Norma Petrobras 2595

-PÚBLICO-
N-2595 REV. C 07 / 2012
CONTEC
Comissão de Normalização
Técnica Critérios de Projeto, Operação e
Manutenção de Sistemas Instrumentados
SC-10 de Segurança em Unidades Industriais
Instrumentação e
Automação Industrial 2a Emenda
Esta é a 2a Emenda da PETROBRAS N-2595 REV. C, que incorpora a 1a emenda, e se destina a

modificar o seu texto nas partes indicadas a seguir:
NOTA 1 As novas páginas com as alterações efetuadas estão colocadas nas posições
correspondentes.
NOTA 2 As páginas emendadas, com a indicação da data da emenda, estão colocadas no final da
norma, em ordem cronológica, e não devem ser utilizadas.
- Seção 2: (2a Emenda)
Inclusão das ABNT NBR 12712, NFPA 72, API STD 670 e ISA TR 84.00.04 Part 1.
- Subseção 5.1.3: (2a Emenda)
Alteração do texto e inclusão de Nota.
Alteração do texto.
Alteração do texto e exclusão da Nota.
PROPRIEDADE DA PETROBRAS 3 páginas

-PÚBLICO-
N-2595 REV. C 07 / 2012
2a Emenda
Exclusão da enumeração e) e da Nota.
Inclusão da subseção.
Inclusão da subseção.
- Subseção 7.11.1.2: (2a Emenda)
Exclusão da subseção.
- Subseção A.6.1: (2a Emenda)
- Figura A.3: (2a Emenda)
Alteração do título.
- Tabela A.4: (2a Emenda)
Alteração do conteúdo.
2
-PÚBLICO-
N-2595 REV. C 07 / 2012
2a Emenda
- Seção A.7: (2a Emenda)
Alteração do título e do texto.
- Tabela B.2: (2a Emenda)
- Subseção B.2.4.8: (2a Emenda)
- Tabela B.8: (2a Emenda)
Alteração do texto da Nota.
Alteração do título e do texto.
3
-PÚBLICO-
N-2595 REV. C 01 / 2011
CONTEC
Comissão de Normalização
Técnica Critérios de Projeto, Operação e
SC-10 de Segurança em Unidades Industriais
Instrumentação e
Automação Industrial 1a Errata
Esta é a 1a Errata da PETROBRAS N-2595 REV. C, e se destina a modificar o seu texto na(s)
parte(s) indicada(s) a seguir:
NOTA 1 A(s) nova(s) página(s) com a(s) alteração(ões) efetuada(s) está(ão) colocada(s) na(s)
posição(ões) correspondente(s).
NOTA 2 A(s) página(s) corrigida(s), com a indicação da data da errata, está(ão) colocada(s) no final
da norma, em ordem cronológica, e não devem ser utilizada(s).
- Subseção 5.1.4: (1ª Errata)
Eliminar a segunda citação à PETROBRAS N-2782.
Eliminar o texto “detalhadas nos capítulos a seguir”.
Substituir o termo “neste item” por “em 6.2.1”.
Substituir a citação “no 7.12” por “em 7.12.2”;
- Subseção 9.2.1 Nota 6: (1ª Errata)
Substituir a designação “NOTA ¨” por “NOTA 6”.
Substituir a citação “deste item” pela “de 13.1”.
Substituir a citação “deste item” pela “de 13.3”;
2
-PÚBLICO-
N-2595 REV. C 12 / 2010
Critérios de Projeto, Operação e

de Segurança em Unidades Industriais
Procedimento
Esta Norma substitui e cancela a sua revisão anterior.

Cabe à CONTEC - Subcomissão Autora, a orientação quanto à interpretação do
texto desta Norma. A Unidade da PETROBRAS usuária desta Norma é a
responsável pela adoção e aplicação das suas seções, subseções e
enumerações.
Requisito Técnico: Prescrição estabelecida como a mais adequada e que

deve ser utilizada estritamente em conformidade com esta Norma. Uma
CONTEC eventual resolução de não segui-la (“não-conformidade” com esta Norma) deve
Comissão de Normalização ter fundamentos técnico-gerenciais e deve ser aprovada e registrada pela
Técnica Unidade da PETROBRAS usuária desta Norma. É caracterizada por verbos de
caráter impositivo.
Prática Recomendada: Prescrição que pode ser utilizada nas condições

previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de
alternativa (não escrita nesta Norma) mais adequada à aplicação específica. A
alternativa adotada deve ser aprovada e registrada pela Unidade da
PETROBRAS usuária desta Norma. É caracterizada por verbos de caráter
não-impositivo. É indicada pela expressão: [Prática Recomendada].
Cópias dos registros das “não-conformidades” com esta Norma, que possam
contribuir para o seu aprimoramento, devem ser enviadas para a
SC - 10 CONTEC - Subcomissão Autora.
Instrumentação e As propostas para revisão desta Norma devem ser enviadas à CONTEC -
Automação Industrial Subcomissão Autora, indicando a sua identificação alfanumérica e revisão, a
seção, subseção e enumeração a ser revisada, a proposta de redação e a
justificativa técnico-econômica. As propostas são apreciadas durante os
trabalhos para alteração desta Norma.
“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO

S.A. - PETROBRAS, de uso interno na PETROBRAS, e qualquer
reprodução para utilização ou divulgação externa, sem a prévia e
expressa autorização da titular, importa em ato ilícito nos termos da
legislação pertinente, através da qual serão imputadas as
responsabilidades cabíveis. A circulação externa será regulada mediante
cláusula própria de Sigilo e Confidencialidade, nos termos do direito
intelectual e propriedade industrial.”
Apresentação
As Normas Técnicas PETROBRAS são elaboradas por Grupos de Trabalho

- GT (formados por Técnicos Colaboradores especialistas da Companhia e de suas Subsidiárias), são
comentadas pelas Unidades da Companhia e por suas Subsidiárias, são aprovadas pelas
Subcomissões Autoras - SC (formadas por técnicos de uma mesma especialidade, representando as
Unidades da Companhia e as Subsidiárias) e homologadas pelo Núcleo Executivo (formado pelos
representantes das Unidades da Companhia e das Subsidiárias). Uma Norma Técnica PETROBRAS
está sujeita a revisão em qualquer tempo pela sua Subcomissão Autora e deve ser reanalisada a
cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Técnicas PETROBRAS são
elaboradas em conformidade com a Norma Técnica PETROBRAS N-1. Para informações completas
sobre as Normas Técnicas PETROBRAS, ver Catálogo de Normas Técnicas PETROBRAS.
.
PROPRIEDADE DA PETROBRAS 68 páginas, 2 formulários, Índice de Revisões e GT
-PÚBLICO-
N-2595 REV. C 12 / 2010
Sumário
1 Escopo................................................................................................................................................. 4
2 Referências Normativas ...................................................................................................................... 4
3 Termos e Definições............................................................................................................................ 5
4 Símbolos ou Siglas............................................................................................................................ 13
5 Avaliação da Necessidade do SIS e Estruturação do Projeto Básico .............................................. 14
6 Projeto Básico do SIS - Avaliação das SIFs ..................................................................................... 18
7 Projeto Básico do SIS - Requisitos de Implementação..................................................................... 22
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF...................... 32
9 Projeto de Detalhamento do SIS....................................................................................................... 33
10 Teste de Aceitação em Fábrica e Preservação .............................................................................. 34
11 Instalação e Condicionamento para Início de Operação do SIS .................................................... 37
12 Pré-Operação e Aceitação Final do SIS ......................................................................................... 38
13 Operação, Manutenção, Testes Periódicos e Modificações ........................................................... 39
Anexo A - Determinação do Nível de Integridade de Segurança Requerido Utilizando o Método de

Gráficos de Risco ................................................................................................................ 45
A.1 Introdução ...................................................................................................................................... 45
A.2 Síntese do Gráfico de Risco .......................................................................................................... 45
A.3 Documentação Relacionada aos Resultados da Determinação do Nível de Integridade de

Segurança (SIL)............................................................................................................................. 46
A.4 Uso de Gráfico de Risco Relativo a Segurança de Pessoas......................................................... 47
A.5 Uso de Gráfico de Risco para Consequências Ambientais ........................................................... 49
A.6 Uso de Gráfico de Risco para Consequências Materiais .............................................................. 51
A.7 Determinação do Nível da Integridade da Função Instrumentada de Segurança Quando as

Consequências da Falha Envolvem Mais de Um Tipo de Perda .................................................. 52
Anexo B - Análise de Camadas de Proteção (LOPA) ........................................................................... 53
B.1 Introdução ...................................................................................................................................... 53
B.2 Procedimento ................................................................................................................................. 53
B.3 Conclusão da Análise .................................................................................................................... 66
B.4 Gerenciamento de Resultados ...................................................................................................... 68
Tabelas
Tabela 1- Escala de SIL para Modo de Demanda ................................................................................ 20
2
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela 2 - Critério para Determinação do MTTFS Aceitável ................................................................ 22
Tabela A.1 - Descrições dos Parâmetros do Gráfico de Risco da Indústria de Processo.................... 46
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1 ...................................................... 48
Tabela A.3 - Consequências Ambientais Gerais................................................................................... 50
Tabela A.4 - Classes de Sequencias de Materiais................................................................................ 51
Tabela B.1 - Frequência Tolerável (FTOL).............................................................................................. 55
Tabela B.2 - Frequências de Causas Iniciadoras ................................................................................. 56
Tabela B.3 - Fatores Modificadores da Probabilidade de Ignição pela Quantidade de Fontes de

Ignição ............................................................................................................................. 59
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material Inflamável .... 59
Tabela B.5 - Fatores Modificadores por Presença de Pessoas............................................................ 59
Tabela B.6 - Salvaguardas Usualmente Não Consideradas IPL .......................................................... 60
Tabela B.7 - IPL Passivas e Suas PFDavg Típicas ................................................................................ 61
Tabela B.8 - IPL Ativas e Suas PFDavg Típicas..................................................................................... 62
Tabela B.9 - SIL Requerido para a SIF ................................................................................................. 67
Figuras
Figura 1 - Modelo de Camadas de Proteção ........................................................................................ 15
Figura 2 - Representação Gráfica da Redução de Risco ..................................................................... 16
Figura 3 - Modelo de Ciclo de Vida de um SIS ..................................................................................... 17
Figura A.1 - Gráfico de Risco Relativo à Segurança de Pessoas......................................................... 47
Figura A.2 - Gráfico de Risco Relativo à Segurança Ambiental ........................................................... 50
Figura A.3 - Gráfico de Risco Relativo à Proteção de Patrimônio/Produção........................................ 51
Figura B.1 - Fluxo do Procedimento LOPA ........................................................................................... 54
Figura B.2 - Camada de Proteção Mitigadora....................................................................................... 66
3
-PÚBLICO-
N-2595 REV. C 12 / 2010
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas e fixa condições exigíveis
para projetos iniciados a partir da data de sua edição.
1.3 Sistemas de detecção de fogo e gás não são tratados nesta norma.
1.4 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança. Por exemplo: isolamento e despressurização de inventários.
2 Referências Normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos (incluindo emendas).
PETROBRAS N-329 - Bateria de Acumuladores;
PETROBRAS N-332 - Retificador para Uso Industrial;
PETROBRAS N-858 - Construção, Montagem e Condicionamento de Instrumentação;
PETROBRAS N-1219 - Cores;
PETROBRAS N-1756 - Projeto e Aplicação de Proteção Contra Fogo em Instalações

Terrestres;
PETROBRAS N-1883 - Apresentação de Projetos de Instrumentação / Automação;
PETROBRAS N-2782 - Técnicas Aplicáveis à Análise de Riscos Industriais;
ABNT NBR 12712 - Projeto de Sistemas de Transmissão e Distribuição de Gás

Combustível;
ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level
(SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA TR 84.00.04 Part 1 - Guideline for the Implementation of ANSI/ISA-84.00.01-2004

(IEC 61511);
ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical
to Maintaining Safety in Process Industries;
ISA TR 96.05.01 - Partial Stroke Testing of Automated Block Valves;
API RP 554 - Process Instrumentation and Control - First Edition 1995
API STD 670 - Machinery Protection Systems;
IEC 61131-3 - Programmable Controllers, Part 3: Programming Languages;

IEC 61508-1 - Functional Safety of Electrical/Electronic/Programmable Electronic
Safety-Related Systems - Part 1: General Requirements;
4
N-2595 REV. C 12 / 2010

Safety-Related Systems - Part 2: Requirements for Electrical/Electronic/Programmable
Electronic Safety-Related Systems;
Safety-Related Systems - Part 3: Software Requirements;
4-A
-PÚBLICO-
N-2595 REV. C 12 / 2010

Safety-Related Systems - Part 4: Definitions And Abbreviations;
IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process
Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software
Requirements;
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62337 - Commissioning of Electrical, Instrumentation and Control Systems in the

Process Industry - Specific Phases and Milestones;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT);
NFPA 72 - National Fire Alarm and Signaling Code.
3 Termos e Definições
Para os efeitos deste documento aplicam-se os seguintes termos e definições.
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica de avaliação semi-quantitativa da redução de riscos de processo obtida com a utilização de
camadas de proteção
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano
associado ao evento perigoso.
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
5
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.5
causa iniciadora (“initiating cause”)
falha em equipamento, ação humana inapropriada ou evento externo que desencadeia um cenário
3.6
cenário (“scenario”)
evento ou sequência de eventos resultante de uma causa iniciadora e que culmina em uma
consequência perigosa
3.7
ciclo de vida do SIS (“safety life cycle”)
conjunto de atividades envolvidas na implementação das SIFs durante o intervalo de tempo que se
inicia na fase de projeto conceitual e que termina quando as referidas SIFs são desativadas
3.8
condição habilitadora (“Enabling Event - EE”)
ação ou estado que não causa o cenário, mas que precisa existir para permitir que a causa iniciadora
conduza à consequência indesejada considerada
3.9
consequência (“consequence”)
efeito indesejado do cenário acidental
NOTA 1 Um exemplo de consequência é a perda de contenção levando a liberação de produto com

risco de incêndio.
NOTA 2 Severidade da consequência (“consequence severity”) é uma medida qualitativa ou
quantitativa do impacto da consequência à segurança de pessoas, ao meio ambiente e ao
patrimônio da empresa. Este conceito pode ser exemplificado pela possibilidade de morte
decorrente do incêndio.
3.10
controlador programável de segurança (“Programmable Electronics - PE”)
controlador programável projetado e desenvolvido especificamente para atuar como Executor da
Lógica do SIS
NOTA A denominação CP de Segurança vem substituir o antigo termo PES como era usado no
âmbito da Petrobras, de modo a eliminar conflito com IEC 61508-4 e IEC 61511-1, nas
quais o termo PES designa todo o conjunto de dispositivos (iniciadores + Executor da
Lógica + elementos finais) do SIS.
3.11
dano (“harm”)
impacto, consequência concretizada ou resultado final de um evento perigoso sobre seres humanos,
meio-ambiente e/ou patrimônio, expresso em termos de número de fatalidades, prejuízos ao meio
ambiente, destruição de propriedades, perda de produção etc.
NOTA 1 Impactos ambientais podem incluir gastos com limpeza das instalações e descontaminação
do meio-ambiente, multas de órgãos fiscalizadores, indenizações civis e trabalhistas,
dificuldade na obtenção de novas licenças, danos à imagem da companhia etc.
NOTA 2 Entende-se como patrimônio os equipamentos, instalações, produtos e processos.
3.12
defeito (“fault”)
condição anormal que pode causar redução ou perda da capacidade de um dispositivo executar sua
função
6
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.13
demanda (“demand”)
condição ou evento perigoso que requer a atuação de uma SIF
3.14
dispositivo (“device”)
equipamento capaz de executar uma função específica
3.15
elemento final (“final element”)
dispositivo integrante do SIS que implementa a ação física necessária para atingir um estado seguro
NOTA Os exemplos mais comuns são:
a) válvula, incluindo atuador e solenóide;

b) circuito de comando e relé de interposição de motor elétrico.
3.16
especificação de requisitos de segurança (“Safety Requirements Specification - SRS”)
documentação que contém todos os requisitos que cada SIF deve apresentar quando implementada
no SIS
3.17
estado seguro (“safe state”)
estado de um processo ou equipamento cujo risco se encontra dentro dos limites estabelecidos como
toleráveis
3.18
estudo de perigos e operabilidade (“Hazards and Operability Study - HAZOP”)
técnica indutiva e estruturada para identificar perigos de processo e potenciais problemas de
operação, associando, de forma sistemática, um conjunto de palavras-guias às variáveis de processo;
para cada desvio identificado são relacionadas suas causas, conseqüências, modos de detecção e
salvaguardas existentes, recomendando medidas adicionais quando necessário
3.19
executor da lógica (“logic solver”)
dispositivo integrante do SIS que recebe os sinais dos iniciadores, processa funções programadas e
envia comandos para os elementos finais
3.20
falha (“failure”)
evento caracterizado pela cessação da capacidade de um dispositivo cumprir sua função
NOTA Excluem-se desse conceito incapacidades provocadas por ações planejadas, como
manutenção preventiva.
3.21
falha aleatória de “hardware” (“random hardware failure”)
falha que ocorre em um instante imprevisível como resultado de uma variedade de processos de
degradação atuando sobre os componentes internos de um dispositivo
NOTA 1 Devido a tolerâncias de fabricação, tais processos de degradação possuem dinâmicas

diferentes em componentes distintos, conferindo caráter aleatório ao instante da falha.
NOTA 2 Devido a sua natureza, a falha aleatória de “hardware” pode ser quantificada de forma
estatística. Por exemplo: pela observação de diversos dispositivos iguais, operando nas
mesmas condições, a respectiva taxa de falha pode ser determinada.
7
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.22
falha de causa comum (“common cause failure”)
falhas em mais de um dispositivo, componente ou sistema em decorrência de uma mesma causa
direta, num período de tempo relativamente curto e não sendo tais falhas uma conseqüência da outra
NOTA Como exemplos de causa comum podem ser citados ação de atmosfera corrosiva,
interferência eletromagnética, vibração mecânica, entupimento das tomadas de um
“stand-pipe”, perda de alimentação elétrica, perda de pressão pneumática ou hidráulica,
incêndio, explosão, descarga atmosférica, procedimento inadequado (de fabricação,
instalação, condicionamento, operação, ou manutenção), treinamento inadequado (idem),
vício ou limitação de projeto.
3.23
falha na demanda (“failure on demand”)
não atuação de uma SIF quando a mesma é submetida a uma demanda real
3.24
falha oculta (“undetected failure”)
falha que só é percebida quando uma SIF é demandada ou testada
3.25
falha perigosa (“dangerous failure”, “unsafe failure”, “fail-to-function failure”)
falha que apresenta potencial de impedir que uma função de segurança atue quando houver uma
demanda real
NOTA Uma única falha perigosa geralmente é insuficiente para impedir que uma função de
segurança redundante atue quando requerida.
3.26
falha segura (“safe failure”, “spurious trip failure”, “nuisance trip failure”, “false trip failure”,
“fail-to-safe failure”)
falha que apresenta potencial de causar atuação de uma função de segurança quando esta não é
requerida
NOTA Uma única falha segura geralmente é insuficiente para efetivamente causar “trip” espúrio
em uma função de segurança redundante.
3.27
falha sistemática (“systematic failure”)
falha relacionada de forma determinística com certa causa
NOTA 1 Três tipos principais de erro podem conduzir a falhas sistemáticas:
— erro de projeto (especificações erradas ou omissas, tais como: dimensionamento

incorreto de equipamento, seleção inapropriada de materiais);
— falha de equipamento (erro no processo de fabricação, má instalação, procedimento de
manutenção ou de operação inadequado);
— erro de programa (programação ou modificação de “software”).
NOTA 2 Uma falha sistemática só pode ser eliminada por meio de modificações apropriadas na
causa da mesma. Intervenções de manutenção corretiva sem a implementação destas
modificações não eliminam a falha sistemática.
NOTA 3 Devido a sua natureza, causas de falhas sistemáticas não podem ser facilmente previstas
ou quantificadas de forma estatística.
8
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.28
fator de cobertura (“coverage”)
número que varia de 0 a 1 (100 %) e que indica o percentual de falhas ocultas que são detectadas
quando um dispositivo do SIS é submetido a determinado teste ou diagnóstico
3.29
fator de redução de risco (“Risk Reduction Factor - RRF”)
medida do desempenho de uma camada de proteção dada pela razão entre os riscos sem e com a
implementação desta camada de proteção; pode ser expresso matematicamente como o inverso da
PFDavg da camada de proteção considerada: RRF = 1/PFDavg
3.30
fator modificador (“Modification Factor - MF”)
condição específica que pode modificar a consequência de um cenário
3.31
frequência da causa iniciadora (“Initiating Cause Frequency - ICF”)
frequência esperada de ocorrência da causa que pode levar ao cenário considerado
3.32
frequência da consequência (“Frequency of Consequence - FC”)
frequência esperada de ocorrência da consequência indesejada, levando-se em conta a frequência
da causa iniciadora, a probabilidade de existência da condição habilitadora, as probabilidades médias
de falha na demanda das camadas de proteção não SIF e os fatores modificadores aplicáveis
3.33
Frequência Tolerável - FTOL (“scenario risk tolerance criteria”)
critério de tolerabilidade de risco dado pela frequência acima da qual incidentes de uma determinada
severidade não são tolerados
3.34
função instrumentada de segurança (“Safety Instrumented Function - SIF”)
função de proteção implementada em um SIS com o objetivo de atingir ou manter um estado seguro
de um processo ou equipamento através de ação automática específica frente a um determinado
desvio operacional
NOTA A cada SIF são associados um SIL e um MTTFS.
3.35
gráficos de risco (“risk graphs”)
técnica de avaliação qualitativa da redução do risco que utiliza representações gráficas do critério de
tolerabilidade de risco
3.36
iniciador (“sensor”)
dispositivo ou combinação de dispositivos que dão informações ao Executor da Lógica, sobre o valor
ou estado de variáveis de processo ou de equipamentos monitorados disparando a atuação da SIF:
NOTA 1 Os exemplos mais comuns são:
a) transmissores, incluindo conexões ao processo, sensores, e fiação completa;

b) chaves fim-de-curso, incluindo fiação completa;
c) chave manual de “trip” e fiação completa.
NOTA 2 O termo iniciador como definido nesta Norma é mais abrangente que o termo “sensor”
usado na IEC.
9
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.37
interface de operação (“operator interface”)
meios pelos quais é estabelecida a comunicação entre o operador humano e o SIS. A interface de
operação também é conhecida como Interface Humano-Máquina (IHM)
NOTA Como exemplos de interface de operação podem ser citados: monitores de vídeo, lâmpadas
indicadoras, “push-buttons”, sirenes e anunciadores de alarmes.
3.38
nível de integridade de segurança (“Safety Integrity Level - SIL”)
Indicador discreto do desempenho de uma SIF, em termos de sua PFDavg e de seu RRF, expresso
em uma escala de números inteiros de 1 a 4
NOTA O projeto da SIF deve considerar todas as falhas (aleatórias de “hardware” e sistemáticas)
que podem impedir que o estado seguro seja alcançado. Para as falhas aleatórias de
“hardware” o SIL é relacionado com a PFDavg quantificada da SIF. Para as falhas
sistemáticas é necessário o uso de abordagens específicas tais como FMEA, FMECA,
árvore de falhas etc.
3.39
perigo (“hazard”)
condição ou propriedade, inerente a uma substância, a uma atividade, a um sistema, ou a um
processo, com potencial para causar danos a integridade física das pessoas, meio ambiente,
patrimônio ou perda de produção
NOTA O termo inclui perigos que se apresentam em curtos intervalos de tempo (exemplo: fogo ou
explosão) e em longos intervalos de tempo (exemplo: liberação de produtos tóxicos).
3.40
probabilidade de falha na demanda (“Probability of Failure on Demand - PFD”)
probabilidade de uma camada de proteção falhar em realizar a sua função específica em resposta a
uma demanda
3.41
probabilidade média de falha na demanda (“Average Probability of Failure on Demand -
PFDavg”)
indicador da confiabilidade de uma camada de proteção dado pela probabilidade média, em um dado
intervalo de tempo, de que a mesma falhe quando demandada
NOTA O intervalo de tempo considerado no cálculo da média é usualmente o intervalo entre testes
periódicos (normalmente igual ao período de campanha da planta ou equipamento).
3.42
programa aplicativo (“application software”)
programa específico para a aplicação do usuário; em geral, contém sequências lógicas, permissões,
limites e expressões necessárias para satisfazer seus requisitos funcionais
3.43
programa embutido (“embedded software”)
programa específico que é parte integrante do sistema eletrônico programável, fornecido pelo
respectivo fabricante, e que é imprescindível a operação e não é acessível a modificações por parte
do usuário; também conhecido como “firmware” ou “software” do sistema
10
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.44
programa utilitário (“utility software”)
conjunto de ferramentas de programação necessárias para a criação, modificação e documentação
do programa aplicativo; essas ferramentas de programação não são necessárias para a operação do
sistema eletrônico programável
3.45
redundância (“redundancy”)
existência de mais de um meio para realizar uma mesma função, normalmente para aumentar a
confiabilidade e/ou disponibilidade de um sistema
NOTA Redundância pode ser implementada através de dispositivos idênticos (redundância

idêntica) ou por dispositivos diferentes (redundância diversa).
3.46
redundância diversa (“diverse redundancy”)
recurso normalmente empregado para reduzir a influência das falhas de causa comum através da
utilização de diferentes tecnologias, projetos, fabricação, programação etc. para realizar uma mesma
função
NOTA Como exemplos de métodos usuais para se obter a redundância diversa podem ser citados:
a) medição de diferentes variáveis de processo, tais como pressão e temperatura, nos

casos onde a correlação entre essas variáveis é bem determinada e conhecida;
b) medição de uma mesma variável de processo por meio de diferentes tecnologias, tais
como medição de vazão por vórtex e coriolis;
c) uso de rotas aérea e subterrânea com traçados distintos para meios de comunicação
redundantes;
d) uso de modelos diversos de controladores em uma arquitetura redundante, programados
com métodos distintos, por técnicos com formações diferentes.
3.47
risco (“risk”)
combinação da probabilidade ou da frequência esperada de ocorrência de um evento perigoso com a
severidade da consequência deste evento perigoso
NOTA 1 O risco pode ser expresso matematicamente como o produto da frequência esperada de
ocorrência de um evento perigoso pela severidade de sua consequência:
Risco = frequência x severidade
NOTA 2 A frequência esperada de ocorrência normalmente é expressa em termos de quantidade de

eventos por ano;
NOTA 3 A severidade da consequência normalmente é expressa em termos de valor monetário
(perdas de produção e/ou danos a patrimônio) e/ou número de fatalidades.
3.48
risco de processo ou equipamento (“process risk”)
risco inerente a condições de processo ou equipamento originadas por eventos anormais (que
incluem defeitos no SSC), sem levar em consideração as camadas de proteção
NOTA 1 No contexto desta norma, o risco do processo ou equipamento é aquele risco específico
para o qual uma camada de proteção provê redução.
NOTA 2 Perigos de processo incluem fogo, explosão, liberação tóxica, e exposição a radiação
ionizante, mas não incluem perigos não relacionados ao processo, normalmente
controlados por outros meios, tais como proteção auricular, luvas, óculos de segurança,
guarda-corpo, ou “housekeeping”, e perigos ocupacionais tais como escorregões, tropeços
e quedas.
11
-PÚBLICO-
N-2595 REV. C 12 / 2010
3.49
risco tolerável (“tolerable risk”)
risco definido como aceitável em um dado contexto
NOTA No contexto desta norma, o termo “aceitável” refere-se a um consenso entre a sociedade,
analistas de riscos e agências especializadas (exemplo: HSE) em conviver com um
determinado risco de forma a obter certos benefícios, na confiança de que este risco está
sendo apropriadamente controlado e, portanto, estes benefícios valem o risco assumido.
3.50
Sistema Instrumentado de Segurança (“Safety Instrumented System - SIS”)
sistema instrumentado usado para implementar uma ou mais funções instrumentadas de segurança;
um SIS é composto por um conjunto de iniciadores, executores da lógica e elementos finais
3.51
Sistema de Supervisão e Controle - SSC (“Basic Process Control System” - BPCS)
sistema que monitora e processa sinais de entrada provenientes do processo ou equipamento e
responde gerando sinais de saída que conduzem o mesmo a operar de maneira desejada, através de
controles regulatórios contínuos (tipo PID), controles discretos (tipo “on-off”) e controles seqüenciais
3.52
tempo de resposta da SIF (“response time”)
intervalo de tempo entre o surgimento de uma demanda e a conclusão da atuação de uma SIF; este
tempo inclui o tempo de detecção (“rise time”) da condição de demanda pelo(s) iniciador(es), o tempo
de processamento dos sinais no Executor da Lógica e o tempo de atuação do(s) elemento(s) final(is)
3.53
tempo de retardo da SIF
retardo de tempo adicionado intencionalmente ao processamento da lógica de uma SIF, insuficiente
para que se verifique(m) o(s) dano(s) a ser(em) evitado(s) frente a uma demanda real, e necessário
para se evitar “trips” espúrios por oscilações normais / esperadas do processo que não representam
perigo, mas podem atingir o limiar de atuação da SIF
3.54
tempo de segurança do processo (“process safety time”)
intervalo de tempo entre o surgimento de uma demanda real e o perigo
NOTA 1 Recomenda-se que o tempo requerido para se atingir o estado seguro seja menor ou igual à
metade do tempo de segurança do processo. [Prática Recomendada]
NOTA 2 O tempo requerido para se atingir o estado seguro normalmente é a soma do tempo de
resposta da SIF com o tempo de retardo da SIF.
3.55
tolerância a falha na demanda (“failure on demand tolerance”)
capacidade de uma SIF executar sua função quando demandada, mesmo na presença de falha(s)
perigosa(s)
NOTA Como exemplo de arquitetura que possui tolerância a falha na demanda, pode ser citada a
votação tipo 1 de 2.
3.56
tolerância a “trip” espúrio (“spurious trip tolerance”)
capacidade de uma SIF não provocar “trip” espúrio, mesmo na presença de falha(s) segura(s)
12
-PÚBLICO-
N-2595 REV. C 12 / 2010
NOTA 1 Como exemplo de arquitetura que possui tolerância a "trip" espúrio, pode ser citada a
arquitetura de votação tipo 2 de 2.
NOTA 2 A arquitetura de votação tipo 2 de 3 é geralmente empregada em dispositivos do SIS
quando se deseja obter simultaneamente tolerância a falha na demanda e tolerância a “trip”
espúrio.
3.57
“trip”
atuação do(s) elemento(s) final(is) de uma SIF, seja por demanda real, por forçamento manual, ou
por falha da SIF (“trip” espúrio)
3.58
“trip” espúrio (“spurious trip”)
“trip” ocorrido sem que tenha havido demanda real, ou forçamento intencional (“trip” manual) dessa
condição; normalmente ocorre devido a falha de um ou mais dispositivos da SIF
NOTA Nem todo “trip” espúrio pode ser categorizado como falha segura, haja vista que atuações
espúrias totais ou parciais de algumas SIFs podem ser causas iniciadoras de cenários de
risco.
3.59
validação (“validation”)
atividade de demonstrar que o SIS instalado atende efetivamente as especificações das suas SIFs,
incluindo todos os aspectos de suas funcionalidades e de seus requisitos de desempenho
3.60
verificação (“verification”)
atividade de demonstrar para cada fase do ciclo de vida do SIS através de análises e/ou testes que,
para as condições especificadas, são atingidos todos os objetivos e requisitos estabelecidos na
especificação funcional daquela fase
NOTA Exemplos de atividades de verificação incluem:
— revisões dos produtos (p.ex.:documentos) de todas as fases do ciclo de vida de

segurança para garantir conformidade com os objetivos e requisitos de cada fase,
levando em conta as suas entradas específicas;
— revisões do projeto;
— testes realizados com os produtos concebidos naquela fase para assegurar que o seu
desempenho está de acordo com a sua especificação;
— testes de integração realizados com as diferentes partes de um sistema sendo colocadas
juntas passo-a-passo e com a realização de testes ambientais para garantir que todas as
partes trabalham em conjunto da forma especificada.
4 Símbolos ou Siglas
ABNT - Associação Brasileira de Normas Técnicas;

