Escolar Documentos
Profissional Documentos
Cultura Documentos
Rev. D 03 / 2015: Procedimento
Rev. D 03 / 2015: Procedimento
Procedimento
Cópias dos registros das “não-conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Automação Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho
- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
Sumário
1 Escopo ................................................................................................................................................. 7
3 Termos e Definições............................................................................................................................ 8
6.4 Avaliação do Nível de Integridade de Segurança Requerido para uma SIF ....................... 24
6.5 Avaliação da Frequência de “Trips” Espúrios Aceitável para uma SIF ............................... 25
2
-PÚBLICO-
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF ...................... 37
3
-PÚBLICO-
B.2.7.8 Válvulas Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)72
4
-PÚBLICO-
Figuras
Tabelas
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1 ...................................................... 54
5
-PÚBLICO-
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material Inflamável .... 65
6
-PÚBLICO-
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Sistemas de detecção de fogo e gás não são tratados nesta Norma.
1.3 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança (SIS) . Por exemplo: isolamento e despressurização de inventários.
1.4 Esta Norma fixa condições exigíveis para projetos iniciados a partir da data de sua edição.
2 Referências Normativas
IEC 61511-1 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 1: Framework, Definitions, System, Hardware and Software Requirements;
7
-PÚBLICO-
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT);
ISO TR 12489 - Petroleum, petrochemical and natural gas industries — Reliability Modelling
and Calculation of Safety Systems;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA 84.91.01 - Identification and Mechanical Integrity of Safety Controls, Alarms, and
Interlocks in the Process industry;
3 Termos e Definições
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica semiquantitativa de avaliação de riscos cuja finalidade é determinar se as camadas de
proteção associadas a um cenário acidental são suficientes para reduzir a sua frequência de
ocorrência a um nível considerado tolerável
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do cenário, ou mitigadora, quando visa reduzir a severidade da consequência
do cenário.
8
-PÚBLICO-
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
3.5
causa iniciadora (“initiating cause”)
falha em equipamento, ação humana inapropriada ou evento externo que desencadeia um cenário
3.6
cenário (“scenario”)
sequência de eventos não propositais que culmina em um dano
3.7
ciclo de vida do SIS (“safety life cycle”)
conjunto de atividades envolvidas na implementação das SIFs durante o intervalo de tempo que se
inicia na fase de projeto conceitual e que termina quando as referidas SIFs são desativadas
3.8
condição habilitadora (“Enabling Event - EE”)
ação ou estado que não causa diretamente o cenário, mas que precisa existir para que o cenário
aconteça
3.9
consequência (“consequence”)
manifestação de como o cenário acidental pode impactar recursos humanos, ambientais e/ou
materiais, expressa sob forma de danos à saúde, impactos ao meio ambiente e/ou perda econômica
3.10
controlador programável de segurança (“Programmable Electronics - PE”)
controlador programável projetado e desenvolvido especificamente para atuar como Executor da
Lógica do SIS
NOTA A denominação CP de segurança vem substituir o antigo termo PES como era usado no
âmbito da PETROBRAS, de modo a eliminar conflito com IEC 61508-4 e IEC 61511-1, nas
quais o termo PES designa todo o conjunto de dispositivos (iniciadores + Executor da
Lógica + elementos finais) do SIS.
3.11
dano (“harm”)
impacto, consequência concretizada ou resultado final de um evento perigoso sobre seres humanos,
meio ambiente e/ou patrimônio, expresso em termos de número de fatalidades, prejuízos ao meio
ambiente, destruição de propriedades, perda de produção etc
9
-PÚBLICO-
NOTA 1 Impactos ambientais podem incluir gastos com limpeza das instalações e descontaminação
do meio ambiente, multas de órgãos fiscalizadores, indenizações civis e trabalhistas,
dificuldade na obtenção de novas licenças, danos à imagem da companhia etc.
NOTA 2 Entende-se como patrimônio os equipamentos, instalações, produtos e processos.
3.12
defeito (“fault”)
condição anormal que pode causar redução ou perda da capacidade de um dispositivo executar sua
função
3.13
demanda (“demand”)
condição ou evento perigoso que requer a atuação de uma SIF
3.14
dispositivo (“device”)
equipamento capaz de executar uma função específica
3.15
elemento final (“final element”)
dispositivo integrante do SIS que implementa a ação física necessária para atingir um estado seguro
3.16
especificação de requisitos de segurança (“Safety Requirements Specification - SRS”)
documentação que contém todos os requisitos que cada SIF deve apresentar quando implementada
no SIS
3.17
estado seguro (“safe state”)
estado de um processo ou equipamento cujo risco se encontra dentro dos limites estabelecidos como
toleráveis
3.18
estudo de perigos e operabilidade (“Hazards and Operability Study - HAZOP”)
técnica indutiva e estruturada para identificar perigos de processo e potenciais problemas de
operação, associando, de forma sistemática, um conjunto de palavras-guias às variáveis de processo;
para cada desvio identificado são relacionadas suas causas, consequências, modos de detecção e
salvaguardas existentes, recomendando medidas adicionais quando necessário
3.19
executor da lógica (“logic solver”)
dispositivo integrante do SIS que recebe os sinais dos iniciadores, processa funções programadas e
envia comandos para os elementos finais
3.20
falha (“failure”)
evento caracterizado pela cessação da capacidade de um dispositivo cumprir sua função
10
-PÚBLICO-
NOTA Excluem-se desse conceito incapacidades provocadas por ações planejadas, como
manutenção preventiva.
3.21
falha aleatória de “hardware” (“random hardware failure”)
falha que ocorre em um instante imprevisível como resultado de uma variedade de processos de
degradação atuando sobre os componentes internos de um dispositivo
3.22
falha de causa comum (“common cause failure”)
falhas em mais de um dispositivo, componente ou sistema em decorrência de uma mesma causa
direta, num período de tempo relativamente curto e não sendo tais falhas uma consequência da outra
NOTA 1 Os itens que falham devido a uma mesma causa normalmente falham no mesmo modo
funcional. O termo “modo comum” é, portanto, usado algumas vezes. No entanto, ele não é
considerado um termo preciso para a comunicação de características que descrevem uma
falha de causa comum.
NOTA 2 Como exemplos de causa comum, podem ser citados ação de atmosfera corrosiva,
interferência eletromagnética, vibração mecânica, entupimento das tomadas de um
“stand-pipe”, perda de alimentação elétrica, perda de pressão pneumática ou hidráulica,
incêndio, explosão, descarga atmosférica, procedimento inadequado (de fabricação,
instalação, condicionamento, operação, ou manutenção), treinamento inadequado (idem),
vício ou limitação de projeto.
3.23
falha na demanda (“failure on demand”)
não atuação de uma SIF quando a mesma é submetida a uma demanda real
3.24
falha oculta (“undetected failure”)
falha que só é percebida quando uma SIF é demandada ou testada
3.25
falha perigosa (“dangerous failure”, “unsafe failure”, “fail-to-function failure”)
falha que apresenta potencial de impedir que uma função de segurança atue quando houver uma
demanda real
NOTA Uma única falha perigosa geralmente é insuficiente para impedir que uma função de
segurança redundante atue quando requerida.
3.26
falha segura (“safe failure”, “spurious trip failure”, “nuisance trip failure”, “false trip failure”,
“fail-to-safe failure”)
falha que apresenta potencial de causar atuação de uma função de segurança quando esta não é
requerida
NOTA Uma única falha segura geralmente é insuficiente para efetivamente causar “trip” espúrio
em uma função de segurança redundante.
11
-PÚBLICO-
3.27
falha sistemática (“systematic failure”)
falha relacionada de forma determinística com certa causa
NOTA 2 Uma falha sistemática só pode ser eliminada por meio de modificações apropriadas na
causa da mesma. Intervenções de manutenção corretiva sem a implementação destas
modificações não eliminam a falha sistemática.
NOTA 3 Devido a sua natureza, causas de falhas sistemáticas não podem ser facilmente previstas
ou quantificadas de forma estatística.
3.28
fator de cobertura (“coverage”)
número que varia de 0 a 1 (100 %) e que indica o percentual de falhas ocultas que são detectadas
quando um dispositivo do SIS é submetido a determinado teste ou diagnóstico
3.29
fator de redução de risco (“Risk Reduction Factor - RRF”)
medida do desempenho de uma camada de proteção dada pela razão entre os riscos sem e com a
implementação desta camada de proteção; pode ser expresso matematicamente como o inverso da
PFDavg da camada de proteção considerada: RRF = 1/PFDavg
3.30
fator modificador (“Modification Factor - MF”)
condição específica que pode modificar a consequência de um cenário
3.31
frequência da causa iniciadora (“Initiating Cause Frequency - ICF”)
frequência esperada de ocorrência da causa que pode levar ao cenário considerado
3.32
frequência da consequência (“Frequency of Consequence - FC”)
frequência esperada de ocorrência da consequência indesejada, levando-se em conta a frequência
da causa iniciadora, a probabilidade de existência da condição habilitadora, as probabilidades médias
de falha na demanda das camadas de proteção não SIF e os fatores modificadores aplicáveis
3.33
frequência tolerável - FTOL (“scenario risk tolerance criteria”)
critério de tolerabilidade de risco dado pela frequência acima da qual um cenário com determinada
severidade de consequência não é tolerado
3.34
função instrumentada de segurança (“Safety Instrumented Function - SIF”)
função de proteção para a qual é requerido um SIL, e que tem objetivo de atingir ou manter um
estado seguro de um processo ou equipamento através de ação automática específica frente a um
determinado desvio operacional
12
-PÚBLICO-
3.35
gráficos de risco (“risk graphs”)
técnica de avaliação qualitativa da redução do risco que utiliza representações gráficas do critério de
tolerabilidade de risco
3.36
iniciador (“sensor”)
dispositivo ou combinação de dispositivos que dão informações ao Executor da Lógica, sobre o valor
ou estado de variáveis de processo ou de equipamentos monitorados disparando a atuação da SIF:
NOTA 2 O termo iniciador como definido nesta Norma é mais abrangente que o termo “sensor”
usado na IEC.
3.37
interface de operação (“operator interface”)
meios pelos quais é estabelecida a comunicação entre o operador humano e o SIS. A interface de
operação também é conhecida como Interface Humano-Máquina (IHM)
NOTA Como exemplos de interface de operação podem ser citados: monitores de vídeo, lâmpadas
indicadoras, “push-buttons”, sirenes e anunciadores de alarmes.
3.38
nível de integridade de segurança (“Safety Integrity Level - SIL”)
Indicador discreto do desempenho de uma SIF, em termos de sua PFDavg e de seu RRF, expresso
em uma escala de números inteiros de 1 a 4
NOTA O projeto da SIF deve considerar todas as falhas (aleatórias de “hardware” e sistemáticas)
que podem impedir que o estado seguro seja alcançado. Para as falhas aleatórias de
“hardware” o SIL é relacionado com a PFDavg quantificada da SIF. Para as falhas
sistemáticas é necessário o uso de abordagens específicas tais como FMEA, FMECA,
árvore de falhas etc.
3.39
perigo (“hazard”)
condição ou propriedade, inerente a uma substância, a uma atividade, a um sistema, ou a um
processo, com potencial para causar danos a integridade física das pessoas, meio ambiente,
patrimônio ou perda de produção
NOTA O termo inclui perigos que se apresentam em curtos intervalos de tempo (exemplo: fogo ou
explosão) e em longos intervalos de tempo (exemplo: liberação de produtos tóxicos).
3.40
probabilidade de falha na demanda (“Probability of Failure on Demand - PFD”)
probabilidade de uma camada de proteção falhar em realizar a sua função específica em resposta a
uma demanda
13
-PÚBLICO-
3.41
probabilidade média de falha na demanda (“Average Probability of Failure on Demand -
PFDavg”)
indicador da confiabilidade de uma camada de proteção dado pela probabilidade média, em um dado
intervalo de tempo, de que a mesma falhe quando demandada
NOTA O intervalo de tempo considerado no cálculo da média é usualmente o intervalo entre testes
periódicos (normalmente igual ao período de campanha da planta ou equipamento).
3.42
programa aplicativo (“application software”)
programa específico para a aplicação do usuário; em geral, contém sequências lógicas, permissões,
limites e expressões necessárias para satisfazer seus requisitos funcionais
3.43
programa embutido (“embedded software”)
programa específico que é parte integrante do sistema eletrônico programável, fornecido pelo
respectivo fabricante, e que é imprescindível a operação e não é acessível a modificações por parte
do usuário; também conhecido como “firmware” ou “software” do sistema
3.44
programa utilitário (“utility software”)
conjunto de ferramentas de programação necessárias para a criação, modificação e documentação
do programa aplicativo; essas ferramentas de programação não são necessárias para a operação do
sistema eletrônico programável
3.45
redundância (“redundancy”)
existência de mais de um meio para realizar uma mesma função, normalmente para aumentar a
confiabilidade e/ou disponibilidade de um sistema
3.46
redundância diversa (“diverse redundancy”)
recurso normalmente empregado para reduzir a influência das falhas de causa comum através da
utilização de diferentes tecnologias, projetos, fabricação, programação etc. para realizar uma mesma
função
NOTA Como exemplos de métodos usuais para se obter a redundância diversa podem ser citados:
14
-PÚBLICO-
3.47
risco (“risk”)
combinação da frequência esperada de ocorrência de um cenário com a severidade da consequência
do mesmo
NOTA 1 Risco pode ser expresso matematicamente como o produto da frequência esperada de
ocorrência de um cenário pela severidade da sua consequência Risco = frequência x
severidade.
