Escolar Documentos
Profissional Documentos
Cultura Documentos
CONTEC
Comissão de Normalização
Técnica Critérios de Projeto, Operação e
Manutenção de Sistemas Instrumentados
SC-10 de Segurança em Unidades Industriais
Instrumentação e
Automação Industrial 2a Emenda
NOTA 1 As novas páginas com as alterações efetuadas estão colocadas nas posições
correspondentes.
NOTA 2 As páginas emendadas, com a indicação da data da emenda, estão colocadas no final da
norma, em ordem cronológica, e não devem ser utilizadas.
Inclusão das ABNT NBR 12712, NFPA 72, API STD 670 e ISA TR 84.00.04 Part 1.
Alteração do texto.
Alteração do texto.
Alteração do texto.
Alteração do texto.
Alteração do texto.
2a Emenda
Alteração do texto.
Inclusão da subseção.
Inclusão da subseção.
Alteração do texto.
Alteração do texto.
Alteração do texto.
Exclusão da subseção.
Alteração do texto.
Alteração do texto.
Alteração do título.
Alteração do conteúdo.
2
-PÚBLICO-
2a Emenda
Alteração do texto.
Alteração do conteúdo.
Alteração do texto.
Alteração do conteúdo.
3
-PÚBLICO-
CONTEC
Comissão de Normalização
Técnica Critérios de Projeto, Operação e
Manutenção de Sistemas Instrumentados
SC-10 de Segurança em Unidades Industriais
Instrumentação e
Automação Industrial 1a Errata
Esta é a 1a Errata da PETROBRAS N-2595 REV. C, e se destina a modificar o seu texto na(s)
parte(s) indicada(s) a seguir:
NOTA 1 A(s) nova(s) página(s) com a(s) alteração(ões) efetuada(s) está(ão) colocada(s) na(s)
posição(ões) correspondente(s).
NOTA 2 A(s) página(s) corrigida(s), com a indicação da data da errata, está(ão) colocada(s) no final
da norma, em ordem cronológica, e não devem ser utilizada(s).
2
-PÚBLICO-
Procedimento
Cópias dos registros das “não-conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Automação Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
Apresentação
Sumário
1 Escopo................................................................................................................................................. 4
3 Termos e Definições............................................................................................................................ 5
4 Símbolos ou Siglas............................................................................................................................ 13
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF...................... 32
Tabelas
2
-PÚBLICO-
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material Inflamável .... 59
Figuras
3
-PÚBLICO-
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas e fixa condições exigíveis
para projetos iniciados a partir da data de sua edição.
1.3 Sistemas de detecção de fogo e gás não são tratados nesta norma.
1.4 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança. Por exemplo: isolamento e despressurização de inventários.
2 Referências Normativas
ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level
(SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical
to Maintaining Safety in Process Industries;
4
N-2595 REV. C 12 / 2010
4-A
-PÚBLICO-
IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process
Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software
Requirements;
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT);
3 Termos e Definições
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica de avaliação semi-quantitativa da redução de riscos de processo obtida com a utilização de
camadas de proteção
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano
associado ao evento perigoso.
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
5
-PÚBLICO-
3.5
causa iniciadora (“initiating cause”)
falha em equipamento, ação humana inapropriada ou evento externo que desencadeia um cenário
3.6
cenário (“scenario”)
evento ou sequência de eventos resultante de uma causa iniciadora e que culmina em uma
consequência perigosa
3.7
ciclo de vida do SIS (“safety life cycle”)
conjunto de atividades envolvidas na implementação das SIFs durante o intervalo de tempo que se
inicia na fase de projeto conceitual e que termina quando as referidas SIFs são desativadas
3.8
condição habilitadora (“Enabling Event - EE”)
ação ou estado que não causa o cenário, mas que precisa existir para permitir que a causa iniciadora
conduza à consequência indesejada considerada
3.9
consequência (“consequence”)
efeito indesejado do cenário acidental
3.10
controlador programável de segurança (“Programmable Electronics - PE”)
controlador programável projetado e desenvolvido especificamente para atuar como Executor da
Lógica do SIS
NOTA A denominação CP de Segurança vem substituir o antigo termo PES como era usado no
âmbito da Petrobras, de modo a eliminar conflito com IEC 61508-4 e IEC 61511-1, nas
quais o termo PES designa todo o conjunto de dispositivos (iniciadores + Executor da
Lógica + elementos finais) do SIS.
3.11
dano (“harm”)
impacto, consequência concretizada ou resultado final de um evento perigoso sobre seres humanos,
meio-ambiente e/ou patrimônio, expresso em termos de número de fatalidades, prejuízos ao meio
ambiente, destruição de propriedades, perda de produção etc.
NOTA 1 Impactos ambientais podem incluir gastos com limpeza das instalações e descontaminação
do meio-ambiente, multas de órgãos fiscalizadores, indenizações civis e trabalhistas,
dificuldade na obtenção de novas licenças, danos à imagem da companhia etc.
NOTA 2 Entende-se como patrimônio os equipamentos, instalações, produtos e processos.
3.12
defeito (“fault”)
condição anormal que pode causar redução ou perda da capacidade de um dispositivo executar sua
função
6
-PÚBLICO-
3.13
demanda (“demand”)
condição ou evento perigoso que requer a atuação de uma SIF
3.14
dispositivo (“device”)
equipamento capaz de executar uma função específica
3.15
elemento final (“final element”)
dispositivo integrante do SIS que implementa a ação física necessária para atingir um estado seguro
3.16
especificação de requisitos de segurança (“Safety Requirements Specification - SRS”)
documentação que contém todos os requisitos que cada SIF deve apresentar quando implementada
no SIS
3.17
estado seguro (“safe state”)
estado de um processo ou equipamento cujo risco se encontra dentro dos limites estabelecidos como
toleráveis
3.18
estudo de perigos e operabilidade (“Hazards and Operability Study - HAZOP”)
técnica indutiva e estruturada para identificar perigos de processo e potenciais problemas de
operação, associando, de forma sistemática, um conjunto de palavras-guias às variáveis de processo;
para cada desvio identificado são relacionadas suas causas, conseqüências, modos de detecção e
salvaguardas existentes, recomendando medidas adicionais quando necessário
3.19
executor da lógica (“logic solver”)
dispositivo integrante do SIS que recebe os sinais dos iniciadores, processa funções programadas e
envia comandos para os elementos finais
3.20
falha (“failure”)
evento caracterizado pela cessação da capacidade de um dispositivo cumprir sua função
NOTA Excluem-se desse conceito incapacidades provocadas por ações planejadas, como
manutenção preventiva.
3.21
falha aleatória de “hardware” (“random hardware failure”)
falha que ocorre em um instante imprevisível como resultado de uma variedade de processos de
degradação atuando sobre os componentes internos de um dispositivo
7
-PÚBLICO-
3.22
falha de causa comum (“common cause failure”)
falhas em mais de um dispositivo, componente ou sistema em decorrência de uma mesma causa
direta, num período de tempo relativamente curto e não sendo tais falhas uma conseqüência da outra
NOTA Como exemplos de causa comum podem ser citados ação de atmosfera corrosiva,
interferência eletromagnética, vibração mecânica, entupimento das tomadas de um
“stand-pipe”, perda de alimentação elétrica, perda de pressão pneumática ou hidráulica,
incêndio, explosão, descarga atmosférica, procedimento inadequado (de fabricação,
instalação, condicionamento, operação, ou manutenção), treinamento inadequado (idem),
vício ou limitação de projeto.
3.23
falha na demanda (“failure on demand”)
não atuação de uma SIF quando a mesma é submetida a uma demanda real
3.24
falha oculta (“undetected failure”)
falha que só é percebida quando uma SIF é demandada ou testada
3.25
falha perigosa (“dangerous failure”, “unsafe failure”, “fail-to-function failure”)
falha que apresenta potencial de impedir que uma função de segurança atue quando houver uma
demanda real
NOTA Uma única falha perigosa geralmente é insuficiente para impedir que uma função de
segurança redundante atue quando requerida.
3.26
falha segura (“safe failure”, “spurious trip failure”, “nuisance trip failure”, “false trip failure”,
“fail-to-safe failure”)
falha que apresenta potencial de causar atuação de uma função de segurança quando esta não é
requerida
NOTA Uma única falha segura geralmente é insuficiente para efetivamente causar “trip” espúrio
em uma função de segurança redundante.
3.27
falha sistemática (“systematic failure”)
falha relacionada de forma determinística com certa causa
NOTA 2 Uma falha sistemática só pode ser eliminada por meio de modificações apropriadas na
causa da mesma. Intervenções de manutenção corretiva sem a implementação destas
modificações não eliminam a falha sistemática.
NOTA 3 Devido a sua natureza, causas de falhas sistemáticas não podem ser facilmente previstas
ou quantificadas de forma estatística.
8
-PÚBLICO-
3.28
fator de cobertura (“coverage”)
número que varia de 0 a 1 (100 %) e que indica o percentual de falhas ocultas que são detectadas
quando um dispositivo do SIS é submetido a determinado teste ou diagnóstico
3.29
fator de redução de risco (“Risk Reduction Factor - RRF”)
medida do desempenho de uma camada de proteção dada pela razão entre os riscos sem e com a
implementação desta camada de proteção; pode ser expresso matematicamente como o inverso da
PFDavg da camada de proteção considerada: RRF = 1/PFDavg
3.30
fator modificador (“Modification Factor - MF”)
condição específica que pode modificar a consequência de um cenário
3.31
frequência da causa iniciadora (“Initiating Cause Frequency - ICF”)
frequência esperada de ocorrência da causa que pode levar ao cenário considerado
3.32
frequência da consequência (“Frequency of Consequence - FC”)
frequência esperada de ocorrência da consequência indesejada, levando-se em conta a frequência
da causa iniciadora, a probabilidade de existência da condição habilitadora, as probabilidades médias
de falha na demanda das camadas de proteção não SIF e os fatores modificadores aplicáveis
3.33
Frequência Tolerável - FTOL (“scenario risk tolerance criteria”)
critério de tolerabilidade de risco dado pela frequência acima da qual incidentes de uma determinada
severidade não são tolerados
3.34
função instrumentada de segurança (“Safety Instrumented Function - SIF”)
função de proteção implementada em um SIS com o objetivo de atingir ou manter um estado seguro
de um processo ou equipamento através de ação automática específica frente a um determinado
desvio operacional
3.35
gráficos de risco (“risk graphs”)
técnica de avaliação qualitativa da redução do risco que utiliza representações gráficas do critério de
tolerabilidade de risco
3.36
iniciador (“sensor”)
dispositivo ou combinação de dispositivos que dão informações ao Executor da Lógica, sobre o valor
ou estado de variáveis de processo ou de equipamentos monitorados disparando a atuação da SIF:
NOTA 2 O termo iniciador como definido nesta Norma é mais abrangente que o termo “sensor”
usado na IEC.
9
-PÚBLICO-
3.37
interface de operação (“operator interface”)
meios pelos quais é estabelecida a comunicação entre o operador humano e o SIS. A interface de
operação também é conhecida como Interface Humano-Máquina (IHM)
NOTA Como exemplos de interface de operação podem ser citados: monitores de vídeo, lâmpadas
indicadoras, “push-buttons”, sirenes e anunciadores de alarmes.
3.38
nível de integridade de segurança (“Safety Integrity Level - SIL”)
Indicador discreto do desempenho de uma SIF, em termos de sua PFDavg e de seu RRF, expresso
em uma escala de números inteiros de 1 a 4
NOTA O projeto da SIF deve considerar todas as falhas (aleatórias de “hardware” e sistemáticas)
que podem impedir que o estado seguro seja alcançado. Para as falhas aleatórias de
“hardware” o SIL é relacionado com a PFDavg quantificada da SIF. Para as falhas
sistemáticas é necessário o uso de abordagens específicas tais como FMEA, FMECA,
árvore de falhas etc.
3.39
perigo (“hazard”)
condição ou propriedade, inerente a uma substância, a uma atividade, a um sistema, ou a um
processo, com potencial para causar danos a integridade física das pessoas, meio ambiente,
patrimônio ou perda de produção
NOTA O termo inclui perigos que se apresentam em curtos intervalos de tempo (exemplo: fogo ou
explosão) e em longos intervalos de tempo (exemplo: liberação de produtos tóxicos).
3.40
probabilidade de falha na demanda (“Probability of Failure on Demand - PFD”)
probabilidade de uma camada de proteção falhar em realizar a sua função específica em resposta a
uma demanda
3.41
probabilidade média de falha na demanda (“Average Probability of Failure on Demand -
PFDavg”)
indicador da confiabilidade de uma camada de proteção dado pela probabilidade média, em um dado
intervalo de tempo, de que a mesma falhe quando demandada
NOTA O intervalo de tempo considerado no cálculo da média é usualmente o intervalo entre testes
periódicos (normalmente igual ao período de campanha da planta ou equipamento).
