Segurança industrial em eras pré-digitais centradas principalmente em trabalho seguro Hoje, a segurança penetra muito mais profundamente em infraestruturas de fabricação mais complexas, estendendo sua influência protetora até o resultado final de uma empresa. Os sistemas de segurança contemporâneos reduzem o risco com os avanços operacionais que frequentemente também aumentam a confiabilidade, a produtividade e a lucratividade.
Nada é mais importante que a segurança para as indústrias de controle de processos. Alta temperatura e pressão, materiais inflamáveis e tóxicos são apenas alguns dos problemas enfrentados diariamente. A confiabilidade é um componente essencial da segurança; quanto mais confiável o dispositivo, mais seguro é o processo crítico.
Após anos de trabalho do comitê ISA SP84, a IEC 61508 e a IEC 61511 se uniram recentemente para produzir um padrão de segurança que o mundo está adotando. A IEC 61511 é particularmente importante, pois foi escrita especificamente para as indústrias de processo. Esse padrão quantifica os problemas de segurança como nunca antes. Embora os problemas de segurança abordados sejam críticos para usuários com instalações como ESD (Emergency Shutdown Systems = Sistema de parada de emergência), a confiabilidade definida nesta especificação está sendo usada por todos os usuários para separar ótimos produtos dos bons. SIL (Safety Integrity Level = nível de integridade de segurança) e SFF(Safe Failure Fraction = fração de falha segura) são dois dos principais valores que os clientes podem usar como uma comparação objetiva da confiabilidade do instrumento de vários fornecedores.
Confiabilidade.
Embora esta postagem esteja direcionada sistemas e instalações de equipamentos e aplicações seguras. seja direcionada a aplicativos e instalações de segurança, como sistemas de desligamento de emergência, mais de 90% de todos os aplicativos não estão relacionados à segurança. Agora, essas pessoas estão usando os dados do SIL como um indicador de confiabilidade, ou seja, quanto melhores os números, mais confiável o instrumento.
Entendendo o risco.
Todos os padrões de segurança existem para reduzir o risco, inerente onde quer que ocorra a fabricação ou o processamento. O objetivo de eliminar o risco e provocar um estado de segurança absoluta não é atingível. Mais realisticamente, o risco pode ser classificado como desprezível, tolerável ou inaceitável. A base de qualquer sistema de segurança moderno é reduzir o risco a um nível aceitável ou tolerável. Nesse contexto, a segurança pode ser definida como "liberdade de riscos inaceitáveis".
A fórmula para o risco é:
RISCO = FREQUÊNCIA DE PERIGO x CONSEQUÊNCIA DE PERIGO
O risco pode ser minimizado inicialmente pelo projeto de processo inerentemente seguro, pelo (BPCS) [Basic Process Control System = Sistema Básico de Controle de Processo] e, finalmente, por um sistema de desligamento de segurança.
Proteção em Camadas.
Muitos trabalhos de avaliação, incluindo uma avaliação de perigos e riscos, deve ser re alizado pelo cliente para identificar os requisitos gerais de redução de riscos e alocá-los às camadas de proteção independentes (IPL). Nenhuma medida de segurança pode eliminar riscos e proteger uma planta e seu pessoal contra danos ou mitigar a propagação de danos se ocorrer um incidente perigoso. Por esse motivo, existem as camadas de segurança de proteção: uma sequência de dispositivos mecânicos, controles de processos, sistemas de shutdown(desligamento) e medidas de resposta externa que impedem ou mitigam um evento perigoso. Se uma camada de proteção falhar, camadas sucessivas estarão disponíveis para levar o processo a um estado seguro. Se uma das camadas de proteção é uma função instrumentada de segurança (SIF), a redução de risco atribuída a ela determina seu nível de integridade de segurança (SIL). À medida que o número de camadas de proteção e suas confiabilidade aumentam, a segurança do processo aumenta. A Figura A mostra a sucessão das camadas de segurança em ordem de ativação.
Sistemas Instrumentados de Segurança (SIS)
O Sistema Instrumentado de Segurança (SIS) desempenha um papel vital no fornecimento de uma camada protetora em torno dos sistemas de processos industriais. Se chamado de SIS, sistema de "shutdown" desligamento de emergência ou segurança ou intertravamento de segurança, seu objetivo é levar o processo para um "estado seguro" quando pontos de ajuste pré-determinados foram excedidos ou quando condições seguras de operação foram transgredidas. O SIS é composto por funções de segurança (consulte SIF abaixo) com sensores, solucionadores lógicos e atuadores.A Figura B mostra seus componentes básicos:
• Sensores para entrada e potência de sinal;
• Interface e processamento do sinal de entrada;
• Solucionador lógico com energia e comunicações;
• Processamento de sinal de saída, interface e energia;
• Atuadores (válvulas, dispositivos de comutação) para função de controle;
SIF: Funções Instrumentadas de Segurança.