NOTA 2 A frequência esperada de ocorrência normalmente é expressa em termos de quantidade de
eventos por ano.
NOTA 3 A severidade da consequência normalmente é expressa em termos de valor monetário
(perdas de produção e/ou danos a patrimônio) e/ou número de fatalidades.
3.48
risco de processo (“process risk”)
risco inerente a condições de processo ou equipamento originadas por eventos anormais (que
incluem defeitos no SSC), sem levar em consideração as camadas de proteção
NOTA 1 No contexto desta Norma, o risco do processo ou equipamento é aquele risco específico
para o qual uma camada de proteção provê redução.
NOTA 2 Perigos de processo incluem fogo, explosão, liberação tóxica, e exposição a radiação
ionizante, mas não incluem perigos não relacionados ao processo, normalmente
controlados por outros meios, tais como proteção auricular, luvas, óculos de segurança,
guarda-corpo, ou “housekeeping”, e perigos ocupacionais tais como escorregões, tropeços
e quedas.
3.49
risco tolerável (“tolerable risk”)
risco definido como aceitável em um dado contexto
NOTA No contexto desta norma, o termo “aceitável” refere-se a um consenso entre a sociedade,
analistas de riscos e agências especializadas (exemplo: HSE) em conviver com um
determinado risco de forma a obter certos benefícios, na confiança de que este risco está
sendo apropriadamente controlado e, portanto, estes benefícios valem o risco assumido.
3.50
severidade da consequência
medida qualitativa ou quantitativa de danos a pessoas, meio ambiente e patrimônio
3.51
Sistema Instrumentado de Segurança (“Safety Instrumented System - SIS”)
sistema usado para implementar uma ou mais funções instrumentadas de segurança; um SIS é
composto por um conjunto de iniciadores, executores da lógica e elementos finais
3.52
Sistema de Supervisão e Controle - SSC (“Basic Process Control System” - BPCS)
sistema que responde a sinais de entrada provenientes do processo, equipamentos associados e/ou
de um operador e gera sinais de saída, levando o processo a operar do modo desejado
NOTA 1 O SSC tipicamente implementa várias funções, como controles de processo contínuos e
discretos (“on-off”), monitoração, alarmes, sequenciamentos e intertravamentos.
NOTA 2 O SSC não realiza nenhuma SIF.
15
-PÚBLICO-
3.53
tempo de resposta da SIF (“response time”)
intervalo de tempo entre o surgimento de uma demanda e a conclusão da atuação de uma SIF; este
tempo inclui o tempo de detecção (“rise time”) da condição de demanda pelo(s) iniciador(es), o tempo
de processamento dos sinais no Executor da Lógica, o tempo de retardo da SIF e o tempo de
atuação do(s) elemento(s) final(is)
3.54
tempo de retardo da SIF
retardo de tempo adicionado intencionalmente ao processamento da lógica de uma SIF, insuficiente
para que se verifique(m) o(s) dano(s) a ser(em) evitado(s) frente a uma demanda real, e necessário
para se evitar “trips” espúrios por oscilações normais / esperadas do processo que não representam
perigo, mas podem atingir o limiar de atuação da SIF
3.55
tempo de segurança do processo (“process safety time”)
intervalo de tempo entre o surgimento de uma demanda real e o perigo
3.56
tolerância a falha na demanda (“failure on demand tolerance”)
capacidade de uma SIF executar sua função quando demandada, mesmo na presença de falha(s)
perigosa(s)
NOTA Como exemplo de arquitetura que possui tolerância a falha na demanda, pode ser citada a
votação tipo 1 de 2.
3.57
tolerância a “trip” espúrio (“spurious trip tolerance”)
capacidade de uma SIF não provocar “trip” espúrio, mesmo na presença de falha(s) segura(s)
NOTA 1 Como exemplo de arquitetura que possui tolerância a "trip" espúrio, pode ser citada a
arquitetura de votação tipo 2 de 2.
NOTA 2 A arquitetura de votação tipo 2 de 3 é geralmente empregada em dispositivos do SIS
quando se deseja obter simultaneamente tolerância a falha na demanda e tolerância a “trip”
espúrio.
3.58
“trip”
atuação do(s) elemento(s) final(is) de uma SIF, seja por demanda real, por forçamento manual, ou
por falha da SIF (“trip” espúrio)
3.59
“trip” espúrio (“spurious trip”)
“trip” ocorrido sem que tenha havido demanda real, ou forçamento intencional (“trip” manual) dessa
condição; normalmente ocorre devido a falha de um ou mais dispositivos da SIF
NOTA Nem todo “trip” espúrio pode ser categorizado como falha segura, haja vista que atuações
espúrias totais ou parciais de algumas SIFs podem ser causas iniciadoras de cenários de
risco.
3.60
validação (“validation”)
atividade de demonstrar que o SIS instalado atende efetivamente as especificações das suas SIFs,
incluindo todos os aspectos de suas funcionalidades e de seus requisitos de desempenho
16
-PÚBLICO-
3.61
válvula de retenção de alta integridade (“high integrity backflow prevention device”)
dispositivo especialmente projetado e construído para garantir, com alta confiabilidade, uma vedação
estanque (“tight shut-off”) para fluxo reverso
NOTA Estes dispositivos possuem sede e internos usinados com precisão que garante vedação
metal-metal estanque e um desenho especial (e.g. tipo venturi) que lhes confere um
conjunto de características, tais como: fluxo axial laminar, passagem plena, baixa perda de
carga na abertura, resposta suave e estável frente a variações no fluxo, fechamento rápido
(assistido por mola ou pneumaticamente) e suave (“non-slam”), as quais minimizam danos
por erosão, vibração, fechamento brusco e ciclagem elevada.
3.62
verificação (“verification”)
atividade de demonstrar para cada fase do ciclo de vida do SIS através de análises e/ou testes que,
para as condições especificadas, são atingidos todos os objetivos e requisitos estabelecidos na
especificação funcional daquela fase
4 Símbolos ou Siglas
17
-PÚBLICO-
MTTFS - “Mean Time to Fail Safe” (Tempo Médio para Falhar no modo Seguro);
MTTR - “Mean Time to Repair” (Tempo Médio para Reparo);
NFPA - National Fire Protection Association;
PCC - Painel de Corrente Contínua;
PFD - Probabilidade de Falha na Demanda;
PFDavg - Probabilidade Média de Falha da Demanda;
RRF - “Risk Reduction Factor” (Fator de Redução de Risco);
SDV - “Shut Down Valve”;
SIF - “Safety Instrumented Function” (Função Instrumentada de Segurança);
SIL - “Safety Integrity Level” (Nível de Integridade de Segurança);
SIS - Sistema Instrumentado de Segurança (“Safety Instrumented System”);
SRS - “Safety Requirements Specification” (Especificação de Requisitos de
Segurança);
SSC - Sistema de Supervisão e Controle;
TAF - Teste de Aceitação em Fábrica (“Factory Acceptance Test”);
UPS - “Uninterruptible Power Supply” (Sistema Ininterrupto de Potência).
A avaliação da necessidade de implementação de uma ou mais SIFs é parte integrante das práticas
de projeto, devendo ser realizada durante a etapa de elaboração do projeto básico da planta, através
da aplicação de uma ou mais técnicas de análise de riscos, seguida da adoção de camadas de
proteção apropriadas.
5.1.1 Dentre as diversas técnicas para avaliação de riscos de processo citadas na PETROBRAS
N-2782, recomenda-se a aplicação de HAZOP por uma equipe multidisciplinar. Tal equipe é formada
por profissionais das áreas de processo, instrumentação e controle, operação e segurança industrial,
utilizando como referência documentos de projeto que viabilizem a identificação dos cenários e a
avaliação dos riscos associados a cada cenário [Prática Recomendada].
5.1.2 As condições de contorno impostas pelo local de instalação da planta ou equipamento, bem
como pela sua filosofia operacional devem estar definidas quando da análise dos impactos
decorrentes de um cenário de risco. Exemplos típicos são equipamentos operados remotamente ou
manualmente do campo e plantas localizadas em regiões isoladas ou próximas a regiões habitadas.
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base as políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, a legislação local e as regulamentações aplicáveis.
NOTA Também podem ser considerados na determinação do risco tolerável: normas e referências
internacionais, informações de companhias seguradoras e acordos entre as partes
interessadas, podendo envolver a comunidade local. [Prática Recomendada]
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que o risco de um cenário não ser tolerável
(estar fora da região T - “tolerable”) é diferente de ser não tolerável (estar na região NT -
“unacceptable”). Porém deve-se frisar que deixar o risco final na região M (moderado) deve ser
justificado após se ter lançado mão de todos os recursos para reduzi-lo, em aderência ao conceito
ALARP.
18
-PÚBLICO-
5.2.1 Caso a avaliação de um cenário indique que sua frequência é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do cenário ou a
severidade da consequência associada a este cenário. Tal redução se dá através da aplicação de
medidas de redução de risco, normalmente chamadas de salvaguardas ou camadas de proteção (ver
Figura 1).
Projeto da instalação
processo
19
-PÚBLICO-
5.2.2 Como primeira camada de proteção, um cenário associado a operação de equipamentos e/ou
processos pode ter seu risco consideravelmente reduzido, ou mesmo ser completamente eliminado,
por meio de técnicas de projeto específicas ou de um projeto inerentemente mais seguro. Exemplos:
riscos devidos a pressão excessiva podem ser reduzidos através de especificação adequada da
espessura de tubulação ou da limitação do “head” da bomba abaixo da pressão de projeto do vaso
para onde a mesma descarrega, riscos devidos a temperaturas elevadas podem ser reduzidos
através de projetos adequados de trocadores de calor, riscos devidos a vibrações podem ser
reduzidos prevendo-se suportes adequados para as tubulações, riscos a pessoas podem ser
bastante reduzidos através da instalação da planta em local desabitado, riscos de incêndio ou
explosão podem ser eliminados se for possível trocar o produto por outro não inflamável.
5.2.4 A camada de proteção seguinte, constituída por um SIS, objeto principal desta Norma,
geralmente acompanha outra, formada por sistemas de alívio e de prevenção baseados em
dispositivos mecânicos, tais como válvulas de segurança, discos de ruptura e válvulas de retenção.
5.2.5 Recomenda-se que um SIS somente seja adotado caso, após a aplicação das demais medidas
de redução de risco mencionadas, o risco residual permaneça maior que o tolerável (ver Figura 2).
[Prática Recomendada]
Risco Aumentando
Redução de risco necessária
5.3.1 Uma vez confirmada a necessidade de uma ou mais SIFs, sua aplicação passa a constituir um
SIS propriamente dito. As etapas necessárias para a implantação de um SIS incluem concepção,
projeto, instalação, operação, manutenção e desativação, e são chamadas ciclo de vida do SIS (ver
Figura 3).
20
-PÚBLICO-
Análise de Riscos
SIF confirmada?
não
Operação,
sim manutenção e testes
Aplicação de outros
funcionais periódicos
meios para redução Verificação do SIL e do
do SIS
dos riscos MTTFS
(seção 13)
identificados (seção 8)
5.3.2 Para viabilizar a aplicação e operacionalização de um SIS, é necessário que exista implantado
um sistema de gestão do seu ciclo de vida com base em um Plano de Segurança conforme
IEC 61511-1 capaz de garantir que:
5.4.1 O projeto básico do SIS deve estabelecer e registrar, de modo organizado e sistemático, os
requisitos técnicos de especificação necessários para cada uma das SIFs que compõem o SIS, tanto
aquelas criadas durante a fase de projeto básico do processo (normalmente registradas nos
fluxogramas de engenharia e matrizes de causa e efeito), quanto aquelas criadas como
recomendações da técnica de identificação de perigos aplicada na fase de análise de riscos da
planta.
5.4.3 Todas as SIFs devem ser executadas pelo executor da lógica do SIS. Não é permitido
execução de SIF pelo SSC.
21
-PÚBLICO-
5.4.5 Recomenda-se que as SIFs incluam somente dispositivos e lógicas necessárias para redução
de riscos nos respectivos cenários. [Prática Recomendada]
5.4.7 Cada SIF deve ser documentada numa folha de dados que reúna as principais especificações
da SIF, compondo um conjunto de informações equivalente ao “Safety Requirements Specification -
SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.7.2 Ao final do projeto básico devem estar definidos e documentados, no mínimo, o conjunto de
informações relacionadas no formulário de Folha de Dados de SIF sugerido no Anexo D.
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA.84.91.01)
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas, detalhadas nos capítulos a seguir:
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova planta e
durante as revisões que venham a ser realizadas no projeto de uma planta existente.
22
-PÚBLICO-
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) processo;
b) instrumentação e controle;
c) operação;
d) segurança.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante da área de processo deve ter participado do projeto básico específico a ser
analisado, de forma a garantir um bom conhecimento sobre o mesmo.
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas no 6.2.1, desde que atenda às exigências para tal.
23
-PÚBLICO-
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
6.3.1 Os seguintes documentos devem estar disponíveis em suas revisões mais recentes para uso
no processo de avaliação das funções instrumentadas de segurança:
a) fluxogramas de engenharia;
b) descritivo das ações automáticas (matriz de causa e efeito, diagrama lógico, ou outro
documento equivalente);
c) relatório da análise de riscos, caso tenha sido emitido.
6.3.2 Informações adicionais sobre falhas, eventos perigosos e acidentes relacionados ao processo
ou equipamento objeto da proteção pela SIF também podem ser utilizadas, desde que suas fontes
sejam devidamente documentadas na Folha de Dados de SIF.
