilia na avaliao das medidas alternativas que podem ser implementadas para que se alcance a reduo de risco requerida. B.1.4 LOPA no um mtodo de identificao de perigos ou de levantamento de cenrios de acidente. Os cenrios a serem analisados com LOPA devem ser desenvolvidos durante aplicao de HAZOP como tcnica de anlise de riscos de processo capaz de identificar os cenrios de risco acidental, conforme Anexo C da PETROBRAS N-2782.

B.2 Procedimento
O procedimento de aplicao da LOPA para a determinao do SIL requerido para cada SIF est representado de forma simplificada na Figura B.1 e descrito em detalhes nas sees B.2 a B.4 deste Anexo, as quais apresentam alguns valores numricos tabelados para serem usados no clculo do SIL requerido ao final da anlise. Como regra geral, em caso de dvida entre os valores tabelados, deve-se adotar sempre os valores mais conservadores. Caso a equipe de LOPA decida utilizar na anlise algum valor diferente daqueles apresentados nas tabelas deste anexo, os valores efetivamente adotados devem ser calcados em razes defensveis e documentadas.

53

-PBLICO-

N-2595
Selecionar os cenrios a serem avaliados (B.2.1) Verificar a severidade do cenrio (B.2.2) Determinar a frequncia tolervel (FTOL) (B.2.3) Estimar uma ICF para o cenrio (B.2.4) Encontrar a EEL para o cenrio, caso aplicvel (B.2.5) Determinar os MF, caso aplicveis (B.2.6) Identificar as IPL (no SIF) e estimar suas PFDavg (B.2.7) Determinar a Frequncia da Consequncia (FC) (B.3.1)

REV. C

12 / 2010

Incio

Sim No Prximo cenrio Fim

F F

TOL

Sim (OK)

Documentar cenrio (FC) (B.3.3) Sim (SIF)

No Sim
possvel adicionar IPL (no SIF)

SIL 3 No Reavaliar riscos do processo. Medidas gerenciais requeridas.

No Determinar SIL requerido

Figura B.1 - Fluxo do Procedimento LOPA

54

-PBLICO-

N-2595
B.2.1 Seleo dos Cenrios para Anlise

REV. C

12 / 2010

B.2.1.1 A primeira atividade da equipe de LOPA deve ser, dentre os cenrios identificados na Anlise de Riscos, selecionar para avaliao todos aqueles onde haja SIF como salvaguarda ou como recomendao. B.2.1.2 Outros cenrios podem ser avaliados a critrio da equipe. B.2.1.3 A equipe de LOPA deve registrar todos os cenrios de interesse numa planilha de anlise, onde a identificao (nmero) e a descrio de cada cenrio so herdadas do HAZOP. B.2.1.4 Para o registro de cenrios, recomenda-se a adoo de uma planilha de HAZOP estendida, conforme Anexo C. [Prtica Recomendada] B.2.1.5 Para cenrios que apresentem frequncia elevada (maior que duas vezes a freqncia entre testes de IPL) ou consequncia de severidade catastrfica, recomenda-se realizar uma avaliao quantitativa de riscos (p.ex. rvore de falhas). [Prtica Recomendada] B.2.2 Classificao da Severidade B.2.2.1 A severidade atribuda consequncia de um cenrio representa uma medida do maior dentre os impactos a pessoas (S), meio-ambiente (E) e patrimnio (L). Cada par causa-consequncia deve ser analisado em separado e considerando esses trs aspectos. B.2.2.2 A classificao da severidade uma atividade de anlise de riscos que consiste em definir, para cada cenrio selecionado, uma categoria de severidade conforme a matriz de tolerabilidade de riscos da PETROBRAS N-2782, assumindo falha em todas as salvaguardas. B.2.2.3 A equipe de LOPA no deve refazer o trabalho de classificao da severidade caso este j tenha sido feito numa anlise de riscos prvia. B.2.3 Frequncia Tolervel (FTOL) A equipe de LOPA deve encontrar na Tabela B.1 o valor da frequncia tolervel para a categoria de severidade da consequncia do cenrio, definida conforme B.2.2.

Tabela B.1 - Frequncia Tolervel (FTOL)


Categoria de Severidade V IV III II I B.2.4 Frequncia da Causa Iniciadora (ICF) B.2.4.1 A causa iniciadora corresponde ao motivo pelo qual ocorreu o desvio na varivel de processo identificado no HAZOP. Cada causa iniciadora deve ser analisada em separado, em um cenrio especfico. 55 FTOL (evento/ano) 1x10-5 1x10-4 1x10-3 1x10-2 1x10-1

-PBLICO-

N-2595

REV. C

12 / 2010

B.2.4.2 O mtodo LOPA estabelece que no seja considerada a existncia de camada de proteo ou qualquer outro fator na determinao da frequncia da causa iniciadora. B.2.4.3 Falhas na demanda de camadas de proteo (SIF, PSV etc.) no devem ser consideradas como causas iniciadoras, uma vez que outros eventos devem iniciar o cenrio antes que estas camadas de proteo sejam demandadas. Entretanto, vazamento ou falha em fechar aps atuao de PSV, bem como atuaes esprias de sistemas de proteo podem ser consideradas como causas iniciadoras de cenrios dignos de serem analisados, mas que muitas vezes so esquecidos. B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequncia para a causa iniciadora (ICF) do cenrio identificado.

Tabela B.2 - Frequncias de Causas Iniciadoras


Causa iniciadora Falha de malha de controle do SSC Falha de vlvula auto-operada em servio limpo Falha de equipamento esttico (baixa vibrao) Falha de equipamento esttico (alta vibrao) Falha de equipamento dinmico (B.2.4.5.a) Sobrevelocidade de turbina / motor diesel com quebra da caixa Falha de vaso de presso Falha de tubulao ruptura franca Vazamento em tubulao 10 % seo reta Falha de tanque atmosfrico Abertura espria de vlvula de segurana Falha de selo de bomba Falha de mangote de carregamento / descarregamento (baixa vibrao) Falha de mangote de carregamento / descarregamento (alta vibrao) Falha em sistema de gua de refrigerao redundante Ruptura de engaxetamento Perda de fonte redundante de potncia eltrica Impacto de veculo terrestre (caminho, escavadeira, etc.) Queda de carga suspensa por guindaste Descarga eltrica atmosfrica Incndio de pequenas propores Incndio de grandes propores Falha do operador em executar procedimento de rotina (operador bem treinado, no estressado, no fatigado) (B.2.4.5.b) Erro humano (tarefa no rotineira, baixo estresse) (B.2.4.5.c) Erro humano (tarefa no rotineira, alto estresse) (B.2.4.5.c) Falha em procedimento de manuteno do tipo LOTO (B.2.4.5.d) Atuao espria de SIF (B.2.4.7)
-3

ICF (evento/ano) 1 x 10-1 1 x 10-2 1 x 10-2 1 x 10-1 1 x 10-1 1 x 10-4 1 x 10-6 1 x 10-7 por metro 1 x 10-5 por metro 1 x 10-3 1 x 10-2 1 x 10-1 1 x 10-1 1 1 x 10-1 1 x 10-2 1 x 10-1 1 x 10-2 1 x 10-4 por iamento 1 x 10-3 1 x 10-1 1 x 10-2 1 x 10-2 por oportunidade 1 x 10-1 por oportunidade sempre 1 x 10 por oportunidade 1 x 10-1

56

-PBLICO-

N-2595

REV. C

12 / 2010

B.2.4.5 Regras comumente utilizadas nas causas iniciadoras da Tabela B.2 a) qualquer equipamento cujo funcionamento dependa de ou seja baseado em peas normalmente mveis pode ser enquadrado no item equipamentos dinmicos; b) procedimentos de rotina so aes realizadas rotineiramente no campo ou na interface de operao do SSC que, se realizadas incorretamente, podem resultar em desvios do processo em anlise; c) tarefas no rotineiras so aquelas realizadas em situaes espordicas, como partidas e paradas de unidades de processo, e que, se realizadas incorretamente, podem resultar em desvios do processo em anlise; d) considerada como falha geral de um procedimento de segurana com mltiplas etapas, batizado de LOTO ("Lockout/Tagout") e conhecido na PETROBRAS como LIBRA (Abastecimento) ou PCEP (Transpetro); estas denominaes referem-se a prticas e procedimentos especficos para salvaguardar trabalhadores contra energizao inadvertida de equipamentos, partida inesperada de mquinas, ou liberao de substncias perigosas durante servios ou atividades de manuteno; isto requer que um indivduo designado desligue e desconecte a mquina ou equipamento de sua(s) fonte(s) de energia antes da execuo de qualquer servio ou manuteno e que os trabalhadores autorizados ou tranquem com cadeado (lock) ou identifiquem (tag) o dispositivo de isolao de energia, e verifiquem que a energia foi efetivamente isolada.

B.2.4.6 Os valores da Tabela B.2 derivam da experincia da indstria de processo, e consideram diversos tipos de falhas de material e operacionais.
-1 B.2.4.7 Para atuao espria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10 trip esprio por ano, uma vez que nesta etapa da aplicao do procedimento ainda no se conhece o MTTFS da SIF.

B.2.4.8 Equipamentos no cobertos pela Tabela B.2, tais como filtros (vrios tipos), flanges, caminhes-tanque, dutos terrestres e martimos, vlvulas manuais (volante) e vlvulas de bloqueio atuadas devem ter seus valores de frequncia de falha calcados em razes defensveis e documentadas.

B.2.5 Condio Habilitadora (EE)

B.2.5.1 Condio Habilitadora uma ao ou estado que no causa o cenrio, mas que precisa existir para permitir que a causa iniciadora conduza consequncia indesejada considerada. EXEMPLO Cenrio com condio habilitadora: A purga do tambor de coque para a torre fracionadora realizada em etapas, com foramento manual do set point de vazo para valores gradativamente maiores. Ao final do resfriamento, o set point deve retornar ao valor operacional antes de se colocar o controle em automtico. Condio Habilitadora: set point da vazo de gua de resfriamento deixado no maior valor de vazo no ltimo resfriamento realizado no tambor; Causa Iniciadora: Abertura indevida das vlvulas manuais de isolamento da gua de resfriamento; Consequncia: Aumento de presso no tambor de coque pela vaporizao brusca da gua injetada, com possibilidade de vazamentos em flanges e acessrios, e possibilidade de danos ao reator.

B.2.5.2 Outra condio habilitadora possvel de ser considerada (talvez a mais comum) o Tempo de Existncia do Risco (Time at Risk). 57

-PBLICO-

N-2595
B.2.5.3 Tempo de Existncia do Risco (Time at Risk)

REV. C

12 / 2010

Determinados perigos s existem em fases especficas do processo ou durante a realizao de tarefas especficas (batelada, carregamento, descarregamento, partida, parada, variao de carga, espera, regenerao etc.), ou em modos de operao especficos (automtico, manual, remoto, manuteno, seguimento de carga etc.). Nestes casos, a frequncia da causa iniciadora pode ser ajustada por um fator igual probabilidade de que exista esta condio habilitadora (Enabling Event Likelihood - EEL), obtida pela razo entre o tempo durante o qual existe o risco e o intervalo de tempo total considerado na anlise (normalmente 1 ano). EEL = (Tempo de Existncia do Risco) / (Tempo Total) EXEMPLO: EEL = 8 vezes por ano x 1h de durao = 8h/ano x 1ano/8760h = 0,000913

B.2.6 Fatores Modificadores (MF) Em alguns cenrios, necessrio que existam certas condies especficas, tais como presena de fontes de ignio ou presena de pessoas na rea afetada, para que ocorra o dano. Nestes casos, as probabilidades associadas a estas condies podem ser usadas como fatores de ajuste do risco do cenrio. A equipe de LOPA deve se assegurar que estes fatores no tenham sido considerados anteriormente como condio habilitadora, nem estejam embutidos na frequncia da causa iniciadora, especialmente devido a consideraes feitas na determinao do cenrio durante o HAZOP, pois sua contabilizao em duplicidade poderia afetar significativamente o resultado da anlise. Vale ressaltar que no HAZOP, o efeito analisado deve considerar o pior cenrio, sem levar em conta a existncia de salvaguardas, ou outros fatores atenuantes.

B.2.6.1 Probabilidade de Ignio B.2.6.1.1 Liberaes de substncias inflamveis nem sempre entram em ignio. A probabilidade de que ocorra ignio depende, principalmente: da existncia de fontes de ignio nas proximidades do vazamento; das propriedades intrnsecas da substncia e da quantidade (volume ou massa) de material liberado; da forma da disperso (jato, poa, nuvem leve, nuvem pesada) do material inflamvel no meio em questo (atmosfera livre ou confinada, gua, solo). B.2.6.1.2 Antes de se adotar um fator modificador para representar a probabilidade de ignio, deve-se observar as consideraes feitas quanto s caractersticas relevantes da liberao de produto inflamvel e a seus possveis desdobramentos (tocha ou jato de fogo, incndio em poa, incndio em nuvem, exploso em nuvem, BLEVE) na definio do cenrio durante a anlise de riscos, especialmente para no se contabilizar mais de uma vez este fator de reduo. B.2.6.1.3 As Tabelas B.3 e B.4 a seguir mostram algumas probabilidades de ignio tpicas que podem ser utilizadas como fatores modificadores. A equipe de LOPA pode adotar apenas um fator modificador da probabilidade de ignio para cada cenrio. Para tanto, deve definir qual destas duas tabelas adotar, de acordo com o que for mais relevante no cenrio em anlise.

58

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela B.3 - Fatores Modificadores da Probabilidade de Ignio pela Quantidade de Fontes de Ignio
Quantidade de fontes de ignio Nenhuma prontamente identificvel (p.ex. dique de conteno, terreno vazio) Muito poucas (p.ex. rea de tancagem) Poucas (por exemplo:. terminal naval, rodovirio ou ferrovirio) Muitas (por exemplo: instalao industrial) Fator Modificador (MF) 0,1 0,2 0,5 0,9 (*)

NOTA 1 (*) Instalaes industriais nas quais exista estudo, aplicao e manuteno adequada de classificao eltrica da rea podem considerar uma probabilidade de ignio igual a 0,1.

Tabela B.4 - Fatores Modificadores da Probabilidade de Ignio pelo Tipo do Material Inflamvel
Material inflamvel Gs ou GLP Lquido leve (ponto de fulgor < 38 C) Lquido pesado (ponto de fulgor 38 C) Fator Modificador (MF) 0,3 0,2 0,1

B.2.6.2 Presena de Pessoas B.2.6.2.1 Para consequncias ambientais ou comerciais, a presena de pessoas no um fator modificador. Entretanto, para consequncias relacionadas segurana de pessoas, pelo menos uma pessoa deve estar presente na rea onde ocorre o incidente. Podem ser usados fatores de reduo de risco relativos ao tempo em que ningum est presente na rea perigosa. Por exemplo, se ocorrer um incndio devido a um vazamento em selo de bomba, um operador tem de estar prximo bomba para sofrer ferimentos. Se o operador permanecer na rea em questo apenas 30 minutos por turno, ento o uso de um fator modificador se justifica. B.2.6.2.2 No caso do cenrio ocorrer durante uma manobra operacional local ou durante uma interveno de manuteno, este fator de reduo no pode ser usado.

