Escolar Documentos
Profissional Documentos
Cultura Documentos
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes
servem de guias de orientação:
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema
Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez
atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o
intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde
estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e
atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS
foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC
61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL
para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também
que exista no mercado desinformação, levando a compra de equipamentos mais caros,
desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle
de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a
utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle
seguro certificado, mas na realidade eles possuem um controlador com funções de segurança
certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema
importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se
capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de
segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se
encontram dentro de limites aceitáveis.
Além disso, é necessário:
Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras
são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando,
como, onde e qual grau de redundância é mais adequado para cada caso.
Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante
absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado
com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento
das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação
ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo
destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor
às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir
consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à
falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar
sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores,
colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem
sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores
aos sistemas convencionais. A operação segura em um SIS é composta de sensores,
programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a
parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de
processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o
funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos
probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Iniciaremos com Ciclo de Vida de Segurança e Análise de Riscos.
O Ciclo de Vida de Segurança deve fazer parte do PSM (Process Safety Management System –
Sistema de Gerenciamento de Segurança do Processo). Desta forma será adotado e aplicado
convenientemente de forma consciente e envolvendo os colaboradores em todas as suas etapas e
níveis da empresa.
Análise de Riscos
Quanto mais riscos um sistema tiver, mais difícil é de se atender aos requisitos de um sistema
seguro. Basicamente, o risco é uma somatória da probabilidade de acontecer algo indesejável com a
conseqüência desta ocorrência.
O risco de um processo pode ser definido como o produto da freqüência de ocorrência de um
determinado evento (F) pela conseqüência resultante da ocorrência do evento (C).
Risco = F x C.
Como interpretar o nível SIL? Como vimos o nível SIL é uma medida de integridade de um SIS e
podemos interpretar basicamente de duas maneiras:
2) Interpretando a tabela 2, onde, por exemplo, SIL 1 significa que o risco de acidente ou algo
indesejável é baixo e que um SIS tem 90% de disponibilidade, ou ainda, 10% de chance de falhar.
Técnica de HAZOP (Hazard and Operability Study): onde se identifica os riscos e onde são
necessários níveis maiores de SIL;
Técnica de Check Lists;
Técnica de FMEA (Modos de Falhas e seus Efeitos), onde se analisa a falha de cada
equipamento e componente na malha de controle.
Em termos de nível SIL quanto maior for o nível exigido, maior será o custo, devido às
especificações mais complexas e estritas de hardware e software. Normalmente a escolha do SIL de
cada função de segurança está associada à experiência dos profissionais, mas pode-se optar pela
análise da matriz de HAZOP ou ainda pela Análise das Camadas de Proteção (LOP – Layers Of
Protection), onde se inclui a política, os procedimentos, as estratégias de segurança e a
instrumentação.
Seguem algumas etapas e detalhes da Análise de Riscos:
Faixa de
Critério Qualitativo
Freqüência
(> 1/100 ano): Falhas em equipamentos simples ou válvulas, falhas em tubulações ou um
4
simples erro em atividades rotineiras
(1/100 – 1/1000 ano): Falhas em Equipamentos duplos ou válvulas, rupturas em tubulações,
3
vazamentos ou erro humano
(1/1000 – 1/10000 ano): Combinação de falhas em instrumentos e erros humanos ou falhas
2
em pequenas linhas de processos
(< 1/10000 ano): Múltiplas falhas em instrumentos e erros humanos ou falhas espontâneas em
1
tanques e vasos de processos
Onde:
o MTTR = Tempo Médio de Reparo
o MTTF = Tempo Médio para Falhar = ao inverso da somatória de todas as taxas de falhas
SFF = Safe Failure Fraction, é a fração de todas as taxas de falhas de um equipamento que
resulta em uma falha segura ou falha não segura, mas diagnosticada.
Tipos de falhas analisadas em um FMDEA (Failure Modes, Effects, and Diagnostic Analysis):
1. Dangerous Detected (DD): falha detectável e que pode levar a um erro maior do que 2% na
saída.