6.3.3 Dentre os cenários identificados pela análise de riscos, devem ser selecionados para avaliação
todos aqueles onde haja intertravamento como salvaguarda ou como recomendação. Outros cenários
podem ser avaliados a critério da equipe.
6.4.1 A cada SIF deve ser atribuído um SIL de acordo com a redução de risco requerida para a
mesma (ver Tabela 1).
NOTA Para SIFs que operam em modo contínuo ou com alta demanda (mais de uma demanda por
ano ou duas ou mais demandas a cada intervalo entre testes) o SIL é correlacionado com
uma frequência de falhas perigosas por hora, sendo, por exemplo, SIL 1 equivalente a uma
frequência entre 10-6 por hora e 10-5 por hora (ver Tabela 4 da IEC 61511-1).
6.4.2 A avaliação do SIL requerido para uma SIF deve considerar as consequências sobre:
24
-PÚBLICO-
6.4.3 O SIL requerido para a SIF deve ser o maior dentre os determinados para cada um destes três
aspectos.
NOTA Caso riscos associados aos aspectos pessoal e ambiental sejam ambos considerados
desprezíveis, fazendo com que o SIL seja determinado apenas pelo risco associado ao
aspecto do patrimônio da companhia, recomenda-se a realização de análise custo-benefício
para determinar se vale a pena ou não implementar a SIF. Tal análise deve confrontar os
custos dos danos a serem evitados pela SIF com os custos de implantação, manutenção e
trips espúrios da SIF ao longo de todo o seu ciclo de vida. [Prática Recomendada]
6.4.4 Caso uma mesma SIF seja salvaguarda para diversos cenários, o SIL requerido deve ser o
maior dentre os obtidos para cada cenário.
6.4.5 Nesta Norma são apresentados dois métodos distintos de avaliação do SIL requerido para uma
SIF, a saber:
a) gráficos de risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semiquantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade das consequências, disponibilidade de informações sobre os
cenários de risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um SIL requerido maior que 3, devem ser
aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de integridade
de segurança requerido abaixo de SIL 4. Orientações e cuidados a serem tomados para reduzir o SIL
requerido de forma segura são encontrados na ISA TR 84.00.04 Part 1.
6.4.10 Caso o resultado da avaliação indique não haver SIL requerido, deve ser observado o
disposto no 5.4.4.
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 Para determinação do MTTFS mínimo aceitável recomenda-se o uso da Tabela 2. [Prática
Recomendada]
25
-PÚBLICO-
6.5.3 Caso a atuação espúria de uma SIF leve a um novo cenário acidental, o risco associado deve
ser tolerável. Por exemplo, um sistema de alívio de material tóxico ou inflamável deve ser direcionado
para local seguro.
6.5.4 Deve-se levar em conta que a atuação de uma SIF pode vir a desencadear outras ações de
proteção. Por exemplo: baixa vazão de gás causa “trip” do compressor, o qual, por sua vez, causa
“trip” da bomba de carga.
6.5.5 Uma vez determinado o MTTFS requerido, o mesmo deve ser registrado na Folha de Dados da
respectiva SIF.
7.1.1 As SIFs devem ter suas respectivas implementações físicas separadas das malhas do SSC.
Portanto, devem ser segregados pelo menos os seguintes componentes:
26
-PÚBLICO-
7.1.3 Admite-se o uso compartilhado de uma válvula de controle como segundo elemento final de
uma SIF somente nos casos em que todos os itens a seguir sejam atendidos:
a) a instalação de uma segunda válvula de bloqueio tenha custo muito elevado ou não seja
usual;
b) a válvula de controle não pode ser parte integrante de outra IPL;
c) a verificação do SIL obtido deve ser realizada utilizando-se método quantitativo que leve
em conta os casos nos quais falha na válvula de controle é causa iniciadora;
d) a estanqueidade da válvula de controle seja compatível com os requisitos da SIF;
e) o modo de falha da válvula de controle seja o mesmo que o da válvula de bloqueio;
f) quando a posição de segurança for fechada, a válvula de “by-pass” seja mantida
trancada fechada e sua posição monitorada continuamente pelo Executor da Lógica do
SIS com o uso de chave fim de curso;
g) o acionamento de segurança da válvula de controle seja feito pelo Executor da Lógica do
SIS por meio de válvula solenoide dedicada.
7.2.1 Plantas que operem de modo independente ou tenham paradas programadas para
manutenção independentes devem possuir SIS distintos.
7.2.2 Para equipamentos de processo localizados dentro de uma mesma planta, os quais tenham
paradas programadas de manutenção independentes, recomenda-se segregar os seguintes itens
componentes de cada respectivo SIS: caixas de junção, multicabos, módulos de I/O e programas
aplicativos. [Prática Recomendada]
7.2.3 Recomenda-se que o SIS seja segregado de outros sistemas de segurança regidos por normas
específicas. [Prática Recomendada]
EXEMPLO
— ABNT NBR 12712 para estações de redução de pressão de gás;
— ABNT NBR 17240 para sistemas de detecção e alarme de incêndio;
— API 670 para sistemas de proteção de máquinas.
27
-PÚBLICO-
7.3.1 Para SIFs com redundância de iniciadores e/ou de elementos finais, recomenda-se segregar os
seguintes componentes de cada respectivo canal [Prática Recomendada]:
a) tomadas de processo;
b) linhas de impulso;
c) cabeamentos de sinal;
d) caixas de junção;
e) multicabos;
f) réguas de bornes;
g) fusíveis e disjuntores;
h) módulos de I/O.
7.3.2 No caso de medição de temperatura redundante admite-se a utilização de um único poço para
mais de um iniciador.
7.4.1 A alimentação elétrica para o SIS deve ser fornecida a partir de um sistema de corrente
contínua redundante constituído por dois conjuntos de carregadores, dois bancos de baterias e dois
quadros de distribuição (PCC) com disjuntor para interligação, sendo um quadro igual (espelho) ao
outro e cada um desses conjuntos, energizado por alimentadores independentes.
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada entrada alimentada por um PCC distinto. [Prática
Recomendada]
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
28
-PÚBLICO-
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica.
[Prática Recomendada]
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores não seja tecnicamente viável, devem-se utilizar
técnicas que reduzam falhas ocultas, tais como: supervisão de linha, circuitos de sinal energizados
quando da condição normal de operação da planta ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores seja configurado de modo a, em caso de falha, conduzir o sinal de saída para os
seguintes valores, observando também os 7.8.8 e 7.8.14: [Prática Recomendada]
a) abaixo de 3,6 mA (“sub-range”) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (“sobre-range”) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
7.6.4 Recomenda-se que os iniciadores do SIS e os sensores utilizados no SSC para medição das
mesmas variáveis, tenham o mesmo “range” e incertezas compatíveis, de modo a permitir sua
comparação direta, podendo ser implementado alarme de desvio no SSC. [Prática Recomendada]
7.6.5 Os iniciadores devem ser pintados na cor alaranjado segurança conforme a PETROBRAS
N-1219. A pintura parcial do iniciador é aceitável. Exemplo: pintura apenas das tampas de
transmissores.
7.6.6 Para os iniciadores das SIFs avaliadas como SIL 3 recomenda-se o uso de redundância
diversa. [Prática Recomendada]
7.7.1 Recomenda-se que válvulas do SIS utilizem atuadores pneumáticos. Atuadores elétricos ou
hidráulicos podem ser utilizados nos casos em que os atuadores pneumáticos sejam impraticáveis.
Por exemplo, indisponibilidade de ar de instrumento. [Prática Recomendada]
29
-PÚBLICO-
NOTA Em alguns casos, o risco de “trip” espúrio pode ser elevado, justificando utilização de modo
de atuação normalmente desenergizado. Entretanto, faz-se necessário demonstrar que o
nível de integridade de segurança requerido é atingido e mantido ao longo da ciclo de vida
da instalação.
7.7.3 Válvulas do SIS não devem dispor de volantes para acionamento manual.
7.7.4 Para válvulas do SIS e respectivos atuadores, devem ser especificados, no mínimo, os
seguintes aspectos:
7.7.5 No caso de elementos finais da SIF serem circuitos de acionamento de máquinas elétricas
(motores) os status destes equipamentos devem ser sinalizados na interface de operação.
7.7.6 Recomenda-se para SIF avaliada como SIL 3, cuja atuação seja feita em motor elétrico, que a
confirmação do estado do motor se dê através da monitoração de variáveis tais como rotação do eixo
ou corrente elétrica. [Prática Recomendada]
7.7.7 Em aplicações envolvendo proteção de equipamentos essenciais acionados por motor elétrico,
recomenda-se utilizar a função “Breaker Failure - BF” no relé de proteção elétrica do disjuntor de
acionamento do motor. [Prática Recomendada]
NOTA Deve-se avaliar os impactos do desligamento das demais cargas afetadas pela atuação do
BF.
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes aspectos:
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
[Prática Recomendada]
30
-PÚBLICO-
7.7.12 Elementos finais do SIS devem ser pintados na cor alaranjado segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
diversa. [Prática Recomendada]
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo. O certificado deve ser submetido para aprovação da PETROBRAS. Devem
ser observadas as restrições de aplicação indicadas nos respectivos manuais de segurança e
relatórios que acompanham os certificados de conformidade.
7.8.5 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
7.8.7 Recomenda-se que o executor da lógica seja dotado de recursos para detectar sinal de
iniciador fora da faixa normal de trabalho e atribuir ao mesmo um status de falha (“out of
specification”) quando abaixo de 3,6 mA ou acima de 21 mA. [Prática Recomendada]
31
-PÚBLICO-
7.8.8 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.9 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor alaranjado
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.10 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.11 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da PETROBRAS. Devem ser observadas as restrições de
aplicação indicadas nos respectivos manuais de segurança e relatórios que acompanham os
certificados de conformidade.
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
[Prática Recomendada]
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
NOTA 1 A duração deste contorno automático deve ser definida na fase do projeto de detalhamento,
não podendo exceder 8 horas. Durante esse período, a operação da unidade deve definir
sobre o acionamento ou não do contorno manual de manutenção do iniciador em questão.
NOTA 2 A duração total do contorno (automático + manual) deve respeitar o limite estabelecido no
procedimento específico para a SIF em questão.
NOTA 3 Caso a temporização do contorno automático chegue ao fim sem que tenha sido acionado
manualmente o contorno para manutenção conforme 7.11.3.5, o programa aplicativo deve
atribuir ao iniciador em falha o status de “trip”, seguindo-se daí as consequências
programadas na lógica da SIF.
7.8.14 Recomenda-se que o programa aplicativo trate os casos de SIFs com iniciadores
redundantes, de modo a evitar "trips" espúrios por falso diagnóstico de falha simultânea de todos os
iniciadores, devido a excursão real da variável de processo para fora da faixa normal de trabalho no
sentido contrário ao do "trip". [Prática Recomendada]
32
-PÚBLICO-
EXEMPLO
NOTA Uma eventual implementação de lógica específica para evitar este tipo de "trip" espúrio
deve ser precedida por uma avaliação cuidadosa das possibilidades de falha de causa
comum dos iniciadores.
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em
série, instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Recomenda-se que os sinais de comando manual de “trip” sejam processados pelo Executor
da Lógica do SIS. [Prática Recomendada]
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
33
-PÚBLICO-
7.11.1.2 Todo contorno acionado manualmente deve ser feito por intermédio de telas pré-
configuradas na IHM do SSC, possuindo necessariamente sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
7.11.2.1 Somente devem dispor de comando de contorno para início de operação as SIFs que,
devido ao estado inicial do processo, impeçam a partida da planta ou equipamento objeto de
proteção. Exemplos: pressão baixa no “header” de gás para o forno, velocidade baixa de rotação do
compressor, baixa vazão de carga, etc.
7.11.2.2 Recomenda-se que os comandos de contorno para início de operação sejam desativados
através de funções automáticas, evitando-se o uso de comando manual para essa finalidade.
[Prática Recomendada]
EXEMPLO
7.11.2.3 Os comandos de contorno para início de operação devem ser mantidos desativados quando
a planta ou equipamento objeto de proteção pelo SIS não estiver em procedimento de partida.
7.11.3.1 Recomenda-se não permitir que mais de uma SIF pertencente a uma mesma planta ou
equipamento tenha algum de seus elementos contornado ao mesmo tempo. [Prática Recomendada]
7.11.3.2 A duração do contorno para manutenção deve ser a menor possível. Se o dispositivo em
contorno não for reparado dentro do MTTR assumido nos cálculos de confiabilidade, devem ser
tomadas as ações pré-definidas em procedimento específico de modo a manter a planta ou
equipamento em estado seguro. O exemplo mais comum de procedimento é a adoção de um regime
operacional especial (redução de carga da unidade de processo, operação em estado de alerta etc.),
podendo culminar no disparo manual da função de segurança.
NOTA 1 Recomenda-se não partir a planta ou equipamento com SIF em contorno para manutenção.
[Prática Recomendada]
NOTA 2 A partida de uma planta ou equipamento com SIF em contorno para manutenção implica na
imediata execução das ações definidas no procedimento específico.
34
-PÚBLICO-
7.11.3.3 Para as SIFs que disponham de redundância de iniciadores, o contorno para manutenção
deve degradar as respectivas arquiteturas de votação da seguinte forma:
a) de 1 de 2 para 1 de 1;
b) de 2 de 2 para 1 de 1;
c) de 2 de 3 para 1 de 2.
