Rev. D 03 / 2015: Procedimento

-PÚBLICO-
N-2595 REV. D 03 / 2015
Critérios de Projeto, Operação e

Manutenção de Sistemas Instrumentados
de Segurança em Unidades Industriais
Procedimento
Esta Norma substitui e cancela a sua revisão anterior.

Cabe à CONTEC - Subcomissão Autora, a orientação quanto à interpretação do
texto desta Norma. A Unidade da PETROBRAS usuária desta Norma é a
responsável pela adoção e aplicação das suas seções, subseções e
enumerações.
Requisito Técnico: Prescrição estabelecida como a mais adequada e que

deve ser utilizada estritamente em conformidade com esta Norma. Uma
CONTEC eventual resolução de não segui-la (“não-conformidade” com esta Norma) deve
Comissão de Normalização ter fundamentos técnico-gerenciais e deve ser aprovada e registrada pela
Técnica Unidade da PETROBRAS usuária desta Norma. É caracterizada por verbos de
caráter impositivo.
Prática Recomendada: Prescrição que pode ser utilizada nas condições

previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de
alternativa (não escrita nesta Norma) mais adequada à aplicação específica. A
alternativa adotada deve ser aprovada e registrada pela Unidade da
PETROBRAS usuária desta Norma. É caracterizada por verbos de caráter
não-impositivo. É indicada pela expressão: [Prática Recomendada].
Cópias dos registros das “não-conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Automação Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO

S. A. - PETROBRAS, de aplicação interna na PETROBRAS e Subsidiárias,
devendo ser usada pelos seus fornecedores de bens e serviços,
conveniados ou similares conforme as condições estabelecidas em
Licitação, Contrato, Convênio ou similar.
A utilização desta Norma por outras empresas/entidades/órgãos
governamentais e pessoas físicas é de responsabilidade exclusiva dos
próprios usuários.”
Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho
- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
PROPRIEDADE DA PETROBRAS 82 páginas, 2 formulários, Índice de Revisões e GT

-PÚBLICO-
N-2595 REV. D 03 / 2015
Sumário
1 Escopo ................................................................................................................................................. 7
2 Referências Normativas ...................................................................................................................... 7
3 Termos e Definições............................................................................................................................ 8
4 Símbolos ou Siglas ............................................................................................................................ 17
5 Avaliação da Necessidade do SIS e Estruturação do Projeto Básico .............................................. 18
5.1 Análise de Riscos ................................................................................................................. 18
5.2 Camadas de Proteção ......................................................................................................... 19
5.3 Ciclo de Vida do SIS ............................................................................................................ 20
5.4 Estruturação do Projeto Básico do SIS ................................................................................ 21
6 Projeto Básico do SIS - Avaliação das SIFs ..................................................................................... 22
6.1 Considerações Gerais .......................................................................................................... 22
6.2 Composição da Equipe de Avaliação das SIFs ................................................................... 23
6.3 Preparação para a Avaliação das SIFs ............................................................................... 24
6.4 Avaliação do Nível de Integridade de Segurança Requerido para uma SIF ....................... 24
6.5 Avaliação da Frequência de “Trips” Espúrios Aceitável para uma SIF ............................... 25
7 Projeto Básico do SIS - Requisitos de Implementação ..................................................................... 26
7.1 Segregação entre SIS e SSC .............................................................................................. 26
7.2 Segregação entre SIS Distintos ........................................................................................... 27
7.3 Segregação entre Canais Redundantes de uma SIF .......................................................... 28
7.4 Alimentação Elétrica ............................................................................................................ 28
7.5 Comunicação entre Dispositivos de Campo e Executor da Lógica ..................................... 28
7.6 Iniciadores ............................................................................................................................ 29
7.7 Elementos Finais .................................................................................................................. 29
7.8 Executor da Lógica............................................................................................................... 31
7.9 Comando Manual de “Trip” .................................................................................................. 33
7.10 Rearme (“Reset”) de SIF .................................................................................................... 33
7.11 Contorno (“By-Pass”) de SIF.............................................................................................. 33
7.11.1 Considerações Gerais................................................................................................ 33
2
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.11.2 Contorno (“By-Pass”) para Início de Operação ......................................................... 34
7.11.3 Contorno (“By-Pass”) para Manutenção .................................................................... 34
7.12 Interface de Operação ....................................................................................................... 35
7.13 Interface para Manutenção e Engenharia .......................................................................... 36
7.14 Interface de Comunicação com o SSC .............................................................................. 37
7.15 Tempos de Resposta e de Retardo ................................................................................... 37
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF ...................... 37
9 Projeto de Detalhamento do SIS ....................................................................................................... 39
9.1 Requisitos Gerais ................................................................................................................. 39
9.2 Documentação ..................................................................................................................... 39
10 Teste de Aceitação em Fábrica e Preservação .............................................................................. 40
10.1 Teste de Aceitação em Fábrica - TAF ............................................................................... 40
10.2 Pré-Requisitos para Realização do TAF ............................................................................ 41
10.3 Execução do TAF ............................................................................................................... 41
10.4 Preservação ....................................................................................................................... 42
11 Instalação e Condicionamento para Início de Operação do SIS .................................................... 43
11.1 Instalação ........................................................................................................................... 43
11.2 Condicionamento ............................................................................................................... 43
12 Pré-Operação e Aceitação Final do SIS ......................................................................................... 44
12.1 Pré-Operação ..................................................................................................................... 44
12.2 Aceitação Final do SIS ....................................................................................................... 45
13 Operação, Manutenção, Testes Periódicos e Modificações ........................................................... 46
13.1 Operação............................................................................................................................ 46
13.2 Manutenção........................................................................................................................ 47
13.3 Testes Periódicos ............................................................................................................... 48
13.4 Modificações ...................................................................................................................... 49
Anexo A - Determinação do Nível de Integridade de Segurança Requerido Utilizando o Método de

Gráficos de Risco ................................................................................................................ 51
A.1 Introdução ...................................................................................................................................... 51
A.2 Síntese do Gráfico de Risco .......................................................................................................... 51
3
-PÚBLICO-
N-2595 REV. D 03 / 2015
A.3 Documentação Relacionada aos Resultados da Determinação do Nível de Integridade de

Segurança (SIL) ............................................................................................................................. 52
A.4 Uso de Gráfico de Risco Relativo à Segurança de Pessoas......................................................... 53
A.5 Uso de Gráfico de Risco para Consequências Ambientais ........................................................... 55
A.6 Uso de Gráfico de Risco para Consequências Materiais .............................................................. 57
A.7 Determinação do Nível da Integridade da Função Instrumentada de Segurança Quando a sua

Falha Leva a Mais de Um Tipo de Consequência ....................................................................... 58
Anexo B - Análise de Camadas de Proteção (LOPA) .......................................................................... 59
B.1 Introdução ...................................................................................................................................... 59
B.2 Procedimento ................................................................................................................................. 59
B.2.1 Seleção dos Cenários para Análise.................................................................................. 61
B.2.2 Classificação da Severidade ............................................................................................ 61
B.2.3 Frequência Tolerável (FTOL) .............................................................................................. 61
B.2.4 Frequência da Causa Iniciadora (ICF) ............................................................................. 62
B.2.5 Condição Habilitadora (EE) .............................................................................................. 63
B.2.6 Fatores Modificadores (MF).............................................................................................. 64
B.2.6.1 Probabilidade de Ignição .......................................................................................... 64
B.2.6.2 Presença de Pessoas ............................................................................................... 65
B.2.7 Camadas de Proteção Independentes (IPL) .................................................................... 66
B.2.7.1 Condições Gerais ..................................................................................................... 69
B.2.7.2 Linha de “Overflow” (“Overflow Line”) ...................................................................... 69
B.2.7.3 Revestimento Resistente a Fogo (“Fireproof Insulation”)......................................... 69
B.2.7.4 Sistema de Supervisão e Controle - SSC ................................................................ 69
B.2.7.4.1 Funções Automáticas no SSC ......................................................................... 70
B.2.7.4.2 Resposta do Operador a Alarmes no SSC ...................................................... 70
B.2.7.4.3 Atribuição de até Duas IPLs a um Mesmo SSC .............................................. 71
B.2.7.5 Dispositivo Mecânico de Alívio / Válvula de Segurança e Alívio .............................. 71
B.2.7.6 Válvula de Retenção................................................................................................. 71
B.2.7.7 Válvula Reguladora Auto-Operada........................................................................... 72
B.2.7.8 Válvulas Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)72
B.2.7.9 Proteção Ativa Contra Fogo ..................................................................................... 72
4
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.7.10 IPLs Mitigadoras ..................................................................................................... 73
B.3 Conclusão da Análise .................................................................................................................... 73
B.3.1 Risco Residual do Cenário Sem Considerar SIF ............................................................. 73
B.3.2 Determinação do SIL Requerido para a SIF .................................................................... 74
B.3.3 Documentação .................................................................................................................. 74
B.4 Gerenciamento de Resultados ...................................................................................................... 75
B.4.1 Auditoria ............................................................................................................................ 75
B.4.2 Revalidação ...................................................................................................................... 75
Anexo C - Modelo de Planilha de LOPA .............................................................................................. 76
Anexo D - Folha de Dados de SIF ........................................................................................................ 78
Figuras
Figura 1 - Camadas de Proteção Típicas.............................................................................................. 19
Figura 2 - Representação Gráfica da Redução de Risco ..................................................................... 20
Figura 3 - Modelo de Ciclo de Vida de um SIS ..................................................................................... 21
Figura A.1 - Gráfico de Risco Relativo à Segurança de Pessoas......................................................... 53
Figura A.2 - Gráfico de Risco Relativo à Segurança Ambiental ........................................................... 56
Figura A.3 - Gráfico de Risco para Consequências Materiais .............................................................. 57
Figura B.1 - Fluxo do Procedimento LOPA ........................................................................................... 60
Figura B.2 - Camada de Proteção Mitigadora ....................................................................................... 73
Tabelas
Tabela 1- Escala de SIL para SIF em Modo Demanda ........................................................................ 24
Tabela 2 - Critério para Determinação do MTTFS Aceitável ................................................................ 26
Tabela A.1 - Descrições dos Parâmetros do Gráfico de Risco ............................................................. 52
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1 ...................................................... 54
Tabela A.3 - Consequências Ambientais Gerais................................................................................... 56
Tabela A.4 - Classes de Consequências Materiais............................................................................... 58
Tabela B.1 - Frequência Tolerável (FTOL) .............................................................................................. 61
Tabela B.2 - Frequências de Causas Iniciadoras ................................................................................. 62
5
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela B.3 - Fatores Modificadores da Probabilidade de Ignição pela Quantidade de Fontes de

Ignição.............................................................................................................................. 65
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material Inflamável .... 65
Tabela B.5 - Fatores Modificadores por Presença de Pessoas ............................................................ 66
Tabela B.6 - Salvaguardas Usualmente Não Consideradas IPL .......................................................... 66
Tabela B.7 - IPL Passivas e Suas PFDavg Típicas ................................................................................ 68
Tabela B.8 - IPL Ativas e Suas PFDavg Típicas ..................................................................................... 68
6
-PÚBLICO-
N-2595 REV. D 03 / 2015
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Sistemas de detecção de fogo e gás não são tratados nesta Norma.
1.3 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança (SIS) . Por exemplo: isolamento e despressurização de inventários.
1.4 Esta Norma fixa condições exigíveis para projetos iniciados a partir da data de sua edição.
1.5 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas.
2 Referências Normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos.
Norma Regulamentadora N° 10 (NR-10) - Segurança em Instalações e Serviços de

Eletricidade;
PETROBRAS N-329 - Bateria de Acumuladores;
PETROBRAS N-332 - Retificador para Uso Industrial;
PETROBRAS N-858 - Construção, Montagem e Condicionamento de Instrumentação;
PETROBRAS N-1219 - Cores;
PETROBRAS N-1756 - Projeto e Aplicação de Proteção Contra Fogo em Instalações

Terrestres;
PETROBRAS N-1883 - Apresentação de Projetos de Instrumentação / Automação;
PETROBRAS N-2782 - Técnicas Aplicáveis à Análise de Riscos Industriais;
IEC 61131-3 - Programmable Controllers, Part 3: Programming Languages;
IEC 61508-1 - Functional Safety of Electrical/Electronic/Programmable Electronic

Safety-Related Systems - Part 1: General Requirements;

Safety-Related Systems - Part 2: Requirements for Electrical/Electronic/Programmable
Electronic Safety-Related Systems;

Safety-Related Systems - Part 3: Software Requirements;

Safety-Related Systems - Part 4: Definitions and Abbreviations;
IEC 61511-1 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements;
7
-PÚBLICO-
N-2595 REV. D 03 / 2015
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62337 - Commissioning of Electrical, Instrumentation and Control Systems in the

Process Industry - Specific Phases and Milestones;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT);
ISO TR 12489 - Petroleum, petrochemical and natural gas industries — Reliability Modelling
and Calculation of Safety Systems;
API STD 521 - Pressure-relieving and Depressuring Systems;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA TR 84.00.04 Part 1 - Guideline for the Implementation of ANSI/ISA-84.00.01

(IEC 61511);
ISA 84.91.01 - Identification and Mechanical Integrity of Safety Controls, Alarms, and
Interlocks in the Process industry;
ISA TR 96.05.01 - Partial Stroke Testing of Automated Block Valves.
3 Termos e Definições
Para os efeitos deste documento aplicam-se os seguintes termos e definições.
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica semiquantitativa de avaliação de riscos cuja finalidade é determinar se as camadas de
proteção associadas a um cenário acidental são suficientes para reduzir a sua frequência de
ocorrência a um nível considerado tolerável
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do cenário, ou mitigadora, quando visa reduzir a severidade da consequência
do cenário.
8
-PÚBLICO-
N-2595 REV. D 03 / 2015
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
3.5
causa iniciadora (“initiating cause”)
falha em equipamento, ação humana inapropriada ou evento externo que desencadeia um cenário
3.6
cenário (“scenario”)
sequência de eventos não propositais que culmina em um dano
NOTA Para efeitos de aplicação da LOPA, um cenário consiste em um par causa-consequência.

Portanto, eventos que possam resultar em diferentes consequências devem ser analisados
como cenários distintos.
3.7
ciclo de vida do SIS (“safety life cycle”)
conjunto de atividades envolvidas na implementação das SIFs durante o intervalo de tempo que se
inicia na fase de projeto conceitual e que termina quando as referidas SIFs são desativadas
3.8
condição habilitadora (“Enabling Event - EE”)
ação ou estado que não causa diretamente o cenário, mas que precisa existir para que o cenário
aconteça
3.9
consequência (“consequence”)
manifestação de como o cenário acidental pode impactar recursos humanos, ambientais e/ou
materiais, expressa sob forma de danos à saúde, impactos ao meio ambiente e/ou perda econômica
3.10
controlador programável de segurança (“Programmable Electronics - PE”)
controlador programável projetado e desenvolvido especificamente para atuar como Executor da
Lógica do SIS
NOTA A denominação CP de segurança vem substituir o antigo termo PES como era usado no
âmbito da PETROBRAS, de modo a eliminar conflito com IEC 61508-4 e IEC 61511-1, nas
quais o termo PES designa todo o conjunto de dispositivos (iniciadores + Executor da
Lógica + elementos finais) do SIS.
3.11
dano (“harm”)
impacto, consequência concretizada ou resultado final de um evento perigoso sobre seres humanos,
meio ambiente e/ou patrimônio, expresso em termos de número de fatalidades, prejuízos ao meio
ambiente, destruição de propriedades, perda de produção etc
9
-PÚBLICO-
N-2595 REV. D 03 / 2015
NOTA 1 Impactos ambientais podem incluir gastos com limpeza das instalações e descontaminação
do meio ambiente, multas de órgãos fiscalizadores, indenizações civis e trabalhistas,
dificuldade na obtenção de novas licenças, danos à imagem da companhia etc.
NOTA 2 Entende-se como patrimônio os equipamentos, instalações, produtos e processos.
3.12
defeito (“fault”)
condição anormal que pode causar redução ou perda da capacidade de um dispositivo executar sua
função
3.13
demanda (“demand”)
condição ou evento perigoso que requer a atuação de uma SIF
3.14
dispositivo (“device”)
equipamento capaz de executar uma função específica
3.15
elemento final (“final element”)
dispositivo integrante do SIS que implementa a ação física necessária para atingir um estado seguro
NOTA Os exemplos mais comuns são:
a) válvula, incluindo atuador e solenóide;

b) circuito de comando, relé de interposição e disjuntor ou contator para desligamento de
motor elétrico.
3.16
especificação de requisitos de segurança (“Safety Requirements Specification - SRS”)
documentação que contém todos os requisitos que cada SIF deve apresentar quando implementada
no SIS
3.17
estado seguro (“safe state”)
estado de um processo ou equipamento cujo risco se encontra dentro dos limites estabelecidos como
toleráveis
3.18
estudo de perigos e operabilidade (“Hazards and Operability Study - HAZOP”)
técnica indutiva e estruturada para identificar perigos de processo e potenciais problemas de
operação, associando, de forma sistemática, um conjunto de palavras-guias às variáveis de processo;
para cada desvio identificado são relacionadas suas causas, consequências, modos de detecção e
salvaguardas existentes, recomendando medidas adicionais quando necessário
3.19
executor da lógica (“logic solver”)
dispositivo integrante do SIS que recebe os sinais dos iniciadores, processa funções programadas e
envia comandos para os elementos finais
3.20
falha (“failure”)
evento caracterizado pela cessação da capacidade de um dispositivo cumprir sua função
10
-PÚBLICO-
N-2595 REV. D 03 / 2015
NOTA Excluem-se desse conceito incapacidades provocadas por ações planejadas, como
manutenção preventiva.
3.21
falha aleatória de “hardware” (“random hardware failure”)
falha que ocorre em um instante imprevisível como resultado de uma variedade de processos de
degradação atuando sobre os componentes internos de um dispositivo
NOTA 1 Devido a tolerâncias de fabricação, tais processos de degradação possuem dinâmicas

diferentes em componentes distintos, conferindo caráter aleatório ao instante da falha.
NOTA 2 Devido a sua natureza, a falha aleatória de “hardware” pode ser quantificada de forma
estatística. Por exemplo: pela observação de diversos dispositivos iguais, operando nas
mesmas condições, a respectiva taxa de falha pode ser determinada.
3.22
falha de causa comum (“common cause failure”)
falhas em mais de um dispositivo, componente ou sistema em decorrência de uma mesma causa
direta, num período de tempo relativamente curto e não sendo tais falhas uma consequência da outra
NOTA 1 Os itens que falham devido a uma mesma causa normalmente falham no mesmo modo
funcional. O termo “modo comum” é, portanto, usado algumas vezes. No entanto, ele não é
considerado um termo preciso para a comunicação de características que descrevem uma
falha de causa comum.
NOTA 2 Como exemplos de causa comum, podem ser citados ação de atmosfera corrosiva,
interferência eletromagnética, vibração mecânica, entupimento das tomadas de um
“stand-pipe”, perda de alimentação elétrica, perda de pressão pneumática ou hidráulica,
incêndio, explosão, descarga atmosférica, procedimento inadequado (de fabricação,
instalação, condicionamento, operação, ou manutenção), treinamento inadequado (idem),
vício ou limitação de projeto.
3.23
falha na demanda (“failure on demand”)
não atuação de uma SIF quando a mesma é submetida a uma demanda real
3.24
falha oculta (“undetected failure”)
falha que só é percebida quando uma SIF é demandada ou testada
3.25
falha perigosa (“dangerous failure”, “unsafe failure”, “fail-to-function failure”)
falha que apresenta potencial de impedir que uma função de segurança atue quando houver uma
demanda real
NOTA Uma única falha perigosa geralmente é insuficiente para impedir que uma função de
segurança redundante atue quando requerida.
3.26
falha segura (“safe failure”, “spurious trip failure”, “nuisance trip failure”, “false trip failure”,
“fail-to-safe failure”)
falha que apresenta potencial de causar atuação de uma função de segurança quando esta não é
requerida
NOTA Uma única falha segura geralmente é insuficiente para efetivamente causar “trip” espúrio
em uma função de segurança redundante.
11
-PÚBLICO-
N-2595 REV. D 03 / 2015
3.27
falha sistemática (“systematic failure”)
falha relacionada de forma determinística com certa causa
NOTA 1 Três tipos principais de erro podem conduzir a falhas sistemáticas:
— erro de projeto (especificações erradas ou omissas, tais como: dimensionamento

incorreto de equipamento, seleção inapropriada de materiais);
— falha de equipamento (erro no processo de fabricação, má instalação, procedimento de
manutenção ou de operação inadequado);
— erro de programa (programação ou modificação de “software”).
NOTA 2 Uma falha sistemática só pode ser eliminada por meio de modificações apropriadas na
causa da mesma. Intervenções de manutenção corretiva sem a implementação destas
modificações não eliminam a falha sistemática.
NOTA 3 Devido a sua natureza, causas de falhas sistemáticas não podem ser facilmente previstas
ou quantificadas de forma estatística.
3.28
fator de cobertura (“coverage”)
número que varia de 0 a 1 (100 %) e que indica o percentual de falhas ocultas que são detectadas
quando um dispositivo do SIS é submetido a determinado teste ou diagnóstico
3.29
fator de redução de risco (“Risk Reduction Factor - RRF”)
medida do desempenho de uma camada de proteção dada pela razão entre os riscos sem e com a
implementação desta camada de proteção; pode ser expresso matematicamente como o inverso da
PFDavg da camada de proteção considerada: RRF = 1/PFDavg
3.30
fator modificador (“Modification Factor - MF”)
condição específica que pode modificar a consequência de um cenário
3.31
frequência da causa iniciadora (“Initiating Cause Frequency - ICF”)
frequência esperada de ocorrência da causa que pode levar ao cenário considerado
3.32
frequência da consequência (“Frequency of Consequence - FC”)
frequência esperada de ocorrência da consequência indesejada, levando-se em conta a frequência
da causa iniciadora, a probabilidade de existência da condição habilitadora, as probabilidades médias
de falha na demanda das camadas de proteção não SIF e os fatores modificadores aplicáveis
3.33
frequência tolerável - FTOL (“scenario risk tolerance criteria”)
critério de tolerabilidade de risco dado pela frequência acima da qual um cenário com determinada
severidade de consequência não é tolerado
3.34
função instrumentada de segurança (“Safety Instrumented Function - SIF”)
função de proteção para a qual é requerido um SIL, e que tem objetivo de atingir ou manter um
estado seguro de um processo ou equipamento através de ação automática específica frente a um
determinado desvio operacional
12
-PÚBLICO-
N-2595 REV. D 03 / 2015
NOTA A cada SIF são associados um SIL e um MTTFS.
3.35
gráficos de risco (“risk graphs”)
técnica de avaliação qualitativa da redução do risco que utiliza representações gráficas do critério de
tolerabilidade de risco
3.36
iniciador (“sensor”)
dispositivo ou combinação de dispositivos que dão informações ao Executor da Lógica, sobre o valor
ou estado de variáveis de processo ou de equipamentos monitorados disparando a atuação da SIF:
NOTA 1 Os exemplos mais comuns são:
a) transmissores, incluindo conexões ao processo, sensores, e fiação completa;

