CLCULO DO SIL ATINGIDO ESTUDO DE CASO

Elvio Nascimento de Oliveira

elvio.oliveira@braskem.com.br BRASKEM PVC/AL

Abstract
Imperfections in instrumented systems of security must lead the normative studies of project and assembly of these systems. Here the reader will follow the phases of diagnosis and conclusion where the criteria of acceptability of risks of the company had been disregarded and its consequences for the assets.

Resumo
Falhas em sistemas instrumentados de segurana devem conduzir a estudos normativos de projeto e montagem destes sistemas. Aqui o leitor acompanhar as fases de diagnstico e concluso onde os critrios de aceitabilidade de riscos da empresa foram descumpridos e suas conseqncias para os ativos. Palavras chave: SIL, clculo, segurana, processo.

1.

INTRODUO

A segurana de processos industriais nunca alcanou tanta importncia quanto nos ltimos anos, acidentes como P-36, Piper Alpha, Bophal, entre outros conferem aos homens que tratam deste assunto uma responsabilidade mpar. No apoio, temos a evoluo das normas que tentam acompanhar as tecnologias mas, sempre o homem que as interpreta e na busca do equilbrio entre qualidade, custo, produo e segurana, a realidade pontual pode lev-lo a tomar decises no robustas e que no suportaro nenhum desequilbrio futuro. Neste trabalho procuramos despertar para o clculo do SIL atingido pela montagem do sistema, com foco nos elementos do campo. Apresentamos um caso prtico onde os dados foram retirados da prpria unidade fabril e calculamos a PFD para confrontar com o nvel SIL requerido e o valor encontrado no foi surpresa. Os clculos so apresentados de forma simples com equaes derivadas da engenharia de confiabilidade onde alertamos tanto para itens normativos que os dispositivos no atendiam, quanto para fatores que podem fazer a diferena quando inseridos no contexto de segurana de processo, avaliao de seguradoras e confiabilidade humana

2.
2.1

CONCEITOS E DEFINIES
Segurana de processos industriais

A instalao de uma unidade industrial, assim como sua operao de modo seguro prev aes e sistemas de segurana que compe as barreiras impostas pelo homem, a fim de evitar acidentes em decorrncia de falhas, sejam de processo ou equipamentos. Essas barreiras so determinadas por estudos exaustivos sobre os riscos e as condies de falha de cada sistema. De uma maneira geral, essas aes vo desde o processo at a comunidade, como ilustra a Figura 1. Os estudos de vulnerabilidades dos sistemas realizados sob tcnicas qualitativas e quantitativas apresentam como resultado todos os recursos que os sistemas devem prover assim como aes para evitar ou mitigar eventos indesejveis.

Os instrumentos so, em uma unidade industrial, o elo entre o processo e o operador, por isso, as malhas formadas por eles merecem o destaque proporcional a sua importncia para o processo e para a segurana do mesmo, de pessoas e das instalaes.

Resposta de Emergncia da Comunidade Resposta de Emergncia da Planta Proteo Fsica Ps-Liberao (dique) Proteo Fsica (alvio) Funes Instrumentadas de Segurana (SIF) Alarmes Crticos e Interveno Humana Sistemas de Controle Bsicos do Processo Projeto do Processo

Figura 01 Seqncia de barreiras de mitigao de riscos

Em funo destes objetivos, a instrumentao de uma planta tem duas caractersticas principais: de controle e de segurana, isto , existe todo um sistema montado por estes instrumentos, chamado de SIS, sistema instrumentado de segurana, que tem o intuito de contribuir efetivamente para as barreiras mitigadoras dos riscos que a empresa considera tolervel. Em outras palavras, so dispositivos de controle formados por sensores, circuitos lgicos e elementos finais de controle adicionais instalados com o propsito de levar o processo a um estado seguro quando condies pr-determinadas forem violadas, que podem agir sob os seguintes critrios: Impedir o processo de operar em um estado inseguro; Parar o processo inteiro nos limites superior/inferior; Proibir partidas inseguras. As malhas de um SIS precisam de uma classificao normativa que asseguram sua funcionabilidade em caso de emergncia. Neste contexto, surgiu a classificao SIL, nvel de integridade de segurana que como o SIS, deve ser idealizado em funo dos critrios requeridos pela empresa.