3.42
programa aplicativo (“application software”)
programa específico para a aplicação do usuário; em geral, contém sequências lógicas, permissões,
limites e expressões necessárias para satisfazer seus requisitos funcionais
3.43
programa embutido (“embedded software”)
programa específico que é parte integrante do sistema eletrônico programável, fornecido pelo
respectivo fabricante, e que é imprescindível a operação e não é acessível a modificações por parte
do usuário; também conhecido como “firmware” ou “software” do sistema
10
-PÚBLICO-
3.44
programa utilitário (“utility software”)
conjunto de ferramentas de programação necessárias para a criação, modificação e documentação
do programa aplicativo; essas ferramentas de programação não são necessárias para a operação do
sistema eletrônico programável
3.45
redundância (“redundancy”)
existência de mais de um meio para realizar uma mesma função, normalmente para aumentar a
confiabilidade e/ou disponibilidade de um sistema
3.46
redundância diversa (“diverse redundancy”)
recurso normalmente empregado para reduzir a influência das falhas de causa comum através da
utilização de diferentes tecnologias, projetos, fabricação, programação etc. para realizar uma mesma
função
NOTA Como exemplos de métodos usuais para se obter a redundância diversa podem ser citados:
3.47
risco (“risk”)
combinação da probabilidade ou da frequência esperada de ocorrência de um evento perigoso com a
severidade da consequência deste evento perigoso
NOTA 1 O risco pode ser expresso matematicamente como o produto da frequência esperada de
ocorrência de um evento perigoso pela severidade de sua consequência:
3.48
risco de processo ou equipamento (“process risk”)
risco inerente a condições de processo ou equipamento originadas por eventos anormais (que
incluem defeitos no SSC), sem levar em consideração as camadas de proteção
NOTA 1 No contexto desta norma, o risco do processo ou equipamento é aquele risco específico
para o qual uma camada de proteção provê redução.
NOTA 2 Perigos de processo incluem fogo, explosão, liberação tóxica, e exposição a radiação
ionizante, mas não incluem perigos não relacionados ao processo, normalmente
controlados por outros meios, tais como proteção auricular, luvas, óculos de segurança,
guarda-corpo, ou “housekeeping”, e perigos ocupacionais tais como escorregões, tropeços
e quedas.
11
-PÚBLICO-
3.49
risco tolerável (“tolerable risk”)
risco definido como aceitável em um dado contexto
NOTA No contexto desta norma, o termo “aceitável” refere-se a um consenso entre a sociedade,
analistas de riscos e agências especializadas (exemplo: HSE) em conviver com um
determinado risco de forma a obter certos benefícios, na confiança de que este risco está
sendo apropriadamente controlado e, portanto, estes benefícios valem o risco assumido.
3.50
Sistema Instrumentado de Segurança (“Safety Instrumented System - SIS”)
sistema instrumentado usado para implementar uma ou mais funções instrumentadas de segurança;
um SIS é composto por um conjunto de iniciadores, executores da lógica e elementos finais
3.51
Sistema de Supervisão e Controle - SSC (“Basic Process Control System” - BPCS)
sistema que monitora e processa sinais de entrada provenientes do processo ou equipamento e
responde gerando sinais de saída que conduzem o mesmo a operar de maneira desejada, através de
controles regulatórios contínuos (tipo PID), controles discretos (tipo “on-off”) e controles seqüenciais
3.52
tempo de resposta da SIF (“response time”)
intervalo de tempo entre o surgimento de uma demanda e a conclusão da atuação de uma SIF; este
tempo inclui o tempo de detecção (“rise time”) da condição de demanda pelo(s) iniciador(es), o tempo
de processamento dos sinais no Executor da Lógica e o tempo de atuação do(s) elemento(s) final(is)
3.53
tempo de retardo da SIF
retardo de tempo adicionado intencionalmente ao processamento da lógica de uma SIF, insuficiente
para que se verifique(m) o(s) dano(s) a ser(em) evitado(s) frente a uma demanda real, e necessário
para se evitar “trips” espúrios por oscilações normais / esperadas do processo que não representam
perigo, mas podem atingir o limiar de atuação da SIF
3.54
tempo de segurança do processo (“process safety time”)
intervalo de tempo entre o surgimento de uma demanda real e o perigo
NOTA 1 Recomenda-se que o tempo requerido para se atingir o estado seguro seja menor ou igual à
metade do tempo de segurança do processo. [Prática Recomendada]
NOTA 2 O tempo requerido para se atingir o estado seguro normalmente é a soma do tempo de
resposta da SIF com o tempo de retardo da SIF.
3.55
tolerância a falha na demanda (“failure on demand tolerance”)
capacidade de uma SIF executar sua função quando demandada, mesmo na presença de falha(s)
perigosa(s)
NOTA Como exemplo de arquitetura que possui tolerância a falha na demanda, pode ser citada a
votação tipo 1 de 2.
3.56
tolerância a “trip” espúrio (“spurious trip tolerance”)
capacidade de uma SIF não provocar “trip” espúrio, mesmo na presença de falha(s) segura(s)
12
-PÚBLICO-
NOTA 1 Como exemplo de arquitetura que possui tolerância a "trip" espúrio, pode ser citada a
arquitetura de votação tipo 2 de 2.
NOTA 2 A arquitetura de votação tipo 2 de 3 é geralmente empregada em dispositivos do SIS
quando se deseja obter simultaneamente tolerância a falha na demanda e tolerância a “trip”
espúrio.
3.57
“trip”
atuação do(s) elemento(s) final(is) de uma SIF, seja por demanda real, por forçamento manual, ou
por falha da SIF (“trip” espúrio)
3.58
“trip” espúrio (“spurious trip”)
“trip” ocorrido sem que tenha havido demanda real, ou forçamento intencional (“trip” manual) dessa
condição; normalmente ocorre devido a falha de um ou mais dispositivos da SIF
NOTA Nem todo “trip” espúrio pode ser categorizado como falha segura, haja vista que atuações
espúrias totais ou parciais de algumas SIFs podem ser causas iniciadoras de cenários de
risco.
3.59
validação (“validation”)
atividade de demonstrar que o SIS instalado atende efetivamente as especificações das suas SIFs,
incluindo todos os aspectos de suas funcionalidades e de seus requisitos de desempenho
3.60
verificação (“verification”)
atividade de demonstrar para cada fase do ciclo de vida do SIS através de análises e/ou testes que,
para as condições especificadas, são atingidos todos os objetivos e requisitos estabelecidos na
especificação funcional daquela fase
4 Símbolos ou Siglas
13
-PÚBLICO-
A avaliação da necessidade de implementação de uma ou mais SIFs é parte integrante das práticas
de projeto, devendo ser realizada durante a etapa de elaboração do projeto básico da planta, através
da aplicação de uma ou mais técnicas de análise de riscos, seguida da adoção de camadas de
proteção apropriadas.
5.1.1 Dentre as diversas técnicas para avaliação de riscos de processo citadas na PETROBRAS
N-2782, recomenda-se a aplicação de HAZOP por uma equipe multidisciplinar formada por
profissionais das áreas de processo, instrumentação e controle, operação e segurança industrial,
utilizando como referência documentos de projeto que viabilizem a identificação dos cenários e a
avaliação dos riscos associados a cada cenário [Prática Recomendada].
5.1.2 As condições de contorno impostas pelo local de instalação da planta ou equipamento, bem
como pela sua filosofia operacional devem estar definidas quando da análise dos impactos
decorrentes de um cenário de risco. Exemplos típicos são equipamentos operados remotamente ou
manualmente do campo e plantas localizadas em regiões isoladas ou próximas a regiões habitadas.
14
-PÚBLICO-
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base as políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, a legislação local e as regulamentações aplicáveis.
NOTA Também podem ser considerados na determinação do risco tolerável: normas e referências
internacionais, informações de companhias seguradoras e acordos entre as partes
interessadas, podendo envolver a comunidade local. [Prática Recomendada]
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco não ser tolerável (estar fora da
região T - “tolerable”) é diferente de ser não tolerável (estar na região NT - “unacceptable”), porém
deve-se frisar que deixar o risco final na região M (moderado) deve ser justificado após se ter lançado
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP).
5.2.1 Caso a avaliação do risco de um cenário indique que este é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do evento perigoso ou a
severidade do dano associado a este cenário através da aplicação de medidas de redução de risco,
normalmente chamadas de salvaguardas ou camadas de proteção (ver Figura 1).
PROJETO DA INSTALAÇÃO
PROCESSO
15
-PÚBLICO-
5.2.2 Como primeira camada de proteção, um cenário associado a operação de equipamentos e/ou
processos pode ter seu risco consideravelmente reduzido, ou mesmo ser completamente eliminado,
por meio de técnicas de projeto específicas ou de um projeto inerentemente seguro. Exemplos: riscos
devidos a pressão excessiva podem ser reduzidos através de especificação adequada da espessura
de tubulação ou da limitação do “head” da bomba abaixo da pressão de projeto do vaso para onde a
mesma descarrega, riscos devidos a temperaturas elevadas podem ser reduzidos através de projetos
adequados de trocadores de calor, riscos devidos a vibrações podem ser reduzidos prevendo-se
suportes adequados para as tubulações, riscos a pessoas podem ser bastante reduzidos através da
instalação da planta em local desabitado, riscos de incêndio ou explosão podem ser eliminados se for
possível trocar o produto por outro não inflamável.
5.2.4 A camada de proteção seguinte, constituída por um SIS, objeto principal desta norma,
geralmente acompanha outra, formada por sistemas de alívio e de prevenção baseados em
dispositivos mecânicos, tais como válvulas de segurança, discos de ruptura e válvulas de retenção.
5.2.5 Recomenda-se que um SIS somente seja adotado caso após a aplicação das demais medidas
de redução de risco mencionadas, o risco residual permaneça maior que o tolerável (ver Figura 2).
[Prática Recomendada]
5.3.1 Uma vez confirmada a necessidade de uma ou mais SIFs, sua aplicação passa a constituir um
SIS propriamente dito. As etapas necessárias para a implantação de um SIS incluem concepção,
projeto, instalação, operação, manutenção e desativação, e são chamadas ciclo de vida do SIS (ver
Figura 3).
16
-PÚBLICO-
Análise de Riscos
SIF confirmada?
não
Operação,
sim manutenção e testes
Aplicação de outros
funcionais periódicos
meios para redução Verificação do SIL e do
do SIS
dos riscos MTTFS
(seção 13)
identificados (seção 8)
5.3.2 Para viabilizar a aplicação e operacionalização de um SIS, é necessário que exista implantado
um sistema de gestão do seu ciclo de vida com base em um Plano de Segurança conforme
IEC 61511-1 capaz de garantir que:
5.4.1 O projeto básico do SIS deve estabelecer e registrar, de modo organizado e sistemático, os
requisitos técnicos de especificação necessários para cada uma das SIFs que compõem o SIS, tanto
aquelas criadas durante a fase de projeto básico do processo (normalmente registradas nos
fluxogramas de engenharia e matrizes de causa e efeito), quanto aquelas criadas como
recomendações da técnica de identificação de perigos aplicada na fase de análise de riscos da
planta.
5.4.2 Deve-se considerar como SIF as funções automáticas que atuam especificamente para evitar
a(s) conseqüência(s) perigosa(s) de um determinado desvio, o qual pode estar associado a diferentes
cenários.
5.4.3 Todas as SIFs devem ser executadas pelo SIS. Não é permitido execução de SIF pelo SSC.
5.4.4 Recomenda-se que a inclusão no SIS de funções automáticas não relacionadas a segurança
seja limitada aos casos em que sua separação seja impraticável. Exemplo: sequência de
acendimento de fornos, caldeiras e tochas. [Prática Recomendada]
17
-PÚBLICO-
5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porém não utilizados em lógica
de SIF (p.ex. indicação do estado de elemento final) não devem ser ligados ao Executor da Lógica do
SIS. [Prática Recomendada]
5.4.6 É frequente a matriz de causa e efeito indicar uma mesma causa para ações de segurança e
para ações não relacionadas a segurança. Recomenda-se que uma SIF somente inclua os
dispositivos estritamente necessários para executar sua ação de segurança. [Prática Recomendada]
5.4.7 Cada SIF deve possuir um identificador alfa-numérico exclusivo (“tag”) e ser documentada
numa folha de dados que reúna as principais especificações da SIF, suas funcionalidades, seus
requisitos de desempenho (tais como SIL e MTTFS) e critérios adotados nos cálculos (como intervalo
entre testes periódicos), compondo um conjunto de informações equivalente ao “Safety Requirements
Specification - SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA 91.00.01).
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas:
5.4.11 Ao final do projeto básico, todas as folhas de dados de SIF devem estar completamente
preenchidas.
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova
planta e durante as revisões que venham a ser realizadas no projeto de uma planta
existente.
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
18
-PÚBLICO-
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) Processo;
b) Instrumentação e Controle;
c) Operação;
d) SMS.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante de Processo deve ter participado do projeto básico específico a ser analisado,
de forma a garantir um bom conhecimento sobre o mesmo.
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas em 6.2.1, desde que atenda às exigências para tal.
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
19
-PÚBLICO-
6.3.1 Os seguintes documentos devem estar disponíveis em suas revisões mais recentes para uso
no processo de avaliação das funções instrumentadas de segurança:
a) fluxogramas de engenharia;
b) descritivo das ações automáticas (matriz de causa e efeito, diagrama lógico, ou outro
documento equivalente);
c) relatório da análise de riscos, caso tenha sido emitido.
6.3.2 Informações adicionais sobre falhas, eventos perigosos e acidentes relacionados ao processo
ou equipamento objeto da proteção pela SIF também podem ser utilizadas, desde que suas fontes
sejam devidamente documentadas na Folha de Dados de SIF.
6.3.3 Dentre os cenários identificados pela análise de riscos, devem ser selecionados para avaliação
todos aqueles onde haja SIF como salvaguarda ou como recomendação. Outros cenários podem ser
avaliados a critério da equipe.
6.4.1 A cada SIF deve ser atribuído um SIL de acordo com a redução de risco requerida para a
mesma (ver Tabela 1).
