Seguranca Teoria Da Seguranca Funcional Endress Hauser

Products Solutions Services
Teoria da Segurança Funcional
Parte 1
INTERNAL Slide 1 06/13/2018 Marcus Melo

Embaixadores de Safety na Endress+Hauser no mundo

SC Netherlands SC Belgium SCANDS SC Finland SC Germany SC Austria SC Switzerland
• Aldert Schollaardt • Alain Engels • Rita Refvik • Jukka Salonen • Markus Hoffman • Herbert Springer • Tobias Leng
SC Poland • Markus Vinzenz SC Russia • Jörg Eifert
SC Canada • Anton Kochetkov SC China
• Mariusz Szwargrzyk
• Gerhard Jansson • Alexey Prokhoryatov • Cui Qizhi
• Zhang Jinchi
• Wang Xuefeng
SC United Kingdom
• Chris Gibson
SC México
SC France
• Claudia
• Olivier Aubry
Martínez
SC Portugal
SC Thailand
• Carlos Queiros
• Janyaporn
SC Spain Satjinanon
• Oliver Reher
SC Italy SC Singapore
• Guiseppe SC India
SC USA • Kia Chai Ng
Loiacono • Mandar Nalaved
SC Saudi Arabia
SC Turkey
• Tabrez Siddiqui
• Cem Ozen
Mohammed
• Deniz Nevşehirli
• Süleyman Emre MESC
Erensoy • Apurva Sharma
• Sivaji Nemalipuri
SC Brazil
• Marcus Melo SC Indonesia
• Abhay Fotedar SC Australia
SC Germany Dep. QTS Global Industry Manager Consult Sales Support Legend • Arash Louie
• Gerold Klotz-Engmann • Philipp Conen • Gustavo Stasiejko Committed to safety campaign
• Regina Gutmann (only German) • Jens Fuglsang • Hai Thuy Ngo Committed and responsible safety person
• Thomas Fritz • Jens Hundrieser Committed, responsible and SIL proof test launch

Situação Geral do Mercado

• As normas sobre safety (IEC61508/11) focadas em reduzir riscos
operacionais já são globalmente adotadas pelo segmentos de O&G,
Química e Petroquímica. Energia, Primaries, Alimentos e Bebidas e
Farmacêutica já seguem cada vez mais essa tendência.
• Aprox 5% a 10% das malhas de processo são “safety relevant”,

todas elas precisam de testes de funcionalidade (proof tests)*.
• Vazão, Nível, Pressão e Temperatura são os parâmetros mais

afetados. EM certos casos, há ainda malhas de segurança com
analítica.
• Os princípios sobre SIL (ex. testes regulares de funcionalidade e

redundância) também são utilizados para aumentar a disponibilidade
e a confiabilidade das malhas (ex.: manutenções preditivas).
• Muitos usuários estão cientes das normas, mas não fazem proof tests
dos seus loops de segurança. A Endress+Hauser pode ajudar nesse
sentido!
* Estudo da EXIDA.

Definição de segurança funcional
• Não é sobre áreas classificadas!

• Não é sobre o uso de EPIs!
• Não se trata só de “SIL”
• Não está relacionada só a explosões!

• Não é sobre áreas classificadas!

• Não é sobre o uso de EPIs!
• Não se trata só de “SIL”
• Não está relacionada só a explosões!
+ = Segurança
Funcional?


Quando “acontece” a segurança funcional?
Um SIS é 100% seguro funcionalmente se

todas as falhas aleatórias, de causa
comum e sistemáticas não o leva a um
estado de mal funcionamento, resultando
em
• Lesões e/ou mortes de pessoas
• Transbordamentos e vazamentos sobre
o meio ambiente
• Perda de ativos e de produção
Segurança funcional com 0% de falhas

não existe, mas existe a redução de
riscos a níveis 1, 2, 3 e 4.

Por que se precisa de segurança funcional?
Para prevenir falhas em um Sistema Instrumentado de Segurança (SIS) quando ele for demandado

Por que se precisa de segurança funcional?
Explosão em uma refinaria da BP no Texas (23/Março/2005)
• Causas: falha de sensor, erros humanos, treinamento do operador

• Consequências: 15 fatalidades, 170 feridos
Explosão de Refinaria da BP AMOCO no Texas em Março de 2005
Causas:
• Sistemas de segurança ignorados durante processos de
manutenção
• Design inapropriado dos sistemas de segurança
• Vazamento de combustível por Sistema de ventilação
• Comportamento inapropriado dos operadores tentando
remover uma caminhonete exposta aos vapores
• Sala de controle com muitos operários ao lado da coluna de
destilação
 Safety culture!
Efeitos:
• 15 pessoas mortas, 170 feridos
• Custos estimados em US$ 1,000,000,000

