Os Sistemas de Seguranças Instrumentados (SIS) são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.
As condições de segurança devem ser sempre seguidas e adotadas em plantas e as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvidos com segurança sejam operados com confiabilidade e eficiência.
Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassar estes limites. O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.
Durante muitos anos os sistemas de segurança foram projetados de acordo com os padrões alemães (DIN V VDE 0801 e DIN V 19250) que foram bem aceitos durante anos pela comunidade mundial de segurança e que culminou com os esforços para um padrão mundial, a IEC 61508, que serve hoje de guarda-chuva em seguranças operacionais envolvendo sistemas elétricos, eletrônicos, dispositivos programáveis para qualquer tipo de indústria. Este padrão cobre todos os sistemas de segurança que têm natureza eletromecânica.
Os produtos certificados de acordo com a IEC 61508 devem tratar basicamente 3 tipos de falhas:
- Falhas de hardware randômicas
- Falhas sistemáticas
- Falhas de causas comuns
A IEC 61508 é dividida em 7 partes das quais as 4 primeiras são mandatórias e as 3 restantes servem de guias de orientação:
- Part 1: General requirements
- Part 2: Requirements for E/E/PE safety-related systems
- Part 3: Software requirements
- Part 4: Definitions and abbreviations
- Part 5: Examples of methods for the determination of safety integrity levels
- Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
- Part 7: Overview of techniques and measures
Este padrão trata sistematicamente todas as atividades do ciclo de vida de um SIS (Sistema Instrumentado de Segurança) e é voltado para a performance exigida do sistema, isto é, uma vez atingido o nível de SIL (nível de integridade de segurança) desejável, o nível de redundância e o intervalo de teste ficam a critério de quem especificou o sistema.
A IEC 61508 busca potencializar as melhorias dos PES (Programmable Electronic Safety, onde estão incluídos os PLCs, sistemas microprocessados, sistemas de controle distribuído, sensores e atuadores inteligentes, etc.) de forma a uniformizar os conceitos envolvidos.
Recentemente vários padrões sobre o desenvolvimento, projeto e manutenção de SIS foram elaborados, onde já citamos a IEC 61508 (indústrias em geral) e vale citar também a IEC 61511, voltada as indústrias de processamento contínuo, líquidos e gases.
Na prática se tem visto em muitas aplicações a especificação de equipamentos com certificação SIL para serem utilizados em sistemas de controle, e sem função de segurança. Acredita-se também que exista no mercado desinformação, levando a compra de equipamentos mais caros, desenvolvidos para funções de segurança onde na prática serão aplicados em funções de controle de processo, onde a certificação SIL não traz os benefícios esperados, dificultando inclusive a utilização e operação dos equipamentos.
Além disso, esta desinformação leva os usuários a acreditarem que têm um sistema de controle seguro certificado, mas na realidade eles possuem um controlador com funções de segurança certificado.
Com o crescimento do uso e aplicações com equipamentos e instrumentação digitais, é de extrema importância aos profissionais envolvidos em projetos ou no dia-a-dia da instrumentação que se capacitem e adquiram o conhecimento de como determinar a performance exigida pelos sistemas de segurança, que tenham o domínio das ferramentas de cálculos e as taxas de riscos que se encontram dentro de limites aceitáveis.
Além disso, é necessário:
- Entender as falhas em modo comum, saber quais os tipos de falhas seguras e não seguras são possíveis em um determinado sistema, como preveni-las e mais do que isto; quando, como, onde e qual grau de redundância é mais adequado para cada caso.
- Definir o nível de manutenção preventiva adequado para cada aplicação.
O mero uso de equipamentos modernos, sofisticados ou mesmo certificados, por si só não garante absolutamente nenhuma melhoria de confiabilidade e segurança de operação, quando comparado com tecnologias tradicionais, exceto quando o sistema é implantado com critérios e conhecimento das vantagens e das limitações inerentes a cada tipo de tecnologia disponível. Além disso, deve-se ter em mente toda a questão do ciclo de vida de um SIS.
Comumente vemos acidentes relacionados a dispositivos de segurança bypassados pela operação ou durante uma manutenção. Certamente é muito difícil evitar na fase de projeto que um dispositivo destes venha a ser bypassado no futuro, mas através de um projeto criterioso e que atenda melhor às necessidades operacionais do usuário do sistema de segurança, é possível eliminar ou reduzir consideravelmente o número de bypasses não autorizados.
Através do uso e aplicação de técnicas com circuitos de lógica fixas ou programáveis, tolerantes à falha e/ou de falha segura, microcomputadores e conceitos de software, hoje já se pode projetar sistemas eficientes e seguros com custos adequados a esta função.