AIChE - American Institute of Chemical Engineers;
ALARP - As Low As Reasonably Practicable (Tão Baixo Quanto Razoavelmente Praticável);
ANSI - American National Standards Institute;
API - American Petroleum Institute;
APR - Análise Preliminar de Riscos;
CCPS - Center for Chemical Process Safety;
CP - Controlador Programável;
EE - Condição Habilitadora (“Enabling Event”);
EEL - Probabilidade da Condição Habilitadora (“Enabling Event Likelihood”);
13
-PÚBLICO-
N-2595 REV. C 12 / 2010
FC - Freqüência da Consequência (“Frequency of Consequence”);

FCC - Craqueamento Catalítico Fluido (“Fluid Catalytic Cracking”);
FTOL - Freqüência Tolerável;
HAZOP - Hazards and Operability Study (Estudo de Perigos e Operabilidade);
HSE - UK Health & Safety Executive;
ICF - Frequência da Causa Iniciadora (“Initiating Cause Frequency”);
IEC - International Electrotechnical Commission;
IHM - Interface Humano-Máquina;
IPL - Camada de Proteção Independente (“Independent Protection Layer”);
ISA - The Instrumentation, Systems, and Automation Society;
LOPA - Layers of Protection Analysis (Análise de Camadas de Proteção);
MF - Fator Modificador (“Modification Factor”);
MTBF - Mean Time Between Failures (Tempo Médio entre Falhas);
MTTF - Mean Time to Fail (Tempo Médio para Falhar)
MTTFS - Mean Time to Fail Safe (Tempo Médio para Falhar no modo Seguro);
MTTR - Mean Time to Repair (Tempo Médio para Reparo)
NFPA - National Fire Protection Association;
PCC - Painel de Corrente Contínua;
PFD - Probabilidade de Falha na Demanda;
PFDavg - Probabilidade Média de Falha da Demanda;
RRF - Risk Reduction Factor (Fator de Redução de Risco);
SDV - Shutt Down Valve;
SIF - Safety Instrumented Function (Função Instrumentada de Segurança);
SIL - Safety Integrity Level (Nível de Integridade de Segurança);
SIS - Sistema Instrumentado de Segurança (“Safety Instrumented System”);
SRS - Safety Requirements Specification (Especificação de Requisitos de Segurança);
SSC - Sistema de Supervisão e Controle;
TAF - Teste de Aceitação em Fábrica (“Factory Acceptance Test”);
TÜV - Techinische Überwachungs Verein (Agência de Inspeção Técnica);
UPS - Uninterruptible Power Supply (Sistema Ininterrupto de Potência).
5 Avaliação da Necessidade do SIS e Estruturação do Projeto Básico
A avaliação da necessidade de implementação de uma ou mais SIFs é parte integrante das práticas
de projeto, devendo ser realizada durante a etapa de elaboração do projeto básico da planta, através
da aplicação de uma ou mais técnicas de análise de riscos, seguida da adoção de camadas de
proteção apropriadas.
5.1 Análise de Riscos
5.1.1 Dentre as diversas técnicas para avaliação de riscos de processo citadas na PETROBRAS
N-2782, recomenda-se a aplicação de HAZOP por uma equipe multidisciplinar formada por
profissionais das áreas de processo, instrumentação e controle, operação e segurança industrial,
utilizando como referência documentos de projeto que viabilizem a identificação dos cenários e a
avaliação dos riscos associados a cada cenário [Prática Recomendada].
5.1.2 As condições de contorno impostas pelo local de instalação da planta ou equipamento, bem
como pela sua filosofia operacional devem estar definidas quando da análise dos impactos
decorrentes de um cenário de risco. Exemplos típicos são equipamentos operados remotamente ou
manualmente do campo e plantas localizadas em regiões isoladas ou próximas a regiões habitadas.
14
-PÚBLICO-
N-2595 REV. C 12 / 2010
5.1.3 Uma vez determinado o risco associado a um cenário, deve-se avaliar se o mesmo é tolerável,
tomando-se por base as políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, a legislação local e as regulamentações aplicáveis.
NOTA Também podem ser considerados na determinação do risco tolerável: normas e referências
internacionais, informações de companhias seguradoras e acordos entre as partes
interessadas, podendo envolver a comunidade local. [Prática Recomendada]
5.1.4 A Tabela 2 da PETROBRAS N-2782 deixa claro que um risco não ser tolerável (estar fora da
região T - “tolerable”) é diferente de ser não tolerável (estar na região NT - “unacceptable”), porém
deve-se frisar que deixar o risco final na região M (moderado) deve ser justificado após se ter lançado
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP).
5.2 Camadas de Proteção
5.2.1 Caso a avaliação do risco de um cenário indique que este é maior que o limite estabelecido
como tolerável, deve-se buscar reduzir a frequência esperada de ocorrência do evento perigoso ou a
severidade do dano associado a este cenário através da aplicação de medidas de redução de risco,
normalmente chamadas de salvaguardas ou camadas de proteção (ver Figura 1).
PLANO DE EMERGÊNCIA - COMUNIDADE

SITUAÇÃO DE EMERGÊNCIA GERAL
PLANO DE EMERGÊNCIA - UNIDADE INDUSTRIAL

PROCEDIMENTOS DE EVACUAÇÃO
SISTEMAS DE MITIGAÇÃO FÍSICOS (DIQUES, BACIAS DE CONTENÇÃO etc.)

INTERVENÇÃO OPERACIONAL
SISTEMAS DE ALÍVIO E PROTEÇÃO MECÂNICA

(PSV, TOCHA, etc.)
SISTEMAS INSTRUMENTADOS DE SEGURANÇA
SISTEMAS DE ALARME DE PROCESSO

COM AÇÃO OPERACIONAL CORRETIVA
SISTEMAS DE SUPERVISÃO E CONTROLE -SSC

SUPERVISÃO OPERACIONAL
PROJETO DA INSTALAÇÃO
PROCESSO
Figura 1 - Modelo de Camadas de Proteção
15
-PÚBLICO-
N-2595 REV. C 12 / 2010
5.2.2 Como primeira camada de proteção, um cenário associado a operação de equipamentos e/ou
processos pode ter seu risco consideravelmente reduzido, ou mesmo ser completamente eliminado,
por meio de técnicas de projeto específicas ou de um projeto inerentemente seguro. Exemplos: riscos
devidos a pressão excessiva podem ser reduzidos através de especificação adequada da espessura
de tubulação ou da limitação do “head” da bomba abaixo da pressão de projeto do vaso para onde a
mesma descarrega, riscos devidos a temperaturas elevadas podem ser reduzidos através de projetos
adequados de trocadores de calor, riscos devidos a vibrações podem ser reduzidos prevendo-se
suportes adequados para as tubulações, riscos a pessoas podem ser bastante reduzidos através da
instalação da planta em local desabitado, riscos de incêndio ou explosão podem ser eliminados se for
possível trocar o produto por outro não inflamável.
5.2.3 Como segunda camada de proteção, normalmente dispõe-se de sistemas de controle

automático do processo ou equipamento, podendo-se obter uma terceira camada com a supervisão
contínua por pessoal de operação qualificado com auxílio de um sistema de alarmes adequado.
5.2.4 A camada de proteção seguinte, constituída por um SIS, objeto principal desta norma,
geralmente acompanha outra, formada por sistemas de alívio e de prevenção baseados em
dispositivos mecânicos, tais como válvulas de segurança, discos de ruptura e válvulas de retenção.
5.2.5 Recomenda-se que um SIS somente seja adotado caso após a aplicação das demais medidas
de redução de risco mencionadas, o risco residual permaneça maior que o tolerável (ver Figura 2).
[Prática Recomendada]
Figura 2 - Representação Gráfica da Redução de Risco
5.3 Ciclo de Vida do SIS
5.3.1 Uma vez confirmada a necessidade de uma ou mais SIFs, sua aplicação passa a constituir um
SIS propriamente dito. As etapas necessárias para a implantação de um SIS incluem concepção,
projeto, instalação, operação, manutenção e desativação, e são chamadas ciclo de vida do SIS (ver
Figura 3).
16
-PÚBLICO-
N-2595 REV. C 12 / 2010
INICIO - Projeto Avaliação da SIF Procedimentos de

Básico de processo (SIL e MTTFS) operação e de
(seção 6) manutenção
(seção 13)
Análise de Riscos
SIF confirmada?
não
Operação,
sim manutenção e testes
Aplicação de outros
funcionais periódicos
meios para redução Verificação do SIL e do
do SIS
dos riscos MTTFS
(seção 13)
identificados (seção 8)
Projeto de Detalhamento modificação

do SIS Modificação ou
SIF (seção 9) desativação?
Recomendada? sim desativação
não TAF, Instalação,
condicionamento e pré- Desativação da SIF
Documentação operação
(seções 10, 11 e 12)
Legenda: - escopo desta norma

- escopo de outras normas
Figura 3 - Modelo de Ciclo de Vida de um SIS
5.3.2 Para viabilizar a aplicação e operacionalização de um SIS, é necessário que exista implantado
um sistema de gestão do seu ciclo de vida com base em um Plano de Segurança conforme
IEC 61511-1 capaz de garantir que:
a) as pessoas e organizações envolvidas em cada etapa do ciclo de vida sejam

identificadas e as respectivas responsabilidades, atribuídas;
b) os treinamentos necessários sejam aplicados;
c) cada etapa prevista seja realizada e documentada;
d) os documentos gerados sejam distribuídos, controlados e mantidos atualizados;
e) verificações de controle sejam realizadas periodicamente.
5.4 Estruturação do Projeto Básico do SIS
5.4.1 O projeto básico do SIS deve estabelecer e registrar, de modo organizado e sistemático, os
requisitos técnicos de especificação necessários para cada uma das SIFs que compõem o SIS, tanto
aquelas criadas durante a fase de projeto básico do processo (normalmente registradas nos
fluxogramas de engenharia e matrizes de causa e efeito), quanto aquelas criadas como
recomendações da técnica de identificação de perigos aplicada na fase de análise de riscos da
planta.
5.4.2 Deve-se considerar como SIF as funções automáticas que atuam especificamente para evitar
a(s) conseqüência(s) perigosa(s) de um determinado desvio, o qual pode estar associado a diferentes
cenários.
5.4.3 Todas as SIFs devem ser executadas pelo SIS. Não é permitido execução de SIF pelo SSC.
5.4.4 Recomenda-se que a inclusão no SIS de funções automáticas não relacionadas a segurança
seja limitada aos casos em que sua separação seja impraticável. Exemplo: sequência de
acendimento de fornos, caldeiras e tochas. [Prática Recomendada]
17
-PÚBLICO-
N-2595 REV. C 01 / 2011
5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porém não utilizados em lógica
de SIF (p.ex. indicação do estado de elemento final) não devem ser ligados ao Executor da Lógica do
SIS. [Prática Recomendada]
5.4.6 É frequente a matriz de causa e efeito indicar uma mesma causa para ações de segurança e
para ações não relacionadas a segurança. Recomenda-se que uma SIF somente inclua os
dispositivos estritamente necessários para executar sua ação de segurança. [Prática Recomendada]
5.4.7 Cada SIF deve possuir um identificador alfa-numérico exclusivo (“tag”) e ser documentada
numa folha de dados que reúna as principais especificações da SIF, suas funcionalidades, seus
requisitos de desempenho (tais como SIL e MTTFS) e critérios adotados nos cálculos (como intervalo
entre testes periódicos), compondo um conjunto de informações equivalente ao “Safety Requirements
Specification - SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA 91.00.01).
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas:
a) identificação das SIFs (não coberta por esta norma);

b) avaliação das SIFs (ver seção 6);
c) definição dos requisitos de implementação do SIS (ver seção 7);
d) verificação do SIL e do MTTFS requeridos para cada SIF (ver seção 8);
5.4.11 Ao final do projeto básico, todas as folhas de dados de SIF devem estar completamente
preenchidas.
6 Projeto Básico do SIS - Avaliação das SIFs
6.1 Considerações Gerais
6.1.1 A etapa de avaliação consiste, basicamente, em se determinar dois importantes

parâmetros de desempenho, com vistas à elaboração da especificação do SIS, a saber:
a) Nível de Integridade de Segurança - SIL;

b) Tempo Médio para Falhar no modo Seguro - MTTFS;
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova
planta e durante as revisões que venham a ser realizadas no projeto de uma planta
existente.
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
18
-PÚBLICO-
N-2595 REV. C 01 / 2011
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2 Composição da Equipe de Avaliação das SIFs
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) Processo;
b) Instrumentação e Controle;
c) Operação;
d) SMS.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante de Processo deve ter participado do projeto básico específico a ser analisado,
de forma a garantir um bom conhecimento sobre o mesmo.
6.2.4 O representante de Instrumentação e Controle deve possuir experiência e/ou treinamento

específico em Sistemas Instrumentados de Segurança.
6.2.5 O representante da operação deve:
a) possuir experiência no processo em questão;

b) estar vinculado com a operação futura da planta em questão.
6.2.6 O representante de SMS deve:
a) conhecer as políticas, diretrizes, normas e legislações de SMS aplicáveis à planta em

questão;
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas em 6.2.1, desde que atenda às exigências para tal.
6.2.9 O líder da equipe de avaliação deve assegurar a aplicação organizada, sistemática e

consistente do método utilizado, orientando neste sentido os demais membros da equipe.
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
19
-PÚBLICO-
N-2595 REV. C 12 / 2010
6.3 Preparação para a Avaliação das SIFs
6.3.1 Os seguintes documentos devem estar disponíveis em suas revisões mais recentes para uso
no processo de avaliação das funções instrumentadas de segurança:
a) fluxogramas de engenharia;
b) descritivo das ações automáticas (matriz de causa e efeito, diagrama lógico, ou outro
documento equivalente);
c) relatório da análise de riscos, caso tenha sido emitido.
6.3.2 Informações adicionais sobre falhas, eventos perigosos e acidentes relacionados ao processo
ou equipamento objeto da proteção pela SIF também podem ser utilizadas, desde que suas fontes
sejam devidamente documentadas na Folha de Dados de SIF.
6.3.3 Dentre os cenários identificados pela análise de riscos, devem ser selecionados para avaliação
todos aqueles onde haja SIF como salvaguarda ou como recomendação. Outros cenários podem ser
avaliados a critério da equipe.
6.4 Avaliação do Nível de Integridade de Segurança requerido para uma SIF
6.4.1 A cada SIF deve ser atribuído um SIL de acordo com a redução de risco requerida para a
mesma (ver Tabela 1).
Tabela 1- Escala de SIL para Modo de Demanda
RRF PFDavg SIL

> 10 a ≤ 100 ≥ 10-2 a < 10-1 1
> 100 a ≤ 1.000 ≥ 10-3 a < 10-2 2
> 1.000 a ≤ 10.000 ≥ 10-4 a < 10-3 3
> 10.000 a ≤ 100.000 ≥ 10-5 a < 10-4 4
NOTA Para SIFs que operam em modo contínuo ou com alta demanda (mais de uma demanda por
ano ou duas ou mais demandas a cada intervalo entre testes) o SIL é correlacionado com
uma frequência de falhas perigosas por hora, sendo, por exemplo, SIL 1 equivalente a uma
frequência entre 10-6 por hora e 10-5 por hora (ver Tabela 4 da IEC 61511-1:2003).
6.4.2 A avaliação do SIL requerido para uma SIF deve considerar as consequências sobre:
a) segurança pessoal (S);

b) meio ambiente (E);
c) patrimônio da companhia (L).
6.4.3 O SIL requerido para a SIF deve ser o maior dentre os determinados para cada um destes três
aspectos.
6.4.4 Caso uma mesma SIF seja salvaguarda para diversos cenários, o SIL requerido deve ser o
maior dentre os obtidos para cada cenário.
6.4.5 Nesta norma são apresentados dois métodos distintos de avaliação do SIL requerido para uma
SIF, a saber:
20
-PÚBLICO-
N-2595 REV. C 12 / 2010
a) Gráficos de Risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semi-quantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade dos riscos, disponibilidade de informações sobre os cenários de
risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.7 Recomenda-se a aplicação do método LOPA. [Prática Recomendada]
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um SIL requerido maior que 3, devem ser
aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de integridade
de segurança requerido abaixo de SIL 4. Orientações e cuidados a serem tomados para reduzir o SIL
requerido de forma segura podem ser encontrados na ISA TR 84.00.04 Part 1 Anexo J.
6.4.10 Caso o resultado da avaliação de uma SIF indique não haver SIL requerido, deve ser
observado o disposto em 5.4.4
6.5 Avaliação da Frequência de “Trips” Espúrios Aceitável para uma SIF
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 A instalação industrial deve possuir um critério para determinação do valor aceitável de MTTFS.
Duas alternativas possíveis são apresentadas em 6.5.2.1 e 6.5.2.2.
6.5.2.1 Indisponibilidade
O tempo de indisponibilidade devido a “trips” espúrios do SIS deve ser desprezível (menor que 1/10)
em relação ao tempo total de indisponibilidade (paradas e reduções de carga não programadas) da
planta ao longo de um dado período de tempo. Exemplo: numa unidade de processo na qual sejam
historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como
um todo não poderia ser responsável por mais que 10 dias parados a cada campanha, ou 2 dias por
ano. Supondo que este SIS possua 20 SIFs, cujos “trips” espúrios resultam, em média, em 12 h de
unidade parada por “trip”, teríamos o limite de 1 “trip” espúrio a cada 5 anos por SIF, ou um MTTFS
de 5 anos para cada SIF.
6.5.2.2 Custo do “Trip” Espúrio
O custo do “trip” espúrio deve levar em conta, além da perda de produção (lucro cessante), também
os custos associados a outras possíveis consequências relacionadas com a parada imprevista e com
a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratários,
coqueamento de tubos, etc.), penalizações contratuais por interrupção da produção, danos
ambientais (alívio excessivo para a tocha, ruído de abertura de válvulas de segurança), danos à
imagem da companhia etc.
21
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela 2 - Critério para Determinação do MTTFS Aceitável
Custo do “trip” espúrio (US$) MTTFS aceitável (anos)

≤ 10 000 1
> 10 000 a ≤ 100 000 2
> 100 000 a ≤ 1 000 000 5
> 1 000 000 a ≤ 10 000 000 10
> 10 000 000 20
6.5.3 Deve-se levar em conta que a atuação de uma SIF pode vir a desencadear outras ações de
proteção. Por exemplo: baixa vazão de gás causa “trip” do compressor, o qual, por sua vez, causa
“trip” da bomba de carga.
6.5.4 Uma vez determinado o MTTFS requerido, o mesmo deve ser registrado na Folha de Dados da
respectiva SIF.
6.5.5 Caso os riscos pessoal e ambiental sejam ambos desprezíveis, fazendo com que o SIL seja
determinado apenas pelo risco associado ao aspecto do patrimônio da companhia, recomenda-se a
realização de análise custo-benefício para determinar se vale a pena ou não implementar a SIF.
7 Projeto Básico do SIS - Requisitos de Implementação
7.1 Segregação entre SIS e SSC
7.1.1 As SIFs devem ter suas respectivas implementações físicas separadas das malhas do SSC.
Portanto, devem ser segregados pelo menos os seguintes componentes:
a) tomadas de processo;
b) linhas de impulso;
c) iniciadores;
d) cabeamentos de sinal;
e) caixas de junção;
f) multicabos;
g) réguas de bornes;
h) painéis de controle e de rearranjo;
i) fusíveis e disjuntores;
j) Executor da Lógica;
k) elementos finais.
NOTA Admite-se o compartilhamento de tomadas de processo ou bocais de instrumentos do SSC

com iniciadores redundantes do SIS.
7.1.2 Admite-se o compartilhamento entre SIS e o SSC dos seguintes componentes:
a) elementos primários de vazão tipo placa de orifício, “venturi” ou “v-cone”;

b) rodas dentadas (medição de rotação);
c) poço de termoelemento;
d) ramais de suprimento de ar.
7.1.3 Admite-se o uso de válvulas de controle como elemento final do SIS somente nos casos onde a
segregação seja impraticável. Por exemplo: válvulas de catalisador gasto e catalisador regenerado
das unidades de FCC.
22
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.1.4 Caso seja necessário o uso de mais de dois pares de tomadas para uma mesma placa de
orifício, recomenda-se que o terceiro par de tomadas seja na tubulação (“pipe tap”). [Prática
Recomendada]
7.2 Segregação entre SIS distintos
7.2.1 Plantas que operem de modo independente ou tenham paradas programadas para
manutenção independentes devem possuir SIS distintos.
7.2.2 Para equipamentos de processo localizados dentro de uma mesma planta, os quais tenham
paradas programadas de manutenção independentes, recomenda-se segregar os seguintes itens
componentes de cada respectivo SIS: caixas de junção, multicabos, módulos de I/O e programas
aplicativos. [Prática Recomendada]
7.2.3 Recomenda-se que o SIS seja segregado de outros sistemas de segurança regidos por normas
específicas. [Prática Recomendada]
EXEMPLO
— NFPA 72 para sistemas de alarme de incêndio;

— ABNT NBR 12712 para estações de redução de pressão de gás;
— API 670 para sistemas de proteção de máquinas.
7.3 Segregação Entre Canais Redundantes de uma SIF
7.3.1 Para SIFs com redundância de iniciadores e/ou de elementos finais, recomenda-se segregar os
seguintes componentes de cada respectivo canal [Prática Recomendada]:
a) tomadas de processo;
b) linhas de impulso;
c) cabeamentos de sinal;
d) caixas de junção;
e) multicabos;
f) réguas de bornes;
g) fusíveis e disjuntores;
h) módulos de I/O.
7.3.2 No caso de medição de temperatura redundante admite-se a utilização de um único poço para
mais de um iniciador.
7.4 Alimentação Elétrica
7.4.1 A alimentação elétrica para o SIS deve ser fornecida a partir de um sistema de corrente
contínua redundante constituído por dois conjuntos de carregadores, dois bancos de baterias e dois
quadros de distribuição (PCC) com disjuntor para interligação, sendo um quadro igual (espelho) ao
outro e cada um desses conjuntos, energizado por alimentadores independentes.
7.4.2 Tal sistema deve distribuir a alimentação elétrica para:
a) módulos de alimentação do Executor da Lógica;

b) fontes para alimentação dos iniciadores analógicos;
c) energização dos circuitos dos iniciadores discretos;
d) energização dos circuitos dos elementos finais;
23
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.4 Os módulos de alimentação elétrica do Executor da Lógica, bem como as fontes de

alimentação para os iniciadores e elementos finais devem ser redundantes.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada uma alimentada por um PCC distinto. [Prática Recomendada]
7.5 Comunicação entre Dispositivos de Campo e Executor da Lógica
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica. [Prática
Recomendada]
NOTA No caso de circuitos de acionamento de máquinas elétricas (motores) considera-se o relé

de interposição como parte integrante do elemento final.
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
a) instalados no mesmo painel que o Executor da Lógica, e não distribuídos em outros

locais/paineis;
b) alimentados pelas fontes localizadas no painel do Executor da Lógica.
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores como iniciadores não seja tecnicamente viável (por
exemplo: chaves de indicação de posição), os respectivos contatos utilizados para acionamento da
SIF devem ser mantidos fechados e energizados quando da condição normal de operação da planta
ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores seja configurado de modo a, em caso de falha, conduzir o sinal de saída para os
seguintes valores: [Prática Recomendada]
a) abaixo de 3,6 mA (sub-range) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (sobre-range) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
NOTA CANCELADA - EMENDA 07/2012.
24
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.6.4 Recomenda-se que a execução de funções como extração de raiz quadrada, ajuste de
amortecimento e temporização sejam realizadas no programa aplicativo do Executor da Lógica e não
nos iniciadores. [Prática Recomendada]
7.6.5 Recomenda-se que os iniciadores do SIS e os sensores utilizados no SSC para medição das
mesmas variáveis, tenham o mesmo range e incertezas compatíveis, de modo a permitir sua
comparação direta, podendo ser implementado alarme de desvio no SSC. [Prática Recomendada]
7.6.6 Os iniciadores devem ser pintados na cor laranja segurança conforme a PETROBRAS N-1219.
A pintura parcial do iniciador é aceitável. Exemplo: pintura apenas das tampas de transmissores.
7.6.7 Para os iniciadores das SIFs avaliadas como SIL 3 recomenda-se o uso de redundância
diversa. [Prática Recomendada]
7.7 Elementos Finais
7.7.1 Recomenda-se que válvulas do SIS utilizem atuadores pneumáticos. Atuadores elétricos ou
hidráulicos podem ser utilizados nos casos em que os atuadores pneumáticos sejam impraticáveis.
Por exemplo, indisponibilidade de ar de instrumento. [Prática Recomendada]
7.7.2 Atuadores de válvulas do SIS devem operar normalmente pressurizados ou energizados,

sendo que a falta de tal pressurização, ou energização, deve implicar no retorno da válvula à posição
estabelecida como segura, por ação de dispositivo acumulador de energia (exemplo: mola
previamente comprimida, acumulador hidráulico etc.).
7.7.3 Válvulas do SIS não devem dispor de volantes para acionamento manual.
7.7.4 Para válvulas do SIS e respectivos atuadores, devem ser especificados, no mínimo, os
seguintes itens:
a) adequação do tipo de válvula e de seus materiais às condições de processo e de

operação (especialmente para baixa demanda);
b) grau de estanqueidade requerido;
c) modos de falha do atuador da válvula;
d) sentido normal do fluxo tendendo a levar a válvula para a posição de segurança;
e) tempos de abertura e de fechamento do conjunto válvula e atuador, compatíveis com os
requisitos da SIF;
f) dispositivo para monitoração da posição de segurança.
7.7.5 No caso de elementos finais da SIF serem circuitos de acionamento de máquinas elétricas
(motores) os status destes equipamentos devem ser sinalizados na interface de operação.
7.7.6 Recomenda-se para SIF avaliada como SIL 3, cuja atuação seja feita em motor elétrico, que a
confirmação do estado do motor se dê através da monitoração de variáveis tais como rotação do eixo
ou corrente elétrica. [Prática Recomendada]
7.7.7 Em aplicações envolvendo proteção de equipamentos essenciais acionados por motor elétrico,
recomenda-se utilizar a função “Break Failure - BF” no relé de proteção elétrica do disjuntor de
acionamento do motor.
NOTA Deve-se avaliar os impactos do desligamento das demais cargas afetadas pela atuação do
BF.
25
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes itens:
a) condição normal de operação: bobina energizada;

b) pressão de ar mínima de operação;
c) capacidade de vazão adequada ao tempo de atuação requerido;
d) proteção dos escapes de ar contra entupimentos por sujeira, insetos e formação de gelo.
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
7.7.11 Caso a Folha de Dados de SIF indique a necessidade da execução de testes de

movimentação parcial de válvulas (ver ISA TR 96.05.01), estes devem ser implementados por
dispositivos especialmente projetados para esta aplicação e com certificação de atendimento ao SIL
requerido, conforme IEC 61508-1. O certificado deve ser submetido para aprovação da Petrobras.
Certificados emitidos pela TÜV estão pré-aprovados.
7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
7.8 Executor da Lógica
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo. O certificado deve ser submetido para aprovação da Petrobras.
Certificados emitidos pela TÜV estão pré-aprovados.
7.8.3 O Executor da Lógica deve ser implementado fisicamente através de um CP de Segurança em

todas as aplicações onde a quantidade total de iniciadores e elementos finais seja igual ou superior a
20.
7.8.4 O Executor da Lógica pode, mediante anuência expressa da Unidade Organizacional da

