Sis

Aula – Sistemas Instrumentados de Segurança

Centro de Educação Tecnológica DAMA CLP / SIS 1

Sistemas Instrumentados de Segurança (SIS) ou Sistemas de Intertravamentos de Segurança, Sistemas de Desligamento de Emergência (ESD), entre tantos outros nomes dados a eles, são uma classe de sistemas responsáveis pela segurança operacional de unidades e de equipamentos industriais. Eles causam a parada de emergência ou impedem uma operação insegura sempre que as condições de processo ultrapassem os limites seguros.


Evolução dos SIS do Processo IndustrialOs sistemas SIS tem evoluído bastante nestas

últimas décadas, em termos de concepção, projeto e implementação. A evolução não é fruto do acaso, nem apenas do desenvolvimento de uma consciência de que os acidentes podem e devem ser evitados. Infelizmente é a partir da análise de acidentes realmente ocorridos que se tomou conhecimento de que os SIS empregados deixavam muito a desejar.


Acidente Piper Alpha


Modelos modernosÉ comum imaginar as medidas de proteção em

um processo industrial como um modelo físico semelhante às camadas de uma cebola. No núcleo o processo que apresenta um risco inerente. Em volta deste núcleo a primeira camada pode ser representada pelo próprio controle de processo, que tem também como missão não deixar que as variáveis de processo atinjam condições perigosas. A seguir a camada “operador” que


pode intervir manualmente no processo, evitando que o mesmo atinjam condições perigosas. Nesta camada costuma-se associar as funções IHM, de indicação de variáveis de processo, de registro e de anunciador de alarme. Para auxiliar o operador nesta função de supervisão de segurança, existe o intertravamento operacional. Por exemplo, se a saída da bomba principal de óleo lubrificante apresenta pressão baixa, o processo para, impedindo que o mancal de uma máquina queime.


Se nada disso funcionar a contento, há muitos dispositivos autônomos que podem impedir o acidente, como discos de ruptura, válvulas de alívio e similares. Se todas estas camadas não forem suficientes para garantir uma operação segura, o sistema de desligamento de emergência deve atuar, desligando os equipamentos, parando a circulação dos fluidos do processo e / ou despressurizando os vasos, de forma a manter a segurança, ainda que as custas de uma parada de produção.


Hoje em dia não se analisa isoladamente o que cada uma destas camadas faz e, sim, a proteção global que o conjunto dá a cada área de produção. Calcula-se o risco envolvido, por exemplo, se apenas as duas camadas mais internas estiverem presentes. Compara-se este nível de risco com o nível de risco desejado (aceitável) para aquela atividade de produção específica (SIL – Safety Integrity Level). A diferença entre o nível desejado e o previamente calculado será complementada através dos SIS (Safety


Instrumented Systems), que deverão ser, então, projetados, instalados, testados e mantidos em condições de atender à redução do risco residual após a atuação (ou falha da atuação) das camadas mais centrais do nosso “modelo-cebola”. Em relação aos riscos, temos que ter em mente que não existe segurança absoluta, o que existe é a redução da probabilidade do acidente. Neste contexto, surgiu o conceito do ALARP (As Low As Reasonable Practical).


Neste conceito, riscos elevados tem que ser reduzidos. Riscos pequenos devem ser desprezados, e riscos intermediários devem ser reduzidos, desde que seja viável a sua redução. Se a redução pretendida for muito difícil ou extremamente cara, pode ser dispensada. Trata-se de uma abordagem custo X benefício aplicada à segurança, o que parecia heresia para muita gente há pouco tempo.


Formas de operaçãoHá duas formas básicas de operação dos SIS.

Na primeira, o sistema provoca a parada segura da unidade sempre que valores de variáveis de processo, tais como pressão, temperatura, nível ou vazão ultrapassem limites seguros; geralmente, esta forma de operação é conhecida como intertravamento ativo. Em outra forma de operação, ele impede que equipamentos sejam ligados quando as condições de segurança


exigidas não sejam satisfeitas, como, por exemplo, não permitem que uma máquina de grande porte seja acionada antes que o circuito de óleo de lubrificação de seus mancais esteja pressurizado. Esta forma é chamada de intertravamento passivo ou permissivo.FinalidadesAs principais finalidade da implementação de um SIS são as de prover proteção para:


a) a saúde das pessoas que trabalham na planta industrial;

b) a saúde das pessoas que habitam, trabalham ou transitam próximo das unidades industriais;

c) o patrimônio das empresas;d) a produção e / ou produto;e) o meio ambiente.Assim, os SIS devem impedir que unidades

industriais sofram incêndios, explosões, emanem


gases ou líquidos venenosos / perigosos, com ou outras consequências danosas ou fatais para pessoas, equipamentos e meio ambiente.