NOTA Para SIFs que operam em modo contínuo ou com alta demanda (mais de uma demanda por
ano ou duas ou mais demandas a cada intervalo entre testes) o SIL é correlacionado com
uma frequência de falhas perigosas por hora, sendo, por exemplo, SIL 1 equivalente a uma
frequência entre 10-6 por hora e 10-5 por hora (ver Tabela 4 da IEC 61511-1:2003).
6.4.2 A avaliação do SIL requerido para uma SIF deve considerar as consequências sobre:
6.4.3 O SIL requerido para a SIF deve ser o maior dentre os determinados para cada um destes três
aspectos.
6.4.4 Caso uma mesma SIF seja salvaguarda para diversos cenários, o SIL requerido deve ser o
maior dentre os obtidos para cada cenário.
6.4.5 Nesta norma são apresentados dois métodos distintos de avaliação do SIL requerido para uma
SIF, a saber:
20
-PÚBLICO-
a) Gráficos de Risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semi-quantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade dos riscos, disponibilidade de informações sobre os cenários de
risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um SIL requerido maior que 3, devem ser
aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de integridade
de segurança requerido abaixo de SIL 4. Orientações e cuidados a serem tomados para reduzir o SIL
requerido de forma segura podem ser encontrados na ISA TR 84.00.04 Part 1 Anexo J.
6.4.10 Caso o resultado da avaliação de uma SIF indique não haver SIL requerido, deve ser
observado o disposto em 5.4.4
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 A instalação industrial deve possuir um critério para determinação do valor aceitável de MTTFS.
Duas alternativas possíveis são apresentadas em 6.5.2.1 e 6.5.2.2.
6.5.2.1 Indisponibilidade
O tempo de indisponibilidade devido a “trips” espúrios do SIS deve ser desprezível (menor que 1/10)
em relação ao tempo total de indisponibilidade (paradas e reduções de carga não programadas) da
planta ao longo de um dado período de tempo. Exemplo: numa unidade de processo na qual sejam
historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como
um todo não poderia ser responsável por mais que 10 dias parados a cada campanha, ou 2 dias por
ano. Supondo que este SIS possua 20 SIFs, cujos “trips” espúrios resultam, em média, em 12 h de
unidade parada por “trip”, teríamos o limite de 1 “trip” espúrio a cada 5 anos por SIF, ou um MTTFS
de 5 anos para cada SIF.
O custo do “trip” espúrio deve levar em conta, além da perda de produção (lucro cessante), também
os custos associados a outras possíveis consequências relacionadas com a parada imprevista e com
a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratários,
coqueamento de tubos, etc.), penalizações contratuais por interrupção da produção, danos
ambientais (alívio excessivo para a tocha, ruído de abertura de válvulas de segurança), danos à
imagem da companhia etc.
21
-PÚBLICO-
6.5.3 Deve-se levar em conta que a atuação de uma SIF pode vir a desencadear outras ações de
proteção. Por exemplo: baixa vazão de gás causa “trip” do compressor, o qual, por sua vez, causa
“trip” da bomba de carga.
6.5.4 Uma vez determinado o MTTFS requerido, o mesmo deve ser registrado na Folha de Dados da
respectiva SIF.
6.5.5 Caso os riscos pessoal e ambiental sejam ambos desprezíveis, fazendo com que o SIL seja
determinado apenas pelo risco associado ao aspecto do patrimônio da companhia, recomenda-se a
realização de análise custo-benefício para determinar se vale a pena ou não implementar a SIF.
[Prática Recomendada]
7.1.1 As SIFs devem ter suas respectivas implementações físicas separadas das malhas do SSC.
Portanto, devem ser segregados pelo menos os seguintes componentes:
a) tomadas de processo;
b) linhas de impulso;
c) iniciadores;
d) cabeamentos de sinal;
e) caixas de junção;
f) multicabos;
g) réguas de bornes;
h) painéis de controle e de rearranjo;
i) fusíveis e disjuntores;
j) Executor da Lógica;
k) elementos finais.
7.1.3 Admite-se o uso de válvulas de controle como elemento final do SIS somente nos casos onde a
segregação seja impraticável. Por exemplo: válvulas de catalisador gasto e catalisador regenerado
das unidades de FCC.
22
-PÚBLICO-
7.1.4 Caso seja necessário o uso de mais de dois pares de tomadas para uma mesma placa de
orifício, recomenda-se que o terceiro par de tomadas seja na tubulação (“pipe tap”). [Prática
Recomendada]
7.2.1 Plantas que operem de modo independente ou tenham paradas programadas para
manutenção independentes devem possuir SIS distintos.
7.2.2 Para equipamentos de processo localizados dentro de uma mesma planta, os quais tenham
paradas programadas de manutenção independentes, recomenda-se segregar os seguintes itens
componentes de cada respectivo SIS: caixas de junção, multicabos, módulos de I/O e programas
aplicativos. [Prática Recomendada]
7.2.3 Recomenda-se que o SIS seja segregado de outros sistemas de segurança regidos por normas
específicas. [Prática Recomendada]
EXEMPLO
7.3.1 Para SIFs com redundância de iniciadores e/ou de elementos finais, recomenda-se segregar os
seguintes componentes de cada respectivo canal [Prática Recomendada]:
a) tomadas de processo;
b) linhas de impulso;
c) cabeamentos de sinal;
d) caixas de junção;
e) multicabos;
f) réguas de bornes;
g) fusíveis e disjuntores;
h) módulos de I/O.
7.3.2 No caso de medição de temperatura redundante admite-se a utilização de um único poço para
mais de um iniciador.
7.4.1 A alimentação elétrica para o SIS deve ser fornecida a partir de um sistema de corrente
contínua redundante constituído por dois conjuntos de carregadores, dois bancos de baterias e dois
quadros de distribuição (PCC) com disjuntor para interligação, sendo um quadro igual (espelho) ao
outro e cada um desses conjuntos, energizado por alimentadores independentes.
23
-PÚBLICO-
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada uma alimentada por um PCC distinto. [Prática Recomendada]
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica. [Prática
Recomendada]
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores como iniciadores não seja tecnicamente viável (por
exemplo: chaves de indicação de posição), os respectivos contatos utilizados para acionamento da
SIF devem ser mantidos fechados e energizados quando da condição normal de operação da planta
ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores seja configurado de modo a, em caso de falha, conduzir o sinal de saída para os
seguintes valores: [Prática Recomendada]
a) abaixo de 3,6 mA (sub-range) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (sobre-range) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
24
-PÚBLICO-
7.6.4 Recomenda-se que a execução de funções como extração de raiz quadrada, ajuste de
amortecimento e temporização sejam realizadas no programa aplicativo do Executor da Lógica e não
nos iniciadores. [Prática Recomendada]
7.6.5 Recomenda-se que os iniciadores do SIS e os sensores utilizados no SSC para medição das
mesmas variáveis, tenham o mesmo range e incertezas compatíveis, de modo a permitir sua
comparação direta, podendo ser implementado alarme de desvio no SSC. [Prática Recomendada]
7.6.6 Os iniciadores devem ser pintados na cor laranja segurança conforme a PETROBRAS N-1219.
A pintura parcial do iniciador é aceitável. Exemplo: pintura apenas das tampas de transmissores.
7.6.7 Para os iniciadores das SIFs avaliadas como SIL 3 recomenda-se o uso de redundância
diversa. [Prática Recomendada]
7.7.1 Recomenda-se que válvulas do SIS utilizem atuadores pneumáticos. Atuadores elétricos ou
hidráulicos podem ser utilizados nos casos em que os atuadores pneumáticos sejam impraticáveis.
Por exemplo, indisponibilidade de ar de instrumento. [Prática Recomendada]
7.7.3 Válvulas do SIS não devem dispor de volantes para acionamento manual.
7.7.4 Para válvulas do SIS e respectivos atuadores, devem ser especificados, no mínimo, os
seguintes itens:
7.7.5 No caso de elementos finais da SIF serem circuitos de acionamento de máquinas elétricas
(motores) os status destes equipamentos devem ser sinalizados na interface de operação.
7.7.6 Recomenda-se para SIF avaliada como SIL 3, cuja atuação seja feita em motor elétrico, que a
confirmação do estado do motor se dê através da monitoração de variáveis tais como rotação do eixo
ou corrente elétrica. [Prática Recomendada]
7.7.7 Em aplicações envolvendo proteção de equipamentos essenciais acionados por motor elétrico,
recomenda-se utilizar a função “Break Failure - BF” no relé de proteção elétrica do disjuntor de
acionamento do motor.
NOTA Deve-se avaliar os impactos do desligamento das demais cargas afetadas pela atuação do
BF.
25
-PÚBLICO-
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes itens:
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
[Prática Recomendada]
7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
diversa. [Prática Recomendada]
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo. O certificado deve ser submetido para aprovação da Petrobras.
Certificados emitidos pela TÜV estão pré-aprovados.
7.8.6 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
26
-PÚBLICO-
7.8.8 Recomenda-se que o executor da lógica seja dotado de recursos para detectar sinal de
iniciador fora da faixa normal de trabalho e atribuir ao mesmo um status de falha (“out of
specification”) quando abaixo de 3,6 mA ou acima de 21 mA. [Prática Recomendada]
7.8.9 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.10 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.11 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.12 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da Petrobras. Certificados emitidos pela TÜV estão pré-
aprovados.
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
[Prática Recomendada]
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
7.8.14 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que iniciadores identificados
como em estado de falha sejam contornados automaticamente pelo programa aplicativo, respeitando
as limitações impostas por 7.11.3. [Prática Recomendada]
NOTA 1 A duração deste contorno automático deve ser definida na fase do projeto de
detalhamento, não podendo exceder 8 horas. Durante esse período, a operação da
unidade deve definir sobre o acionamento ou não do contorno manual de manutenção do
iniciador em questão.
27
N-2595 REV. C 12 / 2010
NOTA 2 A duração total do contorno (automático + manual) deve respeitar o limite estabelecido no
procedimento específico para a SIF em questão.
NOTA 3 Caso a temporização do contorno automático chegue ao fim sem que tenha sido acionado
manualmente o contorno para manutenção conforme 7.11.3.5, o programa aplicativo deve
atribuir ao iniciador em falha o status de “trip”, seguindo-se daí as conseqüências
programadas na lógica da SIF.
7.8.15 Recomenda-se que o programa aplicativo trate os casos de SIFs com iniciadores redundantes
de modo a evitar "trips" espúrios por falso diagnóstico de falha simultânea de todos os iniciadores
devido a excursão real da variável de processo para fora da faixa normal de trabalho no sentido
contrário ao do "trip". [Prática Recomendada]
EXEMPLO
NOTA Uma eventual implementação de lógica específica para evitar este tipo de "trip" espúrio
deve ser precedida por uma avaliação cuidadosa das possibilidades de falha de causa
comum dos iniciadores.
27-A
-PÚBLICO-
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador prevista no projeto de processo, mas não faz parte da função automática de
proteção e, portanto, não deve ser considerada nos cálculos de desempenho da SIF (SIL ou
MTTFS).
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em série,
instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Os sinais de comando manual de “trip” devem ser processados pelo Executor da Lógica do
SIS.
7.9.4 Comandos manuais de “trip” a partir da interface de operação do SSC devem ser
implementados “hardwired” do controlador do SSC para o Executor da Lógica.
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
7.11.1.2 Todo contorno acionado manualmente deve ser feito por intermédio de telas pré-
configuradas na IHM do SSC, possuindo necessariamente sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
28
-PÚBLICO-
7.11.2.1 Somente devem dispor de comando de contorno para início de operação as SIFs que,
devido ao estado inicial do processo, impeçam a partida da planta ou equipamento objeto de
proteção. Exemplos: pressão baixa no header de gás para o forno, velocidade baixa de rotação do
compressor, baixa vazão de carga, etc.
7.11.2.2 Recomenda-se que os comandos de contorno para início de operação sejam desativados
através de funções automáticas, evitando-se o uso de comando manual para essa finalidade.
[Prática Recomendada]
EXEMPLO
7.11.2.3 Os comandos de contorno para início de operação devem ser mantidos desativados quando
a planta ou equipamento objeto de proteção pelo SIS não estiver em procedimento de partida.
7.11.3.1 Recomenda-se não permitir que mais de uma SIF pertencente a uma mesma planta ou
equipamento esteja contornada ao mesmo tempo (ver API RP 554:1995). [Prática Recomendada]
7.11.3.3 Para as SIFs que disponham de iniciadores tolerantes a falha, o contorno para manutenção
deve ser de somente um iniciador por vez e, quando acionado, deve degradar as respectivas
arquiteturas de votação da seguinte forma:
a) de 1 de 2 para 1 de 1;
b) de 2 de 2 para 1 de 1;
c) de 2 de 3 para 1 de 2.
7.11.3.4 Para as SIFs que não disponham de iniciadores tolerantes a falha, somente deve haver
comando de contorno para manutenção nas SIFs que satisfaçam simultaneamente aos seguintes
requisitos:
7.11.3.5 O contorno de SIF deve ser realizado de acordo com procedimento específico para esse fim
desenvolvido na etapa de projeto de detalhamento do SIS. Tal procedimento deve incluir o controle
do tempo de duração do contorno (ver 13.1.5) e estar em conformidade com os padrões de operação
da planta ou equipamento objeto de proteção pelo SIS.
