Projeto de Sistemas de Segurança

com Alta Disponibilidade para

Processo Críticos
por Marcio Razera - Invensys/Triconex
 Flixborough ( Impacto da Explosão )

• The Unconfined Vapor

Cloud Explosion (UVCE)
–28 fatalities on-site
–36 injuries on-site
–56 injuries off-site
–$170 million in damages
on-site
–Off-site damage spread 8
miles including over 2,400
homes, shops, and factories

2
Bhopal India - 1984

• Catastrophic impact to
the surrounding
community.
–2500 fatalities
–200,000 injuries
• Thousands of the injured are
seriously disabled, suffering
long term neuro-logical and
respiratory damage.
–Many victims suffer post
traumatic stress syndrome.

3
Pasadena Texas USA
October 23, 1989

4
Camadas de Proteção

COMMUNITY EMERGENCY RESPONSE

PLANT EMERGENCY RESPONSE

PHYSICAL PROTECTION
(CONTAINMENT)

PHYSICAL PROTECTION
(RELIEF DEVICES)

AUTOMATIC SIS

CRITICAL ALARMS
AND MANUAL INTERVENTION

BASIC CONTROLS

BASIC
DESIGN

AAA
1

5
Camadas de Proteção

Fire & Gas

SIS

Alarms

Process Control

Process Plant

6
Risco e Integridade de Segurança

Risco = Consequência + Probabilidade

7
Tipos de Falhas

8
Ocorrências de Incidentes de Sistemas de Controle

Fonte - HSE UK ( Health & Safety Executive )

Projeto & Instalação &

Implementação Comissionamento
16% 7%
22%
Operação &
Manutenção

38% 17%
Especificação Mudancas após o
Comissionamento

9
Critérios Básicos

• Complexidade da Aplicação
• Criticidade do Processo
• Custo Inicial
• Necessidade de Flexibilidade
• Custo de Operação / Manutenção

• Arquitetura
• Conectividade
Sistema Tolerante à Falhas • Normas de Segurança
• Manutenção
• Programação
• Custo

10
 Start
Develop Safety Establish Operation
requirements & Maintenance
Specifications Procedures
Conceptual
Process Project

Perform SIS Pre-Start-up Safety

Conceptual Review Assessment
Project, & Verify
Perform Process it meets o SRS
Hazard Analysis
& Risk Assessment
SIS start-up,
Perform SIS operation,
Detail Project Maintenance, periodic
Apply non-SIS function testing.
protection tiers to
prevent identified
hazards or reduce Risk
. SIS installation,
Modify
commissioning, Modify or
e pre-startup Decommission
SIS?
NO aceptance test.
SIS required?

Decommission
YES SIS

Define
Ciclo de Vida Decommissioning

target SIL de Segurança AS ÁREAS MARCADAS

SÃO TRATADAS PELA
Conceptual Process Projeto
S84.01
11
 Perform Process
Redução do Risco Hazard Analysis
& Risk Assessment

Integridade Mecânica
vasos, linhas, etc.
Nível de Risco
Aceitável Risco Inerente
do Processo
SV, etc. SIS SDCD

PROCESSO

Risco
12
 Perform Process
Análise de Risco Hazard Analysis
& Risk Assessment

• Qualitativo : Análise realizada por um time de “experts”

julgando as frequências e consequências do risco.
– Checklist
– What-if
– What-if/Checklist
– HAZOP
– FMEA - Failure Mode and Effect Analysis
• Quantitativo: Análise realizada utilizando-se dados de taxa
de falha (humana & hardware) para calcular a
probalbilidade de falha em demanda.
– FTA - Fault Tree Analysis
– Modelo de Markov

13
Uma técnica possivel !?!?

SIL

14
Matriz de Riscos
EXTENSIVE

3 3
2 HIGH
EVENT SEVERITY

RISK
SERIOUS

LOW

Numbers correspond to
2 2 SIL levels from ISA S84.01
3

RISK
MINOR

1
2 2

LOW MODERATE HIGH

EVENT LIKELIHOOD

15
Análise Quantitativa

Fault Tree Analysis

Safety Valve Lifts
1/762 Years
2003 Temp. Switches
AND
w/solenoid & AOV
3 Month Testing
PROCESS
1/71 Yrs. Interval
DEMAND
1.1 / Year

OR

Event Tree Analysis

1/110 Yrs
Sol. Valve Air Op. Valve
1/357 Yrs. 1/454 Yrs.

OR

1/330 Yrs.
1/330 Yrs. 1/330 Yrs.

AND AND AND

Temp.Sw.#1 Temp.Sw.#2 Temp.Sw.#2 Temp.Sw.#3 Temp.Sw.#1 Temp.Sw.#3

1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs. 1/9 Yrs.