NOTA Caso haja contorno de mais de um iniciador em uma mesma SIF, deve ser utilizado
procedimento específico conforme 7.11.3.2.
7.11.3.4 Para as SIFs que não disponham de redundância de iniciadores, somente deve haver
comando de contorno para manutenção nas SIFs que satisfaçam simultaneamente aos seguintes
requisitos:
7.11.3.5 O contorno de SIF deve ser realizado de acordo com procedimento específico para esse fim
desenvolvido na etapa de projeto de detalhamento do SIS. Tal procedimento deve incluir o controle
do tempo de duração do contorno (ver 13.1.5) e estar em conformidade com os padrões de operação
da planta ou equipamento objeto de proteção pelo SIS.
EXEMPLO
7.12.1 Considera-se que a planta ou equipamento objeto de proteção pelo SIS é monitorada e
controlada por meio de um SSC, cuja IHM serve também de interface do SIS com o operador da
planta. Dessa forma, devem ser apresentados na IHM do SSC as seguintes informações do SIS:
35
-PÚBLICO-
7.12.2 Devem ser previamente configurados e enviados da interface de operação do SSC para o
Executor da Lógica do SIS os seguintes comandos:
7.12.3 Recomenda-se que toda falha identificada de forma automática em algum dispositivo do SIS,
seja por função específica de diagnóstico, por desvio no valor da variável monitorada, ou por qualquer
outro método, gere um alarme na interface de operação do SSC. [Prática Recomendada]
NOTA Por desvio no valor da variável monitorada, pode-se entender uma diferença maior que
duas vezes o erro total provável entre os valores dos sensores analógicos do SIS e do SSC
para a mesma variável de processo.
7.12.4 É recomendado que seja implementada sincronização entre os relógios internos do SSC e do
Executor da Lógica do SIS, de modo a viabilizar análises de sequências de eventos. [Prática
Recomendada]
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de segurança de uma instalação industrial deve existir pelo menos uma
estação de engenharia/manutenção interligada em rede com os mesmos.
7.13.4 Recomenda-se que haja uma porta local de comunicação em cada CP de segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
36
-PÚBLICO-
7.14.2 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12.2. [Prática
Recomendada]
7.15.1 Recomenda-se que o tempo de resposta da SIF seja menor ou igual à metade do tempo de
segurança do processo informado pela disciplina de processo. [Prática Recomendada]
7.15.2 Recomenda-se avaliar o uso de tempo de retardo nas SIFs de modo a reduzir a frequência de
ocorrência de “trips” espúrios. [Prática Recomendada]
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF
8.1 A etapa de verificação tem por objetivo prover maior consistência ao projeto básico, evitando
modificações significativas durante o projeto de detalhamento.
8.2 Deve-se realizar cálculos de confiabilidade para verificar conformidade com os valores de SIL e
de MTTFS requeridos de cada SIF. Exemplo, metodologia apresentada na ISO TR 12489.
NOTA A indicação pelos cálculos de que não é requerida tolerância a falha não invalida a
aplicação de outros critérios de redundância, tais como flexibilidade operacional, inclusive
para a execução de testes de SIF durante a operação da planta ou equipamento.
8.2.2 Para as SIF que tenham SIL requerido igual a 3 é obrigatória aplicação de tolerância a falha na
demanda em todos os componentes da SIF.
8.3 Os cálculos de confiabilidade de cada SIF devem ser registrados em uma memória de cálculo
específica, contendo as seguintes informações:
37
-PÚBLICO-
c) taxas de falhas dos dispositivos utilizados nas condições de processo consideradas (ver
Notas 1 e 2);
d) fator de cobertura de diagnóstico do dispositivo;
e) fator de cobertura de testes;
f) fator de causa comum;
g) MTTR considerado na instalação industrial em questão;
h) intervalo de tempo entre testes periódicos considerado;
i) método de cálculo adotado;
j) identificação das fontes dos dados de falha utilizados;
k) requisitos e meios para realizar testes durante a campanha normal de operação, caso
necessário; exemplo: testes de deslocamentos parciais em válvulas (“partial stroke
tests”);
l) requisitos especiais aplicáveis; exemplos: utilização de barreira de segurança intrínseca
(ver Nota 3), energiza para “trip” (ver Nota 4);
m) critérios de cálculo considerados. Exemplo: todas as falhas detectadas durante os testes
são corrigidas, os dispositivos consertados ficam em estado de novo (“as good as new”),
as taxas de falhas são constantes no tempo, etc.
NOTA 1 As taxas de falha de dispositivos a serem utilizadas devem ser obtidas em bancos de dados
definidos pela Unidade Operacional e os parâmetros adotados devem ser registrados.
EXEMPLO
NOTA 2 Recomenda-se que a Unidade Operacional opte por uma única base de dados e a utilize
em todas as suas aplicações de SIS, de forma a manter coerência entre os resultados de
verificação de SIL atingido. [Prática Recomendada]
NOTA 3 Recomenda-se acrescentar fator de correção ao utilizar taxas de falha informadas por
fabricantes, de modo a cobrir as falhas causadas pela instalação (entupimento de tomada,
por exemplo) e pelas condições do processo (temperatura de operação, fluido corrosivo,
ambiente agressivo etc.). [Prática Recomendada]
NOTA 4 Caso seja necessária a utilização de algum elemento entre dispositivos de campo e
Executor da Lógica (barreira de segurança intrínseca, isolador, conversor de sinal, relé de
interposição etc.), sua taxa de falha deverá ser considerada nos cálculos de SIL e de
MTTFS da SIF.
NOTA 5 Normalmente, uma falha da UPS causa “trip” espúrio, mas sua taxa de falha não deve ser
contabilizada no cálculo de MTTFS. Por outro lado, se uma SIF necessitar de alimentação
elétrica para atuar, a taxa de falha do UPS deve ser contabilizada no cálculo da sua PFD.
8.4 O MTTR assumido nos cálculos de confiabilidade deve incluir os tempos de notificação do
problema à Gerência de Manutenção, de execução do reparo propriamente dito e dos testes pós-
reparo, e de restauração do dispositivo à sua condição operacional normal.
8.5 O intervalo de tempo entre testes periódicos deve ser igual ou maior que o período de campanha
previsto, entendido como o intervalo de tempo entre paradas programadas periódicas de manutenção
da planta ou equipamento.
NOTA Para Unidades que não tenham período de campanha definido, o intervalo de tempo entre
testes periódicos não deve ser menor do que 6 meses.
8.6 Um intervalo de tempo entre testes menor que o período de campanha só deve ser adotado nos
casos em que seja comprovadamente demonstrado que o SIL requerido não pode ser atingido de
outra forma.
38
-PÚBLICO-
8.7 Caso seja adotado um intervalo de tempo entre testes menor que o período de campanha da
planta ou equipamento, a respectiva SIF deve ser dotada de recursos/facilidades que permitam a
realização de testes periódicos durante a campanha normal de operação. Tais testes devem ser
executados sem comprometer a sua integridade nem a disponibilidade requerida para a planta
(perdas de produção). Tais recursos/facilidades fazem parte integrante do projeto da SIF.
8.8 O cálculo do SIL obtido deve considerar apenas as ações automáticas de segurança indicadas
na Folha de Dados da SIF. Ações secundárias e comandos manuais de “trip” não devem ser
considerados nos cálculos de desempenho da SIF (SIL ou MTTFS).
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador, prevista no projeto de processo, mas não faz parte da função automática de
proteção.
9.1.2 Os seguintes documentos devem estar disponíveis para iniciar a etapa de projeto de
detalhamento:
9.2 Documentação
9.2.1 Os documentos relacionados a seguir devem ser elaborados durante a fase de projeto de
detalhamento do SIS e estar em conformidade com a PETROBRAS N-1883, formando um conjunto
distinto e destacado dos demais documentos do projeto de detalhamento (ver ISA 84.91.01):
39
-PÚBLICO-
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
40
-PÚBLICO-
10.2.1 Durante a etapa de projeto de detalhamento do SIS deve ser elaborado um planejamento
próprio e específico para o TAF. Tal planejamento deve ser estruturado e apresentado em um
documento intitulado Plano de TAF, o qual deve incluir os seguintes itens:
a) local de realização;
b) documentos de referência, dentre os quais se destaca a Especificação Técnica do
Executor da Lógica do SIS;
c) competência do pessoal designado para supervisão e execução dos testes;
d) responsabilidade pela execução e registros dos testes;
e) responsabilidade pelo acompanhamento, testemunho e liberação;
f) cronograma de execução;
g) descrição da plataforma de teste e ferramentas;
h) relação dos testes a serem executados;
i) procedimento de execução elaborado especificamente para cada tipo de teste;
j) critérios de aceitação;
k) modelo de relatório de registro dos resultados - Relatório do TAF;
l) procedimentos de ação corretiva;
m) classificação das pendências e formulário para registro das mesmas;
n) relatórios dos testes internos realizados (pré-TAF).
10.2.2 Os critérios de aceitação são parte integrante do procedimento de teste e devem ser
baseados na ET do Executor da Lógica.
10.2.3 O Plano de TAF deve ser submetido para análise e liberação por parte da PETROBRAS.
Somente após a liberação do Plano de TAF pode-se dar prosseguimento à execução do TAF
propriamente dita.
10.3.1 O TAF deve ser realizado com os mesmos equipamentos e programas aplicativos, utilitários e
embutidos que serão efetivamente instalados no campo.
10.3.2 Recomenda-se o uso de recursos de simulação de processo com visualização gráfica para
auxílio à execução do TAF. [Prática Recomendada]
10.3.3 O TAF deve ser conduzido de acordo com o Plano de TAF, incluindo a realização de testes
dos seguintes tipos:
a) inspeção visual;
b) testes elétricos: isolamento, continuidade;
c) testes funcionais: verificação da lógica propriamente dita;
d) verificação do mapa de memória e concordância com o projeto;
e) testes de desempenho: medição de “scan time” etc.;
f) testes de compatibilidade ambiental: compatibilidade eletromagnética, operação sob a
maior temperatura ambiente especificada etc.;
g) testes de tolerância a falha: operação em modo degradado;
h) testes de interface:
— leitura e escrita de todos os canais, analógicos e digitais, de entrada/saída, bem
como de todos os níveis de diagnósticos; exemplo: 2 mA em sinal de 4 mA a 20 mA;
simulação de cabo partido em sinal de entrada digital monitorado;
— variação da tensão da alimentação elétrica;
41
-PÚBLICO-
NOTA 1 Os testes de entradas analógicas devem ser executados em pelo menos cinco pontos
representativos da faixa de medição. Exemplo: 0 %, 25 %, 50 %, 75 % e 100 %.
NOTA 2 Uma IHM provisória com telas gráficas específicas deve ser prevista para os testes.
10.3.5 Os registros dos testes realizados devem ser agrupados em um documento intitulado
Relatório do TAF, o qual deve ser submetido para análise e liberação pela PETROBRAS.
10.3.6 No caso da execução de um teste não ser bem sucedida, o respectivo evento deve ser
registrado no relatório, analisado e aplicadas as ações corretivas previstas.
10.3.7 Durante a execução do TAF não devem ser feitas modificações no programa aplicativo que
alterem a funcionalidade ou integridade das SIFs. Qualquer modificação deve ser feita em
conformidade com o 13.4 da desta Norma.
10.4 Preservação
10.4.1 O objetivo desta etapa é o de prover informações para manutenção da integridade física do
Executor da Lógica durante os períodos de transporte e armazenamento, antecedendo a etapa de
instalação.
10.4.2 Deve ser elaborado um documento intitulado Plano de Preservação, o qual deve incluir os
seguintes itens:
42
-PÚBLICO-
11.1 Instalação
11.1.1 A etapa de instalação tem por objetivo garantir que todos os dispositivos do SIS são
efetivamente instalados de acordo com suas especificações técnicas e demais requisitos
estabelecidos na etapa de projeto.
11.1.2 Deve ser elaborado um documento intitulado Plano de Instalação o qual deve conter:
11.1.3 O SIS deve ser instalado de acordo com o Plano de Instalação, o qual deve observar os
requisitos presentes na PETROBRAS N-858.
11.2 Condicionamento
11.2.1 A etapa de condicionamento tem por objetivo garantir que todos os dispositivos do SIS
estejam individualmente operacionais de forma a viabilizar a realização da etapa de pré-operação
(ver IEC 62337).
a) inspeção visual;
b) verificação de ligações e resistência de aterramento elétrico;
c) verificação das fontes de energia elétrica, pneumática e hidráulica;
d) parametrização e calibração dos iniciadores e elementos finais;
43
-PÚBLICO-
e) verificação das interligações elétricas entre iniciadores e elementos finais com o painel
do Executor da Lógica, incluindo continuidade e isolamento;
f) verificação de todas as válvulas de bloqueio e de drenagem na posição de operação
normal;
g) verificação de todos os dispositivos do SIS energizados e com diagnóstico interno
indicando status operacional bom;
h) verificação do correto envio e recebimento de informações a partir da interface de
operação (IHM);
i) medição dos tempos de atuação dos elementos finais;
j) confirmação da imunidade a interferência eletromagnética.
11.2.4 Os dispositivos do SIS devem ser condicionados de acordo com o Plano de Condicionamento,
o qual deve observar os requisitos da PETROBRAS N-858. Durante a execução das atividades de
condicionamento deverão ser feitos registros e elaborado relatório de condicionamento de modo a
demonstrar conformidade com os requisitos técnicos estabelecidos no projeto do SIS.