Companhia, ser implementado fisicamente através de tecnologia eletrônica não programável em SIS
onde a quantidade total de iniciadores e elementos finais seja inferior a 20 e a lógica requerida seja
de baixa complexidade.
7.8.5 Devem ser observadas as restrições de aplicação do equipamento selecionado indicadas no

seu manual de segurança e no seu certificado de conformidade com o atendimento ao SIL requerido.
7.8.6 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
26
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.8.7 Todos os módulos do CP de segurança (módulos de entrada, saída, fontes de alimentação e

processadores) relacionados com a execução da lógica das SIFs devem:
a) não provocar “trip” espúrio por falha singela;

b) possibilitar intervenções de manutenção sem a necessidade de desenergização ou
interrupção da execução da lógica (“troca a quente”).
7.8.8 Recomenda-se que o executor da lógica seja dotado de recursos para detectar sinal de
iniciador fora da faixa normal de trabalho e atribuir ao mesmo um status de falha (“out of
specification”) quando abaixo de 3,6 mA ou acima de 21 mA. [Prática Recomendada]
7.8.9 O Executor da Lógica e seus equipamentos auxiliares devem ser instalados em painel
exclusivo para essa finalidade. Esse conjunto deve ser compatível com as condições ambientais e
elétricas específicas do local de instalação.
7.8.10 O painel do Executor da Lógica e as caixas de junção do SIS devem possuir identificação
diferenciada dos demais. Sugerem-se pinturas parciais do painel e das caixas na cor laranja
segurança e inscrição “SIS” na plaqueta de identificação do painel.
7.8.11 No caso de haver interação entre executores da lógica distintos, suas ações devem ser
coordenadas de modo a garantir a condução do processo como um todo a um estado seguro.
7.8.12 A execução de SIF utilizando enlace de comunicação digital entre CPs de segurança distintos
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da Petrobras. Certificados emitidos pela TÜV estão pré-
aprovados.
7.8.13 O programa aplicativo deve:
a) ser desenvolvido em conformidade com o diagrama lógico do projeto de detalhamento

do SIS;
NOTA 1 Recomenda-se utilizar linguagem de programação tipo “Function Blocks” (ver IEC 61131-3).
NOTA 2 Recomenda-se não utilizar linguagens de programação tipo texto estruturado ou diagrama
“Ladder”. [Prática Recomendada]
b) ser desenvolvido considerando as restrições pertinentes ao uso do programa utilitário,

compatíveis com o nível de integridade requerido, indicadas no manual de segurança do
CP selecionado;
c) possuir um tempo de varredura (“scan time”) menor que a metade do menor tempo de
resposta requerido pelas SIFs em execução no CP de segurança;
d) fornecer informações ao SSC conforme o 7.12;
e) CANCELADA - EMENDA 07/2012.
NOTA CANCELADA - EMENDA 07/2012.
7.8.14 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que iniciadores identificados
como em estado de falha sejam contornados automaticamente pelo programa aplicativo, respeitando
as limitações impostas por 7.11.3. [Prática Recomendada]
NOTA 1 A duração deste contorno automático deve ser definida na fase do projeto de
detalhamento, não podendo exceder 8 horas. Durante esse período, a operação da
unidade deve definir sobre o acionamento ou não do contorno manual de manutenção do
iniciador em questão.
27
N-2595 REV. C 12 / 2010
NOTA 2 A duração total do contorno (automático + manual) deve respeitar o limite estabelecido no
procedimento específico para a SIF em questão.
NOTA 3 Caso a temporização do contorno automático chegue ao fim sem que tenha sido acionado
manualmente o contorno para manutenção conforme 7.11.3.5, o programa aplicativo deve
atribuir ao iniciador em falha o status de “trip”, seguindo-se daí as conseqüências
programadas na lógica da SIF.
7.8.15 Recomenda-se que o programa aplicativo trate os casos de SIFs com iniciadores redundantes
de modo a evitar "trips" espúrios por falso diagnóstico de falha simultânea de todos os iniciadores
devido a excursão real da variável de processo para fora da faixa normal de trabalho no sentido
contrário ao do "trip". [Prática Recomendada]
EXEMPLO
Reavaliar a faixa de operação e/ou considerar a possibilidade de estender os limites de

sub/sobre-range além daqueles estabelecidos em 7.6.3.
NOTA Uma eventual implementação de lógica específica para evitar este tipo de "trip" espúrio
deve ser precedida por uma avaliação cuidadosa das possibilidades de falha de causa
comum dos iniciadores.
7.9 Comando Manual de “Trip”
7.9.1 A quantidade e a abrangência dos comandos manuais de “trip” da planta ou equipamento

devem ser definidas na etapa de projeto básico de processo e descritas nas respectivas Folhas de
Dados de SIF.
27-A
-PÚBLICO-
N-2595 REV. C 12 / 2010
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador prevista no projeto de processo, mas não faz parte da função automática de
proteção e, portanto, não deve ser considerada nos cálculos de desempenho da SIF (SIL ou
MTTFS).
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em série,
instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Os sinais de comando manual de “trip” devem ser processados pelo Executor da Lógica do
SIS.
7.9.4 Comandos manuais de “trip” a partir da interface de operação do SSC devem ser
implementados “hardwired” do controlador do SSC para o Executor da Lógica.
7.10 Rearme (“Reset”) de SIF
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.3 Não é permitido rearme automático de SIF.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11 Contorno (“By-Pass”) de SIF
7.11.1 Considerações Gerais
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
7.11.1.2 Todo contorno acionado manualmente deve ser feito por intermédio de telas pré-
configuradas na IHM do SSC, possuindo necessariamente sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
7.11.1.4 Não pode haver contorno do comando manual de “trip”.
28
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.11.1.5 Não é permitido o forçamento de variáveis no programa aplicativo do CP de segurança com

fins de contorno de SIF.
7.11.1.6 O contorno de uma SIF não pode suprimir funções de alarme.
7.11.2 Contorno (“By-Pass”) para Início de Operação
7.11.2.1 Somente devem dispor de comando de contorno para início de operação as SIFs que,
devido ao estado inicial do processo, impeçam a partida da planta ou equipamento objeto de
proteção. Exemplos: pressão baixa no header de gás para o forno, velocidade baixa de rotação do
compressor, baixa vazão de carga, etc.
7.11.2.2 Recomenda-se que os comandos de contorno para início de operação sejam desativados
através de funções automáticas, evitando-se o uso de comando manual para essa finalidade.
EXEMPLO
— condição de processo: monitora o valor de variável de processo até que se caracterize o

término da condição início de operação;
— tempo: ajuste para um intervalo de tempo pouco superior ao necessário para execução
normal do procedimento de partida;
— combinação dos anteriores.
7.11.2.3 Os comandos de contorno para início de operação devem ser mantidos desativados quando
a planta ou equipamento objeto de proteção pelo SIS não estiver em procedimento de partida.
7.11.3 Contorno (“By-Pass”) para Manutenção
7.11.3.1 Recomenda-se não permitir que mais de uma SIF pertencente a uma mesma planta ou
equipamento esteja contornada ao mesmo tempo (ver API RP 554:1995). [Prática Recomendada]
7.11.3.2 A duração do contorno para manutenção deve ser a menor possível.
7.11.3.3 Para as SIFs que disponham de iniciadores tolerantes a falha, o contorno para manutenção
deve ser de somente um iniciador por vez e, quando acionado, deve degradar as respectivas
arquiteturas de votação da seguinte forma:
a) de 1 de 2 para 1 de 1;
b) de 2 de 2 para 1 de 1;
c) de 2 de 3 para 1 de 2.
7.11.3.4 Para as SIFs que não disponham de iniciadores tolerantes a falha, somente deve haver
comando de contorno para manutenção nas SIFs que satisfaçam simultaneamente aos seguintes
requisitos:
a) existência de outro meio para monitorar a variável de processo em questão;

b) a dinâmica do processo permita ao operador acionar em tempo hábil o comando manual
de “trip”.
7.11.3.5 O contorno de SIF deve ser realizado de acordo com procedimento específico para esse fim
desenvolvido na etapa de projeto de detalhamento do SIS. Tal procedimento deve incluir o controle
do tempo de duração do contorno (ver 13.1.5) e estar em conformidade com os padrões de operação
da planta ou equipamento objeto de proteção pelo SIS.
29
-PÚBLICO-
N-2595 REV. C 12 / 2010
EXEMPLO
O operador, após receber autorização, aciona um comando de solicitação de contorno,

específico para o respectivo iniciador pretendido, por intermédio da IHM do SSC. A seguir,
cabe ao técnico de manutenção acionar uma chave física no painel do Executor da Lógica
do SIS, a qual habilita o respectivo comando de contorno solicitado. Enquanto o contorno
estiver ativo um alerta pode ser anunciado periodicamente. Se o dispositivo em contorno
não for reparado dentro do MTTR assumido nos cálculos de confiabilidade, uma ação
pré-definida em procedimento específico deve ser tomada de modo a manter a planta ou
equipamento em estado seguro. O exemplo mais comum de ação específica é a adoção de
um regime operacional especial (redução de carga da unidade de processo, operação em
estado de alerta etc.), podendo culminar no disparo manual da função de segurança.
7.12 Interface de Operação
7.12.1 Considera-se que a planta ou equipamento objeto de proteção pelo SIS é monitorada e
controlada por meio de um SSC, cuja IHM serve também de interface do SIS com o operador da
planta. Dessa forma, devem ser apresentados na IHM do SSC as seguintes informações do SIS:
a) indicação de atuação das SIFs (eventos de “trip”);

b) indicação de primeiro evento em uma sequência de “trip”;
c) indicação de estado (válvula aberta/fechada, motor ligado/desligado) e diagnóstico
(bom/em falha) dos elementos finais;
d) representações gráficas da lógica mostrando estados das entradas e saídas no Executor
da Lógica em tempo real com valores de “trip” (exemplo:matrizes causa efeito
animadas);
e) textos de auxílio;
f) status de contorno (“by-pass”) de iniciadores;
g) resumo de alarmes do Executor da Lógica (falha de alimentação elétrica, temperatura
alta no painel, módulos em falha, rompimento de fiação, falhas de “hardware” do CP de
segurança, erros de “software” do CP de segurança etc.);
h) indicações e diagnósticos dos iniciadores analógicos;
i) estados dos iniciadores discretos;
j) alarmes que antecedem a atuação das SIFs (alarmes de “pré-trip”);
k) falha de comunicação do CP de segurança.
7.12.2 Devem ser previamente configurados e enviados da interface de operação do SSC para o
Executor da Lógica do SIS os seguintes comandos:
a) reconhecimento de primeiro evento;

b) reconhecimento de alarmes;
c) contorno (“by-pass”) para início de operação;
d) contorno (“by-pass”) para manutenção;
e) rearme de SIF.
7.12.3 Recomenda-se que toda falha identificada de forma automática em algum dispositivo do SIS,
seja por função específica de diagnóstico, por desvio no valor da variável monitorada, ou por qualquer
outro método, gere um alarme na interface de operação do SSC. [Prática Recomendada]
NOTA Por desvio no valor da variável monitorada, pode-se entender uma diferença maior que
duas vezes o erro total provável entre os valores dos sensores analógicos do SIS e do
sistema de controle para a mesma variável de processo.
7.12.4 É recomendado que seja implementada sincronização entre os relógios internos do SSC e do
Executor da Lógica do SIS, de modo a viabilizar análises de sequências de eventos. [Prática
Recomendada]
30
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.12.5 É aceitável um atraso máximo de até 3 segundos entre a ocorrência de uma ação de “trip”
iniciada por uma SIF e a respectiva indicação na interface de operação do SSC.
7.12.6 Sempre que houver tempo suficiente para a ação corretiva pelo operador deve haver alarme
de “pré-trip”.
7.12.7 Recomenda-se que os alarmes do SIS possuam identificação visual e sonora diferenciada dos
demais alarmes do SSC. [Prática Recomendada]
7.12.8 A identificação visual para o primeiro evento de uma sequência de “trip” deve ser apresentada
de modo destacado na interface de operação.
7.13 Interface para Manutenção e Engenharia
7.13.1 A interface para manutenção e engenharia deve ser realizada em microcomputador tipo PC
industrial, devendo possuir as seguintes funções:
a) configuração do CP de Segurança e armazenamento de sua configuração;

b) diagnóstico com indicação de todos os detalhes de falhas detectadas no Executor da
Lógica;
c) armazenamento de histórico auditável de ações/intervenções no SIS, com TAG, data,
hora e identificação pessoal, de forma a se poder analisar as ocorrências posteriormente.
7.13.2 A interface para manutenção e engenharia deve ser dotada de senha de acesso.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve existir pelo menos uma
estação de engenharia/manutenção interligada em rede com os mesmos.
7.13.4 Recomenda-se que haja uma porta local de comunicação em cada CP de Segurança para o
caso de indisponibilidade da rede. [Prática Recomendada]
7.14 Interface de Comunicação com o SSC
7.14.1 CANCELADA - EMENDA 07/2012
7.14.2 Recomenda-se o uso de módulos e cabos de comunicação redundantes entre o Executor da

Lógica e o SSC. [Prática Recomendada]
7.14.3 Recomenda-se que o protocolo de comunicação utilizado impeça comandos para o Executor
da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12.2. [Prática
Recomendada]
7.14.4 Em caso de falha, a interface de comunicação deve:
a) não comprometer a execução das SIFs;

b) não causar “trip” espúrio;
c) anunciar a falha na interface de operação.
31
-PÚBLICO-
N-2595 REV. C 12 / 2010
8 Projeto Básico do SIS - Verificação do SIL e do MTTFS Requeridos para Cada SIF
8.1 A etapa de verificação tem por objetivo prover maior consistência ao projeto básico, evitando
modificações significativas durante o projeto de detalhamento.
8.2 Deve-se considerar, inicialmente, uma arquitetura de votação simples (1 de 1) e componentes de

uso geral, aumentando-se gradativamente a complexidade da arquitetura e adotando-se
componentes especiais, nesta ordem, até que se verifique conformidade com os valores de SIL e de
MTTFS requeridos para a SIF, através da aplicação de cálculos de engenharia de confiabilidade (por
exemplo, conforme a metodologia apresentada na ISA TR 84.00.02 - Part 2: 2002).
NOTA A indicação pelos cálculos de que não é requerida tolerância a falha não invalida a
aplicação de outros critérios de redundância, tais como flexibilidade operacional, inclusive
para a execução de testes de SIF durante a operação da planta ou equipamento.
8.3 Os cálculos de confiabilidade de cada SIF devem ser registrados em uma memória de cálculo
específica, contendo as seguintes informações:
a) arquitetura de votação dos dispositivos da SIF;

b) dispositivos utilizados (descrição, marca e modelo);
c) taxas de falhas dos dispositivos utilizados nas condições de processo consideradas (ver
Notas 1 e 2);
d) fator de cobertura de diagnóstico do dispositivo;
e) fator de cobertura de testes;
f) fator de causa comum;
g) MTTR considerado na instalação industrial em questão;
h) intervalo de tempo entre testes periódicos considerado;
i) método de cálculo adotado;
j) identificação das fontes dos dados de falha utilizados;
k) requisitos e meios para realizar testes durante a campanha normal de operação, caso
necessário; exemplo: testes de deslocamentos parciais em válvulas (“partial stroke
tests”);
l) requisitos especiais aplicáveis; exemplos: utilização de barreira de segurança intrínseca
(ver Nota 3), energiza para “trip” (ver Nota 4);
m) critérios de cálculo considerados. Exemplo: todas as falhas detectadas durante os testes
são corrigidas, os dispositivos consertados ficam em estado de novo (“as good as new”),
as taxas de falhas são constantes no tempo etc.).
NOTA 1 As taxas de falha de dispositivos a serem utilizadas devem ser obtidas em bancos de dados
definidos pela Unidade Operacional.
EXEMPLO
EXIDA - Safety Equipment Reliability Handbook;

SINTEF - Reliability Data for Control and Safety Systems;
OREDA - Offshore Reliability Data;
CCPS - Guidelines for Process Equipment Reliability Data;
IEEE - STD 500 Reliability Data.
NOTA 2 Recomenda-se não utilizar taxas de falha informadas por fabricantes, pois as mesmas não
incluem as falhas causadas pela instalação (entupimento de tomada, por exemplo), nem
levam em conta as condições reais do processo (temperatura de operação, fluido corrosivo,
ambiente agressivo etc.). [Prática Recomendada]
NOTA 3 Caso seja necessária a utilização de algum elemento entre dispositivos de campo e
Executor da Lógica (barreira de segurança intrínseca, isolador, conversor de sinal, relé de
interposição etc.), sua taxa de falha deverá ser considerada nos cálculos de SIL e de
MTTFS da SIF.
NOTA 4 Normalmente, uma falha da UPS causa “trip” espúrio, mas sua taxa de falha não deve ser
contabilizada no cálculo de MTTFS. Por outro lado, se uma SIF necessitar de alimentação
elétrica para atuar, a taxa de falha do UPS deve ser contabilizada no cálculo da sua PFD.
32
-PÚBLICO-
N-2595 REV. C 12 / 2010
8.4 O MTTR assumido nos cálculos de confiabilidade deve incluir os tempos de notificação do
problema à Gerência de Manutenção, de execução do reparo propriamente dito e dos testes pós-
reparo, e de restauração do dispositivo à sua condição operacional normal.
8.5 O intervalo de tempo entre testes periódicos deve ser igual ou maior que o período de campanha
previsto, entendido como o intervalo de tempo entre paradas programadas periódicas de manutenção
da planta ou equipamento.
8.6 Um intervalo de tempo entre testes menor que o período de campanha só deve ser adotado nos
casos em que seja comprovadamente demonstrado que o SIL requerido não possa ser atingido de
outra forma.
8.7 Caso seja adotado um intervalo de tempo entre testes menor que o período de campanha, a
respectiva SIF deve ser dotada de recursos/facilidades que permitam a realização de testes
periódicos durante a campanha normal de operação da planta ou equipamento, sem comprometer a
sua integridade nem sua disponibilidade (perdas de produção). Tais recursos/facilidades fazem parte
integrante do projeto da SIF.
9 Projeto de Detalhamento do SIS
Este capítulo estabelece requisitos para a elaboração e apresentação, de modo organizado e

sistemático, do conjunto de documentos que viabilizam a correta implantação física e funcional
do SIS.
9.1 Requisitos Gerais
9.1.1 A execução do projeto de detalhamento do SIS deve considerar os requisitos de

implementação estabelecidos na Seção 7 desta Norma.
9.1.2 Os seguintes documentos devem estar disponíveis para iniciar a etapa de projeto de
detalhamento:
a) Folhas de Dados de SIF;

b) Memória de Cálculo de Verificação do SIL e do MTTFS da SIF;
c) Folha de Dados de Processo dos instrumentos do SIS.
9.2 Documentação
9.2.1 Os documentos relacionados a seguir devem ser elaborados durante a fase de projeto de
detalhamento do SIS e estar em conformidade com a PETROBRAS N-1883, formando um conjunto
distinto e destacado dos demais documentos do projeto de detalhamento (ver ISA S.91.00.01):
a) lista de SIFs e de instrumentos do SIS (ver Nota 1);

b) folha de dados de instrumentos do SIS;
c) lista de pontos de ajuste do SIS;
d) memória de cálculo de verificação do SIL e do MTTFS da SIF (Nota 2);
e) diagrama lógico do SIS;
f) diagrama de malhas do SIS;
g) diagrama de interligação do SIS;
h) lista de comunicação do SIS;
i) lista de entradas e saídas do Executor da Lógica do SIS;
j) lista de cargas elétricas do SIS (ver Nota 3);
k) especificação técnica do Executor da Lógica do SIS;
33
-PÚBLICO-
N-2595 REV. C 01 / 2011
a) especificação técnica de painéis do SIS;

b) manual técnico (do fabricante) do Executor da Lógica do SIS (ver Nota 4);
c) manuais técnicos (dos fabricantes) dos iniciadores do SIS (ver Nota 4);
d) manuais técnicos (dos fabricantes) dos elementos finais do SIS (ver Nota 4);
e) programa aplicativo do Executor da Lógica (listagem) do SIS;
f) desenhos de painéis do SIS;
g) plano de TAF do SIS (ver Nota 5);
h) manual de operação do SIS (ver Nota 6);
i) plano de manutenção do SIS (ver Nota 7).
NOTA 1 A lista de SIFs e de instrumentos do SIS é um documento dividido em duas partes: a

primeira parte deve relacionar em ordem numérica cada SIF do SIS (“tag”, descrição e SIL
requerido) com os “tags” dos instrumentos (iniciadores e elementos finais) que a compõe. A
segunda parte deve relacionar em ordem alfabética cada instrumento do SIS (“tag”, serviço,
fluxograma ou desenho de origem e folha de dados) com os “tags” das SIFs das quais
fazem parte.
NOTA 2 A memória de cálculo de verificação do SIL e do MTTFS do projeto de detalhamento deve
conter os mesmos cálculos efetuados durante o projeto básico, porém considerando as
arquiteturas de votação e os modelos específicos de iniciadores, Executor da Lógica e
elementos finais efetivamente adotados, e incluir os cálculos do tempo de resposta da SIF e
do tempo de retardo, caso necessário.
NOTA 3 A lista de cargas elétricas do SIS será necessária caso a alimentação elétrica do SIS seja
exclusiva.
NOTA 4 Os manuais técnicos devem incluir, sempre que aplicável, os respectivos certificados e
relatórios de compatibilidade com o nível de integridade de segurança conforme a
IEC 61508-1.
NOTA 5 O conteúdo do Plano de TAF do SIS está definido no 10.2 desta Norma.
NOTA 6 O conteúdo do manual de operação do SIS está definido no 13.1 desta Norma.
NOTA 7 O conteúdo do plano de manutenção do SIS está definido no 13.2 desta Norma.
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10 Teste de Aceitação em Fábrica e Preservação
10.1 Teste de Aceitação em Fábrica - TAF
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.2 O objetivo do TAF é verificar a conformidade da operação do conjunto Executor da Lógica e

programa aplicativo segundo os requisitos previamente estabelecidos nas folhas de dados de SIF e
no diagrama lógico. O TAF deve ser planejado e executado de modo detalhado para solução de não
conformidades, equipamentos defeituosos e solução de pendências.
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
34
-PÚBLICO-
N-2595 REV. C 12 / 2010
10.2 Pré-Requisitos para Realização do TAF
10.2.1 Durante a etapa de projeto de detalhamento do SIS deve ser elaborado um planejamento
próprio e específico para o TAF. Tal planejamento deve ser estruturado e apresentado em um
documento intitulado Plano de TAF, o qual deve incluir os seguintes itens:
a) local de realização;
b) documentos de referência, dentre os quais se destaca a Especificação Técnica do
Executor da Lógica do SIS;
c) competência do pessoal designado para supervisão e execução dos testes;
d) responsabilidade pela execução e registros dos testes;
e) responsabilidade pelo acompanhamento, testemunho e liberação;
f) cronograma de execução;
g) descrição da plataforma de teste e ferramentas;
h) relação dos testes a serem executados;
i) procedimento de execução elaborado especificamente para cada tipo de teste;
j) critérios de aceitação;
k) modelo de relatório de registro dos resultados - Relatório do TAF;
l) procedimentos de ação corretiva;
m) classificação das pendências e formulário para registro das mesmas;
n) relatórios dos testes internos realizados (pré-TAF).
10.2.2 Os critérios de aceitação são parte integrante do procedimento de teste e devem ser
baseados na ET do Executor da Lógica.
10.2.3 O Plano de TAF deve ser submetido para análise e liberação por parte da PETROBRAS.
Somente após a liberação do Plano de TAF pode-se dar prosseguimento à execução do TAF
propriamente dita.
10.3 Execução do TAF
10.3.1 O TAF deve ser realizado com os mesmos equipamento e programas aplicativos, utilitários e
embutido que serão efetivamente instalados no campo.
10.3.2 Recomenda-se o uso de recursos de simulação de processo com visualização gráfica para
auxílio à execução do TAF. [Prática Recomendada]
10.3.3 O TAF deve ser conduzido de acordo com o Plano de TAF, incluindo a realização de testes
dos seguintes tipos:
a) inspeção visual;
b) testes elétricos: isolamento, continuidade;
c) testes funcionais: verificação da lógica propriamente dita;
d) verificação do mapa de memória e concordância com o projeto;
e) testes de desempenho: medição de “scan time” etc.;
f) testes de compatibilidade ambiental: compatibilidade eletromagnética, operação sob a
maior temperatura ambiente especificada etc.;
g) testes de tolerância a falha: operação em modo degradado;
h) testes de interface:
— leitura e escrita de todos os canais, analógicos e digitais, de entrada/saída, bem

como de todos os níveis de diagnósticos; exemplo: 2 mA em sinal de 4 mA a 20 mA;
simulação de cabo partido em sinal de entrada digital monitorado;
— variação da tensão da alimentação elétrica;
— verificação da comunicação de rede;
— verificação da pressurização, se aplicável, no range de pressão definido.
35
-PÚBLICO-
N-2595 REV. C 12 / 2010
NOTA 1 Os testes de entradas analógicas devem ser executados em pelo menos cinco pontos
representativos da faixa de medição. Exemplo: 0 %, 25 %, 50 %, 75 % e 100 %.
NOTA 2 Uma IHM provisória com telas gráficas específicas deve ser prevista para os testes.
10.3.4 Para cada teste executado devem ser registrados:
a) número do documento Plano de TAF associado;

b) “tag” da SIF e a respectiva funcionalidade objeto do teste;
c) número do documento de procedimento de teste associado;
d) identificação dos equipamentos e ferramentas utilizadas;
e) descrição das atividades realizadas;
f) resultados obtidos individuais para cada SIF;
g) conformidade com os critérios de aceitação e relação de pendências;
h) assinatura do executante e dos responsáveis pelo testemunho.
10.3.5 Os registros dos testes realizados devem ser agrupados em um documento intitulado
Relatório do TAF, o qual deve ser submetido para análise e liberação pela PETROBRAS.
10.3.6 No caso da execução de um teste não ser bem sucedida, o respectivo evento deve ser
registrado no relatório, analisado e aplicadas as ações corretivas previstas.
10.3.7 Durante a execução do TAF não devem ser feitas modificações no programa aplicativo que
alterem a funcionalidade ou integridade das SIFs. Qualquer modificação deve ser feita em
conformidade com o 13.4 desta Norma.
10.3.8 Objetivando uma melhor análise da funcionalidade da lógica implementada, recomenda-se a

inclusão, na equipe de acompanhamento e testemunho do TAF, de pessoal de operação da planta ou
equipamento para o qual o Executor da Lógica será instalado. [Prática Recomendada]
10.4 Preservação
10.4.1 O objetivo desta etapa é o de prover informações para manutenção da integridade física do
Executor da Lógica durante os períodos de transporte e armazenamento, antecedendo a etapa de
instalação.
10.4.2 Deve ser elaborado um documento intitulado Plano de Preservação, o qual deve incluir os
seguintes itens:
a) descrição da embalagem para transporte, incluindo recomendações de manuseio;

b) condições extremas a que o equipamento pode ser submetido, tais como aceleração,
temperatura, umidade, pressão etc.;
NOTA: Caso a sensibilidade do equipamento a acelerações seja um fator crítico, o uso de

detectores de choque para o transporte deve ser avaliado.
c) descrição dos procedimentos de recebimento e inspeção no parque de montagem

d) descrição dos procedimentos para preservação nas etapas pré e pós instalação.
36
-PÚBLICO-
N-2595 REV. C 12 / 2010
11 Instalação e Condicionamento para Início de Operação do SIS
11.1 Instalação
11.1.1 A etapa de instalação tem por objetivo garantir que todos os dispositivos do SIS são
efetivamente instalados de acordo com suas especificações técnicas e demais requisitos
estabelecidos na etapa de projeto.
11.1.2 Deve ser elaborado um documento intitulado Plano de Instalação o qual deve conter:
a) lista de materiais e equipamentos a serem instalados;

b) descrição das atividades de instalação as quais devem incluir verificação das condições
previstas no plano de preservação;
c) procedimentos e técnicas a serem utilizadas na instalação;
d) cronograma de execução das atividades de instalação;
e) relação de pessoal responsável pela supervisão das atividades de instalação;
f) procedimentos de ação corretiva.
11.1.3 O SIS deve ser instalado de acordo com o Plano de Instalação, o qual deve observar os
requisitos presentes na PETROBRAS N-858.
11.1.4 Durante a execução da instalação qualquer impedimento de se seguir o previsto em projeto

