SIS de Segurança - Visão Prática

SIS - Sistemas Instrumentados de Segurança - Uma
visão prática - Parte 1

Introdução
Os Sistemas de Seguranças Instrumentados (SIS) são utilizados para monitorar a condição de
valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de
riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de
shutdown.
As condições de segurança devem ser sempre seguidas e adotadas em plantas e as melhores
práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar
ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os
sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes
envolvidos com segurança sejam operados com confiabilidade e eficiência.
Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança
operacional e que garantem a parada de emergência dentro dos limites considerados seguros,
sempre que a operação ultrapassar estes limites. O objetivo principal é se evitar acidentes dentro e
fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da
propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos
catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente
imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.
Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões
alemães (DIN V VDE 0801 e DIN V 19250) que foram bem aceitos durante anos pela comunidade
mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508, que
serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos,
dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de
segurança que têm natureza eletromecânica.
Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:
 Falhas de hardware randômicas

 Falhas sistemáticas
 Falhas de causas comuns
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes
servem de guias de orientação:
 Part 1: General requirements

 Part 2: Requirements for E/E/PE safety-related systems
 Part 3: Software requirements
 Part 4: Definitions and abbreviations
 Part 5: Examples of methods for the determination of safety integrity levels
 Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
 Part 7: Overview of techniques and measures
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema
Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez
atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o
intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde
estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e
atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS
foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC
61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL
para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também
que exista no mercado desinformação, levando a compra de equipamentos mais caros,
desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle
de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a
utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle
seguro certificado, mas na realidade eles possuem um controlador com funções de segurança
certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema
importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se
capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de
segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se
encontram dentro de limites aceitáveis.
Além disso, é necessário:
 Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras
são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando,
como, onde e qual grau de redundância é mais adequado para cada caso.
 Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante
absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado
com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento
das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se
ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação
ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo
destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor
às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir
consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à
falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar
sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores,
colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem
sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores
aos sistemas convencionais. A operação segura em um SIS é composta de sensores,
programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a
parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de
processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o
funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
 Sistema de Shutdown de Emergência (ESD)

 Sistema de Shutdown de Segurança (SSD)
 Sistema de intertravamento de Segurança
 Sistema de Fogo e Gás
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos
probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Iniciaremos com Ciclo de Vida de Segurança e Análise de Riscos.
Ciclo de Vida de Segurança

Definição: "É um processo de engenharia com o objetivo específico de atingir e garantir que um SIS
seja efetivo e que permita a redução de níveis de riscos a um custo efetivo durante todo o tempo de
vida do sistema”.
Em outras palavras, o ciclo destina-se a um guia de avaliação de risco durante todo o tempo de vida
do sistema, desde a concepção do projeto à manutenção no dia-a-dia.
Por que o Ciclo de Vida de Segurança?
 Acidentes podem acontecer, por isso, existe a necessidade de minimizá-los em frequência e

gravidade.
 Sistemas de Segurança Instrumentados e Ciclo de Vida de Segurança são projetados para
minimizar riscos.
Figura 1 – Exemplo típico de um Ciclo de Vida de Segurança

O Ciclo de Vida de Segurança envolve análises de probabilidades de forma a garantir a integridade
do projeto de Segurança. Além disso, permite através dos cálculos a redução de riscos a um custo
efetivo. Manter a integridade de um SIS durante o ciclo de vida da planta é de extrema importância
para o gerenciamento da segurança. Um programa efetivo de gerenciamento deve incluir controles e
procedimentos rigorosos que garantam que:
 A identificação dos pontos críticos, conceitos e a escolha de equipamentos sensores,

tecnologia, logic solver e equipamentos e elementos finais e a necessidade de redundância
atendam os níveis de segurança e redução de riscos calculada. Uma vez escolhida tecnologia
e arquitetura que se tenha um plano de análise e revisão periódica das mesmas, reavaliando
a segurança como um todo.
 Os testes em cada fase (projeto, instalação, operação, modificação/manutenção) sejam
realizados em conformidade com os requisitos de segurança, procedimentos e padrões de
segurança.
 Que o SIS retorne ao seu estado de operação normal após uma manutenção.
 A integridade do sistema não seja comprometida por acesso não autorizado à programação,
pontos de trip ou bypasses.
 Procedimentos de gerenciamento de modificações sejam sempre obedecidos para qualquer
modificação no sistema.
 A qualidade de modificações seja verificada e o sistema seja revalidado antes de retornar à
operação.
O Ciclo de Vida de Segurança deve fazer parte do PSM (Process Safety Management System –
Sistema de Gerenciamento de Segurança do Processo). Desta forma será adotado e aplicado
convenientemente de forma consciente e envolvendo os colaboradores em todas as suas etapas e
níveis da empresa.
Análise de Riscos
Quanto mais riscos um sistema tiver, mais difícil é de se atender aos requisitos de um sistema
seguro. Basicamente, o risco é uma somatória da probabilidade de acontecer algo indesejável com a
conseqüência desta ocorrência.
O risco de um processo pode ser definido como o produto da freqüência de ocorrência de um
determinado evento (F) pela conseqüência resultante da ocorrência do evento (C).
Risco = F x C.
Figura 2 - Considerações de risco de acordo com a IEC 61508.

Nos sistemas de segurança a busca é pela minimização de riscos em níveis aceitáveis e o nível SIL
para uma malha de controle pode ser determinado pela análise e identificação dos riscos do
processo. A verificação do nível SIL pode ser feita pela probabilidade de falha sob demanda (PFD).
A IEC 61508 define requisitos para funcionalidade e integridade de um sistema. Os requisitos para
funcionalidade são baseados no processo e os de integridade estão voltados à confiabilidade, que é
definida como o Nível de Integridade de Segurança (SIL). Existem 4 níveis discretos e que têm 3
importantes propriedades:
 Aplicável à total função de segurança;
 Quanto maior o nível de SIL mais rígidos são os requisitos;
 Aplicáveis aos requisitos técnicos e não-técnicos
Tabela 1- Níveis de SIL
Como interpretar o nível SIL? Como vimos o nível SIL é uma medida de integridade de um SIS e
podemos interpretar basicamente de duas maneiras:
1) Levando em conta a redução de risco e a tabela 1:
 SIL1: redução de risco>= 10 e <=100