12.1 Pré-Operação
12.1.1 A etapa de pré-operação deve ser executada após a conclusão das etapas de instalação e
condicionamento. A realização completa e bem sucedida desta etapa é requisito para o início de
operação da planta ou equipamento objeto de proteção pelo SIS.
12.1.2 A etapa de pré-operação tem por objetivo validar o SIS por intermédio da realização de
simulações e testes funcionais exaustivos, abrangendo não somente a operação conjunta de todos os
dispositivos do SIS, mas também destes com os demais sistemas e/ou equipamentos interligados e
efetivamente instalados em campo.
12.1.3 Deve ser elaborado um documento intitulado Plano de Pré-Operação do SIS, contendo:
12.1.4 Recomenda-se que o Plano de Pré-Operação não imponha excessivo número de demandas
durante os testes aos elementos finais. [Prática Recomendada]
44
-PÚBLICO-
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de pré-operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente
se o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de
análise bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer
parte integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
45
-PÚBLICO-
13.1 Operação
13.1.1 O objetivo desta subseção é o de estabelecer requisitos que contribuam para a operação
adequada do SIS ao longo de seu ciclo de vida.
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado manual de
operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
13.1.3 O manual de operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e
procedimentos contidos no manual de operação do SIS. O treinamento deve ser registrado de forma
apropriada a garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
46
-PÚBLICO-
13.2 Manutenção
13.2.1 O objetivo deste item é estabelecer requisitos que viabilizem a manutenção da integridade e
da confiabilidade do SIS ao longo de seu ciclo de vida.
13.2.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Plano de
Manutenção do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
13.2.3 É recomendado que o usuário adote uma sistemática de codificação das tarefas, falhas,
ações corretivas e atuações de modo a permitir a realização de análises estatísticas de ocorrências
do SIS. [Prática Recomendada]
13.2.5 O plano de manutenção do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.2.6 Recomenda-se que outras camadas de proteção diferentes do SIS sejam incluídas no plano
de manutenção do SIS, caso tenham sido consideradas na redução de riscos. [Prática
Recomendada]
13.2.8 O acesso ao Executor da Lógica do SIS deve ser restrito ao pessoal autorizado pelo
responsável pela manutenção. A quantidade de pessoas com autorização de acesso deve ser
limitada e controlada.
47
-PÚBLICO-
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
13.3.1 O objetivo desta subseção é estabelecer requisitos para a execução de testes periódicos no
SIS, de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na folha de dados de SIF (projeto básico) e confirmado após a etapa de verificação
do SIL (projeto de detalhamento).
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
48
-PÚBLICO-
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
13.3.13 A critério da unidade operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
13.4 Modificações
13.4.1 O objetivo desta subseção é estabelecer requisitos de modo que modificações realizadas no
SIS não impactem a segurança da planta ou do equipamento associado.
49
-PÚBLICO-
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
13.4.3 Toda modificação proposta deve ser submetida a uma análise inicial pela equipe técnica
responsável pelo SIS, de modo a se classificar a mesma como:
a) modificação tipo 1: não altera estrutura lógica, SIL ou MTTFS da(s) SIF(s) envolvida(s).
Exemplos: alterações de parâmetros de programação, tais como valores de “range”, de
“set point” de alarme ou “trip”, ou de retardos de tempo;
b) modificação tipo 2: pode alterar funcionalidade, SIL, ou MTTFS da(s) SIF(s) envolvida(s);
exemplos: acréscimo ou remoção de iniciadores ou elementos finais, alterações na
arquitetura de votação, no tipo de equipamento, ou na lógica do programa aplicativo.
13.4.5 Após a análise inicial, o documento de solicitação de modificação no SIS deve ser:
13.4.6 Caso a solicitação de modificação seja aprovada, a equipe técnica responsável deve emitir
revisão nos documentos técnicos pertinentes, incluindo os procedimentos de testes, de operação e
de manutenção. A documentação revisada deve ser identificada como “REVISÃO PROVISÓRIA
PARA MODIFICAÇÃO NO SIS” e referenciar a correspondente solicitação de modificação no SIS.
13.4.7 Antes da revisão dos documentos afetados por uma modificação tipo 2, deve ser feita a
revalidação da análise de riscos e da avaliação de SIL e MTTFS.
13.4.8 Antes da execução de qualquer tipo de modificação no SIS, deve ser feita a revalidação dos
testes de verificação da funcionalidade da(s) SIF(s) envolvida(s) na modificação.
13.4.9 Toda execução de modificação no SIS deve ser planejada observando os procedimentos de
autorização de acesso e de trabalho vigentes na unidade operacional.
13.4.10 A execução de modificações no programa aplicativo deve incluir verificações adicionais para
garantir a inexistência de alterações nas demais SIFs não envolvidas na modificação implementada.
13.4.11 Após concluídos os testes funcionais de verificação, a descrição da revisão dos documentos
técnicos afetados pela modificação deve ser mudada para “REVISADO CONFORME SOLICITAÇÃO
DE MODIFICAÇÃO NO SIS Nº...”.
50
-PÚBLICO-
A.1 Introdução
A.1.1 Este Anexo descreve o método de gráficos de risco que permite que o nível de integridade de
segurança de uma SIF seja determinado a partir do conhecimento dos fatores de risco associados ao
processo e ao sistema de controle básico de processo. Trata-se de um método semi-qualitativo, e foi
desenvolvido a partir do Anexo D da IEC 61511-3.
A.1.2 Nesta abordagem são usados parâmetros, que juntos descrevem a natureza da situação
perigosa que ocorre no caso da inexistência ou de falha do SIS. São utilizados quatro conjuntos de
parâmetros, e os parâmetros selecionados são combinados para se determinar o nível de integridade
de segurança da SIF. Estes parâmetros representam fatores chave para as avaliações dos riscos e
permitem uma classificação escalonada dos riscos.
A.1.3 Este Anexo apresenta exemplos de gráficos de risco e de tabelas de parâmetros desenvolvidos
para atender os critérios típicos de unidades de processo. Antes de serem utilizados em qualquer
projeto é importante que sejam validados pela área responsável pela segurança da planta. Nesta
oportunidade podem ser feitos ajustes nos parâmetros a fim de adequá-los às situações específicas.
A.1.4 Neste Anexo são apresentados gráficos de risco relacionados com a segurança de pessoas
nas indústrias de processo e com os aspectos de proteção ambiental e de proteção patrimonial.
51
-PÚBLICO-
Parâmetro Descrição
Número de fatalidades e/ou de ferimentos graves
resultantes da ocorrência do cenário. Determinado
Severidade da Consequência C levando-se em conta o número de pessoas na área
exposta, quando a área estiver ocupada, e a
vulnerabilidade ao cenário.
Probabilidade que a área exposta ao perigo esteja
ocupada no momento da ocorrência do cenário. É
determinado calculando-se a fração do tempo em que
área está ocupada na ocorrência do cenário. Deve ser
Ocupação F considerada a possibilidade de aumento de presença na
área exposta associada à investigação de situações
anormais que podem existir antes da ocorrência do
cenário. (isto deve ser considerado também para
determinação do parâmetro C).
É importante que todas as decisões tomadas durante a determinação do SIL sejam registradas em
documentos controlados. A documentação deve indicar claramente as razões pelas quais, a equipe
selecionou os parâmetros específicos associados a cada função de segurança. Os formulários que
registram o resultado e as hipóteses consideradas em cada determinação de SIL de cada função de
segurança devem ser compilados em um relatório. O relatório deve também incluir as seguintes
informações adicionais:
— o gráfico do risco usado junto com as descrições de todas as escalas dos parâmetros;
— os números e revisões de todos os desenhos usados;
— as referências às hipóteses consideradas e eventuais estudos de consequências que
foram utilizados para avaliar os parâmetros;
— as referências às falhas que conduzem às demandas e qualquer modelo da propagação
de falha, usados para determinar taxas de demanda;
— as referências às fontes dos dados usados para determinar taxas de demanda.
52
-PÚBLICO-
A.4.1 A Tabela A.2 apresenta descrições e escalas para cada parâmetro utilizado na Figura A.1
relativo à segurança de pessoas.
W3 W2 W1
C1
--- --- ---
1 --- ---
P1
C2 P2
F1 2 1 ---
Início F2 P1
C3 P2
F1 3 2 1
F2 P1
C4 P2
F1 X 3 2
F2 P1
P2 X X 3
C = Consequência
F = Ocupação --- = Sem requisitos de segurança
P = Probabilidade de evitar o evento perigoso 1, 2, 3 = SIL
W = Taxa de demanda X = ver 6.4.9 desta Norma
A.4.2 O conceito de vulnerabilidade foi introduzido para modificar o parâmetro da consequência, pois
nem sempre uma falha causa imediatamente uma fatalidade. A vulnerabilidade de um receptor é uma
consideração importante na análise do risco porque a dose recebida por um indivíduo às vezes não é
grande o bastante para causar uma fatalidade. A vulnerabilidade de um receptor a uma consequência
é função da concentração do perigo a que ele foi exposto e a duração da exposição. Um exemplo
disto é quando uma falha causa a elevação da pressão em um equipamento ultrapassando a pressão
de operação, mas não atingindo a pressão de teste. O resultado provável normalmente será limitado
ao vazamento em juntas de flanges. Nesses casos, a taxa de progressão do perigo provavelmente
deve ser lenta e a equipe de operação poderá normalmente escapar das consequências. Mesmo nos
casos de vazamentos de grandes inventários de líquidos, o agravamento da situação pode ser
suficientemente lento para permitir que a equipe de operação possa evitar o dano. Há naturalmente
os casos onde uma falha pode conduzir a uma ruptura de tubulações ou vasos onde a vulnerabilidade
da equipe de operação pode ser elevada.
A.4.3 Deve ser considerada a possibilidade do aumento do número de pessoas nas proximidades
quando de evento perigoso, como consequência de verificações de sintomas que podem ocorrer
durante a formação do referido evento. Logo, deve ser considerado o pior cenário.
A.4.4 É importante ressaltar diferença entre “vulnerabilidade” (V) e “probabilidade de evitar o evento
perigoso” (P) de modo que não seja considerado duas vezes para o mesmo fator. A vulnerabilidade é
uma medida que se relaciona à velocidade de progressão depois que o perigo ocorre, enquanto o
parâmetro de P é uma medida que se relaciona com a prevenção do perigo. O parâmetro P deve ser
usado somente nos casos onde o perigo pode ser impedido por ação do operador, depois de que ele
esteja ciente que a respectiva SIF associada tenha falhado.
A.4.5 Alguns cuidados devem ser tomados na seleção dos parâmetros de ocupação. O fator de
ocupação deve ser selecionado baseando-se na pessoa mais exposta e não na média de todos os
expostos.
53
-PÚBLICO-
A.4.6 Quando não é possível enquadrar um parâmetro nas escalas especificadas, é necessário
utilização de outros métodos de redução do risco.
Sem lesões
Severidade da Consequência (C) C1
significativas
1) A severidade da
Deve ser calculada multiplicando a
consequência representa
vulnerabilidade ao perigo identificado pelo
o número de feridos
número de pessoas presentes na área C2 0,01 ≤ C < 0,1 graves e de fatalidades.
exposta ao perigo (C=NxV).
Ocupação (F)
Exposição de rara a
Este parâmetro é calculado determinando pouco frequente na
a duração proporcional do tempo no qual a zona perigosa
zona exposta ao perigo é ocupada em um F1 Ocupação menor
turno de trabalho. que 10 % do tempo
(F < 0,1).
NOTA 1 Se o tempo na área perigosa for
diferente dependendo do turno
de operação o valor máximo
deve ser selecionado. Ver comentário 1 acima
54
-PÚBLICO-
55
-PÚBLICO-
W3 W2 W1
--- --- ---
1 --- ---
E1 P1
P2
E2 2 1 ---
Início P1
E3 P2
3 2 1
P1
P2
E4 X 3 2
P1
P2 X X 3
A.5.2 As consequências acima devem ser usadas conjuntamente com o gráfico de risco conforme
Figura A.2. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o conceito
de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser idênticas
àquelas usadas para o gráfico de segurança pessoal.
56
-PÚBLICO-
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança associado a
consequências materiais deve levar em consideração todas as perdas econômicas decorrentes da
falha na demanda da função. Devem ser incluídos custos de reparo de equipamentos e instalações,
perdas de produção, custos de limpeza e recomposição, multas contratuais, multas de órgãos
governamentais etc.
A.6.2 O gráfico de risco da Figura A.3 deve ser usado em conjunto com as classes de consequências
materiais descritas na Tabela A.4.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
57
-PÚBLICO-
— explosão de reator;
Perdas superiores a — ruptura de sistema pressurizado;
L4
US$ 100.000.000 — explosão de forno;
— explosão de caldeira.
Quando uma falha na demanda leva a mais de um tipo de consequência (a pessoas, ao meio
ambiente e materiais), os requisitos de integridade associados com cada um dos aspectos envolvidos
devem ser determinados em separado e o maior dentre eles deve ser o nível de integridade
especificado para a função.
58
-PÚBLICO-
B.1 Introdução
B.1.1 Este Anexo estabelece um procedimento padronizado para avaliação do Nível de Integridade
de Segurança (SIL) requerido para Funções Instrumentadas de Segurança (SIFs), utilizando o
método de Análise de Camadas de Proteção (LOPA) descrito no livro-conceito do AIChE / CCPS.
B.1.3 Se o risco estimado para um cenário não for tolerável, outras camadas de proteção devem ser
adicionadas a fim de se atingir a redução de risco necessária. LOPA não define quais camadas de
proteção adicionar ou como projetá-las, mas auxilia na avaliação das medidas alternativas que
podem ser implementadas para que se alcance a redução de risco requerida.