Tabela B.5 - Fatores Modificadores por Presena de Pessoas


Tempo de exposio ao perigo Sempre (mais que 4 h por turno) Frequentemente (entre 2 h e 4 h por turno) Ocasionalmente (entre 1 h e 2 h por turno) Raramente (menos que uma hora por turno) Fator Modificador (MF) 1,0 0,5 0,2 0,1

B.2.6.2.3 Outros fatores modificadores como, por exemplo, a maior ou menor facilidade de se evitar o dano no so considerados neste anexo.

B.2.7 Camadas de Proteo Independentes (IPL) Esta seo descreve como se deve proceder para identificar as salvaguardas previstas em projeto que podem ser consideradas camadas de proteo independentes (IPL) e determinar a reduo de risco que elas promovem. 59

-PBLICO-

N-2595

REV. C

12 / 2010

A identificao das IPL costuma ser a parte mais difcil deste mtodo, sendo importante frisar que toda IPL uma salvaguarda, mas nem toda salvaguarda uma IPL. A Tabela B.6 contm alguns exemplos de salvaguardas que normalmente no so consideradas IPL.

Tabela B.6 - Salvaguardas Usualmente No Consideradas IPL


Salvaguardas usualmente no consideradas IPL Treinamento e Certificao Procedimentos

Comentrios Estes fatores podem ser levados em conta na determinao da PFDavg de aes pelo operador, mas no so IPL por si s. A existncia de bons procedimentos pode ser considerada na determinao da PFDavg de aes pelo operador, mas no uma IPL por si mesma. Em todas as avaliaes de perigos assume-se a perfeita execuo destas atividades, constituindo base para os valores de ICF na Tabela B.2 e PFDavg na Tabela B.7 e na Tabela B.8. Alterar o intervalo entre testes e inspees pode afetar a PFDavg de certas IPL. Em todas as avaliaes de perigos assume-se a perfeita execuo desta atividade, constituindo base para os valores de ICF na Tabela B.2 e PFDavg na Tabela B.7 e na Tabela B.8. Manuteno deficiente pode aumentar a PFDavg de certas IPLs. uma hiptese primria que comunicaes adequadas existam em uma instalao industrial. Comunicaes deficientes podem aumentar a PFDavg de certas IPLs. Sinalizaes no so IPLs por si mesmas. Sinalizaes confusas, dbias, mal localizadas, ignoradas, etc. podem aumentar a PFDavg de certas IPLs.

Testes e Inspees Normais

Manuteno

Comunicaes Sinalizaes

Salvaguardas, sejam IPL ou no, so vinculadas a um cenrio identificado na fase de anlise de riscos com uma causa e uma consequncia especficas. A caracterstica principal de uma camada de proteo que ela deve ser efetiva para individualmente prevenir a ocorrncia do evento perigoso. Isto , basta que uma nica camada de proteo funcione para que no ocorra a consequncia indesejada. O termo independente significa que o desempenho da camada de proteo no afetado pela causa iniciadora e que no devem existir falhas que possam desabilitar duas ou mais camadas de proteo associadas ao mesmo cenrio ao mesmo tempo. Adicionalmente, necessrio comprovar atravs de documentao auditvel que a salvaguarda em questo foi corretamente projetada e instalada, e que periodicamente submetida a teste e adequadamente mantida de forma a garantir suas efetividade, independncia e PFDavg especificada. Resumindo, uma camada de proteo independente deve ser: a) efetiva na preveno da consequncia de um evento potencialmente perigoso; b) independente da causa iniciadora e dos componentes de qualquer outra IPL considerada para o mesmo cenrio; c) auditvel, atravs de documentos que comprovem a adequao do projeto, da instalao, dos testes e da manuteno desta IPL s suas especificaes. Adicionalmente, a atuao espria de uma IPL no deve levar a um novo cenrio com risco maior ou igual que aquele que a mesma visa evitar. Por exemplo, um sistema de alvio de material txico ou inflamvel deve ser direcionado para local seguro. 60

-PBLICO-

N-2595

REV. C

12 / 2010

Risco Original = Dano Original x FC x PFDavg; Risco Trip Esprio = Dano Trip Esprio / MTTFS; Se (Risco Trip Esprio Risco Original), ento no vale a pena implementar a IPL. O mtodo LOPA consiste em ir adicionando camadas de proteo at que o risco assim obtido atenda o critrio de tolerabilidade adotado. A deciso de qual(is) camada(s) de proteo adicionar dentre as alternativas possveis pode ser baseada numa anlise comparativa dos seus custos de implantao, de operao e de manuteno ao longo do ciclo de vida. [Prtica Recomendada] Antes de se considerar a adio de camadas de proteo, entretanto, recomenda-se que sejam aplicadas solues de projeto inerentemente seguras. [Prtica Recomendada] A adoo de um projeto inerentemente seguro pode efetivamente eliminar um cenrio. Tal considerao deve ser registrada na planilha de LOPA (Anexo C). Vale ressaltar que outros cenrios com a mesma consequncia (porm com outras causas iniciadoras) podem continuar existindo. Quanto ao modo de atuao, uma IPL pode ser passiva ou ativa. IPL passiva aquela que no necessita executar uma ao para cumprir a sua funo de proteo. A Tabela B.7 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPLs passivas.

Tabela B.7 - IPL Passivas e Suas PFDavg Tpicas


Probabilidade Mdia de Falha na Demanda (PFDavg) 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-3 1 x 10-2

Camada de Proteo Independente (IPL) Bacia / dique de conteno Retentor de chama (detonao ou deflagrao) Painel de ruptura (blowout panel) Linha de overflow (overflow line) direcionada para local seguro [B.2.7.2] Sistema de drenagem subterrneo Suspiro aberto (sem vlvula) Parede tipo blast-wall ou abrigo tipo bunker Proteo passiva contra fogo (fireproof insulation) [B.2.7.3]

IPL ativa aquela que necessita mudar de um determinado estado a outro em resposta mudana na propriedade mensurvel do processo em questo. A Tabela B.8 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPL ativas.

61

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela B.8 - IPL Ativas e Suas PFDavg Tpicas


Probabilidade Mdia de Falha na Demanda (PFDavg) 1 x 10-1 1 x 10-2 1 x 10-3 1 x 10-1 1 x 10-1 1 x 10-2 1 x 10-3

Camada de Proteo Independente (IPL) Funo instrumentada de segurana com SIL 1 Funo instrumentada de segurana com SIL 2 Funo instrumentada de segurana com SIL 3 Malha de controle do SSC [B.2.7.4] Resposta de operador a alarme [B.2.7.5] Dispositivo mecnico de alvio / vlvula de segurana e alvio [B.2.7.6] Dois dispositivos de alvio independentes (bocais, descargas etc.), alinhados ao processo, cada um dimensionado para atender a 100 % do cenrio [B.2.7.6] Mltiplos dispositivos de alvio independentes (bocais, descargas etc.), porm mais de um precisa atuar para atender a 100 % do cenrio (exemplo: PSV estagiadas). [B.2.7.6] Dispositivo mecnico interno de segurana independente do SIS e do SSC (p.ex. desarme mecnico de turbina) Disco de ruptura Vlvula de reteno [B.2.7.7] (uma nica no IPL) Vlvula de reteno de alta confiabilidade (high integrity backflow prevention device) [B.2.7.7] Duas ou mais vlvulas de reteno associadas em srie [B.2.7.7] Vlvula auto-operada [B.2.7.8] Vlvula travada com selo (car sealed), listada e verificada frequentemente [B.2.7.9] Vlvula trancada com frequentemente [B.2.7.9] cadeado (locked), listada e verificada

1 x 10-1

1 x 10-1 1 x 10-2 1 1 x 10-1 1 x 10-1 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-1

Selo duplo (em bomba) com alarme no interstcio Proteo ativa contra fogo [B.2.7.10]

Os valores numricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Mdia de Falha na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL mais confivel (menor PFDavg) que os valores numricos apresentados nestas tabelas, ou identificar alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve ser calcado em razes defensveis e documentadas. NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operao por demanda. Para modo de operao contnuo, deve-se usar valores de frequncia de falha perigosa (SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.

Visando assegurar consistncia na aplicao da LOPA, so listadas em B.2.7.1 a B.2.7.10 algumas condies para orientar a deciso de quando considerar uma salvaguarda como IPL. B.2.7.1 Condies Gerais a) b) c) d) a IPL sozinha deve ser suficiente para impedir a ocorrncia do evento perigoso; a falha da IPL no pode ser a causa iniciadora do cenrio considerado; o cenrio no pode levar a IPL a falhar ou a tornar-se indisponvel; se a IPL for ativa, sua atuao espria no pode levar a um novo cenrio com risco maior que o daquele que a mesma visa evitar; e) os componentes da IPL em questo devem ser distintos e independentes dos componentes das demais IPLs; 62

-PBLICO-

N-2595

REV. C

12 / 2010

f) A IPL deve estar inserida em um programa de manuteno estabelecido e auditvel; g) Recomenda-se que duas ou mais salvaguardas sujeitas a falhas de causa comum sejam contabilizadas como uma nica IPL. Especificamente, no se deve contabilizar mais de uma salvaguarda do mesmo tipo (p.ex.: duas SIFs, duas malhas de controle, dois alarmes etc.) para um mesmo cenrio. [Prtica Recomendada] B.2.7.2 Linha de Overflow (Overflow Line) Alm das condies gerais requeridas para qualquer IPL, quaisquer vlvulas na linha de overflow devem ser administrativamente controladas para assegurar que esta IPL est disponvel quando necessria. B.2.7.3 Revestimento Resistente a Fogo (Fireproof Insulation) As condies especficas requeridas para que uma vlvula (ou arranjo de vlvulas) com revestimento resistente a fogo (Fireproof insulation) possa ser considerada uma IPL so as seguintes: a) o incndio deve ser a causa iniciadora do cenrio, nunca a consequncia indesejada; b) o revestimento resistente a fogo deve ser capaz de prover tempo adicional suficiente para uma resposta adequada situao (conteno de inventrio, despressurizao, dilvio etc.), de forma a efetivamente prevenir a consequncia considerada no cenrio; c) o revestimento deve permanecer intacto quando exposto diretamente a fogo e no se deslocar por impacto de jato dgua do sistema de combate a incndio; d) os demais requisitos corporativos estabelecidos na PETROBRAS N-1756 e em seus documentos complementares para este tipo de proteo devem ser atendidos. B.2.7.4 Malha de Controle do SSC Recomenda-se que malhas de controle no sejam consideradas IPLs, uma vez que tal considerao implica na adoo de procedimentos de gesto de mudanas para, por exemplo, colocao da malha no modo manual, abertura de by-pass da vlvula de controle etc. [Prtica Recomendada] Para poder ser considerada como uma Camada de Proteo Independente, uma malha de controle do SSC deve atender aos seguintes requisitos: a) a falha desta malha de controle no pode ser a causa iniciadora do cenrio considerado. b) a evoluo do cenrio no pode levar qualquer dos componentes da malha de controle em questo a falhar ou a tornar-se indisponvel; c) o modo de falha na falta de energia de atuao dos elementos finais de controle deve levar a um estado seguro; d) os dispositivos de medio e elementos finais de controle devem ser separados e independentes dos dispositivos das demais IPL; e) o Executor da Lgica e a fonte de energia devem ser completamente separados e independentes das demais IPL, ou possuir alta disponibilidade garantida por critrios de redundncia adequados; EXEMPLO No caso da causa iniciadora do cenrio ter sido a falha em uma malha de controle implementada no SSC alimentado por UPS, uma segunda malha pode ser considerada uma IPL, desde que seus dispositivos de medio e elementos finais de controle sejam separados e independentes dos dispositivos da malha que falhou, uma vez que o SSC e o UPS possuem alta disponibilidade. f) deve haver registro e acompanhamento da operao normal da malha de controle, de forma anloga execuo de testes peridicos numa SIF, ou seja, a frequncia e a abrangncia desses registros devem garantir a PFDavg assumida para esta IPL; g) uma malha de controle usada como IPL deve ser identificada como crtica e sua retirada de operao (colocao em modo manual, by-pass do elemento final de controle etc.) deve ser coberta por procedimento de gesto de mudanas especfico; 63

-PBLICO-

N-2595

REV. C

12 / 2010

h) deve haver um programa de manuteno estabelecido e auditvel. Recomenda-se que o fator de reduo de risco atribudo a uma malha de controle no seja maior que 10. [Prtica Recomendada] NOTA Se durante o processo de anlise for levantada hiptese de aumentar a complexidade ou de redundar sensores ou elementos finais de uma malha de controle de modo a poder contabiliz-la como uma camada de proteo ou aumentar o seu fator de reduo de risco, ento se deve considerar criar uma SIF nova ou elevar o SIL da SIF existente.