2. Dangerous Undetected (DU): falha não detectável e que pode levar a um erro maior do que
2% na saída.
3. Safe Detected (SD): falha detectável e que não afeta a variável medida, mas que joga a
corrente de saída a um valor seguro e avisa ao usuário
4. Safe Undetected (SU): Neste caso há um problema com o equipamento, mas não se
consegue detectá-lo, mas a saída opera com sucesso dentro de um limite de 2% de
tolerância de segurança. Se esta tolerância de segurança é usada como parâmetro de
projeto, este tipo de falha pode ser ignorado.
5. Diagnostic Annunciation Failure (AU): uma falha que não tem impacto imediato, mas que
uma segunda ocorrência pode colocar o equipamento em uma condição de risco.
6. Pode-se ainda caracterizar as seguintes falhas:
o Falhas aleatórias: Uma falha espontânea de componente (hardware). As falhas aleatórias
podem ser permanentes (existem até serem eliminadas) ou intermitentes (ocorrem em
determinadas circunstancias e desaparecem em seguida).
o Falhas Sistemáticas: Uma falha escondida dentro do projeto ou montagem (hardware ou
tipicamente software) ou falhas devido a erros (incluindo-se enganos e omissões) nas
atividades de ciclo de atividades de segurança que fazem o SIS falhar em determinadas
circunstâncias, sob determinadas combinações de entradas ou sob uma determinada
condição ambiental.
o Falha em modo comum: O resultado de um defeito em modo comum.
o Defeito em modo comum: Uma única causa que pode causar falhas em vários elementos
do sistema. Pode ser interna ou externa ao sistema.
Curiosidade
Figura 3 – Estudo sobre as causas de acidentes envolvendo sistemas de controle - HSE – Health
and Safety Executive
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes
servem de guias de orientação:
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema
Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez
atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o
intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde
estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e
atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram
elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511,
voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL
para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também
que exista no mercado desinformação, levando a compra de equipamentos mais caros,
desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle
de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a
utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle
seguro certificado, mas na realidade eles possuem um controlador com funções de segurança
certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema
importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se
capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de
segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se
encontram dentro de limites aceitáveis.
Além disso, é necessário:
Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras
são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando,
como, onde e qual grau de redundância é mais adequado para cada caso.
Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante
absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado
com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento
das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação
ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo
destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor
às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir
consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à
falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar
sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores,
colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem
sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores
aos sistemas convencionais. A operação segura em um SIS é composta de sensores,
programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a
parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de
processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o
funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos
probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Vimos no artigo anterior, na primeira parte, alguns detalhes de Ciclo de Vida de Segurança e Análise
de Riscos. Veremos agora, na segunda parte, um pouco sobre Engenharia de Confiabilidade
Princípios da Confiabilidade
A confiabilidade de um sistema de medição é definida como a habilidade do sistema executar sua
função dentro de limites e condições operacionais durante um tempo definido. Infelizmente, vários
fatores tais como as tolerâncias dos fabricantes de acordo com as condições operacionais dificultam
às vezes esta determinação e na prática o que conseguimos é expressar estatisticamente a
confiabilidade através da probabilidade das falhas que ocorrerem dentro de um período de tempo.
Na prática nos deparamos com uma grande dificuldade que é determinar o que é uma falha. Quando
a saída de um sistema está incorreta é algo difícil de se interpretar quando comparado com a perda
total da saída de medição.
Modelos de Falhas
O modelo de uma falha em um dispositivo pode mudar ao longo do seu ciclo de vida. Pode
permanecer inalterado, diminuir ou mesmo aumentar.
Em componentes eletrônicos, é comum termos o comportamento de acordo com a figura 1, também
conhecido como “bathtub curve”.
Figura 1 – Curva Típica da variação de confiabilidade de um componente eletrônico
Os fabricantes geralmente aplicam testes de burn-in de forma que se elimina a fase até T1 até que
os produtos são colocados no mercado.