(exemplo: interferência física, espaço reduzido, comprimento insuficiente de cabo elétrico etc.) deve
ser registrado em relatório de instalação e encaminhado para análise dos responsáveis pela
elaboração do projeto, os quais devem indicar solução a ser adotada que não degrade os requisitos
técnicos estabelecidos no projeto do SIS. A documentação de projeto deve ser atualizada de acordo.
11.2 Condicionamento
11.2.1 A etapa de condicionamento tem por objetivo garantir que todos os dispositivos do SIS
estejam individualmente operacionais de forma a viabilizar a realização da etapa de pré-operação
(ver IEC 62337).
11.2.2 Deve ser elaborado um documento intitulado Plano de Condicionamento, contendo:
a) lista de equipamentos a serem condicionados (iniciadores, Executor da Lógica,

elementos finais etc.);
b) relação das pendências levantadas no TAF ainda não sanadas;
c) descrição das atividades de condicionamento;
d) procedimentos e técnicas a serem utilizadas no condicionamento (calibração, teste de
estanqueidade etc.);
e) cronograma de execução das atividades de condicionamento;
f) relação de pessoal responsável pela supervisão e registro das atividades de
condicionamento.
11.2.3 As atividades de condicionamento devem incluir as seguintes tarefas:
a) inspeção visual;
b) verificação de ligações e resistência de aterramento elétrico;
c) verificação das fontes de energia elétrica, pneumática e hidráulica;
d) parametrização e calibração dos iniciadores e elementos finais;
e) verificação das interligações elétricas entre iniciadores e elementos finais com o painel
do Executor da Lógica, incluindo continuidade e isolamento;
37
-PÚBLICO-
N-2595 REV. C 12 / 2010
f) verificação de todas as válvulas de bloqueio e de drenagem na posição de operação

normal;
g) verificação de todos os dispositivos do SIS energizados e com diagnóstico interno
indicando status operacional bom;
h) verificação do correto envio e recebimento de informações a partir da interface de
operação (IHM);
i) medição dos tempos de atuação dos elementos finais;
j) confirmação da imunidade a interferência eletromagnética.
11.2.4 Os dispositivos do SIS devem ser condicionados de acordo com o Plano de Condicionamento,
o qual deve observar os requisitos da PETROBRAS N-858. Durante a execução das atividades de
condicionamento deverão ser feitos registros e elaborado relatório de condicionamento de modo a
demonstrar conformidade com os requisitos técnicos estabelecidos no projeto do SIS.
12 Pré-Operação e Aceitação Final do SIS
12.1 Pré-Operação
12.1.1 A etapa de Pré-Operação deve ser executada após a conclusão das etapas de instalação e
condicionamento. A realização completa e bem sucedida desta etapa é requisito para o início de
operação da planta ou equipamento objeto de proteção pelo SIS.
12.1.2 A etapa de pré-operação tem por objetivo validar o SIS por intermédio da realização de
simulações e testes funcionais exaustivos, abrangendo não somente a operação conjunta de todos os
dispositivos do SIS, mas também destes com os demais sistemas e/ou equipamentos interligados e
efetivamente instalados em campo.
12.1.3 Deve ser elaborado um documento intitulado Plano de Pré-Operação do SIS, contendo:
a) Lista de Atividades de Validação, incluindo todos os modos relevantes de operação do

processo ou equipamento associado ao SIS (partida, regime permanente, parada,
manutenção etc.);
b) procedimentos e técnicas a serem utilizadas;
c) cronograma de execução das atividades de validação;
d) relação de pessoas e organizações responsáveis pela execução, registro e
acompanhamento das atividades de validação;
e) relação de documentos de projeto que devem ser utilizados como padrão de referência
para validação (folhas de dados de SIF, matriz de causa e efeito, diagrama lógico etc.).
12.1.4 Recomenda-se que o Plano de Pré-Operação não imponha excessivo número de demandas
durante os testes aos elementos finais. [Prática Recomendada]
12.1.5 A Lista de Atividades de Validação deve incluir, no mínimo:
a) simulação da atuação de cada SIF, evidenciando a funcionalidade de projeto do conjunto

iniciador(es), Executor da Lógica e elemento(s) final(is), incluindo arquiteturas de
votação;
b) confirmação dos valores limite para atuação de cada SIF (“set points” de “trip”), bem
como dos valores de tempo de retardo;
c) simulação passo a passo da sequência de partida da planta ou equipamento, incluindo
os comandos de contorno e a atuação de cada SIF;
d) testes de desempenho, incluindo tempo de resposta das SIFs;
e) confirmação da correta atuação dos comandos de partida e parada manuais;
38
-PÚBLICO-
N-2595 REV. C 01 / 2011
a) confirmação da correta atuação dos comandos de contorno (“by-pass”) para

manutenção;
b) confirmação da correta atuação dos comandos de rearme;
c) confirmação da correta comunicação com a interface de operação, incluindo indicações,
alarmes gerados pelas SIFs, registro de eventos, matriz de causa e efeito animada etc.;
d) confirmação do comportamento esperado de cada SIF nos casos de ocorrência de:
medição fora de “range”, falta de energia elétrica, perda de pressurização pneumática ou
hidráulica.
12.1.6 As atividades executadas na etapa de Pré-Operação do SIS devem ser registradas em um

relatório de validação.
12.2 Aceitação Final do SIS
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de Pré-Operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
a) número do Plano de Pré-Operação do SIS utilizado;

b) versão validada do programa aplicativo;
c) ferramentas e equipamentos de teste utilizados;
d) identificação de cada SIF examinada e os resultados dos respectivos testes;
e) resultados dos testes com os demais sistemas interligados (SSC, outros SIS);
f) descrição das discrepâncias constatadas;
g) nome e assinatura dos responsáveis pela operação da planta ou equipamento.
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente se
o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de análise
bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer parte
integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
a) todas as funções de contorno foram deixadas nas respectivas posições normais de

operação;
b) todos os elementos finais (válvulas de bloqueio, contorno etc.) se encontram nas
respectivas posições de segurança;
c) todos os materiais e dispositivos de teste se encontram removidos;
d) todas as variáveis ou condições “forçadas” no programa aplicativo foram removidas.
13 Operação, Manutenção, Testes Periódicos e Modificações
13.1 Operação
13.1.1 O objetivo de 13.1 é o de estabelecer requisitos que contribuam para a operação adequada
do SIS ao longo de seu ciclo de vida.
39
-PÚBLICO-
N-2595 REV. C 01 / 2011
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de
Operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
a) Descrição funcional e detalhada de cada SIF, abordando:
— evento perigoso que a SIF se destina a proteger;

— consequências potenciais associadas ao evento perigoso;
— prováveis causas de demanda para a SIF;
— descrição do estado seguro e da atuação correta da SIF;
— valores de “set point” de alarme e “trip”;
— descrição de alarmes e apresentação das interfaces (telas, anunciadores luminosos e
sonoros etc.) associadas;
— procedimentos operacionais específicos quando da operação com a SIF em contorno.
b) descrição passo a passo da sequência de partida do processo ou equipamento

associado ao SIS, explicitando:
— comandos de contorno;
— condições de processo que devem ser satisfeitas em cada passo e respectivas SIFs
associadas;
— intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de
purga etc.);
— funções de “reset”.
c) descrição individual de cada comando de contorno, seja para partida ou manutenção,

discriminando as condições em que os mesmos devem ser utilizados;
d) descrição individual de cada comando de parada manual, identificando as possíveis
situações em que os mesmos devem ser acionados;
e) instrução sobre a necessidade de realização de Testes Periódicos nas SIFs para
manutenção de sua integridade;
f) procedimentos associados à ocorrência de alarmes de diagnóstico do SIS.
13.1.3 O Manual de Operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e procedimentos
contidos no manual de operação do SIS. O treinamento deve ser registrado de forma apropriada a
garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
NOTA Recomenda-se que o documento de registro do contorno contenha: [Prática

Recomendada]
a) descrição da SIF a ser contornada;

b) razões da indisponibilidade;
c) intervalo de tempo previsto para o contorno;
d) ações complementares de operação durante o período de contorno;
e) assinatura da autoridade competente.
13.2 Manutenção
13.2.1 O objetivo de 13.2 é estabelecer requisitos que viabilizem a manutenção da integridade e da

confiabilidade do SIS ao longo de seu ciclo de vida.
40
-PÚBLICO-
N-2595 REV. C 12 / 2010
13.2.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Plano de
Manutenção do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
a) relação de testes periódicos a serem executados, para cada SIF, abordando:
— descrição funcional da SIF;

— nível de integridade de segurança a ser mantido;
— periodicidade mínima necessária de realização;
— procedimento detalhado de execução do teste periódico.
b) relação de inspeções de rotina a serem realizadas, abordando:
— verificação de integridade física da instalação: eletrodutos e bandejas, caixas de

ligação, suportes, “tubings”, cadeados e selos em válvulas e disjuntores etc.;
— substituição programada de baterias, ventiladores etc.;
— verificação das cópias de segurança (“back-ups”) do programa aplicativo.
c) formulários de registro de manutenção para testes periódicos, inspeções de rotina e

reparos de falhas, contendo, no mínimo, as seguintes informações:
— descrição da tarefa;
— data de realização da tarefa;
— responsável(eis) pela execução e tempos empregados;
— modo de detecção da falha e descrição da ação corretiva, caso aplicável.
d) cronograma de execução de testes e inspeções periódicos;

e) descrição das ferramentas e dos equipamentos necessários;
f) relação de pessoal e organizações responsáveis pela execução dos testes periódicos,
das inspeções de rotina e dos respectivos registros.
13.2.3 É recomendado que o usuário adote uma sistemática de codificação das tarefas, falhas,
ações corretivas e atuações de modo a permitir a realização de análises estatísticas de ocorrências
do SIS. [Prática Recomendada]
13.2.4 A execução de intervenções programadas de manutenção no SIS deve seguir o Plano de

Manutenção do SIS, sendo que toda a documentação de registro de execução deve estar disponível
para consulta.
13.2.5 O Plano de Manutenção do SIS deve fazer referência e estar em conformidade com os
demais documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de
SIF, matriz de causa e efeito, diagrama lógico etc.
13.2.6 Recomenda-se que outras camadas de proteção diferentes do SIS sejam incluídas no Plano
de Manutenção do SIS, caso tenham sido consideradas na redução de riscos. [Prática
Recomendada]
13.2.7 Os responsáveis pelas atividades de manutenção do SIS devem ser submetidos a

treinamento com objetivo de serem instruídos nas informações e procedimentos contidos no
respectivo Plano de Manutenção do SIS. O treinamento deve ser registrado de forma apropriada a
garantir sua rastreabilidade.
13.2.8 O acesso ao Executor da Lógica do SIS deve ser restrito ao pessoal autorizado pelo
responsável pela manutenção. A quantidade de pessoas com autorização de acesso deve ser
limitada e controlada.
41
-PÚBLICO-
N-2595 REV. C 01 / 2011
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
a) procedimento adotado para implementações de modificações;

b) procedimento adotado de testes e verificação de sua periodicidade;
c) sistemática de registros e análises de manutenção;
d) treinamento de pessoal de manutenção;
e) integridade e atualização da documentação.
13.3 Testes Periódicos
13.3.1 O objetivo de 13.3 é estabelecer requisitos para a execução de testes periódicos no SIS, de
forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
NOTA Recomenda-se utilizar como referência a ISA TR 84.00.03. [Prática Recomendada]
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na Folhas de Dados de SIF (projeto básico) e confirmado após a etapa de
verificação do SIL (projeto de detalhamento).
13.3.4 Durante as paradas programadas de manutenção todas as SIFs, independentemente do SIL e

da existência de monitoração, devem ser testadas com fator de cobertura igual a 1.
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
a) execução de teste completo durante parada do processo ou equipamento;

b) execução de teste(s) parcial(is) durante o regime de operação do processo ou
equipamento, envolvendo os seguintes componentes: circuitos de saída, relés de
interposição, válvulas solenóide e deslocamento parcial de válvulas de bloqueio.
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
42
-PÚBLICO-
N-2595 REV. C 01 / 2011
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
a) número do procedimento de teste;

b) data de realização do teste;
c) nome da pessoa responsável pela execução do teste;
d) “tag” e número de série dos dispositivos submetidos ao teste;
e) resultado do teste “como encontrado”, incluindo descrição da falha (se houver);
f) resultado do teste “como deixado”, conforme critério de aceitação no procedimento;
g) descrição dos trabalhos realizados, incluindo as partes substituídas (se houver) e o
tempo utilizado.
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
a) possam ser verificados a qualquer tempo;

b) permitam avaliações de desempenho em longo prazo.
13.3.13 A critério da Unidade Operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
a) o evento de “trip” deve ser registrado em formulário específico, contendo no mínimo: data
e hora do evento, SIF atuada, alarmes, modo de detecção, causa identificada (variável
de processo em desvio, dispositivo(s) em falha, ação humana), ações subsequentes e
nome do responsável; o formulário de registro de “trip” deve ser arquivado no sistema de
documentação técnica da Unidade Operacional, de modo rastreável;
b) “trips” com causa desconhecida não podem ser usados como teste de SIF;
c) em um “trip” espúrio causado por falha do elemento final, nenhum dos dispositivos da
SIF pode ser considerado como testado;
d) em um “trip” espúrio causado por falha de módulo de saída do CP de segurança, apenas
o elemento final pode ser considerado como testado;
e) em um “trip” espúrio causado por falha na CPU do Executor da Lógica, apenas o módulo
de saída do CP de segurança e o elemento final podem ser considerados como
testados;
f) em um “trip” espúrio causado por falha de módulo de entrada do CP de segurança, toda
a SIF, exceto o iniciador e o módulo de entrada do CP de segurança, pode ser
considerada como testada;
g) em um “trip” espúrio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode
ser considerada como testada;
h) em um “trip” real, somente os dispositivos que comprovadamente (a partir dos registros
do evento) tenham operado corretamente podem ser considerados como testados.
13.4 Modificações
13.4.1 O objetivo de 13.4 é estabelecer requisitos de modo que modificações realizadas no SIS não
impactem a segurança da planta ou do equipamento associado.
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
a) descrição da modificação proposta;

b) razões para realização da modificação;
c) condições ou eventos perigosos relacionados.
43
-PÚBLICO-
N-2595 REV. C 12 / 2010
13.4.3 Toda modificação proposta deve ser submetida a uma análise inicial pela equipe técnica
responsável pelo SIS, de modo a se classificar a mesma como:
a) modificação tipo 1: não altera estrutura lógica, SIL ou MTTFS da(s) SIF(s) envolvida(s).
Exemplos: alterações de parâmetros de programação, tais como valores de “range”, de
“set point” de alarme ou “trip”, ou de retardos de tempo;
b) modificação tipo 2: pode alterar funcionalidade, SIL, ou MTTFS da(s) SIF(s) envolvida(s);
exemplos: acréscimo ou remoção de iniciadores ou elementos finais, alterações na
arquitetura de votação, no tipo de equipamento, ou na lógica do programa aplicativo.
13.4.4 Recomenda-se evitar: [Prática Recomendada]
a) alterações na lógica do programa aplicativo durante operação do processo ou

equipamento associado ao SIS;
b) modificações de “firmware”, exceto quando requeridas para correção de falhas
detectadas pelo fabricante.
13.4.5 Após a análise inicial, o documento de Solicitação de Modificação no SIS deve ser:
a) submetido a aprovação pelo responsável pela operação da instalação industrial;

b) arquivado de forma a viabilizar consultas durante e após o processo de modificação.
13.4.6 Caso a solicitação de modificação seja aprovada, a equipe técnica responsável deve emitir
revisão nos documentos técnicos pertinentes, incluindo os procedimentos de testes, de operação e
de manutenção. A documentação revisada deve ser identificada como “REVISÃO PROVISÓRIA
PARA MODIFICAÇÃO NO SIS” e referenciar a correspondente Solicitação de Modificação no SIS.
13.4.7 Antes da revisão dos documentos afetados por uma modificação tipo 2, deve ser feita a
revalidação da análise de riscos e da avaliação de SIL e MTTFS.
13.4.8 Antes da execução de qualquer tipo de modificação no SIS, deve ser feita a revalidação dos
testes de verificação da funcionalidade da(s) SIF(s) envolvida(s) na modificação.
13.4.9 Toda execução de modificação no SIS deve ser planejada observando os procedimentos de
autorização de acesso e de trabalho vigentes na Unidade Operacional.
13.4.10 A execução de modificações no programa aplicativo deve incluir verificações adicionais para
garantir a inexistência de alterações nas demais SIFs não envolvidas na modificação implementada.
13.4.11 Após concluídos os testes funcionais de verificação, a descrição da revisão dos documentos
técnicos afetados pela modificação deve ser mudada para “REVISADO CONFORME SOLICITAÇÃO
DE MODIFICAÇÃO NO SIS Nº...”.
44
-PÚBLICO-
N-2595 REV. C 12 / 2010
Anexo A - Determinação do Nível de Integridade de Segurança Requerido Utilizando o

Método de Gráficos de Risco
A.1 Introdução
A.1.1 Este anexo descreve o método de gráficos de risco que permite que o nível de integridade de
segurança de uma SIF seja determinado a partir do conhecimento dos fatores de risco associados ao
processo e ao sistema de controle básico de processo. Trata-se de um método semi-qualitativo, e foi
desenvolvido a partir do anexo D da IEC 61511-3:2003.
A.1.2 Nesta abordagem são usados parâmetros, que juntos descrevem a natureza da situação
perigosa que ocorre no caso da inexistência ou de falha do SIS. São utilizados quatro conjuntos de
parâmetros, e os parâmetros selecionados são combinados para se determinar o nível de integridade
de segurança da SIF. Estes parâmetros representam fatores chave para as avaliações dos riscos e
permitem uma classificação escalonada dos riscos.
A.1.3 Este anexo apresenta exemplos de gráficos de risco e de tabelas de parâmetros desenvolvidos
para atender os critérios típicos de unidades de processo. Antes de serem utilizados em qualquer
projeto é importante que sejam validados pela área responsável pela segurança da planta. Nesta
oportunidade podem ser feitos ajustes nos parâmetros a fim de adequá-los às situações específicas.
A.1.4 Neste anexo são apresentados gráficos de risco relacionados com a segurança de pessoas
nas indústrias de processo e com os aspectos de proteção ambiental e de proteção patrimonial.
A.2 Síntese do Gráfico de Risco
A.2.1 O risco é definido como uma combinação da probabilidade da ocorrência do dano e da

severidade desse dano (ver definições). Tipicamente, no setor de processo, o risco é uma função dos
seguintes quatro parâmetros:
— severidade da consequência do evento perigoso (C);

— ocupação ou grau de presença humana (probabilidade da área exposta estar ocupada)
(F);
— probabilidade de evitar a exposição ao evento perigoso (P);
— frequência de demanda (número de vezes por ano em que o evento perigoso ocorreria
na ausência da função instrumentada de segurança que está sendo considerada) (W).
45
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela A.1 - Descrições dos Parâmetros do Gráfico de Risco da Indústria de Processo
Parâmetro Descrição
Número de fatalidades e/ou de ferimentos graves
resultantes da ocorrência do evento perigoso.
Severidade da Consequência C Determinado levando-se em conta o número de pessoas
na área exposta quando a área estiver ocupada e a
vulnerabilidade ao evento perigoso.
Probabilidade que a área exposta ao perigo esteja
ocupada no momento da ocorrência do evento perigoso.
É determinado calculando-se a fração do tempo em que
área está ocupada na ocorrência do evento perigoso.
Ocupação F Deve ser considerada a possibilidade de aumento de
presença na área exposta associada à investigação de
situações anormais que podem existir antes da
ocorrência do evento perigoso. (isto deve ser considerado
também para determinação do parâmetro C).
A probabilidade de as pessoas expostas ao perigo

poderem evitar o dano devido a falha na demanda da
função instrumentada de segurança. Depende de
Probabilidade de evitar o dano P
existirem métodos independentes que alertem as
pessoas antes da ocorrência do evento perigoso e da
possibilidade de evacuação.
O número de vezes por ano que o evento perigoso
ocorreria na ausência da função instrumentada de
segurança sendo analisada. Isto pode ser determinado
Frequência de demanda W considerando todas as falhas que podem conduzir ao
evento perigoso e estimando a taxa total para a
ocorrência. Podem-se incluir outras camadas de proteção
na análise.
A.2.2 O gráfico de risco relaciona combinações específicas de parâmetros de risco e níveis de

integridade de segurança. O relacionamento entre as combinações de parâmetros do risco e de
níveis da integridade de segurança é estabelecido considerando o risco tolerável associado a perigos
específicos.
A.3 Documentação Relacionada aos Resultados da Determinação do Nível de

Integridade de Segurança (SIL)
É importante que todas as decisões tomadas durante a determinação do SIL sejam registradas em
documentos controlados. A documentação deve indicar claramente as razões pelas quais, a equipe
selecionou os parâmetros específicos associados a cada função de segurança. Os formulários que
registram o resultado e as hipóteses consideradas em cada determinação de SIL de cada função de
segurança devem ser compilados em um relatório. O relatório deve também incluir as seguintes
informações adicionais:
— o gráfico do risco usado junto com as descrições de todas as escalas dos parâmetros;
— os números e revisões de todos os desenhos usados;
— as referências às hipóteses consideradas e eventuais estudos de consequências que
foram utilizados para avaliar os parâmetros;
— as referências às falhas que conduzem às demandas e qualquer modelo da propagação
de falha usados para determinar taxas de demanda;
— as referências às fontes dos dados usados para determinar taxas de demanda.
46
-PÚBLICO-
N-2595 REV. C 12 / 2010
A.4 Uso de Gráfico de Risco Relativo a Segurança de Pessoas
A.4.1 A Tabela A.2 apresenta descrições e escalas para cada parâmetro utilizado na Figura A.1
relativo à segurança de pessoas.
W3 W2 W1
C1
--- --- ---
1 --- ---
P1
C2 P2
F1 2 1 ---
Início F2 P1
C3 P2
F1 3 2 1
F2 P1
C4 P2
F1 X 3 2
F2 P1
P2 X X 3
C = Consequência --- = Sem requisitos de segurança

F = Ocupação 1, 2, 3 = SIL
P = Probabilidade de evitar o evento perigoso
X = ver 6.4.9 desta Norma
W = Taxa de demanda
Figura A.1 - Gráfico de Risco Relativo à Segurança de Pessoas
A.4.2 O conceito de vulnerabilidade foi introduzido para modificar o parâmetro da consequência, pois
nem sempre uma falha causa imediatamente uma fatalidade. A vulnerabilidade de um receptor é uma
consideração importante na análise do risco porque a dose recebida por um indivíduo às vezes não é
grande o bastante para causar uma fatalidade. A vulnerabilidade de um receptor a uma consequência
é função da concentração do perigo a que ele foi exposto e a duração da exposição. Um exemplo
disto é quando uma falha causa a elevação da pressão em um equipamento ultrapassando a pressão
de operação, mas não atingindo a pressão de teste. O resultado provável normalmente será limitado
ao vazamento em juntas de flanges. Nesses casos, a taxa de progressão do perigo provavelmente
deve ser lenta e a equipe de operação poderá normalmente escapar das consequências. Mesmo nos
casos de vazamentos de grandes inventários de líquidos, o agravamento da situação pode ser
suficientemente lento para permitir que a equipe de operação possa evitar o dano. Há naturalmente
os casos onde uma falha pode conduzir a uma ruptura de tubulações ou vasos onde a vulnerabilidade
da equipe de operação pode ser elevada.
A.4.3 Deve ser considerada a possibilidade do aumento do número de pessoas nas proximidades
quando de evento perigoso, como consequência de verificações de sintomas que podem ocorrer
durante a formação do referido evento. Logo, deve ser considerado o pior cenário.
A.4.4 É importante ressaltar diferença entre “vulnerabilidade” (V) e “probabilidade de evitar o evento
perigoso” (P) de modo que não seja considerado duas vezes para o mesmo fator. A vulnerabilidade é
uma medida que se relaciona à velocidade de progressão depois que o perigo ocorre, enquanto o
parâmetro de P é uma medida que se relaciona com a prevenção do perigo. O parâmetro P deve ser
usado somente nos casos onde o perigo pode ser impedido por ação do operador, depois de que ele
esteja ciente que a respectiva SIF associada tenha falhado.
47
-PÚBLICO-
N-2595 REV. C 12 / 2010
A.4.5 Alguns cuidados devem ser tomados na seleção dos parâmetros de ocupação. O fator de
ocupação deve ser selecionado baseando-se na pessoa mais exposta e não na média de todos os
expostos.
A.4.6 Quando não é possível enquadrar um parâmetro nas escalas especificadas, é necessário
utilização de outros métodos de redução do risco.
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1
Parâmetro de risco Classificação Comentários
Severidade da Consequência (C) Sem lesões

C1
significativas
1) A severidade da
Deve ser calculada multiplicando a
consequência representa
vulnerabilidade ao perigo identificado pelo
o número de feridos
número de pessoas presentes na área C2 0,01 ≤ C < 0,1 graves e de fatalidades.
exposta ao perigo (C=NxV).
A vulnerabilidade é determinada pela

natureza do perigo da seguinte forma:
C3 0,1 ≤ C < 1,0
— V = 0,01 Pequena liberação de
material inflamável ou tóxico; 2) C1, C2, C3 e C4
— V = 0,1 Grande liberação de material devem ser interpretadas
inflamável ou tóxico; levando em conta também
— V = 0,5 A mesma liberação acima, as condições do
mas com probabilidade elevada de restabelecimento dos
C4 C ≥ 1,0
fogo ou de material altamente tóxico; feridos.
— V = 1 Ruptura ou explosão.
Ocupação (F)
Exposição de rara a
Este parâmetro é calculado determinando pouco frequente na
a duração proporcional do tempo no qual a zona perigosa
zona exposta ao perigo é ocupada em um F1 Ocupação menor
turno de trabalho. que 10% do tempo
(F < 0,1).
NOTA 1 Se o tempo na área perigosa for
diferente dependendo do turno
de operação o valor máximo
deve ser selecionado. Ver comentário 1 acima
NOTA 2 A utilização do parâmetro F é

Exposição de
adequada apenas se for possível
frequente a
demonstrar que a taxa de
permanente na
demanda é aleatória e que não é
F2 zona perigosa
ligada ao período durante o qual
Ocupação maior
a ocupação é superior à normal.
que 10% do tempo
Este é o caso, por exemplo, em
(F ≥ 0,1).
partidas ou durante a
investigação de anomalias.
48
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela A.2 - Descrições dos Parâmetros Utilizados na Figura A.1 (Continuação)
Parâmetro de risco Classificação Comentários
3) P1 somente deve ser

selecionado se todas as
condições seguintes forem
Adotado se todas verdadeiras:
as condições na
P1
coluna Comentários — são previstos meios
forem satisfeitas para alertar o operador
que o SIS falhou;
— são previstos meios
independentes de
parada do processo a
Probabilidade de evitar o evento perigoso fim de evitar o perigo
(P) se o sistema de proteção falhar. ou para permitir que as
pessoas sejam
evacuadas para uma
Adotado se uma ou área segura;
mais das condições — o tempo, entre o
P2 da coluna momento em que o
Comentários não operador é avisado e o
forem satisfeitas momento em que o
evento ocorre excede
1 h ou é suficiente para
empreender as ações
necessárias.
Taxa de demanda (W)