Uma Função Instrumentada de Segurança (SIF) é uma função de segurança com um Nível de Integridade de Segurança especificado, que é implementado por um SIS para obter ou manter um estado seguro. Os sensores, o solucionador lógico e os elementos finais de um SIF atuam em conjunto para detectar um perigo e levar o processo a um estado seguro. Aqui está um exemplo de um SIF:
Um vaso de processo suporta um aumento de pressão que abre uma válvula de alivio. O risco de segurança específico é a sobrepressão do vaso. Quando a pressão sobe acima dos pontos de ajuste normais, um instrumento sensor de pressão detecta o aumento. A lógica (PLC, relé, sensores, etc.) abre uma válvula de alivio para retornar o sistema a um estado seguro. De fato, a maior disponibilidade e uso desses dados de confiabilidade permitiu que o exemplo tradicional acima fosse aprimorado usando o HIPPS (Sistema de Pressão de Processo de Alta Integridade) para eliminar até o risco de ventilar o ambiente. Quando o HIPPS é implementado, os controles do sistema são tão completos e confiáveis que não é necessário desabafar ou usar uma válvula de alívio. Como os recursos de segurança de um automóvel, um SIF pode operar continuamente como a direção de um carro ou intermitentemente como o airbag de um carro. Uma função de segurança que opera no modo de demanda só é executada quando necessário para transferir o Equipamento sob Controle [Equipment Under Control (EUC)] em um estado especificado. Uma função de segurança que opera no modo contínuo opera para manter o EUC dentro de seu estado seguro. A Figura C mostra a relação entre o SIS, as funções instrumentadas de segurança que implementa e o nível de integridade de segurança atribuído a cada função instrumentada de segurança.
Sobre a figuras acima
Todo SIS possui uma ou mais funções de segurança (SIFs) e cada uma oferece uma medida de redução de risco indicada pelo seu nível de integridade de segurança (SIL). O SIS e o equipamento NÃO possuem um SIL atribuído. Os controles do processo são "adequados para uso" em um determinado ambiente SIL.
Ciclo de vida de segurança.
Mencionamos anteriormente como um estudo de avaliação de perigos e riscos determinará a necessidade de um SIS. Essa avaliação é uma parte de um ciclo de vida de segurança especificado por todos os principais padrões de segurança. O ciclo de vida da segurança mostra uma abordagem sistemática para o desenvolvimento de um SIS. Uma versão simplificada é mostrada na Figura D.
Nível de integridade de segurança (SIL) Até que ponto um processo pode ser executado com segurança? E, no caso de uma falha, em que medida o processo pode falhar com segurança? Essas perguntas são respondidas através da atribuição de um nível de integridade de segurança (SIL) desejado. SILs são medidas do risco de segurança de um determinado processo.
IMPORTANTE: É incorreto chamar um dispositivo específico "SIL 1" ou "SIL 2". Por exemplo, é comum chamar o "instrumento" como um dispositivo "SIL 2". Isso é impreciso porque todo o loop de controle deve ser levado em consideração. Tecnicamente, é preciso dizer que um dispositivo é adequado para uso em um determinado ambiente SIL. Por exemplo, “ Um "instrumento" neste caso agora está certificado como adequado para uso em um ambiente SIL 3.
Quatro níveis de integridade.
Historicamente, o pensamento de segurança categorizou um processo como sendo seguro ou não. Para os novos padrões, no entanto, a segurança não é considerada um atributo binário; pelo contrário, é estratificado em quatro níveis distintos de segurança. Cada nível representa uma ordem de magnitude de redução de risco. Quanto maior o nível de SIL, maior o impacto de uma falha e menor a taxa de falha aceitável. O nível de integridade de segurança é uma maneira de indicar a taxa de falha tolerável de uma função de segurança específica. Os padrões exigem a atribuição de um SIL de destino para qualquer SIF novo ou adaptado no SIS. A atribuição do SIL de destino é uma decisão que requer a extensão da Análise de Riscos. A atribuição do SIL é baseada na quantidade de redução de risco necessária Para manter o risco em um nível aceitável. Todas as opções de projeto, operação e manutenção do SIS devem ser verificadas em relação ao SIL de destino. Isso garante que o SIS possa mitigar o risco de processo atribuído.
Tolerância a falhas de hardware.
IEC61508-4 define “tolerância a falhas” como a “capacidade de uma unidade funcional continuar executando uma função necessária na presença de falhas ou erros". Portanto, tolerância a falhas de hardware é a capacidade do hardware (hardware e software completos da transmissor) para continuar executando uma função necessária na presença de falhas ou erros. Uma tolerância a falhas de hardware de 0 significa que, se houver uma falha, o transmissor não poderá executar sua função (por exemplo, medir o nível). a tolerância a falhas de hardware de N significa que falhas de N + 1 podem causar perda da função de segurança. Quando uma FMEDA é executada em um dispositivo, o SFF resultante tem uma tolerância de falha de hardware associada de 0.