2.2

Conceito de SIL

Na dcada de 90, empresas e grupos industriais desenvolveram normas para projetar, construir e manter um SIS. Um dado de entrada chave para as ferramentas e tcnicas necessrias para implementar estas normas era a probabilidade de falha exigida para cada SIF (Funo Instrumentada

de Segurana). Em 1996, a ISA Instrument Society of Amrica publicou uma norma para guiar a classificao de SIS para indstrias de processo dos Estados Unidos. A norma ANSI/ISA-S84.01 introduziu o conceito de SIL (Nvel de Integridade de Segurana). Subseqentemente, a IEC (International Electrotechnical Comission) publicou a norma IEC 61508, para ajudar a quantificar a segurana em sistemas eltricos, eletrnicos e eletrnico-programveis. Um Sistema Instrumentado de Segurana (SIS) uma das camadas crticas para a preveno de acidentes. Um SIS realiza vrias SIFs e tipicamente composto por sensores, analisadores lgicos e elementos finais de controle. Probabilidades de falha na demanda aceitveis (chamadas de SIL Safety Integrity Level) para cada SIF precisam ser determinadas para o projeto e posterior verificao. SIL a representao estatstica da integridade de um SIS, quando uma demanda de processo ocorre, sendo tambm usada para medir a confiabilidade do SIS. As normas ANSI/ISA-S84.01 e IEC 61508 possuem os mesmos trs primeiros nveis de integridade: SILs 1, 2 e 3. A IEC tambm inclui um nvel adicional, SIL 4, que a ISA no possui. Quanto maior o SIL, mais confivel ou eficiente o sistema. Os SILs esto relacionados probabilidade de falha na demanda (PFD), que equivalente indisponibilidade de um sistema no momento da demanda de processo e conseqncia/criticidade no evento desta indisponibilidade. O fator 1/PFD tambm conhecido com fator de reduo de risco, RRF.

2.3

Determinao do SIL requerido

Para se determinar o nvel de integridade desejado para um SIS, os seguintes parmetros devem ser considerados: A severidade das conseqncias, se a funo de proteo do instrumento no operar sob demanda; A probabilidade de pessoas expostas ao perigo; Existncia de fatores alternativos que podero reduzir o impacto das conseqncias do perigo; A freqncia em que a funo de proteo do instrumento chamada para operar. Existem diversos mtodos para se identificar os SILs necessrios para as SIFs. Um deles a anlise de camadas de proteo Layer of Protection Analysis, LOPA, uma tcnica de anlise de riscos que aplicada em seguida ao uso de uma tcnica qualitativa de identificao de perigos, como a APP (Anlise Preliminar de Perigos) ou a HAZOP (Estudo de Perigos e Operabilidade). Derivada de uma ferramenta de anlise quantitativa de riscos, a anlise de freqncia por rvores de eventos, a LOPA pode ser descrita como uma tcnica semiquantitativa, porque gera uma estimativa do risco. Uma vez que o nvel SIL foi definido, a norma ANSI/ISA-S84.01 apresenta uma srie de recomendaes para que o SIS possa atender ao SIL requerido relativas separao para iniciadores (sensores, transmissores, etc.), atuadores (vlvulas solenides, vlvula de bloqueio, etc.), executor da lgica (painel de rels ou PLC) e comunicao entre SDCD e SIS, para os diferentes nveis de integridade de segurana.

2.4

Determinao do SIL do sistema

Os sistemas de controle so projetados para manter o processo dentro dos parmetros de processo especficos considerados aceitveis para a operao normal e segura da planta. Quando o processo excede o limite normal do funcionamento, pode apresentar risco potencial vida humana, ao meio ambiente e aos ativos. Na fase de avaliao, os riscos so identificados juntamente com suas conseqncias e so definidos os meios para impedir sua ocorrncia. O risco identificado ter sua probabilidade reduzida tanto quanto o sistema prover de camadas preventivas. A reduo do risco estabelece trs critrios: O equipamento deve ser aprovado para as condies ambientais de onde ser instalado; Os subsistemas deve possuir tolerncia falha necessria em virtude das falha perigosas apresentadas pelo processo; A Probabilidade de Falha sob Demanda (PFD) da SIF deve ser adequada aos riscos aceitveis pela empresa.

O usurio deve ter domnio das informaes sobre os equipamentos, de modo que seja possvel realizar uma boa anlise de desempenho da SIF. As tcnicas construtivas com viso de tolerncia falha dos componentes impedem que uma nica falha cause a falha do dispositivo. Finalmente, o clculo do desempenho determina se o SIS mantm as expectativas do projeto com relao ao nvel de integridade desejado. A confiabilidade do SIS definida por seis parmetros: Tempo mdio entre falhas (MTBF) Arquitetura de votao Cobertura dos diagnsticos (DC) Intervalo do teste (TI) Tempo mdio de reparo (MTTR) Modo de falha comum

2.5

Probabilidade de falha instantnea (PFD (t)