2003_SD1

Reliability Block Diagrams

16
 Develop Safety
SRS Especificação e Requerimentos de Segurança requirements
Specifications

• Identificação dos eventos de riscos associados ao processo

• Identificação das causas dos eventos de riscos
• Determinação da frequência de ocorrência dos eventos de
riscos
• Avaliação das consequências dos eventos de riscos
• Avaliação dos níveis de proteção disponíveis
• Determinação do Nivel de Integridade de Segurança (SIL )

17
Análise de Risco Define
Target SIL

Safety Integrity Level (SIL)

– SIL pode ser considerado uma representação estatístIca da disponibilidade
de um SIS quando de uma demanda de processo. A análise de SIL inclui:
• Integridade dos componentes/equipamentos
• Diagnósticos
• Falhas Sistemáticas e de modo comum
• Testes
• Operação
• Manutenção

18
Determinação do SIL Define
Target SIL

Safety Integrity Level (SIL)

“4” - Impacto Catastrófico à comunidade.

“3” - Proteção à comunidade e empregados
“2” - Grande Proteção à Propriedade e Produção

“1” - Pequena Proteção à Propriedade e Produção

19
Gráfico de Risco IEC61508 Define
Target SIL

W3 W2 W1
C1
a - -
P1
F1 b a -
P2
C2 c b a
P1
Ponto de Partida F2 d c b
P2
e d c
F1
C3 f e d
F2
g f e
C4 h g f

20
Consequência (C) Define
Target SIL

C1 Consequências Menores

C2 Sérias consequências para uma

ou mais pessoas

C3 Morte de várias pessoas

C4 Morte de muitas pessoas

21
Frequência e tempo
de exposição (F) Define
Target SIL

F1 Rara exposição à Zona de

perigo

F2 Frequente ou Permanente
exposição à Zona de perigo

22
Possibilidade em evitar
o perigo (P) Define
Target SIL

P1 Possivel sob certas condições

P2 Praticamente impossível

23
Probabilidade de uma
ocorrência não desejada (W) Define
Target SIL

W1 Uma pequena chance de ocorrer um evento

não desejado

W2 Chances média da ocorrência de um evento

não desejado

W3 Uma grande chance de ocorrer um evento

não desejado

24
Determinação SIL - exemplo Define
Target SIL

• Consequência:
– C3 - Morte de diversas pessoas
• Frequência de Exposição:
– F1 - Rara a mais frequente em zona perigosa
• Possibilidade de Escape:
– P1 - Possível em determinadas condições
• Probabidade de Ocorrência:
– W2 - Uma ligeira probabidade de ocorrências de eventos indesejados

25
Estudo Qualitativo - exemplo Define
Target SIL

W3 W2 W1
C1
a - -
P1
F1 b a -
Ponto de partida P2
para estimativa C2 c b a
de Redução de P1
F2 d c b
Risco
P2
e d c
F1
C3 f e d
F2
g f e
C4 h g f

26
Correspondência SIL Define
Target SIL

Mínimo Necessário de Nível de Integridade

Redução de Nível de Risco de Segurança
- Sem requisitos de segurança

a Sem requisitos especiais

de segurança
b,c 1

d 2

e,f 3

g 4

h E/E/PES SRS não é suficiente

27
SIL vs. Disponibilidade Define
Target SIL

Disponibilidade
SIL TUV Requerida
4 7 >99.99%

IEC
3 5, 6 99.90 - 99.99%
1508
2 4 99.00 - 99.90%
SP-84

1 2, 3 90.00 - 99.00%

28
 REFERÊNCIA CRUZADA ENTRE AS
CLASSES & PADRÕES SIS

99.999 0.00001 AK8 8

99.99 0.000 4 AK7 7

1
AK6 6
99.90 0.00 3 3
1 AK5 5
AK4 4
99.00 0.0 2 2
AK3 3
1
AK2 2
90.00 0. 1 1
AK1 1
1

Percentagem de P.F.D. ANSI/ISA IEC 1508 Classe TUV Din V

disponibilidade (Probabidade de S84.01 (AK) 19250
Falha em Demanda)

SIL

29 CrossReference.ppt
 SAFETY DEMAND MODE CONTINUOUS/
INTEGRITY OF OPERATION HIGH DEMAND
LEVEL (Probability of MODE OF
failure to perform OPERATION
its design function (Probability of a
on demand) dangerous failure
PFDavg per hour)
4 >= 10-5 to 10-4 >= 10-9 to 10-8

3 >= 10-4 to 10-3 >= 10-8 to 10-7

2 >= 10-3 to 10-2 >= 10-7 to 10-6

1 >= 10-2 to 10-1 >= 10-6 to 10-5

30
Segurança / disponibilidade
exemplo prático

Eu dirijo cerca de oito kilometros para ir ao

trabalho todas as manhãs… .