b) chaves fim-de-curso, incluindo fiação completa;
c) chave manual de “trip” e fiação completa.
NOTA 2 O termo iniciador como definido nesta Norma é mais abrangente que o termo “sensor”
usado na IEC.
3.37
interface de operação (“operator interface”)
meios pelos quais é estabelecida a comunicação entre o operador humano e o SIS. A interface de
operação também é conhecida como Interface Humano-Máquina (IHM)
NOTA Como exemplos de interface de operação podem ser citados: monitores de vídeo, lâmpadas
indicadoras, “push-buttons”, sirenes e anunciadores de alarmes.
3.38
nível de integridade de segurança (“Safety Integrity Level - SIL”)
Indicador discreto do desempenho de uma SIF, em termos de sua PFDavg e de seu RRF, expresso
em uma escala de números inteiros de 1 a 4
NOTA O projeto da SIF deve considerar todas as falhas (aleatórias de “hardware” e sistemáticas)
que podem impedir que o estado seguro seja alcançado. Para as falhas aleatórias de
“hardware” o SIL é relacionado com a PFDavg quantificada da SIF. Para as falhas
sistemáticas é necessário o uso de abordagens específicas tais como FMEA, FMECA,
árvore de falhas etc.
3.39
perigo (“hazard”)
condição ou propriedade, inerente a uma substância, a uma atividade, a um sistema, ou a um
processo, com potencial para causar danos a integridade física das pessoas, meio ambiente,
patrimônio ou perda de produção
NOTA O termo inclui perigos que se apresentam em curtos intervalos de tempo (exemplo: fogo ou
explosão) e em longos intervalos de tempo (exemplo: liberação de produtos tóxicos).
3.40
probabilidade de falha na demanda (“Probability of Failure on Demand - PFD”)
probabilidade de uma camada de proteção falhar em realizar a sua função específica em resposta a
uma demanda
13
-PÚBLICO-
N-2595 REV. D 03 / 2015
3.41
probabilidade média de falha na demanda (“Average Probability of Failure on Demand -
PFDavg”)
indicador da confiabilidade de uma camada de proteção dado pela probabilidade média, em um dado
intervalo de tempo, de que a mesma falhe quando demandada
NOTA O intervalo de tempo considerado no cálculo da média é usualmente o intervalo entre testes
periódicos (normalmente igual ao período de campanha da planta ou equipamento).
3.42
programa aplicativo (“application software”)
programa específico para a aplicação do usuário; em geral, contém sequências lógicas, permissões,
limites e expressões necessárias para satisfazer seus requisitos funcionais
3.43
programa embutido (“embedded software”)
programa específico que é parte integrante do sistema eletrônico programável, fornecido pelo
respectivo fabricante, e que é imprescindível a operação e não é acessível a modificações por parte
do usuário; também conhecido como “firmware” ou “software” do sistema
3.44
programa utilitário (“utility software”)
conjunto de ferramentas de programação necessárias para a criação, modificação e documentação
do programa aplicativo; essas ferramentas de programação não são necessárias para a operação do
sistema eletrônico programável
3.45
redundância (“redundancy”)
existência de mais de um meio para realizar uma mesma função, normalmente para aumentar a
confiabilidade e/ou disponibilidade de um sistema
NOTA Redundância pode ser implementada através de dispositivos idênticos (redundância

idêntica) ou por dispositivos diferentes (redundância diversa).
3.46
redundância diversa (“diverse redundancy”)
recurso normalmente empregado para reduzir a influência das falhas de causa comum através da
utilização de diferentes tecnologias, projetos, fabricação, programação etc. para realizar uma mesma
função
NOTA Como exemplos de métodos usuais para se obter a redundância diversa podem ser citados:
a) medição de diferentes variáveis de processo, tais como pressão e temperatura, nos

casos onde a correlação entre essas variáveis é bem determinada e conhecida;
b) medição de uma mesma variável de processo por meio de diferentes tecnologias, tais
como medição de vazão por vórtex e coriolis;
c) uso de rotas aérea e subterrânea com traçados distintos para meios de comunicação
redundantes;
d) uso de modelos diversos de controladores em uma arquitetura redundante, programados
com métodos distintos, por técnicos com formações diferentes.
14
-PÚBLICO-
N-2595 REV. D 03 / 2015
3.47
risco (“risk”)
combinação da frequência esperada de ocorrência de um cenário com a severidade da consequência
do mesmo
NOTA 1 Risco pode ser expresso matematicamente como o produto da frequência esperada de
ocorrência de um cenário pela severidade da sua consequência Risco = frequência x
severidade.
NOTA 2 A frequência esperada de ocorrência normalmente é expressa em termos de quantidade de
eventos por ano.
NOTA 3 A severidade da consequência normalmente é expressa em termos de valor monetário
(perdas de produção e/ou danos a patrimônio) e/ou número de fatalidades.
3.48
risco de processo (“process risk”)
risco inerente a condições de processo ou equipamento originadas por eventos anormais (que
incluem defeitos no SSC), sem levar em consideração as camadas de proteção
NOTA 1 No contexto desta Norma, o risco do processo ou equipamento é aquele risco específico
para o qual uma camada de proteção provê redução.
NOTA 2 Perigos de processo incluem fogo, explosão, liberação tóxica, e exposição a radiação
ionizante, mas não incluem perigos não relacionados ao processo, normalmente
controlados por outros meios, tais como proteção auricular, luvas, óculos de segurança,
guarda-corpo, ou “housekeeping”, e perigos ocupacionais tais como escorregões, tropeços
e quedas.
3.49
risco tolerável (“tolerable risk”)
risco definido como aceitável em um dado contexto
NOTA No contexto desta norma, o termo “aceitável” refere-se a um consenso entre a sociedade,
analistas de riscos e agências especializadas (exemplo: HSE) em conviver com um
determinado risco de forma a obter certos benefícios, na confiança de que este risco está
sendo apropriadamente controlado e, portanto, estes benefícios valem o risco assumido.
3.50
severidade da consequência
medida qualitativa ou quantitativa de danos a pessoas, meio ambiente e patrimônio
3.51
Sistema Instrumentado de Segurança (“Safety Instrumented System - SIS”)
sistema usado para implementar uma ou mais funções instrumentadas de segurança; um SIS é
composto por um conjunto de iniciadores, executores da lógica e elementos finais
3.52
Sistema de Supervisão e Controle - SSC (“Basic Process Control System” - BPCS)
sistema que responde a sinais de entrada provenientes do processo, equipamentos associados e/ou
de um operador e gera sinais de saída, levando o processo a operar do modo desejado
NOTA 1 O SSC tipicamente implementa várias funções, como controles de processo contínuos e
discretos (“on-off”), monitoração, alarmes, sequenciamentos e intertravamentos.
NOTA 2 O SSC não realiza nenhuma SIF.
15
-PÚBLICO-
N-2595 REV. D 03 / 2015
3.53
tempo de resposta da SIF (“response time”)
intervalo de tempo entre o surgimento de uma demanda e a conclusão da atuação de uma SIF; este
tempo inclui o tempo de detecção (“rise time”) da condição de demanda pelo(s) iniciador(es), o tempo
de processamento dos sinais no Executor da Lógica, o tempo de retardo da SIF e o tempo de
atuação do(s) elemento(s) final(is)
3.54
tempo de retardo da SIF
retardo de tempo adicionado intencionalmente ao processamento da lógica de uma SIF, insuficiente
para que se verifique(m) o(s) dano(s) a ser(em) evitado(s) frente a uma demanda real, e necessário
para se evitar “trips” espúrios por oscilações normais / esperadas do processo que não representam
perigo, mas podem atingir o limiar de atuação da SIF
3.55
tempo de segurança do processo (“process safety time”)
intervalo de tempo entre o surgimento de uma demanda real e o perigo
3.56
tolerância a falha na demanda (“failure on demand tolerance”)
capacidade de uma SIF executar sua função quando demandada, mesmo na presença de falha(s)
perigosa(s)
NOTA Como exemplo de arquitetura que possui tolerância a falha na demanda, pode ser citada a
votação tipo 1 de 2.
3.57
tolerância a “trip” espúrio (“spurious trip tolerance”)
capacidade de uma SIF não provocar “trip” espúrio, mesmo na presença de falha(s) segura(s)
NOTA 1 Como exemplo de arquitetura que possui tolerância a "trip" espúrio, pode ser citada a
arquitetura de votação tipo 2 de 2.
NOTA 2 A arquitetura de votação tipo 2 de 3 é geralmente empregada em dispositivos do SIS
quando se deseja obter simultaneamente tolerância a falha na demanda e tolerância a “trip”
espúrio.
3.58
“trip”
atuação do(s) elemento(s) final(is) de uma SIF, seja por demanda real, por forçamento manual, ou
por falha da SIF (“trip” espúrio)
3.59
“trip” espúrio (“spurious trip”)
“trip” ocorrido sem que tenha havido demanda real, ou forçamento intencional (“trip” manual) dessa
condição; normalmente ocorre devido a falha de um ou mais dispositivos da SIF
NOTA Nem todo “trip” espúrio pode ser categorizado como falha segura, haja vista que atuações
espúrias totais ou parciais de algumas SIFs podem ser causas iniciadoras de cenários de
risco.
3.60
validação (“validation”)
atividade de demonstrar que o SIS instalado atende efetivamente as especificações das suas SIFs,
incluindo todos os aspectos de suas funcionalidades e de seus requisitos de desempenho
16
-PÚBLICO-
N-2595 REV. D 03 / 2015
3.61
válvula de retenção de alta integridade (“high integrity backflow prevention device”)
dispositivo especialmente projetado e construído para garantir, com alta confiabilidade, uma vedação
estanque (“tight shut-off”) para fluxo reverso
NOTA Estes dispositivos possuem sede e internos usinados com precisão que garante vedação
metal-metal estanque e um desenho especial (e.g. tipo venturi) que lhes confere um
conjunto de características, tais como: fluxo axial laminar, passagem plena, baixa perda de
carga na abertura, resposta suave e estável frente a variações no fluxo, fechamento rápido
(assistido por mola ou pneumaticamente) e suave (“non-slam”), as quais minimizam danos
por erosão, vibração, fechamento brusco e ciclagem elevada.
3.62
verificação (“verification”)
atividade de demonstrar para cada fase do ciclo de vida do SIS através de análises e/ou testes que,
para as condições especificadas, são atingidos todos os objetivos e requisitos estabelecidos na
especificação funcional daquela fase
NOTA Exemplos de atividades de verificação incluem:
— revisões dos produtos (p.ex.: documentos) de todas as fases do ciclo de vida de

segurança para garantir conformidade com os objetivos e requisitos de cada fase,
levando em conta as suas entradas específicas;
— revisões do projeto;
— testes realizados com os produtos concebidos naquela fase para assegurar que o seu
desempenho está de acordo com a sua especificação;
— testes de integração realizados com as diferentes partes de um sistema operando juntas
e com a realização de testes ambientais para garantir que todas as partes trabalham em
conjunto da forma especificada.
4 Símbolos ou Siglas
ABNT - Associação Brasileira de Normas Técnicas;

AIChE - “American Institute of Chemical Engineers”;
ALARP - “As Low As Reasonably Practicable” (Tão Baixo Quanto Razoavelmente
Praticável);
ANSI - “American National Standards Institute”;
API - “American Petroleum Institute”;
APR - Análise Preliminar de Riscos;
CCPS - “Center for Chemical Process Safety”;
CP - Controlador Programável;
EE - Condição Habilitadora (“Enabling Event”);
EEL - Probabilidade da Condição Habilitadora (“Enabling Event Likelihood”);
FC - Frequência da Consequência (“Frequency of Consequence”);
FCC - Craqueamento Catalítico Fluido (“Fluid Catalytic Cracking”);
FTOL - Frequência Tolerável;
HART - “Highway Addressable Remote Transducer”;
HAZOP - “Hazards and Operability Study” (Estudo de Perigos e Operabilidade);
HSE - “UK Health & Safety Executive”;
ICF - Frequência da Causa Iniciadora (“Initiating Cause Frequency”);
IEC - “International Electrotechnical Commission”;
IHM - Interface Humano-Máquina;
IPL - Camada de Proteção Independente (“Independent Protection Layer”);
ISA - “The Instrumentation, Systems, and Automation Society”;
LOPA - “Layers of Protection Analysis” (Análise de Camadas de Proteção);
MF - Fator Modificador (“Modification Factor”);
MTBF - “Mean Time Between Failures” (Tempo Médio entre Falhas);
MTTF - “Mean Time to Fail” (Tempo Médio para Falhar);
17
-PÚBLICO-
N-2595 REV. D 03 / 2015
MTTFS - “Mean Time to Fail Safe” (Tempo Médio para Falhar no modo Seguro);
MTTR - “Mean Time to Repair” (Tempo Médio para Reparo);
NFPA - National Fire Protection Association;
PCC - Painel de Corrente Contínua;
PFD - Probabilidade de Falha na Demanda;
PFDavg - Probabilidade Média de Falha da Demanda;
RRF - “Risk Reduction Factor” (Fator de Redução de Risco);
SDV - “Shut Down Valve”;
SIF - “Safety Instrumented Function” (Função Instrumentada de Segurança);
SIL - “Safety Integrity Level” (Nível de Integridade de Segurança);
SIS - Sistema Instrumentado de Segurança (“Safety Instrumented System”);
SRS - “Safety Requirements Specification” (Especificação de Requisitos de
Segurança);
SSC - Sistema de Supervisão e Controle;
TAF - Teste de Aceitação em Fábrica (“Factory Acceptance Test”);
UPS - “Uninterruptible Power Supply” (Sistema Ininterrupto de Potência).
5 Avaliação da Necessidade do SIS e Estruturação do Projeto Básico
A avaliação da necessidade de implementação de uma ou mais SIFs é parte integrante das práticas
de projeto, devendo ser realizada durante a etapa de elaboração do projeto básico da planta, através
da aplicação de uma ou mais técnicas de análise de riscos, seguida da adoção de camadas de
proteção apropriadas.
5.1 Análise de Riscos
5.1.1 Dentre as diversas técnicas para avaliação de riscos de processo citadas na PETROBRAS
N-2782, recomenda-se a aplicação de HAZOP por uma equipe multidisciplinar. Tal equipe é formada
por profissionais das áreas de processo, instrumentação e controle, operação e segurança industrial,
utilizando como referência documentos de projeto que viabilizem a identificação dos cenários e a
avaliação dos riscos associados a cada cenário [Prática Recomendada].
5.1.2 As condições de contorno impostas pelo local de instalação da planta ou equipamento, bem
como pela sua filosofia operacional devem estar definidas quando da análise dos impactos
decorrentes de um cenário de risco. Exemplos típicos são equipamentos operados remotamente ou
manualmente do campo e plantas localizadas em regiões isoladas ou próximas a regiões habitadas.
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base as políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, a legislação local e as regulamentações aplicáveis.
NOTA Também podem ser considerados na determinação do risco tolerável: normas e referências
internacionais, informações de companhias seguradoras e acordos entre as partes
interessadas, podendo envolver a comunidade local. [Prática Recomendada]
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que o risco de um cenário não ser tolerável
(estar fora da região T - “tolerable”) é diferente de ser não tolerável (estar na região NT -
“unacceptable”). Porém deve-se frisar que deixar o risco final na região M (moderado) deve ser
justificado após se ter lançado mão de todos os recursos para reduzi-lo, em aderência ao conceito
ALARP.
18
-PÚBLICO-
N-2595 REV. D 03 / 2015
5.2 Camadas de Proteção
5.2.1 Caso a avaliação de um cenário indique que sua frequência é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do cenário ou a
severidade da consequência associada a este cenário. Tal redução se dá através da aplicação de
medidas de redução de risco, normalmente chamadas de salvaguardas ou camadas de proteção (ver
Figura 1).
Plano de emergência - comunidade

situação de emergência geral
Plano de emergência - unidade industrial

procedimentos de evacuação
Sistemas de mitigação físicos (diques, bacias de contenção etc.)

intervenção operacional
Sistemas de alívio e proteção mecânica

(PSV, TOCHA, etc.)
Sistemas instrumentados de segurança
Sistemas de alarme de processo

com ação operacional corretiva
Sistemas de Supervisão e Controle -SSC

supervisão operacional
Projeto da instalação
processo
Figura 1 - Camadas de Proteção Típicas
19
-PÚBLICO-
N-2595 REV. D 03 / 2015
5.2.2 Como primeira camada de proteção, um cenário associado a operação de equipamentos e/ou
processos pode ter seu risco consideravelmente reduzido, ou mesmo ser completamente eliminado,
por meio de técnicas de projeto específicas ou de um projeto inerentemente mais seguro. Exemplos:
riscos devidos a pressão excessiva podem ser reduzidos através de especificação adequada da
espessura de tubulação ou da limitação do “head” da bomba abaixo da pressão de projeto do vaso
para onde a mesma descarrega, riscos devidos a temperaturas elevadas podem ser reduzidos
através de projetos adequados de trocadores de calor, riscos devidos a vibrações podem ser
reduzidos prevendo-se suportes adequados para as tubulações, riscos a pessoas podem ser
bastante reduzidos através da instalação da planta em local desabitado, riscos de incêndio ou
explosão podem ser eliminados se for possível trocar o produto por outro não inflamável.
5.2.3 Como segunda camada de proteção, normalmente dispõe-se de sistemas de controle

automático do processo ou equipamento, podendo-se obter uma terceira camada com a supervisão
contínua por pessoal de operação qualificado com auxílio de um sistema de alarmes adequado.
5.2.4 A camada de proteção seguinte, constituída por um SIS, objeto principal desta Norma,
geralmente acompanha outra, formada por sistemas de alívio e de prevenção baseados em
dispositivos mecânicos, tais como válvulas de segurança, discos de ruptura e válvulas de retenção.
5.2.5 Recomenda-se que um SIS somente seja adotado caso, após a aplicação das demais medidas
de redução de risco mencionadas, o risco residual permaneça maior que o tolerável (ver Figura 2).
[Prática Recomendada]
Risco Risco inerente

Risco tolerável
residual ao processo
Risco Aumentando
Redução de risco necessária
Redução de risco total
Risco parcial coberto

pelas camadas de
Risco parcial coberto
prevenção / mitigação Risco parcial coberto
por outras camadas de
diferentes do SIS pelo SIS
proteção
(controle, alarme,
dispositivos mecânicos)
Redução de risco obtida com todas as camadas de proteção
Figura 2 - Representação Gráfica da Redução de Risco
5.3 Ciclo de Vida do SIS
5.3.1 Uma vez confirmada a necessidade de uma ou mais SIFs, sua aplicação passa a constituir um
SIS propriamente dito. As etapas necessárias para a implantação de um SIS incluem concepção,
projeto, instalação, operação, manutenção e desativação, e são chamadas ciclo de vida do SIS (ver
Figura 3).
20
-PÚBLICO-
N-2595 REV. D 03 / 2015
INICIO - Projeto Avaliação da SIF Procedimentos de

Básico de processo (SIL e MTTFS) operação e de
(seção 6) manutenção
(seção 13)
Análise de Riscos
SIF confirmada?
não
Operação,
sim manutenção e testes
Aplicação de outros
funcionais periódicos
meios para redução Verificação do SIL e do
do SIS
dos riscos MTTFS
(seção 13)
identificados (seção 8)
Projeto de Detalhamento Modificação ou modificação

do SIS desativação?
SIF (seção 9)
Recomendada? sim desativação
não TAF, Instalação,
condicionamento e pré- Desativação da SIF
Documentação operação
(seções 10, 11 e 12)
Legenda: - escopo desta Norma
- escopo de outras normas
Figura 3 - Modelo de Ciclo de Vida de um SIS
5.3.2 Para viabilizar a aplicação e operacionalização de um SIS, é necessário que exista implantado
um sistema de gestão do seu ciclo de vida com base em um Plano de Segurança conforme
IEC 61511-1 capaz de garantir que:
a) as pessoas e organizações envolvidas em cada etapa do ciclo de vida sejam

identificadas e as respectivas responsabilidades, atribuídas;
b) os treinamentos necessários sejam aplicados;
c) cada etapa prevista seja realizada e documentada;
d) os documentos gerados sejam distribuídos, controlados e mantidos atualizados;
e) verificações de controle sejam realizadas periodicamente.
5.4 Estruturação do Projeto Básico do SIS
5.4.1 O projeto básico do SIS deve estabelecer e registrar, de modo organizado e sistemático, os
requisitos técnicos de especificação necessários para cada uma das SIFs que compõem o SIS, tanto
aquelas criadas durante a fase de projeto básico do processo (normalmente registradas nos
fluxogramas de engenharia e matrizes de causa e efeito), quanto aquelas criadas como
recomendações da técnica de identificação de perigos aplicada na fase de análise de riscos da
planta.
5.4.2 É de responsabilidade da disciplina de engenharia de processos a definição, na etapa de

projeto básico do SIS, do valores de ajuste (“set-point” de alarme e “trip”) e do tempo de segurança
de processo para cada SIF.
5.4.3 Todas as SIFs devem ser executadas pelo executor da lógica do SIS. Não é permitido
execução de SIF pelo SSC.
21
-PÚBLICO-
N-2595 REV. D 03 / 2015
5.4.4 Recomenda-se implementar no SIS somente SIFs. [Prática Recomendada]
5.4.5 Recomenda-se que as SIFs incluam somente dispositivos e lógicas necessárias para redução
de riscos nos respectivos cenários. [Prática Recomendada]
5.4.6 Cada SIF deve possuir um identificador alfanumérico exclusivo (“tag”).
5.4.7 Cada SIF deve ser documentada numa folha de dados que reúna as principais especificações
da SIF, compondo um conjunto de informações equivalente ao “Safety Requirements Specification -
SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.7.2 Ao final do projeto básico devem estar definidos e documentados, no mínimo, o conjunto de
informações relacionadas no formulário de Folha de Dados de SIF sugerido no Anexo D.
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA.84.91.01)
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas, detalhadas nos capítulos a seguir:
a) identificação das SIFs (não coberta por esta Norma);

b) avaliação das SIFs (ver Seção 6);
c) definição dos requisitos de implementação do SIS (ver Seção 7);
d) verificação do SIL e do MTTFS requeridos para cada SIF (ver Seção 8).
6 Projeto Básico do SIS - Avaliação das SIFs
6.1 Considerações Gerais
6.1.1 A etapa de avaliação consiste, basicamente, em se determinar dois importantes parâmetros de

desempenho, com vistas à elaboração da especificação do SIS, a saber:
a) Nível de Integridade de Segurança (SIL);

b) Tempo Médio para Falhar no modo Seguro (MTTFS).
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova planta e
durante as revisões que venham a ser realizadas no projeto de uma planta existente.
22
-PÚBLICO-
N-2595 REV. D 03 / 2015
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2 Composição da Equipe de Avaliação das SIFs
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) processo;
b) instrumentação e controle;
c) operação;
d) segurança.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante da área de processo deve ter participado do projeto básico específico a ser
analisado, de forma a garantir um bom conhecimento sobre o mesmo.
6.2.4 O representante da área de instrumentação e controle deve conhecer o projeto de

instrumentação, a arquitetura de automação da planta e deve possuir experiência e/ou treinamento
específico em Sistemas Instrumentados de Segurança (SIS).
6.2.5 O representante da área da operação deve:
a) possuir experiência no processo em questão;

b) estar vinculado com a operação da planta em questão.
6.2.6 O representante da área de segurança deve:
a) conhecer as políticas, diretrizes, normas e legislações de SMS aplicáveis à planta em

questão;
b) estar vinculado com a operação da planta em questão.
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas no 6.2.1, desde que atenda às exigências para tal.
6.2.9 O líder da equipe de avaliação deve assegurar a aplicação organizada, sistemática e

consistente do método utilizado, orientando neste sentido os demais membros da equipe.
23
-PÚBLICO-
N-2595 REV. D 03 / 2015
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
6.3 Preparação para a Avaliação das SIFs
6.3.1 Os seguintes documentos devem estar disponíveis em suas revisões mais recentes para uso
no processo de avaliação das funções instrumentadas de segurança:
a) fluxogramas de engenharia;
b) descritivo das ações automáticas (matriz de causa e efeito, diagrama lógico, ou outro
documento equivalente);
c) relatório da análise de riscos, caso tenha sido emitido.
6.3.2 Informações adicionais sobre falhas, eventos perigosos e acidentes relacionados ao processo
ou equipamento objeto da proteção pela SIF também podem ser utilizadas, desde que suas fontes
sejam devidamente documentadas na Folha de Dados de SIF.
6.3.3 Dentre os cenários identificados pela análise de riscos, devem ser selecionados para avaliação
todos aqueles onde haja intertravamento como salvaguarda ou como recomendação. Outros cenários
podem ser avaliados a critério da equipe.
6.4 Avaliação do Nível de Integridade de Segurança Requerido para uma SIF
6.4.1 A cada SIF deve ser atribuído um SIL de acordo com a redução de risco requerida para a
mesma (ver Tabela 1).
NOTA Para SIFs que operam em modo contínuo ou com alta demanda (mais de uma demanda por
ano ou duas ou mais demandas a cada intervalo entre testes) o SIL é correlacionado com
uma frequência de falhas perigosas por hora, sendo, por exemplo, SIL 1 equivalente a uma
frequência entre 10-6 por hora e 10-5 por hora (ver Tabela 4 da IEC 61511-1).
Tabela 1- Escala de SIL para SIF em Modo Demanda
RRF PFDavg SIL