 SIL4: redução de risco>= 10000e <=100000
2) Interpretando a tabela 2, onde, por exemplo, SIL 1 significa que o risco de acidente ou algo
indesejável é baixo e que um SIS tem 90% de disponibilidade, ou ainda, 10% de chance de falhar.
Tabela 2- Níveis de SIL e SFF de acordo com a tolerância à falha de hardware

A avaliação de SIL tem crescido nos últimos anos principalmente em aplicações químicas e
petroquímicas. Podemos até expressar a necessidade do nível SIL em função do provável impacto
na planta e na comunidade:
"4" – Impacto catastrófico para a comunidade.
"3" – Proteção dos empregados e comunidade.
"2" – Proteção da produção e da propriedade. Possíveis danos aos funcionários.
"1" – Impacto pequeno à propriedade e proteção da produção.
Figura 3 - SIL em função do provável impacto na planta e na comunidade

Esta análise deixa a desejar desde que é difícil classificar o que seja um impacto pequeno e um
grande impacto.
Existem vários métodos de identificação dos riscos:
 Técnica de HAZOP (Hazard and Operability Study): onde se identifica os riscos e onde são
necessários níveis maiores de SIL;
 Técnica de Check Lists;
 Técnica de FMEA (Modos de Falhas e seus Efeitos), onde se analisa a falha de cada
equipamento e componente na malha de controle.
Em termos de nível SIL quanto maior for o nível exigido, maior será o custo, devido às
especificações mais complexas e estritas de hardware e software. Normalmente a escolha do SIL de
cada função de segurança está associada à experiência dos profissionais, mas pode-se optar pela
análise da matriz de HAZOP ou ainda pela Análise das Camadas de Proteção (LOP – Layers Of
Protection), onde se inclui a política, os procedimentos, as estratégias de segurança e a
instrumentação.
Seguem algumas etapas e detalhes da Análise de Riscos:
 Identificação dos riscos potenciais

o Começe com HAZOP (Estudo de Perigo e Problemas Operacionais)
o A empresa deve ter um grupo de experts no processo e em seus riscos
o Pode ser aplicado várias metodologias como a PHA (Processo de Análise de
Perigos),HAZOP para a identificação de riscos, HAZOP modificados, conseqüências de
acidentes, Matriz de Riscos, Diagrama de Riscos ou Análise Quantitativa para identificação
do nível de segurança a ser alcançado.
o As normas sugerem metodologias para identificação da SIL
o Os métodos disponíveis são qualitativos, quantitativos ou semi-quantitativos
o Determinar o SIL apropriado para o SIS, onde o risco inerente ao processo deve ser igual
ou inferior ao nível de risco aceitável, garantindo a segurança necessária para a operação
da planta.
 Avaliar a probabilidade de risco potencial relacionado a

o Falha de equipamentos
o Erros humanos
 Avaliar os riscos potenciais e conseqüências dos impactos de eventos
4 SIL 2SIL 3SIL 4SIL 4

Freqüência
Severidade da Conseqüência1 2 3 4
Tabela 3 – Exemplo de Matriz de Riscos
Faixa de
Critério Qualitativo
Freqüência
(> 1/100 ano): Falhas em equipamentos simples ou válvulas, falhas em tubulações ou um
4
simples erro em atividades rotineiras
(1/100 – 1/1000 ano): Falhas em Equipamentos duplos ou válvulas, rupturas em tubulações,
3
vazamentos ou erro humano
(1/1000 – 1/10000 ano): Combinação de falhas em instrumentos e erros humanos ou falhas
2
em pequenas linhas de processos
(< 1/10000 ano): Múltiplas falhas em instrumentos e erros humanos ou falhas espontâneas em
1
tanques e vasos de processos
Tabela 4 – Faixa de Freqüência - Critério Qualitativo
Faixa de ConseqüênciaCritério Qualitativo

Pessoal: Injúrias críticas múltiplas ou fatalidades
Pública: Potencial para Injúrias críticas múltiplas ou fatalidades
4
Ambiente: Liberação de inconfinado com impacto ambiental alto
Propriedade: Perda > U$100M
Pessoal: Potencial para Injúrias sérias ou pequenas fatalidades
Pública: Potencial para Injúrias sérias ou pequenas fatalidades
3
Ambiente: Liberação de inconfinado com médio impacto ambiental
Propriedade: Perda entre U$10M e U$100M
Pessoal: Injúrias sérias exigindo emergência médica
Pública: Potencial para Injúrias sérias exigindo emergência médica
2
Ambiente: Liberação de inconfinado com baixo impacto ambiental
Propriedade: Perda entre U$1M e U$10M
Pessoal: Injúrias exigindo primeiros socorros
Pública: Odor, ruído/perturbação, sem impacto direto
1
Ambiente: Liberação de confinado com impacto localizado
Propriedade: Perda entre U$100k e U$1M
Tabela 5 – Faixa de Conseqüência - Critério Qualitativo
Alguns termos e conceitos envolvidos em sistemas de segurança
 Demanda: toda condição ou evento que gera a necessidade de atuação de um sistema de