B.2.7.5 Resposta do Operador a Alarmes Reduo de risco por resposta do operador a alarmes no pode ser contabilizada mais de uma vez para cada cenrio, independentemente do nmero de alarmes ou de aes executadas pelo operador em resposta a estes. As condies especficas requeridas para que a resposta do operador a alarmes possa ser considerada uma IPL so as seguintes: a) a Unidade Operacional deve possuir uma sistemtica de gerenciamento de alarmes que garanta respostas adequadas aos alarmes, constitudo pelo menos dos seguintes critrios: o alarme deve ser especfico, distinguvel dentre outros alarmes possveis e dar ao operador uma indicao clara do problema; deve haver um procedimento operacional especfico associado ao alarme; o operador deve estar treinado na resposta apropriada; o operador deve estar sempre presente junto a interface de operao que anuncia o alarme; deve haver tempo suficiente para o operador avaliar a situao e executar a ao corretiva. b) a ao do operador em resposta ao alarme deve ser suficiente para evitar a consequncia indesejada; c) nenhuma condio presente no cenrio deve ser capaz de falsear o alarme; por exemplo, num cenrio de ruptura de linha de vapor, pode haver indicao falsa de nvel alto devido formao de bolhas na fase lquida, fazendo com que o alarme de nvel baixo no gerador de vapor no acuse imediatamente o desvio; d) um alarme usado como IPL deve ser identificado como tal e devidamente priorizado; e) um alarme usado como IPL deve estar inserido em um programa de manuteno estabelecido e auditvel. B.2.7.6 Dispositivo Mecnico de Alvio / Vlvula de Segurana e Alvio As seguintes condies especficas se aplicam ao uso de dispositivos mecnicos de alvio como IPL: a) o sistema de alvio deve estar dimensionado para mitigar completamente o cenrio; b) os fluidos aliviados devem ser limpos e pouco viscosos. Se a vlvula de segurana e alvio usada num servio com fluidos corrosivos ou capazes de polimerizar ou gerar depsitos, sem nenhum tipo de proteo, a vlvula no deve ser considerada uma IPL. Entretanto, se o projeto considera medidas de proteo para garantir o funcionamento da vlvula, pode-se considerar uma PFDavg de 1x10-2. Essas medidas podem incluir: o uso de vapor de purga, instalao de discos de ruptura a montante da vlvula, instalao de duas vlvulas em paralelo para permitir a inspeo e manuteno, entre outros; c) o alvio deve ser feito para local seguro, de forma que o mesmo no cause consequncias ambientais significativas; d) o dispositivo deve estar inserido em um programa de manuteno estabelecido e auditvel. 64

-PBLICO-

N-2595
B.2.7.7 Vlvula de Reteno

REV. C

12 / 2010

As condies especficas requeridas para que este tipo de dispositivo possa ser considerado uma IPL so: a) duas ou mais vlvulas de reteno devem estar associadas em srie; b) uma nica vlvula de reteno pode ser considerada como IPL somente se este dispositivo possuir alta confiabilidade (high integrity backflow prevention device); c) o servio deve ser limpo, no passvel a entupimentos, formao de depsitos, gomas, polimerizao etc.; d) as vlvulas de reteno usadas como IPL devem ser identificadas como tal e fazer parte de um programa de manuteno mecnica estabelecido e auditvel. NOTA Vlvulas de reteno no so adequadas para aplicaes onde se requeira estanqueidade para fluxo reverso.

B.2.7.8 Vlvula Auto-Operada Vlvulas auto-operadas usadas como IPL devem ser identificadas como tal e fazer parte de um programa de manuteno mecnica estabelecido e auditvel.

B.2.7.9 Vlvula Travadas com Selo (Car-Sealed) ou Trancadas com Cadeado (Locked) As condies especficas necessrias para que vlvulas travadas com selo (Car-Sealed) ou trancadas com cadeado (Locked) possam ser consideradas como IPL so as seguintes: a) os responsveis pela operao da planta ou equipamento mantenham uma lista atualizada de todas as vlvulas travadas com selo ou trancadas com cadeado; b) os responsveis pela operao da planta ou equipamento conduzam inspees regulares para assegurar que essas vlvulas encontram-se na posio apropriada e seus selos e cadeados, ntegros.

B.2.7.10 Proteo Ativa Contra Fogo

As condies especficas necessrias para que uma Proteo Ativa Contra Fogo (por exemplo: sistemas de deteco de incndio comandando a atuao do sistema de dilvio) possa ser considerada uma IPL so as seguintes: a) proteo ativa contra fogo somente pode ser considerada como uma IPL para cenrios em que o incndio seja a causa iniciadora; b) proteo ativa contra fogo no pode ser considerada como uma IPL para os cenrios em que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou exploso que a mesma se destina a conter; NOTA Um sistema de deteco de gs comandando fechamento de SDV (ou de vlvulas de isolamento de inventrio), pode ser analisado de forma anloga, ou seja:

a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um vazamento de gs (por exemplo: incndio, exploso), mas no contra o vazamento em si, pois o mesmo necessariamente j ter ocorrido quando for detectado; b) deve-se avaliar se esta camada de proteo capaz de sozinha impedir a consequncia indesejada, ou se depende de outras aes externas (por exemplo: do operador) para ser efetiva; c) deve ser possvel determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta camada, levando-se em conta a disperso do gs no ambiente, no momento da demanda. 65

-PBLICO-

N-2595
B.2.7.11 IPLs Mitigadoras

REV. C

12 / 2010

Normalmente, IPLs visam evitar a consequncia indesejada. Entretanto, algumas camadas de proteo, como diques de conteno, sistema de drenagem e proteo contra fogo, podem ser consideradas IPLs mitigadoras quando visam reduzir a severidade da consequncia de um evento, seja limitando a sua intensidade, restringindo a extenso da rea afetada, ou impedindo efeitos secundrios (por exemplo: BLEVE). De um modo geral, a existncia de uma camada de proteo mitigadora leva a dois cenrios inteiramente novos, os quais devem ser analisados separadamente. Severidade original (S0) x Frequncia reduzida (FC0 x PFDavg)

Falha (PFDavg)

Cenrio original S0 x FC0

Camada mitigadora

Sucesso (1 - PFDavg)

Severidade mitigada (S1 < S0) x Frequncia original (FC0 x (1-PFDavg))

Figura B.2 - Camada de Proteo Mitigadora


De forma simplificada, recomenda-se adotar a seguinte ordem para a incluso de camadas de proteo: [Prtica Recomendada] a) b) c) d) e) projeto inerentemente seguro; IPLs preventivas passivas (P); IPLs preventivas ativas (A) no SIF; SIFs; IPLs mitigadoras.

B.3 Concluso da Anlise


B.3.1 Risco Residual do Cenrio Sem Considerar SIF B.3.1.1 O risco residual do cenrio sem considerar SIFs pode ser expresso de forma simplificada pela Frequncia da Consequncia (FC), a qual dada pelo produto dos valores numricos determinados nos passos B.2.4 a B.2.7, sem creditar nenhuma reduo de risco a SIFs:

F C ICF EEL iMFi jIPL j


Onde: FC = Frequncia da Consequncia; ICF = Frequncia da Causa Iniciadora; EEL = Probabilidade da Condio Habilitadora; MFi = i-simo Fator Modificador; IPLj = PFDavg da j-sima IPL (no SIF) associada Causa Iniciadora. 66

-PBLICO-

N-2595

REV. C

12 / 2010

B.3.1.2 Se FC for menor ou igual a FTOL, ento as camadas de proteo existentes so suficientes. B.3.1.3 Se FC for maior que FTOL, ento so necessrias camadas de proteo adicionais para reduzir o risco residual do cenrio a um nvel tolervel. NOTA Caso FC indique mais de uma demanda da SIF por ano ou duas ou mais demandas a cada intervalo entre testes, apropriado considerar que esta SIF ir operar em modo contnuo e, portanto, possui SIL correlacionado, no com uma PFDavg, mas sim com a frequncia de falhas perigosas por hora, onde, SIL 1 equivale a uma frequncia entre 10-6/hora e 10-5/hora, e assim por diante.

B.3.2 Determinao do SIL Requerido para a SIF B.3.2.1 Depois de esgotadas todas as possibilidades de adotar solues de projeto inerentemente seguras e de adicionar camadas de proteo no SIF, o Nvel de Integridade de Segurana (SIL) requerido para a Funo Instrumentada de Segurana (SIF) prevista no projeto, ou recomendada para o cenrio, pode ser determinado pelo Fator de Reduo de Risco (RRF) necessrio para reduzir FC a um valor menor ou igual a FTOL.

Tabela B.9 - SIL Requerido para a SIF


Fator de Reduo de Risco (RRF) requerido 10 100 1.000 SIL requerido 1 2 3

B.3.2.2 Caso o RRF requerido seja maior que 1 000, deve-se reavaliar os riscos do processo e as bases de projeto, possivelmente requerendo envolvimento gerencial. B.3.2.3 Recomenda-se avaliar a possibilidade de se substituir uma SIF demandada por muitos cenrios por outras SIFs baseadas em variveis de processo mais diretamente relacionadas ao desvio de cada cenrio. [Prtica Recomendada] EXEMPLO Num cenrio onde a falha no controle de nvel do vaso a montante de uma torre fracionadora pode levar a descarga de gs de um componente de processo atravs de uma sada de lquido (gas blow-by) e, consequentemente, a presso excessiva na torre, uma SIF iniciada por um PSHH poderia ser substituda por outra que, em caso de nvel muito baixo (LSLL) no vaso, cortasse a alimentao para a torre. B.3.2.4 Uma SIF deve atender o maior SIL requerido dentre os cenrios pelos quais demandada.

B.3.3 Documentao B.3.3.1 Os resultados da LOPA devem ser claramente documentados na forma de um relatrio, o qual deve ser anexado a ou fazer parte integrante do relatrio do HAZOP. B.3.3.2 Recomenda-se o uso de uma planilha padronizada, conforme modelo Anexo C. [Prtica Recomendada] 67

-PBLICO-

N-2595
NOTA

REV. C

12 / 2010

Por facilidade de clculo, no Anexo C utiliza-se o intervalo de tempo MTTF em lugar da frequncia ICF e o fator de reduo de risco (RRF) em lugar da probabilidade mdia de falha na demanda (PFDavg), de tal sorte que todas as potncias de dez possuem expoentes positivos.

B.3.3.3 Caso a FTOL tenha sido satisfeita sem a necessidade de uma SIF, deve-se registrar que a funo automtica prevista no projeto ou recomendada pelo HAZOP no crtica para a segurana e deve ser executada pelo SSC. B.3.3.4 Alm do simples preenchimento dos campos da planilha com as informaes padronizadas sobre a equipe e o cenrio, os dados obtidos do HAZOP e os resultados dos clculos, deve-se destacar as recomendaes da LOPA para uma reviso objetiva do projeto, adicionando, modificando ou eliminando salvaguardas existentes ou projetadas, em funo da sua efetividade verificada durante o processo de anlise para se prevenir ou mitigar efeitos indesejados. Devem ser registradas tambm as questes que precisam ser mais detalhadas ou discutidas em outros fruns, bem como as aes a serem tomadas e os pontos de melhoria contnua deste procedimento.

B.4 Gerenciamento de Resultados


B.4.1 Auditoria B.4.1.1 A informao contida na documentao da LOPA diz respeito segurana do processo e, como tal, deve ser mantida por toda a vida da planta ou equipamento. B.4.1.2 As recomendaes da LOPA devem ser includas numa sistemtica de rastreamento de recomendaes da instalao industrial, a qual permita analisar a viabilidade de implement-las e documentar adequadamente estas implementaes ou a deciso de no faz-las, com a respectiva justificativa. B.4.1.3 Todas as IPL devem ser auditveis e, para tanto, recomenda-se inclu-las no Plano de Manuteno do SIS. [Prtica Recomendada]

B.4.2 Revalidao Sempre que houver alguma mudana que se reflita em reviso do HAZOP existente ou em um novo HAZOP, deve-se avaliar se as consideraes feitas na anlise anterior continuam vlidas e, em caso negativo, revisar os resultados da LOPA que foram afetados.

68

-PBLICONDICE DE REVISO DE FOLHAS


FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV.

DESENHOS DE REFERNCIA

REV.

DESCRIO

ABREVIATURAS

NOTAS:

N ORIGINAL DATA PROJETO EXECUO VERIFICAO APROVAO


FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO C - FOLHA 01/02.

REV. A

REV. B

REV. C

REV. D

REV. E

REV. F

REV. G

REV. H

REV. J

REV. K CLIENTE OU USURIO: PROGRAMA OU PROJETO: REA OU UNIDADE: TTULO: FOLHA de

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE.

-PBLICON Desvio Causa Iniciadora Descrio MTTF EEL Descrio Severidade da Consequncia S E L Consequncia Fatores Modificadores Aplicveis Prob. de Ignio Presena de Pessoas Outros (Especificar) RRF Requerido Descrio S E L Salvaguardas Tipo (P/A) IPL RRF RRF Total Risco Residual S E L N Rec
o

Recomendaes Descrio Observaes Nmero do Cenrio

NOTA

Sobre a nomenclatura: S: relacionada aos aspectos de sade e integridade fsica das pessoas expostas ao risco; E: relacionada aos aspectos de impacto ao meio ambiente; L: relacionada aos aspectos danos a instalaes fsicas e/ou faturamento da empresa;

REA: TTULO:

FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO D - FOLHA 02/02.

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE.

-PBLICO-

FOLHA DE DADOS
CLIENTE: PROGRAMA: REA: TTULO:

FOLHA

de

ESPECIFICAO DE SIF

NDICE DE REVISES REV. DESCRIO E/OU FOLHAS ATINGIDAS

REV. 0 DATA PROJETO EXECUO VERIFICAO APROVAO

REV. A

REV. B

REV. C

REV. D

REV. E

REV. F

REV. G

REV. H

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO D - FOLHA 01/04.

-PBLICO-

FOLHA DE DADOS
TTULO:

REV.

FOLHA

de

ESPECIFICAO DE SIF
"Tag": Relatrio de Anlise de Riscos: Matriz de Causa e Efeito: Descrio da SIF:

Evento Perigoso a ser Evitado:

Causas de Demanda:

Consequncias de Falha na Demanda:

Consequncias de "Trip" Esprio:

Custo do "Trip" Esprio (US$):

Especificao Funcional "Tag" Descrio dos Iniciadores Modo de Atuao Deteco (HH ou LL) Valor de "Trip"

"Tag"

Descrio dos Elementos Finais

Modo de Atuao

Estado Seguro

"Trip" Manual: "Tag"

Sim Descrio

) Tipo

No

Localizao

Relao Funcional entre Iniciadores e Elementos Finais:

Descrio do Estado Seguro a ser Atingido ou Mantido:

Aes de Segurana: Aes Secundrias: Tempo de Resposta Mximo Admissvel (segundos): Tempo de Retardo (segundos): Combinao Perigosa de Elementos Finais: Sim No ( ( ) ) Descrio:

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO D - FOLHA 02/04.

-PBLICO-

FOLHA DE DADOS
TTULO:

REV.

FOLHA

de

ESPECIFICAO DE SIF
Aplicao de Grficos de Risco Frequncia de Demanda Consequncias a Pessoas Danos ao Meio Ambiente Perdas Materiais ( ) W1 C: E: L: ( ) W2 F: ( ) W3 P: P: P: Aplicao de LOPA Desvio: Causa Iniciadora MTTF Evento Habilitador EEL Consequncias S E L Fatores Modificadores Salvaguardas P/A IPL RRF

Cenrio:

Frequncia Tolervel: Causa Iniciadora MTTF Evento Habilitador EEL Consequncias S E L

RRF total: Fatores Modificadores

RRF requerido: Salvaguardas P/A IPL RRF

Cenrio:

Frequncia Tolervel: Causa Iniciadora MTTF Evento Habilitador EEL Consequncias S E L

RRF total: Fatores Modificadores

RRF requerido: Salvaguardas P/A IPL RRF

Cenrio:

Frequncia Tolervel: Causa Iniciadora MTTF Evento Habilitador EEL Consequncias S E L

RRF total: Fatores Modificadores

RRF requerido: Salvaguardas P/A IPL RRF

Cenrio:

Frequncia Tolervel:

RRF total:

RRF requerido:

Observaes:

Resultados da Avaliao SIL Requerido: MTTFS Mnimo Aceitvel (anos): Requisitos de Implementao Contorno ("By-Pass") para Manuteno Contorno ("By-Pass") para Incio de Operao Rearme ("Reset") no Campo MTTR: Intervalo de Tempo Entre Testes Peridicos: Requisitos Legais Aplicveis: Observaes: Sim ( No ( Sim ( No ( Sim ( No ( ) ) ) ) ) ) Descrio: Cuidados Adicionais: Descrio: Cuidados Adicionais: Descrio: Cuidados Adicionais:

NOTAS:

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO D - FOLHA 03/04.