-2 -1
> 10 a ≤ 100 ≥ 10 a < 10 1
> 100 a ≤ 1.000 ≥ 10-3 a < 10-2 2
> 1.000 a ≤ 10.000 ≥ 10-4 a < 10-3 3
> 10.000 a ≤ 100.000 ≥ 10-5 a < 10-4 4
6.4.2 A avaliação do SIL requerido para uma SIF deve considerar as consequências sobre:
a) segurança pessoal (S);

b) meio ambiente (E);
c) patrimônio da companhia (L).
24
-PÚBLICO-
N-2595 REV. D 03 / 2015
6.4.3 O SIL requerido para a SIF deve ser o maior dentre os determinados para cada um destes três
aspectos.
NOTA Caso riscos associados aos aspectos pessoal e ambiental sejam ambos considerados
desprezíveis, fazendo com que o SIL seja determinado apenas pelo risco associado ao
aspecto do patrimônio da companhia, recomenda-se a realização de análise custo-benefício
para determinar se vale a pena ou não implementar a SIF. Tal análise deve confrontar os
custos dos danos a serem evitados pela SIF com os custos de implantação, manutenção e
trips espúrios da SIF ao longo de todo o seu ciclo de vida. [Prática Recomendada]
6.4.4 Caso uma mesma SIF seja salvaguarda para diversos cenários, o SIL requerido deve ser o
maior dentre os obtidos para cada cenário.
6.4.5 Nesta Norma são apresentados dois métodos distintos de avaliação do SIL requerido para uma
SIF, a saber:
a) gráficos de risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semiquantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade das consequências, disponibilidade de informações sobre os
cenários de risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.7 Recomenda-se a aplicação do método LOPA. [Prática Recomendada]
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um SIL requerido maior que 3, devem ser
aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de integridade
de segurança requerido abaixo de SIL 4. Orientações e cuidados a serem tomados para reduzir o SIL
requerido de forma segura são encontrados na ISA TR 84.00.04 Part 1.
6.4.10 Caso o resultado da avaliação indique não haver SIL requerido, deve ser observado o
disposto no 5.4.4.
6.5 Avaliação da Frequência de “Trips” Espúrios Aceitável para uma SIF
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 Para determinação do MTTFS mínimo aceitável recomenda-se o uso da Tabela 2. [Prática
Recomendada]
25
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela 2 - Critério para Determinação do MTTFS Aceitável
Custo do “trip” espúrio (US$) MTTFS aceitável (anos)
≤ 10 000 Não requerida tolerância a “trip” espúrio
> 10 000 a ≤ 100 000 25
> 100 000 a ≤ 1 000 000 50

Reavaliar a SIF devido ao impacto significativo
> 1 000 000
causado por seu “trip” espúrio
NOTA 1 O custo do “trip” espúrio leva em conta, além da perda de produção (lucro
cessante), também os custos associados a outras possíveis consequências
relacionadas com a parada imprevista e com a partida subsequente da planta, tais
como: danos a equipamentos (quebra de refratários, coqueamento de tubos, etc.),
penalizações contratuais por interrupção da produção, danos ambientais (alívio
excessivo para a tocha, ruído de abertura de válvulas de segurança), danos à
imagem da companhia etc.
NOTA 2 A tolerância a “trip” espúrio, mesmo quando não justificada pela Tabela 2, pode ser
implementada para minimizar riscos associados a estes “trips” e às partidas
subsequentes.
6.5.3 Caso a atuação espúria de uma SIF leve a um novo cenário acidental, o risco associado deve
ser tolerável. Por exemplo, um sistema de alívio de material tóxico ou inflamável deve ser direcionado
para local seguro.
6.5.4 Deve-se levar em conta que a atuação de uma SIF pode vir a desencadear outras ações de
proteção. Por exemplo: baixa vazão de gás causa “trip” do compressor, o qual, por sua vez, causa
“trip” da bomba de carga.
6.5.5 Uma vez determinado o MTTFS requerido, o mesmo deve ser registrado na Folha de Dados da
respectiva SIF.
7 Projeto Básico do SIS - Requisitos de Implementação
7.1 Segregação entre SIS e SSC
7.1.1 As SIFs devem ter suas respectivas implementações físicas separadas das malhas do SSC.
Portanto, devem ser segregados pelo menos os seguintes componentes:
a) tomadas de processo (ver Nota 1);

b) linhas de impulso;
c) iniciadores;
d) cabeamentos de sinal;
e) caixas de junção;
f) multicabos;
g) réguas de bornes;
h) painéis de controle e de rearranjo;
i) fusíveis e disjuntores;
j) Executor da Lógica;
k) elementos finais (ver Nota 2).
26
-PÚBLICO-
N-2595 REV. D 03 / 2015
NOTA 1 Admite-se o compartilhamento de tomadas de processo ou bocais de instrumentos do

SSC com iniciadores redundantes do SIS. Caso seja necessário o uso de mais de dois
transmissores do SIS para uma mesma placa de orifício, recomenda-se avaliar uma das
seguintes soluções:
a) uso de derivação “T” nas tomadas para fluídos limpos;

b) uso de flanges especiais capazes de resistir ao número adicional requerido de furações;
c) uso de duas placas de orifício quando a perda de carga não for relevante.
NOTA 2 Para desligamento de máquinas elétricas (motores, geradores) é considerado como

elemento final do SIS todo o circuito de desligamento, incluindo disjuntores e contatores.
7.1.2 Admite-se o compartilhamento entre SIS e o SSC dos seguintes componentes:
a) elementos primários de vazão tipo placa de orifício, “venturi” ou “v-cone”;

b) rodas dentadas (medição de rotação);
c) poço de termoelemento;
d) ramais de suprimento de ar.
7.1.3 Admite-se o uso compartilhado de uma válvula de controle como segundo elemento final de
uma SIF somente nos casos em que todos os itens a seguir sejam atendidos:
a) a instalação de uma segunda válvula de bloqueio tenha custo muito elevado ou não seja
usual;
b) a válvula de controle não pode ser parte integrante de outra IPL;
c) a verificação do SIL obtido deve ser realizada utilizando-se método quantitativo que leve
em conta os casos nos quais falha na válvula de controle é causa iniciadora;
d) a estanqueidade da válvula de controle seja compatível com os requisitos da SIF;
e) o modo de falha da válvula de controle seja o mesmo que o da válvula de bloqueio;
f) quando a posição de segurança for fechada, a válvula de “by-pass” seja mantida
trancada fechada e sua posição monitorada continuamente pelo Executor da Lógica do
SIS com o uso de chave fim de curso;
g) o acionamento de segurança da válvula de controle seja feito pelo Executor da Lógica do
SIS por meio de válvula solenoide dedicada.
7.2 Segregação entre SIS Distintos
7.2.1 Plantas que operem de modo independente ou tenham paradas programadas para
manutenção independentes devem possuir SIS distintos.
7.2.2 Para equipamentos de processo localizados dentro de uma mesma planta, os quais tenham
paradas programadas de manutenção independentes, recomenda-se segregar os seguintes itens
componentes de cada respectivo SIS: caixas de junção, multicabos, módulos de I/O e programas
aplicativos. [Prática Recomendada]
7.2.3 Recomenda-se que o SIS seja segregado de outros sistemas de segurança regidos por normas
específicas. [Prática Recomendada]
EXEMPLO
— ABNT NBR 12712 para estações de redução de pressão de gás;
— ABNT NBR 17240 para sistemas de detecção e alarme de incêndio;
— API 670 para sistemas de proteção de máquinas.
27
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.3 Segregação entre Canais Redundantes de uma SIF
7.3.1 Para SIFs com redundância de iniciadores e/ou de elementos finais, recomenda-se segregar os
seguintes componentes de cada respectivo canal [Prática Recomendada]:
a) tomadas de processo;
b) linhas de impulso;
c) cabeamentos de sinal;
d) caixas de junção;
e) multicabos;
f) réguas de bornes;
g) fusíveis e disjuntores;
h) módulos de I/O.
7.3.2 No caso de medição de temperatura redundante admite-se a utilização de um único poço para
mais de um iniciador.
7.4 Alimentação Elétrica
7.4.1 A alimentação elétrica para o SIS deve ser fornecida a partir de um sistema de corrente
contínua redundante constituído por dois conjuntos de carregadores, dois bancos de baterias e dois
quadros de distribuição (PCC) com disjuntor para interligação, sendo um quadro igual (espelho) ao
outro e cada um desses conjuntos, energizado por alimentadores independentes.
7.4.2 Tal sistema deve distribuir a alimentação elétrica para:
a) módulos de alimentação do Executor da Lógica;

b) fontes para alimentação dos iniciadores analógicos;
c) energização dos circuitos dos iniciadores discretos;
d) energização dos circuitos dos elementos finais;
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.4 Os módulos de alimentação elétrica do Executor da Lógica, bem como as fontes de

alimentação para os iniciadores e elementos finais devem ser redundantes.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada entrada alimentada por um PCC distinto. [Prática
Recomendada]
7.5 Comunicação entre Dispositivos de Campo e Executor da Lógica
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
28
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica.
NOTA 1 No caso de circuitos de acionamento de máquinas elétricas (motores) considera-se o relé

de interposição como parte integrante do elemento final.
NOTA 2 Na existência de elemento intermediário, este deve ser registrado na folha de dados de SIF
como parte integrante do iniciador ou elemento final e considerado nos cálculos de
confiabilidade.
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
a) instalados no mesmo painel que o Executor da Lógica, e não distribuídos em outros

locais/painéis;
b) alimentados pelas fontes localizadas no painel do Executor da Lógica.
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores não seja tecnicamente viável, devem-se utilizar
técnicas que reduzam falhas ocultas, tais como: supervisão de linha, circuitos de sinal energizados
quando da condição normal de operação da planta ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores seja configurado de modo a, em caso de falha, conduzir o sinal de saída para os
seguintes valores, observando também os 7.8.8 e 7.8.14: [Prática Recomendada]
a) abaixo de 3,6 mA (“sub-range”) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (“sobre-range”) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
7.6.4 Recomenda-se que os iniciadores do SIS e os sensores utilizados no SSC para medição das
mesmas variáveis, tenham o mesmo “range” e incertezas compatíveis, de modo a permitir sua
comparação direta, podendo ser implementado alarme de desvio no SSC. [Prática Recomendada]
7.6.5 Os iniciadores devem ser pintados na cor alaranjado segurança conforme a PETROBRAS
N-1219. A pintura parcial do iniciador é aceitável. Exemplo: pintura apenas das tampas de
transmissores.
7.6.6 Para os iniciadores das SIFs avaliadas como SIL 3 recomenda-se o uso de redundância
diversa. [Prática Recomendada]
7.7 Elementos Finais
7.7.1 Recomenda-se que válvulas do SIS utilizem atuadores pneumáticos. Atuadores elétricos ou
hidráulicos podem ser utilizados nos casos em que os atuadores pneumáticos sejam impraticáveis.
Por exemplo, indisponibilidade de ar de instrumento. [Prática Recomendada]
29
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.7.2 Atuadores de válvulas do SIS devem operar normalmente pressurizados ou energizados,

sendo que a falta de tal pressurização, ou energização, deve implicar no retorno da válvula à posição
estabelecida como segura, por ação de dispositivo acumulador de energia (exemplo: mola
previamente comprimida, acumulador hidráulico etc.).
NOTA Em alguns casos, o risco de “trip” espúrio pode ser elevado, justificando utilização de modo
de atuação normalmente desenergizado. Entretanto, faz-se necessário demonstrar que o
nível de integridade de segurança requerido é atingido e mantido ao longo da ciclo de vida
da instalação.
7.7.3 Válvulas do SIS não devem dispor de volantes para acionamento manual.
7.7.4 Para válvulas do SIS e respectivos atuadores, devem ser especificados, no mínimo, os
seguintes aspectos:
a) adequação do tipo de válvula e de seus materiais às condições de processo e de

operação (especialmente para baixa demanda);
b) grau de estanqueidade requerido;
c) modos de falha do atuador da válvula;
d) sentido normal do fluxo tendendo a levar a válvula para a posição de segurança;
e) tempos de abertura e de fechamento do conjunto válvula e atuador, compatíveis com os
requisitos da SIF;
f) dispositivo para monitoração da posição de segurança.
7.7.5 No caso de elementos finais da SIF serem circuitos de acionamento de máquinas elétricas
(motores) os status destes equipamentos devem ser sinalizados na interface de operação.
7.7.6 Recomenda-se para SIF avaliada como SIL 3, cuja atuação seja feita em motor elétrico, que a
confirmação do estado do motor se dê através da monitoração de variáveis tais como rotação do eixo
ou corrente elétrica. [Prática Recomendada]
7.7.7 Em aplicações envolvendo proteção de equipamentos essenciais acionados por motor elétrico,
recomenda-se utilizar a função “Breaker Failure - BF” no relé de proteção elétrica do disjuntor de
acionamento do motor. [Prática Recomendada]
NOTA Deve-se avaliar os impactos do desligamento das demais cargas afetadas pela atuação do
BF.
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes aspectos:
a) condição normal de operação: bobina energizada;

b) pressão de ar mínima de operação;
c) capacidade de vazão adequada ao tempo de atuação requerido;
d) proteção dos escapes de ar contra entupimentos por sujeira, insetos e formação de gelo.
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
30
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.7.11 Caso a Folha de Dados de SIF indique a necessidade da execução de testes de

movimentação parcial de válvulas (ver ISA TR 96.05.01), estes devem ser implementados por
dispositivos especialmente projetados para esta aplicação e com certificação adequada ao SIL
requerido, conforme IEC 61508-1. O certificado deve ser submetido para aprovação da
PETROBRAS. Devem ser observadas as restrições de aplicação indicadas nos respectivos manuais
de segurança e relatórios que acompanham os certificados de conformidade.
7.7.12 Elementos finais do SIS devem ser pintados na cor alaranjado segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
diversa. [Prática Recomendada]
7.8 Executor da Lógica
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo. O certificado deve ser submetido para aprovação da PETROBRAS. Devem
ser observadas as restrições de aplicação indicadas nos respectivos manuais de segurança e
relatórios que acompanham os certificados de conformidade.
7.8.3 O Executor da Lógica deve ser implementado fisicamente através de um CP de Segurança em

todas as aplicações onde a quantidade total de iniciadores e elementos finais seja igual ou superior a
20.
7.8.4 O Executor da Lógica pode, mediante anuência expressa da Unidade Organizacional da

Companhia, ser implementado fisicamente através de tecnologia eletrônica não programável em SIS
onde a quantidade total de iniciadores e elementos finais seja inferior a 20 e a lógica requerida seja
de baixa complexidade.
7.8.5 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
7.8.6 Todos os módulos do CP de segurança (módulos de entrada, saída, fontes de alimentação e

processadores) relacionados com a execução da lógica das SIFs devem:
a) não provocar “trip” espúrio por falha singela;

b) possibilitar intervenções de manutenção sem a necessidade de desenergização ou
interrupção da execução da lógica (“troca a quente”).
7.8.7 Recomenda-se que o executor da lógica seja dotado de recursos para detectar sinal de
iniciador fora da faixa normal de trabalho e atribuir ao mesmo um status de falha (“out of
specification”) quando abaixo de 3,6 mA ou acima de 21 mA. [Prática Recomendada]
31
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.8.8 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.9 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor alaranjado
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.10 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.11 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da PETROBRAS. Devem ser observadas as restrições de
aplicação indicadas nos respectivos manuais de segurança e relatórios que acompanham os
certificados de conformidade.
7.8.12 O programa aplicativo deve:
a) ser desenvolvido em conformidade com o diagrama lógico do projeto de detalhamento

do SIS;
b) ser desenvolvido considerando as restrições pertinentes ao uso do programa utilitário,
compatíveis com o nível de integridade requerido, indicadas no manual de segurança do
CP selecionado;
c) possuir um tempo de varredura (“scan time”) compatível com as necessidades das SIFs,
limitado a no máximo 250 ms no CP de segurança;
d) fornecer informações ao SSC conforme o 7.12.
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
7.8.13 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que iniciadores

identificados como em estado de falha (ver 7.8.7) sejam contornados automaticamente pelo programa
aplicativo, respeitando as limitações impostas por 7.11.3. [Prática Recomendada]
NOTA 1 A duração deste contorno automático deve ser definida na fase do projeto de detalhamento,
não podendo exceder 8 horas. Durante esse período, a operação da unidade deve definir
sobre o acionamento ou não do contorno manual de manutenção do iniciador em questão.
NOTA 2 A duração total do contorno (automático + manual) deve respeitar o limite estabelecido no
procedimento específico para a SIF em questão.
NOTA 3 Caso a temporização do contorno automático chegue ao fim sem que tenha sido acionado
manualmente o contorno para manutenção conforme 7.11.3.5, o programa aplicativo deve
atribuir ao iniciador em falha o status de “trip”, seguindo-se daí as consequências
programadas na lógica da SIF.
7.8.14 Recomenda-se que o programa aplicativo trate os casos de SIFs com iniciadores
redundantes, de modo a evitar "trips" espúrios por falso diagnóstico de falha simultânea de todos os
iniciadores, devido a excursão real da variável de processo para fora da faixa normal de trabalho no
sentido contrário ao do "trip". [Prática Recomendada]
32
-PÚBLICO-
N-2595 REV. D 03 / 2015
EXEMPLO
Reavaliar a faixa de operação e/ou considerar a possibilidade de estender os limites de

“sub/sobre-range” além daqueles estabelecidos em 7.6.3.
NOTA Uma eventual implementação de lógica específica para evitar este tipo de "trip" espúrio
deve ser precedida por uma avaliação cuidadosa das possibilidades de falha de causa
comum dos iniciadores.
7.9 Comando Manual de “Trip”
7.9.1 A quantidade e a abrangência dos comandos manuais de “trip” da planta ou equipamento

devem ser definidas na etapa de projeto básico de processo e descritas nas respectivas Folhas de
Dados de SIF.
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em
série, instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Recomenda-se que os sinais de comando manual de “trip” sejam processados pelo Executor
da Lógica do SIS. [Prática Recomendada]
7.10 Rearme (“Reset”) de SIF
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.3 Não é permitido rearme automático de SIF.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11 Contorno (“By-Pass”) de SIF
7.11.1 Considerações Gerais
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
33
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.11.1.2 Todo contorno acionado manualmente deve ser feito por intermédio de telas pré-
configuradas na IHM do SSC, possuindo necessariamente sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
7.11.1.4 Não pode haver contorno do comando manual de “trip”.
7.11.1.5 Não é permitido o forçamento de variáveis no programa aplicativo do CP de segurança com

fins de contorno de SIF.
7.11.2 Contorno (“By-Pass”) para Início de Operação
7.11.2.1 Somente devem dispor de comando de contorno para início de operação as SIFs que,
devido ao estado inicial do processo, impeçam a partida da planta ou equipamento objeto de
proteção. Exemplos: pressão baixa no “header” de gás para o forno, velocidade baixa de rotação do
compressor, baixa vazão de carga, etc.
7.11.2.2 Recomenda-se que os comandos de contorno para início de operação sejam desativados
através de funções automáticas, evitando-se o uso de comando manual para essa finalidade.
EXEMPLO
— condição de processo: monitora o valor de variável de processo até que se caracterize o

término da condição início de operação;
— tempo: ajuste para um intervalo de tempo pouco superior ao necessário para execução
normal do procedimento de partida;
— combinação dos anteriores.
7.11.2.3 Os comandos de contorno para início de operação devem ser mantidos desativados quando
a planta ou equipamento objeto de proteção pelo SIS não estiver em procedimento de partida.
7.11.3 Contorno (“By-Pass”) para Manutenção
7.11.3.1 Recomenda-se não permitir que mais de uma SIF pertencente a uma mesma planta ou
equipamento tenha algum de seus elementos contornado ao mesmo tempo. [Prática Recomendada]
7.11.3.2 A duração do contorno para manutenção deve ser a menor possível. Se o dispositivo em
contorno não for reparado dentro do MTTR assumido nos cálculos de confiabilidade, devem ser
tomadas as ações pré-definidas em procedimento específico de modo a manter a planta ou
equipamento em estado seguro. O exemplo mais comum de procedimento é a adoção de um regime
operacional especial (redução de carga da unidade de processo, operação em estado de alerta etc.),
podendo culminar no disparo manual da função de segurança.
NOTA 1 Recomenda-se não partir a planta ou equipamento com SIF em contorno para manutenção.
NOTA 2 A partida de uma planta ou equipamento com SIF em contorno para manutenção implica na
imediata execução das ações definidas no procedimento específico.
34
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.11.3.3 Para as SIFs que disponham de redundância de iniciadores, o contorno para manutenção
deve degradar as respectivas arquiteturas de votação da seguinte forma:
a) de 1 de 2 para 1 de 1;
b) de 2 de 2 para 1 de 1;
c) de 2 de 3 para 1 de 2.
NOTA Caso haja contorno de mais de um iniciador em uma mesma SIF, deve ser utilizado
procedimento específico conforme 7.11.3.2.
7.11.3.4 Para as SIFs que não disponham de redundância de iniciadores, somente deve haver
comando de contorno para manutenção nas SIFs que satisfaçam simultaneamente aos seguintes
requisitos:
a) existência de outro meio para monitorar a variável de processo em questão;

b) a dinâmica do processo permita ao operador acionar em tempo hábil o comando manual
de “trip”.
7.11.3.5 O contorno de SIF deve ser realizado de acordo com procedimento específico para esse fim
desenvolvido na etapa de projeto de detalhamento do SIS. Tal procedimento deve incluir o controle
do tempo de duração do contorno (ver 13.1.5) e estar em conformidade com os padrões de operação
da planta ou equipamento objeto de proteção pelo SIS.
EXEMPLO
O operador, após receber autorização, aciona um comando de solicitação de contorno,

específico para o respectivo iniciador pretendido, por intermédio da IHM do SSC. A seguir,
cabe ao técnico de manutenção acionar uma chave física no painel do Executor da Lógica
do SIS, a qual habilita o respectivo comando de contorno solicitado. Enquanto o contorno
estiver ativo um alerta pode ser anunciado periodicamente.
7.12 Interface de Operação
7.12.1 Considera-se que a planta ou equipamento objeto de proteção pelo SIS é monitorada e
controlada por meio de um SSC, cuja IHM serve também de interface do SIS com o operador da
planta. Dessa forma, devem ser apresentados na IHM do SSC as seguintes informações do SIS:
a) indicação de atuação das SIFs (eventos de “trip”);

b) indicação de primeiro evento em uma sequência de “trip”;
c) indicação de estado (válvula aberta/fechada, motor ligado/desligado) e diagnóstico
(bom/em falha) dos elementos finais;
d) representações gráficas da lógica mostrando estados das entradas e saídas no Executor
da Lógica em tempo real com valores de “trip” (exemplo: matrizes causa efeito
animadas);
e) textos de auxílio;
f) status de contorno (“by-pass”) de iniciadores (ver Nota);
g) resumo de alarmes do Executor da Lógica (falha de alimentação elétrica, temperatura
alta no painel, módulos em falha, rompimento de fiação, falhas de “hardware” do CP de
segurança, erros de “software” do CP de segurança etc.);
h) indicações e diagnósticos dos iniciadores analógicos;
i) estados dos iniciadores discretos;
j) alarmes que antecedem a atuação das SIFs (alarmes de “pré-trip”);
k) falha de comunicação do CP de segurança.
NOTA Para contornos temporizados recomenda-se a indicação do intervalo de tempo restante

para desativação. [Prática Recomendada]
35
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.12.2 Devem ser previamente configurados e enviados da interface de operação do SSC para o
Executor da Lógica do SIS os seguintes comandos:
a) reconhecimento de primeiro evento;

b) reconhecimento de alarmes;
c) contorno (“by-pass”) para início de operação;
d) contorno (“by-pass”) para manutenção;
e) rearme de SIF.
7.12.3 Recomenda-se que toda falha identificada de forma automática em algum dispositivo do SIS,
seja por função específica de diagnóstico, por desvio no valor da variável monitorada, ou por qualquer
outro método, gere um alarme na interface de operação do SSC. [Prática Recomendada]
NOTA Por desvio no valor da variável monitorada, pode-se entender uma diferença maior que
duas vezes o erro total provável entre os valores dos sensores analógicos do SIS e do SSC
para a mesma variável de processo.
7.12.4 É recomendado que seja implementada sincronização entre os relógios internos do SSC e do
Executor da Lógica do SIS, de modo a viabilizar análises de sequências de eventos. [Prática
Recomendada]
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13 Interface para Manutenção e Engenharia
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
a) configuração do CP de segurança e armazenamento de sua configuração;

b) diagnóstico com indicação de todos os detalhes de falhas detectadas no Executor da
Lógica;
c) armazenamento de histórico auditável de ações/intervenções no SIS, com TAG, data,
hora e identificação pessoal, de forma a se poder analisar as ocorrências
posteriormente.
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de segurança de uma instalação industrial deve existir pelo menos uma
estação de engenharia/manutenção interligada em rede com os mesmos.
7.13.4 Recomenda-se que haja uma porta local de comunicação em cada CP de segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
36
-PÚBLICO-
N-2595 REV. D 03 / 2015
7.14 Interface de Comunicação com o SSC
7.14.1 Recomenda-se o uso de módulos e cabos de comunicação redundantes entre o Executor da