Já os componentes mecânicos vão apresentar uma taxa de falha maior no final de seu ciclo de vida,
conforme a figura 2.
Na prática, onde os sistemas são composições eletrônicas e mecânicas os modelos de falhas são
complexos. Quanto mais componentes, maior as incidências e probabilidades de falhas.
Leis da confiabilidade
Na prática usualmente teremos vários componentes e o sistema de medição é complexo. Podemos
ter componentes em série e em paralelo.
A confiabilidade de componentes em série deve levar em conta a probabilidade de falhas individuais
em um período de tempo. Para um sistema de medição com n componentes em série, a
confiabilidade Rs é o produto das confiabilidades individuais: Rs = R1xR2...Rn.
Imagine que tenhamos um sistema de medição formado por um sensor, um elemento de conversão
e um circuito de processamento de sinal, onde temos as seguintes confiabilidades: 0.9, 0.95 e 0.099,
respectivamente. Neste caso a confiabilidade do sistema será: 0.9x0.95x0.009 = 0.85.
A confiabilidade pode ser aumentada colocando-se componentes em paralelo, o que significa que o
sistema falha se todos os componentes falharem. Neste caso a confiabilidade Rs é dada por:
Rs = 1 – Fs, onde Fs é a não confiabilidade do sistema.
A não confiabilidade é Fs = F1xF2...F3.
Por exemplo, em um sistema de medição segura existem três instrumentos idênticos em paralelo. A
confiabilidade de cada um é 0.95 e a do sistema é dada por:
Rs = 1 –[ (1-0.95)x(1-0.95)x(1-0.95)] = 0.999875
Onde:
ConfiabilidadeManutençãoDisponibilidade
Constante Diminui Diminui
Constante Aumenta Aumenta
Aumenta Constante Aumenta
Diminui Constante Diminui
Tabela 1 – Relação entre Confiabilidade, Manutenção e Disponibilidade
l: taxa de falha
Cpt: percentagem de falhas detectada por um teste (proof test)
TI: período do teste
LT: tempo de vida de uma unidade de processo
Vejamos um exemplo: Vamos supor que uma válvula é usada em um sistema instrumentado de
segurança e tenha uma taxa de falha anual de 0.002. A cada ano é feito um teste de verificação e
inspeção. Estima-se que 70% das falhas são detectadas nestes testes. Esta válvula será usada
durante 25 anos e sua demanda de uso é estimada uma vez a cada 100 anos. Qual a probabilidade
média dela falhar?
Usando a equação anterior temos:
l: 0.002
Cpt: 0.7
TI: 1 ano
LT: 25 anos
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes
servem de guias de orientação:
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema
Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez
atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o
intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde
estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e
atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS
foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC
61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL
para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também
que exista no mercado desinformação, levando a compra de equipamentos mais caros,
desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle
de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a
utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle
seguro certificado, mas na realidade eles possuem um controlador com funções de segurança
certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema
importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se
capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de
segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se
encontram dentro de limites aceitáveis.
Além disso, é necessário:
Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras
são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando,
como, onde e qual grau de redundância é mais adequado para cada caso.
Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante
absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado
com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento
das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação
ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo
destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor
às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir
consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à
falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar
sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores,
colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem
sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores
aos sistemas convencionais. A operação segura em um SIS é composta de sensores,
programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a
parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de
processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o
funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos
probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Vimos no artigo anterior, na segunda parte, alguns detalhes sobre Engenharia de Confiabilidade.
Veremos agora, sobre modelos usando sistemas em série e paralelo, árvores de falhas (Fault
Trees), modelo de Markov e alguns cálculos.
A análise da Árvore de Falhas foi desenvolvida no início dos anos 60 pelos engenheiros da
Bell Telephone Company.
Símbolos Lógicos usados na FTA
A realização da FTA é uma representação gráfica da inter-relação entre as falhas de equipamentos
ou de operação que podem resultar em um acidente específico. Os símbolos mostrados a seguir são
usados na construção da árvore para representar está inter-relação.