-PBLICO-

FOLHA DE DADOS
TTULO:

REV.

FOLHA

de

ESPECIFICAO DE SIF
INSTRUES DE PREECHIMENTO
Informaes Gerais

Cada SIF deve possuir um identificador nico (Tag) constitudo pelo nmero da unidade seguido de um nmero sequencial. Exemplo: SIF-2212001 (unidade 2212, sequencial 001) Relatrio de Anlise de Riscos: nmero do documento relativo SIF. Matriz de Causa e Efeito: nmero do documento relativo SIF. - Descrio da SIF: descrio suscinta da funo, contendo desvio e ao. Exemplo: presso alta de gs combustvel bloqueia gs para forno F-501. - Evento Perigoso a ser evitado considerado na anlise de riscos. Exemplo: formao de mistura explosiva na cmara de combusto. - Causas de Demanda consideradas na anlise de riscos. Exemplos: falha na malha de controle de presso gs combustvel, desequilbrio de processo, etc. - Conseqncias de Falha na Demanda: possveis danos e impactos causados pelo evento perigoso considerados na anlise de riscos. Exemplos: Apagamento de chama com formao de mistura explosiva e possibilidade de exploso da cmara de combusto, seguida de incndio, ferimento/morte de at uma pessoa, perda de produo na ordem de 200 KUS$, danos s instalaes na ordem de 2 MUS$. - Conseqncias de Trip esprio. Exemplos: perda de produo, possibilidade de coqueamento de tubos, danos a materiais refratrios, etc. Custo do Trip Esprio (US$): conforme item 6.5.

Especificao Funcional Tag: identificadores dos iniciadores e elementos finais, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: PIT-2212101A, PIT-2212101B, XV-2212190A, XV-2212190B e XV2212190C. Descrio: servios dos iniciadores e elementos finais, conforme lista de instrumentos e folhas de dados. Exemplos: transmissores de presso no header de gs combustvel, vlvulas de bloqueio de gs combustvel para o forno, vlvulas de suspiro intermedirio de gs combustvel. Modo de atuao: desenergiza para trip ou energiza para trip. Deteco (HH ou LL): sentido de variao da varivel de processo que demanda a atuao da SIF. Valor de Trip: valor da varivel de processo que demanda a atuao da SIF, conforme o indicado nas respectivas folhas de dados dos iniciadores. Estado Seguro: posio de segurana do elemento final. Exemplos: vlvula de bloqueio fechada, vlvula de suspiro aberta para local seguro. "Trip" Manual: descrio suscinta da forma de implementao. Exemplo: Tag: HS-2212150; Descrio: botoeira eletromecnica com contato duplo (em srie) normalmente fechado; Tipo: puxa para acionar com proteo contra acionamento indevido; Localizao: painel local do F-501. Relao Funcional entre Iniciadores e Elementos Finais: descrio, atravs de texto ou desenho, da relao lgica entre o(s) iniciador(es) (pode incluir "trip" manual) e o(s) elemento(s) final(is) que compe a SIF e das arquiteturas de votao de sensores e elementos finais. Exemplo: Partindo-se do estado normal de operao, caso ocorra falta de chama em mais de 50% dos queimadores ou ocorra baixa presso de gs combustvel, deve ser bloqueada a admisso de gs para os queimadores e aberto suspiro intermedirio para local seguro. Descrio do Estado Seguro a ser Atingido ou Mantido: caracterizao do sucesso da atuao da SIF. Exemplo: gs combustvel bloqueado para forno e suspiro intermedirio aberto para local seguro. Aes de Segurana: aes desempenhadas pela SIF para atingir ou manter o estado seguro. Exemplo: desenergizar bobinas das vlvulas solenides que despresssurizam os atuadores pneumticos das XV-2212190A e XV-2212190C. Aes Secundrias: aes desencadeadas pela atuao da SIF no diretamente relacionadas com o atingimento ou manuteno do estado seguro, com objetivo de auxiliar a operao. Exemplo: aps trip do forno, admisso de vapor de abafamento e abertura do damper da chamin para facilitar a purga da cmara de combusto. Tempo de resposta mximo admissvel (segundos): maior tempo de resposta da SIF (ver definio) sem que haja comprometimento das aes de segurana. Tempo de retardo (segundos): valor do tempo de retardo (ver definio) a ser aplicado, caso necessrio. Combinao Perigosa de Elementos Finais: no caso de haver mais de um elemento final, se existe alguma condio perigosa decorrente de falha de sua atuao conjunta. Exemplo: No fechamento do primeiro bloqueio (XV-2212190A) quando da abertura do suspiro intermedirio (XV-2212190B), causando nuvem de gs combustvel na rea externa prxima ao forno. Aplicao de Grficos de Risco Demanda: frequncia de demanda da SIF assumida na aplicao dos grficos de risco Segurana Pessoal: classes de severidade da consequncia a pessoas (C), de ocupao (F) e da probabilidade de evitar o dano (P) assumidas na aplicao dos grficos de risco Perda Material: classes de severidade da consequncia material (L) e da probabilidade de evitar o dano (P) assumidas na aplicao dos grficos de risco Meio Ambiente: classes de severidade da consequncia ambiental (E) e da probabilidade de evitar o dano (P) assumidas na aplicao dos grficos de risco Aplicao de LOPA Desvio: desvio da varivel de processo que demanda atuao da SIF, conforme relatrio de HAZOP+LOPA Cenrio: nmeros dos cenrios nos quais a SIF IPL, conforme relatrio de HAZOP+LOPA Causa Iniciadora: falha de equipamento, ao humana, ou evento externo que provoca o desvio, com respectivo MTTF (tempo esperado para ocorrer a causa iniciadora); Evento Habilitador: descrio do evento habilitador, caso aplicvel, com respectiva EEL (probabilidade de ocorrer o evento habilitador); Consequncias: possveis impactos do cenrio, com respectivas categorias de severidade para pessoas (S), meio ambiente (E) e patrimnio (L); Fatores Modificadores considerados na anlise, com valores e justificativas para adoo; Salvaguardas consideradas para o cenrio no relatrio de HAZOP+LOPA e, para cada uma: se Passiva (P) ou Ativa (A); se IPL ou no; e, caso IPL, qual o seu RRF; Frequncia Tolervel para a consequncia de maior severidade no cenrio considerado. RRF total: reduo de risco total obtida com todas as IPLs consideradas para o cenrio, exceto a SIF. RRF requerido: reduo de risco pela SIF, que satisfaz a Frequncia Tolervel para o cenrio. Resultados da Avaliao SIL Requerido: resultado da aplicao dos grficos de risco ou de LOPA MTTFS Mnimo Aceitvel (anos): conforme item 6.5 Requisitos de Implementao Contorno (by-pass) para Manuteno: se necessrio ou no. Caso necessrio, descrever a forma de implementao. Cuidados Adicionais: condio especial ou procedimento especfico a ser observado, caso aplicvel. Contorno (by-pass) para Incio de Operao: se necessrio ou no. Caso necessrio, descrever a forma de implementao. Cuidados Adicionais: condio especial ou procedimento especfico a ser observado, caso aplicvel. Rearme (reset) no campo: se necessrio ou no. Caso necessrio, descrever a forma de implementao. Cuidados Adicionais: condio especial ou procedimento especfico a ser observado, caso aplicvel. MTTR: valor considerado nos clculos de confiabilidade da SIF. Intervalo de Tempo entre Testes Peridicos: intervalo de tempo considerado nos clculos de confiabilidade da SIF para manuteno do SIL requerido. Requisitos legais aplicveis: Exemplos: NR-13, NR-10, legislao ambiental, etc. Observaes: NOTAS: Observaes de carter geral sobre a SIF.

Notas aplicveis, numeradas e referenciadas ao longo da folha de dados da SIF.

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE PETROBRAS N-2595 REV. C ANEXO D - FOLHA 04/04.

-PBLICO-

N-2595

REV. C

12 / 2010

NDICE DE REVISES

REV. A
Partes Atingidas
1 2 3 4 ao 4.2.9 4.30 5 ao 5.1 5.1.1 5.1.2 ao 5.7.3 6 ao 6.1.6 6.1.7 ao 6.1.11 6.2 ao 6.24 6.2.5 ao 6.2.6 6.3 ao 6.30.10 6.3.11 e 6.3.12 6.4 ao 6.4.8 6.4.8.1 ao 6.4.8.5 6.4.9 ao 6.4.11 6.4.12 e 6.4.13 6.5 ao 6.5.12 6.6 ao 6.11 7 ao 7.1.5 7.1.6 7.2 ao 7.2.4 7.2.5 ao 7.2.14 7.3 ao 7.3.2 7.3.3 ao 7.3.15 7.4 ao 7.4.4 7.4.5 ao 7.9.2

Descrio da Alterao
Revisados e renumerados Revisado Revisado Revisados e renumerados Excludo Revisados e renumerados Revisado e renumerado Includos Revisados e renumerados Includos Revisados e renumerados Excludos Revisados e renumerados Includos Revisados e renumerados Excludos Revisados e renumerados Includos Revisados e renumerados Includos Revisados e renumerados Excludo Revisados e renumerados Excludos Revisados e renumerados Excludos Revisados e renumerados Excludos

IR 2/2

-PBLICO-

N-2595
REV. A Partes Atingidas
8 e 8.1 8.1.1 ao 8.1.4 8.2 8.2.1 ao 8.2.3 8.3 8.3.1 e 8.3.2 8.4 8.4.1 e 8.4.2 8.5 ao 8.5.2 8.5.2.1 ao 8.5.2.3 8.5.4 ao 8.8 9 ao 9.7 Anexo A

REV. C

12 / 2010

Descrio da Alterao
Revisados e renumerados Excludos Revisado e renumerado Excludos Revisado e renumerado Excludos Revisado e renumerado Excludos Revisados e renumerados Excludos Includos Excludos Revisado

REV. B Partes Atingidas


5.3 5.4.5.4 5.5.1 5.6.6 6.5.4 6.5.5 6.5.9 7.4.3 Anexo A Revisado Revisado Revisado Revisado Revisado Revisado Revisado Revisado Revisado

Descrio da Alterao

REV. C Partes Atingidas


Todas Reviso

Descrio da Alterao

IR 2/2

-PBLICO-

N-2595
1 Escopo

REV. C

12 / 2010

1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condies mnimas exigveis para projeto, operao e manuteno de Sistemas Instrumentados de Segurana - SIS nas instalaes terrestres da PETROBRAS. 1.2 Esta Norma contm Requisitos Tcnicos e Prticas Recomendadas e fixa condies exigveis para projetos iniciados a partir da data de sua edio. 1.3 Sistemas de deteco de fogo e gs no so tratados nesta norma. 1.4 Qualquer funo com acionamento exclusivamente manual no se enquadra nos Sistemas Instrumentados de Segurana. Por exemplo: isolamento e despressurizao de inventrios.

2 Referncias Normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes dos referidos documentos (incluindo emendas). PETROBRAS N-329 - Bateria de Acumuladores; PETROBRAS N-332 - Retificador para Uso Industrial; PETROBRAS N-858 - Construo, Montagem e Condicionamento de Instrumentao; PETROBRAS N-1219 - Cores; PETROBRAS N-1756 - Projeto e Aplicao de Proteo Contra Fogo em Instalaes Terrestres; PETROBRAS N-1883 - Apresentao de Projetos de Instrumentao / Automao; PETROBRAS N-2782 - Tcnicas Aplicveis Anlise de Riscos Industriais; ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level (SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations; ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions (SIF) Implemented as or Within Safety Instrumented System (SIS); ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical to Maintaining Safety in Process Industries; ISA TR 96.05.01 - Partial Stroke Testing of Automated Block Valves; API RP 554 - Process Instrumentation and Control - First Edition 1995 IEC 61131-3 - Programmable Controllers, Part 3: Programming Languages; IEC 61508-1 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 1: General Requirements; Electronic

IEC 61508-2 - Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems - Part 2: Requirements for Electrical/Electronic/Programmable Electronic Safety-Related Systems; IEC 61508-3 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 3: Software Requirements; 4 Electronic

-PBLICO-

N-2595

REV. C

12 / 2010
Electronic

IEC 61508-4 - Functional Safety of Electrical/Electronic/Programmable Safety-Related Systems - Part 4: Definitions And Abbreviations;

IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements; IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels; IEC 62337 - Commissioning of Electrical, Instrumentation and Control Systems in the Process Industry - Specific Phases and Milestones; IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT), Site Acceptance Test (SAT) and Site Integration Test (SIT).

3 Termos e Definies
Para os efeitos deste documento aplicam-se os seguintes termos e definies.

3.1 anlise de camadas de proteo (Layers of Protection Analysis - LOPA) tcnica de avaliao semi-quantitativa da reduo de riscos de processo obtida com a utilizao de camadas de proteo

3.2 anlise de riscos de processo (Process Hazard Analysis - PHA) esforo sistematizado e organizado utilizando uma ou mais das tcnicas listadas na PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevncia dos perigos potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em equipamentos, instrumentao, utilidades, aes humanas, e condies externas que podem afetar o processo

3.3 camada de proteo (protection layer) recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou mais cenrios NOTA 1 O recurso adotado pode ser uma tcnica de engenharia de processo tal como dimensionamento de vaso contendo produto perigoso, um equipamento mecnico tal como vlvula de segurana, uma Funo Instrumentada de Segurana ou mesmo um procedimento administrativo tal como plano de emergncia para situaes de perigo iminente. NOTA 2 Uma camada de proteo pode ser preventiva, quando visa reduzir a frequncia esperada de ocorrncia do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano associado ao evento perigoso. NOTA 3 Uma camada de proteo pode ser passiva (quando no necessita executar uma ao para cumprir a sua funo de proteo) ou ativa (quando necessita mudar de um determinado estado a outro em resposta a uma mudana na propriedade mensurvel do processo em questo). No segundo caso, sua atuao pode ser automtica ou iniciada por ao humana.