O grau de complexidade de SIS depende muito do processo considerado. Aquecedores, reatores, colunas de craquamento, caldeiras, fornos são exemplos típicos de equipamentos que exigem sistemas de intertravamento de segurança cuidadosamente projetados e implementados.
O funcionamento adequado de um SIS requer condições de desempenho e diagnósticos superiores aos sistemas convencionais. A operação segura em um SIS é composta de sensores, programadores lógicos, processadores e elementos finais projetados com a finalidade de provocar a parada sempre que houver limites seguros sendo ultrapassados (por exemplo, variáveis de processos como pressão e temperatura acima dos limites de alarme muito alto) ou mesmo impedir o funcionamento em condições não favoráveis às condições seguras de operação.
Exemplos típicos de sistemas de segurança:
- Sistema de Shutdown de Emergência (ESD)
- Sistema de Shutdown de Segurança (SSD)
- Sistema de intertravamento de Segurança
- Sistema de Fogo e Gás
Veremos a seguir, em uma série de artigos, mais detalhes práticos envolvendo cálculos probabilísticos, conceitos de confiabilidade, falhas e segurança, SIS, etc.
Vimos no artigo anterior, na primeira parte, alguns detalhes de Ciclo de Vida de Segurança e Análise de Riscos. Veremos agora, na segunda parte, um pouco sobre Engenharia de Confiabilidade
A confiabilidade de sistemas de medições pode ser quantificada como o tempo médio entre as falhas que ocorrem no sistema. Neste contexto, falha significa uma ocorrência de uma condição inesperada que causa um valor incorreto na saída.
A confiabilidade de um sistema de medição é definida como a habilidade do sistema executar sua função dentro de limites e condições operacionais durante um tempo definido. Infelizmente, vários fatores tais como as tolerâncias dos fabricantes de acordo com as condições operacionais dificultam às vezes esta determinação e na prática o que conseguimos é expressar estatisticamente a confiabilidade através da probabilidade das falhas que ocorrerem dentro de um período de tempo.
Na prática nos deparamos com uma grande dificuldade que é determinar o que é uma falha. Quando a saída de um sistema está incorreta é algo difícil de se interpretar quando comparado com a perda total da saída de medição.
Como vimos, a confiabilidade é essencialmente de natureza probabilística e pode ser quantificada em termos quase-absolutos pelo tempo médio entre falhas (MTBF) e tempo médio para falhar (MTTF). Deve ser enfatizado que estes dois tempos são usualmente os valores médios calculados usando-se um número de instrumentos idênticos e, portanto, para qualquer instrumento em particular seus valores podem ser diferentes da média.
O MTBF é um parâmetro que expressa o tempo médio entre falhas que ocorrem em um instrumento, calculado em um determinado período de tempo. Em casos onde os equipamentos possuem alta confiabilidade, na prática ficará difícil se contar o número de ocorrências de falhas e poderão ser gerados números não precisos para o MTBF e aí, recomenda-se usar o valor do fabricante.
O MTTF é um modo alternativo de se quantificar a confiabilidade. É normalmente usado para dispositivos como termopares, pois são descartados ao falhar. O MTTF expressa o tempo médio antes que a falha ocorra, calculado em um número idêntico de dispositivos.
A confiabilidade final associada em termos de importância ao sistema de medição é expressa pelo tempo médio de reparo (MTTR), ou seja, o tempo médio para reparo de um instrumento ou ainda o tempo médio de substituição de um equipamento.
A combinação do MTBF e do MTTR mostra a disponibilidade:
Disponibilidade = MTBF/ (MTBF+MTTR)
A Disponibilidade mede a proporção de tempo no qual o instrumento trabalha sem falhas.
O objetivo em sistemas de medições é maximizar o MTBF e minimizar o MTTR e conseqüentemente, maximizar a Disponibilidade.
O modelo de uma falha em um dispositivo pode mudar ao longo do seu ciclo de vida. Pode permanecer inalterado, diminuir ou mesmo aumentar.
Em componentes eletrônicos, é comum termos o comportamento de acordo com a figura 1, também conhecido como “bathtub curve”.
Figura 1 – Curva Típica da variação de confiabilidade de um componente eletrônicoOs fabricantes geralmente aplicam testes de burn-in de forma que se elimina a fase até T1 até que os produtos são colocados no mercado.
Já os componentes mecânicos vão apresentar uma taxa de falha maior no final de seu ciclo de vida, conforme a figura 2.
Figura 2 – Curva Típica da variação de confiabilidade de um componente mecânicoNa prática, onde os sistemas são composições eletrônicas e mecânicas os modelos de falhas são complexos. Quanto mais componentes, maior as incidências e probabilidades de falhas.