Para SIFs, a probabilidade da falha pode ser interpretada como a transio de um dispositivo do estado de funcionamento ao estado onde o mesmo deixa de exercer a funo para qual foi especificado. Analisando a figura 2, o dispositivo capaz de executar sua funo do projeto no estado 1. A transio para o estado 2, indica que instrumento falhou. A transio entre o estado 1 e 2 calculada por uma funo f(x) que descreva a probabilidade do fim da vida til do dispositivo, de modo que a taxa de falhas perigosas, D, seja constante com tempo. A Probabilidade de falha instantnea, PFD(t) a probabilidade da falha do dispositivo tomada no tempo t. No estado inicial, tempo = 0 a probabilidade de falha zero. No tempo = , a probabilidade da falha 1. Segundo as indicaes da figura 3, a PFD (t) aumenta exponencialmente com o tempo. Quando o dispositivo testado, o PFD (t) reduzido a ao valor inicial. Isto envolve duas suposies implcitas: Toda a falha do dispositivo detectada pela inspeo e pelo teste de prova. O dispositivo reparado e retornado ao servio em condies de novo. O efeito do teste de prova ilustrado pela forma do dente da serra mostrada na figura 3. Como resultado, temos que o intervalo de teste fator imperativo para determinao da classificao SIL alcanada.

Figura 02 Estados de transio

2.6

Probabilidade de falha sob demanda mdia (PFDmdia)

Em termos prticos, a PFDmdia que usada para definir o nvel SIL atingido pelo sistema, e como podemos concluir na representao da figura 3, ela tem influncia significativa da PFD (t), e dos intervalos de teste. Outros parmetros como os diagnsticos e o MTTR tambm colaboram. A PFDmdia calculada integrando-se a exponencial da PFD (t) no intervalo de tempo de testes do sistema (TI), assim temos:

(Equao 1)

Simplificando esta equao atravs da expanso de sries exponenciais e acrescentando a contribuio do tempo mdio de reparo (MTTR), a equao fica assim:

(Equao 2)

Onde:

(Equao 3)

Para sistemas com lgicas de votao, a PFD pode ser encontrada atravs de equaes em literaturas especficas, baseados nos modelos desenvolvidas pelo matemtico russo, Andrei Markov, e lgebra booleana.

PFD (t)

PFDmdio

Tempo (t) TI TI TI

Figura 03 Comportamento tpico do PFD (t)

3
3.1

ESTUDO DE CASO
Descrio sumria do processo

Um incinerador de gases recebe alimentao dos efluentes gasosos proveniente do processo de fabricao. Opera com temperatura de 760 a 825 C, de forma a destruir os radicais orgnicos completamente com ajuda de gs combustvel na mistura. Todo resduo orgnico nesta condio completamente decomposto sob forte atmosfera oxidante e os gases provenientes da combusto passam pr um trocador de calor, so resfriados e alimentam uma torre de quench para posterior tratamento e descarte. Ocorre que a umidade que contamina o vent-seco devido a um produto inflamvel que, caso entre no incinerador causa grandes danos aos refratrios e ao trocador de calor impossibilitando o tratamento de efluentes gasosos. Para que isso no ocorra, o sistema prev um desvio da corrente de alimentao (vent-seco) para ser incinerada no flare. Na figura 4, ilustrada a alimentao do incinerador pela vlvula 1 enquanto que a vlvula 2, permanece fechada em condies normais de operao. A forma de deteco de umidade nesta corrente a temperatura no interior da cmara de combusto. Quando esta temperatura alcana um valor pr-estabelecido, o PLC comanda as vlvulas 1 e 2 para desviar a alimentao para o flare.

Figura 04 Fluxograma simplificado da rea de incinerao

3.2

Histrico

No ano de 2007 houveram trs ocorrncias na planta relacionadas com as vlvulas solenides do sistema de shutdown: Em 17/03/07, um forno de craqueamento no saiu de operao quando solicitado pelo PLC; Em 21/03/07, o mesmo forno de craqueamento saiu de operao indevidamente; Em 03/05/07, o trocador de calor do incinerador foi danificado em funo da falha no desvio de vent-seco; Em 10/01/08, num forno de craqueamento, a vlvula de gs combustvel fechou indevidamente por falha na bobina.