3.4 camada de proteo independente (Independent Protection Layer - IPL) camada de proteo que mantm sua funo preventiva ou mitigatria de forma autnoma, sem levar em considerao a causa iniciadora ou a ao de qualquer outra camada de proteo associada ao cenrio 5

-PBLICO-

N-2595

REV. C

01 / 2011

5.1.3 Uma vez determinado o risco associado a um cenrio, deve-se avaliar se o mesmo tolervel, tomando-se por base, alm das polticas corporativas refletidas nos critrios da PETROBRAS N-2782, tambm legislao e regulamentaes, normas e referncias internacionais, informaes de companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade local.

5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco no ser tolervel (estar fora da regio T - tolerable) diferente de ser no tolervel (estar na regio NT - unacceptable), porm deve-se frisar que deixar o risco final na regio M (moderado) deve ser justificado aps se ter lanado mo de todos os recursos para reduzi-lo, em aderncia ao conceito ALARP.

5.2 Camadas de Proteo

5.2.1 Caso a avaliao do risco de um cenrio indique que este maior que o limite estabelecido como tolervel, deve-se buscar reduzir a frequncia esperada de ocorrncia do evento perigoso ou a severidade do dano associado a este cenrio atravs da aplicao de medidas de reduo de risco, normalmente chamadas de salvaguardas ou camadas de proteo (ver Figura 1).

PLANO DE EMERGNCIA - COMUNIDADE SITUAO DE EMERGNCIA GERAL

PLANO DE EMERGNCIA - UNIDADE INDUSTRIAL PROCEDIMENTOS DE EVACUAO SISTEMAS DE MITIGAO FSICOS (DIQUES, BACIAS DE CONTENO etc.) INTERVENO OPERACIONAL SISTEMAS DE ALVIO E PROTEO MECNICA (PSV, TOCHA, etc.) SISTEMAS INSTRUMENTADOS DE SEGURANA

SISTEMAS DE ALARME DE PROCESSO COM AO OPERACIONAL CORRETIVA SISTEMAS DE SUPERVISO E CONTROLE -SSC SUPERVISO OPERACIONAL PROJETO DA INSTALAO PROCESSO

Figura 1 - Modelo de Camadas de Proteo

15

-PBLICO-

N-2595

REV. C

12 / 2010

a) Grficos de Risco (Anexo A): mtodo qualitativo, de aplicao mais simples e mais imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com SILs mais elevados e maior nmero de SIFs; b) LOPA (Anexo B): mtodo semi-quantitativo que leva em conta redues de risco por outras camadas de proteo diferentes do SIS, permitindo avaliaes mais consistentes dos cenrios e produzindo uma documentao mais completa. 6.4.6 Deve-se levar em conta para a escolha do mtodo de avaliao mais adequado: complexidade do processo, natureza e severidade dos riscos, disponibilidade de informaes sobre os cenrios de risco, capacitao e experincia das pessoas disponveis para o trabalho de avaliao. 6.4.7 Recomenda-se a aplicao do mtodo LOPA. [Prtica Recomendada] 6.4.8 Uma vez determinado o nvel de integridade de segurana requerido, este SIL deve ser registrado na Folha de Dados da respectiva SIF. 6.4.9 Caso o resultado da avaliao de uma SIF indique um RRF requerido maior que 10 000, devem ser aplicados outros meios de reduo de risco, de modo que a SIF venha a ter seu nvel de integridade de segurana requerido abaixo de SIL 4. 6.4.10 Caso o resultado da avaliao de uma SIF indique um RRF requerido menor que 10, a funo dever ser implementada no SSC como uma funo automtica no integrante do SIS. 6.5 Avaliao da Frequncia de Trips Esprios Aceitvel para uma SIF 6.5.1 Visando no comprometer a disponibilidade da planta ou equipamento, objeto de proteo pela SIF, deve ser estipulado um valor mnimo, tido como aceitvel na aplicao, para o tempo mdio para a SIF falhar no modo seguro (MTTFS), relacionado com trips esprios. 6.5.2 A instalao industrial deve possuir um critrio para determinao do valor aceitvel de MTTFS. Duas alternativas possveis so apresentadas em 6.5.2.1 e 6.5.2.2. 6.5.2.1 Indisponibilidade O tempo de indisponibilidade devido a trips esprios do SIS deve ser desprezvel (menor que 1/10) em relao ao tempo total de indisponibilidade (paradas e redues de carga no programadas) da planta ao longo de um dado perodo de tempo. Exemplo: numa unidade de processo na qual sejam historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como um todo no poderia ser responsvel por mais que 10 dias parados a cada campanha, ou 2 dias por ano. Supondo que este SIS possua 20 SIFs, cujos trips esprios resultam, em mdia, em 12 h de unidade parada por trip, teramos o limite de 1 trip esprio a cada 5 anos por SIF, ou um MTTFS de 5 anos para cada SIF. 6.5.2.2 Custo do Trip Esprio O custo do trip esprio deve levar em conta, alm da perda de produo (lucro cessante), tambm os custos associados a outras possveis consequncias relacionadas com a parada imprevista e com a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratrios, coqueamento de tubos, etc.), penalizaes contratuais por interrupo da produo, danos ambientais (alvio excessivo para a tocha, rudo de abertura de vlvulas de segurana), danos imagem da companhia etc.

21

-PBLICO-

N-2595

REV. C

12 / 2010

7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores. 7.4.4 Os mdulos de alimentao eltrica do Executor da Lgica, bem como as fontes de alimentao para os iniciadores e elementos finais devem ser redundantes. 7.4.5 Recomenda-se que os mdulos de alimentao eltrica do Executor da Lgica, bem como as fontes de alimentao para os iniciadores e elementos finais disponham de entradas independentes de alimentao eltrica, sendo cada uma alimentada por um PCC distinto. [Prtica Recomendada] 7.5 Comunicao entre Dispositivos de Campo e Executor da Lgica 7.5.1 No permitida utilizao de protocolos de comunicao digital para transmisso de sinais de processo em funes de segurana. 7.5.2 O uso de protocolo de comunicao digital HART permitido somente para fins de diagnstico, devendo ser inibida a funcionalidade de configurao remota. 7.5.3 Recomenda-se no utilizar painis de rearranjo, barreiras de segurana intrnseca, isoladores, conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lgica. [Prtica Recomendada] NOTA No caso de circuitos de acionamento de mquinas eltricas (motores) considera-se o rel de interposio como parte integrante do elemento final.

7.5.4 Caso a aplicao de barreiras de segurana intrnseca e/ou de isoladores de sinal se fizer necessria, tais elementos devem ser: a) instalados no mesmo painel que o Executor da Lgica, e no distribudos em outros locais/paineis; b) alimentados pelas fontes localizadas no painel do Executor da Lgica. 7.6 Iniciadores 7.6.1 Devem ser implementados por transmissores operando no modo analgico na faixa de 4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lgica do SIS. 7.6.2 Nos casos em que o uso de transmissores como iniciadores no seja tecnicamente vivel (por exemplo: chaves de indicao de posio), os respectivos contatos utilizados para acionamento da SIF devem ser mantidos fechados e energizados quando da condio normal de operao da planta ou equipamento. 7.6.3 Visando minimizar a ocorrncia de trips esprios, recomenda-se que o diagnstico interno dos transmissores redundantes seja configurado de modo a, em caso de falha, conduzir o sinal de sada para os seguintes valores: [Prtica Recomendada] a) abaixo de 3,6 mA (sub-range) para os casos onde a atuao de trip ocorra no sentido do aumento do sinal de sada do transmissor; b) acima de 21 mA (sobre-range) para os casos onde a atuao de trip ocorra no sentido da diminuio do sinal de sada do transmissor. NOTA No caso de no haver tolerncia a falha (1 de 1), deve-se usar a mesma abordagem adotada com relao a contorno para manuteno (ver 7.11.3.4). 24

-PBLICO-

N-2595

REV. C

12 / 2010

7.8.7 Todos os mdulos do CP de segurana (mdulos de entrada, sada, fontes de alimentao e processadores) relacionados com a execuo da lgica das SIFs devem: a) no provocar trip esprio por falha singela; b) possibilitar intervenes de manuteno sem a necessidade de desenergizao ou interrupo da execuo da lgica (troca a quente). 7.8.8 Os mdulos de entrada do CP de segurana devem dispor de recursos para deteco de sinal quando fora da faixa normal de trabalho de 4 mA a 20 mA. 7.8.9 O Executor da Lgica e seus equipamentos auxiliares devem ser instalados em painel exclusivo para essa finalidade. Esse conjunto deve ser compatvel com as condies ambientais e eltricas especficas do local de instalao. 7.8.10 O painel do Executor da Lgica e as caixas de juno do SIS devem possuir identificao diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja segurana e inscrio SIS na plaqueta de identificao do painel. 7.8.11 No caso de haver interao entre executores da lgica distintos, suas aes devem ser coordenadas de modo a garantir a conduo do processo como um todo a um estado seguro. 7.8.12 A execuo de SIF utilizando enlace de comunicao digital entre CPs de segurana distintos fica condicionada a certificao do nvel de integridade de segurana atingido por todo o conjunto, incluindo o respectivo enlace de comunicao, conforme IEC 61508 - Partes 1, 2 e 3. O certificado deve ser submetido para aprovao da Petrobras. Certificados emitidos pela TV esto praprovados. 7.8.13 O programa aplicativo deve: a) ser desenvolvido em conformidade com o diagrama lgico do projeto de detalhamento do SIS; NOTA 1 Recomenda-se utilizar linguagem de programao tipo Function Blocks (ver IEC 61131-3). [Prtica Recomendada] NOTA 2 Recomenda-se no utilizar linguagens de programao tipo texto estruturado ou diagrama Ladder. [Prtica Recomendada] b) ser desenvolvido considerando as restries pertinentes ao uso do programa utilitrio, compatveis com o nvel de integridade requerido, indicadas no manual de segurana do CP selecionado; c) possuir um tempo de varredura (scan time) menor que a metade do menor tempo de resposta requerido pelas SIFs em execuo no CP de segurana; d) fornecer informaes ao SSC conforme o 7.12; e) identificar e tratar eventuais casos de falha de sinal analgico proveniente de iniciadores (ver 7.6.3), de modo a evitar a ocorrncia de trips esprios, aplicando para tal a mesma lgica de degradao da arquitetura de votao usada no contorno para manuteno (ver 7.11.3.3). NOTA A degradao da arquitetura de votao de 2 de 3 para 1 de 1 no permitida.

7.9 Comando Manual de Trip 7.9.1 A quantidade e a abrangncia dos comandos manuais de trip da planta ou equipamento devem ser definidas na etapa de projeto bsico de processo e descritas nas respectivas Folhas de Dados de SIF.

27

-PBLICO-

N-2595
NOTA

REV. C

12 / 2010

Acionamento manual constitui uma opo de atuao dos elementos finais de uma SIF pelo operador prevista no projeto de processo, mas no faz parte da funo automtica de proteo e, portanto, no deve ser considerada nos clculos de desempenho da SIF (SIL ou MTTFS).

7.9.2 Recomenda-se que os comandos manuais de trip sejam implementados atravs de botoeiras eletromecnicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em srie, instaladas em local de fcil acesso pela equipe de operao e dotadas de proteo contra acionamento indevido. [Prtica Recomendada] 7.9.3 Os sinais de comando manual de trip devem ser processados pelo Executor da Lgica do SIS. 7.9.4 Comandos manuais de trip a partir da interface de operao do SSC devem ser implementados hardwired do controlador do SSC para o Executor da Lgica.

7.10 Rearme (Reset) de SIF 7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reincio controlado de operao da planta ou equipamento objeto de proteo pela SIF, quando aps um evento de trip no seja mais verificada qualquer condio de demanda. 7.10.2 Aps a ocorrncia de uma demanda e o consequente acionamento da respectiva SIF, o sinal de comando para o elemento final deve permanecer no estado acionado at recebimento de um comando de rearme manual pelo operador. 7.10.3 No permitido rearme automtico de SIF. 7.10.4 O comando manual de rearme somente deve ser implementado atravs de botoeira fsica localizada no campo quando requerido na Folha de Dados da SIF. 7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta durao.

7.11 Contorno (By-Pass) de SIF

7.11.1 Consideraes Gerais 7.11.1.1 O objetivo do contorno restringir a atuao de uma SIF, seja por necessidade de incio de operao ou de interveno de manuteno durante a operao da planta ou equipamento. 7.11.1.2 No permitido contorno automtico de SIF. Todo contorno deve ser acionado manualmente por intermdio de telas pr-configuradas na IHM do SSC, possuindo necessariamente sinalizao de confirmao de estado. 7.11.1.3 No pode haver contorno das sadas do Executor da Lgica da SIF. 7.11.1.4 No pode haver contorno do comando manual de trip. 28

-PBLICO-

N-2595

REV. C

01 / 2011

7.12.5 aceitvel um atraso mximo de at 3 segundos entre a ocorrncia de uma ao de trip iniciada por uma SIF e a respectiva indicao na interface de operao do SSC.

7.12.6 Sempre que houver tempo suficiente para a ao corretiva pelo operador deve haver alarme de pr-trip.

7.12.7 Recomenda-se que os alarmes do SIS possuam identificao visual e sonora diferenciada dos demais alarmes do SSC. [Prtica Recomendada]

7.12.8 A identificao visual para o primeiro evento de uma sequncia de trip deve ser apresentada de modo destacado na interface de operao.

7.13 Interface para Manuteno e Engenharia

7.13.1 A interface para manuteno e engenharia deve ser realizada em microcomputador tipo PC industrial, devendo possuir as seguintes funes: a) configurao do CP de Segurana e armazenamento de sua configurao; b) diagnstico com indicao de todos os detalhes de falhas detectadas no Executor da Lgica; c) armazenamento de histrico auditvel de aes/intervenes no SIS, com TAG, data, hora e identificao pessoal, de forma a se poder analisar as ocorrncias posteriormente.

7.13.2 A interface para manuteno e engenharia deve ser dotada de senha de acesso.

7.13.3 Para os diversos CPs de Segurana de uma instalao industrial deve-se ter um nmero mnimo de estaes de engenharia/manuteno interligadas em rede com os CPs de Segurana.

7.13.4 Recomenda-se que haja uma porta de comunicao direta em cada CP de Segurana para o caso de indisponibilidade da rede. [Prtica Recomendada]

7.14 Interface de Comunicao com o SSC

7.14.1 A Interface de comunicao do Executor da Lgica do SIS com o SSC deve ser individual para cada CP de segurana.

7.14.2 Recomenda-se o uso de mdulos e cabos de comunicao redundantes entre o Executor da Lgica e o SSC. [Prtica Recomendada]

7.14.3 Recomenda-se que o protocolo de comunicao utilizado impea comandos para o Executor da Lgica vindos do SSC diferentes daqueles previamente definidos em 7.12.2. [Prtica Recomendada]

7.14.4 Em caso de falha, a interface de comunicao deve: a) no comprometer a execuo das SIFs; b) no causar trip esprio; c) anunciar a falha na interface de operao.