segurança
 PFD (Probabilidade de Falha na Demanda): Indicador de confiabilidade apropriado para
sistemas de segurança.
 MTBF é uma medida básica da confiabilidade em itens reparáveis de um equipamento. Pode
ser expresso em horas ou anos. É comumente usado em análises de confiabilidade e
sustentabilidade em sistemas.
 MTBF: pode ser calculado pela seguinte fórmula:
 MTBF = MTTR + MTTF
Onde:
o MTTR = Tempo Médio de Reparo
o MTTF = Tempo Médio para Falhar = ao inverso da somatória de todas as taxas de falhas
 SFF = Safe Failure Fraction, é a fração de todas as taxas de falhas de um equipamento que
resulta em uma falha segura ou falha não segura, mas diagnosticada.
 Tipos de falhas analisadas em um FMDEA (Failure Modes, Effects, and Diagnostic Analysis):
1. Dangerous Detected (DD): falha detectável e que pode levar a um erro maior do que 2% na
saída.
2. Dangerous Undetected (DU): falha não detectável e que pode levar a um erro maior do que
2% na saída.
3. Safe Detected (SD): falha detectável e que não afeta a variável medida, mas que joga a
corrente de saída a um valor seguro e avisa ao usuário
4. Safe Undetected (SU): Neste caso há um problema com o equipamento, mas não se
consegue detectá-lo, mas a saída opera com sucesso dentro de um limite de 2% de
tolerância de segurança. Se esta tolerância de segurança é usada como parâmetro de
projeto, este tipo de falha pode ser ignorado.
5. Diagnostic Annunciation Failure (AU): uma falha que não tem impacto imediato, mas que
uma segunda ocorrência pode colocar o equipamento em uma condição de risco.
6. Pode-se ainda caracterizar as seguintes falhas:
o Falhas aleatórias: Uma falha espontânea de componente (hardware). As falhas aleatórias
podem ser permanentes (existem até serem eliminadas) ou intermitentes (ocorrem em
determinadas circunstancias e desaparecem em seguida).
o Falhas Sistemáticas: Uma falha escondida dentro do projeto ou montagem (hardware ou
tipicamente software) ou falhas devido a erros (incluindo-se enganos e omissões) nas
atividades de ciclo de atividades de segurança que fazem o SIS falhar em determinadas
circunstâncias, sob determinadas combinações de entradas ou sob uma determinada
condição ambiental.
o Falha em modo comum: O resultado de um defeito em modo comum.
o Defeito em modo comum: Uma única causa que pode causar falhas em vários elementos
do sistema. Pode ser interna ou externa ao sistema.
Curiosidade
Figura 3 – Estudo sobre as causas de acidentes envolvendo sistemas de controle - HSE – Health
and Safety Executive

Introdução
shutdown.


Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram
elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511,
voltada as indústrias de processamento contínuo, líquidos e gases.
certificado.

Vimos no artigo anterior, na primeira parte, alguns detalhes de Ciclo de Vida de Segurança e Análise
de Riscos. Veremos agora, na segunda parte, um pouco sobre Engenharia de Confiabilidade
Confiabilidade de Sistemas de Medições

A confiabilidade de sistemas de medições pode ser quantificada como o tempo médio entre as
falhas que ocorrem no sistema. Neste contexto, falha significa uma ocorrência de uma condição
inesperada que causa um valor incorreto na saída.
Princípios da Confiabilidade
A confiabilidade de um sistema de medição é definida como a habilidade do sistema executar sua
função dentro de limites e condições operacionais durante um tempo definido. Infelizmente, vários
fatores tais como as tolerâncias dos fabricantes de acordo com as condições operacionais dificultam
às vezes esta determinação e na prática o que conseguimos é expressar estatisticamente a
confiabilidade através da probabilidade das falhas que ocorrerem dentro de um período de tempo.
Na prática nos deparamos com uma grande dificuldade que é determinar o que é uma falha. Quando
a saída de um sistema está incorreta é algo difícil de se interpretar quando comparado com a perda
total da saída de medição.
Quantificação da Confiabilidade em termos quase-absolutos

Como vimos, a confiabilidade é essencialmente de natureza probabilística e pode ser quantificada
em termos quase-absolutos pelo tempo médio entre falhas (MTBF) e tempo médio para falhar
(MTTF). Deve ser enfatizado que estes dois tempos são usualmente os valores médios calculados
usando-se um número de instrumentos idênticos e, portanto, para qualquer instrumento em
particular seus valores podem ser diferentes da média.
O MTBF é um parâmetro que expressa o tempo médio entre falhas que ocorrem em um instrumento,
calculado em um determinado período de tempo. Em casos onde os equipamentos possuem alta
confiabilidade, na prática ficará difícil se contar o número de ocorrências de falhas e poderão ser
gerados números não precisos para o MTBF e aí, recomenda-se usar o valor do fabricante.
O MTTF é um modo alternativo de se quantificar a confiabilidade. É normalmente usado para
dispositivos como termopares, pois são descartados ao falhar. O MTTF expressa o tempo médio
antes que a falha ocorra, calculado em um número idêntico de dispositivos.
A confiabilidade final associada em termos de importância ao sistema de medição é expressa pelo
tempo médio de reparo (MTTR), ou seja, o tempo médio para reparo de um instrumento ou ainda o
tempo médio de substituição de um equipamento.
A combinação do MTBF e do MTTR mostra a disponibilidade:
Disponibilidade = MTBF/ (MTBF+MTTR)
A Disponibilidade mede a proporção de tempo no qual o instrumento trabalha sem falhas.
O objetivo em sistemas de medições é maximizar o MTBF e minimizar o MTTR e
conseqüentemente, maximizar a Disponibilidade.
Modelos de Falhas
O modelo de uma falha em um dispositivo pode mudar ao longo do seu ciclo de vida. Pode
permanecer inalterado, diminuir ou mesmo aumentar.
Em componentes eletrônicos, é comum termos o comportamento de acordo com a figura 1, também
conhecido como “bathtub curve”.
Figura 1 – Curva Típica da variação de confiabilidade de um componente eletrônico
Os fabricantes geralmente aplicam testes de burn-in de forma que se elimina a fase até T1 até que
os produtos são colocados no mercado.
Já os componentes mecânicos vão apresentar uma taxa de falha maior no final de seu ciclo de vida,
conforme a figura 2.
Figura 2 – Curva Típica da variação de confiabilidade de um componente mecânico
Na prática, onde os sistemas são composições eletrônicas e mecânicas os modelos de falhas são
complexos. Quanto mais componentes, maior as incidências e probabilidades de falhas.
Leis da confiabilidade
Na prática usualmente teremos vários componentes e o sistema de medição é complexo. Podemos
ter componentes em série e em paralelo.
A confiabilidade de componentes em série deve levar em conta a probabilidade de falhas individuais
em um período de tempo. Para um sistema de medição com n componentes em série, a
confiabilidade Rs é o produto das confiabilidades individuais: Rs = R1xR2...Rn.
Imagine que tenhamos um sistema de medição formado por um sensor, um elemento de conversão
e um circuito de processamento de sinal, onde temos as seguintes confiabilidades: 0.9, 0.95 e 0.099,
respectivamente. Neste caso a confiabilidade do sistema será: 0.9x0.95x0.009 = 0.85.
A confiabilidade pode ser aumentada colocando-se componentes em paralelo, o que significa que o
sistema falha se todos os componentes falharem. Neste caso a confiabilidade Rs é dada por:
Rs = 1 – Fs, onde Fs é a não confiabilidade do sistema.
A não confiabilidade é Fs = F1xF2...F3.
Por exemplo, em um sistema de medição segura existem três instrumentos idênticos em paralelo. A
confiabilidade de cada um é 0.95 e a do sistema é dada por:
Rs = 1 –[ (1-0.95)x(1-0.95)x(1-0.95)] = 0.999875
Melhorando a confiabilidade de um sistema de medição