Pense a respeito…
90% de todos os acidentes em indústrias não advém de razões

técnicas
Quelle: Acikalin, A.: Eine Methode zur Abschätzung des Risikos verfahrenstechnischer Anlagen, CIT 81 (2009) Seite 137-144
No technical cause
* Sistema de Gestão
* Organização das funções
e responsabilidades
* Manutenção e Serviços
*…
Technical cause

Pense a respeito…
United Kingdom Health Safety and Environmental Committee.
Uma investigação mostrou que 44% de 34 incidentes tiveram sua origem em
Quelle: „Out OF Control“ – eine Zusammenstellung von festgestellten Ereignissen an Steuerungssystemen von UK HSE, September 2004
especificações erradas. Os equipamentos desempenharam suas funções!
15% Specification
Changes after commissioning
Operations an maintenance
6%
Installation and commissioning
44%
Design and implementation
15%
20%

Definição: perigo
Essas duas são comparáveis
IEC 61508 – Hazard (perigo)

Uma fonte potencial de danos
IEC 61513 (plantas de energia nulear) – Hazard (perigo)

Evnto com potencial de causar danos a pessoas,
componentes, equipamentos e estruturas de uma planta
industrial.

Um evento perigoso / potencialmente perigoso
Demand – a hazardous event, a potentially dangerous event

A norma IEC 61508-4, 3.1.4. define:
Evento Perigoso – evento que pode trazer danos
Nota: um evento poder resultar em danos dependerá de as

pessoas, a propriedade ou o ambiente estar(em) exposto(s)
às consequências do evento perigoso, e se as pessoas
expostas podem escapar das consequências desse evento
após ele ocorrer, levando em conta o tempo em que se fica
exposto a ele.

Do risco à segurança
Segurança
Redução do
Risco
Risco
P = Probabilidade de ocorrer um evento perigoso

S = Extensão do dano causado pelo evento
Então “RISCO” é…
• Risco
Probabilidade (P) de o evento ocorrer x Dano (D)
• Risco Tolerável
Risco Máximo aceito de acordo com conceitos morais (VDE 2180)
• Redução do Risco
Redução do risco inicial para um patamar abaixo do risco tolerável, através de
medidas protetivas, construtivas e organizacionais.
• No conceito de Segurança Funcional:
Análise de Risco
(Quantificação do Risco)
Quantificação do nível de segurança requerido

Safety Integrity Level (SIL)

Duas regulamentações, um objetivo

1. Norma genérica 2. Norma de Aplicação
Válida para todos os Implementação para
setores relacionados processos industriais
Regulamentações IEC 61511

IEC 61508
sobre Segurança ISA 84.01
Fornecedores e Integrador de Sistemas/

fabricantes Operador/Usuário
Objetivo em comum: a segurança da planta!

IEC/EN 61508
Alvo: Segurança Funcional

O sitema vai desempenhar corretamente sua função
automática de segurança prevista, ou o sistema vai falhar de uma
forma predizível.
A IEC/EN 61508 pode ser aplicada em vários níveis:

• Componentes
Ex. microprocessadores, sistemas operacionais etc.
• Produtos
Ex. Transmissores de Temperatura, de pressão, PLCs
(programmable logic solvers), Detectores de gás, de chamas etc.
• Sistemas
Ex. Sistemas de controle de refino de óleo, entre outros.

Requirements IEC EN 61508

IEC EN 61508 - requisitos
Técnicos Gerencial
Sistema – eletrônicos Ciclo de vida de segurança
• Funções de segurança – SIL, PFD • Planejamento V&V
• Modo de operação • Gerenciamento de configuração
• Interfaces (incl. HMI) de comunicação • Rastreio de requisitos
Integridade de segur. - hardware • Modificações
• HFT, SFF, taxas de falha, autotestes Verificação
• Tempo de detecção, reação a falhas • Análises estática, dinâmica e de falhas
• CCF (common cause failure) • (módulos, integrações) Testes
Software
• Performance, estados
Validação & Avaliação
• Interfaces (SIL / non SIL)
• Técnicas de design
• Automonitoramento, verific. de dados
Componentes pré-existentes Documentação
• Funções restritas e interfaces
• Estatísticas associadas
Sistemas – partes mecânicas Competências / treinamentos