31

-PBLICO-

N-2595

REV. C

12 / 2010

A.6 Uso de Grfico de Risco para Consequncias Materiais


A.6.1 O uso de grfico de risco para determinar o nvel da integridade de segurana requerido quando as consequncias da falha incluem perda de produo ou danos a equipamentos, deve levar em considerao todas as perdas econmicas associadas falha na demanda, incluindo custos de reconstruo e o custo de perda de produo. A.6.2 A Tabela A.4 mostra as consequncias em relao a danos/perdas materiais.
W3 --1 2 3 X X W2 ----1 2 3 X W1 ------1 2 3

L1 Incio L2 L3 L4

P1 P2 P1 P2 P1 P2 P1 P2

L = Consequncia material P = Probabilidade de evitar o evento perigoso W = Taxa de demanda

--- = Sem requisitos de segurana 1, 2, 3 = SIL X = ver 6.4.9 desta Norma

Figura A.3 - Grfico de Risco Relativo Proteo de Patrimnio/Produo Tabela A.4 - Consequncias Materiais
Parmetro do risco Classificao Exemplos

L1

Consequncia Material (L)

produo fora de especificao; pequenas quantidades de alvio de fluidos. cavitao de bombas convencionais por Pequenas perturbaes baixa presso na suco; operacionais ou danos possibilidade de danos moderados ou reduzidos ao graves em equipamentos essenciais, ou equipamento. no essenciais, que so causados por eventos de ao prolongada, mas que no requeiram rpida interveno do operador (mnimo de 1 dia). perturbao na rea de utilidades afetando outras reas, como a injeo de lquido em Moderadas perturbaes correntes de gs para o sistema de gs operacionais ou danos combustvel; moderados ao grandes quantidades de alvio de fluidos. equipamento. cavitao em bombas de alta rotao ou em bombas de mltiplos estgios que disponham de reserva.

L2

51

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela A.4 - Consequncias Materiais (Continuao)


Parmetro do risco Classificao Exemplos

L3

Consequncia Material (L)

alvio abrupto de grandes quantidades de massa causando violenta liberao de energia, como o caso de brusca despressurizao em sistemas de alta presso; transbordamento de fluidos de processo; Grande perturbao solidificao de produtos em linhas no operacional ou dano aquecidas, de grandes dimenses, grave ao equipamento. requerendo custosas aes de correo; necessidade de reparos de baixo custo em equipamentos essenciais que trabalhem sem reserva; necessidade de reparos custosos em equipamentos que disponham de reserva ou equipamentos no essenciais. temperatura excessiva em reaes exotrmicas fora de controle; presso excessiva em sistemas onde a malha de segurana o dispositivo de Perda de produo proteo final, devido a impossibilidade de associada a dano em instalao de vlvulas de segurana; equipamento essencial. exploso de fornos e caldeiras; nvel alto em vaso de suco de compressor; baixa presso na suco de bombas de mltiplos estgios.

L4

A.6.3 As consequncias acima devem ser usadas conjuntamente com a verso especial do grfico de risco, Figura A.3. Deve-se notar que o parmetro de F no usado neste grfico de risco porque o conceito de ocupao no se aplica. Os parmetros P e W se aplicam e as definies podem ser idnticas quelas usadas para o grfico de segurana pessoal.

A.7 Determinao do Nvel da Integridade da Funo Instrumentada de Segurana Quando as Consequncias da Falha Envolvem Mais de Um Tipo de Perda
Em muitos casos as consequncias da falha na demanda envolvem mais de um tipo de perda. Quando for este o caso os requisitos de nvel de integridade associados com cada tipo de perda devem ser determinadas em separado. Diferentes mtodos podem ser usados para cada um dos riscos especficos identificados. O nvel da integridade especificado para uma funo deve levar em conta o total cumulativo de todos os riscos envolvidos se a funo falhar na demanda.

52

-PBLICO-

N-2595

REV. C

12 / 2010

B.2.4.2 O mtodo LOPA estabelece que no seja considerada a existncia de camada de proteo ou qualquer outro fator na determinao da frequncia da causa iniciadora. B.2.4.3 Falhas na demanda de camadas de proteo (SIF, PSV etc.) no devem ser consideradas como causas iniciadoras, uma vez que outros eventos devem iniciar o cenrio antes que estas camadas de proteo sejam demandadas. Entretanto, vazamento ou falha em fechar aps atuao de PSV, bem como atuaes esprias de sistemas de proteo podem ser consideradas como causas iniciadoras de cenrios dignos de serem analisados, mas que muitas vezes so esquecidos. B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequncia para a causa iniciadora (ICF) do cenrio identificado.

Tabela B.2 - Frequncias de Causas Iniciadoras


Causa iniciadora Falha de malha de controle do SSC Falha de vlvula reguladora ou redutora de presso em servio limpo Falha de equipamento esttico (baixa vibrao) Falha de equipamento esttico (alta vibrao) Falha de equipamento dinmico (B.2.4.5.a) Sobrevelocidade de turbina / motor diesel com quebra da caixa Falha de vaso de presso Falha de tubulao ruptura franca Vazamento em tubulao 10 % seo reta Falha de tanque atmosfrico Abertura espria de vlvula de segurana Falha de selo de bomba Falha de mangote de carregamento / descarregamento (baixa vibrao) Falha de mangote de carregamento / descarregamento (alta vibrao) Falha em sistema de gua de refrigerao redundante Ruptura de engaxetamento Perda de fonte redundante de potncia eltrica Impacto de veculo terrestre (caminho, escavadeira, etc.) Queda de carga suspensa por guindaste Descarga eltrica atmosfrica Incndio de pequenas propores Incndio de grandes propores Falha do operador em executar procedimento de rotina (operador bem treinado, no estressado, no fatigado) (B.2.4.5.b) Erro humano (tarefa no rotineira, baixo estresse) (B.2.4.5.c) Erro humano (tarefa no rotineira, alto estresse) (B.2.4.5.c) Falha em procedimento de manuteno do tipo LOTO (B.2.4.5.d) ICF (evento/ano) 1 x 10-1 1 x 10-2 1 x 10-2 1 x 10-1 1 x 10-1 1 x 10-4 1 x 10-6 1 x 10-7 por metro 1 x 10-5 por metro 1 x 10-3 1 x 10-2 1 x 10-1 1 x 10-1 1 x 100 1 x 10-1 1 x 10-2 1 x 10-1 1 x 10-2 1 x 10-4 por iamento 1 x 10-3 1 x 10-1 1 x 10-2 1 x 10-2 por oportunidade 1 x 10-1 por oportunidade 1 x 100 por oportunidade 1 x 10-3 por oportunidade

56

-PBLICO-

N-2595

REV. C

12 / 2010

B.2.4.5 Regras comumente utilizadas nas causas iniciadoras da Tabela B.2 a) qualquer equipamento cujo funcionamento dependa de ou seja baseado em peas normalmente mveis pode ser enquadrado no item equipamentos dinmicos; b) procedimentos de rotina so aes realizadas rotineiramente no campo ou na interface de operao do SSC que, se realizadas incorretamente, podem resultar em desvios do processo em anlise; c) tarefas no rotineiras so aquelas realizadas em situaes espordicas, como partidas e paradas de unidades de processo, e que, se realizadas incorretamente, podem resultar em desvios do processo em anlise; d) considerada como falha geral de um procedimento de segurana com mltiplas etapas, batizado de LOTO ("Lockout/Tagout") e conhecido na PETROBRAS como LIBRA (Abastecimento) ou PCEP (Transpetro); estas denominaes referem-se a prticas e procedimentos especficos para salvaguardar trabalhadores contra energizao inadvertida de equipamentos, partida inesperada de mquinas, ou liberao de substncias perigosas durante servios ou atividades de manuteno; isto requer que um indivduo designado desligue e desconecte a mquina ou equipamento de sua(s) fonte(s) de energia antes da execuo de qualquer servio ou manuteno e que os trabalhadores autorizados ou tranquem com cadeado (lock) ou identifiquem (tag) o dispositivo de isolao de energia, e verifiquem que a energia foi efetivamente isolada. B.2.4.6 Os valores da Tabela B.2 derivam da experincia da indstria de processo, e consideram diversos tipos de falhas de material e operacionais. B.2.4.7 Para atuao espria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10-1 trip esprio por ano, uma vez que nesta etapa da aplicao do procedimento ainda no se conhece o MTTFS da SIF. B.2.4.8 Equipamentos no cobertos pela Tabela B.2, tais como filtros (vrios tipos), flanges, caminhes-tanque, dutos terrestres e martimos, vlvulas manuais (volante), vlvulas de bloqueio atuadas (XV) etc., devem ter seus valores de frequncia de falha calcados em razes defensveis e documentadas.

B.2.5 Condio Habilitadora (EE) B.2.5.1 Condio Habilitadora uma ao ou estado que no causa o cenrio, mas que precisa existir para permitir que a causa iniciadora conduza consequncia indesejada considerada. EXEMPLO Cenrio com condio habilitadora: A purga do tambor de coque para a torre fracionadora realizada em etapas, com foramento manual do set point de vazo para valores gradativamente maiores. Ao final do resfriamento, o set point deve retornar ao valor operacional antes de se colocar o controle em automtico. Condio Habilitadora: set point da vazo de gua de resfriamento deixado no maior valor de vazo no ltimo resfriamento realizado no tambor; Causa Iniciadora: Abertura indevida das vlvulas manuais de isolamento da gua de resfriamento; Consequncia: Aumento de presso no tambor de coque pela vaporizao brusca da gua injetada, com possibilidade de vazamentos em flanges e acessrios, e possibilidade de danos ao reator. B.2.5.2 Outra condio habilitadora possvel de ser considerada (talvez a mais comum) o Tempo de Existncia do Risco (Time at Risk). 57

-PBLICO-

N-2595

REV. C

12 / 2010

Tabela B.8 - IPL Ativas e Suas PFDavg Tpicas


Probabilidade Mdia de Falha na Demanda (PFDavg) 1 x 10-1 1 x 10-2 1 x 10-3 1 x 10-1 1 x 10-1 1 x 10-2 1 x 10-3

Camada de Proteo Independente (IPL) Funo instrumentada de segurana com SIL 1 Funo instrumentada de segurana com SIL 2 Funo instrumentada de segurana com SIL 3 Malha de controle do SSC [B.2.7.4] Resposta de operador a alarme [B.2.7.5] Dispositivo mecnico de alvio / vlvula de segurana e alvio [B.2.7.6] Dois dispositivos de alvio independentes (bocais, descargas etc.), alinhados ao processo, cada um dimensionado para atender a 100 % do cenrio [B.2.7.6] Mltiplos dispositivos de alvio independentes (bocais, descargas etc.), porm mais de um precisa atuar para atender a 100 % do cenrio (exemplo: PSV estagiadas). [B.2.7.6] Dispositivo mecnico interno de segurana independente do SIS e do SSC (p.ex. desarme mecnico de turbina) Disco de ruptura Vlvula de reteno [B.2.7.7] Vlvula de reteno de alta confiabilidade (high integrity backflow prevention device) [B.2.7.7] Duas ou mais vlvulas de reteno associadas em srie [B.2.7.7] Vlvula reguladora [B.2.7.8] Vlvula travada com selo (car sealed), listada e verificada frequentemente [B.2.7.9] Vlvula trancada com frequentemente [B.2.7.9] cadeado (locked), listada e verificada

1 x 10-1

1 x 10-1 1 x 10-2 1 x 100 1 x 10-1 1 x 10-1 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-2 1 x 10-1

Selo duplo (em bomba) com alarme no interstcio Proteo ativa contra fogo [B.2.7.10]

Os valores numricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Mdia de Falha na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL mais confivel (menor PFDavg) que os valores numricos apresentados nestas tabelas, ou identificar alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve ser calcado em razes defensveis e documentadas. NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operao por demanda. Para modo de operao contnuo, deve-se usar valores de frequncia de falha perigosa (SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.

Visando assegurar consistncia na aplicao da LOPA, so listadas em B.2.7.1 a B.2.7.10 algumas condies para orientar a deciso de quando considerar uma salvaguarda como IPL. B.2.7.1 Condies Gerais a) b) c) d) A IPL sozinha deve ser suficiente para impedir a ocorrncia do evento perigoso; A falha da IPL no pode ser a causa iniciadora do cenrio considerado; O cenrio no pode levar a IPL a falhar ou a tornar-se indisponvel; Se a IPL for ativa, sua atuao espria no pode levar a um novo cenrio com risco maior que o daquele que a mesma visa evitar; e) Os componentes da IPL em questo devem ser distintos e independentes dos componentes das demais IPLs; 62

-PBLICO-

N-2595
B.2.7.7 Vlvula de Reteno

REV. C

12 / 2010

As condies especficas requeridas para que este tipo de dispositivo possa ser considerado uma IPL so: a) duas ou mais vlvulas de reteno devem estar associadas em srie; b) uma nica vlvula de reteno pode ser considerada como IPL somente se este dispositivo possuir alta confiabilidade (high integrity backflow prevention device); c) o servio deve ser limpo, no passvel a entupimentos, formao de depsitos, gomas, polimerizao etc.; d) as vlvulas de reteno usadas como IPL devem ser identificadas como tal e fazer parte de um programa de manuteno mecnica estabelecido e auditvel. NOTA Vlvulas de reteno no so adequadas para aplicaes onde se requeira vedao estanque (tight shut-off) para fluxo reverso.

B.2.7.8 Vlvula Reguladora (Excess Flow Valve) Vlvulas reguladoras usadas como IPL devem ser identificadas como tal e fazer parte de um programa de manuteno mecnica estabelecido e auditvel.

B.2.7.9 Vlvula Travadas com Selo (Car-Sealed) ou Trancadas com Cadeado (Locked) As condies especficas necessrias para que vlvulas travadas com selo (Car-Sealed) ou trancadas com cadeado (Locked) possam ser consideradas como IPL so as seguintes: a) os responsveis pela operao da planta ou equipamento mantenham uma lista atualizada de todas as vlvulas travadas com selo ou trancadas com cadeado; b) os responsveis pela operao da planta ou equipamento conduzam inspees regulares para assegurar que essas vlvulas encontram-se na posio apropriada e seus selos e cadeados, ntegros.