Taxa de demanda
O número de vezes por o ano que o W1 menor que 0,1 por 4) A finalidade do fator W
ano é estimar a frequência do
evento perigoso ocorreria na ausência de perigo sem a existência do
SIF sob análise. SIS.
Para determinar a taxa de demanda é Taxa de demanda
necessário considerar todas as fontes da W2 entre 0,1 e 1 por
falha que podem conduzir a um evento ano
perigoso. Na determinação da taxa de 5) Para taxas de demanda
demanda, confiabilidade limitada deve ser maiores que 10 por ano, o
creditada ao sistema de controle. O SIL tem que ser
desempenho do sistema de controle é W3 Taxa de demanda determinado por outro
limitado abaixo das escalas de entre 1 e 10 por ano método.
desempenho associadas com o SIL1.
A.5 Uso de Gráfico de Risco para Consequências Ambientais
A.5.1 O nível da integridade de segurança requerido depende das características da substância

liberada e da sensibilidade do ambiente. A Tabela A.3 mostra classes de consequências ambientais.
Durante a etapa de projeto deve-se determinar o que pode ser aceito em cada local da instalação
industrial.
49
-PÚBLICO-
N-2595 REV. C 12 / 2010
W3 W2 W1
--- --- ---
1 --- ---
E1 P1
P2
E2 2 1 ---
Início P1
E3 P2
3 2 1
P1
P2
E4 X 3 2
P1
P2 X X 3
E = Consequência ambiental
--- = Sem requisitos de segurança
P = Probabilidade de evitar o evento perigoso
1, 2, 3 = SIL
W = Taxa de demanda X = ver 6.4.9 desta Norma
Figura A.2 - Gráfico de Risco Relativo à Segurança Ambiental
A.5.2 As consequências acima devem ser usadas conjuntamente com o gráfico de risco conforme
Figura A.2. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o conceito
de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser idênticas
àquelas usadas para o gráfico de segurança pessoal.
Tabela A.3 - Consequências Ambientais Gerais
Parâmetro de risco Classificação Exemplos

Um vazamento moderado em um
Sem liberação ou liberação com danos flange ou válvula
E1 menores, mas grande o bastante para Um pequeno vazamento de líquido
ser relatado à gerência de planta Pequena poluição do solo sem
afetar o lençol freático
Uma nuvem do vapor insalubre
deslocando-se para fora da
Liberação dentro dos limites da
E2 instalação industrial após
companhia com danos significativos
rompimento de junta de flanges ou
falha de selo de compressor
Liberação para fora dos limites da
Uma liberação de vapor ou
companhia com danos significativos
Consequência aerossol, com ou sem precipitação
E3 que podem ser limpos rapidamente sem
Ambiental (E) de líquido, que causa danos
consequências duradouras
temporários à flora ou à fauna
significativas
Vazamento significativo de líquido
em um rio ou no mar;
Liberação de vapor ou de aerossol,
Liberação para fora dos limites da com ou sem precipitação de líquido,
companhia com danos significativos que causa danos duradouros à flora
E4
que não podem ser limpos rapidamente ou à fauna;
ou com consequências duradouras Liberação de sólidos (poeira,
catalisador, fuligem, cinzas);
Vazamento líquido que possa afetar
o lençol freático
50
-PÚBLICO-
N-2595 REV. C 12 / 2010
A.6 Uso de Gráfico de Risco para Consequências Materiais
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança associado a
conseqüências materiais deve levar em consideração todas as perdas econômicas decorrentes da
falha na demanda da função, incluindo custos de reparo de equipamentos e instalações, perdas de
produção, custos de limpeza e recomposição, multas contratuais, multas de órgãos governamentais
etc.
A.6.2 O gráfico de risco da Figura A.3 deve ser usado em conjunto com as classes de consequências
materiais descritas na Tabela A.4.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
L = Consequência material --- = Sem requisitos de segurança

P = Probabilidade de evitar o evento perigoso 1, 2, 3 = SIL
Figura A.3 - Gráfico de Risco para Consequências Materiais
Tabela A.4 - Classes de Consequências Materiais
Parâmetro do risco Classificação Exemplos
— produção fora de especificação;

Perdas entre
— perda de produto por abertura de PSV;
L1 US$ 100.000 e
— danos por cavitação em bombas de
US$ 1.000.000
pequeno porte.
Consequência
Material (L)
— perda de grande quantidade de produto por
abertura de PSV ou transbordamento de
reservatório;
Perdas entre
— danos por cavitação em bombas de alta
L2 US$ 1.000.000 e
rotação ou em bombas de múltiplos
US$ 10.000.000
estágios que disponham de reserva;
— danos financeiros por produção adiada,
incluindo multa por atraso na entrega.
51
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela A.4 - Classes de Consequências Materiais (Continuação)
— coqueamento de tubos de forno;

— danos por sucção de líquido ou por
bloqueio da sucção ou da descarga em
compressor de grande porte;
— danos decorrentes de grande
Perdas entre
derramamento de produto, incluindo custos
L3 US$ 10.000.000 e
de limpeza e multa por órgão de
US$ 100.000.000
fiscalização ambiental;
— reparos de baixo custo em equipamentos
essenciais que trabalhem sem reserva;
— reparos custosos em equipamentos não
Consequência essenciais ou que disponham de reserva.
Material (L)
— explosão de reator;
Perdas superiores a — ruptura de sistema pressurizado;
L4
US$ 100.000.000 — explosão de forno;
— explosão de caldeira.
A.6.3 As classes de consequências materiais apresentadas na Tabela A.4 são definidas

primariamente pelas faixas de valores monetários indicadas. Os exemplos são meramente ilustrativos
de casos que tipicamente resultam em perdas financeiras naquela faixa e podem servir como
orientação para a equipe de análise. Deve-se notar que o parâmetro F não é usado neste gráfico de
risco porque o conceito de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições
podem ser idênticas àquelas da Tabela A.2.
A.7 Determinação do Nível da Integridade da Função Instrumentada de Segurança

Quando a sua Falha Leva a Mais de Um Tipo de Consequência
Quando uma falha na demanda leva a mais de um tipo de consequência (a pessoas, ao meio
ambiente e materiais), os requisitos de integridade associados com cada um dos aspectos envolvidos
devem ser determinados em separado e o maior dentre eles deve ser o nível de integridade
especificado para a função.
52
-PÚBLICO-
N-2595 REV. C 12 / 2010
Anexo B - Análise de Camadas de Proteção (LOPA)
B.1 Introdução
B.1.1 Este anexo estabelece um procedimento padronizado para avaliação do Nível de Integridade
de Segurança (SIL) requerido para Funções Instrumentadas de Segurança (SIFs), utilizando o
método de Análise de Camadas de Proteção (LOPA) descrito no livro-conceito do AIChE CCPS.
B.1.2 Análise de Camadas de Proteção (LOPA) é um método semi-quantitativo de avaliação de

riscos, cuja finalidade primária é determinar se as medidas de proteção presentes contra um evento
indesejado são suficientes para reduzir seu risco a um nível tolerável. Isto é feito, atribuindo-se
valores numéricos às frequências das possíveis causas iniciadoras e às probabilidades médias de
falha na demanda de cada camada de proteção existente, e comparando-se o valor do risco assim
obtido com o valor pré-estipulado do risco tolerável.
B.1.3 Se o risco estimado para um cenário não for tolerável, outras camadas de proteção devem ser
adicionadas a fim de se atingir a redução de risco necessária. LOPA não define quais camadas de
proteção adicionar ou como projetá-las, mas auxilia na avaliação das medidas alternativas que
podem ser implementadas para que se alcance a redução de risco requerida.
B.1.4 LOPA não é um método de identificação de perigos ou de levantamento de cenários de

acidente. Os cenários a serem analisados com LOPA devem ser desenvolvidos durante aplicação de
HAZOP como técnica de análise de riscos de processo capaz de identificar os cenários de risco
acidental, conforme Anexo C da PETROBRAS N-2782.
B.2 Procedimento
O procedimento de aplicação da LOPA para a determinação do SIL requerido para cada SIF está
representado de forma simplificada na Figura B.1 e descrito em detalhes nas seções B.2 a B.4 deste
Anexo, as quais apresentam alguns valores numéricos tabelados para serem usados no cálculo do
SIL requerido ao final da análise.
Como regra geral, em caso de dúvida entre os valores tabelados, deve-se adotar sempre os valores
mais conservadores. Caso a equipe de LOPA decida utilizar na análise algum valor diferente
daqueles apresentados nas tabelas deste anexo, os valores efetivamente adotados devem ser
calcados em razões defensáveis e documentadas.
53
-PÚBLICO-
N-2595 REV. C 12 / 2010
Selecionar os
Início cenários a serem
avaliados (B.2.1)
Verificar a
severidade do
cenário (B.2.2)
Determinar a
frequência tolerável
(FTOL) (B.2.3)
Estimar uma
ICF para
o cenário (B.2.4)
Encontrar a EEL
para o cenário, caso
aplicável (B.2.5)
Determinar
os MF, caso
aplicáveis (B.2.6)
Identificar as IPL
(não SIF) e estimar Sim
suas PFDavg (B.2.7)
Determinar a Não
Frequência da Próximo Fim
Consequência (FC) cenário
(B.3.1)
Documentar
Sim
C
F ≤F TOL cenário
(OK) (FC) (B.3.3)
Não Sim (SIF)
Sim É possível
adicionar IPL SIL ≤ 3
(não SIF)
Não Não
Determinar Reavaliar riscos do
SIL processo. Medidas
requerido gerenciais requeridas.
Figura B.1 - Fluxo do Procedimento LOPA
54
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.1 Seleção dos Cenários para Análise
B.2.1.1 A primeira atividade da equipe de LOPA deve ser, dentre os cenários identificados na Análise
de Riscos, selecionar para avaliação todos aqueles onde haja SIF como salvaguarda ou como
recomendação.
B.2.1.2 Outros cenários podem ser avaliados a critério da equipe.
B.2.1.3 A equipe de LOPA deve registrar todos os cenários de interesse numa planilha de análise,
onde a identificação (número) e a descrição de cada cenário são herdadas do HAZOP.
B.2.1.4 Para o registro de cenários, recomenda-se a adoção de uma planilha de HAZOP estendida,
conforme Anexo C. [Prática Recomendada]
B.2.1.5 Para cenários que apresentem frequência elevada (maior que duas vezes a freqüência entre
testes de IPL) ou consequência de severidade catastrófica, recomenda-se realizar uma avaliação
quantitativa de riscos (p.ex. árvore de falhas). [Prática Recomendada]
B.2.2 Classificação da Severidade
B.2.2.1 A severidade atribuída à consequência de um cenário representa uma medida do maior

dentre os impactos a pessoas (S), meio-ambiente (E) e patrimônio (L). Cada par causa-consequência
deve ser analisado em separado e considerando esses três aspectos.
B.2.2.2 A classificação da severidade é uma atividade de análise de riscos que consiste em definir,
para cada cenário selecionado, uma categoria de severidade conforme a matriz de tolerabilidade de
riscos da PETROBRAS N-2782, assumindo falha em todas as salvaguardas.
B.2.2.3 A equipe de LOPA não deve refazer o trabalho de classificação da severidade caso este já
tenha sido feito numa análise de riscos prévia.
B.2.3 Frequência Tolerável (FTOL)
A equipe de LOPA deve encontrar na Tabela B.1 o valor da frequência tolerável para a categoria de
severidade da consequência do cenário, definida conforme B.2.2.
Tabela B.1 - Frequência Tolerável (FTOL)
Categoria de Severidade FTOL (evento/ano)

V 1x10-5
IV 1x10-4
III 1x10-3
II 1x10-2
I 1x10-1
B.2.4 Frequência da Causa Iniciadora (ICF)
B.2.4.1 A causa iniciadora corresponde ao motivo pelo qual ocorreu o desvio na variável de processo
identificado no HAZOP. Cada causa iniciadora deve ser analisada em separado, em um cenário
específico.
55
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas. Entretanto, vazamento ou falha em fechar após atuação
de PSV, bem como atuações espúrias de sistemas de proteção podem ser consideradas como
causas iniciadoras de cenários dignos de serem analisados, mas que muitas vezes são esquecidos.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
Tabela B.2 - Frequências de Causas Iniciadoras
Causa iniciadora ICF (evento/ano)

Falha de malha de controle do SSC 1 x 10-1
Falha de válvula auto-operada em serviço limpo 1 x 10-2
Falha de equipamento estático (baixa vibração) 1 x 10-2
Falha de equipamento estático (alta vibração) 1 x 10-1
Falha de equipamento dinâmico (B.2.4.5.a) 1 x 10-1
Sobrevelocidade de turbina / motor diesel com quebra da caixa 1 x 10-4
Falha de vaso de pressão 1 x 10-6
Falha de tubulação – ruptura franca 1 x 10-7 por metro
Vazamento em tubulação – 10 % seção reta 1 x 10-5 por metro
Falha de tanque atmosférico 1 x 10-3
Abertura espúria de válvula de segurança 1 x 10-2
Falha de selo de bomba 1 x 10-1
Falha de mangote de carregamento / descarregamento (baixa vibração) 1 x 10-1
Falha de mangote de carregamento / descarregamento (alta vibração) 1
Falha em sistema de água de refrigeração redundante 1 x 10-1
Ruptura de engaxetamento 1 x 10-2
Perda de fonte redundante de potência elétrica 1 x 10-1
Impacto de veículo terrestre (caminhão, escavadeira, etc.) 1 x 10-2
Queda de carga suspensa por guindaste 1 x 10-4 por içamento
Descarga elétrica atmosférica 1 x 10-3
Incêndio de pequenas proporções 1 x 10-1
Incêndio de grandes proporções 1 x 10-2
Falha do operador em executar procedimento de rotina (operador bem 1 x 10-2 por oportunidade
treinado, não estressado, não fatigado) (B.2.4.5.b)
Erro humano (tarefa não rotineira, baixo estresse) (B.2.4.5.c) 1 x 10-1 por oportunidade
Erro humano (tarefa não rotineira, alto estresse) (B.2.4.5.c) sempre
-3
Falha em procedimento de manutenção do tipo LOTO (B.2.4.5.d) 1 x 10 por oportunidade
Atuação espúria de SIF (B.2.4.7) 1 x 10-1
56
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.4.5 Regras comumente utilizadas nas causas iniciadoras da Tabela B.2
a) qualquer equipamento cujo funcionamento dependa de ou seja baseado em peças

normalmente móveis pode ser enquadrado no item “equipamentos dinâmicos”;
b) procedimentos de rotina são ações realizadas rotineiramente no campo ou na interface
de operação do SSC que, se realizadas incorretamente, podem resultar em desvios do
processo em análise;
c) tarefas não rotineiras são aquelas realizadas em situações esporádicas, como partidas e
paradas de unidades de processo, e que, se realizadas incorretamente, podem resultar
em desvios do processo em análise;
d) considerada como falha geral de um procedimento de segurança com múltiplas etapas,
batizado de LOTO ("Lockout/Tagout") e conhecido na PETROBRAS como LIBRA
(Abastecimento) ou PCEP (Transpetro); estas denominações referem-se a práticas e
procedimentos específicos para salvaguardar trabalhadores contra energização
inadvertida de equipamentos, partida inesperada de máquinas, ou liberação de
substâncias perigosas durante serviços ou atividades de manutenção; isto requer que
um indivíduo designado desligue e desconecte a máquina ou equipamento de sua(s)
fonte(s) de energia antes da execução de qualquer serviço ou manutenção e que os
trabalhadores autorizados ou tranquem com cadeado (“lock”) ou identifiquem (“tag”) o
dispositivo de isolação de energia, e verifiquem que a energia foi efetivamente isolada.
B.2.4.6 Os valores da Tabela B.2 derivam da experiência da indústria de processo, e consideram

diversos tipos de falhas de material e operacionais.
-1
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante) e válvulas de bloqueio
atuadas devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5 Condição Habilitadora (EE)
B.2.5.1 Condição Habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO
Cenário com condição habilitadora:
A purga do tambor de coque para a torre fracionadora é realizada em etapas, com

forçamento manual do “set point” de vazão para valores gradativamente maiores. Ao final do
resfriamento, o “set point” deve retornar ao valor operacional antes de se colocar o controle
em automático.
— Condição Habilitadora: “set point” da vazão de água de resfriamento deixado no maior

valor de vazão no último resfriamento realizado no tambor;
— Causa Iniciadora: Abertura indevida das válvulas manuais de isolamento da água de
resfriamento;
— Consequência: Aumento de pressão no tambor de coque pela vaporização brusca da
água injetada, com possibilidade de vazamentos em flanges e acessórios, e
possibilidade de danos ao reator.
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o Tempo
de Existência do Risco (“Time at Risk”).
57
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.5.3 Tempo de Existência do Risco (“Time at Risk”)
Determinados perigos só existem em fases específicas do processo ou durante a realização de

tarefas específicas (batelada, carregamento, descarregamento, partida, parada, variação de carga,
espera, regeneração etc.), ou em modos de operação específicos (automático, manual, remoto,
manutenção, seguimento de carga etc.). Nestes casos, a frequência da causa iniciadora pode ser
ajustada por um fator igual à probabilidade de que exista esta condição habilitadora (“Enabling Event
Likelihood - EEL”), obtida pela razão entre o tempo durante o qual existe o risco e o intervalo de tempo total
considerado na análise (normalmente 1 ano).
EEL = (Tempo de Existência do Risco) / (Tempo Total)
EXEMPLO:
EEL = 8 vezes por ano x 1h de duração = 8h/ano x 1ano/8760h = 0,000913
B.2.6 Fatores Modificadores (MF)
Em alguns cenários, é necessário que existam certas condições específicas, tais como presença de
fontes de ignição ou presença de pessoas na área afetada, para que ocorra o dano. Nestes casos, as
probabilidades associadas a estas condições podem ser usadas como fatores de ajuste do risco do
cenário.
A equipe de LOPA deve se assegurar que estes fatores não tenham sido considerados anteriormente
como condição habilitadora, nem estejam embutidos na frequência da causa iniciadora,
especialmente devido a considerações feitas na determinação do cenário durante o HAZOP, pois sua
contabilização em duplicidade poderia afetar significativamente o resultado da análise.
Vale ressaltar que no HAZOP, o efeito analisado deve considerar o pior cenário, sem levar em conta
a existência de salvaguardas, ou outros fatores atenuantes.
B.2.6.1 Probabilidade de Ignição
B.2.6.1.1 Liberações de substâncias inflamáveis nem sempre entram em ignição. A probabilidade de

que ocorra ignição depende, principalmente:
— da existência de fontes de ignição nas proximidades do vazamento;

— das propriedades intrínsecas da substância e da quantidade (volume ou massa) de
material liberado;
— da forma da dispersão (jato, poça, nuvem leve, nuvem pesada) do material inflamável no
meio em questão (atmosfera livre ou confinada, água, solo).
B.2.6.1.2 Antes de se adotar um fator modificador para representar a probabilidade de ignição,

deve-se observar as considerações feitas quanto às características relevantes da liberação de
produto inflamável e a seus possíveis desdobramentos (tocha ou jato de fogo, incêndio em poça,
incêndio em nuvem, explosão em nuvem, BLEVE) na definição do cenário durante a análise de
riscos, especialmente para não se contabilizar mais de uma vez este fator de redução.
B.2.6.1.3 As Tabelas B.3 e B.4 a seguir mostram algumas probabilidades de ignição típicas que
podem ser utilizadas como fatores modificadores. A equipe de LOPA pode adotar apenas um fator
modificador da probabilidade de ignição para cada cenário. Para tanto, deve definir qual destas duas
tabelas adotar, de acordo com o que for mais relevante no cenário em análise.
58
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela B.3 - Fatores Modificadores da Probabilidade de Ignição pela Quantidade de

Fontes de Ignição
Quantidade de fontes de ignição Fator Modificador (MF)

Nenhuma prontamente identificável (p.ex. dique de contenção,
0,1
terreno vazio)
Muito poucas (p.ex. área de tancagem) 0,2
Poucas (por exemplo:. terminal naval, rodoviário ou ferroviário) 0,5
Muitas (por exemplo: instalação industrial) 0,9 (*)
NOTA 1 (*) Instalações industriais nas quais exista estudo, aplicação e manutenção
adequada de classificação elétrica da área podem considerar uma probabilidade
de ignição igual a 0,1.
Tabela B.4 - Fatores Modificadores da Probabilidade de Ignição pelo Tipo do Material

Inflamável
Material inflamável Fator Modificador (MF)

Gás ou GLP 0,3
Líquido leve (ponto de fulgor < 38 °C) 0,2
Líquido pesado (ponto de fulgor  38 °C) 0,1
B.2.6.2 Presença de Pessoas
B.2.6.2.1 Para consequências ambientais ou comerciais, a presença de pessoas não é um fator

modificador. Entretanto, para consequências relacionadas à segurança de pessoas, pelo menos uma
pessoa deve estar presente na área onde ocorre o incidente. Podem ser usados fatores de redução
de risco relativos ao tempo em que ninguém está presente na área perigosa. Por exemplo, se ocorrer
um incêndio devido a um vazamento em selo de bomba, um operador tem de estar próximo à bomba
para sofrer ferimentos. Se o operador permanecer na área em questão apenas 30 minutos por turno,
então o uso de um fator modificador se justifica.
B.2.6.2.2 No caso do cenário ocorrer durante uma manobra operacional local ou durante uma
intervenção de manutenção, este fator de redução não pode ser usado.
Tabela B.5 - Fatores Modificadores por Presença de Pessoas
Tempo de exposição ao perigo Fator Modificador (MF)

Sempre (mais que 4 h por turno) 1,0
Frequentemente (entre 2 h e 4 h por turno) 0,5
Ocasionalmente (entre 1 h e 2 h por turno) 0,2
Raramente (menos que uma hora por turno) 0,1
B.2.6.2.3 Outros fatores modificadores como, por exemplo, a maior ou menor facilidade de se evitar o
dano não são considerados neste anexo.
B.2.7 Camadas de Proteção Independentes (IPL)
Esta seção descreve como se deve proceder para identificar as salvaguardas previstas em projeto
que podem ser consideradas camadas de proteção independentes (IPL) e determinar a redução de
risco que elas promovem.
59
-PÚBLICO-
N-2595 REV. C 12 / 2010
A identificação das IPL costuma ser a parte mais difícil deste método, sendo importante frisar que
toda IPL é uma salvaguarda, mas nem toda salvaguarda é uma IPL.
A Tabela B.6 contém alguns exemplos de salvaguardas que normalmente não são consideradas IPL.
Tabela B.6 - Salvaguardas Usualmente Não Consideradas IPL
Salvaguardas
usualmente não Comentários
consideradas IPL
Treinamento e Estes fatores podem ser levados em conta na determinação da PFDavg de
Certificação ações pelo operador, mas não são IPL por si só.
A existência de bons procedimentos pode ser considerada na
Procedimentos determinação da PFDavg de ações pelo operador, mas não é uma IPL por
si mesma.
Em todas as avaliações de perigos assume-se a perfeita execução destas
Testes e Inspeções atividades, constituindo base para os valores de ICF na Tabela B.2 e
Normais PFDavg na Tabela B.7 e na Tabela B.8. Alterar o intervalo entre testes e
inspeções pode afetar a PFDavg de certas IPL.
Em todas as avaliações de perigos assume-se a perfeita execução desta
atividade, constituindo base para os valores de ICF na Tabela B.2 e
Manutenção
PFDavg na Tabela B.7 e na Tabela B.8. Manutenção deficiente pode
aumentar a PFDavg de certas IPLs.
É uma hipótese primária que comunicações adequadas existam em uma
Comunicações instalação industrial. Comunicações deficientes podem aumentar a PFDavg
de certas IPLs.
Sinalizações não são IPLs por si mesmas. Sinalizações confusas, dúbias,
Sinalizações
mal localizadas, ignoradas, etc. podem aumentar a PFDavg de certas IPLs.
Salvaguardas, sejam IPL ou não, são vinculadas a um cenário identificado na fase de análise de
riscos com uma causa e uma consequência específicas.
A característica principal de uma camada de proteção é que ela deve ser efetiva para individualmente
prevenir a ocorrência do evento perigoso. Isto é, basta que uma única camada de proteção funcione
para que não ocorra a consequência indesejada. O termo independente significa que o desempenho
da camada de proteção não é afetado pela causa iniciadora e que não devem existir falhas que
possam desabilitar duas ou mais camadas de proteção associadas ao mesmo cenário ao mesmo
tempo. Adicionalmente, é necessário comprovar através de documentação auditável que a
salvaguarda em questão foi corretamente projetada e instalada, e que é periodicamente submetida a
teste e adequadamente mantida de forma a garantir suas efetividade, independência e PFDavg
especificada.
Resumindo, uma camada de proteção independente deve ser:
a) efetiva na prevenção da consequência de um evento potencialmente perigoso;

b) independente da causa iniciadora e dos componentes de qualquer outra IPL considerada
para o mesmo cenário;
c) auditável, através de documentos que comprovem a adequação do projeto, da
instalação, dos testes e da manutenção desta IPL às suas especificações.
Adicionalmente, a atuação espúria de uma IPL não deve levar a um novo cenário com risco maior ou
igual que aquele que a mesma visa evitar. Por exemplo, um sistema de alívio de material tóxico ou
inflamável deve ser direcionado para local seguro.
60
-PÚBLICO-
N-2595 REV. C 12 / 2010
— Risco Original = Dano Original x FC x PFDavg;

— Risco “Trip” Espúrio = Dano “Trip” Espúrio / MTTFS;
— Se (Risco “Trip” Espúrio ≥ Risco Original), então não vale a pena implementar a IPL.
O método LOPA consiste em ir adicionando camadas de proteção até que o risco assim obtido
atenda o critério de tolerabilidade adotado.
A decisão de qual(is) camada(s) de proteção adicionar dentre as alternativas possíveis pode ser
baseada numa análise comparativa dos seus custos de implantação, de operação e de manutenção
ao longo do ciclo de vida. [Prática Recomendada]
Antes de se considerar a adição de camadas de proteção, entretanto, recomenda-se que sejam

aplicadas soluções de projeto inerentemente seguras. [Prática Recomendada]
A adoção de um projeto inerentemente seguro pode efetivamente eliminar um cenário. Tal

consideração deve ser registrada na planilha de LOPA (Anexo C). Vale ressaltar que outros cenários
com a mesma consequência (porém com outras causas iniciadoras) podem continuar existindo.
Quanto ao modo de atuação, uma IPL pode ser passiva ou ativa.
IPL passiva é aquela que não necessita executar uma ação para cumprir a sua função de proteção. A
Tabela B.7 apresenta alguns exemplos de salvaguardas que podem ser consideradas IPLs passivas.
Tabela B.7 - IPL Passivas e Suas PFDavg Típicas
Probabilidade
Camada de Proteção Independente (IPL) Média de Falha na
Demanda (PFDavg)
Bacia / dique de contenção 1 x 10-2
Retentor de chama (detonação ou deflagração) 1 x 10-2
Painel de ruptura (“blowout panel”) 1 x 10-2
Linha de “overflow” (“overflow line”) direcionada para local seguro
1 x 10-2
[B.2.7.2]
Sistema de drenagem subterrâneo 1 x 10-2
Suspiro aberto (sem válvula) 1 x 10-2
Parede tipo “blast-wall” ou abrigo tipo “bunker” 1 x 10-3
Proteção passiva contra fogo (“fireproof insulation”) [B.2.7.3] 1 x 10-2
IPL ativa é aquela que necessita mudar de um determinado estado a outro em resposta à mudança
na propriedade mensurável do processo em questão. A Tabela B.8 apresenta alguns exemplos de
salvaguardas que podem ser consideradas IPL ativas.
61
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela B.8 - IPL Ativas e Suas PFDavg Típicas
Probabilidade
Demanda (PFDavg)
Função instrumentada de segurança com SIL 1 1 x 10-1
Malha de controle do SSC [B.2.7.4] 1 x 10-1
Resposta de operador a alarme [B.2.7.5] 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio [B.2.7.6] 1 x 10-2
Dois dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-3
alinhados ao processo, cada um dimensionado para atender a 100 % do
cenário [B.2.7.6]
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-1
porém mais de um precisa atuar para atender a 100 % do cenário
(exemplo: PSV estagiadas). [B.2.7.6]
Dispositivo mecânico interno de segurança independente do SIS e do SSC 1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção [B.2.7.7] (uma única não é IPL) 1
Válvula de retenção de alta confiabilidade (“high integrity backflow 1 x 10-1
prevention device”) [B.2.7.7]
Duas ou mais válvulas de retenção associadas em série [B.2.7.7] 1 x 10-1
Válvula auto-operada [B.2.7.8] 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente 1 x 10-2
[B.2.7.9]
Válvula trancada com cadeado (“locked”), listada e verificada 1 x 10-2
frequentemente [B.2.7.9]
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo [B.2.7.10] 1 x 10-1
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
B.2.7.1 Condições Gerais
a) a IPL sozinha deve ser suficiente para impedir a ocorrência do evento perigoso;
b) a falha da IPL não pode ser a causa iniciadora do cenário considerado;
c) o cenário não pode levar a IPL a falhar ou a tornar-se indisponível;
d) se a IPL for ativa, sua atuação espúria não pode levar a um novo cenário com risco
maior que o daquele que a mesma visa evitar;
e) os componentes da IPL em questão devem ser distintos e independentes dos
componentes das demais IPLs;
62
-PÚBLICO-
N-2595 REV. C 12 / 2010
f) A IPL deve estar inserida em um programa de manutenção estabelecido e auditável;

g) Recomenda-se que duas ou mais salvaguardas sujeitas a falhas de causa comum sejam
contabilizadas como uma única IPL. Especificamente, não se deve contabilizar mais de
uma salvaguarda do mesmo tipo (p.ex.: duas SIFs, duas malhas de controle, dois
alarmes etc.) para um mesmo cenário. [Prática Recomendada]
B.2.7.2 Linha de “Overflow” (“Overflow Line”)
Além das condições gerais requeridas para qualquer IPL, quaisquer válvulas na linha de overflow
devem ser administrativamente controladas para assegurar que esta IPL está disponível quando
necessária.
B.2.7.3 Revestimento Resistente a Fogo (“Fireproof Insulation”)
As condições específicas requeridas para que uma válvula (ou arranjo de válvulas) com revestimento
resistente a fogo (“Fireproof insulation”) possa ser considerada uma IPL são as seguintes:
a) o incêndio deve ser a causa iniciadora do cenário, nunca a consequência indesejada;