29
-PÚBLICO-
EXEMPLO
7.12.1 Considera-se que a planta ou equipamento objeto de proteção pelo SIS é monitorada e
controlada por meio de um SSC, cuja IHM serve também de interface do SIS com o operador da
planta. Dessa forma, devem ser apresentados na IHM do SSC as seguintes informações do SIS:
7.12.2 Devem ser previamente configurados e enviados da interface de operação do SSC para o
Executor da Lógica do SIS os seguintes comandos:
7.12.3 Recomenda-se que toda falha identificada de forma automática em algum dispositivo do SIS,
seja por função específica de diagnóstico, por desvio no valor da variável monitorada, ou por qualquer
outro método, gere um alarme na interface de operação do SSC. [Prática Recomendada]
NOTA Por desvio no valor da variável monitorada, pode-se entender uma diferença maior que
duas vezes o erro total provável entre os valores dos sensores analógicos do SIS e do
sistema de controle para a mesma variável de processo.
7.12.4 É recomendado que seja implementada sincronização entre os relógios internos do SSC e do
Executor da Lógica do SIS, de modo a viabilizar análises de sequências de eventos. [Prática
Recomendada]
30
-PÚBLICO-
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 Recomenda-se que os alarmes do SIS possuam identificação visual e sonora diferenciada dos
demais alarmes do SSC. [Prática Recomendada]
7.12.8 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve existir pelo menos uma
estação de engenharia/manutenção interligada em rede com os mesmos.
7.13.4 Recomenda-se que haja uma porta local de comunicação em cada CP de Segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
7.14.3 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12.2. [Prática
Recomendada]
31
-PÚBLICO-
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF
8.1 A etapa de verificação tem por objetivo prover maior consistência ao projeto básico, evitando
modificações significativas durante o projeto de detalhamento.
NOTA A indicação pelos cálculos de que não é requerida tolerância a falha não invalida a
aplicação de outros critérios de redundância, tais como flexibilidade operacional, inclusive
para a execução de testes de SIF durante a operação da planta ou equipamento.
8.3 Os cálculos de confiabilidade de cada SIF devem ser registrados em uma memória de cálculo
específica, contendo as seguintes informações:
NOTA 1 As taxas de falha de dispositivos a serem utilizadas devem ser obtidas em bancos de dados
definidos pela Unidade Operacional.
EXEMPLO
NOTA 2 Recomenda-se não utilizar taxas de falha informadas por fabricantes, pois as mesmas não
incluem as falhas causadas pela instalação (entupimento de tomada, por exemplo), nem
levam em conta as condições reais do processo (temperatura de operação, fluido corrosivo,
ambiente agressivo etc.). [Prática Recomendada]
NOTA 3 Caso seja necessária a utilização de algum elemento entre dispositivos de campo e
Executor da Lógica (barreira de segurança intrínseca, isolador, conversor de sinal, relé de
interposição etc.), sua taxa de falha deverá ser considerada nos cálculos de SIL e de
MTTFS da SIF.
NOTA 4 Normalmente, uma falha da UPS causa “trip” espúrio, mas sua taxa de falha não deve ser
contabilizada no cálculo de MTTFS. Por outro lado, se uma SIF necessitar de alimentação
elétrica para atuar, a taxa de falha do UPS deve ser contabilizada no cálculo da sua PFD.
32
-PÚBLICO-
8.4 O MTTR assumido nos cálculos de confiabilidade deve incluir os tempos de notificação do
problema à Gerência de Manutenção, de execução do reparo propriamente dito e dos testes pós-
reparo, e de restauração do dispositivo à sua condição operacional normal.
8.5 O intervalo de tempo entre testes periódicos deve ser igual ou maior que o período de campanha
previsto, entendido como o intervalo de tempo entre paradas programadas periódicas de manutenção
da planta ou equipamento.
8.6 Um intervalo de tempo entre testes menor que o período de campanha só deve ser adotado nos
casos em que seja comprovadamente demonstrado que o SIL requerido não possa ser atingido de
outra forma.
8.7 Caso seja adotado um intervalo de tempo entre testes menor que o período de campanha, a
respectiva SIF deve ser dotada de recursos/facilidades que permitam a realização de testes
periódicos durante a campanha normal de operação da planta ou equipamento, sem comprometer a
sua integridade nem sua disponibilidade (perdas de produção). Tais recursos/facilidades fazem parte
integrante do projeto da SIF.
9.1.2 Os seguintes documentos devem estar disponíveis para iniciar a etapa de projeto de
detalhamento:
9.2 Documentação
9.2.1 Os documentos relacionados a seguir devem ser elaborados durante a fase de projeto de
detalhamento do SIS e estar em conformidade com a PETROBRAS N-1883, formando um conjunto
distinto e destacado dos demais documentos do projeto de detalhamento (ver ISA S.91.00.01):
33
-PÚBLICO-
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
34
-PÚBLICO-
10.2.1 Durante a etapa de projeto de detalhamento do SIS deve ser elaborado um planejamento
próprio e específico para o TAF. Tal planejamento deve ser estruturado e apresentado em um
documento intitulado Plano de TAF, o qual deve incluir os seguintes itens:
a) local de realização;
b) documentos de referência, dentre os quais se destaca a Especificação Técnica do
Executor da Lógica do SIS;
c) competência do pessoal designado para supervisão e execução dos testes;
d) responsabilidade pela execução e registros dos testes;
e) responsabilidade pelo acompanhamento, testemunho e liberação;
f) cronograma de execução;
g) descrição da plataforma de teste e ferramentas;
h) relação dos testes a serem executados;
i) procedimento de execução elaborado especificamente para cada tipo de teste;
j) critérios de aceitação;
k) modelo de relatório de registro dos resultados - Relatório do TAF;
l) procedimentos de ação corretiva;
m) classificação das pendências e formulário para registro das mesmas;
n) relatórios dos testes internos realizados (pré-TAF).
10.2.2 Os critérios de aceitação são parte integrante do procedimento de teste e devem ser
baseados na ET do Executor da Lógica.
10.2.3 O Plano de TAF deve ser submetido para análise e liberação por parte da PETROBRAS.
Somente após a liberação do Plano de TAF pode-se dar prosseguimento à execução do TAF
propriamente dita.
10.3.1 O TAF deve ser realizado com os mesmos equipamento e programas aplicativos, utilitários e
embutido que serão efetivamente instalados no campo.
10.3.2 Recomenda-se o uso de recursos de simulação de processo com visualização gráfica para
auxílio à execução do TAF. [Prática Recomendada]
10.3.3 O TAF deve ser conduzido de acordo com o Plano de TAF, incluindo a realização de testes
dos seguintes tipos:
a) inspeção visual;
b) testes elétricos: isolamento, continuidade;
c) testes funcionais: verificação da lógica propriamente dita;
d) verificação do mapa de memória e concordância com o projeto;
e) testes de desempenho: medição de “scan time” etc.;
f) testes de compatibilidade ambiental: compatibilidade eletromagnética, operação sob a
maior temperatura ambiente especificada etc.;
g) testes de tolerância a falha: operação em modo degradado;
h) testes de interface:
35
-PÚBLICO-
NOTA 1 Os testes de entradas analógicas devem ser executados em pelo menos cinco pontos
representativos da faixa de medição. Exemplo: 0 %, 25 %, 50 %, 75 % e 100 %.
NOTA 2 Uma IHM provisória com telas gráficas específicas deve ser prevista para os testes.
10.3.5 Os registros dos testes realizados devem ser agrupados em um documento intitulado
Relatório do TAF, o qual deve ser submetido para análise e liberação pela PETROBRAS.
10.3.6 No caso da execução de um teste não ser bem sucedida, o respectivo evento deve ser
registrado no relatório, analisado e aplicadas as ações corretivas previstas.
10.3.7 Durante a execução do TAF não devem ser feitas modificações no programa aplicativo que
alterem a funcionalidade ou integridade das SIFs. Qualquer modificação deve ser feita em
conformidade com o 13.4 desta Norma.
10.4 Preservação
10.4.1 O objetivo desta etapa é o de prover informações para manutenção da integridade física do
Executor da Lógica durante os períodos de transporte e armazenamento, antecedendo a etapa de
instalação.
10.4.2 Deve ser elaborado um documento intitulado Plano de Preservação, o qual deve incluir os
seguintes itens:
36
-PÚBLICO-
11.1 Instalação
11.1.1 A etapa de instalação tem por objetivo garantir que todos os dispositivos do SIS são
efetivamente instalados de acordo com suas especificações técnicas e demais requisitos
estabelecidos na etapa de projeto.
11.1.2 Deve ser elaborado um documento intitulado Plano de Instalação o qual deve conter:
11.1.3 O SIS deve ser instalado de acordo com o Plano de Instalação, o qual deve observar os
requisitos presentes na PETROBRAS N-858.
11.2 Condicionamento
11.2.1 A etapa de condicionamento tem por objetivo garantir que todos os dispositivos do SIS
estejam individualmente operacionais de forma a viabilizar a realização da etapa de pré-operação
(ver IEC 62337).
a) inspeção visual;
b) verificação de ligações e resistência de aterramento elétrico;
c) verificação das fontes de energia elétrica, pneumática e hidráulica;
d) parametrização e calibração dos iniciadores e elementos finais;
e) verificação das interligações elétricas entre iniciadores e elementos finais com o painel
do Executor da Lógica, incluindo continuidade e isolamento;
37
-PÚBLICO-
11.2.4 Os dispositivos do SIS devem ser condicionados de acordo com o Plano de Condicionamento,
o qual deve observar os requisitos da PETROBRAS N-858. Durante a execução das atividades de
condicionamento deverão ser feitos registros e elaborado relatório de condicionamento de modo a
demonstrar conformidade com os requisitos técnicos estabelecidos no projeto do SIS.
12.1 Pré-Operação
12.1.1 A etapa de Pré-Operação deve ser executada após a conclusão das etapas de instalação e
condicionamento. A realização completa e bem sucedida desta etapa é requisito para o início de
operação da planta ou equipamento objeto de proteção pelo SIS.
12.1.2 A etapa de pré-operação tem por objetivo validar o SIS por intermédio da realização de
simulações e testes funcionais exaustivos, abrangendo não somente a operação conjunta de todos os
dispositivos do SIS, mas também destes com os demais sistemas e/ou equipamentos interligados e
efetivamente instalados em campo.
12.1.3 Deve ser elaborado um documento intitulado Plano de Pré-Operação do SIS, contendo:
12.1.4 Recomenda-se que o Plano de Pré-Operação não imponha excessivo número de demandas
durante os testes aos elementos finais. [Prática Recomendada]
38
-PÚBLICO-
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de Pré-Operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente se
o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de análise
bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer parte
integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
13.1 Operação
13.1.1 O objetivo de 13.1 é o de estabelecer requisitos que contribuam para a operação adequada
do SIS ao longo de seu ciclo de vida.
39
-PÚBLICO-
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de
Operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
— comandos de contorno;
— condições de processo que devem ser satisfeitas em cada passo e respectivas SIFs
associadas;
— intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de
purga etc.);
— funções de “reset”.
13.1.3 O Manual de Operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e procedimentos
contidos no manual de operação do SIS. O treinamento deve ser registrado de forma apropriada a
garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
13.2 Manutenção
40
-PÚBLICO-
13.2.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Plano de
Manutenção do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
13.2.3 É recomendado que o usuário adote uma sistemática de codificação das tarefas, falhas,
ações corretivas e atuações de modo a permitir a realização de análises estatísticas de ocorrências
do SIS. [Prática Recomendada]
13.2.5 O Plano de Manutenção do SIS deve fazer referência e estar em conformidade com os
demais documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de
SIF, matriz de causa e efeito, diagrama lógico etc.
13.2.6 Recomenda-se que outras camadas de proteção diferentes do SIS sejam incluídas no Plano
de Manutenção do SIS, caso tenham sido consideradas na redução de riscos. [Prática
Recomendada]
13.2.8 O acesso ao Executor da Lógica do SIS deve ser restrito ao pessoal autorizado pelo
responsável pela manutenção. A quantidade de pessoas com autorização de acesso deve ser
limitada e controlada.
41
-PÚBLICO-
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
13.3.1 O objetivo de 13.3 é estabelecer requisitos para a execução de testes periódicos no SIS, de
forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na Folhas de Dados de SIF (projeto básico) e confirmado após a etapa de
verificação do SIL (projeto de detalhamento).
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
42
-PÚBLICO-
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
13.3.13 A critério da Unidade Operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
a) o evento de “trip” deve ser registrado em formulário específico, contendo no mínimo: data
e hora do evento, SIF atuada, alarmes, modo de detecção, causa identificada (variável
de processo em desvio, dispositivo(s) em falha, ação humana), ações subsequentes e
nome do responsável; o formulário de registro de “trip” deve ser arquivado no sistema de
documentação técnica da Unidade Operacional, de modo rastreável;
b) “trips” com causa desconhecida não podem ser usados como teste de SIF;
c) em um “trip” espúrio causado por falha do elemento final, nenhum dos dispositivos da
SIF pode ser considerado como testado;
d) em um “trip” espúrio causado por falha de módulo de saída do CP de segurança, apenas
o elemento final pode ser considerado como testado;
e) em um “trip” espúrio causado por falha na CPU do Executor da Lógica, apenas o módulo
de saída do CP de segurança e o elemento final podem ser considerados como
testados;
f) em um “trip” espúrio causado por falha de módulo de entrada do CP de segurança, toda
a SIF, exceto o iniciador e o módulo de entrada do CP de segurança, pode ser
considerada como testada;
g) em um “trip” espúrio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode
ser considerada como testada;
h) em um “trip” real, somente os dispositivos que comprovadamente (a partir dos registros
do evento) tenham operado corretamente podem ser considerados como testados.