B.2.7.10 Proteo Ativa Contra Fogo As condies especficas necessrias para que uma Proteo Ativa Contra Fogo (por exemplo: sistemas de deteco de incndio comandando a atuao do sistema de dilvio) possa ser considerada uma IPL so as seguintes: a) proteo ativa contra fogo somente pode ser considerada como uma IPL para cenrios em que o incndio seja a causa iniciadora; b) proteo ativa contra fogo no pode ser considerada como uma IPL para os cenrios em que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou exploso que a mesma se destina a conter; NOTA Um sistema de deteco de gs comandando fechamento de SDV (ou de vlvulas de isolamento de inventrio), pode ser analisado de forma anloga, ou seja: a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um vazamento de gs (por exemplo: incndio, exploso), mas no contra o vazamento em si, pois o mesmo necessariamente j ter ocorrido quando for detectado; b) deve-se avaliar se esta camada de proteo capaz de sozinha impedir a consequncia indesejada, ou se depende de outras aes externas (por exemplo: do operador) para ser efetiva; c) deve ser possvel determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta camada, levando-se em conta a disperso do gs no ambiente, no momento da demanda. 65

-PBLICO-

N-2595

REV. C

12 / 2010

5.1.3 Uma vez determinado o risco associado a um cenrio, deve-se avaliar se o mesmo tolervel, tomando-se por base, alm das polticas corporativas refletidas nos critrios da PETROBRAS N-2782, tambm legislao e regulamentaes, normas e referncias internacionais, informaes de companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade local. 5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco no ser tolervel (estar fora da regio T - tolerable) diferente de ser no tolervel (estar na regio NT - unacceptable), porm deve-se frisar que deixar o risco final na regio M (moderado) deve ser justificado aps se ter lanado mo de todos os recursos para reduzi-lo, em aderncia ao conceito ALARP (ver PETROBRAS N-2782).

5.2 Camadas de Proteo 5.2.1 Caso a avaliao do risco de um cenrio indique que este maior que o limite estabelecido como tolervel, deve-se buscar reduzir a frequncia esperada de ocorrncia do evento perigoso ou a severidade do dano associado a este cenrio atravs da aplicao de medidas de reduo de risco, normalmente chamadas de salvaguardas ou camadas de proteo (ver Figura 1).

PLANO DE EMERGNCIA - COMUNIDADE SITUAO DE EMERGNCIA GERAL

PLANO DE EMERGNCIA - UNIDADE INDUSTRIAL PROCEDIMENTOS DE EVACUAO SISTEMAS DE MITIGAO FSICOS (DIQUES, BACIAS DE CONTENO etc.) INTERVENO OPERACIONAL SISTEMAS DE ALVIO E PROTEO MECNICA (PSV, TOCHA, etc.) SISTEMAS INSTRUMENTADOS DE SEGURANA

SISTEMAS DE ALARME DE PROCESSO COM AO OPERACIONAL CORRETIVA SISTEMAS DE SUPERVISO E CONTROLE -SSC SUPERVISO OPERACIONAL PROJETO DA INSTALAO PROCESSO

Figura 1 - Modelo de Camadas de Proteo

15

-PBLICO-

N-2595

REV. C

12 / 2010

5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porm no utilizados em lgica de SIF (p.ex. indicao do estado de elemento final) no devem ser ligados ao Executor da Lgica do SIS. [Prtica Recomendada] 5.4.6 frequente a matriz de causa e efeito indicar uma mesma causa para aes de segurana e para aes no relacionadas a segurana. Recomenda-se que uma SIF somente inclua os dispositivos estritamente necessrios para executar sua ao de segurana. [Prtica Recomendada] 5.4.7 Cada SIF deve possuir um identificador alfa-numrico exclusivo (tag) e ser documentada numa folha de dados que rena as principais especificaes da SIF, suas funcionalidades, seus requisitos de desempenho (tais como SIL e MTTFS) e critrios adotados nos clculos (como intervalo entre testes peridicos), compondo um conjunto de informaes equivalente ao Safety Requirements Specification - SRS definido na IEC 61511-1. 5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das SIFs. [Prtica Recomendada] 5.4.8 A documentao de projeto bsico do SIS deve formar um conjunto distinto e destacado dos demais documentos de projeto no relacionados ao SIS (ver ISA 91.00.01). 5.4.9 A documentao de projeto bsico do SIS acompanhar o SIS ao longo de todo o seu ciclo de vida, devendo ser arquivada no sistema de documentao tcnica da respectiva instalao industrial e estar sempre atualizada, de modo rastrevel e auditvel, em funo de qualquer reviso que venha a ocorrer na planta. 5.4.10 A elaborao do projeto bsico do SIS deve consistir, fundamentalmente, na execuo das seguintes tarefas, detalhadas nos captulos a seguir: a) b) c) d) identificao das SIFs (no coberta por esta norma); avaliao das SIFs (ver seo 6); definio dos requisitos de implementao do SIS (ver seo 7); verificao do SIL e do MTTFS requeridos para cada SIF (ver seo 8);

5.4.11 Ao final do projeto bsico, todas as folhas de dados de SIF devem estar completamente preenchidas.

6 Projeto Bsico do SIS - Avaliao das SIFs


6.1 Consideraes Gerais 6.1.1 A etapa de avaliao consiste, basicamente, em se determinar dois importantes parmetros de desempenho, com vistas elaborao da especificao do SIS, a saber: a) Nvel de Integridade de Segurana - SIL; b) Tempo Mdio para Falhar no modo Seguro - MTTFS; 6.1.2 A avaliao das SIFs deve ser efetuada durante a fase de projeto bsico de uma nova planta e durante as revises que venham a ser realizadas no projeto de uma planta existente. 6.1.3 A avaliao das SIFs no deve substituir os estudos de anlise de riscos, mas complementar sua execuo, auxiliando na especificao de um SIS adequado. 18

-PBLICO-

N-2595

REV. C

12 / 2010

6.1.4 Recomenda-se que a avaliao das SIFs seja efetuada pela mesma equipe da anlise de riscos, em conjunto com ou imediatamente aps a realizao desta. [Prtica Recomendada]

6.2 Composio da Equipe de Avaliao das SIFs 6.2.1 A equipe designada para avaliar as funes instrumentadas de segurana deve ser multidisciplinar, composta, ao longo de toda a realizao da atividade, por um lder de equipe e por profissionais representantes de, pelo menos, as seguintes reas: a) b) c) d) Processo; Instrumentao e Controle; Operao; SMS.

6.2.2 Especialistas de reas especficas, tais como equipamentos estticos, trmicos, dinmicos ou eltricos, devem ser consultados pela equipe de avaliao sempre que houver necessidade de se confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades. 6.2.3 O representante de Processo deve ter participado do projeto bsico especfico a ser analisado, de forma a garantir um bom conhecimento sobre o mesmo. 6.2.4 O representante de Instrumentao e Controle deve possuir experincia e/ou treinamento especfico em Sistemas Instrumentados de Segurana. 6.2.5 O representante da operao deve: a) possuir experincia no processo em questo; b) estar vinculado com a operao futura da planta em questo. 6.2.6 O representante de SMS deve: a) conhecer as polticas, diretrizes, normas e legislaes de SMS aplicveis planta em questo; b) estar vinculado com a operao futura da planta em questo. 6.2.7 O lder da equipe de avaliao deve ter experincia em anlise de riscos, possuir treinamento no mtodo especfico a ser utilizado e ter participado anteriormente de outros processos de avaliao de SIF. 6.2.8 Admite-se que o lder da equipe de avaliao acumule a funo de representante de qualquer uma das reas relacionadas neste item, desde que atenda s exigncias para tal. 6.2.9 O lder da equipe de avaliao deve assegurar a aplicao organizada, sistemtica e consistente do mtodo utilizado, orientando neste sentido os demais membros da equipe. 6.2.10 Recomenda-se que, antes do incio das anlises, o lder da equipe de avaliao promova um nivelamento do entendimento do mtodo a ser utilizado por todos os participantes, de modo a garantir um mnimo de familiaridade com a tcnica e suas terminologias particulares. [Prtica Recomendada] 6.2.11 Ao final do estudo, o relatrio deve estar elaborado e acordado por toda a equipe. Nos itens em que no tenha sido possvel alcanar um consenso, as razes devem ser registradas. 19

-PBLICO-

N-2595

REV. C

12 / 2010

7.12.5 aceitvel um atraso mximo de at 3 segundos entre a ocorrncia de uma ao de trip iniciada por uma SIF e a respectiva indicao na interface de operao do SSC. 7.12.6 Sempre que houver tempo suficiente para a ao corretiva pelo operador deve haver alarme de pr-trip. 7.12.7 Recomenda-se que os alarmes do SIS possuam identificao visual e sonora diferenciada dos demais alarmes do SSC. [Prtica Recomendada] 7.12.8 A identificao visual para o primeiro evento de uma sequncia de trip deve ser apresentada de modo destacado na interface de operao. 7.13 Interface para Manuteno e Engenharia 7.13.1 A interface para manuteno e engenharia deve ser realizada em microcomputador tipo PC industrial, devendo possuir as seguintes funes: a) configurao do CP de Segurana e armazenamento de sua configurao; b) diagnstico com indicao de todos os detalhes de falhas detectadas no Executor da Lgica; c) armazenamento de histrico auditvel de aes/intervenes no SIS, com TAG, data, hora e identificao pessoal, de forma a se poder analisar as ocorrncias posteriormente. 7.13.2 A interface para manuteno e engenharia deve ser dotada de senha de acesso. 7.13.3 Para os diversos CPs de Segurana de uma instalao industrial deve-se ter um nmero mnimo de estaes de engenharia/manuteno interligadas em rede com os CPs de Segurana. 7.13.4 Recomenda-se que haja uma porta de comunicao direta em cada CP de Segurana para o caso de indisponibilidade da rede. [Prtica Recomendada] 7.14 Interface de Comunicao com o SSC 7.14.1 A Interface de comunicao do Executor da Lgica do SIS com o SSC deve ser individual para cada CP de segurana. 7.14.2 Recomenda-se o uso de mdulos e cabos de comunicao redundantes entre o Executor da Lgica e o SSC. [Prtica Recomendada] 7.14.3 Recomenda-se que o protocolo de comunicao utilizado impea comandos para o Executor da Lgica vindos do SSC diferentes daqueles previamente definidos no 7.12. [Prtica Recomendada] 7.14.4 Em caso de falha, a interface de comunicao deve: a) no comprometer a execuo das SIFs; b) no causar trip esprio; c) anunciar a falha na interface de operao.

31

-PBLICO-

N-2595
l) m) n) o) p) q) r) s) t)

REV. C

12 / 2010

especificao tcnica de painis do SIS; manual tcnico (do fabricante) do Executor da Lgica do SIS (ver Nota 4); manuais tcnicos (dos fabricantes) dos iniciadores do SIS (ver Nota 4); manuais tcnicos (dos fabricantes) dos elementos finais do SIS (ver Nota 4); programa aplicativo do Executor da Lgica (listagem) do SIS; desenhos de painis do SIS; plano de TAF do SIS (ver Nota 5); manual de operao do SIS (ver Nota 6); plano de manuteno do SIS (ver Nota 7).

NOTA 1 A lista de SIFs e de instrumentos do SIS um documento dividido em duas partes: a primeira parte deve relacionar em ordem numrica cada SIF do SIS (tag, descrio e SIL requerido) com os tags dos instrumentos (iniciadores e elementos finais) que a compe. A segunda parte deve relacionar em ordem alfabtica cada instrumento do SIS (tag, servio, fluxograma ou desenho de origem e folha de dados) com os tags das SIFs das quais fazem parte. NOTA 2 A memria de clculo de verificao do SIL e do MTTFS do projeto de detalhamento deve conter os mesmos clculos efetuados durante o projeto bsico, porm considerando as arquiteturas de votao e os modelos especficos de iniciadores, Executor da Lgica e elementos finais efetivamente adotados, e incluir os clculos do tempo de resposta da SIF e do tempo de retardo, caso necessrio. NOTA 3 A lista de cargas eltricas do SIS ser necessria caso a alimentao eltrica do SIS seja exclusiva. NOTA 4 Os manuais tcnicos devem incluir, sempre que aplicvel, os respectivos certificados e relatrios de compatibilidade com o nvel de integridade de segurana conforme a IEC 61508-1. NOTA 5 O contedo do Plano de TAF do SIS est definido no 10.2 desta Norma. NOTA O contedo do manual de operao do SIS est definido no 13.1 desta Norma. NOTA 7 O contedo do plano de manuteno do SIS est definido no 13.2 desta Norma. 9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informaes consolidadas dos documentos mencionados em a), b), c) e d) do 9.2.1. 9.2.3 Depois de concluda a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados de SIF, manuais, planos e relatrios, devem ser agrupados de modo a compor o Manual do Sistema Instrumentado de Segurana.

10 Teste de Aceitao em Fbrica e Preservao


10.1 Teste de Aceitao em Fbrica - TAF 10.1.1 O TAF do SIS deve ser executado aps a concluso do projeto de detalhamento do Executor da Lgica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalao e de condicionamento do Executor da Lgica (ver IEC 62381). 10.1.2 O objetivo do TAF verificar a conformidade da operao do conjunto Executor da Lgica e programa aplicativo segundo os requisitos previamente estabelecidos nas folhas de dados de SIF e no diagrama lgico. O TAF deve ser planejado e executado de modo detalhado para soluo de no conformidades, equipamentos defeituosos e soluo de pendncias. 10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possveis combinaes lgicas de cada SIF.

34

-PBLICO-

N-2595

REV. C

12 / 2010

f) confirmao da correta atuao dos comandos de contorno (by-pass) para manuteno; g) confirmao da correta atuao dos comandos de rearme; h) confirmao da correta comunicao com a interface de operao, incluindo indicaes, alarmes gerados pelas SIFs, registro de eventos, matriz de causa e efeito animada etc.; i) confirmao do comportamento esperado de cada SIF nos casos de ocorrncia de: medio fora de range, falta de energia eltrica, perda de pressurizao pneumtica ou hidrulica. 12.1.6 As atividades executadas na etapa de Pr-Operao do SIS devem ser registradas em um relatrio de validao.

12.2 Aceitao Final do SIS 12.2.1 O objetivo desta etapa registrar de forma conclusiva o final da etapa de Pr-Operao do SIS, liberando-o para incio de operao. 12.2.2 Deve ser elaborado um documento intitulado Declarao de Aceitao do SIS, o qual deve incluir os seguintes registros: a) b) c) d) e) f) g) nmero do Plano de Pr-Operao do SIS utilizado; verso validada do programa aplicativo; ferramentas e equipamentos de teste utilizados; identificao de cada SIF examinada e os resultados dos respectivos testes; resultados dos testes com os demais sistemas interligados (SSC, outros SIS); descrio das discrepncias constatadas; nome e assinatura dos responsveis pela operao da planta ou equipamento.