O que se busca na prática é minimizar o nível de falhas. Um requisito importante é assegurar que se
conheça e atue antes do temo T2(vide figuras 1 e 2) quando a freqüência estatística das falhas
aumenta. O ideal é fazer com que T(período de tempo ou ciclo de vida) seja igual a T2 e com isto
maximizamos o período sem falhas.
Existem várias maneiras para aumentar a confiabilidade de um sistema de medição:
 A Escolha dos instrumentos: deve-se sempre estarem atentos aos instrumentos

especificados, suas influências quanto ao processo, materiais, ambiente, etc.
 A Proteção dos instrumentos: protegendo os instrumentos com adequadas proteções podem
ajudar a melhorar e garantir um nível maior de confiabilidade. Por exemplo, termopares
deveriam estar protegidos em condições adversas de operações.
 Calibração regular: a maioria das falhas pode ser causada por drifts que podem alterar e
gerar saídas incorretas. Então, de acordo com as boas práticas da instrumentação
recomenda-se que periodicamente os instrumentos sejam checados e calibrados.
 Redundância: neste caso, tem-se mais de um equipamento trabalhando em paralelo e
chaveado, às vezes, automaticamente. Aqui a confiabilidade é melhorada significativamente.
Sistemas de Segurança e Confiabilidade

Os Sistemas de Seguranças são utilizados para monitorar a condição de valores e parâmetros de
uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar
alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.
Observe que as condições de segurança devem ser seguidas e adotadas pelas plantas onde as
melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale
lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os
envolvido com segurança sejam operados com confiabilidade e eficiência.
sempre que a operação ultrapassa estes limites.O objetivo principal é se evitar acidentes dentro e
Métricas utilizadas no campo da Engenharia da Confiabilidade envolvendo SIS

1. Confiabilidade R(t)
A confiabilidade é uma métrica desenvolvida para determinar a probabilidade de sucesso de uma
operação em um determinado período de tempo.
Quando l (taxa de falhas) for muito pequeno, a função de não-confiabilidade (F(t)) ou a Probabilidade
de Falha (PF) é dada por: PF(t) = lt
Figura 3 – Confiabilidade R(t)

2. MTTR - Tempo Médio de Reparo
A medição de confiabilidade exige que um sistema tenha sucesso em operação durante um intervalo
de tempo. Neste sentido, aparece a métrica do MTTR que é o tempo no qual se detecta uma falha e
se tem o seu reparo (ou restabelecimento do sucesso operacional).
A taxa de restabelecimento do sucesso operacional é dada por: µ = 1/MTTR
Na prática não é simples estimar esta taxa, principalmente quando atividades de inspeção periódicas
acontecem, uma vez que a falha pode acontecer logo após uma inspeção.
3. MTBF – Tempo Médio entre Falhas

O MTBF é uma medida básica da confiabilidade em itens reparáveis de um equipamento. Pode ser
expresso em horas ou anos. É comumente usado em análises de confiabilidade e sustentabilidade
em sistemas e pode ser calculado pela seguinte fórmula:
MTBF = MTTR + MTTF
Onde:
 MTTR = Tempo Médio de Reparo

 MTTF = Tempo Médio para Falhar = ao inverso da somatória de todas as taxas de falhas
Como o MTTR é muito pequeno na prática, é comum assumir o MTBF = MTTF
4. Disponibilidade A(t) e Indisponibilidade U(t)

Outra métrica muito útil é a disponibilidade. É definida como a probabilidade de que um dispositivo
esteja disponível (sem falhas) quando em um tempo t exige-se que ele opere dentro das condições
operacionais para o qual foi projetado.
A Indisponibilidade é dada por: U(t) = 1 – A(t)
A disponibilidade é uma função não somente de confiabilidade, mas é também uma função de
manutenção. A Tabela 1 abaixo mostra a relação entre a confiabilidade, manutenção e
disponibilidade. Note que nesta tabela, um aumento na capacidade de manutenção implica em uma
diminuição no tempo que leva para realizar ações de manutenção.
ConfiabilidadeManutençãoDisponibilidade
Constante Diminui Diminui
Constante Aumenta Aumenta
Aumenta Constante Aumenta
Diminui Constante Diminui
Tabela 1 – Relação entre Confiabilidade, Manutenção e Disponibilidade
Figura 4 – Confiabilidade, Disponibilidade e Custos
5. Probabilidade de Falha em Demanda (PFDavg) e Teste e Inspeção Periódicos

PFDavg é a probabilidade de falha que um sistema (para prevenção de falhas) tem quando uma
falha ocorrer. O nível de SIL está relacionado com esta probabilidade de falha em demanda e com o
fator de redução de risco (o quanto se precisa proteger para garantir um risco aceitável quando
ocorrer um evento de falha).
PFD é o indicador de confiabilidade apropriado para sistemas de segurança.
Se não for testado, a probabilidade de falha tende a 1.0 com o tempo. Testes periódicos mantêm a
probabilidade de falha dentro do limite desejável
Figura 5 – Votação, PFD e Arquitetura
A figura 5 mostra detalhes de arquitetura versus votação e PFD e a figura 6 mostra a correlação em
PFD e Fator de Redução de Risco. Posteriormente, entraremos em mais detalhes nos artigos que
complementam esta série.
Figura 6 – Correlação ente a PFDavg e o Fator de Redução de Risco

Pode-se calcular a Probabilidade de Falha usando-se a seguinte equação:
PFAvg = (Cpt x l x TI/2) + ((1-Cpt) x l x L xT/2), onde:
 l: taxa de falha
 Cpt: percentagem de falhas detectada por um teste (proof test)
 TI: período do teste
 LT: tempo de vida de uma unidade de processo
Vejamos um exemplo: Vamos supor que uma válvula é usada em um sistema instrumentado de
segurança e tenha uma taxa de falha anual de 0.002. A cada ano é feito um teste de verificação e
inspeção. Estima-se que 70% das falhas são detectadas nestes testes. Esta válvula será usada
durante 25 anos e sua demanda de uso é estimada uma vez a cada 100 anos. Qual a probabilidade
média dela falhar?
Usando a equação anterior temos:
 l: 0.002
 Cpt: 0.7
 TI: 1 ano
 LT: 25 anos
PFDavg = (0.7) x 0.002 x ½ + (1-0.7) x 0.002 x 25/2 = 0.0082

Introdução
shutdown.


certificado.