No primeiro evento, a unidade foi posta em risco. No segundo, a produo foi prejudicada e no terceiro houve um prejuzo da ordem de R$ 600.000,00, sendo que esta falha j ocorreu em 2004, gerando um custo semelhante. Em abril de 2007, aps visita do fabricante da vlvula solenide a nossa unidade industrial, o mesmo emitiu um relatrio onde questiona a utilizao deste modelo de vlvula, uma vez que a garantia de seu perfeito funcionamento requer um teste de acionamento a cada duas semanas. As vlvulas em questo possuem alavanca para rearme manual. O estudo de classificao de malhas da unidade foi realizado com base na norma tcnica da PETROBRS N-2595 (Critrios de Projeto e Manuteno para SIS em unidades industriais). Esta norma, no seu captulo 7, sub-tem 7.4.7 clara quando ressalta que solenides com rearme manual, no devem ser utilizadas em SIS. As vlvulas atuais no possuem classificao SIL e possuem um MTBF de 3,5 anos declarado pelo fabricante apenas para a bobina, no considerando as partes mecnicas que o mesmo, como j salientamos, exige testes a cada 15 dias.

3.3

Nvel SIL requerido para as vlvulas solenides

A empresa utilizou a N-2595, norma da PETROBRAS que apresenta uma tcnica qualitativa para classificao de malhas de segurana e obteno do SIL de acordo com a classe da malha entre I e VI ou X. Segue na Tabela 1 os parmetros avaliados na determinao do SIL das vlvulas em questo:

Tabela 01 Classificao SIL das vlvulas 1 e 2

Cada malha de segurana recebe durante a classificao categorias de freqncia de demanda e categorias de conseqncias em termos de trs aspectos: Conseqncias sobre a segurana pessoal; Conseqncias sobre a produo e equipamentos; Conseqncias sobre o meio ambiente.

3.4

Detalhamento dos itens da Tabela 01

Freqncia da Demanda (W) Consiste na freqncia de ocorrncia de demanda da malha, que pode ter origem devido ao mau funcionamento de uma malha de controle, falha em equipamento ou erro de operao. Para as vlvulas 1 e 2: W3 - Relativamente alta (mais de uma por ano) Conseqncia de Falha da Demanda A classificao de malhas de segurana de acordo com a possibilidade de ocorrncia de falhas de demanda deve ser avaliada sobre os aspectos de segurana pessoal, perdas de produo e danos a equipamentos e ao meio ambiente. Para segurana pessoal, trs aspectos sero analisados no caso de falha na demanda da malha de segurana:

S A G

Potencial de risco ao ser humano; Grau de presena humana na rea de risco; Possibilidade de evitar a exposio ao risco.

Para as vlvulas 1 e 2: S1 - Leses desprezveis, intoxicaes Perdas de Produo/Equipamentos (L) Consiste no potencial de perdas de produo e danos a equipamentos no caso de falha na demanda da malha de segurana, sendo: Vlvula 1 L2 - Pequenas perturbaes operacionais ou danos pequenos ao equipamento; Vlvula 2 L1 - Moderadas perturbaes operacionais ou danos moderados ao equipamento; Meio Ambiente (E) Implica nas conseqncias para o meio ambiente e so expressas pelo potencial de danos ao meio ambiente em caso de falha na demanda da malha de segurana. Sendo para as vlvulas 1 e 2: E1 Liberao para dentro dos limites geogrficos da companhia com conseqncias ambientais conhecidas Aps a classificao quanto freqncia de demanda e conseqncias, os nveis so dispostos em matrizes, que cruzam a freqncia com a conseqncia e informam a classe da malha para cada um dos trs tipos de conseqncia. A maior classificao resultante destes trs aspectos avaliados (segurana pessoal, perdas de produo e meio ambiente) deve ser selecionada para a malha sob anlise. Ao concluir estas etapas, obtm-se uma classificao para cada par iniciador/atuador de todas as malhas de segurana analisadas. Ao final da anlise, a malha de segurana de maior classe define a classificao dos elementos do SIS, de acordo com a viso sistmica ilustrada na Figura 05. A Tabela 02 apresenta o relacionamento entre a Classe da Malha de Segurana, a Probabilidade de Falha na Demanda (PFD) e o Nvel de Integridade de Segurana (SIL). Para as vlvulas 1 e 2, temos: Classe final para falha na Demanda IV SIL 2

Classe da Malha de Segurana I II III IV V VI X

PFD >=10 >=10

-2 -3 -4 -4 -5 -1 -1 -1 -2 -3 -3 -4

SIL 1 2 3 3 4

>=10 - <10 >=10 - <10 >=10 - <10 >=10 - <10 >=10 - <10

Tabela 02 Relacionamento entre a Classe da Malha de Segurana, PFD e SIL

3.5

Clculo do SIL atingido

As malhas de shutdown tm classificao SIL 2, e para fundamentar a vulnerabilidade do SIS fizemos o clculo do SIL atingido levando em considerao as falhas ocorridas nas solenides das Vlvulas 1 e 2 e definindo a Probabilidade de Falha sob Demanda (PFD) para qualquer das duas vlvulas que ter o mesmo valor.