B.2 Procedimento
O procedimento de aplicação da LOPA para a determinação do SIL requerido para cada SIF está
representado de forma simplificada na Figura B.1 e descrito em detalhes nas Seções B.2 a B.4 deste
Anexo, as quais apresentam alguns valores numéricos tabelados para serem usados no cálculo do
SIL requerido ao final da análise.
Como regra geral, em caso de dúvida entre os valores tabelados, deve-se adotar sempre os valores
mais conservadores. Caso a equipe de LOPA decida utilizar na análise algum valor diferente
daqueles apresentados nas tabelas deste Anexo, os valores efetivamente adotados devem ser
calcados em razões defensáveis e documentadas.
59
-PÚBLICO-
Selecionar os
Início cenários a serem
avaliados (B.2.1)
Verificar a
severidade do
cenário (B.2.2)
Determinar a
frequência tolerável
(FTOL) (B.2.3)
Estimar uma
ICF para
o cenário (B.2.4)
Encontrar a EEL
para o cenário, caso
aplicável (B.2.5)
Determinar
os MF, caso
aplicáveis (B.2.6)
Identificar as IPL
(não SIF) e estimar Sim
suas PFDavg (B.2.7)
Determinar a Não
Frequência da Próximo Fim
Consequência (FC) cenário
(B.3.1)
Documentar
Sim
C
F ≤F TOL cenário
(OK) (FC) (B.3.3)
Sim (SIF)
Sim É possível
adicionar IPL SIL ≤ 3
(não SIF)
Não Não
Determinar Reavaliar riscos do
SIL processo. Medidas
requerido gerenciais requeridas.
60
-PÚBLICO-
B.2.1.1 A primeira atividade da equipe de LOPA deve ser, dentre os cenários identificados na Análise
de Riscos, selecionar para avaliação todos aqueles onde haja intertravamento como salvaguarda ou
como recomendação.
B.2.1.3 A equipe de LOPA deve registrar todos os cenários de interesse numa planilha de análise,
onde a identificação (número) e a descrição de cada cenário são herdadas do HAZOP.
B.2.1.5 Para cenários que apresentem frequência de ocorrência elevada (maior que duas vezes a
frequência entre testes de IPL) ou severidade da consequência catastrófica, recomenda-se realizar
uma avaliação quantitativa de riscos. [Prática Recomendada]
A equipe de LOPA deve encontrar na Tabela B.1 o valor da frequência tolerável para a categoria de
severidade da consequência do cenário, definida conforme B.2.2.
61
-PÚBLICO-
B.2.4.1 A causa iniciadora corresponde ao motivo pelo qual ocorreu o desvio na variável de processo
identificado no HAZOP. Cada causa iniciadora deve ser analisada em separado, em um cenário
específico.
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
62
-PÚBLICO-
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10-1 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante) e válvulas de bloqueio
com atuador devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5.1 Condição habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO:
Cenário com condição habilitadora: a purga do tambor de coque para a torre fracionadora é
realizada em etapas, com forçamento manual do “set point” de vazão para valores
gradativamente maiores. Ao final do resfriamento, o “set point” deve retornar ao valor
operacional antes de se colocar o controle em automático.
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o tempo de
existência do risco (“Time at Risk”).
63
-PÚBLICO-
EXEMPLO:
Em alguns cenários, é necessário que existam certas condições específicas, tais como presença de
fontes de ignição ou presença de pessoas na área afetada, para que ocorra o dano. Nestes casos, as
probabilidades associadas a estas condições podem ser usadas como fatores de ajuste do risco do
cenário.
A equipe de LOPA deve se assegurar que estes fatores não tenham sido considerados anteriormente
como condição habilitadora, nem estejam embutidos na frequência da causa iniciadora,
especialmente devido a considerações feitas na determinação do cenário durante o HAZOP, pois sua
contabilização em duplicidade poderia afetar significativamente o resultado da análise.
Um fator modificador só deve ser usado se a condição considerada puder ser garantida ao longo de
toda a vida útil da instalação.
Vale ressaltar que no HAZOP, o efeito analisado deve considerar o pior cenário, sem levar em conta
a existência de salvaguardas, ou outros fatores atenuantes.
A depender das características do produto e das condições da perda de contenção (exemplo: ruptura
brusca de equipamento contendo produto altamente reativo ou com temperatura e pressão elevadas),
a ignição pode ser espontânea, prescindindo de uma fonte de ignição.
64
-PÚBLICO-
B.2.6.1.3 As Tabelas B.3 e B.4 mostram algumas probabilidades de ignição típicas que podem ser
utilizadas como fatores modificadores. A equipe de LOPA pode adotar apenas um fator modificador
da probabilidade de ignição para cada cenário. Para tanto, deve definir qual destas duas tabelas deve
ser adotada, de acordo com o que for mais relevante no cenário em análise.
B.2.6.2.2 No caso do cenário ocorrer durante uma manobra operacional local ou durante uma
intervenção de manutenção, este fator de redução não pode ser usado.
65
-PÚBLICO-
B.2.6.2.3 Outros fatores modificadores como, por exemplo, a maior ou menor facilidade de se evitar
o dano não são considerados neste Anexo.
Esta seção descreve como se deve proceder para identificar as salvaguardas previstas em projeto
que podem ser consideradas camadas de proteção independentes (IPL) e determinar a redução de
risco que elas promovem.
A identificação das IPL costuma ser a parte mais difícil deste método, sendo importante frisar que
toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL.
A Tabela B.6 contém alguns exemplos de salvaguardas que normalmente não são consideradas IPL.
Salvaguardas
usualmente não Comentários
consideradas IPL
Treinamento e Estes fatores podem ser levados em conta na determinação da PFDavg de
certificação ações pelo operador, mas não são IPL por si só.
A existência de bons procedimentos pode ser considerada na
Procedimentos determinação da PFDavg de ações pelo operador, mas não é uma IPL por
si mesma.
Em todas as avaliações de perigos assume-se a perfeita execução destas
Testes e inspeções atividades, constituindo base para os valores de ICF na Tabela B.2 e
normais PFDavg na Tabela B.7 e na Tabela B.8. Alterar o intervalo entre testes e
inspeções pode afetar a PFDavg de certas IPL.
Em todas as avaliações de perigos assume-se a perfeita execução desta
atividade, constituindo base para os valores de ICF na Tabela B.2 e
Manutenção
PFDavg na Tabela B.7 e na Tabela B.8. Manutenção deficiente pode
aumentar a PFDavg de certas IPLs.
É uma hipótese primária que comunicações adequadas existam em uma
Comunicações instalação industrial. Comunicações deficientes podem aumentar a PFDavg
de certas IPLs.
Sinalizações não são IPLs por si mesmas. Sinalizações confusas, dúbias,
Sinalizações
mal localizadas, ignoradas, etc. podem aumentar a PFDavg de certas IPLs.
Salvaguardas, sejam IPL ou não, são vinculadas a um cenário identificado na fase de análise de
riscos com uma causa e uma consequência específicas.
66
-PÚBLICO-
A característica principal de uma camada de proteção é que ela deve ser efetiva para individualmente
prevenir a ocorrência do evento perigoso. Isto é, basta que uma única camada de proteção funcione
para que não ocorra a consequência indesejada. O termo “independente” significa que o desempenho
da camada de proteção não é afetado pela causa iniciadora e que não devem existir falhas que
possam desabilitar duas ou mais camadas de proteção associadas ao mesmo cenário ao mesmo
tempo. Adicionalmente, é necessário comprovar através de documentação auditável que a
salvaguarda em questão foi corretamente projetada e instalada, e que é periodicamente submetida a
teste e adequadamente mantida de forma a garantir suas efetividade, independência e PFDavg
especificada.
Adicionalmente, caso a atuação espúria de uma IPL leve a um novo cenário acidental, o risco
associado deve ser tolerável. Por exemplo, um sistema de alívio de material tóxico ou inflamável deve
ser direcionado para local seguro.
O método LOPA consiste em ir adicionando camadas de proteção até que o risco assim obtido
atenda o critério de tolerabilidade adotado.
A decisão de qual(is) camada(s) de proteção adicionar dentre as alternativas possíveis pode ser
baseada numa análise comparativa dos seus custos de implantação, de operação e de manutenção
ao longo do ciclo de vida. [Prática Recomendada]
A adoção de um projeto inerentemente mais seguro pode efetivamente eliminar um cenário. Tal
consideração deve ser registrada na planilha de LOPA. Vale ressaltar que outros cenários com a
mesma consequência (porém com outras causas iniciadoras) podem continuar existindo.
IPL passiva é aquela que não necessita executar uma ação para cumprir a sua função de proteção. A
Tabela B.7 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPLs passivas.
67
-PÚBLICO-
Probabilidade
Camada de Proteção Independente (IPL) média de falha na
demanda (PFDavg)
Bacia / dique de contenção 1 x 10-2
Retentor de chama (detonação ou deflagração) 1 x 10-2
Painel de ruptura (“blowout panel”) 1 x 10-2
Linha de “overflow” (“overflow line”) direcionada para local seguro
1 x 10-2
(B.2.7.2)
Sistema de drenagem subterrâneo 1 x 10-2
Suspiro aberto (sem válvula) 1 x 10-2
Parede tipo “blast-wall” ou abrigo tipo “bunker” 1 x 10-3
Proteção passiva contra fogo (“fireproof insulation”) [B.2.7.3] 1 x 10-2
IPL ativa é aquela que necessita mudar de um determinado estado a outro em resposta à mudança
na propriedade mensurável do processo em questão. A Tabela B.8 apresenta alguns exemplos de
salvaguardas que podem ser consideradas IPL ativas.
Probabilidade
Camada de Proteção Independente (IPL) média de falha na
demanda (PFDavg)
Função instrumentada de segurança com SIL 1 1 x 10-1
Função instrumentada de segurança com SIL 2 1 x 10-2
Função instrumentada de segurança com SIL 3 1 x 10-3
Função automática no SSC (B.2.7.4.1) 1 x 10-1
Resposta do operador ao alarme (B.2.7.4.2) 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio (B.2.7.5) 1 x 10-2
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.),
porém mais de um precisa atuar para atender a 100 % do cenário 1 x 10-1
(exemplo: PSV estagiadas). (B.2.7.5)
Dispositivo mecânico interno de segurança independente do SIS e do SSC
1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção (B.2.7.6) 1 x 10-1
Válvula de retenção associada a dispositivo mecânico de alívio de pressão
1 x 10-1
(B.2.7.6).
Válvula reguladora auto-operada em serviço limpo (B.2.7.7) 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente
1 x 10-2
(B.2.7.8)
Válvula trancada com cadeado (“locked”), listada e verificada
1 x 10-2
frequentemente (B.2.7.8)
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo (B.2.7.9) 1 x 10-1
68
-PÚBLICO-
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1 = 10-5/h, SIL 2 = 10-6/h, SIL 3 = 10-7/h) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
Para ser considerada uma IPL, uma salvaguarda deve atender no mínimo as seguintes condições
gerais:
Além das condições gerais requeridas em B.2.7.1, quaisquer válvulas na linha de overflow devem ser
administrativamente controladas para assegurar que esta IPL está disponível quando necessária.
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que uma
válvula (ou arranjo de válvulas) com revestimento resistente a fogo (“Fireproof insulation”) possa ser
considerada uma IPL são as seguintes:
Os Sistemas de Supervisão e Controle (SSC) executam funções automáticas tais como: controles
regulatórios contínuos (tipo PID), controles discretos (tipo “on-off”) e lógicas sequenciais ou
combinacionais (intertravamentos). Para poder ser considerada como uma Camada de Proteção
Independente – IPL, uma função automática no SSC deve atender aos requisitos expressos no
B 2.7.4.1.
69
-PÚBLICO-
O fator de redução de risco atribuído a uma função automática no SSC, ou a resposta do operador a
um alarme no SSC, considerada como IPL não deve ser maior que 10.
Para poder ser considerada como uma Camada de Proteção Independente (IPL), uma função
automática de controle do SSC deve:
NOTA Recomenda-se avaliar a aplicação de restrições nos set-points das funções automáticas de
controle no SSC consideradas como IPL. [Prática Recomendada].
A redução de risco por resposta do operador a alarmes não deve ser contabilizada mais de uma vez
para um mesmo cenário, independentemente do número de alarmes ou de ações executadas pelo
operador em resposta a estes.
Para a resposta do operador a um alarme no SSC poder ser considerada como uma Camada de
Proteção Independente (IPL), devem ser satisfeitos os seguintes requisitos:
70
-PÚBLICO-
Se a causa iniciadora do cenário considerado for falha em uma função automática no SSC, uma
segunda função automática ou resposta do operador a alarme no SSC pode ser considerada uma
IPL.
Se a causa iniciadora do cenário considerado não for falha em uma função automática no SSC, até
duas funções automáticas ou uma função automática e uma resposta do operador a alarme podem
ser consideradas IPLs, ressalvando-se que o RRF total associado ao SSC deve ser no máximo 100.
Além das condições gerais requeridas em B.2.7.1, as seguintes condições específicas são requeridas
para considerar dispositivos mecânicos de alívio como IPL:
B.2.7.6.1 Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para
que válvula de retenção possa ser considerado uma IPL são:
a) a válvula de retenção deve ser capaz de atender as condições de segurança exigidas pelo
cenário, tais como tempo de fechamento e vazamento admissível;
b) para aplicações de baixa demanda, o serviço deve ser limpo, não passível a entupimentos,
formação de depósitos, gomas, polimerização, etc.