13.4 Modificações
13.4.1 O objetivo de 13.4 é estabelecer requisitos de modo que modificações realizadas no SIS não
impactem a segurança da planta ou do equipamento associado.
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
43
-PÚBLICO-
13.4.3 Toda modificação proposta deve ser submetida a uma análise inicial pela equipe técnica
responsável pelo SIS, de modo a se classificar a mesma como:
a) modificação tipo 1: não altera estrutura lógica, SIL ou MTTFS da(s) SIF(s) envolvida(s).
Exemplos: alterações de parâmetros de programação, tais como valores de “range”, de
“set point” de alarme ou “trip”, ou de retardos de tempo;
b) modificação tipo 2: pode alterar funcionalidade, SIL, ou MTTFS da(s) SIF(s) envolvida(s);
exemplos: acréscimo ou remoção de iniciadores ou elementos finais, alterações na
arquitetura de votação, no tipo de equipamento, ou na lógica do programa aplicativo.
13.4.5 Após a análise inicial, o documento de Solicitação de Modificação no SIS deve ser:
13.4.6 Caso a solicitação de modificação seja aprovada, a equipe técnica responsável deve emitir
revisão nos documentos técnicos pertinentes, incluindo os procedimentos de testes, de operação e
de manutenção. A documentação revisada deve ser identificada como “REVISÃO PROVISÓRIA
PARA MODIFICAÇÃO NO SIS” e referenciar a correspondente Solicitação de Modificação no SIS.
13.4.7 Antes da revisão dos documentos afetados por uma modificação tipo 2, deve ser feita a
revalidação da análise de riscos e da avaliação de SIL e MTTFS.
13.4.8 Antes da execução de qualquer tipo de modificação no SIS, deve ser feita a revalidação dos
testes de verificação da funcionalidade da(s) SIF(s) envolvida(s) na modificação.
13.4.9 Toda execução de modificação no SIS deve ser planejada observando os procedimentos de
autorização de acesso e de trabalho vigentes na Unidade Operacional.
13.4.10 A execução de modificações no programa aplicativo deve incluir verificações adicionais para
garantir a inexistência de alterações nas demais SIFs não envolvidas na modificação implementada.
13.4.11 Após concluídos os testes funcionais de verificação, a descrição da revisão dos documentos
técnicos afetados pela modificação deve ser mudada para “REVISADO CONFORME SOLICITAÇÃO
DE MODIFICAÇÃO NO SIS Nº...”.
44
-PÚBLICO-
A.1 Introdução
A.1.1 Este anexo descreve o método de gráficos de risco que permite que o nível de integridade de
segurança de uma SIF seja determinado a partir do conhecimento dos fatores de risco associados ao
processo e ao sistema de controle básico de processo. Trata-se de um método semi-qualitativo, e foi
desenvolvido a partir do anexo D da IEC 61511-3:2003.
A.1.2 Nesta abordagem são usados parâmetros, que juntos descrevem a natureza da situação
perigosa que ocorre no caso da inexistência ou de falha do SIS. São utilizados quatro conjuntos de
parâmetros, e os parâmetros selecionados são combinados para se determinar o nível de integridade
de segurança da SIF. Estes parâmetros representam fatores chave para as avaliações dos riscos e
permitem uma classificação escalonada dos riscos.
A.1.3 Este anexo apresenta exemplos de gráficos de risco e de tabelas de parâmetros desenvolvidos
para atender os critérios típicos de unidades de processo. Antes de serem utilizados em qualquer
projeto é importante que sejam validados pela área responsável pela segurança da planta. Nesta
oportunidade podem ser feitos ajustes nos parâmetros a fim de adequá-los às situações específicas.
A.1.4 Neste anexo são apresentados gráficos de risco relacionados com a segurança de pessoas
nas indústrias de processo e com os aspectos de proteção ambiental e de proteção patrimonial.
45
-PÚBLICO-
Parâmetro Descrição
Número de fatalidades e/ou de ferimentos graves
resultantes da ocorrência do evento perigoso.
Severidade da Consequência C Determinado levando-se em conta o número de pessoas
na área exposta quando a área estiver ocupada e a
vulnerabilidade ao evento perigoso.
Probabilidade que a área exposta ao perigo esteja
ocupada no momento da ocorrência do evento perigoso.
É determinado calculando-se a fração do tempo em que
área está ocupada na ocorrência do evento perigoso.
Ocupação F Deve ser considerada a possibilidade de aumento de
presença na área exposta associada à investigação de
situações anormais que podem existir antes da
ocorrência do evento perigoso. (isto deve ser considerado
também para determinação do parâmetro C).
É importante que todas as decisões tomadas durante a determinação do SIL sejam registradas em
documentos controlados. A documentação deve indicar claramente as razões pelas quais, a equipe
selecionou os parâmetros específicos associados a cada função de segurança. Os formulários que
registram o resultado e as hipóteses consideradas em cada determinação de SIL de cada função de
segurança devem ser compilados em um relatório. O relatório deve também incluir as seguintes
informações adicionais:
— o gráfico do risco usado junto com as descrições de todas as escalas dos parâmetros;
— os números e revisões de todos os desenhos usados;
— as referências às hipóteses consideradas e eventuais estudos de consequências que
foram utilizados para avaliar os parâmetros;
— as referências às falhas que conduzem às demandas e qualquer modelo da propagação
de falha usados para determinar taxas de demanda;
— as referências às fontes dos dados usados para determinar taxas de demanda.
46
-PÚBLICO-
A.4.1 A Tabela A.2 apresenta descrições e escalas para cada parâmetro utilizado na Figura A.1
relativo à segurança de pessoas.
W3 W2 W1
C1
--- --- ---
1 --- ---
P1
C2 P2
F1 2 1 ---
Início F2 P1
C3 P2
F1 3 2 1
F2 P1
C4 P2
F1 X 3 2
F2 P1
P2 X X 3
A.4.2 O conceito de vulnerabilidade foi introduzido para modificar o parâmetro da consequência, pois
nem sempre uma falha causa imediatamente uma fatalidade. A vulnerabilidade de um receptor é uma
consideração importante na análise do risco porque a dose recebida por um indivíduo às vezes não é
grande o bastante para causar uma fatalidade. A vulnerabilidade de um receptor a uma consequência
é função da concentração do perigo a que ele foi exposto e a duração da exposição. Um exemplo
disto é quando uma falha causa a elevação da pressão em um equipamento ultrapassando a pressão
de operação, mas não atingindo a pressão de teste. O resultado provável normalmente será limitado
ao vazamento em juntas de flanges. Nesses casos, a taxa de progressão do perigo provavelmente
deve ser lenta e a equipe de operação poderá normalmente escapar das consequências. Mesmo nos
casos de vazamentos de grandes inventários de líquidos, o agravamento da situação pode ser
suficientemente lento para permitir que a equipe de operação possa evitar o dano. Há naturalmente
os casos onde uma falha pode conduzir a uma ruptura de tubulações ou vasos onde a vulnerabilidade
da equipe de operação pode ser elevada.
A.4.3 Deve ser considerada a possibilidade do aumento do número de pessoas nas proximidades
quando de evento perigoso, como consequência de verificações de sintomas que podem ocorrer
durante a formação do referido evento. Logo, deve ser considerado o pior cenário.
A.4.4 É importante ressaltar diferença entre “vulnerabilidade” (V) e “probabilidade de evitar o evento
perigoso” (P) de modo que não seja considerado duas vezes para o mesmo fator. A vulnerabilidade é
uma medida que se relaciona à velocidade de progressão depois que o perigo ocorre, enquanto o
parâmetro de P é uma medida que se relaciona com a prevenção do perigo. O parâmetro P deve ser
usado somente nos casos onde o perigo pode ser impedido por ação do operador, depois de que ele
esteja ciente que a respectiva SIF associada tenha falhado.
47
-PÚBLICO-
A.4.5 Alguns cuidados devem ser tomados na seleção dos parâmetros de ocupação. O fator de
ocupação deve ser selecionado baseando-se na pessoa mais exposta e não na média de todos os
expostos.
A.4.6 Quando não é possível enquadrar um parâmetro nas escalas especificadas, é necessário
utilização de outros métodos de redução do risco.
Ocupação (F)
Exposição de rara a
Este parâmetro é calculado determinando pouco frequente na
a duração proporcional do tempo no qual a zona perigosa
zona exposta ao perigo é ocupada em um F1 Ocupação menor
turno de trabalho. que 10% do tempo
(F < 0,1).
NOTA 1 Se o tempo na área perigosa for
diferente dependendo do turno
de operação o valor máximo
deve ser selecionado. Ver comentário 1 acima
48
-PÚBLICO-
49
-PÚBLICO-
W3 W2 W1
--- --- ---
1 --- ---
E1 P1
P2
E2 2 1 ---
Início P1
E3 P2
3 2 1
P1
P2
E4 X 3 2
P1
P2 X X 3
E = Consequência ambiental
--- = Sem requisitos de segurança
P = Probabilidade de evitar o evento perigoso
1, 2, 3 = SIL
W = Taxa de demanda X = ver 6.4.9 desta Norma
A.5.2 As consequências acima devem ser usadas conjuntamente com o gráfico de risco conforme
Figura A.2. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o conceito
de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser idênticas
àquelas usadas para o gráfico de segurança pessoal.
50
-PÚBLICO-
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança associado a
conseqüências materiais deve levar em consideração todas as perdas econômicas decorrentes da
falha na demanda da função, incluindo custos de reparo de equipamentos e instalações, perdas de
produção, custos de limpeza e recomposição, multas contratuais, multas de órgãos governamentais
etc.
A.6.2 O gráfico de risco da Figura A.3 deve ser usado em conjunto com as classes de consequências
materiais descritas na Tabela A.4.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
Consequência
Material (L)
— perda de grande quantidade de produto por
abertura de PSV ou transbordamento de
reservatório;
Perdas entre
— danos por cavitação em bombas de alta
L2 US$ 1.000.000 e
rotação ou em bombas de múltiplos
US$ 10.000.000
estágios que disponham de reserva;
— danos financeiros por produção adiada,
incluindo multa por atraso na entrega.
51
-PÚBLICO-
— explosão de reator;
Perdas superiores a — ruptura de sistema pressurizado;
L4
US$ 100.000.000 — explosão de forno;
— explosão de caldeira.
Quando uma falha na demanda leva a mais de um tipo de consequência (a pessoas, ao meio
ambiente e materiais), os requisitos de integridade associados com cada um dos aspectos envolvidos
devem ser determinados em separado e o maior dentre eles deve ser o nível de integridade
especificado para a função.
52
-PÚBLICO-
B.1 Introdução
B.1.1 Este anexo estabelece um procedimento padronizado para avaliação do Nível de Integridade
de Segurança (SIL) requerido para Funções Instrumentadas de Segurança (SIFs), utilizando o
método de Análise de Camadas de Proteção (LOPA) descrito no livro-conceito do AIChE CCPS.
B.1.3 Se o risco estimado para um cenário não for tolerável, outras camadas de proteção devem ser
adicionadas a fim de se atingir a redução de risco necessária. LOPA não define quais camadas de
proteção adicionar ou como projetá-las, mas auxilia na avaliação das medidas alternativas que
podem ser implementadas para que se alcance a redução de risco requerida.
B.2 Procedimento
O procedimento de aplicação da LOPA para a determinação do SIL requerido para cada SIF está
representado de forma simplificada na Figura B.1 e descrito em detalhes nas seções B.2 a B.4 deste
Anexo, as quais apresentam alguns valores numéricos tabelados para serem usados no cálculo do
SIL requerido ao final da análise.
Como regra geral, em caso de dúvida entre os valores tabelados, deve-se adotar sempre os valores
mais conservadores. Caso a equipe de LOPA decida utilizar na análise algum valor diferente
daqueles apresentados nas tabelas deste anexo, os valores efetivamente adotados devem ser
calcados em razões defensáveis e documentadas.
53
-PÚBLICO-
Selecionar os
Início cenários a serem
avaliados (B.2.1)
Verificar a
severidade do
cenário (B.2.2)
Determinar a
frequência tolerável
(FTOL) (B.2.3)
Estimar uma
ICF para
o cenário (B.2.4)
Encontrar a EEL
para o cenário, caso
aplicável (B.2.5)
Determinar
os MF, caso
aplicáveis (B.2.6)
Identificar as IPL
(não SIF) e estimar Sim
suas PFDavg (B.2.7)
Determinar a Não
Frequência da Próximo Fim
Consequência (FC) cenário
(B.3.1)
Documentar
Sim
C
F ≤F TOL cenário
(OK) (FC) (B.3.3)
Sim É possível
adicionar IPL SIL ≤ 3
(não SIF)
Não Não
Determinar Reavaliar riscos do
SIL processo. Medidas
requerido gerenciais requeridas.
54
-PÚBLICO-
B.2.1.1 A primeira atividade da equipe de LOPA deve ser, dentre os cenários identificados na Análise
de Riscos, selecionar para avaliação todos aqueles onde haja SIF como salvaguarda ou como
recomendação.
B.2.1.3 A equipe de LOPA deve registrar todos os cenários de interesse numa planilha de análise,
onde a identificação (número) e a descrição de cada cenário são herdadas do HAZOP.
