Há décadas empresas e grupos industriais vêm desenvolvendo e aprimorando normas para projetar, construir e manter sistemas instrumentados de segurança, de forma a garantir que as variáveis estejam dentro de limites considerados seguros para a operação da unidade. E é preciso conceituar adequadamente os vários termos usados em segurança industrial... Veja no quadro nesta página.

Em 1996, a ISA publicou uma norma para guiar a classificação de Sistemas Instrumentados de Segurança – SIS para indústrias de processo dos EUA – a norma ANSI/ISA-S84.01, que introduziu o conceito de Nível de Integridade de Segurança – SIL.

A IEC publicou a norma IEC 61508 (Functional safety of electrical / electronic / programmable electronic safety-related systems – general requirements) para quantificação do grau de disponibilidade em sistemas elétricos. As duas normas sugerem metodologias para a definição do SIL requerido pelo sistema de segurança – que se traduz no nível de robustez a ser implementado para minimizar os riscos do processo.

As normas IEC e ISA recomendam que as aplicações de controle e segurança devem rodar em equipamentos totalmente independentes porque, por exemplo, sistemas de controle (SDCD ou PLC) dificilmente atingem SIL1 e os requisitos para os sistemas de segurança são muito maiores que para os sistemas de controle e por isso surgiram os PLC de segurança, certificados por um órgão externo.Para atender a norma IEC, deve haver independência entre a função de controle e a função de segurança se essa função de controle puder gerar uma demanda para a função de segurança e é isso que geralmente  impede que elas possam compartilhar hardware. Mas já existe a busca para integrar o SIS com os SDCD sem comprometer a independência das funções de segurança.

IEC 61508 / IEC 61511, ISA-84.1...No refino, a Petrobras utiliza a norma Petrobras N-2595, que poderia servir de exemplo para as indústrias petroquímicas nacionais já que não existe no país uma legislação que obrigue a instalação de sistemas de desligamento de emergência...

A indústria de processo nacional utiliza, normalmente, a IEC-61511 complementada por normas próprias que definam um ou vários métodos de avaliação de risco e alocação das funções de segurança, bem como a determinação do SIL requerido, como faz a Petrobras já que a N-2595 e a IEC-61511 não são excludentes e sim complementares — até porque a IEC, sozinha, não dá conta do recado. A IEC é extensa e está em inglês, enquanto a N-2595 procura tratar o ciclo do SIS de forma objetiva, mas a N-2595 pode não ser diretamente aplicável à outra empresa que não a Petrobras porque a determinação do SIL requerido, por exemplo, depende do risco tolerado pela empresa, e este pode não ser igual ao da estatal.Segundo Mônica Santana, supervisora de Engenharia de Aplicação de Sistemas da Yokogawa, o SIS é composto por sensor, elemento executor de lógica — que pode ser um PLC de Segurança — e elemento final, com o objetivo de levar o processo a um estado seguro quando condições pré-determinadas forem violadas. Esses sistemas instrumentados de segurança utilizam uma estrutura independente da instrumentação de processo e do sistema de controle e, numa situação de risco, ele atua para dar o shutdown – a parada da planta e o shutdown toma a decisão com base nos dados do processo. “Existe uma lógica para avaliar qual é a grandeza da anormalidade – e baseado nessa análise de conseqüências, o shutdown pode vir até a promover o desligamento de todos os sistemas”, completa Estellito.

O conceito de Nível de Integridade de Segurança – SIL, introduzido pelas normas ISA 84.01 e IEC 61508-1, estabelece uma ordem de grandeza para a redução do risco – ou o nível de robustez necessário a ser implementado de forma a reduzir o risco do processo a níveis aceitáveis. O SIL é um número que varia de 1 a 4 – e quanto maior o SIL mais crítico é processo.

Para a determinação do nível de segurança exigido pelo processo, devem ser analisados basicamente a identificação dos perigos envolvidos e a avaliação dos riscos de cada perigo detectado. Podem ser aplicadas várias metodologias – PHA e Hazop para identificação dos riscos, e Hazop Modificado, Conseqüências do acidente, Matriz de Riscos, Gráfico de Riscos ou Análise Quantitativa para identificação do nível de segurança que deve ser alcançado. As normas sugerem algumas metodologias para a definição do SIL a ser implementado pelo sistema de segurança. Dos métodos disponíveis, alguns são qualitativos e outros quantitativos ou semi-quantitativos. O SIL adequado para o SIS é o que faz com que o risco inerente do processo seja igual ou menor ao nível de risco aceitável proporcionando assim a segurança necessária para a operação da planta.

Todos os equipamentos que fazem parte do SIS (sensor, executor de lógica e elemento final) são certificados para determinar qual o nível de integridade de segurança SIL do sistema e sua probabilidade de falha em demanda. O SIL da malha é determinado pelo pela soma das probabilidades de falha em demanda de cada um dos componentes da malha. O SIL é aplicado nos equipamentos que são utilizados nos sistemas de instrumentação. O critério é utilizado para analisar a confiabilidade do equipamento – tendo relação com as taxas de tempo entre falhas.

“De forma simplificada, podemos dizer que, para se implementar uma solução SIL 3, cada componente da malha deve ter uma probabilidade de falha em demanda compatível com SIL3. As tecnologias disponíveis no mercado são bastante diferentes, e por exemplo existem PLCs que necessitam de redundância para implementar SIL3 enquanto outros conseguem alcançar o mesmo nível de SIL em uma arquitetura simples”, completa Mônica.

Os equipamentos de controle têm por objetivo controlar o processo e têm como características a conexão com redes digitais, facilidade de expansão, flexibilidade nas alterações. Em contrapartida, os PLCs de segurança têm por objetivo levar o processo a um estado seguro quando condições pré-determinadas forem violadas, e tem como características a limitação de utilização de redes digitais, são críticos para alterações, não devem ser expandidos quando em funcionamento.

Vale lembrar que a principal preocupação das normas é garantir a segurança ao máximo possível. Mas um outro fator que não pode ser esquecido é a disponibilidade da planta porque, quando se aumenta a disponibilidade, na maioria das vezes, se diminui a segurança e vice versa. Um bom projeto deve buscar a maior disponibilidade possível semcomprometer o nível de segurança requerido ou seja, um equipamento com certificação SIL3, por exemplo, embora seguro, pode levar a planta para o shutdown mais vezes que o necessário. E, claro, a qualidade da instalação é fundamental para a segurança.