B.2.7.6.2 Válvulas de retenção consideradas como IPL devem ser identificadas com Tag, de modo a
facilitar os registros de intervenções.
B.2.7.6.3 Recomenda-se optar pelo uso de modelos de dispositivos que facilitem inspeção e
manutenção. [Prática Recomendada].
71
-PÚBLICO-
B.2.7.6.4 Um dispositivo de prevenção contra fluxo reverso pode ser uma IPL ou não, a depender do
projeto de processo e das condições de contorno do cenário considerado.
EXEMPLOS
a) num cenário de dano a bomba por fluxo reverso causado por partida de bomba reserva,
uma válvula de retenção simples (e.g. tipo portinhola) pode ser suficiente para evitar o dano
com a confiabilidade requerida, podendo ser considerada IPL;
b) num cenário de contaminação, pode ser necessária a associação em série de duas válvulas
de retenção de tipos diversos para atingir a efetividade requerida pela IPL;
c) num cenário de pressão excessiva, a montante da válvula de retenção, normalmente é
necessário conjugar uma PSV, dimensionada para o vazamento através da retenção (API
STD 521), para que esta seja considerada uma IPL;
d) em cenário de fluxo reverso em compressor de gás pode ser requerido uma válvula de
retenção de alta integridade.
Válvulas reguladoras auto-operadas usadas como IPL devem ser identificadas com TAG de modo a
permitir a rastreabilidade dos registros de intervenções.
B.2.7.8 Válvulas Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que
válvulas travadas com selo (“Car-Sealed”) ou trancadas com cadeado (“Locked”) possam ser
consideradas como IPL são as seguintes:
Além das condições gerais requeridas em B.2.7.1, as condições específicas requeridas para que
proteção ativa contra fogo (por exemplo: sistemas de detecção de incêndio comandando a atuação
do sistema de dilúvio) possa ser considerada uma IPL são as seguintes:
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários em
que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que a
mesma se destina a conter.
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
72
-PÚBLICO-
B.2.7.10.2 De um modo geral, a existência de uma camada de proteção mitigadora leva a dois
cenários inteiramente novos, os quais devem ser analisados separadamente.
B.3.1.1 O risco residual do cenário sem considerar função instrumentada pode ser expresso de forma
simplificada pela Frequência da Consequência (FC), a qual é dada pelo produto dos valores numéricos
determinados nos passos B.2.4 a B.2.7, sem creditar nenhuma redução de risco a função
instrumentada:
Onde:
FC = Frequência da Consequência;
ICF = Frequência da Causa Iniciadora;
EEL = Probabilidade da Condição Habilitadora;
73
-PÚBLICO-
B.3.1.2 Se FC for menor ou igual a FTOL, então as camadas de proteção existentes são suficientes.
B.3.1.3 Se FC for maior que FTOL, então são necessárias camadas de proteção adicionais para
reduzir o risco residual do cenário a um nível tolerável.
NOTA Caso FC indique mais de uma demanda da SIF por ano ou duas ou mais demandas a cada
intervalo entre testes, é apropriado considerar que esta SIF irá operar em modo contínuo e,
portanto, possui SIL correlacionado, não com uma PFDavg, mas sim com a frequência de
falhas perigosas por hora, onde, SIL 1 equivale a uma frequência entre 10-6/hora e
10-5/hora, e assim por diante.
B.3.2.2 Caso a FTOL tenha sido satisfeita sem a necessidade de uma SIF, deve-se registrar que a
função automática prevista no projeto ou recomendada pelo HAZOP não é crítica para a segurança e
deve ser executada pelo SSC.
B.3.2.3 Caso o RRF requerido para a SIF seja maior que 10 000, deve-se reavaliar os riscos do
processo e as bases de projeto, possivelmente requerendo envolvimento gerencial.
B.3.2.4 Recomenda-se avaliar a possibilidade de se substituir uma SIF demandada por muitos
cenários por outras SIFs baseadas em variáveis de processo mais diretamente relacionadas ao
desvio de cada cenário. [Prática Recomendada]
EXEMPLO
Num cenário onde a falha no controle de nível do vaso a montante de uma torre
fracionadora pode levar a descarga de gás de um componente de processo através de uma
saída de líquido (“gas blow-by”) e, consequentemente, a pressão excessiva na torre. Uma
SIF iniciada por um PSHH poderia ser substituída por outra que, em caso de nível muito
baixo (LSLL) no vaso, cortasse a alimentação para a torre.
B.3.2.5 Uma SIF deve atender o maior SIL requerido dentre os cenários pelos quais é demandada.
B.3.3 Documentação
B.3.3.1 O relatório de LOPA deve conter informações suficientes para subsidiar uma revisão do
projeto, adicionando, modificando ou eliminando salvaguardas existentes ou projetadas, em função
da efetividade verificada durante o processo de análise para prevenir ou mitigar efeitos indesejados.
74
-PÚBLICO-
B.3.3.2 Para registro dos cenários considerados recomenda-se o uso de planilha conforme Anexo C.
[Prática Recomendada]
B.3.3.3 O relatório também deve registrar as questões que precisam ser mais detalhadas ou
discutidas em outros fóruns, bem como as ações a serem tomadas e os pontos de melhoria contínua
deste procedimento.
B.4.1 Auditoria
B.4.1.3 Todas as IPL devem ser auditáveis e incluídas em plano de manutenção específico.
B.4.2 Revalidação
Sempre que houver alguma revisão do HAZOP da instalação, deve-se avaliar se as considerações
feitas na LOPA anterior continuam válidas e, em caso negativo, revisar os resultados da LOPA que
foram afetados.
75
-PÚBLICO-
FOLHA
de
TÍTULO:
Consequência: Outros
Severidade: Outros
RRF
Observações /
Salvaguardas: Tipo: Pessoal Meio amb Patrim. Recomendações:
Observações/Recomendações:
Consequência: Outros
Severidade: Outros
RRF
Observações /
Salvaguardas: Tipo: Pessoal Meio amb Patrim. Recomendações:
Observações/Recomendações:
ESTE DOCUMENTO É DE PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO C - FOLHA 01/02.
76
-PÚBLICO-
Nº REV.
FOLHA
de
TÍTULO:
Análise de Camadas de Proteção (LOPA) -
Instruções de Preenchimento
A planilha de LOPA deve ser preenchida conforme orientações do Anexo B. Detalhes sobre o preenchimento de cada campo são listados abaixo:
• Nó - Preencher com o número do nó.
• Descrição do nó - Preencher com a descrição do nó. Ex: "Desde a XV-6315094 até a entrada dos tanques TQ-6315051/052, passando pelos
permutadores P-6315352/353".
• Cenário - Preencher com o número do cenário. Cada cenário deve corresponder a um único par de causa e consequência e ter uma identificação
única.
• Desvio - Desvio de processo relacionado a um ou mais cenários. Ex: nível maior, fluxo reverso, pressão maior, pressão menor etc.
• Causa Iniciadora - Descrição específica da causa iniciadora. Cada cenário acidental possui uma causa única, a qual pode ser uma falha primária de
equipamento, uma ação errada, ou um evento externo. Ex: falha na malha de controle da UV-102, bloqueio indevido da XV-103, etc.
• Tipo (da causa iniciadora) - Preencher com a descrição genérica da causa conforme tabela B.2 da PETROBRAS N-2595.
• ICF (/ano) - Frequência da causa iniciadora (eventos por ano).
• EEL - Probabilidade de existência da Condição Habilitadora ("Enabling Event Likelihood" - EEL), caso aplicável, conforme B.2.5 da PETROBRAS
N-2595. Valor entre 0 e 1.
• Consequência - Descrição da consequência. Ex: vazamento para fora do dique com contaminação ambiental; vazamento para fora do dique com
explosão, danos ao meio-ambiente, danos a equipamentos e morte.
A consequência deve refletir a pior condição possível para a qual o cenário pode evoluir (1), considerando falha de todas as salvaguardas, inexistência de
atenuantes (2) e exposição máxima ao dano (3).
(1) Exemplo: No caso de vazamento de produto inflamável com possibilidade de incêndio/explosão, considerar que estes ocorrem. Se houver dano
mesmo sem incêndio/explosão e for aplicado fator modificador de probabilidade de ignição, dividir em 2 cenários.
(2) Exemplo: No caso de existir proteção (desligamento de emergência), ou condição específica na qual o dano seria mitigado, desconsiderá-las.
(3) Exemplo: No caso de dano a pessoas, considerar o número máximo que pode estar presente na área afetada durante a operação considerada.
• Severidade - Preencher com a categoria de severidade da consequência, conforme matriz de tolerabilidade de riscos da PETROBRAS N-2782.
Preencher com valores de I a V em algarismos romanos.
• Modificadores - Fatores Modificadores entre 0 e 1, conforme Anexo B da PETROBRAS N-2595. OBS: Um fator de redução de risco só pode ser
levado em conta se for evidente para todos os membros da equipe de análise que sua aplicação não compromete a segurança.
o Linhas:
Prob. de ignição - Fator modificador que reflete a probabilidade de ignição. Aplicar apenas se a consequência depender da ignição. Se houver
Presença Humana - Fator modificador que reflete o grau de presença humana no local. Este fator modificador atua apenas na consequência para
pessoas.
Outros - Outros fatores modificadores. Especificar no campo de observações.
o Colunas:
Pessoal - Fatores modificadores que se aplicam aos aspectos de saúde e integridade física das pessoas expostas ao risco.
Meio amb. - Fatores modificadores que se aplicam aos aspectos de impacto ao meio-ambiente.
Patrim. - Fatores modificadores que se aplicam aos aspectos de danos a instalações físicas e/ou faturamento da empresa.
• Salvaguardas - Listar salvaguardas, sejam elas IPLs ou não. Ex: dique de contenção do TQ-101, PSV na descarga da B-02, alarme PALL-015,
PSHH105 fechando XV-102, PSLL202 desligando bombas.
• Tipo (da salvaguarda) - Preencher com uma descrição genérica da salvaguarda (ver tabelas B.7 e B.8). Ex: PSV, SIF SIL1.
• RRF - Fator de Redução de Risco associado à IPL. Preencher apenas se a salvaguarda for IPL.
o Pessoal - Fatores de Redução de Risco que se aplicam aos aspectos de saúde e integridade física das pessoas expostas ao risco.
o Meio amb. - Fatores de Redução de Risco que se aplicam aos aspectos de impacto ao meio-ambiente.
o Patrim. - Fatores de Redução de Risco que se aplicam aos aspectos de danos a instalações físicas e/ou faturamento da empresa.
• Observações / Recomendações (da salvaguarda) - observações e recomendações específicas para cada salvaguarda.
• Risco residual - Valores calculados de risco residual para aspectos pessoal, ambiental e patrimonial (para o risco ser tolerável, este valor deve ser
menor ou igual a 1; riscos residuais maiores do que 100 são classificados como não toleráveis).
• Classificação (do Risco Residual) – Classificação do risco residual em Tolerável (T), Moderado (M) e Não-Tolerável (NT), conforme PETROBRAS
N-2782.
• Dados da SIF - Quando uma SIF for utilizada como salvaguarda, preencher estes campos com os dados da SIF que são fornecidos pela equipe da
análise de risco e pela disciplina de processo.
o Consequência do “trip” espúrio – Consequência do “trip” espúrio da SIF. Exemplos: perda de produção, possibilidade de coqueamento de
tubos, danos a materiais refratários, etc. Este item deve ser preenchido pela equipe que realizar a análise de risco.
o Custo do “trip” espúrio – Custo do Trip Espúrio da SIF, em US$, conforme 6.5.2.2 da PETROBRAS N-2595. Este item deve ser preenchido pela
equipe que realizar a análise de risco.
o MTTR (h) - Tempo médio para restauração da SIF. Este item deve ser preenchido pela equipe que realizar a análise de risco.
o Tempo de Segurança de Processo (s) – Ver termos e definições na PETROBRAS N-2595. Este item deve ser determinado pela disciplina de
processo.
• Observações / Recomendações – Preencher com recomendações e observações relativas ao cenário analisado. As recomendações devem ser
numeradas.
ESTE DOCUMENTO É DE PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO C - FOLHA 02/02.
77
-PÚBLICO-
PROGRAMA:
ÁREA:
TÍTULO:
ESPECIFICAÇÃO DE SIF
ÍNDICE DE REVISÕES
78
-PÚBLICO-
79
-PÚBLICO-
80
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
Seguem abaixo as instruções de preenchimento de cada campo numerado na folha de dados de SIF. Observar que diversos campos deverão ser preenchidos com
valores preliminares durante o projeto básico e atualizados durante o projeto de detalhamento, com especial atenção para os campos relacionados à verificação do
SIL e MTTFS obtidos.
“Tag” – Cada SIF deve possuir um identificador único (Tag) constituído pelo número da unidade seguido de um número sequencial. Exemplo: SIF-2212001
1
(unidade 2212, sequencial 001).
2 Relatório de Análise de Riscos – Código do relatório de análise de riscos relacionado a esta SIF.
3 Descrição da SIF – Descrição sucinta da função, contendo desvio e ação. Exemplo: pressão alta de gás combustível bloqueia gás para forno F-501.
Causas da Demanda – Causa da demanda da SIF considerada na análise de riscos. Exemplos: falha na malha de controle de pressão gás combustível,
4
desequilíbrio de processo, etc.