PORTA “OU”: indica que a saída do evento ocorre quando há uma entrada de qualquer tipo.
PORTA“E”: indica que a saída do evento ocorre somente quando há uma entrada simultânea
de todos os eventos.
PORTA DE INIBIÇÃO: indica que a saída do evento ocorre quando acontece a entrada e a
condição inibidora é satisfeita.
PORTA DE RESTRIÇÃO: indica que a saída do evento ocorre quando a entrada acontece e o
tempo específico de atraso ou restrição expirou.
EVENTO BÁSICO: representa a FALHA BÁSICA do equipamento ou falha do sistema que
não requer outras falhas ou defeitos adicionais.
EVENTO INTERMEDIÁRIO: representa uma falha num evento resultado da interação com
outras falhas que são desenvolvidas através de entradas lógicas como as acima descritas.
EVENTO NÃO DESENVOLVIDO: representa uma falha que não é examinada mais, porque a
informação não está disponível ou porque suas conseqüências são insignificantes.
EVENTO EXTERNO: representa uma condição ou um evento que é suposto existir como uma
condição limite do sistema para análise.
Modelos de Markov
Um modelo de Markov é um diagrama de estado onde se identificam os diversos estados de falha
de um sistema. Os estados são ligados por arcos identificados com as taxas de falha ou as taxas de
reparo que levam o sistema de um estado para outro (vide figura 4 e figura 5).. Os modelos de
Markov são conhecidos também como diagramas de espaço de estados ou diagramas de estado. O
espaço de estados é definido como o conjunto de todos os estados em que o sistema pode se
encontrar.
Figura 4 – Exemplo de modelo de Markov
Para um determinado sistema, um modelo de Markov consiste em uma lista dos estados possíveis
desse sistema, os caminhos possíveis de transição entre os estados, e as taxas de falhas de tais
transições. Na análise da confiabilidade das transições consistem geralmente de falhas e reparos.
Ao representar um modelo de Markov graficamente, cada estado é representado como um “círculo",
com setas indicando os caminhos de transição entre os estados, como mostrado na figura 4.
O método de Markov é uma técnica útil para modelar a confiabilidade de sistemas nos quais as
falhas são estatisticamente independentes e as taxas de falha e reparo são constantes.
Entende-se como estado de um componente o conjunto de possíveis valores que seus parâmetros
podem assumir. Estes parâmetros são chamados variáveis de estado e descrevem a condição do
componente. O espaço de estados é o conjunto de todos estados que um componente pode
apresentar.
O modelo de Markov de um verdadeiro sistema geralmente inclui um "full-up" do estado (ou seja, o
estado com todos os elementos operacionais) e um conjunto de estados intermediários que
representam uma condição de falha parcial, levando ao estado totalmente em falha, ou seja, o
estado em que o sistema é incapaz de desempenhar a sua função de projeto. O modelo pode incluir
caminhos de reparação de transição, bem como os caminhos de transição de falha. Em geral, cada
caminho de transição entre dois estados reduz a probabilidade do estado que ele está partindo, e
aumenta a probabilidade do estado em que está entrando, a uma taxa igual ao parâmetro de
transição multiplicada pela probabilidade atual do estado de origem.
O fluxo de probabilidade total em um determinado estado é a soma de todas as taxas de transição
para esse estado, cada um multiplicado pela probabilidade do estado na origem dessa transição. A
saída de fluxo probabilidade de um dado estado é a soma de todas as transições que saem do
estado multiplicado pela probabilidade daquele determinado estado. Para ilustrar, os fluxos de
entrada e saída típica de um estado e de estados vizinhos estão representados na Figura 4.
Neste modelo todas as falhas são classificadas como falhas perigosas ou como falhas seguras. Uma
falha perigosa é aquela que põe o sistema de segurança em um estado em que ele não estará
disponível para parar o processo se isto vier a ser necessário. Uma falha segura é aquela que leva o
sistema a parar o processo em uma situação onde não existe perigo. A falha segura é normalmente
chamada de "trip” falso ou espúrio.