b) o revestimento resistente a fogo deve ser capaz de prover tempo adicional suficiente
para uma resposta adequada à situação (contenção de inventário, despressurização,
dilúvio etc.), de forma a efetivamente prevenir a consequência considerada no cenário;
c) o revestimento deve permanecer intacto quando exposto diretamente a fogo e não se
deslocar por impacto de jato d’água do sistema de combate a incêndio;
d) os demais requisitos corporativos estabelecidos na PETROBRAS N-1756 e em seus
documentos complementares para este tipo de proteção devem ser atendidos.
B.2.7.4 Malha de Controle do SSC
Recomenda-se que malhas de controle não sejam consideradas IPLs, uma vez que tal consideração
implica na adoção de procedimentos de gestão de mudanças para, por exemplo, colocação da malha
no modo manual, abertura de “by-pass” da válvula de controle etc. [Prática Recomendada]
Para poder ser considerada como uma Camada de Proteção Independente, uma malha de controle
do SSC deve atender aos seguintes requisitos:
a) a falha desta malha de controle não pode ser a causa iniciadora do cenário considerado.
b) a evolução do cenário não pode levar qualquer dos componentes da malha de controle
em questão a falhar ou a tornar-se indisponível;
c) o modo de falha na falta de energia de atuação dos elementos finais de controle deve
levar a um estado seguro;
d) os dispositivos de medição e elementos finais de controle devem ser separados e
independentes dos dispositivos das demais IPL;
e) o Executor da Lógica e a fonte de energia devem ser completamente separados e
independentes das demais IPL, ou possuir alta disponibilidade garantida por critérios de
redundância adequados;
EXEMPLO
No caso da causa iniciadora do cenário ter sido a falha em uma malha de controle
implementada no SSC alimentado por UPS, uma segunda malha pode ser considerada uma
IPL, desde que seus dispositivos de medição e elementos finais de controle sejam
separados e independentes dos dispositivos da malha que falhou, uma vez que o SSC e o
UPS possuem alta disponibilidade.
f) deve haver registro e acompanhamento da operação normal da malha de controle, de
forma análoga à execução de testes periódicos numa SIF, ou seja, a frequência e a
abrangência desses registros devem garantir a PFDavg assumida para esta IPL;
g) uma malha de controle usada como IPL deve ser identificada como crítica e sua retirada
de operação (colocação em modo manual, by-pass do elemento final de controle etc.)
deve ser coberta por procedimento de gestão de mudanças específico;
63
-PÚBLICO-
N-2595 REV. C 12 / 2010
h) deve haver um programa de manutenção estabelecido e auditável.
Recomenda-se que o fator de redução de risco atribuído a uma malha de controle não seja maior
que 10. [Prática Recomendada]
NOTA Se durante o processo de análise for levantada hipótese de aumentar a complexidade ou de

redundar sensores ou elementos finais de uma malha de controle de modo a poder
contabilizá-la como uma camada de proteção ou aumentar o seu fator de redução de risco,
então se deve considerar criar uma SIF nova ou elevar o SIL da SIF existente.
B.2.7.5 Resposta do Operador a Alarmes
Redução de risco por resposta do operador a alarmes não pode ser contabilizada mais de uma vez
para cada cenário, independentemente do número de alarmes ou de ações executadas pelo operador
em resposta a estes.
As condições específicas requeridas para que a resposta do operador a alarmes possa ser
considerada uma IPL são as seguintes:
a) a Unidade Operacional deve possuir uma sistemática de gerenciamento de alarmes que

garanta respostas adequadas aos alarmes, constituído pelo menos dos seguintes
critérios:
— o alarme deve ser específico, distinguível dentre outros alarmes possíveis e dar ao
operador uma indicação clara do problema;
— deve haver um procedimento operacional específico associado ao alarme;
— o operador deve estar treinado na resposta apropriada;
— o operador deve estar sempre presente junto a interface de operação que anuncia o
alarme;
— deve haver tempo suficiente para o operador avaliar a situação e executar a ação
corretiva.
b) a ação do operador em resposta ao alarme deve ser suficiente para evitar a

consequência indesejada;
c) nenhuma condição presente no cenário deve ser capaz de falsear o alarme; por
exemplo, num cenário de ruptura de linha de vapor, pode haver indicação falsa de nível
alto devido à formação de bolhas na fase líquida, fazendo com que o alarme de nível
baixo no gerador de vapor não acuse imediatamente o desvio;
d) um alarme usado como IPL deve ser identificado como tal e devidamente priorizado;
e) um alarme usado como IPL deve estar inserido em um programa de manutenção
estabelecido e auditável.
B.2.7.6 Dispositivo Mecânico de Alívio / Válvula de Segurança e Alívio
As seguintes condições específicas se aplicam ao uso de dispositivos mecânicos de alívio como IPL:
a) o sistema de alívio deve estar dimensionado para mitigar completamente o cenário;

b) os fluidos aliviados devem ser limpos e pouco viscosos. Se a válvula de segurança e
alívio é usada num serviço com fluidos corrosivos ou capazes de polimerizar ou gerar
depósitos, sem nenhum tipo de proteção, a válvula não deve ser considerada uma IPL.
Entretanto, se o projeto considera medidas de proteção para garantir o funcionamento da
válvula, pode-se considerar uma PFDavg de 1x10-2. Essas medidas podem incluir: o uso
de vapor de purga, instalação de discos de ruptura a montante da válvula, instalação de
duas válvulas em paralelo para permitir a inspeção e manutenção, entre outros;
c) o alívio deve ser feito para local seguro, de forma que o mesmo não cause
consequências ambientais significativas;
d) o dispositivo deve estar inserido em um programa de manutenção estabelecido e
auditável.
64
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.7.7 Válvula de Retenção
As condições específicas requeridas para que este tipo de dispositivo possa ser considerado uma IPL
são:
a) duas ou mais válvulas de retenção devem estar associadas em série;

b) uma única válvula de retenção pode ser considerada como IPL somente se este
dispositivo possuir alta confiabilidade (“high integrity backflow prevention device”);
c) o serviço deve ser limpo, não passível a entupimentos, formação de depósitos, gomas,
polimerização etc.;
d) as válvulas de retenção usadas como IPL devem ser identificadas como tal e fazer parte
de um programa de manutenção mecânica estabelecido e auditável.
NOTA Válvulas de retenção não são adequadas para aplicações onde se requeira estanqueidade
para fluxo reverso.
B.2.7.8 Válvula Auto-Operada
Válvulas auto-operadas usadas como IPL devem ser identificadas como tal e fazer parte de um
programa de manutenção mecânica estabelecido e auditável.
B.2.7.9 Válvula Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
As condições específicas necessárias para que válvulas travadas com selo (“Car-Sealed”) ou
trancadas com cadeado (“Locked”) possam ser consideradas como IPL são as seguintes:
a) os responsáveis pela operação da planta ou equipamento mantenham uma lista

atualizada de todas as válvulas travadas com selo ou trancadas com cadeado;
b) os responsáveis pela operação da planta ou equipamento conduzam inspeções
regulares para assegurar que essas válvulas encontram-se na posição apropriada e seus
selos e cadeados, íntegros.
B.2.7.10 Proteção Ativa Contra Fogo
As condições específicas necessárias para que uma Proteção Ativa Contra Fogo (por exemplo:
sistemas de detecção de incêndio comandando a atuação do sistema de dilúvio) possa ser
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários
em que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que
a mesma se destina a conter;
NOTA Um sistema de detecção de gás comandando fechamento de SDV (ou de válvulas de

isolamento de inventário), pode ser analisado de forma análoga, ou seja:
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
65
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.7.11 IPLs Mitigadoras
Normalmente, IPLs visam evitar a consequência indesejada. Entretanto, algumas camadas de

proteção, como diques de contenção, sistema de drenagem e proteção contra fogo, podem ser
consideradas IPLs mitigadoras quando visam reduzir a severidade da consequência de um evento,
seja limitando a sua intensidade, restringindo a extensão da área afetada, ou impedindo efeitos
secundários (por exemplo: BLEVE).
De um modo geral, a existência de uma camada de proteção mitigadora leva a dois cenários
inteiramente novos, os quais devem ser analisados separadamente.
Severidade original (S0)

Falha x
(PFDavg) Frequência reduzida (FC0 x PFDavg)
Cenário original Camada

S0 x FC0 mitigadora
Sucesso Severidade mitigada (S1 < S0)

(1 - PFDavg) x
Frequência original (FC0 x (1-PFDavg))
Figura B.2 - Camada de Proteção Mitigadora
De forma simplificada, recomenda-se adotar a seguinte ordem para a inclusão de camadas de

proteção: [Prática Recomendada]
a) projeto inerentemente seguro;

b) IPLs preventivas passivas (P);
c) IPLs preventivas ativas (A) não SIF;
d) SIFs;
e) IPLs mitigadoras.
B.3 Conclusão da Análise
B.3.1 Risco Residual do Cenário Sem Considerar SIF
B.3.1.1 O risco residual do cenário sem considerar SIFs pode ser expresso de forma simplificada pela
Frequência da Consequência (FC), a qual é dada pelo produto dos valores numéricos determinados nos
passos B.2.4 a B.2.7, sem creditar nenhuma redução de risco a SIFs:
F C  ICF  EEL  iMFi   jIPL j

Onde:
FC = Frequência da Consequência;
ICF = Frequência da Causa Iniciadora;
EEL = Probabilidade da Condição Habilitadora;

MFi = i-ésimo Fator Modificador;
IPLj = PFDavg da j-ésima IPL (não SIF) associada à Causa Iniciadora.
66
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.3.1.2 Se FC for menor ou igual a FTOL, então as camadas de proteção existentes são suficientes.
B.3.1.3 Se FC for maior que FTOL, então são necessárias camadas de proteção adicionais para
reduzir o risco residual do cenário a um nível tolerável.
NOTA Caso FC indique mais de uma demanda da SIF por ano ou duas ou mais demandas a cada
intervalo entre testes, é apropriado considerar que esta SIF irá operar em modo contínuo e,
portanto, possui SIL correlacionado, não com uma PFDavg, mas sim com a frequência de
falhas perigosas por hora, onde, SIL 1 equivale a uma frequência entre 10-6/hora e
10-5/hora, e assim por diante.
B.3.2 Determinação do SIL Requerido para a SIF
B.3.2.1 Depois de esgotadas todas as possibilidades de adotar soluções de projeto inerentemente

seguras e de adicionar camadas de proteção não SIF, o Nível de Integridade de Segurança (SIL)
requerido para a Função Instrumentada de Segurança (SIF) prevista no projeto, ou recomendada
para o cenário, pode ser determinado pelo Fator de Redução de Risco (RRF) necessário para reduzir
FC a um valor menor ou igual a FTOL.
Tabela B.9 - SIL Requerido para a SIF
Fator de Redução de Risco (RRF) requerido SIL requerido

10 1
100 2
1.000 3
B.3.2.2 Caso o RRF requerido seja maior que 1 000, deve-se reavaliar os riscos do processo e as
bases de projeto, possivelmente requerendo envolvimento gerencial.
B.3.2.3 Recomenda-se avaliar a possibilidade de se substituir uma SIF demandada por muitos
cenários por outras SIFs baseadas em variáveis de processo mais diretamente relacionadas ao
desvio de cada cenário. [Prática Recomendada]
EXEMPLO
Num cenário onde a falha no controle de nível do vaso a montante de uma torre
fracionadora pode levar a descarga de gás de um componente de processo através de uma
saída de líquido (“gas blow-by”) e, consequentemente, a pressão excessiva na torre, uma
SIF iniciada por um PSHH poderia ser substituída por outra que, em caso de nível muito
baixo (LSLL) no vaso, cortasse a alimentação para a torre.
B.3.2.4 Uma SIF deve atender o maior SIL requerido dentre os cenários pelos quais é demandada.
B.3.3 Documentação
B.3.3.1 Os resultados da LOPA devem ser claramente documentados na forma de um relatório, o

qual deve ser anexado a ou fazer parte integrante do relatório do HAZOP.
B.3.3.2 Recomenda-se o uso de uma planilha padronizada, conforme modelo Anexo C. [Prática
Recomendada]
67
-PÚBLICO-
N-2595 REV. C 12 / 2010
NOTA Por facilidade de cálculo, no Anexo C utiliza-se o intervalo de tempo MTTF em lugar da
frequência ICF e o fator de redução de risco (RRF) em lugar da probabilidade média de
falha na demanda (PFDavg), de tal sorte que todas as potências de dez possuem expoentes
positivos.
B.3.3.3 Caso a FTOL tenha sido satisfeita sem a necessidade de uma SIF, deve-se registrar que a
função automática prevista no projeto ou recomendada pelo HAZOP não é crítica para a segurança e
deve ser executada pelo SSC.
B.3.3.4 Além do simples preenchimento dos campos da planilha com as informações padronizadas
sobre a equipe e o cenário, os dados obtidos do HAZOP e os resultados dos cálculos, deve-se
destacar as recomendações da LOPA para uma revisão objetiva do projeto, adicionando, modificando
ou eliminando salvaguardas existentes ou projetadas, em função da sua efetividade verificada
durante o processo de análise para se prevenir ou mitigar efeitos indesejados. Devem ser registradas
também as questões que precisam ser mais detalhadas ou discutidas em outros fóruns, bem como as
ações a serem tomadas e os pontos de melhoria contínua deste procedimento.
B.4 Gerenciamento de Resultados
B.4.1 Auditoria
B.4.1.1 A informação contida na documentação da LOPA diz respeito à segurança do processo e,

como tal, deve ser mantida por toda a vida da planta ou equipamento.
B.4.1.2 As recomendações da LOPA devem ser incluídas numa sistemática de rastreamento de

recomendações da instalação industrial, a qual permita analisar a viabilidade de implementá-las e
documentar adequadamente estas implementações ou a decisão de não fazê-las, com a respectiva
justificativa.
B.4.1.3 Todas as IPL devem ser auditáveis e, para tanto, recomenda-se incluí-las no Plano de
Manutenção do SIS. [Prática Recomendada]
B.4.2 Revalidação
Sempre que houver alguma mudança que se reflita em revisão do HAZOP existente ou em um novo
HAZOP, deve-se avaliar se as considerações feitas na análise anterior continuam válidas e, em caso
negativo, revisar os resultados da LOPA que foram afetados.
68
-PÚBLICO-
ÍNDICE DE REVISÃO DE FOLHAS DESENHOS DE REFERÊNCIA
FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV. FOL. REV.
REV. DESCRIÇÃO ABREVIATURAS
NOTAS:
o
N
ORIGINAL REV. A REV. B REV. C REV. D REV. E REV. F REV. G REV. H REV. J REV. K
CLIENTE OU USUÁRIO: FOLHA
DATA de
PROJETO PROGRAMA OU PROJETO:
EXECUÇÃO ÁREA OU UNIDADE:
VERIFICAÇÃO TÍTULO:
APROVAÇÃO
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO C - FOLHA 01/02. AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
-PÚBLICO-
Nó Causa Iniciadora Consequência Salvaguardas Recomendações
Severidade da Número
Fatores Modificadores Aplicáveis RRF Requerido Risco Residual o
Consequência Tipo RRF N Observações do
Desvio Descrição MTTF EEL Descrição Descrição IPL RRF Descrição Cenário
Prob. de Presença Outros (P/A) Total Rec
S E L S E L S E L
Ignição de Pessoas (Especificar)
NOTA Sobre a nomenclatura:

ÁREA:
— S: relacionada aos aspectos de saúde e integridade física das pessoas expostas ao risco;
— E: relacionada aos aspectos de impacto ao meio ambiente; TÍTULO:
— L: relacionada aos aspectos danos a instalações físicas e/ou faturamento da empresa;
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO D - FOLHA 02/02. AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
-PÚBLICO-
Nº
FOLHA DE DADOS
CLIENTE: FOLHA
de
PROGRAMA:
ÁREA:
TÍTULO:
ESPECIFICAÇÃO DE SIF
ÍNDICE DE REVISÕES
REV. DESCRIÇÃO E/OU FOLHAS ATINGIDAS
REV. 0 REV. A REV. B REV. C REV. D REV. E REV. F REV. G REV. H

DATA
PROJETO
EXECUÇÃO
VERIFICAÇÃO
APROVAÇÃO
AS INFORMAÇÕES DESTE DOCUMENTO SÃO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAÇÃO FORA DA SUA FINALIDADE.
FORMULÁRIO PERTENCENTE À PETROBRAS N-2595 REV. C ANEXO D - FOLHA 01/04.
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
"Tag": Relatório de Análise de Riscos:
Matriz de Causa e Efeito:
Descrição da SIF:
Evento Perigoso a ser Evitado:
Causas de Demanda:
Consequências de Falha na Demanda:
Consequências de "Trip" Espúrio: Custo do "Trip" Espúrio (US$):
Especificação Funcional
Modo de Detecção
"Tag" Descrição dos Iniciadores Valor de "Trip"
Atuação (HH ou LL)
Modo de
"Tag" Descrição dos Elementos Finais Estado Seguro
Atuação
"Trip" Manual: Sim ( ) Não ( )
"Tag" Descrição Tipo Localização
Relação Funcional entre Iniciadores e Elementos Finais:
Descrição do Estado Seguro a ser Atingido ou Mantido:
Ações de Segurança:
Ações Secundárias:
Tempo de Resposta Máximo Admissível (segundos):
Tempo de Retardo (segundos):
Descrição:
Combinação Sim ( )
Perigosa de
Elementos Finais: Não ( )
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
Aplicação de Gráficos de Risco
Frequência de Demanda ( ) W1 ( ) W2 ( ) W3
Consequências a Pessoas C: F: P:
Danos ao Meio Ambiente E: P:

Perdas Materiais L: P:
Aplicação de LOPA
Desvio:
Causa Iniciadora MTTF Evento Habilitador EEL Consequências S E L Fatores Modificadores Salvaguardas P/A IPL RRF
Cenário:
Frequência Tolerável: RRF total: RRF requerido:
Cenário:
Cenário:
Cenário:
Observações:
Resultados da Avaliação
SIL Requerido:
MTTFS Mínimo Aceitável (anos):
Requisitos de Implementação
Contorno Sim ( ) Descrição:
("By-Pass") para
Manutenção Não ( ) Cuidados Adicionais:
Contorno Sim ( ) Descrição:
("By-Pass") para
Início de Operação Não ( ) Cuidados Adicionais:
Rearme ("Reset") Sim ( ) Descrição:

no Campo Não ( ) Cuidados Adicionais:
MTTR:
Intervalo de Tempo Entre Testes Periódicos:
Requisitos Legais Aplicáveis:
Observações:
NOTAS:
-PÚBLICO-
Nº REV.
FOLHA DE DADOS
FOLHA
de
TÍTULO:
INSTRUÇÕES DE PREECHIMENTO
Informações Gerais
Cada SIF deve possuir um identificador único (Tag) constituído pelo número da unidade seguido de um número sequencial.
Exemplo: SIF-2212001 (unidade 2212, sequencial 001)
Relatório de Análise de Riscos: número do documento relativo à SIF.
Matriz de Causa e Efeito: número do documento relativo à SIF.
- Descrição da SIF: descrição suscinta da função, contendo desvio e ação. Exemplo: pressão alta de gás combustível bloqueia gás para forno F-501.
- Evento Perigoso a ser evitado considerado na análise de riscos. Exemplo: formação de mistura explosiva na câmara de combustão.
- Causas de Demanda consideradas na análise de riscos. Exemplos: falha na malha de controle de pressão gás combustível, desequilíbrio de processo, etc.
- Conseqüências de Falha na Demanda: possíveis danos e impactos causados pelo evento perigoso considerados na análise de riscos. Exemplos: Apagamento de chama com formação de mistura
explosiva e possibilidade de explosão da câmara de combustão, seguida de incêndio, ferimento/morte de até uma pessoa, perda de produção na ordem de 200 KUS$, danos às instalações na ordem
de 2 MUS$.
- Conseqüências de Trip espúrio. Exemplos: perda de produção, possibilidade de coqueamento de tubos, danos a materiais refratários, etc.
Custo do Trip Espúrio (US$): conforme item 6.5.
Especificação Funcional
Tag: identificadores dos iniciadores e elementos finais, conforme fluxogramas de engenharia e matriz de causa e efeito. Exemplos: PIT-2212101A, PIT-2212101B, XV-2212190A, XV-2212190B e XV-
2212190C.
Descrição: serviços dos iniciadores e elementos finais, conforme lista de instrumentos e folhas de dados. Exemplos: transmissores de pressão no header de gás combustível, válvulas de bloqueio de
gás combustível para o forno, válvulas de suspiro intermediário de gás combustível.
Modo de atuação: desenergiza para trip ou energiza para trip.

Detecção (HH ou LL): sentido de variação da variável de processo que demanda a atuação da SIF.
Valor de Trip: valor da variável de processo que demanda a atuação da SIF, conforme o indicado nas respectivas folhas de dados dos iniciadores.
Estado Seguro: posição de segurança do elemento final. Exemplos: válvula de bloqueio fechada, válvula de suspiro aberta para local seguro.
"Trip" Manual: descrição suscinta da forma de implementação. Exemplo: Tag: HS-2212150; Descrição: botoeira eletromecânica com contato duplo (em série) normalmente fechado; Tipo: puxa para
acionar com proteção contra acionamento indevido; Localização: painel local do F-501.
Relação Funcional entre Iniciadores e Elementos Finais: descrição, através de texto ou desenho, da relação lógica entre o(s) iniciador(es) (pode incluir "trip" manual) e o(s) elemento(s) final(is) que
compõe a SIF e das arquiteturas de votação de sensores e elementos finais. Exemplo: Partindo-se do estado normal de operação, caso ocorra falta de chama em mais de 50% dos queimadores ou
ocorra baixa pressão de gás combustível, deve ser bloqueada a admissão de gás para os queimadores e aberto suspiro intermediário para local seguro.
Descrição do Estado Seguro a ser Atingido ou Mantido: caracterização do sucesso da atuação da SIF. Exemplo: gás combustível bloqueado para forno e suspiro intermediário aberto para local
seguro.
Ações de Segurança: ações desempenhadas pela SIF para atingir ou manter o estado seguro. Exemplo: desenergizar bobinas das válvulas solenóides que despresssurizam os atuadores
pneumáticos das XV-2212190A e XV-2212190C.
Ações Secundárias: ações desencadeadas pela atuação da SIF não diretamente relacionadas com o atingimento ou manutenção do estado seguro, com objetivo de auxiliar a operação. Exemplo:
após trip do forno, admissão de vapor de abafamento e abertura do damper da chaminé para facilitar a purga da câmara de combustão.
Tempo de resposta máximo admissível (segundos): maior tempo de resposta da SIF (ver definição) sem que haja comprometimento das ações de segurança.
Tempo de retardo (segundos): valor do tempo de retardo (ver definição) a ser aplicado, caso necessário.
Combinação Perigosa de Elementos Finais: no caso de haver mais de um elemento final, se existe alguma condição perigosa decorrente de falha de sua atuação conjunta. Exemplo: Não fechamento
do primeiro bloqueio (XV-2212190A) quando da abertura do suspiro intermediário (XV-2212190B), causando nuvem de gás combustível na área externa próxima ao forno.
Aplicação de Gráficos de Risco
Demanda: frequência de demanda da SIF assumida na aplicação dos gráficos de risco

Segurança Pessoal: classes de severidade da consequência a pessoas (C), de ocupação (F) e da probabilidade de evitar o dano (P) assumidas na aplicação dos gráficos de risco
Perda Material: classes de severidade da consequência material (L) e da probabilidade de evitar o dano (P) assumidas na aplicação dos gráficos de risco
Meio Ambiente: classes de severidade da consequência ambiental (E) e da probabilidade de evitar o dano (P) assumidas na aplicação dos gráficos de risco
Aplicação de LOPA
Desvio: desvio da variável de processo que demanda atuação da SIF, conforme relatório de HAZOP+LOPA
Cenário: números dos cenários nos quais a SIF é IPL, conforme relatório de HAZOP+LOPA
Causa Iniciadora: falha de equipamento, ação humana, ou evento externo que provoca o desvio, com respectivo MTTF (tempo esperado para ocorrer a causa iniciadora);
Evento Habilitador: descrição do evento habilitador, caso aplicável, com respectiva EEL (probabilidade de ocorrer o evento habilitador);
Consequências: possíveis impactos do cenário, com respectivas categorias de severidade para pessoas (S), meio ambiente (E) e patrimônio (L);
Fatores Modificadores considerados na análise, com valores e justificativas para adoção;
Salvaguardas consideradas para o cenário no relatório de HAZOP+LOPA e, para cada uma: se Passiva (P) ou Ativa (A); se é IPL ou não; e, caso IPL, qual o seu RRF;
Frequência Tolerável para a consequência de maior severidade no cenário considerado.
RRF total: redução de risco total obtida com todas as IPLs consideradas para o cenário, exceto a SIF.
RRF requerido: redução de risco pela SIF, que satisfaz a Frequência Tolerável para o cenário.
Resultados da Avaliação
SIL Requerido: resultado da aplicação dos gráficos de risco ou de LOPA

MTTFS Mínimo Aceitável (anos): conforme item 6.5
Requisitos de Implementação
Contorno (“by-pass”) para Manutenção: se é necessário ou não. Caso necessário, descrever a forma de implementação.
Cuidados Adicionais: condição especial ou procedimento específico a ser observado, caso aplicável.
Contorno (“by-pass”) para Início de Operação: se é necessário ou não. Caso necessário, descrever a forma de implementação.
Rearme (“reset”) no campo: se é necessário ou não. Caso necessário, descrever a forma de implementação.
MTTR: valor considerado nos cálculos de confiabilidade da SIF.

Intervalo de Tempo entre Testes Periódicos: intervalo de tempo considerado nos cálculos de confiabilidade da SIF para manutenção do SIL requerido.
Requisitos legais aplicáveis: Exemplos: NR-13, NR-10, legislação ambiental, etc.
Observações: Observações de caráter geral sobre a SIF.
NOTAS: Notas aplicáveis, numeradas e referenciadas ao longo da folha de dados da SIF.