Na prática usualmente teremos vários componentes e o sistema de medição é complexo. Podemos ter componentes em série e em paralelo.
A confiabilidade de componentes em série deve levar em conta a probabilidade de falhas individuais em um período de tempo. Para um sistema de medição com n componentes em série, a confiabilidade Rs é o produto das confiabilidades individuais: Rs = R1xR2...Rn.
Imagine que tenhamos um sistema de medição formado por um sensor, um elemento de conversão e um circuito de processamento de sinal, onde temos as seguintes confiabilidades: 0.9, 0.95 e 0.099, respectivamente. Neste caso a confiabilidade do sistema será: 0.9x0.95x0.009 = 0.85.
A confiabilidade pode ser aumentada colocando-se componentes em paralelo, o que significa que o sistema falha se todos os componentes falharem. Neste caso a confiabilidade Rs é dada por:
Rs = 1 – Fs, onde Fs é a não confiabilidade do sistema.
A não confiabilidade é Fs = F1xF2...F3.
Por exemplo, em um sistema de medição segura existem três instrumentos idênticos em paralelo. A confiabilidade de cada um é 0.95 e a do sistema é dada por:
Rs = 1 –[ (1-0.95)x(1-0.95)x(1-0.95)] = 0.999875
O que se busca na prática é minimizar o nível de falhas. Um requisito importante é assegurar que se conheça e atue antes do temo T2(vide figuras 1 e 2) quando a freqüência estatística das falhas aumenta. O ideal é fazer com que T(período de tempo ou ciclo de vida) seja igual a T2 e com isto maximizamos o período sem falhas.
Existem várias maneiras para aumentar a confiabilidade de um sistema de medição:
- A Escolha dos instrumentos: deve-se sempre estarem atentos aos instrumentos especificados, suas influências quanto ao processo, materiais, ambiente, etc.
- A Proteção dos instrumentos: protegendo os instrumentos com adequadas proteções podem ajudar a melhorar e garantir um nível maior de confiabilidade. Por exemplo, termopares deveriam estar protegidos em condições adversas de operações.
- Calibração regular: a maioria das falhas pode ser causada por drifts que podem alterar e gerar saídas incorretas. Então, de acordo com as boas práticas da instrumentação recomenda-se que periodicamente os instrumentos sejam checados e calibrados.
- Redundância: neste caso, tem-se mais de um equipamento trabalhando em paralelo e chaveado, às vezes, automaticamente. Aqui a confiabilidade é melhorada significativamente.
Os Sistemas de Seguranças são utilizados para monitorar a condição de valores e parâmetros de uma planta dentro dos limites operacionais e quando houver condições de riscos devem gerar alarmes e colocar a planta em uma condição segura ou mesmo na condição de shutdown.
Observe que as condições de segurança devem ser seguidas e adotadas pelas plantas onde as melhores práticas operacionais e de instalação são deveres dos empregadores e empregados. Vale lembrar ainda que o primeiro conceito em relação à legislação de segurança é garantir que todos os sistemas sejam instalados e operados de forma segura e o segundo é que instrumentos e alarmes envolvido com segurança sejam operados com confiabilidade e eficiência.
Os Sistemas Instrumentados de Segurança (SIS) são os sistemas responsáveis pela segurança operacional e que garantem a parada de emergência dentro dos limites considerados seguros, sempre que a operação ultrapassa estes limites.O objetivo principal é se evitar acidentes dentro e fora das fábricas, como incêndios, explosões, danos aos equipamentos, proteção da produção e da propriedade e mais do que isto, evitar riscos de vidas ou danos à saúde pessoal e impactos catastróficos para a comunidade. Deve-se ter de forma clara que nenhum sistema é totalmente imune a falhas e sempre deve proporcionar mesmo em caso de falha, uma condição segura.
1. Confiabilidade R(t)
A confiabilidade é uma métrica desenvolvida para determinar a probabilidade de sucesso de uma operação em um determinado período de tempo.
Quando l (taxa de falhas) for muito pequeno, a função de não-confiabilidade (F(t)) ou a Probabilidade de Falha (PF) é dada por: PF(t) = lt
Figura 3 – Confiabilidade R(t)
2. MTTR - Tempo Médio de Reparo
A medição de confiabilidade exige que um sistema tenha sucesso em operação durante um intervalo de tempo. Neste sentido, aparece a métrica do MTTR que é o tempo no qual se detecta uma falha e se tem o seu reparo (ou restabelecimento do sucesso operacional).
A taxa de restabelecimento do sucesso operacional é dada por: µ = 1/MTTR
Na prática não é simples estimar esta taxa, principalmente quando atividades de inspeção periódicas acontecem, uma vez que a falha pode acontecer logo após uma inspeção.