Vimos no artigo anterior, na segunda parte, alguns detalhes sobre Engenharia de Confiabilidade.
Veremos agora, sobre modelos usando sistemas em série e paralelo, árvores de falhas (Fault
Trees), modelo de Markov e alguns cálculos.
Análise de Falhas – Árvore de Falhas (Fault Trees)

Existem algumas metodologias de análises de falhas. Uma delas e bastante utilizada é a análise da
árvore de falhas (Fault Tree Analysis – FTA), que visa melhorar a confiabilidade de produtos e
processos através da análise sistemática de possíveis falhas e suas conseqüências, orientando na
adoção de medidas corretivas ou preventivas.
O diagrama da árvore de falhas mostra o relacionamento hierárquico entre os modos de falhas
identificados. O processo de construção da árvore tem início com a percepção ou previsão de uma
falha, que a seguir é decomposto e detalhado até eventos mais simples. Dessa forma, a análise da
árvore de falhas é uma técnica top-down, pois parte de eventos gerais que são desdobrados em
eventos mais específicos.
A seguir é mostrado um exemplo de um diagrama FTA aplicado a uma falha em um motor de
elétrico. O evento inicial, que pode ser uma falha observada ou prevista, é chamado de evento de
topo, e está indicado pela seta azul. A partir desse evento são detalhadas outras falhas até chegar a
eventos básicos que constituem o limite de resolução do diagrama. As falhas mostradas em amarelo
compõem o limite de resolução deste diagrama.
Figura 1 - Exemplo de FTA

É possível adicionar ao diagrama elementos lógicos, tais como ‘e’ e ‘ou’, para melhor caracterizar os
relacionamentos entre as falhas. Dessa forma é possível utilizar o diagrama para estimar a
probabilidade de uma falha acontecer a partir de eventos mais específicos. O exemplo a seguir
mostra uma árvore aplicada ao problema de superaquecimento em um motor elétrico utilizando
elementos lógicos.
Figura 2 - Exemplo de FTA usando elementos lógicos
A análise da Árvore de Falhas foi desenvolvida no início dos anos 60 pelos engenheiros da
Bell Telephone Company.
Símbolos Lógicos usados na FTA
A realização da FTA é uma representação gráfica da inter-relação entre as falhas de equipamentos
ou de operação que podem resultar em um acidente específico. Os símbolos mostrados a seguir são
usados na construção da árvore para representar está inter-relação.
PORTA “OU”: indica que a saída do evento ocorre quando há uma entrada de qualquer tipo.
PORTA“E”: indica que a saída do evento ocorre somente quando há uma entrada simultânea
de todos os eventos.
PORTA DE INIBIÇÃO: indica que a saída do evento ocorre quando acontece a entrada e a
condição inibidora é satisfeita.
PORTA DE RESTRIÇÃO: indica que a saída do evento ocorre quando a entrada acontece e o
tempo específico de atraso ou restrição expirou.
EVENTO BÁSICO: representa a FALHA BÁSICA do equipamento ou falha do sistema que
não requer outras falhas ou defeitos adicionais.
EVENTO INTERMEDIÁRIO: representa uma falha num evento resultado da interação com
outras falhas que são desenvolvidas através de entradas lógicas como as acima descritas.
EVENTO NÃO DESENVOLVIDO: representa uma falha que não é examinada mais, porque a
informação não está disponível ou porque suas conseqüências são insignificantes.
EVENTO EXTERNO: representa uma condição ou um evento que é suposto existir como uma
condição limite do sistema para análise.
TRANSFERÊNCIAS: indica que a árvore da falhas é desenvolvida de forma adicional em