• Funções monitoradas do sitema FMEA
• Taxas de falha

Níveis do escopo das normas

sistema subsistema elemento
Sensor Logic unit Actuator
Process
connection
Elemento – parte de um sub-sistema
contendo um componente simples ou
qualquer grupo de components que
desempenham uma ou mais funções de
segurança. IEC 62061, definition 3.2.6, modified

Source: DIN EN 61511-1 – Picture 8
Ciclo de vida de Safety de acordo com a IEC 61511

Análise de Perigos e Riscos
Estrutura e Planejamento do Ciclo de Vida de Segurança

Análise do Risco
Gestão da Segurança Funcional e Análise da Segurança
Alocação das Funções de Segurança para as Camadas de Proteção

(Quantificação)
Funcional / Avaliação e Auditorias
Especificações dos Requisitos

de Segurança para os SIS
Verificação
Design e Engenharia Design e Desenvolvimento de
SIS = Safety Instrumented System
dos SIS outros meios de redução de risco

Redução do Risco
Instalação, Comissionamento e Validação
Operação e Manutenção
Modificação
Descomissionamento
Construção de um SIS -até onde ele vai?
Avaliação do
Medidas de
Discussão sobre risco e Elementos do
Redução de
segurança classificação SIS
Risco
(SIL)
PFDavg= 1/2 DU  Ti
Fieldcheck TM
Heartbeat
Technology TM
Causas de Falha
Intervalo de
dos Modos e taxas Probabilidade
Proof tests
Equipamentos e de falha de falhas
Diagnósticos

A discussão sobre segurança
• Avaliação de cada ponto de medição da planta.

• Participantes: operação, gestores de segurança internos e externos (consultores,
TÜV etc).
• Avaliação do Risco
• Classificação
• Redução do Risco

1. Avaliação do Risco pelos seguintes critérios:

• Extensão do dano
• Tempo de exposição
• O quanto se pode evitar o perigo
• Probabilidade de a situação perigosa ocorrer


2. Classificação: avaliação de danos e riscos de um processo (IEC 61511; IEC 61508; SIL1 (baixo) até SIL4 (alto))
Extensão do Dano Tempo de Exposição
C1: Leve (e.g. 10.000,-€) F1: Raro a relativamente frequente (8h de
Extensão do Tempo de Possib. de Probabilidade de C2: Severo e irreversível a uma ou trabalho por dia 50min)
Dano Exposição Evitar Ocorrer mais pessoas, ou morte de uma F2: Frequente a contínuo
pessoa
(e.g. 1.000.000,-€)
C3: Morte de várias pessoas (e.g. Possibilidade de Evitar o Perigo
W2 10.000.000,-€) P1: Possível sob certas condições (ex. 0,9)
C4: Consequências catastróficas, P2: Dificilmente evitável
muitas mortes (e.g. 100.000.000,-
€)
Probab. de
F1
Acontecer
P2 SIL1 W1: Muito baixa (<
C2 0,03/ano)
W2: Baixa (< 0,3 /ano)
W3: Relativamente alta
F2 (>0,3/ ano)
P2 SIL2

Safety instrumented function (Função Instrumentada de Segurança, SIF)
Função na qual se atinge um estado de segurança no processo, caso um evento

perigoso aconteça
Sensor
(alimentação, barreira Unidade Lógica
Ex) (e.g. PLC) Atuador
(driver, barreira Ex)

A discussão sobre segurança -3. Redução do Risco pelo SIS
Safety Instrumented System (SIS)

SIL 1 … 3 (4)
Comunicação Comunicação
(e.g. 4...20mA) (e.g. 4...20mA)
Sensor
Unidade Lógica
com o Processo
(armazena informações)
(avalia as informações) Atuador
com o Processo
Interface
(executa uma função)
Interface
Processo:
Residual Risco= P x D x PFD (PFH)
P = Probabilidade de Acontecer ; D = Extensão do Dano; PFD (PFH) = Taxa de falha (probabilidade)<1

Falhas aleatórias
Falhas que ocorrem em um momento aleatório,

resultando em degradação de um componente / sub-
sistema / sistema.
• Proteção de falhas aleatórias é fornecida pela atribuição
de uma probabilidade máxima de falha aleatória.
• Isso é feito pelo nível SIL
• Ou então por meio de duas escalas– modo de baixa e modo
de alta demanda
• A proteção contra essas falhas também é feita através

de redundâncias.
• Isso é feito pelo nível SIL e pelo tipo de equipamento.