O Ciclo de Vida de Segurança é uma abordagem sequencial para o desenvolvimento de um Sistema Instrumentado de Segurança (SIS). As referências a um ciclo de vida de segurança podem ser encontradas em ANSI / ISA 84.00.01 Partes 1–3; IEC 61508 Parte 1; e IEC 61511 Partes 1–3.
SIL: Nível de integridade de segurança. DISPONIBILIDADE: A probabilidade de o equipamento executar sua tarefa. PFDavg: o PFD médio usado no cálculo da confiabilidade do sistema de segurança. (PFD: Probabilidade de falha sob demanda é a probabilidade de um sistema falhar em responder a uma demanda por ação decorrente de uma condição potencialmente perigosa.)
* Os padrões IEC e ANSI / ISA utilizam tabelas semelhantes, cobrindo o mesmo intervalo de valores de PFD. ANSI / ISA, no entanto, não mostra um SIL 4. Nenhum controle de processo padrão ainda foi definido e testado para o SIL 4.
Determinação dos níveis de SIL - Quando um Processo Análise de Riscos do Processo (PHA) determina que um SIS é necessário, é necessário atribuir o nível de redução de risco proporcionado pelo SIS e o SIL alvo. A eficácia de um SIS é descrita em termos de “o probabilidade de ele falhar em desempenhar sua função necessária quando for solicitado a fazê-lo. ”Esta é a sua Probabilidade de falha sob demanda (PFD). O PFD médio (PFDavg) é usado para avaliação SIL. A Figura E mostra a relação entre PFDavg, disponibilidade do sistema de segurança, redução de risco e os valores do nível SIL. Várias metodologias são usadas para a atribuição de SILs alvo. A determinação deve envolver pessoas com conhecimento e experiência relevantes. As metodologias usadas para determinar as SILs incluem - mas não estão limitadas a - cálculos simplificados, análise de árvore de falhas, análise de camada de proteção (LOPA) e análise de Markov.
Determinação dos níveis de SIL - instrumentação Os níveis de SIL para instrumentos de campo são estabelecidos por um dos dois métodos: FMEDA (Modos de falha, efeitos e análise de diagnóstico) é melhor quando revisado ou certificado por terceiros, como exida ou TUV, embora auto-declarações possam ser feitas pelo fabricante. É necessária uma técnica de análise sistemática para determinar taxas de falha, modos de falha e a capacidade de diagnóstico conforme definido pela IEC 61508/651511.
O uso comprovado (também chamado de uso anterior) geralmente é usado por um cliente com um instrumento maduro em processos conhecidos. Essa abordagem exige horas operacionais suficientes do produto, histórico de revisões, sistemas de relatório de falhas e dados de falha de campo para determinar se há evidências de projetar falhas em um produto. A IEC 61508 fornece os níveis do histórico operacional necessário para cada SIL. Geralmente, é considerado de maior valor quando feito por usuários em suas instalações ao comparar dados semelhantes. É considerado menos confiável quando feito por um fabricante de dispositivos cujos dados podem ser menos relevantes para a aplicação do usuário final.
Se você estiver usando os dados de uso anterior do fabricante porque um produto selecionado não atinge o nível exigido pela análise FMEDA, esteja ciente de que existem requisitos significativos para o usuário final. Um produto maduro geralmente deve ser usado para ter a experiência de campo necessária e as o design e a montagem devem ser "congelados no tempo" de forma que não sejam permitidas atualizações, modificações ou mesmo alterações de configuração que possam tornar inúteis os dados "Comprovados em uso". Um resultado importante das análises é o estabelecimento de uma fração de falha segura (SFF) para um produto. A Figura F abaixo mostra a relação dos valores SFF, classificações SIL e os efeitos da redundância.
Embora dois dispositivos SIL 1 possam ser usados juntos para alcançar o SIL 2 e dois dispositivos SIL 2 possam ser usados para alcançar o SIL 3 (conforme sugerido na tabela acima), ele não é automático. O uso de redundância para obter uma classificação SIL aumentada tem requisitos adicionais além do hardware. Possui um requisito adicional de segurança sistemática, que inclui a integridade do software. É importante observar que a abordagem mais conservadora da redundância é usar tecnologias diferentes. Isso reduz falhas devido a problemas de aplicativos. Dentro da determinação do SFF, há uma compreensão dos tipos de falhas e a capacidade do instrumento para diagnosticá-las. A figura G mostra o relacionamento básico.
Deveria ser óbvio que a categoria mais crítica de falhas é chamada Perigos não detectados = Dangerous Undetected (DU). Por exemplo, o certificado se um instrumento possui elevado SFF de viagem de 91,9%, com 130 falhas perigosas não detectadas; Isso significa que 91,9% de todas as falhas são detectadas ou seguras (incômodo).
Comments