Lógica e o SSC. [Prática Recomendada]
7.14.2 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12.2. [Prática
Recomendada]
7.14.3 Em caso de falha, a interface de comunicação deve:
a) não comprometer a execução das SIFs;

b) não causar “trip” espúrio;
c) anunciar a falha na interface de operação.
7.15 Tempos de Resposta e de Retardo
7.15.1 Recomenda-se que o tempo de resposta da SIF seja menor ou igual à metade do tempo de
segurança do processo informado pela disciplina de processo. [Prática Recomendada]
7.15.2 Recomenda-se avaliar o uso de tempo de retardo nas SIFs de modo a reduzir a frequência de
ocorrência de “trips” espúrios. [Prática Recomendada]
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF
8.1 A etapa de verificação tem por objetivo prover maior consistência ao projeto básico, evitando
modificações significativas durante o projeto de detalhamento.
8.2 Deve-se realizar cálculos de confiabilidade para verificar conformidade com os valores de SIL e
de MTTFS requeridos de cada SIF. Exemplo, metodologia apresentada na ISO TR 12489.
8.2.1 Recomenda-se considerar, inicialmente, arquitetura de votação simples (1 de 1) com

componentes de uso geral. Caso necessário, pode-se adotar componentes redundantes,
componentes de maior confiabilidade ou dispositivos de testes parciais.
NOTA A indicação pelos cálculos de que não é requerida tolerância a falha não invalida a
aplicação de outros critérios de redundância, tais como flexibilidade operacional, inclusive
para a execução de testes de SIF durante a operação da planta ou equipamento.
8.2.2 Para as SIF que tenham SIL requerido igual a 3 é obrigatória aplicação de tolerância a falha na
demanda em todos os componentes da SIF.
8.3 Os cálculos de confiabilidade de cada SIF devem ser registrados em uma memória de cálculo
específica, contendo as seguintes informações:
a) arquitetura de votação dos dispositivos da SIF;

b) dispositivos utilizados (descrição, marca e modelo);
37
-PÚBLICO-
N-2595 REV. D 03 / 2015
c) taxas de falhas dos dispositivos utilizados nas condições de processo consideradas (ver
Notas 1 e 2);
d) fator de cobertura de diagnóstico do dispositivo;
e) fator de cobertura de testes;
f) fator de causa comum;
g) MTTR considerado na instalação industrial em questão;
h) intervalo de tempo entre testes periódicos considerado;
i) método de cálculo adotado;
j) identificação das fontes dos dados de falha utilizados;
k) requisitos e meios para realizar testes durante a campanha normal de operação, caso
necessário; exemplo: testes de deslocamentos parciais em válvulas (“partial stroke
tests”);
l) requisitos especiais aplicáveis; exemplos: utilização de barreira de segurança intrínseca
(ver Nota 3), energiza para “trip” (ver Nota 4);
m) critérios de cálculo considerados. Exemplo: todas as falhas detectadas durante os testes
são corrigidas, os dispositivos consertados ficam em estado de novo (“as good as new”),
as taxas de falhas são constantes no tempo, etc.
NOTA 1 As taxas de falha de dispositivos a serem utilizadas devem ser obtidas em bancos de dados
definidos pela Unidade Operacional e os parâmetros adotados devem ser registrados.
EXEMPLO
EXIDA - “Safety Equipment Reliability Handbook”;

SINTEF - “Reliability Data for Control and Safety Systems”;
IEEE - STD 500 “Reliability Data”.
NOTA 2 Recomenda-se que a Unidade Operacional opte por uma única base de dados e a utilize
em todas as suas aplicações de SIS, de forma a manter coerência entre os resultados de
verificação de SIL atingido. [Prática Recomendada]
NOTA 3 Recomenda-se acrescentar fator de correção ao utilizar taxas de falha informadas por
fabricantes, de modo a cobrir as falhas causadas pela instalação (entupimento de tomada,
por exemplo) e pelas condições do processo (temperatura de operação, fluido corrosivo,
ambiente agressivo etc.). [Prática Recomendada]
NOTA 4 Caso seja necessária a utilização de algum elemento entre dispositivos de campo e
Executor da Lógica (barreira de segurança intrínseca, isolador, conversor de sinal, relé de
interposição etc.), sua taxa de falha deverá ser considerada nos cálculos de SIL e de
MTTFS da SIF.
NOTA 5 Normalmente, uma falha da UPS causa “trip” espúrio, mas sua taxa de falha não deve ser
contabilizada no cálculo de MTTFS. Por outro lado, se uma SIF necessitar de alimentação
elétrica para atuar, a taxa de falha do UPS deve ser contabilizada no cálculo da sua PFD.
8.4 O MTTR assumido nos cálculos de confiabilidade deve incluir os tempos de notificação do
problema à Gerência de Manutenção, de execução do reparo propriamente dito e dos testes pós-
reparo, e de restauração do dispositivo à sua condição operacional normal.
8.5 O intervalo de tempo entre testes periódicos deve ser igual ou maior que o período de campanha
previsto, entendido como o intervalo de tempo entre paradas programadas periódicas de manutenção
da planta ou equipamento.
NOTA Para Unidades que não tenham período de campanha definido, o intervalo de tempo entre
testes periódicos não deve ser menor do que 6 meses.
8.6 Um intervalo de tempo entre testes menor que o período de campanha só deve ser adotado nos
casos em que seja comprovadamente demonstrado que o SIL requerido não pode ser atingido de
outra forma.
38
-PÚBLICO-
N-2595 REV. D 03 / 2015
8.7 Caso seja adotado um intervalo de tempo entre testes menor que o período de campanha da
planta ou equipamento, a respectiva SIF deve ser dotada de recursos/facilidades que permitam a
realização de testes periódicos durante a campanha normal de operação. Tais testes devem ser
executados sem comprometer a sua integridade nem a disponibilidade requerida para a planta
(perdas de produção). Tais recursos/facilidades fazem parte integrante do projeto da SIF.
8.8 O cálculo do SIL obtido deve considerar apenas as ações automáticas de segurança indicadas
na Folha de Dados da SIF. Ações secundárias e comandos manuais de “trip” não devem ser
considerados nos cálculos de desempenho da SIF (SIL ou MTTFS).
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador, prevista no projeto de processo, mas não faz parte da função automática de
proteção.
9 Projeto de Detalhamento do SIS
Esta Seção estabelece requisitos para a elaboração e apresentação, de modo organizado e

sistemático, do conjunto de documentos que viabilizam a correta implantação física e funcional
do SIS.
9.1 Requisitos Gerais
9.1.1 A execução do projeto de detalhamento do SIS deve considerar os requisitos de

implementação estabelecidos na Seção 7 desta Norma.
9.1.2 Os seguintes documentos devem estar disponíveis para iniciar a etapa de projeto de
detalhamento:
a) folhas de dados de SIF;

b) memória de cálculo de verificação do SIL e do MTTFS da SIF;
c) folha de dados de processo dos instrumentos do SIS.
9.2 Documentação
9.2.1 Os documentos relacionados a seguir devem ser elaborados durante a fase de projeto de
detalhamento do SIS e estar em conformidade com a PETROBRAS N-1883, formando um conjunto
distinto e destacado dos demais documentos do projeto de detalhamento (ver ISA 84.91.01):
a) lista de SIFs e de instrumentos do SIS (ver Nota 1);

b) folha de dados de instrumentos do SIS;
c) lista de pontos de ajuste do SIS;
d) memória de cálculo de verificação do SIL e do MTTFS da SIF (Nota 2);
e) diagrama lógico do SIS;
f) diagrama de malhas do SIS;
g) diagrama de interligação do SIS;
h) lista de comunicação do SIS;
i) lista de entradas e saídas do Executor da Lógica do SIS;
j) lista de cargas elétricas do SIS (ver Nota 3);
k) especificação técnica do Executor da Lógica do SIS;
l) especificação técnica de painéis do SIS;
m) manual técnico (do fabricante) do Executor da Lógica do SIS (ver Nota 4);
n) manuais técnicos (dos fabricantes) dos iniciadores do SIS (ver Nota 4);
o) manuais técnicos (dos fabricantes) dos elementos finais do SIS (ver Nota 4);
p) programa aplicativo do Executor da Lógica (listagem) do SIS;
39
-PÚBLICO-
N-2595 REV. D 03 / 2015
q) desenhos de painéis do SIS;

r) plano de TAF do SIS (ver Nota 5);
s) manual de operação do SIS (ver Nota 6);
t) plano de manutenção do SIS (ver Nota 7).
NOTA 1 A lista de SIFs e de instrumentos do SIS é um documento dividido em duas partes: a

primeira parte deve relacionar em ordem numérica cada SIF do SIS (“tag”, descrição e SIL
requerido) com os “tags” dos instrumentos (iniciadores e elementos finais) que a compõe. A
segunda parte deve relacionar em ordem alfabética cada instrumento do SIS (“tag”, serviço,
fluxograma ou desenho de origem e folha de dados) com os “tags” das SIFs das quais
fazem parte.
NOTA 2 A memória de cálculo de verificação do SIL e do MTTFS na fase de projeto de
detalhamento deve conter os mesmos cálculos efetuados durante a fase de projeto básico.
Porém, considerando as arquiteturas de votação e os modelos específicos de iniciadores,
Executor da Lógica e elementos finais efetivamente adotados, e incluir os cálculos do tempo
de resposta da SIF e do tempo de retardo, caso necessário.
NOTA 3 A lista de cargas elétricas do SIS será necessária caso a alimentação elétrica do SIS seja
exclusiva.
NOTA 4 Os manuais técnicos devem incluir, sempre que aplicável, os respectivos certificados e
relatórios de compatibilidade com o nível de integridade de segurança conforme a
IEC 61508-1.
NOTA 5 O conteúdo do plano de TAF do SIS está definido no 10.2.
NOTA 6 O conteúdo do manual de operação do SIS está definido no 13.1.
NOTA 7 O conteúdo do plano de manutenção do SIS está definido no 13.2.
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10 Teste de Aceitação em Fábrica e Preservação
10.1 Teste de Aceitação em Fábrica - TAF
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.2 O objetivo do TAF é verificar a conformidade da operação do conjunto Executor da Lógica e

programa aplicativo segundo os requisitos previamente estabelecidos nas folhas de dados de SIF e
no diagrama lógico. O TAF deve ser planejado e executado de modo detalhado para solução de não
conformidades, equipamentos defeituosos e solução de pendências.
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
40
-PÚBLICO-
N-2595 REV. D 03 / 2015
10.2 Pré-Requisitos para Realização do TAF
10.2.1 Durante a etapa de projeto de detalhamento do SIS deve ser elaborado um planejamento
próprio e específico para o TAF. Tal planejamento deve ser estruturado e apresentado em um
documento intitulado Plano de TAF, o qual deve incluir os seguintes itens:
a) local de realização;
b) documentos de referência, dentre os quais se destaca a Especificação Técnica do
Executor da Lógica do SIS;
c) competência do pessoal designado para supervisão e execução dos testes;
d) responsabilidade pela execução e registros dos testes;
e) responsabilidade pelo acompanhamento, testemunho e liberação;
f) cronograma de execução;
g) descrição da plataforma de teste e ferramentas;
h) relação dos testes a serem executados;
i) procedimento de execução elaborado especificamente para cada tipo de teste;
j) critérios de aceitação;
k) modelo de relatório de registro dos resultados - Relatório do TAF;
l) procedimentos de ação corretiva;
m) classificação das pendências e formulário para registro das mesmas;
n) relatórios dos testes internos realizados (pré-TAF).
10.2.2 Os critérios de aceitação são parte integrante do procedimento de teste e devem ser
baseados na ET do Executor da Lógica.
10.2.3 O Plano de TAF deve ser submetido para análise e liberação por parte da PETROBRAS.
Somente após a liberação do Plano de TAF pode-se dar prosseguimento à execução do TAF
propriamente dita.
10.3 Execução do TAF
10.3.1 O TAF deve ser realizado com os mesmos equipamentos e programas aplicativos, utilitários e
embutidos que serão efetivamente instalados no campo.
10.3.2 Recomenda-se o uso de recursos de simulação de processo com visualização gráfica para
auxílio à execução do TAF. [Prática Recomendada]
10.3.3 O TAF deve ser conduzido de acordo com o Plano de TAF, incluindo a realização de testes
dos seguintes tipos:
a) inspeção visual;
b) testes elétricos: isolamento, continuidade;
c) testes funcionais: verificação da lógica propriamente dita;
d) verificação do mapa de memória e concordância com o projeto;
e) testes de desempenho: medição de “scan time” etc.;
f) testes de compatibilidade ambiental: compatibilidade eletromagnética, operação sob a
maior temperatura ambiente especificada etc.;
g) testes de tolerância a falha: operação em modo degradado;
h) testes de interface:
— leitura e escrita de todos os canais, analógicos e digitais, de entrada/saída, bem
como de todos os níveis de diagnósticos; exemplo: 2 mA em sinal de 4 mA a 20 mA;
simulação de cabo partido em sinal de entrada digital monitorado;
— variação da tensão da alimentação elétrica;
41
-PÚBLICO-
N-2595 REV. D 03 / 2015
— verificação da comunicação de rede;

— verificação da pressurização, se aplicável, no “range” de pressão definido.
NOTA 1 Os testes de entradas analógicas devem ser executados em pelo menos cinco pontos
representativos da faixa de medição. Exemplo: 0 %, 25 %, 50 %, 75 % e 100 %.
NOTA 2 Uma IHM provisória com telas gráficas específicas deve ser prevista para os testes.
10.3.4 Para cada teste executado devem ser registrados:
a) número do documento Plano de TAF associado;

b) “tag” da SIF e a respectiva funcionalidade objeto do teste;
c) número do documento de procedimento de teste associado;
d) identificação dos equipamentos e ferramentas utilizadas;
e) descrição das atividades realizadas;
f) resultados obtidos individuais para cada SIF;
g) conformidade com os critérios de aceitação e relação de pendências;
h) assinatura do executante e dos responsáveis pelo testemunho.
10.3.5 Os registros dos testes realizados devem ser agrupados em um documento intitulado
Relatório do TAF, o qual deve ser submetido para análise e liberação pela PETROBRAS.
10.3.6 No caso da execução de um teste não ser bem sucedida, o respectivo evento deve ser
registrado no relatório, analisado e aplicadas as ações corretivas previstas.
10.3.7 Durante a execução do TAF não devem ser feitas modificações no programa aplicativo que
alterem a funcionalidade ou integridade das SIFs. Qualquer modificação deve ser feita em
conformidade com o 13.4 da desta Norma.
10.3.8 Objetivando uma melhor análise da funcionalidade da lógica implementada, recomenda-se a

inclusão, na equipe de acompanhamento e testemunho do TAF, de pessoal de operação da planta ou
equipamento para o qual o Executor da Lógica será instalado. [Prática Recomendada]
10.4 Preservação
10.4.1 O objetivo desta etapa é o de prover informações para manutenção da integridade física do
Executor da Lógica durante os períodos de transporte e armazenamento, antecedendo a etapa de
instalação.
10.4.2 Deve ser elaborado um documento intitulado Plano de Preservação, o qual deve incluir os
seguintes itens:
a) descrição da embalagem para transporte, incluindo recomendações de manuseio;

b) condições extremas a que o equipamento pode ser submetido, tais como aceleração,
temperatura, umidade, pressão etc.;
NOTA Caso a sensibilidade do equipamento a acelerações seja um fator crítico, o uso de

detectores de choque para o transporte deve ser avaliado.
c) descrição dos procedimentos de recebimento e inspeção no parque de montagem;

d) descrição dos procedimentos para preservação nas etapas pré e pós instalação.
42
-PÚBLICO-
N-2595 REV. D 03 / 2015
11 Instalação e Condicionamento para Início de Operação do SIS
11.1 Instalação
11.1.1 A etapa de instalação tem por objetivo garantir que todos os dispositivos do SIS são
efetivamente instalados de acordo com suas especificações técnicas e demais requisitos
estabelecidos na etapa de projeto.
11.1.2 Deve ser elaborado um documento intitulado Plano de Instalação o qual deve conter:
a) lista de materiais e equipamentos a serem instalados;

b) descrição das atividades de instalação as quais devem incluir verificação das condições
previstas no plano de preservação;
c) procedimentos e técnicas a serem utilizadas na instalação;
d) cronograma de execução das atividades de instalação;
e) relação de pessoal responsável pela supervisão das atividades de instalação;
f) procedimentos de ação corretiva.
11.1.3 O SIS deve ser instalado de acordo com o Plano de Instalação, o qual deve observar os
requisitos presentes na PETROBRAS N-858.
11.1.4 Durante a execução da instalação qualquer impedimento de se seguir o previsto em projeto

(exemplo: interferência física, espaço reduzido, comprimento insuficiente de cabo elétrico etc.) deve
ser registrado em relatório de instalação e encaminhado para análise dos responsáveis pela
elaboração do projeto, os quais devem indicar solução a ser adotada que não degrade os requisitos
técnicos estabelecidos no projeto do SIS. A documentação de projeto deve ser atualizada de acordo.
11.2 Condicionamento
11.2.1 A etapa de condicionamento tem por objetivo garantir que todos os dispositivos do SIS
estejam individualmente operacionais de forma a viabilizar a realização da etapa de pré-operação
(ver IEC 62337).
11.2.2 Deve ser elaborado um documento intitulado Plano de Condicionamento, contendo:
a) lista de equipamentos a serem condicionados (iniciadores, Executor da Lógica,

elementos finais etc.);
b) relação das pendências levantadas no TAF ainda não sanadas;
c) descrição das atividades de condicionamento;
d) procedimentos e técnicas a serem utilizadas no condicionamento (calibração, teste de
estanqueidade etc.);
e) cronograma de execução das atividades de condicionamento;
f) relação de pessoal responsável pela supervisão e registro das atividades de
condicionamento.
11.2.3 As atividades de condicionamento devem incluir as seguintes tarefas:
a) inspeção visual;
b) verificação de ligações e resistência de aterramento elétrico;
c) verificação das fontes de energia elétrica, pneumática e hidráulica;
d) parametrização e calibração dos iniciadores e elementos finais;
43
-PÚBLICO-
N-2595 REV. D 03 / 2015
e) verificação das interligações elétricas entre iniciadores e elementos finais com o painel
do Executor da Lógica, incluindo continuidade e isolamento;
f) verificação de todas as válvulas de bloqueio e de drenagem na posição de operação
normal;
g) verificação de todos os dispositivos do SIS energizados e com diagnóstico interno
indicando status operacional bom;
h) verificação do correto envio e recebimento de informações a partir da interface de
operação (IHM);
i) medição dos tempos de atuação dos elementos finais;
j) confirmação da imunidade a interferência eletromagnética.
11.2.4 Os dispositivos do SIS devem ser condicionados de acordo com o Plano de Condicionamento,
o qual deve observar os requisitos da PETROBRAS N-858. Durante a execução das atividades de
condicionamento deverão ser feitos registros e elaborado relatório de condicionamento de modo a
demonstrar conformidade com os requisitos técnicos estabelecidos no projeto do SIS.
12 Pré-Operação e Aceitação Final do SIS
12.1 Pré-Operação
12.1.1 A etapa de pré-operação deve ser executada após a conclusão das etapas de instalação e
condicionamento. A realização completa e bem sucedida desta etapa é requisito para o início de
operação da planta ou equipamento objeto de proteção pelo SIS.
12.1.2 A etapa de pré-operação tem por objetivo validar o SIS por intermédio da realização de
simulações e testes funcionais exaustivos, abrangendo não somente a operação conjunta de todos os
dispositivos do SIS, mas também destes com os demais sistemas e/ou equipamentos interligados e
efetivamente instalados em campo.
12.1.3 Deve ser elaborado um documento intitulado Plano de Pré-Operação do SIS, contendo:
a) Lista de Atividades de Validação, incluindo todos os modos relevantes de operação do

processo ou equipamento associado ao SIS (partida, regime permanente, parada,
manutenção etc.);
b) procedimentos e técnicas a serem utilizadas;
c) cronograma de execução das atividades de validação;
d) relação de pessoas e organizações responsáveis pela execução, registro e
acompanhamento das atividades de validação;
e) relação de documentos de projeto que devem ser utilizados como padrão de referência
para validação (folhas de dados de SIF, matriz de causa e efeito, diagrama lógico etc.).
12.1.4 Recomenda-se que o Plano de Pré-Operação não imponha excessivo número de demandas
durante os testes aos elementos finais. [Prática Recomendada]
12.1.5 A lista de atividades de validação deve incluir, no mínimo:
a) simulação da atuação de cada SIF, evidenciando a funcionalidade de projeto do conjunto

iniciador(es), Executor da Lógica e elemento(s) final(is), incluindo arquiteturas de
votação;
b) confirmação dos valores limite para atuação de cada SIF (“set points” de “trip”), bem
como dos valores de tempo de retardo;
c) simulação passo a passo da sequência de partida da planta ou equipamento, incluindo
os comandos de contorno e a atuação de cada SIF;
d) testes de desempenho, incluindo tempo de resposta das SIFs;
44
-PÚBLICO-
N-2595 REV. D 03 / 2015
e) confirmação da correta atuação dos comandos de partida e parada manuais;

f) confirmação da correta atuação dos comandos de contorno (“by-pass”) para
manutenção;
g) confirmação da correta atuação dos comandos de rearme;
h) confirmação da correta comunicação com a interface de operação, incluindo indicações,
alarmes gerados pelas SIFs, registro de eventos, matriz de causa e efeito animada etc.;
i) confirmação do comportamento esperado de cada SIF nos casos de ocorrência de:
medição fora de “range”, falta de energia elétrica, perda de pressurização pneumática ou
hidráulica.
12.1.6 As atividades executadas na etapa de Pré-Operação do SIS devem ser registradas em um

relatório de validação.
12.2 Aceitação Final do SIS
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de pré-operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
a) número do Plano de Pré-Operação do SIS utilizado;

b) versão validada do programa aplicativo;
c) ferramentas e equipamentos de teste utilizados;
d) identificação de cada SIF examinada e os resultados dos respectivos testes;
e) resultados dos testes com os demais sistemas interligados (SSC, outros SIS);
f) descrição das discrepâncias constatadas;
g) nome e assinatura dos responsáveis pela operação da planta ou equipamento.
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente
se o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de
análise bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer
parte integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
a) todas as funções de contorno foram deixadas nas respectivas posições normais de

operação;
b) todos os elementos finais (válvulas de bloqueio, contorno etc.) se encontram nas
respectivas posições de segurança;
c) todos os materiais e dispositivos de teste se encontram removidos;
d) todas as variáveis ou condições “forçadas” no programa aplicativo foram removidas.
45
-PÚBLICO-
N-2595 REV. D 03 / 2015
13 Operação, Manutenção, Testes Periódicos e Modificações
13.1 Operação
13.1.1 O objetivo desta subseção é o de estabelecer requisitos que contribuam para a operação
adequada do SIS ao longo de seu ciclo de vida.
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado manual de
operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
a) descrição funcional e detalhada de cada SIF, abordando:

— evento perigoso que a SIF se destina a proteger;
— consequências potenciais associadas ao evento perigoso;
— prováveis causas de demanda para a SIF;
— descrição do estado seguro e da atuação correta da SIF;
— valores de “set point” de alarme e “trip”;
— descrição de alarmes e apresentação das interfaces (telas, anunciadores luminosos e
sonoros etc.) associadas;
— procedimentos operacionais específicos quando da operação com a SIF em contorno;
b) descrição passo a passo da sequência de partida do processo ou equipamento
associado ao SIS, explicitando:
— comandos de contorno;
— condições de processo que devem ser satisfeitas em cada passo e respectivas SIFs
associadas;
— intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de
purga etc.);
— funções de “reset”;
c) descrição individual de cada comando de contorno, seja para partida ou manutenção,
discriminando as condições em que os mesmos devem ser utilizados;
d) descrição individual de cada comando de parada manual, identificando as possíveis
situações em que os mesmos devem ser acionados;
e) instrução sobre a necessidade de realização de Testes Periódicos nas SIFs para
manutenção de sua integridade;
f) procedimentos associados à ocorrência de alarmes de diagnóstico do SIS.
13.1.3 O manual de operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e
procedimentos contidos no manual de operação do SIS. O treinamento deve ser registrado de forma
apropriada a garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
NOTA Recomenda-se que o documento de registro do contorno contenha: [Prática

Recomendada]
a) descrição da SIF a ser contornada;

b) razões da indisponibilidade;
c) intervalo de tempo previsto para o contorno;
d) ações complementares de operação durante o período de contorno;
e) assinatura da autoridade competente.
46
-PÚBLICO-
N-2595 REV. D 03 / 2015
13.2 Manutenção
13.2.1 O objetivo deste item é estabelecer requisitos que viabilizem a manutenção da integridade e
da confiabilidade do SIS ao longo de seu ciclo de vida.
13.2.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Plano de
Manutenção do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
a) relação de testes periódicos a serem executados, para cada SIF, abordando:

— descrição funcional da SIF;
— nível de integridade de segurança a ser mantido;
— valores de “set point” de alarme e “trip”;
— periodicidade mínima necessária de realização;
— procedimento detalhado de execução do teste periódico;
b) relação de inspeções de rotina a serem realizadas, abordando:
— verificação de integridade física da instalação: eletrodutos e bandejas, caixas de
ligação, suportes, “tubings”, cadeados e selos em válvulas e disjuntores etc.;
— substituição programada de baterias, ventiladores etc.;
— verificação das cópias de segurança (“back-ups”) do programa aplicativo;
c) formulários de registro de manutenção para testes periódicos, inspeções de rotina e
reparos de falhas, contendo, no mínimo, as seguintes informações:
— descrição da tarefa;
— data de realização da tarefa;
— responsável(eis) pela execução e tempos empregados;
— modo de detecção da falha e descrição da ação corretiva, caso aplicável;
d) cronograma de execução de testes e inspeções periódicos;
e) descrição das ferramentas e dos equipamentos necessários;
f) relação de pessoal e organizações responsáveis pela execução dos testes periódicos,
das inspeções de rotina e dos respectivos registros.
13.2.3 É recomendado que o usuário adote uma sistemática de codificação das tarefas, falhas,
ações corretivas e atuações de modo a permitir a realização de análises estatísticas de ocorrências
do SIS. [Prática Recomendada]
13.2.4 A execução de intervenções programadas de manutenção no SIS deve seguir o plano de

manutenção do SIS, sendo que toda a documentação de registro de execução deve estar disponível
para consulta.
13.2.5 O plano de manutenção do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.2.6 Recomenda-se que outras camadas de proteção diferentes do SIS sejam incluídas no plano
de manutenção do SIS, caso tenham sido consideradas na redução de riscos. [Prática
Recomendada]
13.2.7 Os responsáveis pelas atividades de manutenção do SIS devem ser submetidos a

treinamento com objetivo de serem instruídos nas informações e procedimentos contidos no
respectivo plano de manutenção do SIS. O treinamento deve ser registrado de forma apropriada a
garantir sua rastreabilidade.
13.2.8 O acesso ao Executor da Lógica do SIS deve ser restrito ao pessoal autorizado pelo
responsável pela manutenção. A quantidade de pessoas com autorização de acesso deve ser
limitada e controlada.
47
-PÚBLICO-
N-2595 REV. D 03 / 2015
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
a) procedimento adotado para implementações de modificações;

b) procedimento adotado de testes e verificação de sua periodicidade;
c) sistemática de registros e análises de manutenção;
d) treinamento de pessoal de manutenção;
e) integridade e atualização da documentação.
13.3 Testes Periódicos
13.3.1 O objetivo desta subseção é estabelecer requisitos para a execução de testes periódicos no
SIS, de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
NOTA Recomenda-se utilizar como referência a ISA TR 84.00.03. [Prática Recomendada]
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na folha de dados de SIF (projeto básico) e confirmado após a etapa de verificação
do SIL (projeto de detalhamento).
13.3.4 Durante as paradas programadas de manutenção todas as SIFs, independentemente do SIL e

da existência de monitoração, devem ser testadas com fator de cobertura igual a 1.
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
a) execução de teste completo durante parada do processo ou equipamento;

b) execução de teste(s) parcial(is) durante o regime de operação do processo ou
equipamento, envolvendo os seguintes componentes: circuitos de saída, relés de
interposição, válvulas solenóide e deslocamento parcial de válvulas de bloqueio.
48
-PÚBLICO-
N-2595 REV. D 03 / 2015
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
a) número do procedimento de teste;

b) data de realização do teste;
c) nome da pessoa responsável pela execução do teste;
d) “tag” e número de série dos dispositivos submetidos ao teste;
e) resultado do teste “como encontrado”, incluindo descrição da falha (se houver);
f) resultado do teste “como deixado”, conforme critério de aceitação no procedimento;
g) descrição dos trabalhos realizados, incluindo as partes substituídas (se houver) e o
tempo utilizado.
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
a) possam ser verificados a qualquer tempo;

b) permitam avaliações de desempenho em longo prazo.
13.3.13 A critério da unidade operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
a) o evento de “trip” deve ser registrado em formulário específico, contendo no mínimo:

data e hora do evento, SIF atuada, alarmes, modo de detecção, causa identificada
(variável de processo em desvio, dispositivo(s) em falha, ação humana), ações
subsequentes e nome do responsável; o formulário de registro de “trip” deve ser
arquivado no sistema de documentação técnica da Unidade Operacional, de modo
rastreável;
b) “trips” com causa desconhecida não podem ser usados como teste de SIF;
c) em um “trip” espúrio causado por falha do elemento final, nenhum dos dispositivos da
SIF pode ser considerado como testado;
d) em um “trip” espúrio causado por falha de módulo de saída do CP de segurança, apenas
o elemento final pode ser considerado como testado;
e) em um “trip” espúrio causado por falha na CPU do Executor da Lógica, apenas o módulo
de saída do CP de segurança e o elemento final podem ser considerados como
testados;
f) em um “trip” espúrio causado por falha de módulo de entrada do CP de segurança, toda
a SIF, exceto o iniciador e o módulo de entrada do CP de segurança, pode ser
considerada como testada;
g) em um “trip” espúrio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode
ser considerada como testada;
h) em um “trip” real, somente os dispositivos que comprovadamente (a partir dos registros
do evento) tenham operado corretamente podem ser considerados como testados.
13.4 Modificações
13.4.1 O objetivo desta subseção é estabelecer requisitos de modo que modificações realizadas no
SIS não impactem a segurança da planta ou do equipamento associado.
49
-PÚBLICO-
N-2595 REV. D 03 / 2015
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
a) descrição da modificação proposta;

b) razões para realização da modificação;
c) condições ou eventos perigosos relacionados.
13.4.3 Toda modificação proposta deve ser submetida a uma análise inicial pela equipe técnica
responsável pelo SIS, de modo a se classificar a mesma como:
a) modificação tipo 1: não altera estrutura lógica, SIL ou MTTFS da(s) SIF(s) envolvida(s).
Exemplos: alterações de parâmetros de programação, tais como valores de “range”, de
“set point” de alarme ou “trip”, ou de retardos de tempo;
b) modificação tipo 2: pode alterar funcionalidade, SIL, ou MTTFS da(s) SIF(s) envolvida(s);
exemplos: acréscimo ou remoção de iniciadores ou elementos finais, alterações na
arquitetura de votação, no tipo de equipamento, ou na lógica do programa aplicativo.
13.4.4 Recomenda-se evitar: [Prática Recomendada]
a) alterações na lógica do programa aplicativo durante operação do processo ou

equipamento associado ao SIS;
b) modificações de “firmware”, exceto quando requeridas para correção de falhas
detectadas pelo fabricante.
13.4.5 Após a análise inicial, o documento de solicitação de modificação no SIS deve ser:
a) submetido a aprovação pelo responsável pela operação da instalação industrial;

b) arquivado de forma a viabilizar consultas durante e após o processo de modificação.
13.4.6 Caso a solicitação de modificação seja aprovada, a equipe técnica responsável deve emitir
revisão nos documentos técnicos pertinentes, incluindo os procedimentos de testes, de operação e
de manutenção. A documentação revisada deve ser identificada como “REVISÃO PROVISÓRIA
PARA MODIFICAÇÃO NO SIS” e referenciar a correspondente solicitação de modificação no SIS.
13.4.7 Antes da revisão dos documentos afetados por uma modificação tipo 2, deve ser feita a
revalidação da análise de riscos e da avaliação de SIL e MTTFS.
13.4.8 Antes da execução de qualquer tipo de modificação no SIS, deve ser feita a revalidação dos
testes de verificação da funcionalidade da(s) SIF(s) envolvida(s) na modificação.
13.4.9 Toda execução de modificação no SIS deve ser planejada observando os procedimentos de
autorização de acesso e de trabalho vigentes na unidade operacional.
13.4.10 A execução de modificações no programa aplicativo deve incluir verificações adicionais para
garantir a inexistência de alterações nas demais SIFs não envolvidas na modificação implementada.
13.4.11 Após concluídos os testes funcionais de verificação, a descrição da revisão dos documentos
técnicos afetados pela modificação deve ser mudada para “REVISADO CONFORME SOLICITAÇÃO
DE MODIFICAÇÃO NO SIS Nº...”.
50
-PÚBLICO-
N-2595 REV. D 03 / 2015
Anexo A - Determinação do Nível de Integridade de Segurança Requerido Utilizando o

Método de Gráficos de Risco
A.1 Introdução
A.1.1 Este Anexo descreve o método de gráficos de risco que permite que o nível de integridade de
segurança de uma SIF seja determinado a partir do conhecimento dos fatores de risco associados ao
processo e ao sistema de controle básico de processo. Trata-se de um método semi-qualitativo, e foi
desenvolvido a partir do Anexo D da IEC 61511-3.
A.1.2 Nesta abordagem são usados parâmetros, que juntos descrevem a natureza da situação
perigosa que ocorre no caso da inexistência ou de falha do SIS. São utilizados quatro conjuntos de
parâmetros, e os parâmetros selecionados são combinados para se determinar o nível de integridade
de segurança da SIF. Estes parâmetros representam fatores chave para as avaliações dos riscos e
permitem uma classificação escalonada dos riscos.
A.1.3 Este Anexo apresenta exemplos de gráficos de risco e de tabelas de parâmetros desenvolvidos
para atender os critérios típicos de unidades de processo. Antes de serem utilizados em qualquer
projeto é importante que sejam validados pela área responsável pela segurança da planta. Nesta
oportunidade podem ser feitos ajustes nos parâmetros a fim de adequá-los às situações específicas.
A.1.4 Neste Anexo são apresentados gráficos de risco relacionados com a segurança de pessoas
nas indústrias de processo e com os aspectos de proteção ambiental e de proteção patrimonial.
A.2 Síntese do Gráfico de Risco
A.2.1 O risco é definido como uma combinação da probabilidade da ocorrência do dano e da

severidade da consequência (ver definições). Tipicamente, no setor de processo, o risco é uma
função dos seguintes quatro parâmetros:
— severidade da consequência (C);

— ocupação ou grau de presença humana (probabilidade da área exposta estar ocupada)
(F);
— probabilidade de evitar a exposição ao cenário (P);
— frequência de demanda (número de vezes por ano em que o cenário ocorreria na
ausência da função instrumentada de segurança que está sendo considerada) (W).
51
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela A.1 - Descrições dos Parâmetros do Gráfico de Risco
Parâmetro Descrição
Número de fatalidades e/ou de ferimentos graves
resultantes da ocorrência do cenário. Determinado
Severidade da Consequência C levando-se em conta o número de pessoas na área
exposta, quando a área estiver ocupada, e a
vulnerabilidade ao cenário.
Probabilidade que a área exposta ao perigo esteja
ocupada no momento da ocorrência do cenário. É
determinado calculando-se a fração do tempo em que
área está ocupada na ocorrência do cenário. Deve ser
Ocupação F considerada a possibilidade de aumento de presença na
área exposta associada à investigação de situações
anormais que podem existir antes da ocorrência do
cenário. (isto deve ser considerado também para
determinação do parâmetro C).
Probabilidade das pessoas expostas ao perigo poderem

evitar danos devido a falha na demanda da função
instrumentada de segurança. Depende de existirem
Probabilidade de evitar exposição P
métodos independentes que alertem as pessoas antes da
ocorrência do evento perigoso e da possibilidade de
evacuação.
O número de vezes por ano que o cenário ocorreria na

ausência da função instrumentada de segurança sendo
analisada. Isto pode ser determinado considerando todas
Frequência de demanda W
as falhas que podem conduzir ao evento perigoso e
estimando a taxa total para a ocorrência. Podem-se
incluir outras camadas de proteção na análise.
A.2.2 O gráfico de risco relaciona combinações específicas de parâmetros de risco e níveis de

integridade de segurança. O relacionamento entre as combinações de parâmetros do risco e de
níveis da integridade de segurança é estabelecido considerando o risco tolerável associado a perigos
específicos.
A.3 Documentação Relacionada aos Resultados da Determinação do Nível de

Integridade de Segurança (SIL)
É importante que todas as decisões tomadas durante a determinação do SIL sejam registradas em
documentos controlados. A documentação deve indicar claramente as razões pelas quais, a equipe
selecionou os parâmetros específicos associados a cada função de segurança. Os formulários que
registram o resultado e as hipóteses consideradas em cada determinação de SIL de cada função de
segurança devem ser compilados em um relatório. O relatório deve também incluir as seguintes
informações adicionais:
— o gráfico do risco usado junto com as descrições de todas as escalas dos parâmetros;
— os números e revisões de todos os desenhos usados;
— as referências às hipóteses consideradas e eventuais estudos de consequências que
foram utilizados para avaliar os parâmetros;
— as referências às falhas que conduzem às demandas e qualquer modelo da propagação
de falha, usados para determinar taxas de demanda;
— as referências às fontes dos dados usados para determinar taxas de demanda.
52
-PÚBLICO-
N-2595 REV. D 03 / 2015
A.4 Uso de Gráfico de Risco Relativo à Segurança de Pessoas
A.4.1 A Tabela A.2 apresenta descrições e escalas para cada parâmetro utilizado na Figura A.1
relativo à segurança de pessoas.
W3 W2 W1
C1
--- --- ---
1 --- ---
P1
C2 P2
F1 2 1 ---
Início F2 P1
C3 P2
F1 3 2 1
F2 P1
C4 P2
F1 X 3 2
F2 P1
P2 X X 3
C = Consequência
F = Ocupação --- = Sem requisitos de segurança
P = Probabilidade de evitar o evento perigoso 1, 2, 3 = SIL
W = Taxa de demanda X = ver 6.4.9 desta Norma
Figura A.1 - Gráfico de Risco Relativo à Segurança de Pessoas
A.4.2 O conceito de vulnerabilidade foi introduzido para modificar o parâmetro da consequência, pois
nem sempre uma falha causa imediatamente uma fatalidade. A vulnerabilidade de um receptor é uma
consideração importante na análise do risco porque a dose recebida por um indivíduo às vezes não é
grande o bastante para causar uma fatalidade. A vulnerabilidade de um receptor a uma consequência
é função da concentração do perigo a que ele foi exposto e a duração da exposição. Um exemplo
disto é quando uma falha causa a elevação da pressão em um equipamento ultrapassando a pressão
de operação, mas não atingindo a pressão de teste. O resultado provável normalmente será limitado
ao vazamento em juntas de flanges. Nesses casos, a taxa de progressão do perigo provavelmente
deve ser lenta e a equipe de operação poderá normalmente escapar das consequências. Mesmo nos
casos de vazamentos de grandes inventários de líquidos, o agravamento da situação pode ser
suficientemente lento para permitir que a equipe de operação possa evitar o dano. Há naturalmente
os casos onde uma falha pode conduzir a uma ruptura de tubulações ou vasos onde a vulnerabilidade
da equipe de operação pode ser elevada.
A.4.3 Deve ser considerada a possibilidade do aumento do número de pessoas nas proximidades
quando de evento perigoso, como consequência de verificações de sintomas que podem ocorrer
durante a formação do referido evento. Logo, deve ser considerado o pior cenário.
A.4.4 É importante ressaltar diferença entre “vulnerabilidade” (V) e “probabilidade de evitar o evento
perigoso” (P) de modo que não seja considerado duas vezes para o mesmo fator. A vulnerabilidade é
uma medida que se relaciona à velocidade de progressão depois que o perigo ocorre, enquanto o
parâmetro de P é uma medida que se relaciona com a prevenção do perigo. O parâmetro P deve ser
usado somente nos casos onde o perigo pode ser impedido por ação do operador, depois de que ele
esteja ciente que a respectiva SIF associada tenha falhado.
A.4.5 Alguns cuidados devem ser tomados na seleção dos parâmetros de ocupação. O fator de
ocupação deve ser selecionado baseando-se na pessoa mais exposta e não na média de todos os
expostos.
53
-PÚBLICO-
N-2595 REV. D 03 / 2015
A.4.6 Quando não é possível enquadrar um parâmetro nas escalas especificadas, é necessário
utilização de outros métodos de redução do risco.
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1
Parâmetro de risco Classificação Comentários
Sem lesões
Severidade da Consequência (C) C1
significativas
1) A severidade da
Deve ser calculada multiplicando a
consequência representa
vulnerabilidade ao perigo identificado pelo
o número de feridos
número de pessoas presentes na área C2 0,01 ≤ C < 0,1 graves e de fatalidades.
exposta ao perigo (C=NxV).
A vulnerabilidade é determinada pela

natureza do perigo da seguinte forma:
C3 0,1 ≤ C < 1,0
— V = 0,01 Pequena liberação de
material inflamável ou tóxico; 2) C1, C2, C3 e C4
— V = 0,1 Grande liberação de material devem ser interpretadas
inflamável ou tóxico; levando em conta também
— V = 0,5 A mesma liberação acima, as condições do
mas com probabilidade elevada de restabelecimento dos
C4 C ≥ 1,0
fogo ou de material altamente tóxico; feridos.
— V = 1 Ruptura ou explosão.
Ocupação (F)
Exposição de rara a
Este parâmetro é calculado determinando pouco frequente na
a duração proporcional do tempo no qual a zona perigosa
zona exposta ao perigo é ocupada em um F1 Ocupação menor
turno de trabalho. que 10 % do tempo
(F < 0,1).
NOTA 1 Se o tempo na área perigosa for
diferente dependendo do turno
de operação o valor máximo
deve ser selecionado. Ver comentário 1 acima
NOTA 2 A utilização do parâmetro F é

Exposição de
adequada apenas se for possível
frequente a
demonstrar que a taxa de
permanente na
demanda é aleatória, e que não é
F2 zona perigosa
ligada ao período durante o qual
Ocupação maior
a ocupação é superior à normal.
que 10 % do tempo
Este é o caso, por exemplo, em
(F ≥ 0,1).
partidas ou durante a
investigação de anomalias.
54
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1 (Continuação)
Parâmetro de risco Classificação Comentários
3) P1 somente deve ser

selecionado se todas as
condições seguintes forem
Adotado se todas verdadeiras:
as condições na
P1
coluna comentários — são previstos meios
forem satisfeitas para alertar o operador
que o SIS falhou;
— são previstos meios
independentes de
parada do processo a
Probabilidade de evitar o evento perigoso fim de evitar o perigo
(P) se o sistema de proteção falhar. ou para permitir que as
pessoas sejam
evacuadas para uma
Adotado se uma ou área segura;
mais das condições — o tempo, entre o
P2 da coluna momento em que o
comentários não operador é avisado e o
forem satisfeitas momento em que o
evento ocorre excede
1 h ou é suficiente para
empreender as ações
necessárias.
Taxa de demanda (W)

Taxa de demanda
O número de vezes por o ano que o W1 menor que 0,1 por 4) A finalidade do fator W
ano é estimar a frequência do
evento perigoso ocorreria na ausência de perigo sem a existência do
SIF sob análise. SIS.
Para determinar a taxa de demanda é Taxa de demanda
necessário considerar todas as fontes da W2 entre 0,1 e 1 por
falha que podem conduzir a um evento ano
perigoso. Na determinação da taxa de 5) Para taxas de demanda
demanda, confiabilidade limitada deve ser maiores que 10 por ano, o
creditada ao sistema de controle. O SIL tem que ser
desempenho do sistema de controle é W3 Taxa de demanda determinado por outro
limitado abaixo das escalas de entre 1 e 10 por ano método.
desempenho associadas com o SIL1.
A.5 Uso de Gráfico de Risco para Consequências Ambientais
A.5.1 O nível da integridade de segurança requerido depende das características da substância

liberada e da sensibilidade do ambiente. A Tabela A.3 mostra classes de consequências ambientais.
Durante a etapa de projeto deve-se determinar o que pode ser aceito em cada local da instalação
industrial.
55
-PÚBLICO-
N-2595 REV. D 03 / 2015
W3 W2 W1
--- --- ---
1 --- ---
E1 P1
P2
E2 2 1 ---
Início P1
E3 P2
3 2 1
P1
P2
E4 X 3 2
P1
P2 X X 3
E = Consequência ambiental --- = Sem requisitos de segurança

Figura A.2 - Gráfico de Risco Relativo à Segurança Ambiental
A.5.2 As consequências acima devem ser usadas conjuntamente com o gráfico de risco conforme
Figura A.2. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o conceito
de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser idênticas
àquelas usadas para o gráfico de segurança pessoal.
Tabela A.3 - Consequências Ambientais Gerais
Parâmetro de risco Classificação Exemplos