outras folhas. Os símbolos de transferência são identificados através de números ou letras.
Figura 3 - Símbolos Lógicos usados na FTA
Modelos de Markov
Um modelo de Markov é um diagrama de estado onde se identificam os diversos estados de falha
de um sistema. Os estados são ligados por arcos identificados com as taxas de falha ou as taxas de
reparo que levam o sistema de um estado para outro (vide figura 4 e figura 5).. Os modelos de
Markov são conhecidos também como diagramas de espaço de estados ou diagramas de estado. O
espaço de estados é definido como o conjunto de todos os estados em que o sistema pode se
encontrar.
Figura 4 – Exemplo de modelo de Markov
Para um determinado sistema, um modelo de Markov consiste em uma lista dos estados possíveis
desse sistema, os caminhos possíveis de transição entre os estados, e as taxas de falhas de tais
transições. Na análise da confiabilidade das transições consistem geralmente de falhas e reparos.
Ao representar um modelo de Markov graficamente, cada estado é representado como um “círculo",
com setas indicando os caminhos de transição entre os estados, como mostrado na figura 4.
O método de Markov é uma técnica útil para modelar a confiabilidade de sistemas nos quais as
falhas são estatisticamente independentes e as taxas de falha e reparo são constantes.
Entende-se como estado de um componente o conjunto de possíveis valores que seus parâmetros
podem assumir. Estes parâmetros são chamados variáveis de estado e descrevem a condição do
componente. O espaço de estados é o conjunto de todos estados que um componente pode
apresentar.
O modelo de Markov de um verdadeiro sistema geralmente inclui um "full-up" do estado (ou seja, o
estado com todos os elementos operacionais) e um conjunto de estados intermediários que
representam uma condição de falha parcial, levando ao estado totalmente em falha, ou seja, o
estado em que o sistema é incapaz de desempenhar a sua função de projeto. O modelo pode incluir
caminhos de reparação de transição, bem como os caminhos de transição de falha. Em geral, cada
caminho de transição entre dois estados reduz a probabilidade do estado que ele está partindo, e
aumenta a probabilidade do estado em que está entrando, a uma taxa igual ao parâmetro de
transição multiplicada pela probabilidade atual do estado de origem.
O fluxo de probabilidade total em um determinado estado é a soma de todas as taxas de transição
para esse estado, cada um multiplicado pela probabilidade do estado na origem dessa transição. A
saída de fluxo probabilidade de um dado estado é a soma de todas as transições que saem do
estado multiplicado pela probabilidade daquele determinado estado. Para ilustrar, os fluxos de
entrada e saída típica de um estado e de estados vizinhos estão representados na Figura 4.
Neste modelo todas as falhas são classificadas como falhas perigosas ou como falhas seguras. Uma
falha perigosa é aquela que põe o sistema de segurança em um estado em que ele não estará
disponível para parar o processo se isto vier a ser necessário. Uma falha segura é aquela que leva o
sistema a parar o processo em uma situação onde não existe perigo. A falha segura é normalmente
chamada de "trip” falso ou espúrio.
Os modelos de Markov incluem fatores de cobertura de diagnóstico para todos os componentes e
taxas de reparos. Os modelos consideram que as falhas que não forem detectadas serão
diagnosticadas e reparadas por testes de prova periódicos (proof tests).
Os modelos de Markov incluem ainda taxas de falhas associadas a falhas funcionais e falhas
comuns de hardware.
A modelagem do sistema deve incluir todos os tipos possíveis de falhas e estas podem ser
agrupadas em duas categorias:
1. Falhas físicas
2. Falhas funcionais
As falhas físicas são as que ocorrem quando a função desempenhada por um módulo, um
componente, etc., apresenta um desvio em relação à função especificada devido à degradação
física.
As falhas físicas podem ser falhas por envelhecimento natural ou falhas provocadas pelo ambiente.
Para se utilizar às falhas físicas nos modelos de Markov deve-se determinar a causa das falhas e
seus efeitos nos módulos, etc. As falhas físicas devem ser categorizadas como falhas dependentes
ou independentes.
Falhas independentes são aquelas que nunca afetam mais do que um módulo, enquanto que as
falhas dependentes podem vir a causar a falha de vários módulos.
As falhas funcionais são as que ocorrem quando o equipamento físico está em operação embora
sem capacidade de desempenhar a função especificada devido a uma deficiência funcional ou a um
erro humano. Exemplos de falhas funcionais são: erros de projeto do sistema de segurança, de
software, na ligação do hardware, erros de interação humana e erros de projeto do hardware.
Nos modelos de Markov as falhas funcionais são separadas em falhas seguras e em falhas
perigosas. Supõe-se que uma falha funcional segura resultará em um trip espúrio. De modo similar,
uma falha funcional perigosa resultará em um estado de falha-para-atuar, isto é, aquela que o
sistema não estará disponível para parar o processo. A avaliação da taxa de falha funcional deve
levar em consideração muitas causas possíveis, como por exemplo:
1. Erros de projeto do sistema de segurança

Aqui se incluem erros de especificação lógica do sistema de segurança, escolha de
arquitetura inadequada para o sistema, seleção incorreta de sensores e atuadores,
erros no projeto da interface entre os PLCs e os sensores e atuadores.
2. Erros de implementação do hardware

Esses erros incluem erros na ligação dos sensores e dos atuadores aos PLCs. A
probabilidade de erro cresce com a redundância de E/S se o usuário tiver que ligar
cada sensor e cada atuador a vários terminais de E/S. A utilização de sensores e
atuadores redundantes também acarretará em uma maior probabilidade de erros de
ligação.
3. Erros de software
Esses erros incluem os erros em softwares desenvolvidos tanto pelo fornecedor
quanto pelo usuário. Os softwares de fornecedores tipicamente incluem o sistema
operacional, as rotinas de E/S, funções aplicativas e linguagens de operação. Os erros
de software do fornecedor podem ser minimizados ao se assegurar um bom projeto de
software e a observância dos procedimentos de codificação e testes. A realização de
testes independentes por outras organizações também pode ser muito útil.
Os erros de software desenvolvidos pelo usuário incluem erros no programa aplicativo,

diagnósticos e rotinas de interface do usuário (displays, etc.). Engenheiros
especializados em software de sistemas de segurança podem ajudar a minimizar os
erros de software do usuário. Deve-se também realizar testes exaustivos dos
softwares.
4. Erros de interação humana
Aqui se incluem os erros de projeto e de operação da interface homem-máquina do
sistema de segurança, os erros cometidos durante testes periódicos do sistema de
segurança e durante a manutenção de módulos defeituosos do sistema de segurança.
Os erros de manutenção podem ser reduzidos através de um bom diagnóstico do
sistema de segurança que identifique o módulo defeituoso e que inclua indicadores de
falha nos módulos defeituosos. Vale lembrar aqui que não existe um diagnóstico
perfeito ou a prova de falhas.
5. Erros de projeto do hardware
Entre esses erros, incluem-se os erros do projeto de fabricação dos PLCs, sensores e atuadores,
bem como os erros do usuário na interface entre o sistema de segurança e o processo.
Em configurações redundantes de PLCs, sensores e elementos de atuação, algumas falhas
funcionais podem ser reduzidas através da utilização de diversos hardwares e/ ou softwares.
As falhas dependentes devem ser modeladas de modo diferente, já que é possível que ocorram
falhas múltiplas simultaneamente. Do ponto de vista da modelagem, as falhas dependentes
dominantes são falhas de causa comum. As falhas de causa comum são o resultado direto de uma
causa básica comum. Um exemplo disso é a interferência de rádio freqüência que causa a falha
simultânea de módulos múltiplos. A análise desse tipo de falhas é bastante complexa e exige um
profundo conhecimento do Sistema, tanto em nível de hardware e de software quanto do próprio
ambiente.
Figura 5 – Exemplo de modelo de Markov em sistema redundante

Certamente com equipamentos e ferramentas certificadas de acordo com o padrão IEC 61508 se
tem o conhecimento das taxas de falhas dos produtos facilitando cálculos e arquiteturas de
segurança.
Conclusão
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de
paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em
termos de processos, a minimização da variabilidade com conseqüência direta no aumento da
lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na quarta parte veremos um
pouco sobre o Processo de Verificação de SIF.