B.2.1.4 Para o registro de cenários, recomenda-se a adoção de uma planilha de HAZOP estendida,
conforme Anexo C. [Prática Recomendada]
B.2.1.5 Para cenários que apresentem frequência elevada (maior que duas vezes a freqüência entre
testes de IPL) ou consequência de severidade catastrófica, recomenda-se realizar uma avaliação
quantitativa de riscos (p.ex. árvore de falhas). [Prática Recomendada]
B.2.2.2 A classificação da severidade é uma atividade de análise de riscos que consiste em definir,
para cada cenário selecionado, uma categoria de severidade conforme a matriz de tolerabilidade de
riscos da PETROBRAS N-2782, assumindo falha em todas as salvaguardas.
B.2.2.3 A equipe de LOPA não deve refazer o trabalho de classificação da severidade caso este já
tenha sido feito numa análise de riscos prévia.
A equipe de LOPA deve encontrar na Tabela B.1 o valor da frequência tolerável para a categoria de
severidade da consequência do cenário, definida conforme B.2.2.
B.2.4.1 A causa iniciadora corresponde ao motivo pelo qual ocorreu o desvio na variável de processo
identificado no HAZOP. Cada causa iniciadora deve ser analisada em separado, em um cenário
específico.
55
-PÚBLICO-
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas. Entretanto, vazamento ou falha em fechar após atuação
de PSV, bem como atuações espúrias de sistemas de proteção podem ser consideradas como
causas iniciadoras de cenários dignos de serem analisados, mas que muitas vezes são esquecidos.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
56
-PÚBLICO-
-1
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante) e válvulas de bloqueio
atuadas devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5.1 Condição Habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o Tempo
de Existência do Risco (“Time at Risk”).
57
-PÚBLICO-
EXEMPLO:
Em alguns cenários, é necessário que existam certas condições específicas, tais como presença de
fontes de ignição ou presença de pessoas na área afetada, para que ocorra o dano. Nestes casos, as
probabilidades associadas a estas condições podem ser usadas como fatores de ajuste do risco do
cenário.
A equipe de LOPA deve se assegurar que estes fatores não tenham sido considerados anteriormente
como condição habilitadora, nem estejam embutidos na frequência da causa iniciadora,
especialmente devido a considerações feitas na determinação do cenário durante o HAZOP, pois sua
contabilização em duplicidade poderia afetar significativamente o resultado da análise.
Vale ressaltar que no HAZOP, o efeito analisado deve considerar o pior cenário, sem levar em conta
a existência de salvaguardas, ou outros fatores atenuantes.
B.2.6.1.3 As Tabelas B.3 e B.4 a seguir mostram algumas probabilidades de ignição típicas que
podem ser utilizadas como fatores modificadores. A equipe de LOPA pode adotar apenas um fator
modificador da probabilidade de ignição para cada cenário. Para tanto, deve definir qual destas duas
tabelas adotar, de acordo com o que for mais relevante no cenário em análise.
58
-PÚBLICO-
B.2.6.2.2 No caso do cenário ocorrer durante uma manobra operacional local ou durante uma
intervenção de manutenção, este fator de redução não pode ser usado.
B.2.6.2.3 Outros fatores modificadores como, por exemplo, a maior ou menor facilidade de se evitar o
dano não são considerados neste anexo.
Esta seção descreve como se deve proceder para identificar as salvaguardas previstas em projeto
que podem ser consideradas camadas de proteção independentes (IPL) e determinar a redução de
risco que elas promovem.
59
-PÚBLICO-
A identificação das IPL costuma ser a parte mais difícil deste método, sendo importante frisar que
toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL.
A Tabela B.6 contém alguns exemplos de salvaguardas que normalmente não são consideradas IPL.
Salvaguardas
usualmente não Comentários
consideradas IPL
Treinamento e Estes fatores podem ser levados em conta na determinação da PFDavg de
Certificação ações pelo operador, mas não são IPL por si só.
A existência de bons procedimentos pode ser considerada na
Procedimentos determinação da PFDavg de ações pelo operador, mas não é uma IPL por
si mesma.
Em todas as avaliações de perigos assume-se a perfeita execução destas
Testes e Inspeções atividades, constituindo base para os valores de ICF na Tabela B.2 e
Normais PFDavg na Tabela B.7 e na Tabela B.8. Alterar o intervalo entre testes e
inspeções pode afetar a PFDavg de certas IPL.
Em todas as avaliações de perigos assume-se a perfeita execução desta
atividade, constituindo base para os valores de ICF na Tabela B.2 e
Manutenção
PFDavg na Tabela B.7 e na Tabela B.8. Manutenção deficiente pode
aumentar a PFDavg de certas IPLs.
É uma hipótese primária que comunicações adequadas existam em uma
Comunicações instalação industrial. Comunicações deficientes podem aumentar a PFDavg
de certas IPLs.
Sinalizações não são IPLs por si mesmas. Sinalizações confusas, dúbias,
Sinalizações
mal localizadas, ignoradas, etc. podem aumentar a PFDavg de certas IPLs.
Salvaguardas, sejam IPL ou não, são vinculadas a um cenário identificado na fase de análise de
riscos com uma causa e uma consequência específicas.
A característica principal de uma camada de proteção é que ela deve ser efetiva para individualmente
prevenir a ocorrência do evento perigoso. Isto é, basta que uma única camada de proteção funcione
para que não ocorra a consequência indesejada. O termo independente significa que o desempenho
da camada de proteção não é afetado pela causa iniciadora e que não devem existir falhas que
possam desabilitar duas ou mais camadas de proteção associadas ao mesmo cenário ao mesmo
tempo. Adicionalmente, é necessário comprovar através de documentação auditável que a
salvaguarda em questão foi corretamente projetada e instalada, e que é periodicamente submetida a
teste e adequadamente mantida de forma a garantir suas efetividade, independência e PFDavg
especificada.
Adicionalmente, a atuação espúria de uma IPL não deve levar a um novo cenário com risco maior ou
igual que aquele que a mesma visa evitar. Por exemplo, um sistema de alívio de material tóxico ou
inflamável deve ser direcionado para local seguro.
60
-PÚBLICO-
O método LOPA consiste em ir adicionando camadas de proteção até que o risco assim obtido
atenda o critério de tolerabilidade adotado.
A decisão de qual(is) camada(s) de proteção adicionar dentre as alternativas possíveis pode ser
baseada numa análise comparativa dos seus custos de implantação, de operação e de manutenção
ao longo do ciclo de vida. [Prática Recomendada]
IPL passiva é aquela que não necessita executar uma ação para cumprir a sua função de proteção. A
Tabela B.7 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPLs passivas.
Probabilidade
Camada de Proteção Independente (IPL) Média de Falha na
Demanda (PFDavg)
Bacia / dique de contenção 1 x 10-2
Retentor de chama (detonação ou deflagração) 1 x 10-2
Painel de ruptura (“blowout panel”) 1 x 10-2
Linha de “overflow” (“overflow line”) direcionada para local seguro
1 x 10-2
[B.2.7.2]
Sistema de drenagem subterrâneo 1 x 10-2
Suspiro aberto (sem válvula) 1 x 10-2
Parede tipo “blast-wall” ou abrigo tipo “bunker” 1 x 10-3
Proteção passiva contra fogo (“fireproof insulation”) [B.2.7.3] 1 x 10-2
IPL ativa é aquela que necessita mudar de um determinado estado a outro em resposta à mudança
na propriedade mensurável do processo em questão. A Tabela B.8 apresenta alguns exemplos de
salvaguardas que podem ser consideradas IPL ativas.
61
-PÚBLICO-
Probabilidade
Camada de Proteção Independente (IPL) Média de Falha na
Demanda (PFDavg)
Função instrumentada de segurança com SIL 1 1 x 10-1
Função instrumentada de segurança com SIL 2 1 x 10-2
Função instrumentada de segurança com SIL 3 1 x 10-3
Malha de controle do SSC [B.2.7.4] 1 x 10-1
Resposta de operador a alarme [B.2.7.5] 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio [B.2.7.6] 1 x 10-2
Dois dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-3
alinhados ao processo, cada um dimensionado para atender a 100 % do
cenário [B.2.7.6]
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-1
porém mais de um precisa atuar para atender a 100 % do cenário
(exemplo: PSV estagiadas). [B.2.7.6]
Dispositivo mecânico interno de segurança independente do SIS e do SSC 1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção [B.2.7.7] (uma única não é IPL) 1
Válvula de retenção de alta confiabilidade (“high integrity backflow 1 x 10-1
prevention device”) [B.2.7.7]
Duas ou mais válvulas de retenção associadas em série [B.2.7.7] 1 x 10-1
Válvula auto-operada [B.2.7.8] 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente 1 x 10-2
[B.2.7.9]
Válvula trancada com cadeado (“locked”), listada e verificada 1 x 10-2
frequentemente [B.2.7.9]
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo [B.2.7.10] 1 x 10-1
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
a) a IPL sozinha deve ser suficiente para impedir a ocorrência do evento perigoso;
b) a falha da IPL não pode ser a causa iniciadora do cenário considerado;
c) o cenário não pode levar a IPL a falhar ou a tornar-se indisponível;
d) se a IPL for ativa, sua atuação espúria não pode levar a um novo cenário com risco
maior que o daquele que a mesma visa evitar;
e) os componentes da IPL em questão devem ser distintos e independentes dos
componentes das demais IPLs;
62
-PÚBLICO-
Além das condições gerais requeridas para qualquer IPL, quaisquer válvulas na linha de overflow
devem ser administrativamente controladas para assegurar que esta IPL está disponível quando
necessária.
As condições específicas requeridas para que uma válvula (ou arranjo de válvulas) com revestimento
resistente a fogo (“Fireproof insulation”) possa ser considerada uma IPL são as seguintes:
Recomenda-se que malhas de controle não sejam consideradas IPLs, uma vez que tal consideração
implica na adoção de procedimentos de gestão de mudanças para, por exemplo, colocação da malha
no modo manual, abertura de “by-pass” da válvula de controle etc. [Prática Recomendada]
Para poder ser considerada como uma Camada de Proteção Independente, uma malha de controle
do SSC deve atender aos seguintes requisitos:
a) a falha desta malha de controle não pode ser a causa iniciadora do cenário considerado.
b) a evolução do cenário não pode levar qualquer dos componentes da malha de controle
em questão a falhar ou a tornar-se indisponível;
c) o modo de falha na falta de energia de atuação dos elementos finais de controle deve
levar a um estado seguro;
d) os dispositivos de medição e elementos finais de controle devem ser separados e
independentes dos dispositivos das demais IPL;
e) o Executor da Lógica e a fonte de energia devem ser completamente separados e
independentes das demais IPL, ou possuir alta disponibilidade garantida por critérios de
redundância adequados;
EXEMPLO
No caso da causa iniciadora do cenário ter sido a falha em uma malha de controle
implementada no SSC alimentado por UPS, uma segunda malha pode ser considerada uma
IPL, desde que seus dispositivos de medição e elementos finais de controle sejam
separados e independentes dos dispositivos da malha que falhou, uma vez que o SSC e o
UPS possuem alta disponibilidade.
f) deve haver registro e acompanhamento da operação normal da malha de controle, de
forma análoga à execução de testes periódicos numa SIF, ou seja, a frequência e a
abrangência desses registros devem garantir a PFDavg assumida para esta IPL;
g) uma malha de controle usada como IPL deve ser identificada como crítica e sua retirada
de operação (colocação em modo manual, by-pass do elemento final de controle etc.)
deve ser coberta por procedimento de gestão de mudanças específico;
63
-PÚBLICO-
Recomenda-se que o fator de redução de risco atribuído a uma malha de controle não seja maior
que 10. [Prática Recomendada]
Redução de risco por resposta do operador a alarmes não pode ser contabilizada mais de uma vez
para cada cenário, independentemente do número de alarmes ou de ações executadas pelo operador
em resposta a estes.
As condições específicas requeridas para que a resposta do operador a alarmes possa ser
considerada uma IPL são as seguintes:
— o alarme deve ser específico, distinguível dentre outros alarmes possíveis e dar ao
operador uma indicação clara do problema;
— deve haver um procedimento operacional específico associado ao alarme;
— o operador deve estar treinado na resposta apropriada;
— o operador deve estar sempre presente junto a interface de operação que anuncia o
alarme;
— deve haver tempo suficiente para o operador avaliar a situação e executar a ação
corretiva.
As seguintes condições específicas se aplicam ao uso de dispositivos mecânicos de alívio como IPL:
64
-PÚBLICO-
As condições específicas requeridas para que este tipo de dispositivo possa ser considerado uma IPL
são:
NOTA Válvulas de retenção não são adequadas para aplicações onde se requeira estanqueidade
para fluxo reverso.
Válvulas auto-operadas usadas como IPL devem ser identificadas como tal e fazer parte de um
programa de manutenção mecânica estabelecido e auditável.
B.2.7.9 Válvula Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
As condições específicas necessárias para que válvulas travadas com selo (“Car-Sealed”) ou
trancadas com cadeado (“Locked”) possam ser consideradas como IPL são as seguintes:
As condições específicas necessárias para que uma Proteção Ativa Contra Fogo (por exemplo:
sistemas de detecção de incêndio comandando a atuação do sistema de dilúvio) possa ser
considerada uma IPL são as seguintes:
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários
em que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que
a mesma se destina a conter;
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
65
-PÚBLICO-
De um modo geral, a existência de uma camada de proteção mitigadora leva a dois cenários
inteiramente novos, os quais devem ser analisados separadamente.
B.3.1.1 O risco residual do cenário sem considerar SIFs pode ser expresso de forma simplificada pela
Frequência da Consequência (FC), a qual é dada pelo produto dos valores numéricos determinados nos
passos B.2.4 a B.2.7, sem creditar nenhuma redução de risco a SIFs:
66
-PÚBLICO-
B.3.1.2 Se FC for menor ou igual a FTOL, então as camadas de proteção existentes são suficientes.