…. e aciono os freios do meu carro cerca de

trinta vezes neste trajeto.
31
Segurança / disponibilidade exemplo
prático

Se os freios do meu automóvel atenderem ao

critério de 90% de disponibilidade ..

… eu posso esperar falha dos

freios pelo menos dia sim, dia não !

Você aceitaria esse desempenho do seu carro ?

32
Segurança / disponibilidade
exemplo prático

Se os freios do meu automóvel atenderem ao

critério de 99% de disponibilidade ..
…eu posso esperar falha dos freios pelo
menos uma vez a cada duas
semanas !

Você aceitaria esse desempenho do seu carro ?

33
Segurança / disponibilidade exemplo
prático

Se os freios do meu automóvel atenderem

agora ao critério de 99,9 % de disponibilidade
..
…eu posso esperar falha dos freios
pelo menos uma vez a cada trinta e
três semanas !

Esse desempenho é suficientemente bom ?

34
Segurança / disponibilidade exemplo
prático

Atendendo ao critério de 99,99 % de

disponibilidade ..

…eu dirijo diariamente ao trabalho por até

6,4 anos esperando estar em segurança !

Assim é que deve ser ……!

35
Sistemas de Segurança
Instrumentados
Tecnologia dos Sistemas de Segurança

• Relés
• Circuitos Lógicos de Estado Sólido
• CLP’s
• Sistemas tipo 1oo2D, 2oo4
• Sistemas TMR Tolerantes a Falha

37
Voting

A
1oo1
A

A B 1oo2
B

A
2oo2
C
B

A B

A C 2oo3

B C

38
Típico PES 1oo2

PSU PSU
A1 A2
Alta segurança
Baixa disponibilidade
IC I PE O
OC
P P
A
Sensor
Output
XX Terminação
YYY

Input IC I PE O OC
Terminação P P
B

PSU PSU
B1 B2

Final
Element

42
Típico PES 2oo2

PSU PSU
A1 A2
Alta disponibilidade
Baixa segurança
IC I PE O
OC
P P
A
Sensor
Output
XX Terminação
YYY

Input IC I PE O OC
Terminação P P
B

PSU PSU
B1 B2

Final
Element

43
Quad

1oo1D Input Modules 2oo3D

fail-safe fail-safe
P1 P2 P1 P2
watch dog watch dog

memory memory memory memory

direct inverse direct inverse

comparator comparator

CM 1 CM 2
multiplexer multiplexer
Diagnostic
Diagnostic
de all components
DPR DPR de all components
& display
& display
WD1 1oo2 1oo2 WD2

2oo4 Output Modules 1oo1D

1oo2D

44
Arquitetura Triplicada - TMR

Auto Spare Auto Spare

Input E/S Bus Output

Leg Main Leg
A Processor A
TriBus A

Main TriBus
Input Output
Leg Processor E/S Bus Leg Voter
B B
B

Terminação Main Terminação

TriBus
de Entrada Processor de Saída
Input C Output
Leg E/S Bus Leg
C C

45
 Check the Product
Independent Restrictions!

Fonte: http://www.tuv-fs.com/plclist.htm

46
Cooperation!

• TUV General Product-Independent Restrictions for Safety Systems Degraded to Single

Mode Operation

S ee for yourself at w w w .tuv- fs.com !

Fonte: http://www.tuv-fs.com/plcgen4.htm

47
Restrições Operacionais TÜV

Nuisance TÜV Time

TÜV Approved TÜV Class Trip Rate Restrictions after
Configuration Operating Mode Approval for Fault Detection
w/Restrictions* Safety High | Low (Degraded)

1oo2 2-0 SIL 3  N/A

AK 5 AK6
2oo2 Not Approved Not Approved  N/A
1oo2D 2-1-0 SIL 3  72 Hours /
AK5 Immediate (note 1)
1oo2D 2-0 SIL 3  Immediate /
AK6 1 Hour (note 2)
2oo4 2-1--0 SIL 3  72hrs or 1 hr
AK 5 AK6 on I/O conflict
Triconex TMR 3-2-1-0 SIL 3  2 Months
AK5 AK6
Note 1: Max 72 Hrs upon diagnosed fault. Any miscompare requires immediate shutdown
Note 2: Immediate shutdown upon diagnosed fault or miscompare. AK6 does not allow operação on
simples channel. Exceção se immediate shutdown is dangerous =Max 1 Hour.