Introdução
shutdown.


certificado.

Vimos no artigo anterior, na terceira parte, alguns detalhes sobre modelos de análises de árvores de
falhas (Fault Trees), modelo de Markov e alguns cálculos.
Na quarta parte veremos um pouco sobre o Processo de Verificação de SIF.
Processo de Verificação de SIF (Função Instrumentada de Segurança)

Um Sistema Instrumentado de Segurança (SIS) é uma das camadas críticas para a prevenção de
acidentes. Um SIS realiza várias SIF’s (Função Instrumentada de Segurança) e é tipicamente
composto por sensores, analisadores lógicos e elementos finais de controle. Probabilidades de falha
na demanda aceitáveis (chamadas de SIL –Safety Integrity Level) para cada SIF precisam ser
determinadas para o projeto e posterior verificação.
A análise de segurança é feita em cima dos níveis de riscos das SIFs.
 Um transmissor de Pressão e um Posicionador fazem parte da SIF, por exemplo.
Existem diversos métodos para se identificar os SIL’s necessários para as SIF’s. Um deles é a
análise de camadas de proteção “Layer of Protection Analysis”, LOPA, uma técnica de análise de
riscos que é aplicada em seguida ao uso de uma técnica qualitativa de identificação de perigos,
como por exemplo, a HAZOP (Estudo de Perigos e Operabilidade). Derivada de uma ferramenta de
análise quantitativa de riscos, a análise de freqüência por árvores de eventos e a LOPA podem ser
descritas como técnicas semi-quantitativas, porque geram uma estimativa do risco.
Os sistemas de controle são projetados para manter o processo dentro dos parâmetros de processo
específicos considerados aceitáveis para a operação normal e segura da planta. Quando o processo
excede o limite normal do funcionamento, pode apresentar risco potencial à vida humana, ao meio
ambiente e aos ativos. Na fase de avaliação, os riscos são identificados juntamente com suas
conseqüências e são definidos os meios para impedir sua ocorrência.
O risco identificado terá sua probabilidade reduzida tanto quanto o sistema prover de camadas
preventivas. A redução do risco estabelece três critérios:
 O equipamento deve ser aprovado para as condições ambientais de onde será instalado;
 Os subsistemas devem possuir tolerância à falha necessária em virtude das falhas perigosas
apresentadas pelo processo;
 A Probabilidade de Falha sob Demanda (PFD) da SIF deve ser adequada aos riscos
aceitáveis pela empresa.
O usuário deve ter domínio das informações sobre os equipamentos, de modo que seja possível
realizar uma boa análise de desempenho da SIF. As técnicas construtivas com visão de tolerância à
falha dos componentes impedem que uma única falha cause a falha do dispositivo. Finalmente, o
cálculo do desempenho determina se o SIS mantém as expectativas do projeto com relação ao nível
de integridade desejado. A confiabilidade do SIS é definida por alguns parâmetros:
 Tempo médio entre falhas (MTBF)

 Arquitetura de votação
 Cobertura dos diagnósticos (DC)
 Intervalo do teste (TI)
 Tempo médio de reparo (MTTR)
 Modo de falha comum
Para cada SIF as seguintes informações devem ser analisadas pelo menos:
 O perigo e suas conseqüências

 A freqüência do perigo
 A definição do estado seguro do processo
 A descrição da SIF
 A descrição das medições do processo e seus pontos de trip
 A relação entre entradas e saídas, incluindo lógicas, funções matemáticas, modos de
operação, etc.
 O SIL requirido
 O período dos testes de prova (proof tests)
 A máxima taxa de trip permitida
 Máximo tempo de resposta para a SIF
 Requisitos para ativação da SIF
 Requisitos para reset da SIF
 Resposta da SIF no caso de falha de diagnósticos
 Requisitos de interface humana, isto é, o que deve ser mostrado em Displays, supervisórios,
etc
 Requisitos de manutenção
 Estimativa de MTTR após um trip
 Condições ambientais esperadas nas diversas situações: operação normal e emergência.
Seleção de Equipamentos
Deve-se estar atentos na escolha de equipamentos que atuaram em sistemas de segurança. Deve-
se especificar equipamentos certificados de acordo com a IEC61508 ou que atendam os critérios de
“prior use” de acordo com a IEC61511.
O Proven in Use (PIU) é uma característica definida pela IEC61511(clausula 11.4.4) onde se um
equipamento já foi usado com sucesso em aplicações de segurança e satisfaz algumas exigências
(vide a seguir), então se pode reduzir o HTF (hardware Tolerance Fault) e com isto utilizá-lo em
aplicações seguras com custos bem menores
 Deve se considerar o sistema de qualidade do fornecedor

 Versão de hardware e software do equipamento
 A documentação de performance e aplicação em sistemas de segurança
 O equipamento não pode ser programado e deve permitir configuração, por exemplo, da faixa
de operação
 O equipamento de possuir o comando de write protection ou Jumper
 Neste caso o SIF é SIL 3 ou menor.
A grande vantagem é que se pode padronizar Equipamentos para uso em controle e Equipamentos
para segurança com um custo bem menor.
Através de análises de hardware, chamadas de FMEDA (Failure Modes Effects and Diagnostics
Analysis) também se pode determinar as taxas de falhas e os modos dos instrumentos. Este tipo de
análise é uma extensão do conhecido método FMEA, a metodologia de Análise do Tipo e Efeito de
Falha, conhecida em inglês como Failure Mode and Effect Analysis. Neste caso, a FMEDA
identifica e calcula as taxas de falhas nas seguintes categorias: seguras detectáveis, seguras não
detectáveis, perigosas detectáveis e perigosas não detectáveis. Essas taxas de falhas são usadas
para calcular o fator de cobertura da segurança e o fator de risco.
Uma vez calculado o nível de integridade de segurança e seus requisitos deve-se então, escolher os
equipamentos, os níveis de redundância e os testes de acordo com a demanda da SIF. Após isto, de
posse das informações de cada equipamento e dispositivo calcula-se através de equações, análise
de árvores, modelo de Markov e outras técnicas se os equipamentos escolhidos atenderam os
requisitos de segurança.
Como determinar a arquitetura?