Consequências da Falha na Demanda - Possíveis danos e impactos causados pelo evento perigoso considerados na análise de riscos. Exemplos:
5 Apagamento de chama com formação de mistura explosiva e possibilidade de explosão da câmara de combustão, seguida de incêndio, ferimento/morte de
até uma pessoa, perda de produção na ordem de 200 KUS$, danos às instalações na ordem de 2 MUS$.
Consequências do “Trip” Espúrio – Exemplos: perda de produção, possibilidade de coqueamento de tubos, danos a materiais refratários, etc. Este item deve
6
ser preenchido pela equipe que realizar a análise de risco.
Custo do “Trip” Espúrio (US$) – Custo do Trip Espúrio (US$): conforme item 6.5.2 da PETROBRAS N-2595. Este item deve ser preenchido pela equipe que
7
realizar a análise de risco.
8 Tempo de Segurança de Processo (s) – Ver termos e definições na PETROBRAS N-2595. Este item deve ser determinado pela disciplina de processo.
Tempo de Resposta (s) – Ver termos e definições na PETROBRAS N-2595. Deve ser suficientemente pequeno para garantir o atingimento do estado seguro
9
antes que a variável de processo atinja o limiar do perigo.
Tempo de Retardo (s) – Ver termos e definições na PETROBRAS N-2595. O Tempo de Retardo deve ser preenchido de forma consistente com a dinâmica de
10 cada SIF. Admite-se estipular um valor preliminar para cada tipo de variável (P, T, F, L etc.) seguido de nota alertando que este valor deverá ser ajustado
durante a fase de testes de aceitação e comissionamento da planta.
11 Intervalo entre Testes Periódicos (anos) – Intervalo entre testes periódicos adotado para a SIF. Ver itens 8.5 a 8.7 da PETROBRAS N-2595.
12 MTTR (h) – Tempo médio para restauração da SIF - preencher com valor efetivamente utilizado nos cálculos de verificação do SIL.
13 Campo em branco.
14 RRF Requerido – Fator de Redução de Risco requerido para a SIF.
15 SIL Requerido – Nível de Integridade de Segurança requerido para a SIF.
16 MTTFS Aceitável (anos) – MTTFS (Tempo Médio para Falhar no Modo Seguro) mínimo aceitável - ver item 6.5 da PETROBRAS N-2595.
17 RRF Obtido – Fator de Redução de Risco obtido para a SIF - preencher com o valor resultante dos cálculos de verificação do SIL.
18 SIL Obtido – Nível de Integridade de Segurança obtido para a SIF - preencher com valor resultante dos cálculos de verificação do SIL.
19 MTTFS Obtido (anos) – MTTFS (Tempo Médio para Falhar no Modo Seguro) obtido para a SIF. Preencher com resultado dos os cálculos de verificação.
“Tag” (dos iniciadores) – Identificador do iniciador, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: PIT-2212001A e PIT-
20 2212001B. Devem ser listados como iniciadores os dispositivos que se interponham entre o sensor e o executor da lógica (ex: relés, isoladores, barreiras de
segurança intrínseca).
Descrição dos Iniciadores – Serviço do iniciador, conforme lista de instrumentos e folhas de dados. Exemplo: transmissor de pressão no header de gás
21
combustível.
Modo de Atuação (do iniciador) – Desenergiza para trip ou energiza para trip, no caso de um elemento discreto. Caso seja um transmissor, indicar se o trip
22
sentido é no sentido de 4 mA (desenergiza para trip) ou de 20 mA (energiza para trip).
23 Detecção (HH ou LL) – Indicar se a detecção ocorre no sentido ascendente (HH) ou descendente (LL) da variável de processo.
24 Valor de “Trip” – Valor de ponto de ajuste utilizado para o trip. Especificar a unidade de engenharia.
“Tag” (do elemento final) – Identificador dos elemento final, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: XV-2212001A, XV-
25 2212001B e XV-2212001C. Devem ser listados como elementos finais os dispositivos que se interponham entre o atuador e o executor da lógica (ex: relés de
interposição, válvulas solenoides, conversores de sinal).
Descrição do Elemento Final – Serviço do elementos final, conforme lista de instrumentos e folhas de dados. Exemplos: válvula de bloqueio de gás
26
combustível para o forno, válvula de suspiro intermediário de gás combustível.
27 Modo de Atuação (do elemento final) – Desenergiza para trip ou energiza para trip.
28 Estado Seguro – Posição de segurança do elemento final. Exemplos: válvula de bloqueio fechada, válvula de suspiro aberta para local seguro.
29 “Tag” (do executor da lógica) – Identificador do executor da lógica. Ex: CP-2201001.
Descrição do Executor da Lógica – Tipo de executor utilizado para implementar a SIF. Ex: CLP de Segurança SIL 3; Executor de Lógica Não Programável SIL
30
2.
Módulos de Entrada – Descrição dos módulos de entrada utilizados para esta SIF. Ex: módulo de entrada digital; módulo de entrada analógica 4-20 mA.
31
Especificar se devem ser utilizados módulos separados para cada iniciador.
Módulos de Saída – Descrição dos módulos de saída utilizados para esta SIF. Ex: módulo de saída digital; módulo de saída analógica 4-20 mA. Especificar
32
se devem ser utilizados módulos separados para cada elemento final.
33 “Tag” (do “trip” manual) – Identificador do dispositivo manual de acionamento de trip. Ex: HS-2212150.
Descrição do “Trip” Manual – Descrição do trip manual. Ex: Bloqueio das válvulas de gás combustível para o forno, acionadas pelo CLP do SSC. Parada da
34
bomba por botoeira de shutdown fiada diretamente ao disjuntor no CCM.
Tipo (do “trip” manual) – Tipo do acionador. Ex: botoeira eletromecânica com contato duplo (em série) normalmente fechado, retentivo, puxa para acionar,
35
retentivo, com proteção contra acionamento indevido; botão lógico na tela de operação.
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
81
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
36 Localização – Localização do acionador. Ex: painel local do F-501, campo, sala de controle.
Descrição da Lógica – Descrição, através de texto ou desenho, da relação lógica entre o(s) iniciador(es) (pode incluir "trip" manual) e o(s) elemento(s)
final(is) que compõe a SIF e das arquiteturas de votação de sensores e elementos finais. Exemplo: Partindo-se do estado normal de operação, caso ocorra
37
falta de chama em mais de 50% dos queimadores ou ocorra baixa pressão de gás combustível, deve ser bloqueada a admissão de gás para os
queimadores e aberto suspiro intermediário para local seguro.
Ações Secundárias – Ações desencadeadas pela atuação da SIF não diretamente relacionadas com o atingimento ou manutenção do estado seguro, com
38 objetivo de auxiliar a operação. Ex: após trip do forno, admissão de vapor de abafamento e abertura do damper da chaminé para facilitar a purga da câmara de
combustão.
Descrição do Estado Seguro a ser Atingido ou Mantido – Caracterização do sucesso da atuação da SIF. Ex: gás combustível bloqueado para forno e suspiro
39
intermediário aberto para local seguro.
Combinação Perigosa de Elementos Finais (S/N) – No caso de haver mais de um elemento final, se existe alguma condição perigosa decorrente de falha de
40
sua atuação conjunta.
Descrição (da combinação perigosa de elementos finais) – Descrever a possível combinação e perigo decorrente. Ex: Não fechamento do primeiro bloqueio
(XV-2212001A) quando da abertura do suspiro intermediário (XV-2212001B), causando nuvem de gás combustível na área externa próxima ao forno. Lembrar
41
que atuações parciais combinadas de ações secundárias também podem resultar em perigo e que a indefinição desta informação pode ocultar cenários
acidentais não analisados durante as reuniões de HAZOP e LOPA, com impactos na segurança da planta.
Alarme “Pré-Trip” (S/N) – Indicar se deve ser configurado um alarme com ponto de ajuste que permita atuação antecipada do operador de modo a evitar o
42
"trip".
43 Descrição (do alarme “pré-trip”) – Descrição do alarme pré-trip, conforme lista de alarmes.
44 Ponto de Ajuste (do alarme “pré-trip”) – Ponto de ajuste do alarme pré-trip.
45 Alarme de “Trip” (S/N) – Indicar se deve ser configurado alarme indicando que houve "trip" pela SIF.
46 Descrição (do alarme de “trip”) – Descrição do alarme de trip, conforme lista de alarmes.
47 Alarme de Desvio (S/N) – Indicar se deve ser configurado alarme de desvio entre os valores lidos de diferentes iniciadores.
48 Descrição (do alarme de desvio) – Descrição do alarme de desvio, conforme lista de alarmes.
49 Ponto de Ajuste (do alarme de desvio) – Ponto de ajuste do alarme de desvio.
Alarme de Diagnóstico de Falha (S/N) – Indicar se devem ser configurados alarmes de diagnóstico de falhas, marcando os dispositivos cobertos por estes
50
diagnósticos/alarmes.
51 Outros Alarmes – Caso sejam configurados outros alarmes relacionados à SIF, descrever o(s) alarme(s) e registrar o(s) ponto(s) de ajuste.
52 “By-pass” p/ Manutenção (S/N) – Indicar se deve ser configurado contorno ("by-pass") para manutenção.
53 Descrição (do “by-pass” para manutenção) – Caso o contorno para manutenção seja necessário, descrever a forma de implementação
Temporização (do “by-pass” para manutenção) – Indicar o tempo máximo em contorno para manutenção caso seja configurado um limite para este
54
contorno.
Cuidados Adicionais (no “by-pass” para manutenção) – Condição especial ou procedimento específico a ser observado para o contorno ou durante o
55
mesmo, caso aplicável.
“By-pass” de Início de Operação (S/N) – Indicar se deve ser configurado contorno ("by-pass") para partida (ex: contorno do intertravamento por vazão muito
56 baixa durante a partida de uma bomba). Deve ser marcado também caso seja necessário contorno durante a parada (neste caso, especificar no campo de
descrição).
57 Descrição (do “by-pass” de início de operação) – Caso o contorno na partida e/ou parada seja necessário, descrever a forma de implementação.
58 Temporização (do “by-pass” de início de operação) – Indicar o tempo em que a SIF permanecerá contornada durante a partida e/ou parada.
Cuidados Adicionais (no “by-pass” de início de operação) – Condição especial ou procedimento específico a ser observado durante a partida e/ou parada,
59
caso aplicável.
Procedimento para Rearme – Descrever procedimento de rearme da SIF, indicando ações locais e remotas, além das verificações que devem ser feitas
60
antes do rearme.
Ação na Detecção de Falha – Marcar qual a ação a ser tomada em caso de detecção de falha em um dos componentes da SIF: trip ou operação em modo
61
degradado. A operação em modo degradado ocorre quando a SIF está parcial ou totalmente inoperante.
Tempo Máx. de Operação em Modo Degradado – Tempo máximo de operação com a SIF em modo degradado. Após este tempo a SIF deverá atuar
62
provocando "trip". Este tempo não deve ser maior do que o MTTR utilizado no cálculo de verificação do SIL.
Descrição do Modo Degradado – Descrição da operação em modo degradado quando da detecção de falha. Ex: degradação do esquema de votação de
63
2oo3 para 1oo2; adoção de procedimento operacional específico para reduzir o risco.
Requisitos Legais Aplicáveis – Caso haja, devem ser observados, ainda na fase de projeto básico, os impactos no projeto da SIF e/ou da planta. Caso
64
contrário, preencher com um traço. Ex: legislação ambiental, NR-10, etc.
65 e 67 Camadas de Proteção Independentes – Descrição das demais camadas de proteção necessárias para reduzir o risco a valor tolerável.
66 e 68 RRF – Fator de redução de risco das demais camadas de proteção.
69 a 77 Documentos de Referência - Códigos dos documentos de referência para esta SIF.
78 Notas e Observações
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. D ANEXO D - FOLHA 05/05.
82
-PÚBLICO-
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
1 Revisados e renumerados
2 Revisado
3 Revisado
4.30 Excluído
7.1.6 Excluído
IR 1/4
-PÚBLICO-
REV. A
Partes Atingidas Descrição da Alteração
8 e 8.1 Revisados e renumerados
9 ao 9.7 Excluídos
Anexo A Revisado
REV. B
Partes Atingidas Descrição da Alteração
5.3 Revisado
5.4.5.4 Revisado
5.5.1 Revisado
5.6.6 Revisado
6.5.4 Revisado
6.5.5 Revisado
6.5.9 Revisado
7.4.3 Revisado
Anexo A Revisado
REV. C
Partes Atingidas Descrição da Alteração
Todas Revisão
REV. D
Partes Atingidas Descrição da Alteração
1.2 ao 1.5 Renumerados
2 Revisado
IR 2/4
-PÚBLICO-
REV. D
Partes Atingidas Descrição da Alteração
3.1, 3.3, 3.6, 3.8, 3.9 Revisados
3.47 Revisado
3.50 Incluído
3.51 Renumerado
3.61 Incluído
3.62 Renumerado
4 Revisado
Figura 1 Revisado
5.4.7 Revisado
5.4.7.2 Incluído
6.2.8 Revisado
Tabela 1 Revisado
Tabela 2 Revisado
6.5.5 Renumerado
IR 3/4
-PÚBLICO-
REV. D
Partes Atingidas Descrição da Alteração
7.8.6 ao 7.8.10 Renumerado
7.12.7 Renumerado
8.3 Revisado
A.1.1 Revisado
B.2.7.4.1 Incluído
B.2.7.4.3 Incluído
B.3.2.2 Revisado
B.3.3.3 Incluído
B.4.1.3 Revisado
Anexo C Revisado
Anexo D Revisado
IR 4/4