Confiabilidade dos SIS

Falhas Aleatórias Falhas Sistemáticas
(e.g. Hardware) (e.g. Software)
Controle de Falha Prevenção de Erro

(auto diagnóstico, diversidade/ (Ciclo de Vida de Safety)
redundância, proof-test)
(Novo desenvolvimento) (Serial product)
Análise de Falhas FMEDA Análise de Base

(PFH/PFD, SFF, HFT…) Functional Safety
Instalada
Management
(durante o processo
(proven in use)
de design)
Safety Integrity Level (SIL)
* Failure modes, effects, and diagnostic analysis (FMEDA)

Falhas sistemáticas
Podem ser evitadas através de regras, métodos e guias para evitar erros de design.
Um Sistema que se usa desses métodos estará relativamente livre de falhas,
porque elas dependem muito de ações práticas e planejadas.
Falhas sitemáticas podem ocorrer graças a

• Corrosão
• Abrasão
• Sedimentação
• Deterioração
• Incrustação
• Permeação
• Fadiga de materiais etc.



Análise do Risco

(Quantificação)

Verificação

Redução do Risco
Modificação
Descomissionamento
Os riscos em processo industriais é relativamente alto

Risk Reduction by a Safety System

Risco
Sagurança Risco
Risco Residual Risco Risco Inaceitável
Tolerável
Redução necessária do risco
Redução do Risco
Risco Inicial
Risk Reduction by a Safety System
Risco Risco
Risco Inicial
Residual Tolerável
Risco
Redução do risco SIL1
Redução do Risco SIL2
Redução do Risco SIL3
E risco ZERO? Existe?

Nível SIL para equipamentos – Safety Function – IEC/EN 61508
Safety Instrumented Function (SIF)

A função de segurança de um sub-sistema é aquela que, composta
com o restante das funções de segurança da malha, vão levar esta
última a um estado seguro ou de falha conhecido.
A IEC61508 preconiza que o nível de integridade de segurança de

sub-sistemas relaciona-se a faixas de probabilidade de executarem
suas SIFs quando demandados.
• SIL 1 = 90% a 99%
• SIL 2 = 99% a 99.9%
• SIL 3 = 99.9% a 99.99%
• SIL 4 = 99.99% a 99.999% de probabilidade de executar
sua função de segurança quando demandado.

“Quantificação” do risco e medidas de proteção
Frequência de falha aceita para uma

Risco Nível SIL
medida de proteção
Baixo SIL 1 < 1 falha perigosa em 10 anos
Médio SIL 2 < 1 falha perigosa em 100 anos
Alto SIL 3 < 1 falha perigosa em 1000 anos
Muito alto SIL 4 < 1 falha perigosa em 10.000 anos
Caso de cliente que nos procurou informando que

nossa chave vibratória SIL2 apresentou falha perigosa.
Apresentou, mesmo?



Análise do Risco

(Quantificação)

Verificação

Redução do Risco
Modificação
Descomissionamento
Princípio básico da avaliação da segurança funcional

Falhas aleatórias Falhas sistemáticas
(e.g. curto-circuito de um resistor, (e.g. erros de especificação,
saída congelada sem razão aparente) programações incorretas etc.)
Basicamente inevitáveis Basicamente evitáveis

Objetivo: Detecção e controle de
Objetivo: evitar falhas durante o
falhas durante a operação (“Infant
desenvolvimento dos sistemas
Mortality” na bathtube)
Medidas puramente
técnicas Medidas organizacionais
(Análises, diagnósticos, monitoração)
Dados confiáveis Gestão da Segurança

(λ ‘s, PFDavg, PFH, SFF) Funcional (FSM)

Processos − Gestão da Segurança Funcional Certificada



Análise do Risco

(Quantificação)

Verificação

Redução do Risco
Modificação
Descomissionamento
Estruturação e planejamento do ciclo de vida de segurança

Para todas as fases do ciclo de vida dos SIS, um
planejamento deve definri atividades, critérios,
técnicas, medidas, procedimentos e
responsabilidades de pessoas e organizações para:
• Garantir instalações e comissionamentos
apropriados aos SIS;
• Garantir a integridade das SIFs após a
instalação/comissionamento;
• Manter a integridade da segurança durante a
operação (e.g., proof tests, análises de falha etc.);
• Gerenciar os perigos que os processo spodem
trazer durante a vida útil dos SIS.

O que é relevante para a SIF de um transmissor?
Safety-related Safety-related
output signal Not safety-related
4-20mA
Safety-related
signal path
Diagnostics and
monitoring

Quais falhas do equipamento devem ser consideradas?