Consideraes: Laudo do fabricante evidenciando que o tipo de vlvula usada pela empresa no atendia para a aplicao em SIS; Uso de alavanca manual para rearme que vai de encontro a Norma Petrobrs N-2595, que foi usada para classificao das malhas; No por em discusso a arquitetura do SIS; No por em discusso a PFD dos outros componentes do SIS; Dar nfase a funo vlvula solenide evidenciada como causa raiz; Embora tenhamos vrias falhas deste modelo de vlvula solenide em 2007, fomos conservadores na definio dos parmetros para clculo do nvel SIL atingido pelo SIS.

Figura 05 Viso sistmica do SIS Clculos: A rea de incinerao tem um tempo de campanha de 18 meses, por procedimento, antes de partir a unidade o teste de intertravamento realizado. Este fato usado para mensurar o intervalo de teste usado para os clculos a seguir, de acordo com a as equaes 2 e 3:

Onde:

CONCLUSO

Embora nosso estudo tenha como premissa no envolver a PFD de outros componentes do SIS, pela viso sistmica mostrada na Figura 05, percebemos que para nossa concluso isso no tem efeito relevante, uma vez que a PFD do sistema to maior quanto a maior dos componentes, isto , se um componente do SIS (no nosso estudo, a vlvula solenide) apresentar a PFD fora da exigncia do SIL da malha, toda malha est comprometida. Na atual configurao do SIS estas vlvulas esto levando as malhas a perderem a classificao de SIL 2 conforme matriz da empresa. Isto implica em no cumprimento de requisitos normativos onde assumimos o risco pela integridade dos ativos, pessoas e meio ambiente. As companhias seguradoras tm profissionais especializados em deteco destas inconsistncias o que compromete muitas vezes o pagamento de prmios do seguro assim como, a demonstrao do domnio desta tcnica d empresa recurso para diminuir valores de aplices. Embora, as ocorrncias nos conduzem para falhas nas barreiras de segurana de processo, portanto no h a necessidade de justificativas econmicas, mesmo assim, fizemos o EVTE (Estudo de viabilidade tcnica e econmica) considerando que haver uma falha a cada trs anos (de acordo com o MTBF experimentado nos ltimos anos) com o sistema do trocador de calor do incinerador, visto que a mesma falha ocorreu em 2004 e 2007. O resultado foi uma TIR (taxa de retorno de investimento de 36 % para toda planta, quer dizer, para cada R$ 1,00 investido h um ganho de R$ 0,36 o que leva o payback para aproximadamente trs anos. Este estudo motivou a abertura de um projeto para investimentos da ordem de R$ 1.000.000,00 para substituio das vlvulas solenides tanto pela descaracterizao do SIL requerido como pelo uso das alavancas manuais. J encontramos nas literaturas e normas, alm dos intervalos de teste requeridos, perodos sugeridos para verificao do nvel de integridade de cada sistema. A evoluo das normas, o aumento da capacidade estatstica e o avano tecnolgico dos componentes so os principais fatores para que os profissionais responsveis visitem estes parmetros periodicamente.

REFERNCIAS BIBLIOGRFICAS

CHEMTECH, Servios de Engenharia e Software Ltda., Especificao do sistema de segurana: Relatrio Tcnico, reviso C de 08/06/2004 FINKEL, V. S.; Apostila, Sistemas Instrumentados de Segurana: So Paulo/SP, 2004. GRUHN, Paul; CHEDDIE, Harry L., Safety Instrumented Systems: Design, Analysis and Justification, a 2 Edition, ISA, USA, 2006. PETROBRAS, N-2595 Critrios de Projeto e Manuteno para Sistemas Instrumentados de Segurana em Unidades Industriais, novembro de 1997. ANSI/ISA-S84.01-1996, Application of Safety Instrumented Systems for the Process Industries, Instrument Society of America S84.01 Standard, Research Triangle Park, NC, 27709, 2004. CCPS, Center for Chemical Process Safety, Guidelines for Safe and Reliable Instrumented Protective Systems, 1a Edition, Wiley-Interscience, USA, 2007.

Elvio Nascimento de Oliveira Braskem PVC/AL Rod. Divaldo Suruagy, Km 12, via II, s/n Plo Cloroqumico Marechal Deodoro-AL, CEP: 57160.000. Tel.: (82) 3177.5578 / (82) 9981.8190 elvio.oliveira@braskem.com.br