48
Consequências nos Custos

• O que acontece se SIS falha ?

Trip desnecessário
Perda de produção ou parada
Manutenção emergencial adiçional

Planta posta em condição de perigo

Falha catastrófica
Danos importantes nos ativos
Gastos significativos
Danos pessoais
Mortes

Desastre
49
Consequências nos Custos

• Os custos consequenciais podem ser calculados? SIM

• Baseado no P/fd e em custos assumidos

Custo de um falso trip

Custo de perda de produção / retorno
Custo adicional de manutenção emergencial

Custo de uma falha catastrófica

•Equipamento / Ambiente
•Litigação
•Político

50
Exemplo
P&ID Exemplo

Safety
Valve AAA
1
Feed Out

SIS
Solenoid
Valve
S SIS

Control
Steam In Valve THCO
01

SIS

TC
01

Temp Logic
Controller Slover
Feed In

AAA
1

ET pede atender SIL3 = 1/1000 - 1/10000

Método FTA

54
P&ID Exemplo

Figure 3: Percent Contribution

of System Elements
1oo1 Configuration (Safe)

Solenoid
Pfd=1/6 Yrs.
Cont. Valve

Xmit-A

Logic

0 10 20 30 40 50 60 70 80 90 100

55
P&ID Exemplo

Figure 4: Percent Contribution of System

Elements
1oo1 Configuration (Spurious)

Solenoid Pfd= 1/1.2 Yrs

Cont. Valve

Xmit-A

Logic

0 10 20 30 40 50 60 70 80 90 100

56
 P&ID Exemplo

Figure 5: Percent Contribution System Elements.

1oo2 Configuration (Safe)

Solenoid

Pfd= 1/29 Yrs

Xmit A&B

Cont. valve

Logic

0 20 40 60 80 100

57
P&ID Exemplo

Figure 6: Percent Contribution System

Elements. 1oo2 Configuration (Spurious)

Solenoid

Cont. Valve
Pfd=1/3 Yrs.

Xmit B

Xmit A

Logic

0 10 20 30 40 50 60 70 80 90 100

58
P&ID Exemplo

Figure 7: Percent Contribution of System

Elements. 2oo2 Configuration (Safe)

Solenoid
Pfd= 1/4.8 Yrs
Xmit A&B

Cont. Valve

Logic

0 10 20 30 40 50 60 70 80 90 100

59
P&ID Exemplo

Figure 8: Percent Contribution of System

Elements . 2oo2 Configuration (Spurious)

Sloenoid
Cont. Valve Pfd=1/9 Yrs.
Logic
Xmit B
Xmit A

0 10 20 30 40 50 60 70 80 90 100

60
P&ID Exemplo

Figure 9 : Percent Contribution of System

Elements. 2oo3 Configuration (Safe)

Logic
Pfd= 1/54 Yrs.
Solenoid

Xmit AB&C

Control Valve

0 10 20 30 40 50 60 70 80 90 100

61
P&ID Exemplo

Figure 10: Percent Contribution of System Elements

2oo3 Configuration (Spurious)

Logic
Pfd = 1/18 Yrs.
Solenoid

Xmit AB&C

Control Valve

0 10 20 30 40 50 60 70 80 90 100

62
P&ID Exemplo

2oo3 Configuration Pfd Improvement

Factor
2/3 transmitters 1/54 -
1 Control Valve
TMR
1 Solenoid
Testing annually
* 2 Shut-off valves 1/150 2.7
* Testing every 6 months 1/478 8.85
* 2 Solenoids 1/722 13.3
* Smart Transmitters 1/3,559 65.9
* change to original design

63
Boas Práticas de Engenharia

• Sistemas instrumentados bem projetados usados para

segurança em aplicações críticas de controle
– Usar redundância (sensores e elementos finais) para aumentar segurança
e/ou disponibilidade.
– Separar o SIS do BPCS.
– Eliminar ou minimizar o modo de falha comum
• Balancear segurança e confiabilidade considerando
– votação apropriada,
– alta cobertura de auto-diagnósticos nos sensores de campo, processadores
lógicos e elementos finais de controle.

64
Recomendações Práticas
• Definir o SIL para a aplicação
• Selecionar o fornecedor do SIS
com certificações TUV
apropriadas
• Rever o relatório TUV
cuidadosamente
• Selecionar o fornecedor do SIS
com experiência em confiabilidade
65
• Se “Nuisance Trips” forem
importantes ou Programação de
Manutenção é um tópico
importante selecionar 2oo3D
• Seguir a S84.01 e o IEC 61508
• Verificar se o SIS atende a
disponibilidade para o SIL
 Obrigado!

marcio.razera@ips.invensys.com
011 6844 0228