B.3.1.3 Se FC for maior que FTOL, então são necessárias camadas de proteção adicionais para
reduzir o risco residual do cenário a um nível tolerável.
NOTA Caso FC indique mais de uma demanda da SIF por ano ou duas ou mais demandas a cada
intervalo entre testes, é apropriado considerar que esta SIF irá operar em modo contínuo e,
portanto, possui SIL correlacionado, não com uma PFDavg, mas sim com a frequência de
falhas perigosas por hora, onde, SIL 1 equivale a uma frequência entre 10-6/hora e
10-5/hora, e assim por diante.
B.3.2.2 Caso o RRF requerido seja maior que 1 000, deve-se reavaliar os riscos do processo e as
bases de projeto, possivelmente requerendo envolvimento gerencial.
B.3.2.3 Recomenda-se avaliar a possibilidade de se substituir uma SIF demandada por muitos
cenários por outras SIFs baseadas em variáveis de processo mais diretamente relacionadas ao
desvio de cada cenário. [Prática Recomendada]
EXEMPLO
Num cenário onde a falha no controle de nível do vaso a montante de uma torre
fracionadora pode levar a descarga de gás de um componente de processo através de uma
saída de líquido (“gas blow-by”) e, consequentemente, a pressão excessiva na torre, uma
SIF iniciada por um PSHH poderia ser substituída por outra que, em caso de nível muito
baixo (LSLL) no vaso, cortasse a alimentação para a torre.
B.3.2.4 Uma SIF deve atender o maior SIL requerido dentre os cenários pelos quais é demandada.
B.3.3 Documentação
B.3.3.2 Recomenda-se o uso de uma planilha padronizada, conforme modelo Anexo C. [Prática
Recomendada]
67
-PÚBLICO-
NOTA Por facilidade de cálculo, no Anexo C utiliza-se o intervalo de tempo MTTF em lugar da
frequência ICF e o fator de redução de risco (RRF) em lugar da probabilidade média de
falha na demanda (PFDavg), de tal sorte que todas as potências de dez possuem expoentes
positivos.
B.3.3.3 Caso a FTOL tenha sido satisfeita sem a necessidade de uma SIF, deve-se registrar que a
função automática prevista no projeto ou recomendada pelo HAZOP não é crítica para a segurança e
deve ser executada pelo SSC.
B.3.3.4 Além do simples preenchimento dos campos da planilha com as informações padronizadas
sobre a equipe e o cenário, os dados obtidos do HAZOP e os resultados dos cálculos, deve-se
destacar as recomendações da LOPA para uma revisão objetiva do projeto, adicionando, modificando
ou eliminando salvaguardas existentes ou projetadas, em função da sua efetividade verificada
durante o processo de análise para se prevenir ou mitigar efeitos indesejados. Devem ser registradas
também as questões que precisam ser mais detalhadas ou discutidas em outros fóruns, bem como as
ações a serem tomadas e os pontos de melhoria contínua deste procedimento.
B.4.1 Auditoria
B.4.1.3 Todas as IPL devem ser auditáveis e, para tanto, recomenda-se incluí-las no Plano de
Manutenção do SIS. [Prática Recomendada]
B.4.2 Revalidação
Sempre que houver alguma mudança que se reflita em revisão do HAZOP existente ou em um novo
HAZOP, deve-se avaliar se as considerações feitas na análise anterior continuam válidas e, em caso
negativo, revisar os resultados da LOPA que foram afetados.
68
-PÚBLICO-
ÍNDICE DE REVISÃO DE FOLHAS DESENHOS DE REFERÊNCIA
FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV.
NOTAS:
o
N
ORIGINAL REV. A REV. B REV. C REV. D REV. E REV. F REV. G REV. H REV. J REV. K
CLIENTE OU USUÁRIO: FOLHA
DATA de
VERIFICAÇÃO TÍTULO:
APROVAÇÃO
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO C - FOLHA 01/02. AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
-PÚBLICO-
Nó Causa Iniciadora Consequência Salvaguardas Recomendações
Severidade da Número
Fatores Modificadores Aplicáveis RRF Requerido Risco Residual o
Consequência Tipo RRF N Observações do
Desvio Descrição MTTF EEL Descrição Descrição IPL RRF Descrição Cenário
Prob. de Presença Outros (P/A) Total Rec
S E L S E L S E L
Ignição de Pessoas (Especificar)
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO D - FOLHA 02/02. AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
-PÚBLICO-
Nº
FOLHA DE DADOS
CLIENTE: FOLHA
de
PROGRAMA:
ÁREA:
TÍTULO:
ESPECIFICAÇÃO DE SIF
ÍNDICE DE REVISÕES
TÍTULO:
ESPECIFICAÇÃO DE SIF
"Tag": Relatório de Análise de Riscos:
Descrição da SIF:
Causas de Demanda:
Especificação Funcional
Modo de Detecção
"Tag" Descrição dos Iniciadores Valor de "Trip"
Atuação (HH ou LL)
Modo de
"Tag" Descrição dos Elementos Finais Estado Seguro
Atuação
Ações de Segurança:
Ações Secundárias:
Descrição:
Combinação Sim ( )
Perigosa de
Elementos Finais: Não ( )
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO D - FOLHA 02/04.
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
ESPECIFICAÇÃO DE SIF
Aplicação de Gráficos de Risco
Frequência de Demanda ( ) W1 ( ) W2 ( ) W3
Consequências a Pessoas C: F: P:
Desvio:
Causa Iniciadora MTTF Evento Habilitador EEL Consequências S E L Fatores Modificadores Salvaguardas P/A IPL RRF
Cenário:
Causa Iniciadora MTTF Evento Habilitador EEL Consequências S E L Fatores Modificadores Salvaguardas P/A IPL RRF
Cenário:
Causa Iniciadora MTTF Evento Habilitador EEL Consequências S E L Fatores Modificadores Salvaguardas P/A IPL RRF
Cenário:
Causa Iniciadora MTTF Evento Habilitador EEL Consequências S E L Fatores Modificadores Salvaguardas P/A IPL RRF
Cenário:
Observações:
Resultados da Avaliação
SIL Requerido:
Requisitos de Implementação
Contorno Sim ( ) Descrição:
("By-Pass") para
Manutenção Não ( ) Cuidados Adicionais:
Contorno Sim ( ) Descrição:
("By-Pass") para
Início de Operação Não ( ) Cuidados Adicionais:
MTTR:
Observações:
NOTAS:
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO D - FOLHA 03/04.
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
ESPECIFICAÇÃO DE SIF
INSTRUÇÕES DE PREECHIMENTO
Informações Gerais
Cada SIF deve possuir um identificador único (Tag) constituído pelo número da unidade seguido de um número sequencial.
Exemplo: SIF-2212001 (unidade 2212, sequencial 001)
Relatório de Análise de Riscos: número do documento relativo à SIF.
Matriz de Causa e Efeito: número do documento relativo à SIF.
- Descrição da SIF: descrição suscinta da função, contendo desvio e ação. Exemplo: pressão alta de gás combustível bloqueia gás para forno F-501.
- Evento Perigoso a ser evitado considerado na análise de riscos. Exemplo: formação de mistura explosiva na câmara de combustão.
- Causas de Demanda consideradas na análise de riscos. Exemplos: falha na malha de controle de pressão gás combustível, desequilíbrio de processo, etc.
- Conseqüências de Falha na Demanda: possíveis danos e impactos causados pelo evento perigoso considerados na análise de riscos. Exemplos: Apagamento de chama com formação de mistura
explosiva e possibilidade de explosão da câmara de combustão, seguida de incêndio, ferimento/morte de até uma pessoa, perda de produção na ordem de 200 KUS$, danos às instalações na ordem
de 2 MUS$.
- Conseqüências de Trip espúrio. Exemplos: perda de produção, possibilidade de coqueamento de tubos, danos a materiais refratários, etc.
Custo do Trip Espúrio (US$): conforme item 6.5.
Especificação Funcional
Tag: identificadores dos iniciadores e elementos finais, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: PIT-2212101A, PIT-2212101B, XV-2212190A, XV-2212190B e XV-
2212190C.
Descrição: serviços dos iniciadores e elementos finais, conforme lista de instrumentos e folhas de dados. Exemplos: transmissores de pressão no header de gás combustível, válvulas de bloqueio de
gás combustível para o forno, válvulas de suspiro intermediário de gás combustível.
"Trip" Manual: descrição suscinta da forma de implementação. Exemplo: Tag: HS-2212150; Descrição: botoeira eletromecânica com contato duplo (em série) normalmente fechado; Tipo: puxa para
acionar com proteção contra acionamento indevido; Localização: painel local do F-501.
Relação Funcional entre Iniciadores e Elementos Finais: descrição, através de texto ou desenho, da relação lógica entre o(s) iniciador(es) (pode incluir "trip" manual) e o(s) elemento(s) final(is) que
compõe a SIF e das arquiteturas de votação de sensores e elementos finais. Exemplo: Partindo-se do estado normal de operação, caso ocorra falta de chama em mais de 50% dos queimadores ou
ocorra baixa pressão de gás combustível, deve ser bloqueada a admissão de gás para os queimadores e aberto suspiro intermediário para local seguro.
Descrição do Estado Seguro a ser Atingido ou Mantido: caracterização do sucesso da atuação da SIF. Exemplo: gás combustível bloqueado para forno e suspiro intermediário aberto para local
seguro.
Ações de Segurança: ações desempenhadas pela SIF para atingir ou manter o estado seguro. Exemplo: desenergizar bobinas das válvulas solenóides que despresssurizam os atuadores
pneumáticos das XV-2212190A e XV-2212190C.
Ações Secundárias: ações desencadeadas pela atuação da SIF não diretamente relacionadas com o atingimento ou manutenção do estado seguro, com objetivo de auxiliar a operação. Exemplo:
após trip do forno, admissão de vapor de abafamento e abertura do damper da chaminé para facilitar a purga da câmara de combustão.
Tempo de resposta máximo admissível (segundos): maior tempo de resposta da SIF (ver definição) sem que haja comprometimento das ações de segurança.
Tempo de retardo (segundos): valor do tempo de retardo (ver definição) a ser aplicado, caso necessário.
Combinação Perigosa de Elementos Finais: no caso de haver mais de um elemento final, se existe alguma condição perigosa decorrente de falha de sua atuação conjunta. Exemplo: Não fechamento
do primeiro bloqueio (XV-2212190A) quando da abertura do suspiro intermediário (XV-2212190B), causando nuvem de gás combustível na área externa próxima ao forno.
Aplicação de LOPA
Desvio: desvio da variável de processo que demanda atuação da SIF, conforme relatório de HAZOP+LOPA
Cenário: números dos cenários nos quais a SIF é IPL, conforme relatório de HAZOP+LOPA
Causa Iniciadora: falha de equipamento, ação humana, ou evento externo que provoca o desvio, com respectivo MTTF (tempo esperado para ocorrer a causa iniciadora);
Evento Habilitador: descrição do evento habilitador, caso aplicável, com respectiva EEL (probabilidade de ocorrer o evento habilitador);
Consequências: possíveis impactos do cenário, com respectivas categorias de severidade para pessoas (S), meio ambiente (E) e patrimônio (L);
Salvaguardas consideradas para o cenário no relatório de HAZOP+LOPA e, para cada uma: se Passiva (P) ou Ativa (A); se é IPL ou não; e, caso IPL, qual o seu RRF;
RRF total: redução de risco total obtida com todas as IPLs consideradas para o cenário, exceto a SIF.
RRF requerido: redução de risco pela SIF, que satisfaz a Frequência Tolerável para o cenário.
Resultados da Avaliação
Requisitos de Implementação
Contorno (“by-pass”) para Manutenção: se é necessário ou não. Caso necessário, descrever a forma de implementação.
Cuidados Adicionais: condição especial ou procedimento específico a ser observado, caso aplicável.
Contorno (“by-pass”) para Início de Operação: se é necessário ou não. Caso necessário, descrever a forma de implementação.
Cuidados Adicionais: condição especial ou procedimento específico a ser observado, caso aplicável.
Rearme (“reset”) no campo: se é necessário ou não. Caso necessário, descrever a forma de implementação.
Cuidados Adicionais: condição especial ou procedimento específico a ser observado, caso aplicável.
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
1 Revisados e renumerados
2 Revisado
3 Revisado
4.30 Excluído
7.1.6 Excluído
IR 2/2
-PÚBLICO-
REV. A
Partes Atingidas Descrição da Alteração
8 e 8.1 Revisados e renumerados
9 ao 9.7 Excluídos
Anexo A Revisado
REV. B
Partes Atingidas Descrição da Alteração
5.3 Revisado
5.4.5.4 Revisado
5.5.1 Revisado
5.6.6 Revisado
6.5.4 Revisado
6.5.5 Revisado
6.5.9 Revisado
7.4.3 Revisado
Anexo A Revisado
REV. C
Partes Atingidas Descrição da Alteração
Todas Revisão
IR 2/2
-PÚBLICO-
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas e fixa condições exigíveis
para projetos iniciados a partir da data de sua edição.
1.3 Sistemas de detecção de fogo e gás não são tratados nesta norma.
1.4 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança. Por exemplo: isolamento e despressurização de inventários.
2 Referências Normativas
ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level
(SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical
to Maintaining Safety in Process Industries;
4
-PÚBLICO-
IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process
Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software
Requirements;
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT).