-PÚBLICO-
N-2595 REV. C 12 / 2010
ÍNDICE DE REVISÕES
REV. A
Partes Atingidas Descrição da Alteração
1 Revisados e renumerados
2 Revisado
3 Revisado
4 ao 4.2.9 Revisados e renumerados
4.30 Excluído
5 ao 5.1 Revisados e renumerados
5.1.1 Revisado e renumerado
5.1.2 ao 5.7.3 Incluídos
6.1.7 ao 6.1.11 Incluídos
6.2 ao 6.24 Revisados e renumerados
6.2.5 ao 6.2.6 Excluídos
6.3 ao 6.30.10 Revisados e renumerados
6.3.11 e 6.3.12 Incluídos
6.4.8.1 ao 6.4.8.5 Excluídos
6.4.9 ao 6.4.11 Revisados e renumerados
6.4.12 e 6.4.13 Incluídos
6.6 ao 6.11 Incluídos
7.1.6 Excluído
IR 2/2
-PÚBLICO-
N-2595 REV. C 12 / 2010
REV. A
8 e 8.1 Revisados e renumerados
8.2 Revisado e renumerado
8.3.1 e 8.3.2 Excluídos
8.4.1 e 8.4.2 Excluídos
8.5.2.1 ao 8.5.2.3 Excluídos
8.5.4 ao 8.8 Incluídos
9 ao 9.7 Excluídos
Anexo A Revisado
REV. B
5.3 Revisado
5.4.5.4 Revisado
5.5.1 Revisado
5.6.6 Revisado
6.5.4 Revisado
6.5.5 Revisado
6.5.9 Revisado
7.4.3 Revisado
Anexo A Revisado
REV. C
Todas Revisão
IR 2/2
-PÚBLICO-
N-2595 REV. C 12 / 2010
1 Escopo
1.1 Esta Norma tem por objetivo fornecer diretrizes e fixar as condições mínimas exigíveis para
projeto, operação e manutenção de Sistemas Instrumentados de Segurança - SIS nas
instalações terrestres da PETROBRAS.
1.2 Esta Norma contém Requisitos Técnicos e Práticas Recomendadas e fixa condições exigíveis
para projetos iniciados a partir da data de sua edição.
1.3 Sistemas de detecção de fogo e gás não são tratados nesta norma.
1.4 Qualquer função com acionamento exclusivamente manual não se enquadra nos Sistemas
Instrumentados de Segurança. Por exemplo: isolamento e despressurização de inventários.
2 Referências Normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para

referências datadas, aplicam-se somente as edições citadas. Para referências não datadas,
aplicam-se as edições mais recentes dos referidos documentos (incluindo emendas).
PETROBRAS N-329 - Bateria de Acumuladores;
PETROBRAS N-332 - Retificador para Uso Industrial;
PETROBRAS N-858 - Construção, Montagem e Condicionamento de Instrumentação;
PETROBRAS N-1219 - Cores;
PETROBRAS N-1756 - Projeto e Aplicação de Proteção Contra Fogo em Instalações

Terrestres;
PETROBRAS N-1883 - Apresentação de Projetos de Instrumentação / Automação;
PETROBRAS N-2782 - Técnicas Aplicáveis à Análise de Riscos Industriais;
ISA TR 84.00.02 Part 2:2002 - Safety Instrumented Functions (SIF) - Safety Integrity Level
(SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations;
ISA TR 84.00.03 - Guidance for Testing of Process Sector Safety Instrumented Functions
(SIF) Implemented as or Within Safety Instrumented System (SIS);
ISA 91.00.01 - Identification of Emergency Shutdown Systems and Controls that are Critical
to Maintaining Safety in Process Industries;
ISA TR 96.05.01 - Partial Stroke Testing of Automated Block Valves;
API RP 554 - Process Instrumentation and Control - First Edition 1995
IEC 61131-3 - Programmable Controllers, Part 3: Programming Languages;

Safety-Related Systems - Part 1: General Requirements;

Safety-Related Systems - Part 2: Requirements for Electrical/Electronic/Programmable
Electronic Safety-Related Systems;

Safety-Related Systems - Part 3: Software Requirements;
4
-PÚBLICO-
N-2595 REV. C 12 / 2010

Safety-Related Systems - Part 4: Definitions And Abbreviations;
IEC 61511-1:2003 - Functional Safety - Safety Instrumented Systems for the Process
Industry Sector - Part 1: Framework, Definitions, System, Hardware and Software
Requirements;
IEC 61511-3 - Functional Safety - Safety Instrumented Systems for the Process Industry
Sector - Part 3: Guidance for the Determination of the Required Safety Integrity Levels;
IEC 62337 - Commissioning of Electrical, Instrumentation and Control Systems in the

Process Industry - Specific Phases and Milestones;
IEC 62381 - Automation Systems in the Process Industry - Factory Acceptance Test (FAT),
Site Acceptance Test (SAT) and Site Integration Test (SIT).
3 Termos e Definições
Para os efeitos deste documento aplicam-se os seguintes termos e definições.
3.1
análise de camadas de proteção (“Layers of Protection Analysis - LOPA”)
técnica de avaliação semi-quantitativa da redução de riscos de processo obtida com a utilização de
camadas de proteção
3.2
análise de riscos de processo (“Process Hazard Analysis - PHA”)
esforço sistematizado e organizado utilizando uma ou mais das técnicas listadas na
PETROBRAS N-2782 (APR, HAZOP etc.) para identificar e avaliar a relevância dos perigos
potenciais associados ao processamento ou ao manuseio de produtos perigosos com foco em
equipamentos, instrumentação, utilidades, ações humanas, e condições externas que podem afetar o
processo
3.3
camada de proteção (“protection layer”)
recurso especificamente adotado, projetado ou elaborado para reduzir o risco associado a um ou
mais cenários
NOTA 1 O recurso adotado pode ser uma técnica de engenharia de processo tal como
dimensionamento de vaso contendo produto perigoso, um equipamento mecânico tal como
válvula de segurança, uma Função Instrumentada de Segurança ou mesmo um
procedimento administrativo tal como plano de emergência para situações de perigo
iminente.
NOTA 2 Uma camada de proteção pode ser preventiva, quando visa reduzir a frequência esperada
de ocorrência do evento perigoso, ou mitigadora, quando visa reduzir a severidade do dano
associado ao evento perigoso.
NOTA 3 Uma camada de proteção pode ser passiva (quando não necessita executar uma ação para
cumprir a sua função de proteção) ou ativa (quando necessita mudar de um determinado
estado a outro em resposta a uma mudança na propriedade mensurável do processo em
questão). No segundo caso, sua atuação pode ser automática ou iniciada por ação humana.
3.4
camada de proteção independente (“Independent Protection Layer - IPL”)
camada de proteção que mantém sua função preventiva ou mitigatória de forma autônoma, sem levar
em consideração a causa iniciadora ou a ação de qualquer outra camada de proteção associada ao
cenário
5
-PÚBLICO-
N-2595 REV. C 01 / 2011
tomando-se por base, além das políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, também legislação e regulamentações, normas e referências internacionais, informações de
companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade
local.
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP.




(PSV, TOCHA, etc.)


PROCESSO
15
-PÚBLICO-
N-2595 REV. C 12 / 2010
a) Gráficos de Risco (Anexo A): método qualitativo, de aplicação mais simples e mais
imediata, e que, portanto, normalmente conduz a resultados mais conservadores, com
SILs mais elevados e maior número de SIFs;
b) LOPA (Anexo B): método semi-quantitativo que leva em conta reduções de risco por
outras camadas de proteção diferentes do SIS, permitindo avaliações mais consistentes
dos cenários e produzindo uma documentação mais completa.
6.4.6 Deve-se levar em conta para a escolha do método de avaliação mais adequado: complexidade
do processo, natureza e severidade dos riscos, disponibilidade de informações sobre os cenários de
risco, capacitação e experiência das pessoas disponíveis para o trabalho de avaliação.
6.4.7 Recomenda-se a aplicação do método LOPA. [Prática Recomendada]
6.4.8 Uma vez determinado o nível de integridade de segurança requerido, este SIL deve ser
registrado na Folha de Dados da respectiva SIF.
6.4.9 Caso o resultado da avaliação de uma SIF indique um RRF requerido maior que 10 000, devem
ser aplicados outros meios de redução de risco, de modo que a SIF venha a ter seu nível de
integridade de segurança requerido abaixo de SIL 4.
6.4.10 Caso o resultado da avaliação de uma SIF indique um RRF requerido menor que 10, a função
deverá ser implementada no SSC como uma função automática não integrante do SIS.
6.5 Avaliação da Frequência de “Trips” Espúrios Aceitável para uma SIF
6.5.1 Visando não comprometer a disponibilidade da planta ou equipamento, objeto de proteção pela
SIF, deve ser estipulado um valor mínimo, tido como aceitável na aplicação, para o tempo médio para
a SIF falhar no modo seguro (MTTFS), relacionado com “trips” espúrios.
6.5.2 A instalação industrial deve possuir um critério para determinação do valor aceitável de
MTTFS. Duas alternativas possíveis são apresentadas em 6.5.2.1 e 6.5.2.2.
6.5.2.1 Indisponibilidade
O tempo de indisponibilidade devido a “trips” espúrios do SIS deve ser desprezível (menor que 1/10)
em relação ao tempo total de indisponibilidade (paradas e reduções de carga não programadas) da
planta ao longo de um dado período de tempo. Exemplo: numa unidade de processo na qual sejam
historicamente observados 100 dias de indisponibilidade a cada campanha de 5 anos, o SIS como
um todo não poderia ser responsável por mais que 10 dias parados a cada campanha, ou 2 dias por
ano. Supondo que este SIS possua 20 SIFs, cujos “trips” espúrios resultam, em média, em 12 h de
unidade parada por “trip”, teríamos o limite de 1 “trip” espúrio a cada 5 anos por SIF, ou um MTTFS
de 5 anos para cada SIF.
6.5.2.2 Custo do “Trip” Espúrio
O custo do “trip” espúrio deve levar em conta, além da perda de produção (lucro cessante), também
os custos associados a outras possíveis consequências relacionadas com a parada imprevista e com
a partida subsequente da planta, tais como: danos a equipamentos (quebra de refratários,
coqueamento de tubos, etc.), penalizações contratuais por interrupção da produção, danos
ambientais (alívio excessivo para a tocha, ruído de abertura de válvulas de segurança), danos à
imagem da companhia etc.
21
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.4.3 Devem ser observados os requisitos estabelecidos na PETROBRAS N-329 para o projeto de
baterias de acumuladores e na PETROBRAS N-332 para o projeto dos carregadores.
7.4.4 Os módulos de alimentação elétrica do Executor da Lógica, bem como as fontes de

alimentação para os iniciadores e elementos finais devem ser redundantes.
7.4.5 Recomenda-se que os módulos de alimentação elétrica do Executor da Lógica, bem como as
fontes de alimentação para os iniciadores e elementos finais disponham de entradas independentes
de alimentação elétrica, sendo cada uma alimentada por um PCC distinto. [Prática Recomendada]
7.5 Comunicação entre Dispositivos de Campo e Executor da Lógica
7.5.1 Não é permitida utilização de protocolos de comunicação digital para transmissão de sinais de
processo em funções de segurança.
7.5.2 O uso de protocolo de comunicação digital HART é permitido somente para fins de diagnóstico,
devendo ser inibida a funcionalidade de configuração remota.
7.5.3 Recomenda-se não utilizar painéis de rearranjo, barreiras de segurança intrínseca, isoladores,
conversores de sinal, ou outros elementos entre dispositivos de campo e Executor da Lógica.
NOTA No caso de circuitos de acionamento de máquinas elétricas (motores) considera-se o relé

de interposição como parte integrante do elemento final.
7.5.4 Caso a aplicação de barreiras de segurança intrínseca e/ou de isoladores de sinal se fizer
necessária, tais elementos devem ser:
a) instalados no mesmo painel que o Executor da Lógica, e não distribuídos em outros

locais/paineis;
b) alimentados pelas fontes localizadas no painel do Executor da Lógica.
7.6 Iniciadores
7.6.1 Devem ser implementados por transmissores operando no modo analógico na faixa de
4 mA a 20 mA, energizados diretamente pelo painel do respectivo Executor da Lógica do SIS.
7.6.2 Nos casos em que o uso de transmissores como iniciadores não seja tecnicamente viável (por
exemplo: chaves de indicação de posição), os respectivos contatos utilizados para acionamento da
SIF devem ser mantidos fechados e energizados quando da condição normal de operação da planta
ou equipamento.
7.6.3 Visando minimizar a ocorrência de “trips” espúrios, recomenda-se que o diagnóstico interno dos
transmissores redundantes seja configurado de modo a, em caso de falha, conduzir o sinal de saída
para os seguintes valores: [Prática Recomendada]
a) abaixo de 3,6 mA (sub-range) para os casos onde a atuação de “trip” ocorra no sentido
do aumento do sinal de saída do transmissor;
b) acima de 21 mA (sobre-range) para os casos onde a atuação de “trip” ocorra no sentido
da diminuição do sinal de saída do transmissor.
NOTA No caso de não haver tolerância a falha (1 de 1), deve-se usar a mesma abordagem
adotada com relação a contorno para manutenção (ver 7.11.3.4).
24
-PÚBLICO-
N-2595 REV. C 12 / 2010


7.8.8 Os módulos de entrada do CP de segurança devem dispor de recursos para detecção de sinal
quando fora da faixa normal de trabalho de 4 mA a 20 mA.
fica condicionada a certificação do nível de integridade de segurança atingido por todo o conjunto,
incluindo o respectivo enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3. O certificado
deve ser submetido para aprovação da Petrobras. Certificados emitidos pela TÜV estão pré-
aprovados.

do SIS;

CP selecionado;
e) identificar e tratar eventuais casos de falha de sinal analógico proveniente de iniciadores
(ver 7.6.3), de modo a evitar a ocorrência de “trips” espúrios, aplicando para tal a mesma
lógica de degradação da arquitetura de votação usada no contorno para manutenção
(ver 7.11.3.3).
NOTA A degradação da arquitetura de votação de 2 de 3 para 1 de 1 não é permitida.

Dados de SIF.
27
-PÚBLICO-
N-2595 REV. C 12 / 2010
NOTA Acionamento manual constitui uma opção de atuação dos elementos finais de uma SIF pelo
operador prevista no projeto de processo, mas não faz parte da função automática de
proteção e, portanto, não deve ser considerada nos cálculos de desempenho da SIF (SIL ou
MTTFS).
7.9.2 Recomenda-se que os comandos manuais de “trip” sejam implementados através de botoeiras
eletromecânicas do tipo puxa para acionar com contato duplo normalmente fechado, ligados em
série, instaladas em local de fácil acesso pela equipe de operação e dotadas de proteção contra
acionamento indevido. [Prática Recomendada]
7.9.3 Os sinais de comando manual de “trip” devem ser processados pelo Executor da Lógica do
SIS.
7.9.4 Comandos manuais de “trip” a partir da interface de operação do SSC devem ser
implementados “hardwired” do controlador do SSC para o Executor da Lógica.
7.10 Rearme (“Reset”) de SIF
7.10.1 Toda SIF deve possuir comando de rearme para viabilizar o reinício controlado de operação
da planta ou equipamento objeto de proteção pela SIF, quando após um evento de “trip” não seja
mais verificada qualquer condição de demanda.
7.10.2 Após a ocorrência de uma demanda e o consequente acionamento da respectiva SIF, o sinal
de comando para o elemento final deve permanecer no estado acionado até recebimento de um
comando de rearme manual pelo operador.
7.10.3 Não é permitido rearme automático de SIF.
7.10.4 O comando manual de rearme somente deve ser implementado através de botoeira física
localizada no campo quando requerido na Folha de Dados da SIF.
7.10.5 O sinal de rearme da SIF deve ser do tipo pulso de curta duração.
7.11 Contorno (“By-Pass”) de SIF
7.11.1 Considerações Gerais
7.11.1.1 O objetivo do contorno é restringir a atuação de uma SIF, seja por necessidade de início de
operação ou de intervenção de manutenção durante a operação da planta ou equipamento.
7.11.1.2 Não é permitido contorno automático de SIF. Todo contorno deve ser acionado
manualmente por intermédio de telas pré-configuradas na IHM do SSC, possuindo necessariamente
sinalização de confirmação de estado.
7.11.1.3 Não pode haver contorno das saídas do Executor da Lógica da SIF.
7.11.1.4 Não pode haver contorno do comando manual de “trip”.
28
-PÚBLICO-
N-2595 REV. C 01 / 2011
de “pré-trip”.

Lógica;
hora e identificação pessoal, de forma a se poder analisar as ocorrências posteriormente.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve-se ter um número
mínimo de estações de engenharia/manutenção interligadas em rede com os CPs de Segurança.
7.13.4 Recomenda-se que haja uma porta de comunicação direta em cada CP de Segurança para o
7.14.1 A Interface de comunicação do Executor da Lógica do SIS com o SSC deve ser individual
para cada CP de segurança.

da Lógica vindos do SSC diferentes daqueles previamente definidos em 7.12.2. [Prática
Recomendada]

31
-PÚBLICO-
N-2595 REV. C 12 / 2010
A.6 Uso de Gráfico de Risco para Consequências Materiais
A.6.1 O uso de gráfico de risco para determinar o nível da integridade de segurança requerido
quando as consequências da falha incluem perda de produção ou danos a equipamentos, deve levar
em consideração todas as perdas econômicas associadas à falha na demanda, incluindo custos de
reconstrução e o custo de perda de produção.
A.6.2 A Tabela A.4 mostra as consequências em relação a danos/perdas materiais.
W3 W2 W1
--- --- ---
1 --- ---
L1 P1
P2
L2 2 1 ---
Início P1
L3 P2
3 2 1
P1
P2
L4 X 3 2
P1
P2 X X 3
L = Consequência material --- = Sem requisitos de segurança

P = Probabilidade de evitar o evento perigoso 1, 2, 3 = SIL
Figura A.3 - Gráfico de Risco Relativo à Proteção de Patrimônio/Produção
Tabela A.4 - Consequências Materiais
— produção fora de especificação;

— pequenas quantidades de alívio de fluidos.
— cavitação de bombas convencionais por
Pequenas perturbações baixa pressão na sucção;
operacionais ou danos — possibilidade de danos moderados ou
L1
reduzidos ao graves em equipamentos essenciais, ou
equipamento. não essenciais, que são causados por
eventos de ação prolongada, mas que não
requeiram rápida intervenção do operador
Consequência (mínimo de 1 dia).
Material (L)
— perturbação na área de utilidades afetando
outras áreas, como a injeção de líquido em
Moderadas perturbações correntes de gás para o sistema de gás
operacionais ou danos combustível;
L2
moderados ao — grandes quantidades de alívio de fluidos.
equipamento. — cavitação em bombas de alta rotação ou
em bombas de múltiplos estágios que
disponham de reserva.
51
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela A.4 - Consequências Materiais (Continuação)

— alívio abrupto de grandes quantidades de
massa causando violenta liberação de
energia, como é o caso de brusca
despressurização em sistemas de alta
pressão;
— transbordamento de fluidos de processo;
Grande perturbação — solidificação de produtos em linhas não
L3 operacional ou dano aquecidas, de grandes dimensões,
grave ao equipamento. requerendo custosas ações de correção;
— necessidade de reparos de baixo custo em
equipamentos essenciais que trabalhem
sem reserva;
Consequência — necessidade de reparos custosos em
Material (L) equipamentos que disponham de reserva
ou equipamentos não essenciais.
— temperatura excessiva em reações

exotérmicas fora de controle;
— pressão excessiva em sistemas onde a
malha de segurança é o dispositivo de
Perda de produção proteção final, devido a impossibilidade de
L4 associada a dano em instalação de válvulas de segurança;
equipamento essencial. — explosão de fornos e caldeiras;
— nível alto em vaso de sucção de
compressor;
— baixa pressão na sucção de bombas de
múltiplos estágios.
A.6.3 As consequências acima devem ser usadas conjuntamente com a versão especial do gráfico
de risco, Figura A.3. Deve-se notar que o parâmetro de F não é usado neste gráfico de risco porque o
conceito de ocupação não se aplica. Os parâmetros P e W se aplicam e as definições podem ser
idênticas àquelas usadas para o gráfico de segurança pessoal.
A.7 Determinação do Nível da Integridade da Função Instrumentada de Segurança

Quando as Consequências da Falha Envolvem Mais de Um Tipo de Perda
Em muitos casos as consequências da falha na demanda envolvem mais de um tipo de perda.

Quando for este o caso os requisitos de nível de integridade associados com cada tipo de perda
devem ser determinadas em separado. Diferentes métodos podem ser usados para cada um dos
riscos específicos identificados. O nível da integridade especificado para uma função deve levar em
conta o total cumulativo de todos os riscos envolvidos se a função falhar na demanda.
52
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.4.2 O método LOPA estabelece que não seja considerada a existência de camada de proteção
ou qualquer outro fator na determinação da frequência da causa iniciadora.
B.2.4.3 Falhas na demanda de camadas de proteção (SIF, PSV etc.) não devem ser consideradas
como causas iniciadoras, uma vez que outros eventos devem iniciar o cenário antes que estas
camadas de proteção sejam demandadas. Entretanto, vazamento ou falha em fechar após atuação
de PSV, bem como atuações espúrias de sistemas de proteção podem ser consideradas como
causas iniciadoras de cenários dignos de serem analisados, mas que muitas vezes são esquecidos.
B.2.4.4 A equipe de LOPA deve selecionar na Tabela B.2 uma frequência para a causa iniciadora
(ICF) do cenário identificado.
Tabela B.2 - Frequências de Causas Iniciadoras
Causa iniciadora ICF (evento/ano)

Falha de malha de controle do SSC 1 x 10-1
Falha de válvula reguladora ou redutora de pressão em serviço limpo 1 x 10-2
Falha de equipamento estático (baixa vibração) 1 x 10-2
Falha de equipamento estático (alta vibração) 1 x 10-1
Falha de equipamento dinâmico (B.2.4.5.a) 1 x 10-1
Sobrevelocidade de turbina / motor diesel com quebra da caixa 1 x 10-4
Falha de vaso de pressão 1 x 10-6
Falha de tubulação – ruptura franca 1 x 10-7 por metro
Vazamento em tubulação – 10 % seção reta 1 x 10-5 por metro
Falha de tanque atmosférico 1 x 10-3
Abertura espúria de válvula de segurança 1 x 10-2
Falha de selo de bomba 1 x 10-1
Falha de mangote de carregamento / descarregamento (baixa vibração) 1 x 10-1
Falha de mangote de carregamento / descarregamento (alta vibração) 1 x 100
Falha em sistema de água de refrigeração redundante 1 x 10-1
Ruptura de engaxetamento 1 x 10-2
Perda de fonte redundante de potência elétrica 1 x 10-1
Impacto de veículo terrestre (caminhão, escavadeira, etc.) 1 x 10-2
Queda de carga suspensa por guindaste 1 x 10-4 por içamento
Descarga elétrica atmosférica 1 x 10-3
Incêndio de pequenas proporções 1 x 10-1
Incêndio de grandes proporções 1 x 10-2
Falha do operador em executar procedimento de rotina (operador bem 1 x 10-2 por oportunidade
treinado, não estressado, não fatigado) (B.2.4.5.b)
Erro humano (tarefa não rotineira, baixo estresse) (B.2.4.5.c) 1 x 10-1 por oportunidade
Erro humano (tarefa não rotineira, alto estresse) (B.2.4.5.c) 1 x 100 por oportunidade
Falha em procedimento de manutenção do tipo LOTO (B.2.4.5.d) 1 x 10-3 por oportunidade
56
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.4.5 Regras comumente utilizadas nas causas iniciadoras da Tabela B.2
a) qualquer equipamento cujo funcionamento dependa de ou seja baseado em peças

normalmente móveis pode ser enquadrado no item “equipamentos dinâmicos”;
b) procedimentos de rotina são ações realizadas rotineiramente no campo ou na interface
de operação do SSC que, se realizadas incorretamente, podem resultar em desvios do
processo em análise;
c) tarefas não rotineiras são aquelas realizadas em situações esporádicas, como partidas e
paradas de unidades de processo, e que, se realizadas incorretamente, podem resultar
em desvios do processo em análise;
d) considerada como falha geral de um procedimento de segurança com múltiplas etapas,
batizado de LOTO ("Lockout/Tagout") e conhecido na PETROBRAS como LIBRA
(Abastecimento) ou PCEP (Transpetro); estas denominações referem-se a práticas e
procedimentos específicos para salvaguardar trabalhadores contra energização
inadvertida de equipamentos, partida inesperada de máquinas, ou liberação de
substâncias perigosas durante serviços ou atividades de manutenção; isto requer que
um indivíduo designado desligue e desconecte a máquina ou equipamento de sua(s)
fonte(s) de energia antes da execução de qualquer serviço ou manutenção e que os
trabalhadores autorizados ou tranquem com cadeado (“lock”) ou identifiquem (“tag”) o
dispositivo de isolação de energia, e verifiquem que a energia foi efetivamente isolada.
B.2.4.6 Os valores da Tabela B.2 derivam da experiência da indústria de processo, e consideram

diversos tipos de falhas de material e operacionais.
B.2.4.7 Para atuação espúria de SIF como causa iniciadora, sugere-se adotar uma ICF de 10-1 “trip”
espúrio por ano, uma vez que nesta etapa da aplicação do procedimento ainda não se conhece o
MTTFS da SIF.
B.2.4.8 Equipamentos não cobertos pela Tabela B.2, tais como filtros (vários tipos), flanges,
caminhões-tanque, dutos terrestres e marítimos, válvulas manuais (volante), válvulas de bloqueio
atuadas (XV) etc., devem ter seus valores de frequência de falha calcados em razões defensáveis e
documentadas.
B.2.5 Condição Habilitadora (EE)
B.2.5.1 Condição Habilitadora é uma ação ou estado que não causa o cenário, mas que precisa
existir para permitir que a causa iniciadora conduza à consequência indesejada considerada.
EXEMPLO
Cenário com condição habilitadora:
A purga do tambor de coque para a torre fracionadora é realizada em etapas, com

forçamento manual do “set point” de vazão para valores gradativamente maiores. Ao final
do resfriamento, o “set point” deve retornar ao valor operacional antes de se colocar o
controle em automático.
— Condição Habilitadora: “set point” da vazão de água de resfriamento deixado no maior

valor de vazão no último resfriamento realizado no tambor;
— Causa Iniciadora: Abertura indevida das válvulas manuais de isolamento da água de
resfriamento;
— Consequência: Aumento de pressão no tambor de coque pela vaporização brusca da
água injetada, com possibilidade de vazamentos em flanges e acessórios, e
possibilidade de danos ao reator.
B.2.5.2 Outra condição habilitadora possível de ser considerada (talvez a mais comum) é o Tempo
de Existência do Risco (“Time at Risk”).
57
-PÚBLICO-
N-2595 REV. C 12 / 2010
Tabela B.8 - IPL Ativas e Suas PFDavg Típicas
Probabilidade
Demanda (PFDavg)
Malha de controle do SSC [B.2.7.4] 1 x 10-1
Resposta de operador a alarme [B.2.7.5] 1 x 10-1
Dispositivo mecânico de alívio / válvula de segurança e alívio [B.2.7.6] 1 x 10-2
Dois dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-3
alinhados ao processo, cada um dimensionado para atender a 100 % do
cenário [B.2.7.6]
Múltiplos dispositivos de alívio independentes (bocais, descargas etc.), 1 x 10-1
porém mais de um precisa atuar para atender a 100 % do cenário
(exemplo: PSV estagiadas). [B.2.7.6]
Dispositivo mecânico interno de segurança independente do SIS e do SSC 1 x 10-1
(p.ex. desarme mecânico de turbina)
Disco de ruptura 1 x 10-2
Válvula de retenção [B.2.7.7] 1 x 100
Válvula de retenção de alta confiabilidade (“high integrity backflow 1 x 10-1
prevention device”) [B.2.7.7]
Duas ou mais válvulas de retenção associadas em série [B.2.7.7] 1 x 10-1
Válvula reguladora [B.2.7.8] 1 x 10-2
Válvula travada com selo (“car sealed”), listada e verificada frequentemente 1 x 10-2
[B.2.7.9]
Válvula trancada com cadeado (“locked”), listada e verificada 1 x 10-2
frequentemente [B.2.7.9]
Selo duplo (em bomba) com alarme no interstício 1 x 10-2
Proteção ativa contra fogo [B.2.7.10] 1 x 10-1
Os valores numéricos nas Tabelas B.7 e B.8 podem ser usados como Probabilidade Média de Falha
na Demanda (PFDavg) para cada IPL. Se a equipe de LOPA considerar que alguma IPL é mais
confiável (menor PFDavg) que os valores numéricos apresentados nestas tabelas, ou identificar
alguma IPL diferente daquelas apresentadas nestas tabelas, o valor adotado para a sua PFDavg deve
ser calcado em razões defensáveis e documentadas.
NOTA A tabela B.8 exprime valores de PFDavg para SIF com modo de operação por demanda.
Para modo de operação contínuo, deve-se usar valores de frequência de falha perigosa
(SIL1=10-5 h/ano, SIL2=10-6 h/ano, SIL3=10-7 h/ano) no lugar de PFDavg.
Visando assegurar consistência na aplicação da LOPA, são listadas em B.2.7.1 a B.2.7.10 algumas
condições para orientar a decisão de quando considerar uma salvaguarda como IPL.
B.2.7.1 Condições Gerais
a) A IPL sozinha deve ser suficiente para impedir a ocorrência do evento perigoso;
b) A falha da IPL não pode ser a causa iniciadora do cenário considerado;
c) O cenário não pode levar a IPL a falhar ou a tornar-se indisponível;
d) Se a IPL for ativa, sua atuação espúria não pode levar a um novo cenário com risco
maior que o daquele que a mesma visa evitar;
e) Os componentes da IPL em questão devem ser distintos e independentes dos
componentes das demais IPLs;
62
-PÚBLICO-
N-2595 REV. C 12 / 2010
B.2.7.7 Válvula de Retenção
As condições específicas requeridas para que este tipo de dispositivo possa ser considerado uma IPL
são:
a) duas ou mais válvulas de retenção devem estar associadas em série;

b) uma única válvula de retenção pode ser considerada como IPL somente se este
dispositivo possuir alta confiabilidade (“high integrity backflow prevention device”);
c) o serviço deve ser limpo, não passível a entupimentos, formação de depósitos, gomas,
polimerização etc.;
d) as válvulas de retenção usadas como IPL devem ser identificadas como tal e fazer parte
de um programa de manutenção mecânica estabelecido e auditável.
NOTA Válvulas de retenção não são adequadas para aplicações onde se requeira vedação
estanque (“tight shut-off”) para fluxo reverso.
B.2.7.8 Válvula Reguladora (“Excess Flow Valve”)
Válvulas reguladoras usadas como IPL devem ser identificadas como tal e fazer parte de um
programa de manutenção mecânica estabelecido e auditável.
B.2.7.9 Válvula Travadas com Selo (“Car-Sealed”) ou Trancadas com Cadeado (“Locked”)
As condições específicas necessárias para que válvulas travadas com selo (“Car-Sealed”) ou
trancadas com cadeado (“Locked”) possam ser consideradas como IPL são as seguintes:
a) os responsáveis pela operação da planta ou equipamento mantenham uma lista

atualizada de todas as válvulas travadas com selo ou trancadas com cadeado;
b) os responsáveis pela operação da planta ou equipamento conduzam inspeções
regulares para assegurar que essas válvulas encontram-se na posição apropriada e
seus selos e cadeados, íntegros.
B.2.7.10 Proteção Ativa Contra Fogo
As condições específicas necessárias para que uma Proteção Ativa Contra Fogo (por exemplo:
sistemas de detecção de incêndio comandando a atuação do sistema de dilúvio) possa ser
a) proteção ativa contra fogo somente pode ser considerada como uma IPL para cenários
em que o incêndio seja a causa iniciadora;
b) proteção ativa contra fogo não pode ser considerada como uma IPL para os cenários em
que a sua disponibilidade ou efetividade possam ser afetadas pelo fogo ou explosão que
a mesma se destina a conter;
NOTA Um sistema de detecção de gás comandando fechamento de SDV (ou de válvulas de

isolamento de inventário), pode ser analisado de forma análoga, ou seja:
a) esse sistema pode ser considerado uma salvaguarda contra eventos decorrentes de um
vazamento de gás (por exemplo: incêndio, explosão), mas não contra o vazamento em
si, pois o mesmo necessariamente já terá ocorrido quando for detectado;
b) deve-se avaliar se esta camada de proteção é capaz de sozinha impedir a consequência
indesejada, ou se depende de outras ações externas (por exemplo: do operador) para
ser efetiva;
c) deve ser possível determinar (e auditar) a efetividade, ou seja, o RRF = 1/PFDavg desta
camada, levando-se em conta a dispersão do gás no ambiente, no momento da
demanda.
65
-PÚBLICO-
N-2595 REV. C 12 / 2010
tomando-se por base, além das políticas corporativas refletidas nos critérios da PETROBRAS
N-2782, também legislação e regulamentações, normas e referências internacionais, informações de
companhias seguradoras e acordos entre as partes interessadas, podendo envolver a comunidade
local.
mão de todos os recursos para reduzi-lo, em aderência ao conceito ALARP (ver PETROBRAS
N-2782).