Os modelos de Markov incluem fatores de cobertura de diagnóstico para todos os componentes e
taxas de reparos. Os modelos consideram que as falhas que não forem detectadas serão
diagnosticadas e reparadas por testes de prova periódicos (proof tests).
Os modelos de Markov incluem ainda taxas de falhas associadas a falhas funcionais e falhas
comuns de hardware.
A modelagem do sistema deve incluir todos os tipos possíveis de falhas e estas podem ser
agrupadas em duas categorias:
1. Falhas físicas
2. Falhas funcionais
As falhas físicas são as que ocorrem quando a função desempenhada por um módulo, um
componente, etc., apresenta um desvio em relação à função especificada devido à degradação
física.
As falhas físicas podem ser falhas por envelhecimento natural ou falhas provocadas pelo ambiente.
Para se utilizar às falhas físicas nos modelos de Markov deve-se determinar a causa das falhas e
seus efeitos nos módulos, etc. As falhas físicas devem ser categorizadas como falhas dependentes
ou independentes.
Falhas independentes são aquelas que nunca afetam mais do que um módulo, enquanto que as
falhas dependentes podem vir a causar a falha de vários módulos.
As falhas funcionais são as que ocorrem quando o equipamento físico está em operação embora
sem capacidade de desempenhar a função especificada devido a uma deficiência funcional ou a um
erro humano. Exemplos de falhas funcionais são: erros de projeto do sistema de segurança, de
software, na ligação do hardware, erros de interação humana e erros de projeto do hardware.
Nos modelos de Markov as falhas funcionais são separadas em falhas seguras e em falhas
perigosas. Supõe-se que uma falha funcional segura resultará em um trip espúrio. De modo similar,
uma falha funcional perigosa resultará em um estado de falha-para-atuar, isto é, aquela que o
sistema não estará disponível para parar o processo. A avaliação da taxa de falha funcional deve
levar em consideração muitas causas possíveis, como por exemplo:
3. Erros de software
Esses erros incluem os erros em softwares desenvolvidos tanto pelo fornecedor
quanto pelo usuário. Os softwares de fornecedores tipicamente incluem o sistema
operacional, as rotinas de E/S, funções aplicativas e linguagens de operação. Os erros
de software do fornecedor podem ser minimizados ao se assegurar um bom projeto de
software e a observância dos procedimentos de codificação e testes. A realização de
testes independentes por outras organizações também pode ser muito útil.
Entre esses erros, incluem-se os erros do projeto de fabricação dos PLCs, sensores e atuadores,
bem como os erros do usuário na interface entre o sistema de segurança e o processo.
Em configurações redundantes de PLCs, sensores e elementos de atuação, algumas falhas
funcionais podem ser reduzidas através da utilização de diversos hardwares e/ ou softwares.
As falhas dependentes devem ser modeladas de modo diferente, já que é possível que ocorram
falhas múltiplas simultaneamente. Do ponto de vista da modelagem, as falhas dependentes
dominantes são falhas de causa comum. As falhas de causa comum são o resultado direto de uma
causa básica comum. Um exemplo disso é a interferência de rádio freqüência que causa a falha
simultânea de módulos múltiplos. A análise desse tipo de falhas é bastante complexa e exige um
profundo conhecimento do Sistema, tanto em nível de hardware e de software quanto do próprio
ambiente.
Conclusão
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de
paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em
termos de processos, a minimização da variabilidade com conseqüência direta no aumento da
lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na quarta parte veremos um
pouco sobre o Processo de Verificação de SIF.
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes
servem de guias de orientação:
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema
Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez
atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o
intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde
estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e
atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS
foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC
61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL
para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também
que exista no mercado desinformação, levando a compra de equipamentos mais caros,
desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle
de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a
utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle
seguro certificado, mas na realidade eles possuem um controlador com funções de segurança
certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema
importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se
capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de
segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se
encontram dentro de limites aceitáveis.
Além disso, é necessário:
Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras
são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando,
como, onde e qual grau de redundância é mais adequado para cada caso.
Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante
absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado
com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento
das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação
ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo
destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor
às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir
consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à
falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar
sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores,
colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem
sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores
aos sistemas convencionais. A operação segura em um SIS é composta de sensores,
programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a
parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de
processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o
funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos
probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Vimos no artigo anterior, na terceira parte, alguns detalhes sobre modelos de análises de árvores de
falhas (Fault Trees), modelo de Markov e alguns cálculos.
Na quarta parte veremos um pouco sobre o Processo de Verificação de SIF.
Existem diversos métodos para se identificar os SIL’s necessários para as SIF’s. Um deles é a
análise de camadas de proteção “Layer of Protection Analysis”, LOPA, uma técnica de análise de
riscos que é aplicada em seguida ao uso de uma técnica qualitativa de identificação de perigos,
como por exemplo, a HAZOP (Estudo de Perigos e Operabilidade). Derivada de uma ferramenta de
análise quantitativa de riscos, a análise de freqüência por árvores de eventos e a LOPA podem ser
descritas como técnicas semi-quantitativas, porque geram uma estimativa do risco.
Os sistemas de controle são projetados para manter o processo dentro dos parâmetros de processo
específicos considerados aceitáveis para a operação normal e segura da planta. Quando o processo
excede o limite normal do funcionamento, pode apresentar risco potencial à vida humana, ao meio
ambiente e aos ativos. Na fase de avaliação, os riscos são identificados juntamente com suas
conseqüências e são definidos os meios para impedir sua ocorrência.
O risco identificado terá sua probabilidade reduzida tanto quanto o sistema prover de camadas
preventivas. A redução do risco estabelece três critérios:
O equipamento deve ser aprovado para as condições ambientais de onde será instalado;
Os subsistemas devem possuir tolerância à falha necessária em virtude das falhas perigosas
apresentadas pelo processo;
A Probabilidade de Falha sob Demanda (PFD) da SIF deve ser adequada aos riscos
aceitáveis pela empresa.
O usuário deve ter domínio das informações sobre os equipamentos, de modo que seja possível
realizar uma boa análise de desempenho da SIF. As técnicas construtivas com visão de tolerância à
falha dos componentes impedem que uma única falha cause a falha do dispositivo. Finalmente, o
cálculo do desempenho determina se o SIS mantém as expectativas do projeto com relação ao nível
de integridade desejado. A confiabilidade do SIS é definida por alguns parâmetros:
Para cada SIF as seguintes informações devem ser analisadas pelo menos:
Seleção de Equipamentos
Deve-se estar atentos na escolha de equipamentos que atuaram em sistemas de segurança. Deve-
se especificar equipamentos certificados de acordo com a IEC61508 ou que atendam os critérios de
“prior use” de acordo com a IEC61511.
O Proven in Use (PIU) é uma característica definida pela IEC61511(clausula 11.4.4) onde se um
equipamento já foi usado com sucesso em aplicações de segurança e satisfaz algumas exigências
(vide a seguir), então se pode reduzir o HTF (hardware Tolerance Fault) e com isto utilizá-lo em
aplicações seguras com custos bem menores
A figura 1 mostra exemplos comuns de arquitetura para sistemas de segurança, onde várias
técnicas são usadas de acordo com o sistema de votação e SIL desejável:
Figura 1 - Exemplos típicos de arquitetura para sistemas de segurança
Para SIF’s, a probabilidade da falha pode ser interpretada como a transição de um dispositivo do
estado de funcionamento ao estado onde o mesmo deixa de exercer a função para qual foi
especificado.
Quando o dispositivo é testado, o PFD (t) é reduzido ao valor inicial. Isto envolve duas suposições
implícitas:
Como resultado, temos que o intervalo de teste é fator imperativo para determinação da
classificação SIL alcançada.
Conclusão
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de
paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em
termos de processos, a minimização da variabilidade com conseqüência direta no aumento da
lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na quinta parte veremos um
pouco sobre Soluções Típicas de SIF.
Autor
César Cassiolato