Um vazamento moderado em um
Sem liberação ou liberação com danos flange ou válvula
E1 menores, mas grande o bastante para Um pequeno vazamento de líquido
ser relatado à gerência de planta Pequena poluição do solo sem
afetar o lençol freático
Uma nuvem do vapor insalubre
deslocando-se para fora da
Liberação dentro dos limites da
E2 instalação industrial após
companhia com danos significativos
rompimento de junta de flanges ou
falha de selo de compressor
Liberação para fora dos limites da
Uma liberação de vapor ou
companhia com danos significativos
Consequência aerossol, com ou sem precipitação
E3 que podem ser limpos rapidamente sem
Ambiental (E) de líquido, que causa danos
consequências duradouras
temporários à flora ou à fauna
significativas
Vazamento significativo de líquido
em um rio ou no mar;
Liberação de vapor ou de aerossol,
Liberação para fora dos limites da com ou sem precipitação de líquido,
companhia com danos significativos que causa danos duradouros à flora
E4
que não podem ser limpos rapidamente ou à fauna;
ou com consequências duradouras Liberação de sólidos (poeira,
catalisador, fuligem, cinzas);
Vazamento líquido que possa afetar
o lençol freático
56
-PÚBLICO-
N-2595 REV. D 03 / 2015
A.6 Uso de Gráfico de Risco para Consequências Materiais
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança associado a
consequências materiais deve levar em consideração todas as perdas econômicas decorrentes da
falha na demanda da função. Devem ser incluídos custos de reparo de equipamentos e instalações,
perdas de produção, custos de limpeza e recomposição, multas contratuais, multas de órgãos
governamentais etc.
A.6.2 O gráfico de risco da Figura A.3 deve ser usado em conjunto com as classes de consequências
materiais descritas na Tabela A.4.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
E = Consequência ambiental --- = Sem requisitos de segurança

Figura A.3 - Gráfico de Risco para Consequências Materiais
57
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela A.4 - Classes de Consequências Materiais
Parâmetro do risco Classificação Exemplos

— produção fora de especificação;
Perdas entre
— perda de produto por abertura de PSV;
L1 US$ 100.000 e
— danos por cavitação em bombas de
US$ 1.000.000
pequeno porte.
— perda de grande quantidade de produto por

abertura de PSV ou transbordamento de
reservatório;
Perdas entre
— danos por cavitação em bombas de alta
L2 US$ 1.000.000 e
rotação ou em bombas de múltiplos
US$ 10.000.000
estágios que disponham de reserva;
— danos financeiros por produção adiada,
incluindo multa por atraso na entrega.
— coqueamento de tubos de forno;

Consequência
— danos por sucção de líquido ou por
Material (L)
bloqueio da sucção ou da descarga em
compressor de grande porte;
— danos decorrentes de grande
Perdas entre
derramamento de produto, incluindo custos
L3 US$ 10.000.000 e
de limpeza e multa por órgão de
US$ 100.000.000
fiscalização ambiental;
— reparos de baixo custo em equipamentos
essenciais que trabalhem sem reserva;
— reparos custosos em equipamentos não
essenciais ou que disponham de reserva.
— explosão de reator;
Perdas superiores a — ruptura de sistema pressurizado;
L4
US$ 100.000.000 — explosão de forno;
— explosão de caldeira.
A.6.3 As classes de consequências materiais apresentadas na Tabela A.4 são definidas

primariamente pelas faixas de valores monetários indicados. Os exemplos são meramente ilustrativos
de casos que tipicamente resultam em perdas financeiras naquela faixa e podem servir como
orientação para a equipe de análise. Deve-se notar que o parâmetro F não é usado neste gráfico de
risco porque o conceito de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições
podem ser idênticas àquelas da Tabela A.2.
A.7 Determinação do Nível da Integridade da Função Instrumentada de Segurança

Quando a sua Falha Leva a Mais de Um Tipo de Consequência
Quando uma falha na demanda leva a mais de um tipo de consequência (a pessoas, ao meio
ambiente e materiais), os requisitos de integridade associados com cada um dos aspectos envolvidos
devem ser determinados em separado e o maior dentre eles deve ser o nível de integridade
especificado para a função.
58
-PÚBLICO-
N-2595 REV. D 03 / 2015
Anexo B - Análise de Camadas de Proteção (LOPA)
B.1 Introdução
B.1.1 Este Anexo estabelece um procedimento padronizado para avaliação do Nível de Integridade
de Segurança (SIL) requerido para Funções Instrumentadas de Segurança (SIFs), utilizando o
método de Análise de Camadas de Proteção (LOPA) descrito no livro-conceito do AIChE / CCPS.
B.1.2 Análise de Camadas de Proteção (LOPA) é um método semiquantitativo de avaliação de

riscos, cuja finalidade primária é determinar se as medidas de proteção presentes contra um evento
indesejado são suficientes para reduzir seu risco a um nível tolerável. Isto é feito, atribuindo-se
valores numéricos às frequências das possíveis causas iniciadoras e às probabilidades médias de
falha na demanda de cada camada de proteção existente, e comparando-se o valor do risco assim
obtido com o valor pré-estipulado do risco tolerável.
B.1.3 Se o risco estimado para um cenário não for tolerável, outras camadas de proteção devem ser
adicionadas a fim de se atingir a redução de risco necessária. LOPA não define quais camadas de
proteção adicionar ou como projetá-las, mas auxilia na avaliação das medidas alternativas que
podem ser implementadas para que se alcance a redução de risco requerida.
B.1.4 LOPA não é um método de identificação de perigos ou de levantamento de cenários de

acidente. Os cenários a serem analisados com LOPA devem ser desenvolvidos durante aplicação de
HAZOP como técnica de análise de riscos de processo capaz de identificar os cenários de risco
acidental, conforme PETROBRAS N-2782.
B.2 Procedimento
O procedimento de aplicação da LOPA para a determinação do SIL requerido para cada SIF está
representado de forma simplificada na Figura B.1 e descrito em detalhes nas Seções B.2 a B.4 deste
Anexo, as quais apresentam alguns valores numéricos tabelados para serem usados no cálculo do
SIL requerido ao final da análise.
Como regra geral, em caso de dúvida entre os valores tabelados, deve-se adotar sempre os valores
mais conservadores. Caso a equipe de LOPA decida utilizar na análise algum valor diferente
daqueles apresentados nas tabelas deste Anexo, os valores efetivamente adotados devem ser
calcados em razões defensáveis e documentadas.
59
-PÚBLICO-
N-2595 REV. D 03 / 2015
Selecionar os
Início cenários a serem
avaliados (B.2.1)
Verificar a
severidade do
cenário (B.2.2)
Determinar a
frequência tolerável
(FTOL) (B.2.3)
Estimar uma
ICF para
o cenário (B.2.4)
Encontrar a EEL
para o cenário, caso
aplicável (B.2.5)
Determinar
os MF, caso
aplicáveis (B.2.6)
Identificar as IPL
(não SIF) e estimar Sim
suas PFDavg (B.2.7)
Determinar a Não
Frequência da Próximo Fim
Consequência (FC) cenário
(B.3.1)
Documentar
Sim
C
F ≤F TOL cenário
(OK) (FC) (B.3.3)
Sim (SIF)
Sim É possível
adicionar IPL SIL ≤ 3
(não SIF)
Não Não
Determinar Reavaliar riscos do
SIL processo. Medidas
requerido gerenciais requeridas.
Figura B.1 - Fluxo do Procedimento LOPA
60
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.1 Seleção dos Cenários para Análise
B.2.1.1 A primeira atividade da equipe de LOPA deve ser, dentre os cenários identificados na Análise
de Riscos, selecionar para avaliação todos aqueles onde haja intertravamento como salvaguarda ou
como recomendação.
B.2.1.2 Outros cenários podem ser avaliados a critério da equipe.
B.2.1.3 A equipe de LOPA deve registrar todos os cenários de interesse numa planilha de análise,
onde a identificação (número) e a descrição de cada cenário são herdadas do HAZOP.
B.2.1.4 Para o registro de cenários deve-se observar o requerido em B 3.3.1.
B.2.1.5 Para cenários que apresentem frequência de ocorrência elevada (maior que duas vezes a
frequência entre testes de IPL) ou severidade da consequência catastrófica, recomenda-se realizar
uma avaliação quantitativa de riscos. [Prática Recomendada]
B.2.2 Classificação da Severidade
B.2.2.1 A severidade atribuída à consequência de um cenário representa uma medida do maior

dentre os impactos a pessoas (S), meio ambiente (E) e patrimônio (L). Cada par causa-consequência
deve ser analisado em separado e considerando esses três aspectos.
B.2.2.2 A classificação da severidade da consequência de cenários acidentais é uma atividade de

análise de riscos, que consiste em definir, para cada cenário selecionado, uma categoria de
severidade para cada aspecto, conforme a matriz de tolerabilidade de riscos da PETROBRAS
N-2782, assumindo falha em todas as salvaguardas.
NOTA Quanto a severidade de consequência ao patrimônio, pode-se utilizar os valores indicados

na Tabela A.4 do Anexo A desta Norma, com a seguinte equivalência: severidade 5 como
L4 e assim sucessivamente. [Prática Recomendada]
B.2.3 Frequência Tolerável (FTOL)
A equipe de LOPA deve encontrar na Tabela B.1 o valor da frequência tolerável para a categoria de
severidade da consequência do cenário, definida conforme B.2.2.
Tabela B.1 - Frequência Tolerável (FTOL)
Categoria de severidade FTOL (evento/ano)

V 1x10-5
IV 1x10-4
III 1x10-3
II 1x10-2
I 1x10-1
61
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.4 Frequência da Causa Iniciadora (ICF)
B.2.4.1 A causa iniciadora corresponde ao motivo pelo qual ocorreu o desvio na variável de processo
identificado no HAZOP. Cada causa iniciadora deve ser analisada em separado, em um cenário
específico.
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
Tabela B.2 - Frequências de Causas Iniciadoras
Causa iniciadora ICF (evento/ano)

Falha do SSC 1 x 10-1
Falha de válvula reguladora auto-operada em serviço limpo 1 x 10-2
Falha de equipamento estático (baixa vibração) 1 x 10-2
Falha de equipamento estático (alta vibração) 1 x 10-1
Falha de equipamento dinâmico (B.2.4.5.a) 1 x 10-1
Sobrevelocidade de turbina / motor diesel com quebra da caixa 1 x 10-4
Falha de vaso de pressão 1 x 10-6
Falha de tubulação – ruptura franca 1 x 10-7 por metro
Vazamento em tubulação – 10 % seção reta 1 x 10-5 por metro
Falha de tanque atmosférico 1 x 10-3
Abertura espúria de válvula de segurança 1 x 10-2
Falha de selo de bomba 1 x 10-1
Falha de mangote de carregamento / descarregamento (baixa vibração) 1 x 10-1
Falha de mangote de carregamento / descarregamento (alta vibração) 1
Falha em sistema de água de refrigeração redundante 1 x 10-1
Ruptura de engaxetamento 1 x 10-2
Perda de fonte redundante de potência elétrica 1 x 10-1
Impacto de veículo terrestre (caminhão, escavadeira, etc.) 1 x 10-2
Queda de carga suspensa por guindaste 1 x 10-4 por içamento
Descarga elétrica atmosférica 1 x 10-3
Incêndio de pequenas proporções 1 x 10-1
Incêndio de grandes proporções 1 x 10-2
Falha do operador em executar procedimento de rotina (operador bem
1 x 10-2 por oportunidade
treinado, não estressado, não fatigado) (B.2.4.5.b)
Erro humano (tarefa não rotineira, baixo estresse) (B.2.4.5.c) 1 x 10-1 por oportunidade
Erro humano (tarefa não rotineira, alto estresse) (B.2.4.5.c) 1 por oportunidade
Falha em procedimento de manutenção do tipo LOTO (B.2.4.5.d) 1 x 10-3 por oportunidade
Atuação espúria de SIF (B.2.4.7) 1 x 10-1
62
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.4.5 Regras comumente utilizadas nas causas iniciadoras da Tabela B.2
a) equipamentos dinâmicos referem-se a bombas, compressores, turbinas e equipamentos

similares;
b) procedimentos de rotina são ações realizadas rotineiramente no campo ou na interface de
operação do SSC que, se realizadas incorretamente, podem resultar em desvios do
processo em análise;
c) tarefas não rotineiras são aquelas realizadas em situações esporádicas, como partidas e
paradas de unidades de processo, e que, se realizadas incorretamente, podem resultar em
desvios do processo em análise;
d) considerada como falha geral de um procedimento de segurança com múltiplas etapas,
batizado de LOTO ("Lockout/Tagout") e conhecido na PETROBRAS como LIBRA
(Abastecimento) ou PCEP (Transpetro); estas denominações referem-se a práticas e
procedimentos específicos para salvaguardar trabalhadores contra energização inadvertida
de equipamentos, partida inesperada de máquinas, ou liberação de substâncias perigosas
durante serviços ou atividades de manutenção; isto requer que um indivíduo designado
desligue e desconecte a máquina ou equipamento de sua(s) fonte(s) de energia antes da
execução de qualquer serviço ou manutenção e que os trabalhadores autorizados ou
tranquem com cadeado (“lock”) ou identifiquem (“tag”) o dispositivo de isolação de energia,
e verifiquem que a energia foi efetivamente isolada.
B.2.4.6 Os valores da Tabela B.2 derivam da experiência da indústria de processo, e consideram

diversos tipos de falhas de material e operacionais.
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10-1 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante) e válvulas de bloqueio
com atuador devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5 Condição Habilitadora (EE)
B.2.5.1 Condição habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO:
Cenário com condição habilitadora: a purga do tambor de coque para a torre fracionadora é
realizada em etapas, com forçamento manual do “set point” de vazão para valores
gradativamente maiores. Ao final do resfriamento, o “set point” deve retornar ao valor
operacional antes de se colocar o controle em automático.
a) condição habilitadora: “set point” da vazão de água de resfriamento deixado no maior

valor de vazão no último resfriamento realizado no tambor;
b) causa iniciadora: abertura indevida das válvulas manuais de isolamento da água de
resfriamento;
c) consequência: aumento de pressão no tambor de coque pela vaporização brusca da
água injetada, com possibilidade de vazamentos em flanges e acessórios, e
possibilidade de danos ao reator.
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o tempo de
existência do risco (“Time at Risk”).
63
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.5.3 Tempo de Existência do Risco (“Time at Risk”)
Determinados perigos só existem em fases específicas do processo ou durante a realização de

tarefas específicas (batelada, carregamento, descarregamento, partida, parada, variação de carga,
espera, regeneração etc.), ou em modos de operação específicos (automático, manual, remoto,
manutenção, seguimento de carga etc.). Nestes casos, a frequência da causa iniciadora pode ser
ajustada por um fator igual à probabilidade de que exista esta condição habilitadora (“Enabling Event
Likelihood - EEL”), obtida pela razão entre o tempo durante o qual existe o risco e o intervalo de
tempo total considerado na análise (normalmente 1 ano).
EEL = (Tempo de Existência do Risco) / (Tempo Total)
EXEMPLO:
EEL = 8 vezes por ano x 1 h de duração = 8 h/ano x 1 ano/8760 h = 0,000913
B.2.6 Fatores Modificadores (MF)
Em alguns cenários, é necessário que existam certas condições específicas, tais como presença de
fontes de ignição ou presença de pessoas na área afetada, para que ocorra o dano. Nestes casos, as
probabilidades associadas a estas condições podem ser usadas como fatores de ajuste do risco do
cenário.
A equipe de LOPA deve se assegurar que estes fatores não tenham sido considerados anteriormente
como condição habilitadora, nem estejam embutidos na frequência da causa iniciadora,
especialmente devido a considerações feitas na determinação do cenário durante o HAZOP, pois sua
contabilização em duplicidade poderia afetar significativamente o resultado da análise.
Um fator modificador só deve ser usado se a condição considerada puder ser garantida ao longo de
toda a vida útil da instalação.
Vale ressaltar que no HAZOP, o efeito analisado deve considerar o pior cenário, sem levar em conta
a existência de salvaguardas, ou outros fatores atenuantes.
B.2.6.1 Probabilidade de Ignição
A depender das características do produto e das condições da perda de contenção (exemplo: ruptura
brusca de equipamento contendo produto altamente reativo ou com temperatura e pressão elevadas),
a ignição pode ser espontânea, prescindindo de uma fonte de ignição.
B.2.6.1.1 Liberações de substâncias inflamáveis nem sempre entram em ignição. A probabilidade de

que ocorra ignição depende, principalmente:
a) da existência de fontes de ignição nas proximidades do vazamento;

b) das propriedades intrínsecas da substância e da quantidade (volume ou massa) de material
liberado;
c) da forma da dispersão (jato, poça, nuvem leve, nuvem pesada) do material inflamável no
meio em questão (atmosfera livre ou confinada, água, solo).
64
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.6.1.2 Antes de se adotar um fator modificador para representar a probabilidade de ignição,

deve-se observar as considerações feitas quanto às características relevantes da liberação de
produto inflamável e a seus possíveis desdobramentos (tocha ou jato de fogo, incêndio em poça,
incêndio em nuvem, explosão em nuvem, BLEVE). Deve-se considerar a definição do cenário
realizada durante a análise de riscos, especialmente para não se contabilizar mais de uma vez este
fator de redução.
B.2.6.1.3 As Tabelas B.3 e B.4 mostram algumas probabilidades de ignição típicas que podem ser
utilizadas como fatores modificadores. A equipe de LOPA pode adotar apenas um fator modificador
da probabilidade de ignição para cada cenário. Para tanto, deve definir qual destas duas tabelas deve
ser adotada, de acordo com o que for mais relevante no cenário em análise.
Tabela B.3 - Fatores Modificadores da Probabilidade de Ignição pela Quantidade de

Fontes de Ignição
Quantidade de fontes de ignição Fator Modificador (MF)

Nenhuma prontamente identificável (p.ex. dique de contenção,
0,1
terreno vazio)
Muito poucas (p.ex. área de tancagem) 0,2
Poucas (por exemplo: terminal naval, rodoviário ou ferroviário) 0,5
Muitas (por exemplo: instalação industrial) 0,9 (ver Nota)
NOTA Caso as instalações elétricas na área de ocorrência do cenário forem adequadas
para atmosfera explosiva, pode ser considerada uma probabilidade de ignição igual
a 0,1.
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material

Inflamável
Material inflamável Fator Modificador (MF)

Gás ou GLP 0,3
Líquido leve (ponto de fulgor < 38 °C) 0,2
Líquido pesado (ponto de fulgor  38 °C) 0,1
B.2.6.2 Presença de Pessoas
B.2.6.2.1 Para consequências ambientais ou comerciais, a presença de pessoas não é um fator

modificador. Entretanto, para consequências relacionadas à segurança de pessoas, pelo menos uma
pessoa deve estar presente na área onde ocorre o incidente. Podem ser usados fatores de redução
de risco relativos ao tempo em que ninguém está presente na área perigosa. Por exemplo, se ocorrer
um incêndio devido a um vazamento em selo de bomba, um operador tem de estar próximo à bomba
para sofrer ferimentos. Se o operador permanecer na área em questão apenas 30 minutos por turno,
então o uso de um fator modificador se justifica.
B.2.6.2.2 No caso do cenário ocorrer durante uma manobra operacional local ou durante uma
intervenção de manutenção, este fator de redução não pode ser usado.
65
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela B.5 - Fatores Modificadores por Presença de Pessoas
Tempo de exposição ao perigo Fator Modificador (MF)

Sempre (mais que 4 h por turno) 1,0
Frequentemente (entre 2 h e 4 h por turno) 0,5
Ocasionalmente (entre 1 h e 2 h por turno) 0,2
Raramente (menos que uma hora por turno) 0,1
B.2.6.2.3 Outros fatores modificadores como, por exemplo, a maior ou menor facilidade de se evitar
o dano não são considerados neste Anexo.
B.2.7 Camadas de Proteção Independentes (IPL)
Esta seção descreve como se deve proceder para identificar as salvaguardas previstas em projeto
que podem ser consideradas camadas de proteção independentes (IPL) e determinar a redução de
risco que elas promovem.
A identificação das IPL costuma ser a parte mais difícil deste método, sendo importante frisar que
toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL.
A Tabela B.6 contém alguns exemplos de salvaguardas que normalmente não são consideradas IPL.
Tabela B.6 - Salvaguardas Usualmente Não Consideradas IPL
Salvaguardas
usualmente não Comentários
consideradas IPL
Treinamento e Estes fatores podem ser levados em conta na determinação da PFDavg de
certificação ações pelo operador, mas não são IPL por si só.
A existência de bons procedimentos pode ser considerada na
Procedimentos determinação da PFDavg de ações pelo operador, mas não é uma IPL por
si mesma.
Em todas as avaliações de perigos assume-se a perfeita execução destas
Testes e inspeções atividades, constituindo base para os valores de ICF na Tabela B.2 e
normais PFDavg na Tabela B.7 e na Tabela B.8. Alterar o intervalo entre testes e
inspeções pode afetar a PFDavg de certas IPL.
Em todas as avaliações de perigos assume-se a perfeita execução desta
atividade, constituindo base para os valores de ICF na Tabela B.2 e
Manutenção
PFDavg na Tabela B.7 e na Tabela B.8. Manutenção deficiente pode
aumentar a PFDavg de certas IPLs.
É uma hipótese primária que comunicações adequadas existam em uma
Comunicações instalação industrial. Comunicações deficientes podem aumentar a PFDavg
de certas IPLs.
Sinalizações não são IPLs por si mesmas. Sinalizações confusas, dúbias,
Sinalizações
mal localizadas, ignoradas, etc. podem aumentar a PFDavg de certas IPLs.
Salvaguardas, sejam IPL ou não, são vinculadas a um cenário identificado na fase de análise de
riscos com uma causa e uma consequência específicas.
66
-PÚBLICO-
N-2595 REV. D 03 / 2015
A característica principal de uma camada de proteção é que ela deve ser efetiva para individualmente
prevenir a ocorrência do evento perigoso. Isto é, basta que uma única camada de proteção funcione
para que não ocorra a consequência indesejada. O termo “independente” significa que o desempenho
da camada de proteção não é afetado pela causa iniciadora e que não devem existir falhas que
possam desabilitar duas ou mais camadas de proteção associadas ao mesmo cenário ao mesmo
tempo. Adicionalmente, é necessário comprovar através de documentação auditável que a
salvaguarda em questão foi corretamente projetada e instalada, e que é periodicamente submetida a
teste e adequadamente mantida de forma a garantir suas efetividade, independência e PFDavg
especificada.
Resumindo, uma camada de proteção independente deve ser:
a) efetiva na prevenção da consequência de um evento potencialmente perigoso;

b) independente da causa iniciadora e dos componentes de qualquer outra IPL considerada
para o mesmo cenário;
c) auditável, através de documentos que comprovem a adequação do projeto, da
instalação, dos testes e da manutenção desta IPL às suas especificações.
Adicionalmente, caso a atuação espúria de uma IPL leve a um novo cenário acidental, o risco
associado deve ser tolerável. Por exemplo, um sistema de alívio de material tóxico ou inflamável deve
ser direcionado para local seguro.
O método LOPA consiste em ir adicionando camadas de proteção até que o risco assim obtido
atenda o critério de tolerabilidade adotado.
A decisão de qual(is) camada(s) de proteção adicionar dentre as alternativas possíveis pode ser
baseada numa análise comparativa dos seus custos de implantação, de operação e de manutenção
ao longo do ciclo de vida. [Prática Recomendada]
Antes de se considerar a adição de camadas de proteção, entretanto, recomenda-se que sejam