Outros elementos de proteçãoOs SIS não são os únicos responsáveis por estas proteções, existem, também, equipamentos de proteção individual e instrumentos autônomos (válvulas de alívio de pressão, discos de ruptura, etc) que também fazem parte da segurança


industrial, porém não fazem parte do SIS.Frequentemente, ao se projetar um SIS, é necessário levar em conta estes outros elementos de segurança. Por exemplo, se um SIS deve desligar um reator quando a pressão atingir um valor máximo, o mesmo não precisa ter a mesma confiabilidade que seria exigida se não houvesse, também, uma válvula de alívio de pressão, instalada no mesmo reator, com a mesma finalidade. Entra aí o conceito de fator de redução


de risco. Os vários fatores de redução de risco, da válvula de alívio, do SIS, etc. se combinam para resultar no fator de redução de risco total para aquela instalação, equipamento ou malha de segurança.

Conceito de risco O risco é uma combinação de dois fatores:1 – a probabilidade de ocorrência do evento indesejável.


2- a consequência da ocorrência.Assim um evento desfavorável que ocorra com muita frequência, porém de consequências mínimas, pode corresponder ao mesmo nível de risco que um evento raríssimo, porém, de consequências catastróficas. A redução do riscoNo conceito moderno do projeto dos sistemas de segurança , o objetivo é sempre reduzir o risco a um nível aceitável.


Qual é o nível aceitável, é objeto de discussões intermináveis, por ser extremamente subjetivo e sujeito à uma infinidade de interpretações.Por exemplo: o risco de se trabalhar em uma indústria petroquímica deve ser compatível com:a)o risco de dirigir um carro em uma estrada?b)o risco de se escalar uma montanha?c)o risco de se fazer uma viagem de avião?d)o risco de se ficar em casa?


O estudo dos fatores de risco para determinar a necessidade e a confiabilidade necessária para um SIS deve começar pelo próprio processo. O que não pode vazar, não pode queimar , explodir, etc.

Conceitos em riscoHá vários conceitos amplamente difundidos, muitos dos quais errôneos, a respeito da atuação dos SIS. Um deles é que todos os processos vão para o estado mais seguro quando todos


equipamentos são desligados.Imaginemos um reator, dentro do qual uma reação exotérmica pode provocar uma sobrelevação de temperatura perigosa. O simples desligamento do reator , normalmente feito através do fechamento das válvulas de entrada (opcionalmente, também, através do fechamento das válvulas de saída) do mesmo, não assegura que a reação se interrompa. Pelo contrário, em vários reatores a temperatura irá aumentar se a


água que é adicionada à reação parar de ser fornecida, ou se o fluido utilizado para a refrigeração da camisa externa do reator parar de circular. Assim, a simples parada pode se transformar em um motivo para um acidente.Outro exemplo clássico é uma caldeira ou forno que, quando desligada, deve ser ventilada internamente para a diluição de gases combustíveis até se atingir um nível de segurança, antes que se possa partir novamente, ou que a


eventual concentração de gases quentes junto a algum ponto mais quente dentro da caldeira possa levar à uma ignição espontânea deste gás. É comum a existência de ventiladores de tiragem forçada ou induzida que tenham uma alimentação de emergência para serem acionados, mesmo que uma caldeira pare por perder sua alimentação elétrica normal.Observa-se, então, que o conceito de que todo processo reverte à uma condição segura quando


se corta, por exemplo, sua alimentação elétrica geral da planta, pode ser falso em muitas instalações.

Determinação do nível de integridade de segurança (SIL)Há muitas maneiras diferentes para se determinar o nível de integridade de segurança para cada função (malha) de segurança:


a) a tarefa começa por uma análise dos riscos do processo, ou identificação dos riscos;

b) em seguida, é necessário determinar o que é necessário para reduzir o risco a um nível aceitável;

c) finalmente, deve ser feita uma verificação se o SIL foi atingido , conferindo-se a probabilidade de falha sob demanda (ou outro parâmetro de avaliação equivalente) desejada para a malha foi realmente atingida.


A identificação dos riscos.São utilizados vários métodos tais como:a) Hazopb) Check listsc) FMEA


Verificação do SIL atingido Para verificar se, finalmente, o SIL atingido é compatível com o que foi desejado, existem várias técnicas. Para um simples engenheiro de instrumentação / automação que ocasionalmente se envolve com verificação de SIL, é recomendado o uso de programas de computador que permitem uma simulação adequada desta técnica.


Normas modernas para SIS Ultimamente, várias normas sobre o desenvolvimento, projeto e manutenção de SIS foram editadas. Entre estas estão as da IEC-61508 (voltada para indústrias em geral) e a 61511 (para indústrias de processo contínuo, líquidos e gases). No Brasil vale ressaltar a N-2595 criada e utilizada no âmbito da Petrobrás.


Arquiteturas utilizadas Embora os projetistas de SIS sempre possam adotar, na lógica do sistema, arquiteturas redundantes, usando elementos de instrumentação convencional, normalmente prefere adotar equipamentos especialmente projetados para estes fins, que englobam diferentes filosofias de projetos e são comumente analisados, testados e certificados por entidades competentes, como a TÜV alemã.


Técnicas de redundância a)Votação 1 de 2.b)Votação 2 de 2.c)Votação 2 de 3.No primeiro caso se um canal entrar em falha o sistema para ou somente se todos os canais entrarem em falha o sistema para. Raciocínio análogo se aplica nos demais casos.


Ciclo de vida do SIS


Sis

Documents

Transcript of Sis