 A arquitetura de uma SIF é decidida pela tolerância a falha de seus componentes.
 Pode atingir um nível mais elevado de SIL usando-se redundância.

 A quantidade de equipamentos vai depender da confiabilidade de cada componente definida
em seu FMEDA (Failure Modes, Effects, and Diagnostic Analysis).
 As três mais comuns arquiteturas são:
o Simplex ou votação 1oo1 (1 out of 1)
o Duplex ou votação 1oo2 ou 2oo2
o Triplex ou votação 2oo3
A figura 1 mostra exemplos comuns de arquitetura para sistemas de segurança, onde várias
técnicas são usadas de acordo com o sistema de votação e SIL desejável:
Figura 1 - Exemplos típicos de arquitetura para sistemas de segurança
Para SIF’s, a probabilidade da falha pode ser interpretada como a transição de um dispositivo do
estado de funcionamento ao estado onde o mesmo deixa de exercer a função para qual foi
especificado.
Quando o dispositivo é testado, o PFD (t) é reduzido ao valor inicial. Isto envolve duas suposições
implícitas:
 Toda a falha do dispositivo é detectada pela inspeção e pelo teste de prova.

 O dispositivo é reparado e retornado ao serviço em condições de novo. O efeito do teste de
prova é ilustrado pela forma do dente da serra mostrada na figura 2.
Como resultado, temos que o intervalo de teste é fator imperativo para determinação da
classificação SIL alcançada.
Figura 2- Estados de transição e PFD
Estabelecendo Intervalo de Testes Funcionais
 O período de tempo é um parâmetro que afeta a o PFD significativamente e, portanto o SIL

 É comum aumentar a freqüência de testes e com isto diminuem-se as probabilidades de
falhas (ex: testes em válvulas, partial strokes)
 Suponha que uma SIF atenda SIL 2, mas o intervalo de testes é longo, com isto pode atender
SIL 1.
 Da mesma forma, se tiver 2 equipamentos SIL 2 em votação e o intervalo for pequeno, pode
atender SIL 3.
Conclusão
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de
paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em
termos de processos, a minimização da variabilidade com conseqüência direta no aumento da
lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na quinta parte veremos um
pouco sobre Soluções Típicas de SIF.
Autor
 César Cassiolato

SIS de Segurança - Visão Prática

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SIS de Segurança - Visão Prática

Enviado por

Direitos autorais:

Formatos disponíveis

SIS - Sistemas Instrumentados de Segurança - Uma

visão prática - Parte 1

 Falhas de hardware randômicas

 Part 1: General requirements

 Sistema de Shutdown de Emergência (ESD)

Ciclo de Vida de Segurança

 Acidentes podem acontecer, por isso, existe a necessidade de minimizá-los em frequência e

Figura 1 – Exemplo típico de um Ciclo de Vida de Segurança

 A identificação dos pontos críticos, conceitos e a escolha de equipamentos sensores,

Figura 2 - Considerações de risco de acordo com a IEC 61508.

Tabela 1- Níveis de SIL

1) Levando em conta a redução de risco e a tabela 1:

 SIL1: redução de risco>= 10 e <=100

Tabela 2- Níveis de SIL e SFF de acordo com a tolerância à falha de hardware

Figura 3 - SIL em função do provável impacto na planta e na comunidade

 Identificação dos riscos potenciais

 Avaliar a probabilidade de risco potencial relacionado a

 Avaliar os riscos potenciais e conseqüências dos impactos de eventos

4 SIL 2SIL 3SIL 4SIL 4

Tabela 3 – Exemplo de Matriz de Riscos

Tabela 4 – Faixa de Freqüência - Critério Qualitativo

Faixa de ConseqüênciaCritério Qualitativo

Tabela 5 – Faixa de Conseqüência - Critério Qualitativo

Alguns termos e conceitos envolvidos em sistemas de segurança

 Demanda: toda condição ou evento que gera a necessidade de atuação de um sistema de

SIS - Sistemas Instrumentados de Segurança - Uma

 Falhas de hardware randômicas

 Part 1: General requirements

 Sistema de Shutdown de Emergência (ESD)

Confiabilidade de Sistemas de Medições

Quantificação da Confiabilidade em termos quase-absolutos

Figura 2 – Curva Típica da variação de confiabilidade de um componente mecânico

Melhorando a confiabilidade de um sistema de medição

 A Escolha dos instrumentos: deve-se sempre estarem atentos aos instrumentos

Sistemas de Segurança e Confiabilidade

Métricas utilizadas no campo da Engenharia da Confiabilidade envolvendo SIS

Figura 3 – Confiabilidade R(t)

3. MTBF – Tempo Médio entre Falhas

 MTTR = Tempo Médio de Reparo

Como o MTTR é muito pequeno na prática, é comum assumir o MTBF = MTTF

4. Disponibilidade A(t) e Indisponibilidade U(t)

Figura 4 – Confiabilidade, Disponibilidade e Custos

5. Probabilidade de Falha em Demanda (PFDavg) e Teste e Inspeção Periódicos

Figura 6 – Correlação ente a PFDavg e o Fator de Redução de Risco

PFDavg = (0.7) x 0.002 x ½ + (1-0.7) x 0.002 x 25/2 = 0.0082

 Falhas de hardware randômicas

 Part 1: General requirements

 Sistema de Shutdown de Emergência (ESD)

Análise de Falhas – Árvore de Falhas (Fault Trees)

Figura 1 - Exemplo de FTA

TRANSFERÊNCIAS: indica que a árvore da falhas é desenvolvida de forma adicional em

Figura 3 - Símbolos Lógicos usados na FTA

1. Erros de projeto do sistema de segurança

2. Erros de implementação do hardware

Os erros de software desenvolvidos pelo usuário incluem erros no programa aplicativo,

5. Erros de projeto do hardware

Figura 5 – Exemplo de modelo de Markov em sistema redundante

SIS - Sistemas Instrumentados de Segurança - Uma

 Falhas de hardware randômicas

 Part 1: General requirements

 Sistema de Shutdown de Emergência (ESD)

Processo de Verificação de SIF (Função Instrumentada de Segurança)

 Um transmissor de Pressão e um Posicionador fazem parte da SIF, por exemplo.