aplicadas soluções de projeto inerentemente mais seguras. [Prática Recomendada]
A adoção de um projeto inerentemente mais seguro pode efetivamente eliminar um cenário. Tal
consideração deve ser registrada na planilha de LOPA. Vale ressaltar que outros cenários com a
mesma consequência (porém com outras causas iniciadoras) podem continuar existindo.
Quanto ao modo de atuação, uma IPL pode ser passiva ou ativa.
IPL passiva é aquela que não necessita executar uma ação para cumprir a sua função de proteção. A
Tabela B.7 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPLs passivas.
67
-PÚBLICO-
N-2595 REV. D 03 / 2015
Tabela B.7 - IPL Passivas e Suas PFDavg Típicas
Probabilidade
Camada de Proteção Independente (IPL) média de falha na
demanda (PFDavg)
Bacia / dique de contenção 1 x 10-2
Retentor de chama (detonação ou deflagração) 1 x 10-2
Painel de ruptura (“blowout panel”) 1 x 10-2
Linha de “overflow” (“overflow line”) direcionada para local seguro
1 x 10-2
(B.2.7.2)
Sistema de drenagem subterrâneo 1 x 10-2
Suspiro aberto (sem válvula) 1 x 10-2
Parede tipo “blast-wall” ou abrigo tipo “bunker” 1 x 10-3
Proteção passiva contra fogo (“fireproof insulation”) [B.2.7.3] 1 x 10-2
IPL ativa é aquela que necessita mudar de um determinado estado a outro em resposta à mudança
na propriedade mensurável do processo em questão. A Tabela B.8 apresenta alguns exemplos de
salvaguardas que podem ser consideradas IPL ativas.
Tabela B.8 - IPL Ativas e Suas PFDavg Típicas
Probabilidade
Camada de Proteção Independente (IPL) média de falha na
demanda (PFDavg)
Função instrumentada de segurança com SIL 1 1 x 10-1
Função automática no SSC (B.2.7.4.1) 1 x 10-1
Resposta do operador ao alarme (B.2.7.4.2) 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio (B.2.7.5) 1 x 10-2
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.),
porém mais de um precisa atuar para atender a 100 % do cenário 1 x 10-1
(exemplo: PSV estagiadas). (B.2.7.5)
Dispositivo mecânico interno de segurança independente do SIS e do SSC
1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção (B.2.7.6) 1 x 10-1
Válvula de retenção associada a dispositivo mecânico de alívio de pressão
1 x 10-1
(B.2.7.6).
Válvula reguladora auto-operada em serviço limpo (B.2.7.7) 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente
1 x 10-2
(B.2.7.8)
Válvula trancada com cadeado (“locked”), listada e verificada
1 x 10-2
frequentemente (B.2.7.8)
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo (B.2.7.9) 1 x 10-1
68
-PÚBLICO-
N-2595 REV. D 03 / 2015
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1 = 10-5/h, SIL 2 = 10-6/h, SIL 3 = 10-7/h) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
B.2.7.1 Condições Gerais
Para ser considerada uma IPL, uma salvaguarda deve atender no mínimo as seguintes condições
gerais:
a) ser suficiente para impedir sozinha a ocorrência do cenário;

b) sua falha não pode ser a causa iniciadora do cenário considerado;
c) o cenário não pode levar a IPL a falhar ou a tornar-se indisponível;
d) sua atuação espúria não pode levar a um novo cenário com risco maior que o daquele que
a mesma visa evitar;
e) não possuir componentes comuns com os das demais IPLs;
f) estar inserida em um programa de manutenção estabelecido e auditável;
B.2.7.2 Linha de “Overflow” (“Overflow Line”)
Além das condições gerais requeridas em B.2.7.1, quaisquer válvulas na linha de overflow devem ser
administrativamente controladas para assegurar que esta IPL está disponível quando necessária.
B.2.7.3 Revestimento Resistente a Fogo (“Fireproof Insulation”)
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que uma
válvula (ou arranjo de válvulas) com revestimento resistente a fogo (“Fireproof insulation”) possa ser
considerada uma IPL são as seguintes:
a) o incêndio deve ser a causa iniciadora do cenário, nunca a consequência indesejada;

b) o revestimento resistente a fogo deve ser capaz de prover tempo adicional suficiente para
uma resposta adequada à situação (contenção de inventário, despressurização, dilúvio
etc.), de forma a efetivamente prevenir a consequência considerada no cenário;
c) o revestimento deve permanecer intacto quando exposto diretamente a fogo e não se
deslocar por impacto de jato d’água do sistema de combate a incêndio;
d) os demais requisitos corporativos estabelecidos na PETROBRAS N-1756 e em seus
documentos complementares para este tipo de proteção devem ser atendidos.
B.2.7.4 Sistema de Supervisão e Controle - SSC
Os Sistemas de Supervisão e Controle (SSC) executam funções automáticas tais como: controles
regulatórios contínuos (tipo PID), controles discretos (tipo “on-off”) e lógicas sequenciais ou
combinacionais (intertravamentos). Para poder ser considerada como uma Camada de Proteção
Independente – IPL, uma função automática no SSC deve atender aos requisitos expressos no
B 2.7.4.1.
69
-PÚBLICO-
N-2595 REV. D 03 / 2015
Os operadores respondem a alarmes de processo e equipamentos, implantados no SSC, através da

execução de procedimentos manuais específicos. Para poder ser considerada como uma Camada de
Proteção Independente – IPL, a resposta do operador a um alarme no SSC deve atender aos
requisitos expressos no item B 2.7.4.2.
O fator de redução de risco atribuído a uma função automática no SSC, ou a resposta do operador a
um alarme no SSC, considerada como IPL não deve ser maior que 10.
B.2.7.4.1 Funções Automáticas no SSC
Para poder ser considerada como uma Camada de Proteção Independente (IPL), uma função
automática de controle do SSC deve:
a) satisfazer a todas as condições gerais de IPL descritas no B.2.7.1;

b) ser identificada de forma clara como IPL na documentação de projeto, notadamente nos
fluxogramas de engenharia, distinguindo-se das demais funções automáticas de controle do
SSC não consideradas IPL;
c) operar continuamente em modo automático. Eventuais manobras de contorno ou inibição
devem ser tratadas por procedimentos específicos. Exemplos de manobras a serem
tratadas: colocação de controlador em modo manual ou atuação manual direta no elemento
final.
NOTA Recomenda-se avaliar a aplicação de restrições nos set-points das funções automáticas de
controle no SSC consideradas como IPL. [Prática Recomendada].
B.2.7.4.2 Resposta do Operador a Alarmes no SSC
A redução de risco por resposta do operador a alarmes não deve ser contabilizada mais de uma vez
para um mesmo cenário, independentemente do número de alarmes ou de ações executadas pelo
operador em resposta a estes.
Para a resposta do operador a um alarme no SSC poder ser considerada como uma Camada de
Proteção Independente (IPL), devem ser satisfeitos os seguintes requisitos:
a) todas as condições gerais descritas no B.2.7.1;

b) o alarme deve dar uma indicação clara e imediata do cenário para o operador, sem que
seja necessário realizar diagnósticos baseados em indicações de outras variáveis de
processo;
c) a ação do operador em resposta ao alarme deve ser suficiente para interromper o
cenário em intervalo de tempo inferior ao tempo de segurança do processo relacionado
ao cenário considerado;
d) o alarme deve ser identificado de forma clara como parte de uma IPL na documentação
de projeto, notadamente na lista de alarmes e no fluxograma de engenharia,
distinguindo-se dos demais alarmes do SSC não considerados IPL;
e) a unidade de operação deve possuir um critério de gerenciamento de alarmes e o alarme
em questão deve ser priorizado de acordo com este critério;
f) o operador deve estar sempre presente junto a interface de operação que anuncia o
alarme (o que, de um modo geral, impede considerar alarmes no campo como IPL);
g) deve haver procedimento operacional definindo a ação específica do operador em
resposta ao alarme, sendo que tal procedimento deve ser conhecido e objeto de
treinamento periódico por parte dos operadores;
h) a evolução do cenário considerado não pode comprometer a efetividade do alarme.
Exemplo: num cenário de ruptura de linha de vapor, pode haver indicação falsa de nível
alto devido à formação de bolhas na fase líquida, fazendo com que o alarme de nível
baixo no gerador de vapor não acuse imediatamente o desvio.
70
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.7.4.3 Atribuição de até Duas IPLs a um Mesmo SSC
Se a causa iniciadora do cenário considerado for falha em uma função automática no SSC, uma
segunda função automática ou resposta do operador a alarme no SSC pode ser considerada uma
IPL.
Se a causa iniciadora do cenário considerado não for falha em uma função automática no SSC, até
duas funções automáticas ou uma função automática e uma resposta do operador a alarme podem
ser consideradas IPLs, ressalvando-se que o RRF total associado ao SSC deve ser no máximo 100.
Em todos os casos, os seguintes critérios adicionais devem ser considerados:
a) não deve ser possível o contorno das duas funções simultaneamente;

b) os iniciadores, módulos de I/O e elementos finais associados a cada função automática e
alarme considerados devem ser distintos;
c) é recomendada a utilização de controladores distintos para cada função [Prática
Recomendada].
B.2.7.5 Dispositivo Mecânico de Alívio / Válvula de Segurança e Alívio
Além das condições gerais requeridas em B.2.7.1, as seguintes condições específicas são requeridas
para considerar dispositivos mecânicos de alívio como IPL:
a) o sistema de alívio deve estar dimensionado para mitigar completamente o cenário;

b) os fluidos aliviados devem ser limpos e pouco viscosos. Se a válvula de segurança e alívio
é usada num serviço com fluidos corrosivos ou capazes de polimerizar ou gerar depósitos,
sem nenhum tipo de proteção, a válvula não deve ser considerada uma IPL. Entretanto, se
o projeto considera medidas de proteção para garantir o funcionamento da válvula, pode-se
considerar uma PFDavg de 1x10-2. Essas medidas podem incluir: o uso de vapor de purga,
instalação de discos de ruptura a montante da válvula, instalação de duas válvulas em
paralelo para permitir a inspeção e manutenção, entre outros;
c) o alívio deve ser feito para local seguro, de forma que o mesmo não cause consequências
significativas;
B.2.7.6 Válvula de Retenção
B.2.7.6.1 Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para
que válvula de retenção possa ser considerado uma IPL são:
a) a válvula de retenção deve ser capaz de atender as condições de segurança exigidas pelo
cenário, tais como tempo de fechamento e vazamento admissível;
b) para aplicações de baixa demanda, o serviço deve ser limpo, não passível a entupimentos,
formação de depósitos, gomas, polimerização, etc.
B.2.7.6.2 Válvulas de retenção consideradas como IPL devem ser identificadas com Tag, de modo a
facilitar os registros de intervenções.
B.2.7.6.3 Recomenda-se optar pelo uso de modelos de dispositivos que facilitem inspeção e
manutenção. [Prática Recomendada].
71
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.7.6.4 Um dispositivo de prevenção contra fluxo reverso pode ser uma IPL ou não, a depender do
projeto de processo e das condições de contorno do cenário considerado.
EXEMPLOS
a) num cenário de dano a bomba por fluxo reverso causado por partida de bomba reserva,
uma válvula de retenção simples (e.g. tipo portinhola) pode ser suficiente para evitar o dano
com a confiabilidade requerida, podendo ser considerada IPL;
b) num cenário de contaminação, pode ser necessária a associação em série de duas válvulas
de retenção de tipos diversos para atingir a efetividade requerida pela IPL;
c) num cenário de pressão excessiva, a montante da válvula de retenção, normalmente é
necessário conjugar uma PSV, dimensionada para o vazamento através da retenção (API
STD 521), para que esta seja considerada uma IPL;
d) em cenário de fluxo reverso em compressor de gás pode ser requerido uma válvula de
retenção de alta integridade.
B.2.7.7 Válvula Reguladora Auto-Operada
Válvulas reguladoras auto-operadas usadas como IPL devem ser identificadas com TAG de modo a
permitir a rastreabilidade dos registros de intervenções.
B.2.7.8 Válvulas Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que
válvulas travadas com selo (“Car-Sealed”) ou trancadas com cadeado (“Locked”) possam ser
consideradas como IPL são as seguintes:
a) os responsáveis pela operação da planta ou equipamento mantenham uma lista atualizada

de todas as válvulas travadas com selo ou trancadas com cadeado;
b) os responsáveis pela operação da planta ou equipamento conduzam inspeções regulares
para assegurar que essas válvulas encontram-se na posição apropriada e seus selos e
cadeados, íntegros.
B.2.7.9 Proteção Ativa Contra Fogo
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que
proteção ativa contra fogo (por exemplo: sistemas de detecção de incêndio comandando a atuação
do sistema de dilúvio) possa ser considerada uma IPL são as seguintes:
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários em
que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que a
mesma se destina a conter.
NOTA Um sistema de detecção de gás comandando fechamento de SDV (ou de válvulas de

isolamento de inventário), pode ser analisado de forma análoga, ou seja:
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
72
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.2.7.10 IPLs Mitigadoras
B.2.7.10.1 Normalmente, IPLs visam evitar a consequência indesejada. Entretanto, algumas

camadas de proteção, como diques de contenção, sistema de drenagem e proteção contra fogo,
podem ser consideradas IPLs mitigadoras quando visam reduzir a severidade da consequência de
um cenário, seja limitando a sua intensidade, restringindo a extensão da área afetada, ou impedindo
efeitos secundários (por exemplo: BLEVE).
B.2.7.10.2 De um modo geral, a existência de uma camada de proteção mitigadora leva a dois
cenários inteiramente novos, os quais devem ser analisados separadamente.
Severidade original (S0)

Falha x
(PFDavg) Frequência reduzida (FC0 x PFDavg)
Cenário original Camada

S0 x FC0 mitigadora
Sucesso Severidade mitigada (S1 < S0)

(1 - PFDavg) x
Frequência original (FC0 x (1-PFDavg))
Figura B.2 - Camada de Proteção Mitigadora
B.2.7.10.3 De forma simplificada, recomenda-se adotar a seguinte ordem para a inclusão de

camadas de proteção: [Prática Recomendada]
a) projeto inerentemente mais seguro;

b) IPLs preventivas não SIF;
c) SIFs;
d) IPLs mitigadoras.
B.3 Conclusão da Análise
B.3.1 Risco Residual do Cenário Sem Considerar Função Instrumentada
B.3.1.1 O risco residual do cenário sem considerar função instrumentada pode ser expresso de forma
simplificada pela Frequência da Consequência (FC), a qual é dada pelo produto dos valores numéricos
determinados nos passos B.2.4 a B.2.7, sem creditar nenhuma redução de risco a função
instrumentada:
F C  ICF  EEL   MF   IPL

i
i
j
j
Onde:
FC = Frequência da Consequência;
ICF = Frequência da Causa Iniciadora;
EEL = Probabilidade da Condição Habilitadora;
73
-PÚBLICO-
N-2595 REV. D 03 / 2015
MFi = i-ésimo Fator Modificador;

IPLj = PFDavg da j-ésima IPL (não SIF) associada à Causa Iniciadora.
B.3.1.2 Se FC for menor ou igual a FTOL, então as camadas de proteção existentes são suficientes.
B.3.1.3 Se FC for maior que FTOL, então são necessárias camadas de proteção adicionais para
reduzir o risco residual do cenário a um nível tolerável.
NOTA Caso FC indique mais de uma demanda da SIF por ano ou duas ou mais demandas a cada
intervalo entre testes, é apropriado considerar que esta SIF irá operar em modo contínuo e,
portanto, possui SIL correlacionado, não com uma PFDavg, mas sim com a frequência de
falhas perigosas por hora, onde, SIL 1 equivale a uma frequência entre 10-6/hora e
10-5/hora, e assim por diante.
B.3.2 Determinação do SIL Requerido para a SIF
B.3.2.1 Depois de esgotadas todas as possibilidades de adotar soluções de projeto inerentemente

mais seguras e de adicionar camadas de proteção não instrumentadas, o Nível de Integridade de
Segurança (SIL) requerido para a Função Instrumentada de Segurança (SIF) prevista no projeto, ou
recomendada para o cenário, pode ser determinado pelo Fator de Redução de Risco (RRF) total
necessário para reduzir FC a um valor menor ou igual a FTOL.
B.3.2.2 Caso a FTOL tenha sido satisfeita sem a necessidade de uma SIF, deve-se registrar que a
função automática prevista no projeto ou recomendada pelo HAZOP não é crítica para a segurança e
deve ser executada pelo SSC.
B.3.2.3 Caso o RRF requerido para a SIF seja maior que 10 000, deve-se reavaliar os riscos do
processo e as bases de projeto, possivelmente requerendo envolvimento gerencial.
B.3.2.4 Recomenda-se avaliar a possibilidade de se substituir uma SIF demandada por muitos
cenários por outras SIFs baseadas em variáveis de processo mais diretamente relacionadas ao
desvio de cada cenário. [Prática Recomendada]
EXEMPLO
Num cenário onde a falha no controle de nível do vaso a montante de uma torre
fracionadora pode levar a descarga de gás de um componente de processo através de uma
saída de líquido (“gas blow-by”) e, consequentemente, a pressão excessiva na torre. Uma
SIF iniciada por um PSHH poderia ser substituída por outra que, em caso de nível muito
baixo (LSLL) no vaso, cortasse a alimentação para a torre.
B.3.2.5 Uma SIF deve atender o maior SIL requerido dentre os cenários pelos quais é demandada.
B.3.3 Documentação
B.3.3.1 O relatório de LOPA deve conter informações suficientes para subsidiar uma revisão do
projeto, adicionando, modificando ou eliminando salvaguardas existentes ou projetadas, em função
da efetividade verificada durante o processo de análise para prevenir ou mitigar efeitos indesejados.
74
-PÚBLICO-
N-2595 REV. D 03 / 2015
B.3.3.2 Para registro dos cenários considerados recomenda-se o uso de planilha conforme Anexo C.
B.3.3.3 O relatório também deve registrar as questões que precisam ser mais detalhadas ou
discutidas em outros fóruns, bem como as ações a serem tomadas e os pontos de melhoria contínua
deste procedimento.
B.4 Gerenciamento de Resultados
B.4.1 Auditoria
B.4.1.1 A informação contida na documentação da LOPA diz respeito à segurança do processo e,

como tal, deve ser mantida por todo o ciclo de vida da planta ou equipamento.
B.4.1.2 As recomendações da LOPA devem ser incluídas numa sistemática de rastreamento de

recomendações da instalação industrial, a qual permita analisar a viabilidade de implantá-las e
documentar adequadamente estas implantações, ou mesmo a decisão de não fazê-las, com a
respectiva justificativa.
B.4.1.3 Todas as IPL devem ser auditáveis e incluídas em plano de manutenção específico.
B.4.2 Revalidação
Sempre que houver alguma revisão do HAZOP da instalação, deve-se avaliar se as considerações
feitas na LOPA anterior continuam válidas e, em caso negativo, revisar os resultados da LOPA que
foram afetados.
75
-PÚBLICO-
N-2595 REV. D 03 / 2015
Anexo C - Modelo de Planilha de LOPA

Nº REV.
FOLHA
de
TÍTULO:
Análise de Camadas de Proteção (LOPA)
Nó: Descrição do Nó:
Cenário: Desvio: Modificadores: Pessoal Meio amb. Patrim.
Causa Iniciadora: Prob. ignição
Tipo: ICF (/ano): EEL: Pres. humana
Consequência: Outros
Severidade: Outros
RRF
Observações /
Salvaguardas: Tipo: Pessoal Meio amb Patrim. Recomendações:
Fr eq. T ol . : Cons. : 0 0 0 RRF Req.: T ot al : 1 1 1 >RR: ##### Risco Residual: Classif.:

Dados da SIF:
Consequência do "trip" espúrio: Custo "trip" espúrio (US$):
MTTR (h): Tempo de segurança de processo:
Observações/Recomendações:
Nó: Descrição do Nó:
Cenário: Desvio: Modificadores: Pessoal Meio amb. Patrim.
Causa Iniciadora: Prob. ignição
Tipo: ICF (/ano): EEL: Pres. humana
Consequência: Outros
Severidade: Outros
RRF
Observações /
Salvaguardas: Tipo: Pessoal Meio amb Patrim. Recomendações:
Fr eq. T ol . : Cons. : 0 0 0 RRF Req.: T ot al : 1 1 1 >RR: ##### Risco Residual: Classif.:

Dados da SIF:
Consequência do "trip" espúrio: Custo "trip" espúrio (US$):
MTTR (h): Tempo de segurança de processo:
Observações/Recomendações:
ESTE DOCUMENTO É DE PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO C - FOLHA 01/02.
76
-PÚBLICO-
N-2595 REV. D 03 / 2015
Nº REV.
FOLHA
de
TÍTULO:
Análise de Camadas de Proteção (LOPA) -
Instruções de Preenchimento
A planilha de LOPA deve ser preenchida conforme orientações do Anexo B. Detalhes sobre o preenchimento de cada campo são listados abaixo:
• Nó - Preencher com o número do nó.
• Descrição do nó - Preencher com a descrição do nó. Ex: "Desde a XV-6315094 até a entrada dos tanques TQ-6315051/052, passando pelos
permutadores P-6315352/353".
• Cenário - Preencher com o número do cenário. Cada cenário deve corresponder a um único par de causa e consequência e ter uma identificação
única.
• Desvio - Desvio de processo relacionado a um ou mais cenários. Ex: nível maior, fluxo reverso, pressão maior, pressão menor etc.
• Causa Iniciadora - Descrição específica da causa iniciadora. Cada cenário acidental possui uma causa única, a qual pode ser uma falha primária de
equipamento, uma ação errada, ou um evento externo. Ex: falha na malha de controle da UV-102, bloqueio indevido da XV-103, etc.
• Tipo (da causa iniciadora) - Preencher com a descrição genérica da causa conforme tabela B.2 da PETROBRAS N-2595.
• ICF (/ano) - Frequência da causa iniciadora (eventos por ano).
• EEL - Probabilidade de existência da Condição Habilitadora ("Enabling Event Likelihood" - EEL), caso aplicável, conforme B.2.5 da PETROBRAS
N-2595. Valor entre 0 e 1.
• Consequência - Descrição da consequência. Ex: vazamento para fora do dique com contaminação ambiental; vazamento para fora do dique com
explosão, danos ao meio-ambiente, danos a equipamentos e morte.
A consequência deve refletir a pior condição possível para a qual o cenário pode evoluir (1), considerando falha de todas as salvaguardas, inexistência de
atenuantes (2) e exposição máxima ao dano (3).
(1) Exemplo: No caso de vazamento de produto inflamável com possibilidade de incêndio/explosão, considerar que estes ocorrem. Se houver dano
mesmo sem incêndio/explosão e for aplicado fator modificador de probabilidade de ignição, dividir em 2 cenários.
(2) Exemplo: No caso de existir proteção (desligamento de emergência), ou condição específica na qual o dano seria mitigado, desconsiderá-las.
(3) Exemplo: No caso de dano a pessoas, considerar o número máximo que pode estar presente na área afetada durante a operação considerada.
• Severidade - Preencher com a categoria de severidade da consequência, conforme matriz de tolerabilidade de riscos da PETROBRAS N-2782.
Preencher com valores de I a V em algarismos romanos.
• Modificadores - Fatores Modificadores entre 0 e 1, conforme Anexo B da PETROBRAS N-2595. OBS: Um fator de redução de risco só pode ser
levado em conta se for evidente para todos os membros da equipe de análise que sua aplicação não compromete a segurança.
o Linhas:
Prob. de ignição - Fator modificador que reflete a probabilidade de ignição. Aplicar apenas se a consequência depender da ignição. Se houver
Presença Humana - Fator modificador que reflete o grau de presença humana no local. Este fator modificador atua apenas na consequência para
pessoas.
Outros - Outros fatores modificadores. Especificar no campo de observações.
o Colunas:
Pessoal - Fatores modificadores que se aplicam aos aspectos de saúde e integridade física das pessoas expostas ao risco.
Meio amb. - Fatores modificadores que se aplicam aos aspectos de impacto ao meio-ambiente.
Patrim. - Fatores modificadores que se aplicam aos aspectos de danos a instalações físicas e/ou faturamento da empresa.
• Salvaguardas - Listar salvaguardas, sejam elas IPLs ou não. Ex: dique de contenção do TQ-101, PSV na descarga da B-02, alarme PALL-015,
PSHH105 fechando XV-102, PSLL202 desligando bombas.
• Tipo (da salvaguarda) - Preencher com uma descrição genérica da salvaguarda (ver tabelas B.7 e B.8). Ex: PSV, SIF SIL1.
• RRF - Fator de Redução de Risco associado à IPL. Preencher apenas se a salvaguarda for IPL.
o Pessoal - Fatores de Redução de Risco que se aplicam aos aspectos de saúde e integridade física das pessoas expostas ao risco.
o Meio amb. - Fatores de Redução de Risco que se aplicam aos aspectos de impacto ao meio-ambiente.
o Patrim. - Fatores de Redução de Risco que se aplicam aos aspectos de danos a instalações físicas e/ou faturamento da empresa.
• Observações / Recomendações (da salvaguarda) - observações e recomendações específicas para cada salvaguarda.
• Risco residual - Valores calculados de risco residual para aspectos pessoal, ambiental e patrimonial (para o risco ser tolerável, este valor deve ser
menor ou igual a 1; riscos residuais maiores do que 100 são classificados como não toleráveis).
• Classificação (do Risco Residual) – Classificação do risco residual em Tolerável (T), Moderado (M) e Não-Tolerável (NT), conforme PETROBRAS
N-2782.
• Dados da SIF - Quando uma SIF for utilizada como salvaguarda, preencher estes campos com os dados da SIF que são fornecidos pela equipe da
análise de risco e pela disciplina de processo.
o Consequência do “trip” espúrio – Consequência do “trip” espúrio da SIF. Exemplos: perda de produção, possibilidade de coqueamento de
tubos, danos a materiais refratários, etc. Este item deve ser preenchido pela equipe que realizar a análise de risco.
o Custo do “trip” espúrio – Custo do Trip Espúrio da SIF, em US$, conforme 6.5.2.2 da PETROBRAS N-2595. Este item deve ser preenchido pela
equipe que realizar a análise de risco.
o MTTR (h) - Tempo médio para restauração da SIF. Este item deve ser preenchido pela equipe que realizar a análise de risco.
o Tempo de Segurança de Processo (s) – Ver termos e definições na PETROBRAS N-2595. Este item deve ser determinado pela disciplina de
processo.
• Observações / Recomendações – Preencher com recomendações e observações relativas ao cenário analisado. As recomendações devem ser
numeradas.
ESTE DOCUMENTO É DE PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO C - FOLHA 02/02.
77
-PÚBLICO-
N-2595 REV. D 03 / 2015
Anexo D - Folha de Dados de SIF