12.2.3 Toda discrepncia constatada entre o resultado obtido e o esperado deve ser submetida a anlise, por parte dos responsveis pela elaborao do projeto, de forma a decidir-se corretamente se o SIS pode ser aceito, ou se devida uma reviso nos documentos de projeto. O relatrio de anlise bem como a deciso tomada sobre o tratamento a ser dado (s) discrepncia(s) deve fazer parte integrante da Declarao de Aceitao do SIS. 12.2.4 Toda pendncia que degrade requisito tcnico estabelecido no projeto do SIS deve ser tratada. 12.2.5 Como atividade final deve ser efetuada uma inspeo no SIS de modo a assegurar que: a) todas as funes de contorno foram deixadas nas respectivas posies normais de operao; b) todos os elementos finais (vlvulas de bloqueio, contorno etc.) se encontram nas respectivas posies de segurana; c) todos os materiais e dispositivos de teste se encontram removidos; d) todas as variveis ou condies foradas no programa aplicativo foram removidas.

13 Operao, Manuteno, Testes Peridicos e Modificaes


13.1 Operao 13.1.1 O objetivo deste item o de estabelecer requisitos que contribuam para a operao adequada do SIS ao longo de seu ciclo de vida. 39

-PBLICO-

N-2595

REV. C

12 / 2010

13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de Operao do SIS, o qual deve apresentar de forma organizada o seguinte contedo: a) Descrio funcional e detalhada de cada SIF, abordando: evento perigoso que a SIF se destina a proteger; consequncias potenciais associadas ao evento perigoso; provveis causas de demanda para a SIF; descrio do estado seguro e da atuao correta da SIF; valores de set point de alarme e trip; descrio de alarmes e apresentao das interfaces (telas, anunciadores luminosos e sonoros etc.) associadas; procedimentos operacionais especficos quando da operao com a SIF em contorno. b) descrio passo a passo da sequncia de partida do processo ou equipamento associado ao SIS, explicitando: comandos de contorno; condies de processo que devem ser satisfeitas em cada passo e respectivas SIFs associadas; intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de purga etc.); funes de reset. c) descrio individual de cada comando de contorno, seja para partida ou manuteno, discriminando as condies em que os mesmos devem ser utilizados; d) descrio individual de cada comando de parada manual, identificando as possveis situaes em que os mesmos devem ser acionados; e) instruo sobre a necessidade de realizao de Testes Peridicos nas SIFs para manuteno de sua integridade; f) procedimentos associados ocorrncia de alarmes de diagnstico do SIS. 13.1.3 O Manual de Operao do SIS deve fazer referncia e estar em conformidade com os demais documentos de projeto do SIS, tais como: relatrios de anlise de risco, folhas de dados de SIF, matriz de causa e efeito, diagrama lgico etc. 13.1.4 O pessoal responsvel pela operao da planta ou equipamento objeto de proteo pelo SIS deve ser submetido a treinamento com objetivo de serem instrudos nas informaes e procedimentos contidos no manual de operao do SIS. O treinamento deve ser registrado de forma apropriada a garantir sua rastreabilidade. 13.1.5 No caso de uma SIF ficar indisponvel deve ser utilizado procedimento especfico para contorno temporrio. NOTA Recomenda-se que Recomendada] a) b) c) d) e) o documento de registro do contorno contenha: [Prtica

descrio da SIF a ser contornada; razes da indisponibilidade; intervalo de tempo previsto para o contorno; aes complementares de operao durante o perodo de contorno; assinatura da autoridade competente.

13.2 Manuteno 13.2.1 O objetivo deste item estabelecer requisitos que viabilizem a manuteno da integridade e da confiabilidade do SIS ao longo de seu ciclo de vida. 40

-PBLICO-

N-2595

REV. C

12 / 2010

13.2.9 Toda a documentao do SIS deve estar includa em um sistema de controle de revises que garanta a sua atualizao e distribuio, de forma que seus usurios estejam sempre de posse de sua ltima reviso. 13.2.10 Devem ser previstas auditorias peridicas para a confirmao do cumprimento dos seguintes itens: a) b) c) d) e) procedimento adotado para implementaes de modificaes; procedimento adotado de testes e verificao de sua periodicidade; sistemtica de registros e anlises de manuteno; treinamento de pessoal de manuteno; integridade e atualizao da documentao.

13.3 Testes Peridicos 13.3.1 O objetivo deste item estabelecer requisitos para a execuo de testes peridicos no SIS, de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a integridade das SIFs. 13.3.2 A execuo dos testes peridicos deve ser realizada de acordo com os procedimentos elaborados e escritos especificamente para cada SIF, presentes no Plano de Manuteno do SIS. NOTA Recomenda-se utilizar como referncia a ISA TR 84.00.03. [Prtica Recomendada]

13.3.3 A periodicidade de execuo dos testes deve ser tal que mantenha o SIL de cada SIF, conforme previsto na Folhas de Dados de SIF (projeto bsico) e confirmado aps a etapa de verificao do SIL (projeto de detalhamento). 13.3.4 Durante as paradas programadas de manuteno todas as SIFs, independentemente do SIL e da existncia de monitorao, devem ser testadas com fator de cobertura igual a 1. 13.3.5 Os testes peridicos devem abranger todos os dispositivos da SIF, a saber: iniciadores, Executor da Lgica e elementos finais. 13.3.6 Iniciadores devem ser testados simulando-se, o mais prximo possvel, as condies reais de operao, incluindo linhas de impulso, elementos primrios e instalao eltrica. Exemplo: bloqueio e drenagem de chave de nvel. 13.3.7 Elementos finais devem ser testados forando-se a atuao das respectivas sadas do Executor da Lgica, inclusive para os normalmente energizados. 13.3.8 Nos casos onde no seja vivel a execuo de teste completo do elemento final em regime de operao normal, os procedimentos de teste especficos devem incluir: a) execuo de teste completo durante parada do processo ou equipamento; b) execuo de teste(s) parcial(is) durante o regime de operao do processo ou equipamento, envolvendo os seguintes componentes: circuitos de sada, rels de interposio, vlvulas solenide e deslocamento parcial de vlvulas de bloqueio. 13.3.9 Deve ser prevista ao contingencial no caso de o elemento final falhar na posio de segurana durante a realizao do teste. 42

-PBLICO-

N-2595

REV. C

12 / 2010

13.3.10 Caso seja constatada a existncia de falha oculta em decorrncia da execuo dos testes peridicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas. 13.3.11 Os registros de execuo dos testes peridicos devem conter as seguintes informaes: a) b) c) d) e) f) g) nmero do procedimento de teste; data de realizao do teste; nome da pessoa responsvel pela execuo do teste; tag e nmero de srie dos dispositivos submetidos ao teste; resultado do teste como encontrado, incluindo descrio da falha (se houver); resultado do teste como deixado, conforme critrio de aceitao no procedimento; descrio dos trabalhos realizados, incluindo as partes substitudas (se houver) e o tempo utilizado.

13.3.12 Os registros de execuo dos testes peridicos devem ser mantidos ao longo de toda a vida til do SIS, de modo que: a) possam ser verificados a qualquer tempo; b) permitam avaliaes de desempenho em longo prazo. 13.3.13 A critrio da Unidade Operacional, pode-se considerar trips reais ou esprios como testes das SIFs, desde que observadas as seguintes condicionantes: a) o evento de trip deve ser registrado em formulrio especfico, contendo no mnimo: data e hora do evento, SIF atuada, alarmes, modo de deteco, causa identificada (varivel de processo em desvio, dispositivo(s) em falha, ao humana), aes subsequentes e nome do responsvel; o formulrio de registro de trip deve ser arquivado no sistema de documentao tcnica da Unidade Operacional, de modo rastrevel; b) trips com causa desconhecida no podem ser usados como teste de SIF; c) em um trip esprio causado por falha do elemento final, nenhum dos dispositivos da SIF pode ser considerado como testado; d) em um trip esprio causado por falha de mdulo de sada do CP de segurana, apenas o elemento final pode ser considerado como testado; e) em um trip esprio causado por falha na CPU do Executor da Lgica, apenas o mdulo de sada do CP de segurana e o elemento final podem ser considerados como testados; f) em um trip esprio causado por falha de mdulo de entrada do CP de segurana, toda a SIF, exceto o iniciador e o mdulo de entrada do CP de segurana, pode ser considerada como testada; g) em um trip esprio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode ser considerada como testada; h) em um trip real, somente os dispositivos que comprovadamente (a partir dos registros do evento) tenham operado corretamente podem ser considerados como testados.

13.4 Modificaes 13.4.1 O objetivo deste item estabelecer requisitos de modo que modificaes realizadas no SIS no impactem a segurana da planta ou do equipamento associado. 13.4.2 Toda proposta de modificao no SIS deve ser embasada em fatos e dados registrados em um documento intitulado Solicitao de Modificao no SIS, o qual deve conter: a) descrio da modificao proposta; b) razes para realizao da modificao; c) condies ou eventos perigosos relacionados. 43

-PBLICO-

N-2595

REV. C

12 / 2010

7.7.8 Recomenda-se que os rels de interposio sejam instalados na caixa de bornes terminais de interface com equipamentos eltricos. [Prtica Recomendada] 7.7.9 Para vlvulas solenides de comando de atuadores pneumticos devem ser especificados os seguintes itens: a) b) c) d) condio normal de operao: bobina energizada; presso de ar mnima de operao; capacidade de vazo adequada ao tempo de atuao requerido; proteo dos escapes de ar contra entupimentos por sujeira, insetos e formao de gelo.

7.7.10 Recomenda-se que vlvulas solenides com rearme manual mecnico no sejam utilizadas. [Prtica Recomendada] 7.7.11 Caso a Folha de movimentao parcial de dispositivos especialmente requerido, conforme IEC Petrobras. Dados de SIF indique a necessidade da execuo de testes de vlvulas (ver ISA TR 96.05.01), estes devem ser implementados por projetados para esta aplicao e com certificao de atendimento ao SIL 61508-1, emitida pela TV ou entidade equivalente aprovada pela

7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurana conforme a PETROBRAS N-1219. A pintura parcial aceitvel, exemplo: pintura apenas das tampas de vlvulas solenides e carcaas de atuadores de vlvulas. 7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundncia diversa. [Prtica Recomendada]

7.8 Executor da Lgica 7.8.1 O Executor da Lgica deve atender a todos os requisitos tcnicos expressos nas Folhas de Dados de Especificao das SIFs que compem o SIS. 7.8.2 O Executor da Lgica deve possuir certificao de conformidade com a IEC 61508-1 para aplicaes com nvel de integridade de segurana igual ou maior que o maior SIL requerido dentre as SIFs alocadas no mesmo, emitida pela TV ou entidade equivalente aprovada pela Petrobras. 7.8.3 O Executor da Lgica deve ser implementado fisicamente atravs de um CP de Segurana em todas as aplicaes onde a quantidade total de iniciadores e elementos finais seja igual ou superior a 20. 7.8.4 O Executor da Lgica pode, mediante anuncia expressa da Unidade Organizacional da Companhia, ser implementado fisicamente atravs de tecnologia eletrnica no programvel em SIS onde a quantidade total de iniciadores e elementos finais seja inferior a 20 e a lgica requerida seja de baixa complexidade. 7.8.5 Devem ser observadas as restries de aplicao do equipamento selecionado indicadas no seu manual de segurana e no seu certificado de conformidade com o atendimento ao SIL requerido. 7.8.6 Recomenda-se o uso de CP de segurana adequado para aplicaes SIL 3 como Executor da Lgica do SIS, mesmo que no seja requerido SIL 3 para nenhuma das respectivas SIFs associadas. Tal prtica propicia maior flexibilidade no projeto das SIFs. [Prtica Recomendada] 26

-PBLICO-

N-2595

REV. C

12 / 2010

7.8.7 Todos os mdulos do CP de segurana (mdulos de entrada, sada, fontes de alimentao e processadores) relacionados com a execuo da lgica das SIFs devem: a) no provocar trip esprio por falha singela; b) possibilitar intervenes de manuteno sem a necessidade de desenergizao ou interrupo da execuo da lgica (troca a quente). 7.8.8 Os mdulos de entrada do CP de segurana devem dispor de recursos para deteco de sinal quando fora da faixa normal de trabalho de 4 mA a 20 mA. 7.8.9 O Executor da Lgica e seus equipamentos auxiliares devem ser instalados em painel exclusivo para essa finalidade. Esse conjunto deve ser compatvel com as condies ambientais e eltricas especficas do local de instalao. 7.8.10 O painel do Executor da Lgica e as caixas de juno do SIS devem possuir identificao diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja segurana e inscrio SIS na plaqueta de identificao do painel. 7.8.11 No caso de haver interao entre executores da lgica distintos, suas aes devem ser coordenadas de modo a garantir a conduo do processo como um todo a um estado seguro. 7.8.12 A execuo de SIF utilizando enlace de comunicao digital entre CPs de segurana distintos fica condicionada a certificado emitido por entidade certificadora acreditada pela Petrobras (TV ou equivalente) do nvel de integridade de segurana atingido por todo o conjunto, incluindo o respectivo enlace de comunicao, conforme IEC 61508 - Partes 1, 2 e 3. 7.8.13 O programa aplicativo deve: a) ser desenvolvido em conformidade com o diagrama lgico do projeto de detalhamento do SIS; NOTA 1 Recomenda-se utilizar linguagem de programao tipo Function Blocks (ver IEC 61131-3). [Prtica Recomendada] NOTA 2 Recomenda-se no utilizar linguagens de programao tipo texto estruturado ou diagrama Ladder. [Prtica Recomendada] b) ser desenvolvido considerando as restries pertinentes ao uso do programa utilitrio, compatveis com o nvel de integridade requerido, indicadas no manual de segurana do CP selecionado; c) possuir um tempo de varredura (scan time) menor que a metade do menor tempo de resposta requerido pelas SIFs em execuo no CP de segurana; d) fornecer informaes ao SSC conforme o 7.12; e) identificar e tratar eventuais casos de falha de sinal analgico proveniente de iniciadores (ver 7.6.3), de modo a evitar a ocorrncia de trips esprios, aplicando para tal a mesma lgica de degradao da arquitetura de votao usada no contorno para manuteno (ver 7.11.3.3). NOTA A degradao da arquitetura de votao de 2 de 3 para 1 de 1 no permitida.

7.9 Comando Manual de Trip 7.9.1 A quantidade e a abrangncia dos comandos manuais de trip da planta ou equipamento devem ser definidas na etapa de projeto bsico de processo e descritas nas respectivas Folhas de Dados de SIF. 27

Você também pode gostar