“A análise […] deve incluir todos os components, incluindo os elétricos,
electrônicos, electromecânicos, mecânicos etc., necessários para
permitir que o elemento execute sua(s) função(ões) de segurança […]”
Source: IEC 61508-2:2010, Annex C.1 (normative)
Eletrônica
principal
Terminal Elétrico,
Elétrico eletrônico
Sensor
eletrônico
Elétrico, Elemento
eletrônico Sensor
Eletromecânico,
mecânico



Análise do Risco

(Quantificação)

Verificação

Redução do Risco
Modificação
Descomissionamento
Métodos típicos para análise de riscos e perigos

• HAZOP
 HAZard and OPerability study
• FME(C)A
 Failure Mode and Effect (and Criticality) Analysis)
• ETA
 Event Tree Analysis
• FTA
 Fault Tree Analysis
• …

Products Solutions Services
Não perca a próxima aula!
O que veremos: LOPA, FMEDA, FMEA (λ’s), votação, tipos de redundância, proof tests, PTC, PFD, o
MTBF e a SFF na revisão de 2016 da IEC 61511, a curva da banheira (bathtube).

Seguranca Teoria Da Seguranca Funcional Endress Hauser

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguranca Teoria Da Seguranca Funcional Endress Hauser

Enviado por

Direitos autorais:

Formatos disponíveis

Products Solutions Services

Teoria da Segurança Funcional

INTERNAL Slide 1 06/13/2018 Marcus Melo

Embaixadores de Safety na Endress+Hauser no mundo

INTERNAL Slide 2 06/13/2018 Marcus Melo

Situação Geral do Mercado

• Aprox 5% a 10% das malhas de processo são “safety relevant”,

• Vazão, Nível, Pressão e Temperatura são os parâmetros mais

• Os princípios sobre SIL (ex. testes regulares de funcionalidade e

INTERNAL Slide 3 06/13/2018 Marcus Melo

Definição de segurança funcional

• Não é sobre áreas classificadas!

INTERNAL Slide 4 06/13/2018 Marcus Melo

Definição de segurança funcional

• Não é sobre áreas classificadas!

INTERNAL Slide 5 06/13/2018 Marcus Melo

Definição de segurança funcional

INTERNAL Slide 6 06/13/2018 Marcus Melo

Quando “acontece” a segurança funcional?

Um SIS é 100% seguro funcionalmente se

Segurança funcional com 0% de falhas

INTERNAL Slide 7 06/13/2018 Marcus Melo

Por que se precisa de segurança funcional?

INTERNAL Slide 8 06/13/2018 Marcus Melo

Por que se precisa de segurança funcional?

Explosão em uma refinaria da BP no Texas (23/Março/2005)

• Causas: falha de sensor, erros humanos, treinamento do operador

Explosão de Refinaria da BP AMOCO no Texas em Março de 2005

INTERNAL Slide 10 06/13/2018 Marcus Melo

90% de todos os acidentes em indústrias não advém de razões

INTERNAL Slide 11 06/13/2018 Marcus Melo

especificações erradas. Os equipamentos desempenharam suas funções!

INTERNAL Slide 12 06/13/2018 Marcus Melo

Essas duas são comparáveis

IEC 61508 – Hazard (perigo)

IEC 61513 (plantas de energia nulear) – Hazard (perigo)

INTERNAL Slide 13 06/13/2018 Marcus Melo

Um evento perigoso / potencialmente perigoso

Demand – a hazardous event, a potentially dangerous event

Nota: um evento poder resultar em danos dependerá de as

INTERNAL Slide 14 06/13/2018 Marcus Melo

P = Probabilidade de ocorrer um evento perigoso

Quantificação do nível de segurança requerido

INTERNAL Slide 16 06/13/2018 Marcus Melo

Duas regulamentações, um objetivo

Regulamentações IEC 61511

Fornecedores e Integrador de Sistemas/

Objetivo em comum: a segurança da planta!

INTERNAL Slide 17 06/13/2018 Marcus Melo

Alvo: Segurança Funcional

A IEC/EN 61508 pode ser aplicada em vários níveis:

INTERNAL Slide 18 06/13/2018 Marcus Melo

Requirements IEC EN 61508

Sistemas – partes mecânicas Competências / treinamentos

INTERNAL Slide 19 06/13/2018 Marcus Melo

Níveis do escopo das normas

Sensor Logic unit Actuator

INTERNAL Slide 20 06/13/2018 Marcus Melo

Ciclo de vida de Safety de acordo com a IEC 61511

Estrutura e Planejamento do Ciclo de Vida de Segurança

Gestão da Segurança Funcional e Análise da Segurança

Alocação das Funções de Segurança para as Camadas de Proteção

Especificações dos Requisitos