Nº
FOLHA DE DADOS
CLIENTE: FOLHA
de
PROGRAMA:
ÁREA:
TÍTULO:
ESPECIFICAÇÃO DE SIF
ÍNDICE DE REVISÕES
REV. DESCRIÇÃO E/OU FOLHAS ATINGIDAS
REV. 0 REV. A REV. B REV. C REV. D REV. E REV. F REV. G REV. H

DATA
PROJETO
EXECUÇÃO
VERIFICAÇÃO
APROVAÇÃO
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO D - FOLHA 01/05.
78
-PÚBLICO-
N-2595 REV. D 03 / 2015
79
-PÚBLICO-
N-2595 REV. D 03 / 2015
80
-PÚBLICO-
N-2595 REV. D 03 / 2015
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
SIF - Instrução de Preenchimento
Seguem abaixo as instruções de preenchimento de cada campo numerado na folha de dados de SIF. Observar que diversos campos deverão ser preenchidos com
valores preliminares durante o projeto básico e atualizados durante o projeto de detalhamento, com especial atenção para os campos relacionados à verificação do
SIL e MTTFS obtidos.
“Tag” – Cada SIF deve possuir um identificador único (Tag) constituído pelo número da unidade seguido de um número sequencial. Exemplo: SIF-2212001
1
(unidade 2212, sequencial 001).
2 Relatório de Análise de Riscos – Código do relatório de análise de riscos relacionado a esta SIF.
3 Descrição da SIF – Descrição sucinta da função, contendo desvio e ação. Exemplo: pressão alta de gás combustível bloqueia gás para forno F-501.
Causas da Demanda – Causa da demanda da SIF considerada na análise de riscos. Exemplos: falha na malha de controle de pressão gás combustível,
4
desequilíbrio de processo, etc.
Consequências da Falha na Demanda - Possíveis danos e impactos causados pelo evento perigoso considerados na análise de riscos. Exemplos:
5 Apagamento de chama com formação de mistura explosiva e possibilidade de explosão da câmara de combustão, seguida de incêndio, ferimento/morte de
até uma pessoa, perda de produção na ordem de 200 KUS$, danos às instalações na ordem de 2 MUS$.
Consequências do “Trip” Espúrio – Exemplos: perda de produção, possibilidade de coqueamento de tubos, danos a materiais refratários, etc. Este item deve
6
ser preenchido pela equipe que realizar a análise de risco.
Custo do “Trip” Espúrio (US$) – Custo do Trip Espúrio (US$): conforme item 6.5.2 da PETROBRAS N-2595. Este item deve ser preenchido pela equipe que
7
realizar a análise de risco.
8 Tempo de Segurança de Processo (s) – Ver termos e definições na PETROBRAS N-2595. Este item deve ser determinado pela disciplina de processo.
Tempo de Resposta (s) – Ver termos e definições na PETROBRAS N-2595. Deve ser suficientemente pequeno para garantir o atingimento do estado seguro
9
antes que a variável de processo atinja o limiar do perigo.
Tempo de Retardo (s) – Ver termos e definições na PETROBRAS N-2595. O Tempo de Retardo deve ser preenchido de forma consistente com a dinâmica de
10 cada SIF. Admite-se estipular um valor preliminar para cada tipo de variável (P, T, F, L etc.) seguido de nota alertando que este valor deverá ser ajustado
durante a fase de testes de aceitação e comissionamento da planta.
11 Intervalo entre Testes Periódicos (anos) – Intervalo entre testes periódicos adotado para a SIF. Ver itens 8.5 a 8.7 da PETROBRAS N-2595.
12 MTTR (h) – Tempo médio para restauração da SIF - preencher com valor efetivamente utilizado nos cálculos de verificação do SIL.
13 Campo em branco.
14 RRF Requerido – Fator de Redução de Risco requerido para a SIF.
15 SIL Requerido – Nível de Integridade de Segurança requerido para a SIF.
16 MTTFS Aceitável (anos) – MTTFS (Tempo Médio para Falhar no Modo Seguro) mínimo aceitável - ver item 6.5 da PETROBRAS N-2595.
17 RRF Obtido – Fator de Redução de Risco obtido para a SIF - preencher com o valor resultante dos cálculos de verificação do SIL.
18 SIL Obtido – Nível de Integridade de Segurança obtido para a SIF - preencher com valor resultante dos cálculos de verificação do SIL.
19 MTTFS Obtido (anos) – MTTFS (Tempo Médio para Falhar no Modo Seguro) obtido para a SIF. Preencher com resultado dos os cálculos de verificação.
“Tag” (dos iniciadores) – Identificador do iniciador, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: PIT-2212001A e PIT-
20 2212001B. Devem ser listados como iniciadores os dispositivos que se interponham entre o sensor e o executor da lógica (ex: relés, isoladores, barreiras de
segurança intrínseca).
Descrição dos Iniciadores – Serviço do iniciador, conforme lista de instrumentos e folhas de dados. Exemplo: transmissor de pressão no header de gás
21
combustível.
Modo de Atuação (do iniciador) – Desenergiza para trip ou energiza para trip, no caso de um elemento discreto. Caso seja um transmissor, indicar se o trip
22
sentido é no sentido de 4 mA (desenergiza para trip) ou de 20 mA (energiza para trip).
23 Detecção (HH ou LL) – Indicar se a detecção ocorre no sentido ascendente (HH) ou descendente (LL) da variável de processo.
24 Valor de “Trip” – Valor de ponto de ajuste utilizado para o trip. Especificar a unidade de engenharia.
“Tag” (do elemento final) – Identificador dos elemento final, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: XV-2212001A, XV-
25 2212001B e XV-2212001C. Devem ser listados como elementos finais os dispositivos que se interponham entre o atuador e o executor da lógica (ex: relés de
interposição, válvulas solenoides, conversores de sinal).
Descrição do Elemento Final – Serviço do elementos final, conforme lista de instrumentos e folhas de dados. Exemplos: válvula de bloqueio de gás
26
combustível para o forno, válvula de suspiro intermediário de gás combustível.
27 Modo de Atuação (do elemento final) – Desenergiza para trip ou energiza para trip.
28 Estado Seguro – Posição de segurança do elemento final. Exemplos: válvula de bloqueio fechada, válvula de suspiro aberta para local seguro.
29 “Tag” (do executor da lógica) – Identificador do executor da lógica. Ex: CP-2201001.
Descrição do Executor da Lógica – Tipo de executor utilizado para implementar a SIF. Ex: CLP de Segurança SIL 3; Executor de Lógica Não Programável SIL
30
2.
Módulos de Entrada – Descrição dos módulos de entrada utilizados para esta SIF. Ex: módulo de entrada digital; módulo de entrada analógica 4-20 mA.
31
Especificar se devem ser utilizados módulos separados para cada iniciador.
Módulos de Saída – Descrição dos módulos de saída utilizados para esta SIF. Ex: módulo de saída digital; módulo de saída analógica 4-20 mA. Especificar
32
se devem ser utilizados módulos separados para cada elemento final.
33 “Tag” (do “trip” manual) – Identificador do dispositivo manual de acionamento de trip. Ex: HS-2212150.
Descrição do “Trip” Manual – Descrição do trip manual. Ex: Bloqueio das válvulas de gás combustível para o forno, acionadas pelo CLP do SSC. Parada da
34
bomba por botoeira de shutdown fiada diretamente ao disjuntor no CCM.
Tipo (do “trip” manual) – Tipo do acionador. Ex: botoeira eletromecânica com contato duplo (em série) normalmente fechado, retentivo, puxa para acionar,
35
retentivo, com proteção contra acionamento indevido; botão lógico na tela de operação.
81
-PÚBLICO-
N-2595 REV. D 03 / 2015
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
SIF - Instrução de Preenchimento
36 Localização – Localização do acionador. Ex: painel local do F-501, campo, sala de controle.
Descrição da Lógica – Descrição, através de texto ou desenho, da relação lógica entre o(s) iniciador(es) (pode incluir "trip" manual) e o(s) elemento(s)
final(is) que compõe a SIF e das arquiteturas de votação de sensores e elementos finais. Exemplo: Partindo-se do estado normal de operação, caso ocorra
37
falta de chama em mais de 50% dos queimadores ou ocorra baixa pressão de gás combustível, deve ser bloqueada a admissão de gás para os
queimadores e aberto suspiro intermediário para local seguro.
Ações Secundárias – Ações desencadeadas pela atuação da SIF não diretamente relacionadas com o atingimento ou manutenção do estado seguro, com
38 objetivo de auxiliar a operação. Ex: após trip do forno, admissão de vapor de abafamento e abertura do damper da chaminé para facilitar a purga da câmara de
combustão.
Descrição do Estado Seguro a ser Atingido ou Mantido – Caracterização do sucesso da atuação da SIF. Ex: gás combustível bloqueado para forno e suspiro
39
intermediário aberto para local seguro.
Combinação Perigosa de Elementos Finais (S/N) – No caso de haver mais de um elemento final, se existe alguma condição perigosa decorrente de falha de
40
sua atuação conjunta.
Descrição (da combinação perigosa de elementos finais) – Descrever a possível combinação e perigo decorrente. Ex: Não fechamento do primeiro bloqueio
(XV-2212001A) quando da abertura do suspiro intermediário (XV-2212001B), causando nuvem de gás combustível na área externa próxima ao forno. Lembrar
41
que atuações parciais combinadas de ações secundárias também podem resultar em perigo e que a indefinição desta informação pode ocultar cenários
acidentais não analisados durante as reuniões de HAZOP e LOPA, com impactos na segurança da planta.
Alarme “Pré-Trip” (S/N) – Indicar se deve ser configurado um alarme com ponto de ajuste que permita atuação antecipada do operador de modo a evitar o
42
"trip".
43 Descrição (do alarme “pré-trip”) – Descrição do alarme pré-trip, conforme lista de alarmes.
44 Ponto de Ajuste (do alarme “pré-trip”) – Ponto de ajuste do alarme pré-trip.
45 Alarme de “Trip” (S/N) – Indicar se deve ser configurado alarme indicando que houve "trip" pela SIF.
46 Descrição (do alarme de “trip”) – Descrição do alarme de trip, conforme lista de alarmes.
47 Alarme de Desvio (S/N) – Indicar se deve ser configurado alarme de desvio entre os valores lidos de diferentes iniciadores.
48 Descrição (do alarme de desvio) – Descrição do alarme de desvio, conforme lista de alarmes.
49 Ponto de Ajuste (do alarme de desvio) – Ponto de ajuste do alarme de desvio.
Alarme de Diagnóstico de Falha (S/N) – Indicar se devem ser configurados alarmes de diagnóstico de falhas, marcando os dispositivos cobertos por estes
50
diagnósticos/alarmes.
51 Outros Alarmes – Caso sejam configurados outros alarmes relacionados à SIF, descrever o(s) alarme(s) e registrar o(s) ponto(s) de ajuste.
52 “By-pass” p/ Manutenção (S/N) – Indicar se deve ser configurado contorno ("by-pass") para manutenção.
53 Descrição (do “by-pass” para manutenção) – Caso o contorno para manutenção seja necessário, descrever a forma de implementação
Temporização (do “by-pass” para manutenção) – Indicar o tempo máximo em contorno para manutenção caso seja configurado um limite para este
54
contorno.
Cuidados Adicionais (no “by-pass” para manutenção) – Condição especial ou procedimento específico a ser observado para o contorno ou durante o
55
mesmo, caso aplicável.
“By-pass” de Início de Operação (S/N) – Indicar se deve ser configurado contorno ("by-pass") para partida (ex: contorno do intertravamento por vazão muito
56 baixa durante a partida de uma bomba). Deve ser marcado também caso seja necessário contorno durante a parada (neste caso, especificar no campo de
descrição).
57 Descrição (do “by-pass” de início de operação) – Caso o contorno na partida e/ou parada seja necessário, descrever a forma de implementação.
58 Temporização (do “by-pass” de início de operação) – Indicar o tempo em que a SIF permanecerá contornada durante a partida e/ou parada.
Cuidados Adicionais (no “by-pass” de início de operação) – Condição especial ou procedimento específico a ser observado durante a partida e/ou parada,
59
caso aplicável.
Procedimento para Rearme – Descrever procedimento de rearme da SIF, indicando ações locais e remotas, além das verificações que devem ser feitas
60
antes do rearme.
Ação na Detecção de Falha – Marcar qual a ação a ser tomada em caso de detecção de falha em um dos componentes da SIF: trip ou operação em modo
61
degradado. A operação em modo degradado ocorre quando a SIF está parcial ou totalmente inoperante.
Tempo Máx. de Operação em Modo Degradado – Tempo máximo de operação com a SIF em modo degradado. Após este tempo a SIF deverá atuar
62
provocando "trip". Este tempo não deve ser maior do que o MTTR utilizado no cálculo de verificação do SIL.
Descrição do Modo Degradado – Descrição da operação em modo degradado quando da detecção de falha. Ex: degradação do esquema de votação de
63
2oo3 para 1oo2; adoção de procedimento operacional específico para reduzir o risco.
Requisitos Legais Aplicáveis – Caso haja, devem ser observados, ainda na fase de projeto básico, os impactos no projeto da SIF e/ou da planta. Caso
64
contrário, preencher com um traço. Ex: legislação ambiental, NR-10, etc.
65 e 67 Camadas de Proteção Independentes – Descrição das demais camadas de proteção necessárias para reduzir o risco a valor tolerável.
66 e 68 RRF – Fator de redução de risco das demais camadas de proteção.
69 a 77 Documentos de Referência - Códigos dos documentos de referência para esta SIF.
78 Notas e Observações
82
-PÚBLICO-
N-2595 REV. D 03 / 2015
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
1 Revisados e renumerados
2 Revisado
3 Revisado
4 ao 4.2.9 Revisados e renumerados
4.30 Excluído
5 ao 5.1 Revisados e renumerados
5.1.1 Revisado e renumerado
5.1.2 ao 5.7.3 Incluídos
6.1.7 ao 6.1.11 Incluídos
6.2 ao 6.24 Revisados e renumerados
6.2.5 ao 6.2.6 Excluídos
6.3 ao 6.30.10 Revisados e renumerados
6.3.11 e 6.3.12 Incluídos
6.4.8.1 ao 6.4.8.5 Excluídos
6.4.9 ao 6.4.11 Revisados e renumerados
6.6 ao 6.11 Incluídos
7.1.6 Excluído
IR 1/4
-PÚBLICO-
N-2595 REV. D 03 / 2015
REV. A
8 e 8.1 Revisados e renumerados
8.2 Revisado e renumerado
8.3.1 e 8.3.2 Excluídos
8.4.1 e 8.4.2 Excluídos
8.5.2.1 ao 8.5.2.3 Excluídos
8.5.4 ao 8.8 Incluídos
9 ao 9.7 Excluídos
Anexo A Revisado
REV. B
5.3 Revisado
5.4.5.4 Revisado
5.5.1 Revisado
5.6.6 Revisado
6.5.4 Revisado
6.5.5 Revisado
6.5.9 Revisado
7.4.3 Revisado
Anexo A Revisado
REV. C
Todas Revisão
REV. D
1.2 ao 1.5 Renumerados
2 Revisado
IR 2/4
-PÚBLICO-
N-2595 REV. D 03 / 2015
REV. D
3.1, 3.3, 3.6, 3.8, 3.9 Revisados
3.15, 3.22, 3.33, 3.34 Revisados
3.47 Revisado
3.50 Incluído
3.51 Renumerado
3.53 e 3.54 Renumerados
3.56 ao 3.60 Renumerados
3.61 Incluído
3.62 Renumerado
4 Revisado
5.1..1 e 5.2.1 Revisados
Figura 1 Revisado
5.4.2, 5.4.4 e 5.4.5 Incluídos
5.4.7 Revisado
5.4.7.2 Incluído
6.2.1, 6.2.4 e 6.2.6 Revisados
6.2.8 Revisado
Tabela 1 Revisado
6.4.3, 6.4.6 e 6.4.9 Revisados
6.4.10 e 6.5.2 Revisados
6.5.2.1. e 6.5.2.2 Revisados
Tabela 2 Revisado
6.5.5 Renumerado
7.1.1, 7.1.3 e 7.2.3 Revisados
7.5.3, 7.6.2 ao 7.6.6 Revisados
7.7.2, 7.7.11 e 7.8.2 Revisados
IR 3/4
-PÚBLICO-
N-2595 REV. D 03 / 2015
REV. D
7.8.6 ao 7.8.10 Renumerado
7.8.11 e 7.8.12 Revisados e renumerados
7.8.13 e 7.8.14 Renumerados
7.9.1, 7.9.3 e 7.12.1 Revisados
7.12.7 Renumerado
7.14.1 ao 7.14.3 Renumerados
7.15, 7.15.1 e 7.15.2 Incluídos
8.2, 8.2.1 e 8.2.2 Incluídos
8.3 Revisado
A.1.1 Revisado
Tabela A.1 Revisado
B.2.1.4 e B.2.1.5 Revisados
B.2.6 e B.2.6.1 Revisados
Tabela B.3 Revisado
Tabela B.8 Revisado
B.2.7.1 ao B.2.7.4 Revisados
B.2.7.4.1 Incluído
B.2.7.4.2 Revisado e renumerado
B.2.7.4.3 Incluído
B.2.7.5 e B.2.7.6 Revisados e renumerados
B.2.7.6.1 ao B.2.7.6.4 Incluídos
B.2.7.7 ao B.2.7.10 Revisados e renumerados
B.3.2.2 Revisado
B.3.2.3 Revisado e renumerado
B.3.2.4 e B.3.2.5 Renumerados
B.3.3.3 Incluído
B.4.1.3 Revisado
Anexo C Revisado
Anexo D Revisado
IR 4/4

Rev. D 03 / 2015: Procedimento

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Rev. D 03 / 2015: Procedimento

Enviado por

Direitos autorais:

Formatos disponíveis

-PÚBLICO-

N-2595 REV. D 03 / 2015

Critérios de Projeto, Operação e

Esta Norma substitui e cancela a sua revisão anterior.

Requisito Técnico: Prescrição estabelecida como a mais adequada e que

Prática Recomendada: Prescrição que pode ser utilizada nas condições

“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO

PROPRIEDADE DA PETROBRAS 82 páginas, 2 formulários, Índice de Revisões e GT

N-2595 REV. D 03 / 2015

2 Referências Normativas ...................................................................................................................... 7

4 Símbolos ou Siglas ............................................................................................................................ 17

5 Avaliação da Necessidade do SIS e Estruturação do Projeto Básico .............................................. 18

5.1 Análise de Riscos ................................................................................................................. 18

5.2 Camadas de Proteção ......................................................................................................... 19

5.3 Ciclo de Vida do SIS ............................................................................................................ 20

5.4 Estruturação do Projeto Básico do SIS ................................................................................ 21

6 Projeto Básico do SIS - Avaliação das SIFs ..................................................................................... 22

6.1 Considerações Gerais .......................................................................................................... 22

6.2 Composição da Equipe de Avaliação das SIFs ................................................................... 23

6.3 Preparação para a Avaliação das SIFs ............................................................................... 24

7 Projeto Básico do SIS - Requisitos de Implementação ..................................................................... 26

7.1 Segregação entre SIS e SSC .............................................................................................. 26

7.2 Segregação entre SIS Distintos ........................................................................................... 27

7.3 Segregação entre Canais Redundantes de uma SIF .......................................................... 28

7.4 Alimentação Elétrica ............................................................................................................ 28

7.5 Comunicação entre Dispositivos de Campo e Executor da Lógica ..................................... 28

7.6 Iniciadores ............................................................................................................................ 29

7.7 Elementos Finais .................................................................................................................. 29

7.8 Executor da Lógica............................................................................................................... 31

7.9 Comando Manual de “Trip” .................................................................................................. 33

7.10 Rearme (“Reset”) de SIF .................................................................................................... 33

7.11 Contorno (“By-Pass”) de SIF.............................................................................................. 33

7.11.1 Considerações Gerais................................................................................................ 33

N-2595 REV. D 03 / 2015

7.11.2 Contorno (“By-Pass”) para Início de Operação ......................................................... 34

7.11.3 Contorno (“By-Pass”) para Manutenção .................................................................... 34

7.12 Interface de Operação ....................................................................................................... 35

7.13 Interface para Manutenção e Engenharia .......................................................................... 36

7.14 Interface de Comunicação com o SSC .............................................................................. 37

7.15 Tempos de Resposta e de Retardo ................................................................................... 37

9 Projeto de Detalhamento do SIS ....................................................................................................... 39

9.1 Requisitos Gerais ................................................................................................................. 39

9.2 Documentação ..................................................................................................................... 39

10 Teste de Aceitação em Fábrica e Preservação .............................................................................. 40

10.1 Teste de Aceitação em Fábrica - TAF ............................................................................... 40

10.2 Pré-Requisitos para Realização do TAF ............................................................................ 41

10.3 Execução do TAF ............................................................................................................... 41

10.4 Preservação ....................................................................................................................... 42

11 Instalação e Condicionamento para Início de Operação do SIS .................................................... 43

11.1 Instalação ........................................................................................................................... 43

11.2 Condicionamento ............................................................................................................... 43

12 Pré-Operação e Aceitação Final do SIS ......................................................................................... 44

12.1 Pré-Operação ..................................................................................................................... 44

12.2 Aceitação Final do SIS ....................................................................................................... 45

13 Operação, Manutenção, Testes Periódicos e Modificações ........................................................... 46

13.1 Operação............................................................................................................................ 46

13.2 Manutenção........................................................................................................................ 47

13.3 Testes Periódicos ............................................................................................................... 48

13.4 Modificações ...................................................................................................................... 49

Anexo A - Determinação do Nível de Integridade de Segurança Requerido Utilizando o Método de

A.1 Introdução ...................................................................................................................................... 51

A.2 Síntese do Gráfico de Risco .......................................................................................................... 51

N-2595 REV. D 03 / 2015