3 Termos e Definições
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica de avaliação semi-quantitativa da redução de riscos de processo obtida com a utilização de
camadas de proteção
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano
associado ao evento perigoso.
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
5
-PÚBLICO-
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base, além das políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, também legislação e regulamentações, normas e referências internacionais, informações de
companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade
local.
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco não ser tolerável (estar fora da
região T - “tolerable”) é diferente de ser não tolerável (estar na região NT - “unacceptable”), porém
deve-se frisar que deixar o risco final na região M (moderado) deve ser justificado após se ter lançado
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP.
5.2.1 Caso a avaliação do risco de um cenário indique que este é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do evento perigoso ou a
severidade do dano associado a este cenário através da aplicação de medidas de redução de risco,
normalmente chamadas de salvaguardas ou camadas de proteção (ver Figura 1).
PROJETO DA INSTALAÇÃO
PROCESSO
15
-PÚBLICO-
a) Gráficos de Risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semi-quantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade dos riscos, disponibilidade de informações sobre os cenários de
risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um RRF requerido maior que 10 000, devem
ser aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de
integridade de segurança requerido abaixo de SIL 4.
6.4.10 Caso o resultado da avaliação de uma SIF indique um RRF requerido menor que 10, a função
deverá ser implementada no SSC como uma função automática não integrante do SIS.
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 A instalação industrial deve possuir um critério para determinação do valor aceitável de
MTTFS. Duas alternativas possíveis são apresentadas em 6.5.2.1 e 6.5.2.2.
6.5.2.1 Indisponibilidade
O tempo de indisponibilidade devido a “trips” espúrios do SIS deve ser desprezível (menor que 1/10)
em relação ao tempo total de indisponibilidade (paradas e reduções de carga não programadas) da
planta ao longo de um dado período de tempo. Exemplo: numa unidade de processo na qual sejam
historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como
um todo não poderia ser responsável por mais que 10 dias parados a cada campanha, ou 2 dias por
ano. Supondo que este SIS possua 20 SIFs, cujos “trips” espúrios resultam, em média, em 12 h de
unidade parada por “trip”, teríamos o limite de 1 “trip” espúrio a cada 5 anos por SIF, ou um MTTFS
de 5 anos para cada SIF.
O custo do “trip” espúrio deve levar em conta, além da perda de produção (lucro cessante), também
os custos associados a outras possíveis consequências relacionadas com a parada imprevista e com
a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratários,
coqueamento de tubos, etc.), penalizações contratuais por interrupção da produção, danos
ambientais (alívio excessivo para a tocha, ruído de abertura de válvulas de segurança), danos à
imagem da companhia etc.
21
-PÚBLICO-
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada uma alimentada por um PCC distinto. [Prática Recomendada]
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica.
[Prática Recomendada]
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores como iniciadores não seja tecnicamente viável (por
exemplo: chaves de indicação de posição), os respectivos contatos utilizados para acionamento da
SIF devem ser mantidos fechados e energizados quando da condição normal de operação da planta
ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores redundantes seja configurado de modo a, em caso de falha, conduzir o sinal de saída
para os seguintes valores: [Prática Recomendada]
a) abaixo de 3,6 mA (sub-range) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (sobre-range) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
NOTA No caso de não haver tolerância a falha (1 de 1), deve-se usar a mesma abordagem
adotada com relação a contorno para manutenção (ver 7.11.3.4).
24
-PÚBLICO-
7.8.8 Os módulos de entrada do CP de segurança devem dispor de recursos para detecção de sinal
quando fora da faixa normal de trabalho de 4 mA a 20 mA.
7.8.9 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.10 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.11 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.12 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da Petrobras. Certificados emitidos pela TÜV estão pré-
aprovados.
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
[Prática Recomendada]
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
27
-PÚBLICO-
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador prevista no projeto de processo, mas não faz parte da função automática de
proteção e, portanto, não deve ser considerada nos cálculos de desempenho da SIF (SIL ou
MTTFS).
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em
série, instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Os sinais de comando manual de “trip” devem ser processados pelo Executor da Lógica do
SIS.
7.9.4 Comandos manuais de “trip” a partir da interface de operação do SSC devem ser
implementados “hardwired” do controlador do SSC para o Executor da Lógica.
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
7.11.1.2 Não é permitido contorno automático de SIF. Todo contorno deve ser acionado
manualmente por intermédio de telas pré-configuradas na IHM do SSC, possuindo necessariamente
sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
28
-PÚBLICO-
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 Recomenda-se que os alarmes do SIS possuam identificação visual e sonora diferenciada dos
demais alarmes do SSC. [Prática Recomendada]
7.12.8 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve-se ter um número
mínimo de estações de engenharia/manutenção interligadas em rede com os CPs de Segurança.
7.13.4 Recomenda-se que haja uma porta de comunicação direta em cada CP de Segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
7.14.1 A Interface de comunicação do Executor da Lógica do SIS com o SSC deve ser individual
para cada CP de segurança.
7.14.3 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos em 7.12.2. [Prática
Recomendada]
31
-PÚBLICO-
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança requerido
quando as consequências da falha incluem perda de produção ou danos a equipamentos, deve levar
em consideração todas as perdas econômicas associadas à falha na demanda, incluindo custos de
reconstrução e o custo de perda de produção.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
51
-PÚBLICO-
A.6.3 As consequências acima devem ser usadas conjuntamente com a versão especial do gráfico
de risco, Figura A.3. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o
conceito de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser
idênticas àquelas usadas para o gráfico de segurança pessoal.
52
-PÚBLICO-
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas. Entretanto, vazamento ou falha em fechar após atuação
de PSV, bem como atuações espúrias de sistemas de proteção podem ser consideradas como
causas iniciadoras de cenários dignos de serem analisados, mas que muitas vezes são esquecidos.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
56
-PÚBLICO-
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10-1 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante), válvulas de bloqueio
atuadas (XV) etc., devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5.1 Condição Habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o Tempo
de Existência do Risco (“Time at Risk”).
57
-PÚBLICO-
Probabilidade
Camada de Proteção Independente (IPL) Média de Falha na
Demanda (PFDavg)
Função instrumentada de segurança com SIL 1 1 x 10-1
Função instrumentada de segurança com SIL 2 1 x 10-2
Função instrumentada de segurança com SIL 3 1 x 10-3
Malha de controle do SSC [B.2.7.4] 1 x 10-1
Resposta de operador a alarme [B.2.7.5] 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio [B.2.7.6] 1 x 10-2
Dois dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-3
alinhados ao processo, cada um dimensionado para atender a 100 % do
cenário [B.2.7.6]
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-1
porém mais de um precisa atuar para atender a 100 % do cenário
(exemplo: PSV estagiadas). [B.2.7.6]
Dispositivo mecânico interno de segurança independente do SIS e do SSC 1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção [B.2.7.7] 1 x 100
Válvula de retenção de alta confiabilidade (“high integrity backflow 1 x 10-1
prevention device”) [B.2.7.7]
Duas ou mais válvulas de retenção associadas em série [B.2.7.7] 1 x 10-1
Válvula reguladora [B.2.7.8] 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente 1 x 10-2
[B.2.7.9]
Válvula trancada com cadeado (“locked”), listada e verificada 1 x 10-2
frequentemente [B.2.7.9]
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo [B.2.7.10] 1 x 10-1
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
a) A IPL sozinha deve ser suficiente para impedir a ocorrência do evento perigoso;
b) A falha da IPL não pode ser a causa iniciadora do cenário considerado;
c) O cenário não pode levar a IPL a falhar ou a tornar-se indisponível;
d) Se a IPL for ativa, sua atuação espúria não pode levar a um novo cenário com risco
maior que o daquele que a mesma visa evitar;
e) Os componentes da IPL em questão devem ser distintos e independentes dos
componentes das demais IPLs;
62
-PÚBLICO-
As condições específicas requeridas para que este tipo de dispositivo possa ser considerado uma IPL
são:
NOTA Válvulas de retenção não são adequadas para aplicações onde se requeira vedação
estanque (“tight shut-off”) para fluxo reverso.
Válvulas reguladoras usadas como IPL devem ser identificadas como tal e fazer parte de um
programa de manutenção mecânica estabelecido e auditável.
B.2.7.9 Válvula Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
As condições específicas necessárias para que válvulas travadas com selo (“Car-Sealed”) ou
trancadas com cadeado (“Locked”) possam ser consideradas como IPL são as seguintes:
As condições específicas necessárias para que uma Proteção Ativa Contra Fogo (por exemplo:
sistemas de detecção de incêndio comandando a atuação do sistema de dilúvio) possa ser
considerada uma IPL são as seguintes:
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários
em que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que
a mesma se destina a conter;
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
65
-PÚBLICO-
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base, além das políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, também legislação e regulamentações, normas e referências internacionais, informações de
companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade
local.
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco não ser tolerável (estar fora da
região T - “tolerable”) é diferente de ser não tolerável (estar na região NT - “unacceptable”), porém
deve-se frisar que deixar o risco final na região M (moderado) deve ser justificado após se ter lançado
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP (ver PETROBRAS
N-2782).
5.2.1 Caso a avaliação do risco de um cenário indique que este é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do evento perigoso ou a
severidade do dano associado a este cenário através da aplicação de medidas de redução de risco,
normalmente chamadas de salvaguardas ou camadas de proteção (ver Figura 1).
PROJETO DA INSTALAÇÃO
PROCESSO
15
-PÚBLICO-
5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porém não utilizados em lógica
de SIF (p.ex. indicação do estado de elemento final) não devem ser ligados ao Executor da Lógica do
SIS. [Prática Recomendada]
5.4.6 É frequente a matriz de causa e efeito indicar uma mesma causa para ações de segurança e
para ações não relacionadas a segurança. Recomenda-se que uma SIF somente inclua os
dispositivos estritamente necessários para executar sua ação de segurança. [Prática Recomendada]
5.4.7 Cada SIF deve possuir um identificador alfa-numérico exclusivo (“tag”) e ser documentada
numa folha de dados que reúna as principais especificações da SIF, suas funcionalidades, seus
requisitos de desempenho (tais como SIL e MTTFS) e critérios adotados nos cálculos (como intervalo
entre testes periódicos), compondo um conjunto de informações equivalente ao “Safety Requirements
Specification - SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA 91.00.01).
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas, detalhadas nos capítulos a seguir:
5.4.11 Ao final do projeto básico, todas as folhas de dados de SIF devem estar completamente
preenchidas.
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova planta e
durante as revisões que venham a ser realizadas no projeto de uma planta existente.
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
18
-PÚBLICO-
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) Processo;
b) Instrumentação e Controle;
c) Operação;
d) SMS.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante de Processo deve ter participado do projeto básico específico a ser analisado,
de forma a garantir um bom conhecimento sobre o mesmo.
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas neste item, desde que atenda às exigências para tal.
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
19
-PÚBLICO-
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 Recomenda-se que os alarmes do SIS possuam identificação visual e sonora diferenciada dos
demais alarmes do SSC. [Prática Recomendada]
7.12.8 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve-se ter um número
mínimo de estações de engenharia/manutenção interligadas em rede com os CPs de Segurança.
7.13.4 Recomenda-se que haja uma porta de comunicação direta em cada CP de Segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
7.14.1 A Interface de comunicação do Executor da Lógica do SIS com o SSC deve ser individual
para cada CP de segurança.
7.14.3 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12. [Prática
Recomendada]
31
-PÚBLICO-
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
34
-PÚBLICO-
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de Pré-Operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente
se o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de
análise bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer
parte integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
13.1 Operação
13.1.1 O objetivo deste item é o de estabelecer requisitos que contribuam para a operação adequada
do SIS ao longo de seu ciclo de vida.
39
-PÚBLICO-
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de
Operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
— comandos de contorno;
— condições de processo que devem ser satisfeitas em cada passo e respectivas SIFs
associadas;
— intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de
purga etc.);
— funções de “reset”.
13.1.3 O Manual de Operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e
procedimentos contidos no manual de operação do SIS. O treinamento deve ser registrado de forma
apropriada a garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
13.2 Manutenção
13.2.1 O objetivo deste item é estabelecer requisitos que viabilizem a manutenção da integridade e
da confiabilidade do SIS ao longo de seu ciclo de vida.
40
-PÚBLICO-
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
13.3.1 O objetivo deste item é estabelecer requisitos para a execução de testes periódicos no SIS,
de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na Folhas de Dados de SIF (projeto básico) e confirmado após a etapa de
verificação do SIL (projeto de detalhamento).
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
42
-PÚBLICO-
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
13.3.13 A critério da Unidade Operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
13.4 Modificações
13.4.1 O objetivo deste item é estabelecer requisitos de modo que modificações realizadas no SIS
não impactem a segurança da planta ou do equipamento associado.
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
43
-PÚBLICO-
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes itens:
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
[Prática Recomendada]
7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
diversa. [Prática Recomendada]
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo, emitida pela TÜV ou entidade equivalente aprovada pela Petrobras.
7.8.6 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
26
-PÚBLICO-
7.8.8 Os módulos de entrada do CP de segurança devem dispor de recursos para detecção de sinal
quando fora da faixa normal de trabalho de 4 mA a 20 mA.
7.8.9 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.10 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.11 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.12 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificado emitido por entidade certificadora acreditada pela Petrobras (TÜV ou
equivalente) do nível de integridade de segurança atingido por todo o conjunto, incluindo o respectivo
enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3.
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
[Prática Recomendada]
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
27