3. MTBF – Tempo Médio entre Falhas
O MTBF é uma medida básica da confiabilidade em itens reparáveis de um equipamento. Pode ser expresso em horas ou anos. É comumente usado em análises de confiabilidade e sustentabilidade em sistemas e pode ser calculado pela seguinte fórmula:
MTBF = MTTR + MTTF
Onde:
- MTTR = Tempo Médio de Reparo
- MTTF = Tempo Médio para Falhar = ao inverso da somatória de todas as taxas de falhas
Como o MTTR é muito pequeno na prática, é comum assumir o MTBF = MTTF
4. Disponibilidade A(t) e Indisponibilidade U(t)
Outra métrica muito útil é a disponibilidade. É definida como a probabilidade de que um dispositivo esteja disponível (sem falhas) quando em um tempo t exige-se que ele opere dentro das condições operacionais para o qual foi projetado.
A Indisponibilidade é dada por: U(t) = 1 – A(t)
A disponibilidade é uma função não somente de confiabilidade, mas é também uma função de manutenção. A Tabela 1 abaixo mostra a relação entre a confiabilidade, manutenção e disponibilidade. Note que nesta tabela, um aumento na capacidade de manutenção implica em uma diminuição no tempo que leva para realizar ações de manutenção.
Confiabilidade
Manutenção
Disponibilidade
Constante
Diminui
Diminui
Constante
Aumenta
Aumenta
Aumenta
Constante
Aumenta
Diminui
Constante
Diminui
Tabela 1 – Relação entre Confiabilidade, Manutenção e Disponibilidade
Figura 4 – Confiabilidade, Disponibilidade e Custos
5. Probabilidade de Falha em Demanda (PFDavg) e Teste e Inspeção Periódicos
PFDavg é a probabilidade de falha que um sistema (para prevenção de falhas) tem quando uma falha ocorrer. O nível de SIL está relacionado com esta probabilidade de falha em demanda e com o fator de redução de risco (o quanto se precisa proteger para garantir um risco aceitável quando ocorrer um evento de falha).
PFD é o indicador de confiabilidade apropriado para sistemas de segurança.
Se não for testado, a probabilidade de falha tende a 1.0 com o tempo. Testes periódicos mantêm a probabilidade de falha dentro do limite desejável
Figura 5 – Votação, PFD e Arquitetura
A figura 5 mostra detalhes de arquitetura versus votação e PFD e a figura 6 mostra a correlação em PFD e Fator de Redução de Risco. Posteriormente, entraremos em mais detalhes nos artigos que complementam esta série.
Figura 6 – Correlação ente a PFDavg e o Fator de Redução de Risco
Pode-se calcular a Probabilidade de Falha usando-se a seguinte equação:
PFAvg = (Cpt x l x TI/2) + ((1-Cpt) x l x L xT/2), onde:
- l: taxa de falha
- Cpt: percentagem de falhas detectada por um teste (proof test)
- TI: período do teste
- LT: tempo de vida de uma unidade de processo
Vejamos um exemplo: Vamos supor que uma válvula é usada em um sistema instrumentado de segurança e tenha uma taxa de falha anual de 0.002. A cada ano é feito um teste de verificação e inspeção. Estima-se que 70% das falhas são detectadas nestes testes. Esta válvula será usada durante 25 anos e sua demanda de uso é estimada uma vez a cada 100 anos. Qual a probabilidade média dela falhar?
Usando a equação anterior temos:
- l: 0.002
- Cpt: 0.7
- TI: 1 ano
- LT: 25 anos
PFDavg = (0.7) x 0.002 x ½ + (1-0.7) x 0.002 x 25/2 = 0.0082
Em termos práticos o que se busca é a redução de falhas e conseqüentemente a redução de paradas e riscos operacionais. Busca-se o aumento da disponibilidade operacional e também em termos de processos, a minimização da variabilidade com conseqüência direta no aumento da lucratividade.
Nos próximos artigos desta série veremos mais detalhes sobre SIS. Na terceira parte veremos um pouco sobre modelos usando sistemas em série e paralelo, árvores de falhas (Fault Trees), modelo de Markov e alguns cálculos.
- IEC 61508 – Functional safety of electrical/electronic/programmable electronic safety-related systems.
- IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements", 2003-01
- ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de intertravamento de segurança, 2003.
- Sistemas Instrumentados de Segurança - César Cassiolato
- “Confiabilidade nos Sistemas de Medições e Sistemas Instrumentados de Segurança” - César Cassiolato
- Manual LD400-SIS
- Sistemas Instrumentados de Segurança – Uma visão prática – Parte 1, César Cassiolato