(PSV, TOCHA, etc.)


PROCESSO
15
-PÚBLICO-
N-2595 REV. C 12 / 2010
5.4.5 Recomenda-se que sinais relacionados com dispositivos do SIS porém não utilizados em lógica
de SIF (p.ex. indicação do estado de elemento final) não devem ser ligados ao Executor da Lógica do
SIS. [Prática Recomendada]
5.4.6 É frequente a matriz de causa e efeito indicar uma mesma causa para ações de segurança e
para ações não relacionadas a segurança. Recomenda-se que uma SIF somente inclua os
dispositivos estritamente necessários para executar sua ação de segurança. [Prática Recomendada]
5.4.7 Cada SIF deve possuir um identificador alfa-numérico exclusivo (“tag”) e ser documentada
numa folha de dados que reúna as principais especificações da SIF, suas funcionalidades, seus
requisitos de desempenho (tais como SIL e MTTFS) e critérios adotados nos cálculos (como intervalo
entre testes periódicos), compondo um conjunto de informações equivalente ao “Safety Requirements
Specification - SRS” definido na IEC 61511-1.
5.4.7.1 Recomenda-se utilizar o modelo apresentado no Anexo D para documentar os dados das
SIFs. [Prática Recomendada]
5.4.8 A documentação de projeto básico do SIS deve formar um conjunto distinto e destacado dos
demais documentos de projeto não relacionados ao SIS (ver ISA 91.00.01).
5.4.9 A documentação de projeto básico do SIS acompanhará o SIS ao longo de todo o seu ciclo de
vida, devendo ser arquivada no sistema de documentação técnica da respectiva instalação industrial
e estar sempre atualizada, de modo rastreável e auditável, em função de qualquer revisão que venha
a ocorrer na planta.
5.4.10 A elaboração do projeto básico do SIS deve consistir, fundamentalmente, na execução das
seguintes tarefas, detalhadas nos capítulos a seguir:
a) identificação das SIFs (não coberta por esta norma);

b) avaliação das SIFs (ver seção 6);
c) definição dos requisitos de implementação do SIS (ver seção 7);
d) verificação do SIL e do MTTFS requeridos para cada SIF (ver seção 8);
5.4.11 Ao final do projeto básico, todas as folhas de dados de SIF devem estar completamente
preenchidas.
6 Projeto Básico do SIS - Avaliação das SIFs
6.1 Considerações Gerais
6.1.1 A etapa de avaliação consiste, basicamente, em se determinar dois importantes parâmetros de

desempenho, com vistas à elaboração da especificação do SIS, a saber:
a) Nível de Integridade de Segurança - SIL;

b) Tempo Médio para Falhar no modo Seguro - MTTFS;
6.1.2 A avaliação das SIFs deve ser efetuada durante a fase de projeto básico de uma nova planta e
durante as revisões que venham a ser realizadas no projeto de uma planta existente.
6.1.3 A avaliação das SIFs não deve substituir os estudos de análise de riscos, mas complementar
sua execução, auxiliando na especificação de um SIS adequado.
18
-PÚBLICO-
N-2595 REV. C 12 / 2010
6.1.4 Recomenda-se que a avaliação das SIFs seja efetuada pela mesma equipe da análise de
riscos, em conjunto com ou imediatamente após a realização desta. [Prática Recomendada]
6.2 Composição da Equipe de Avaliação das SIFs
6.2.1 A equipe designada para avaliar as funções instrumentadas de segurança deve ser
multidisciplinar, composta, ao longo de toda a realização da atividade, por um líder de equipe e por
profissionais representantes de, pelo menos, as seguintes áreas:
a) Processo;
b) Instrumentação e Controle;
c) Operação;
d) SMS.
6.2.2 Especialistas de áreas específicas, tais como equipamentos estáticos, térmicos, dinâmicos ou
elétricos, devem ser consultados pela equipe de avaliação sempre que houver necessidade de se
confirmar premissas assumidas nas estimativas de risco envolvendo tais especialidades.
6.2.3 O representante de Processo deve ter participado do projeto básico específico a ser analisado,
de forma a garantir um bom conhecimento sobre o mesmo.
6.2.4 O representante de Instrumentação e Controle deve possuir experiência e/ou treinamento

específico em Sistemas Instrumentados de Segurança.
6.2.5 O representante da operação deve:
a) possuir experiência no processo em questão;

6.2.6 O representante de SMS deve:
a) conhecer as políticas, diretrizes, normas e legislações de SMS aplicáveis à planta em

questão;
6.2.7 O líder da equipe de avaliação deve ter experiência em análise de riscos, possuir treinamento
no método específico a ser utilizado e ter participado anteriormente de outros processos de avaliação
de SIF.
6.2.8 Admite-se que o líder da equipe de avaliação acumule a função de representante de qualquer
uma das áreas relacionadas neste item, desde que atenda às exigências para tal.
6.2.9 O líder da equipe de avaliação deve assegurar a aplicação organizada, sistemática e

consistente do método utilizado, orientando neste sentido os demais membros da equipe.
6.2.10 Recomenda-se que, antes do início das análises, o líder da equipe de avaliação promova um
nivelamento do entendimento do método a ser utilizado por todos os participantes, de modo a garantir
um mínimo de familiaridade com a técnica e suas terminologias particulares. [Prática Recomendada]
6.2.11 Ao final do estudo, o relatório deve estar elaborado e acordado por toda a equipe. Nos itens
em que não tenha sido possível alcançar um consenso, as razões devem ser registradas.
19
-PÚBLICO-
N-2595 REV. C 12 / 2010
de “pré-trip”.

Lógica;
hora e identificação pessoal, de forma a se poder analisar as ocorrências
posteriormente.
7.13.3 Para os diversos CPs de Segurança de uma instalação industrial deve-se ter um número
mínimo de estações de engenharia/manutenção interligadas em rede com os CPs de Segurança.
7.13.4 Recomenda-se que haja uma porta de comunicação direta em cada CP de Segurança para o
7.14.1 A Interface de comunicação do Executor da Lógica do SIS com o SSC deve ser individual
para cada CP de segurança.

da Lógica vindos do SSC diferentes daqueles previamente definidos no 7.12. [Prática
Recomendada]

31
-PÚBLICO-
N-2595 REV. C 12 / 2010
l) especificação técnica de painéis do SIS;

m) manual técnico (do fabricante) do Executor da Lógica do SIS (ver Nota 4);
n) manuais técnicos (dos fabricantes) dos iniciadores do SIS (ver Nota 4);
o) manuais técnicos (dos fabricantes) dos elementos finais do SIS (ver Nota 4);
p) programa aplicativo do Executor da Lógica (listagem) do SIS;
q) desenhos de painéis do SIS;
r) plano de TAF do SIS (ver Nota 5);
s) manual de operação do SIS (ver Nota 6);
t) plano de manutenção do SIS (ver Nota 7).
NOTA 1 A lista de SIFs e de instrumentos do SIS é um documento dividido em duas partes: a

primeira parte deve relacionar em ordem numérica cada SIF do SIS (“tag”, descrição e SIL
requerido) com os “tags” dos instrumentos (iniciadores e elementos finais) que a compõe. A
segunda parte deve relacionar em ordem alfabética cada instrumento do SIS (“tag”, serviço,
fluxograma ou desenho de origem e folha de dados) com os “tags” das SIFs das quais
fazem parte.
NOTA 2 A memória de cálculo de verificação do SIL e do MTTFS do projeto de detalhamento deve
conter os mesmos cálculos efetuados durante o projeto básico, porém considerando as
arquiteturas de votação e os modelos específicos de iniciadores, Executor da Lógica e
elementos finais efetivamente adotados, e incluir os cálculos do tempo de resposta da SIF e
do tempo de retardo, caso necessário.
NOTA 3 A lista de cargas elétricas do SIS será necessária caso a alimentação elétrica do SIS seja
exclusiva.
NOTA 4 Os manuais técnicos devem incluir, sempre que aplicável, os respectivos certificados e
relatórios de compatibilidade com o nível de integridade de segurança conforme a
IEC 61508-1.
NOTA 5 O conteúdo do Plano de TAF do SIS está definido no 10.2 desta Norma.
NOTA ¨ O conteúdo do manual de operação do SIS está definido no 13.1 desta Norma.
NOTA 7 O conteúdo do plano de manutenção do SIS está definido no 13.2 desta Norma.
9.2.2 As folhas de dados de SIF devem ser revisadas de acordo com as informações consolidadas
dos documentos mencionados em a), b), c) e d) do 9.2.1.
9.2.3 Depois de concluída a etapa de projeto, todos os documentos do SIS, incluindo folhas de dados
de SIF, manuais, planos e relatórios, devem ser agrupados de modo a compor o Manual do Sistema
Instrumentado de Segurança.
10 Teste de Aceitação em Fábrica e Preservação
10.1 Teste de Aceitação em Fábrica - TAF
10.1.1 O TAF do SIS deve ser executado após a conclusão do projeto de detalhamento do Executor
da Lógica e do desenvolvimento do respectivo programa aplicativo e antes das etapas de instalação e
de condicionamento do Executor da Lógica (ver IEC 62381).
10.1.2 O objetivo do TAF é verificar a conformidade da operação do conjunto Executor da Lógica e

programa aplicativo segundo os requisitos previamente estabelecidos nas folhas de dados de SIF e
no diagrama lógico. O TAF deve ser planejado e executado de modo detalhado para solução de não
conformidades, equipamentos defeituosos e solução de pendências.
10.1.3 O TAF do SIS deve ser exaustivo, cobrindo todas as SIFs e todas as possíveis combinações
lógicas de cada SIF.
34
-PÚBLICO-
N-2595 REV. C 12 / 2010
f) confirmação da correta atuação dos comandos de contorno (“by-pass”) para

manutenção;
g) confirmação da correta atuação dos comandos de rearme;
h) confirmação da correta comunicação com a interface de operação, incluindo indicações,
alarmes gerados pelas SIFs, registro de eventos, matriz de causa e efeito animada etc.;
i) confirmação do comportamento esperado de cada SIF nos casos de ocorrência de:
medição fora de “range”, falta de energia elétrica, perda de pressurização pneumática ou
hidráulica.
12.1.6 As atividades executadas na etapa de Pré-Operação do SIS devem ser registradas em um

relatório de validação.
12.2 Aceitação Final do SIS
12.2.1 O objetivo desta etapa é registrar de forma conclusiva o final da etapa de Pré-Operação do
SIS, liberando-o para início de operação.
12.2.2 Deve ser elaborado um documento intitulado Declaração de Aceitação do SIS, o qual deve
incluir os seguintes registros:
a) número do Plano de Pré-Operação do SIS utilizado;

b) versão validada do programa aplicativo;
c) ferramentas e equipamentos de teste utilizados;
d) identificação de cada SIF examinada e os resultados dos respectivos testes;
e) resultados dos testes com os demais sistemas interligados (SSC, outros SIS);
f) descrição das discrepâncias constatadas;
g) nome e assinatura dos responsáveis pela operação da planta ou equipamento.
12.2.3 Toda discrepância constatada entre o resultado obtido e o esperado deve ser submetida a
análise, por parte dos responsáveis pela elaboração do projeto, de forma a decidir-se corretamente
se o SIS pode ser aceito, ou se é devida uma revisão nos documentos de projeto. O relatório de
análise bem como a decisão tomada sobre o tratamento a ser dado à(s) discrepância(s) deve fazer
parte integrante da Declaração de Aceitação do SIS.
12.2.4 Toda pendência que degrade requisito técnico estabelecido no projeto do SIS deve ser
tratada.
12.2.5 Como atividade final deve ser efetuada uma inspeção no SIS de modo a assegurar que:
a) todas as funções de contorno foram deixadas nas respectivas posições normais de

operação;
b) todos os elementos finais (válvulas de bloqueio, contorno etc.) se encontram nas
respectivas posições de segurança;
c) todos os materiais e dispositivos de teste se encontram removidos;
d) todas as variáveis ou condições “forçadas” no programa aplicativo foram removidas.
13 Operação, Manutenção, Testes Periódicos e Modificações
13.1 Operação
13.1.1 O objetivo deste item é o de estabelecer requisitos que contribuam para a operação adequada
do SIS ao longo de seu ciclo de vida.
39
-PÚBLICO-
N-2595 REV. C 12 / 2010
13.1.2 Durante o projeto de detalhamento, deve ser elaborado um documento intitulado Manual de
Operação do SIS, o qual deve apresentar de forma organizada o seguinte conteúdo:
a) Descrição funcional e detalhada de cada SIF, abordando:
— evento perigoso que a SIF se destina a proteger;

— consequências potenciais associadas ao evento perigoso;
— prováveis causas de demanda para a SIF;
— descrição do estado seguro e da atuação correta da SIF;
— descrição de alarmes e apresentação das interfaces (telas, anunciadores luminosos e
sonoros etc.) associadas;
— procedimentos operacionais específicos quando da operação com a SIF em contorno.
b) descrição passo a passo da sequência de partida do processo ou equipamento

associado ao SIS, explicitando:
— comandos de contorno;
— condições de processo que devem ser satisfeitas em cada passo e respectivas SIFs
associadas;
— intervalos de tempo que devem ser observados (rampa de aquecimento, tempo de
purga etc.);
— funções de “reset”.
c) descrição individual de cada comando de contorno, seja para partida ou manutenção,

discriminando as condições em que os mesmos devem ser utilizados;
d) descrição individual de cada comando de parada manual, identificando as possíveis
situações em que os mesmos devem ser acionados;
e) instrução sobre a necessidade de realização de Testes Periódicos nas SIFs para
manutenção de sua integridade;
f) procedimentos associados à ocorrência de alarmes de diagnóstico do SIS.
13.1.3 O Manual de Operação do SIS deve fazer referência e estar em conformidade com os demais
documentos de projeto do SIS, tais como: relatórios de análise de risco, folhas de dados de SIF,
matriz de causa e efeito, diagrama lógico etc.
13.1.4 O pessoal responsável pela operação da planta ou equipamento objeto de proteção pelo SIS
deve ser submetido a treinamento com objetivo de serem instruídos nas informações e
procedimentos contidos no manual de operação do SIS. O treinamento deve ser registrado de forma
apropriada a garantir sua rastreabilidade.
13.1.5 No caso de uma SIF ficar indisponível deve ser utilizado procedimento específico para
contorno temporário.
NOTA Recomenda-se que o documento de registro do contorno contenha: [Prática

Recomendada]
a) descrição da SIF a ser contornada;

b) razões da indisponibilidade;
c) intervalo de tempo previsto para o contorno;
d) ações complementares de operação durante o período de contorno;
e) assinatura da autoridade competente.
13.2 Manutenção
13.2.1 O objetivo deste item é estabelecer requisitos que viabilizem a manutenção da integridade e
da confiabilidade do SIS ao longo de seu ciclo de vida.
40
-PÚBLICO-
N-2595 REV. C 12 / 2010
13.2.9 Toda a documentação do SIS deve estar incluída em um sistema de controle de revisões que
garanta a sua atualização e distribuição, de forma que seus usuários estejam sempre de posse de
sua última revisão.
13.2.10 Devem ser previstas auditorias periódicas para a confirmação do cumprimento dos seguintes
itens:
a) procedimento adotado para implementações de modificações;

b) procedimento adotado de testes e verificação de sua periodicidade;
c) sistemática de registros e análises de manutenção;
d) treinamento de pessoal de manutenção;
e) integridade e atualização da documentação.
13.3 Testes Periódicos
13.3.1 O objetivo deste item é estabelecer requisitos para a execução de testes periódicos no SIS,
de forma a detectar e corrigir falhas ocultas que poderiam comprometer a funcionalidade ou a
integridade das SIFs.
13.3.2 A execução dos testes periódicos deve ser realizada de acordo com os procedimentos
elaborados e escritos especificamente para cada SIF, presentes no Plano de Manutenção do SIS.
NOTA Recomenda-se utilizar como referência a ISA TR 84.00.03. [Prática Recomendada]
13.3.3 A periodicidade de execução dos testes deve ser tal que mantenha o SIL de cada SIF,
conforme previsto na Folhas de Dados de SIF (projeto básico) e confirmado após a etapa de
verificação do SIL (projeto de detalhamento).
13.3.4 Durante as paradas programadas de manutenção todas as SIFs, independentemente do SIL e

da existência de monitoração, devem ser testadas com fator de cobertura igual a 1.
13.3.5 Os testes periódicos devem abranger todos os dispositivos da SIF, a saber: iniciadores,
Executor da Lógica e elementos finais.
13.3.6 Iniciadores devem ser testados simulando-se, o mais próximo possível, as condições reais de
operação, incluindo linhas de impulso, elementos primários e instalação elétrica. Exemplo: bloqueio e
drenagem de chave de nível.
13.3.7 Elementos finais devem ser testados forçando-se a atuação das respectivas saídas do
Executor da Lógica, inclusive para os normalmente energizados.
13.3.8 Nos casos onde não seja viável a execução de teste completo do elemento final em regime de
operação normal, os procedimentos de teste específicos devem incluir:
a) execução de teste completo durante parada do processo ou equipamento;

b) execução de teste(s) parcial(is) durante o regime de operação do processo ou
equipamento, envolvendo os seguintes componentes: circuitos de saída, relés de
interposição, válvulas solenóide e deslocamento parcial de válvulas de bloqueio.
13.3.9 Deve ser prevista ação contingencial no caso de o elemento final falhar na posição de
segurança durante a realização do teste.
42
-PÚBLICO-
N-2595 REV. C 12 / 2010
13.3.10 Caso seja constatada a existência de falha oculta em decorrência da execução dos testes
periódicos, a mesma deve ser reparada, de modo a restaurar a integridade das SIFs envolvidas.
13.3.11 Os registros de execução dos testes periódicos devem conter as seguintes informações:
a) número do procedimento de teste;

b) data de realização do teste;
c) nome da pessoa responsável pela execução do teste;
d) “tag” e número de série dos dispositivos submetidos ao teste;
e) resultado do teste “como encontrado”, incluindo descrição da falha (se houver);
f) resultado do teste “como deixado”, conforme critério de aceitação no procedimento;
g) descrição dos trabalhos realizados, incluindo as partes substituídas (se houver) e o
tempo utilizado.
13.3.12 Os registros de execução dos testes periódicos devem ser mantidos ao longo de toda a vida
útil do SIS, de modo que:
a) possam ser verificados a qualquer tempo;

b) permitam avaliações de desempenho em longo prazo.
13.3.13 A critério da Unidade Operacional, pode-se considerar “trips” reais ou espúrios como testes
das SIFs, desde que observadas as seguintes condicionantes:
a) o evento de “trip” deve ser registrado em formulário específico, contendo no mínimo:

data e hora do evento, SIF atuada, alarmes, modo de detecção, causa identificada
(variável de processo em desvio, dispositivo(s) em falha, ação humana), ações
subsequentes e nome do responsável; o formulário de registro de “trip” deve ser
arquivado no sistema de documentação técnica da Unidade Operacional, de modo
rastreável;
b) “trips” com causa desconhecida não podem ser usados como teste de SIF;
c) em um “trip” espúrio causado por falha do elemento final, nenhum dos dispositivos da
SIF pode ser considerado como testado;
d) em um “trip” espúrio causado por falha de módulo de saída do CP de segurança, apenas
o elemento final pode ser considerado como testado;
e) em um “trip” espúrio causado por falha na CPU do Executor da Lógica, apenas o módulo
de saída do CP de segurança e o elemento final podem ser considerados como
testados;
f) em um “trip” espúrio causado por falha de módulo de entrada do CP de segurança, toda
a SIF, exceto o iniciador e o módulo de entrada do CP de segurança, pode ser
considerada como testada;
g) em um “trip” espúrio causado por falha do iniciador, toda a SIF, exceto o iniciador, pode
ser considerada como testada;
h) em um “trip” real, somente os dispositivos que comprovadamente (a partir dos registros
do evento) tenham operado corretamente podem ser considerados como testados.
13.4 Modificações
13.4.1 O objetivo deste item é estabelecer requisitos de modo que modificações realizadas no SIS
não impactem a segurança da planta ou do equipamento associado.
13.4.2 Toda proposta de modificação no SIS deve ser embasada em fatos e dados registrados em
um documento intitulado Solicitação de Modificação no SIS, o qual deve conter:
a) descrição da modificação proposta;

b) razões para realização da modificação;
c) condições ou eventos perigosos relacionados.
43
-PÚBLICO-
N-2595 REV. C 12 / 2010
7.7.8 Recomenda-se que os relés de interposição sejam instalados na caixa de bornes terminais de
interface com equipamentos elétricos. [Prática Recomendada]
7.7.9 Para válvulas solenóides de comando de atuadores pneumáticos devem ser especificados os
seguintes itens:
a) condição normal de operação: bobina energizada;

b) pressão de ar mínima de operação;
c) capacidade de vazão adequada ao tempo de atuação requerido;
d) proteção dos escapes de ar contra entupimentos por sujeira, insetos e formação de gelo.
7.7.10 Recomenda-se que válvulas solenóides com rearme manual mecânico não sejam utilizadas.
7.7.11 Caso a Folha de Dados de SIF indique a necessidade da execução de testes de

movimentação parcial de válvulas (ver ISA TR 96.05.01), estes devem ser implementados por
dispositivos especialmente projetados para esta aplicação e com certificação de atendimento ao SIL
requerido, conforme IEC 61508-1, emitida pela TÜV ou entidade equivalente aprovada pela
Petrobras.
7.7.12 Elementos finais do SIS devem ser pintados na cor laranja segurança conforme a
PETROBRAS N-1219. A pintura parcial é aceitável, exemplo: pintura apenas das tampas de válvulas
solenóides e carcaças de atuadores de válvulas.
7.7.13 Recomenda-se para elementos finais de SIF avaliada como SIL 3 o uso de redundância
7.8 Executor da Lógica
7.8.1 O Executor da Lógica deve atender a todos os requisitos técnicos expressos nas Folhas de
Dados de Especificação das SIFs que compõem o SIS.
7.8.2 O Executor da Lógica deve possuir certificação de conformidade com a IEC 61508-1 para
aplicações com nível de integridade de segurança igual ou maior que o maior SIL requerido dentre as
SIFs alocadas no mesmo, emitida pela TÜV ou entidade equivalente aprovada pela Petrobras.
7.8.3 O Executor da Lógica deve ser implementado fisicamente através de um CP de Segurança em

todas as aplicações onde a quantidade total de iniciadores e elementos finais seja igual ou superior a
20.
7.8.4 O Executor da Lógica pode, mediante anuência expressa da Unidade Organizacional da

Companhia, ser implementado fisicamente através de tecnologia eletrônica não programável em SIS
onde a quantidade total de iniciadores e elementos finais seja inferior a 20 e a lógica requerida seja
de baixa complexidade.
7.8.5 Devem ser observadas as restrições de aplicação do equipamento selecionado indicadas no

seu manual de segurança e no seu certificado de conformidade com o atendimento ao SIL requerido.
7.8.6 Recomenda-se o uso de CP de segurança adequado para aplicações SIL 3 como Executor da
Lógica do SIS, mesmo que não seja requerido SIL 3 para nenhuma das respectivas SIFs associadas.
Tal prática propicia maior flexibilidade no projeto das SIFs. [Prática Recomendada]
26
-PÚBLICO-
N-2595 REV. C 12 / 2010


7.8.8 Os módulos de entrada do CP de segurança devem dispor de recursos para detecção de sinal
quando fora da faixa normal de trabalho de 4 mA a 20 mA.
fica condicionada a certificado emitido por entidade certificadora acreditada pela Petrobras (TÜV ou
equivalente) do nível de integridade de segurança atingido por todo o conjunto, incluindo o respectivo
enlace de comunicação, conforme IEC 61508 - Partes 1, 2 e 3.

do SIS;

CP selecionado;
e) identificar e tratar eventuais casos de falha de sinal analógico proveniente de iniciadores
(ver 7.6.3), de modo a evitar a ocorrência de “trips” espúrios, aplicando para tal a mesma
lógica de degradação da arquitetura de votação usada no contorno para manutenção
(ver 7.11.3.3).
NOTA A degradação da arquitetura de votação de 2 de 3 para 1 de 1 não é permitida.

Dados de SIF.
27

Norma Petrobras 2595

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Norma Petrobras 2595

Enviado por

Direitos autorais:

Formatos disponíveis

-PÚBLICO-

N-2595 REV. C 07 / 2012

Esta é a 2a Emenda da PETROBRAS N-2595 REV. C, que incorpora a 1a emenda, e se destina a

- Seção 2: (2a Emenda)

- Subseção 5.1.3: (2a Emenda)

Alteração do texto e inclusão de Nota.

- Subseção 6.4.9: (2a Emenda)

- Subseção 6.4.10: (2a Emenda)

- Subseção 7.6.3: (2a Emenda)

Alteração do texto e exclusão da Nota.

- Subseção 7.7.11: (1a Emenda)

- Subseção 7.8.2: (1a Emenda)

- Subseção 7.8.8: (2a Emenda)

PROPRIEDADE DA PETROBRAS 3 páginas

N-2595 REV. C 07 / 2012

- Subseção 7.8.12: (1a Emenda)

- Subseção 7.8.13: (2a Emenda)

Exclusão da enumeração e) e da Nota.

- Subseção 7.8.14: (2a Emenda)

- Subseção 7.8.15: (2a Emenda)

- Subseção 7.11.1.2: (2a Emenda)

- Subseção 7.13.3: (2a Emenda)

- Subseção 7.13.4: (2a Emenda)

- Subseção 7.14.1: (2a Emenda)

- Subseção A.6.1: (2a Emenda)

- Subseção A.6.2: (2a Emenda)

- Figura A.3: (2a Emenda)

- Tabela A.4: (2a Emenda)

N-2595 REV. C 07 / 2012

- Subseção A.6.3: (2a Emenda)

- Seção A.7: (2a Emenda)

Alteração do título e do texto.

- Tabela B.2: (2a Emenda)

- Subseção B.2.4.8: (2a Emenda)

- Tabela B.8: (2a Emenda)

- Subseção B.2.7.7: (2a Emenda)

Alteração do texto da Nota.

- Subseção B.2.7.8: (2a Emenda)

Alteração do título e do texto.

N-2595 REV. C 01 / 2011

- Subseção 5.1.4: (1ª Errata)

Eliminar a segunda citação à PETROBRAS N-2782.

- Subseção 5.4.10: (1ª Errata)

Eliminar o texto “detalhadas nos capítulos a seguir”.

- Subseção 6.2.8: (1ª Errata)

Substituir o termo “neste item” por “em 6.2.1”.

- Subseção 7.14.3: (1ª Errata)

Substituir a citação “no 7.12” por “em 7.12.2”;

- Subseção 9.2.1 Nota 6: (1ª Errata)

Substituir a designação “NOTA ¨” por “NOTA 6”.

- Subseção 13.1.1: (1ª Errata)

Substituir a citação “deste item” pela “de 13.1”.

- Subseção 13.2.1: (1ª Errata)

Substituir a citação “deste item” pela “de 13.2”.

- Subseção 13.3.1: (1ª Errata)

Substituir a citação “deste item” pela “de 13.3”;

- Subseção 13.4.1: (1ª Errata)

Substituir a citação “deste item” pela “de 13.4”.

N-2595 REV. C 12 / 2010

Critérios de Projeto, Operação e

Esta Norma substitui e cancela a sua revisão anterior.

Requisito Técnico: Prescrição estabelecida como a mais adequada e que

Prática Recomendada: Prescrição que pode ser utilizada nas condições

“A presente Norma é titularidade exclusiva da PETRÓLEO BRASILEIRO