Teoria da Segurança Funcional - static.eventials.com · • Vazamento de combustível por Sistema de ventilação • Comportamento inapropriado dos operadores tentando ... Tempo

06/13/2018

Products Solutions Services

INTERNAL

Teoria da Segurança Funcional

Parte 1

Slide 1 Marcus Melo

06/13/2018INTERNAL

Embaixadores de Safety na Endress+Hauser no mundo


SC Singapore• Kia Chai NgSC USA

SC Germany SC Austria SC Switzerland• Markus Hoffman • Herbert Springer • Tobias Leng• Markus Vinzenz • Jörg Eifert

SC China• Cui Qizhi• Zhang Jinchi• Wang Xuefeng

SC Italy• Guiseppe

Loiacono

Consult Sales Support• Gustavo Stasiejko• Hai Thuy Ngo

SC México• Claudia

Martínez

SC Turkey• Cem Ozen• Deniz Nevşehirli• Süleyman Emre

Erensoy

Global Industry Manager• Philipp Conen• Jens Fuglsang• Jens Hundrieser

SC Thailand• Janyaporn

Satjinanon

SC Germany Dep. QTS• Gerold Klotz-Engmann• Regina Gutmann (only German)• Thomas Fritz

SC Spain• Oliver Reher

LegendCommitted to safety campaignCommitted and responsible safety personCommitted, responsible and SIL proof test launch

SC Saudi Arabia• Tabrez Siddiqui

Mohammed

MESC• Apurva Sharma• Sivaji Nemalipuri

SC Russia• Anton Kochetkov• Alexey Prokhoryatov

SC India• Mandar Nalaved

SC Brazil• Marcus Melo

SC Australia• Arash Louie

SC Indonesia• Abhay Fotedar

SC Belgium• Alain Engels

SCANDS• Rita Refvik

SC Netherlands• Aldert Schollaardt

SC Poland• Mariusz Szwargrzyk

SC Portugal• Carlos Queiros

SC France• Olivier Aubry

SC United Kingdom• Chris Gibson

SC Canada• Gerhard Jansson

SC Finland• Jukka Salonen

Slide 2 Marcus Melo

06/13/2018INTERNAL


Situação Geral do Mercado

• As normas sobre safety (IEC61508/11) focadas em reduzir riscos

operacionais já são globalmente adotadas pelo segmentos de O&G,

Química e Petroquímica. Energia, Primaries, Alimentos e Bebidas e

Farmacêutica já seguem cada vez mais essa tendência.

• Aprox 5% a 10% das malhas de processo são “safety relevant”,

todas elas precisam de testes de funcionalidade (proof tests)*.

• Vazão, Nível, Pressão e Temperatura são os parâmetros mais

afetados. EM certos casos, há ainda malhas de segurança com

analítica.

• Os princípios sobre SIL (ex. testes regulares de funcionalidade e

redundância) também são utilizados para aumentar a disponibilidade

e a confiabilidade das malhas (ex.: manutenções preditivas).

• Muitos usuários estão cientes das normas, mas não fazem proof tests

dos seus loops de segurança. A Endress+Hauser pode ajudar nesse

sentido!

Slide 3 Marcus Melo

* Estudo da EXIDA.

06/13/2018INTERNAL

Definição de segurança funcional

• Não é sobre áreas classificadas!

• Não é sobre o uso de EPIs!

• Não se trata só de “SIL”

• Não está relacionada só a explosões!


Slide 4 Marcus Melo

06/13/2018INTERNAL


• Não é sobre áreas classificadas!

• Não é sobre o uso de EPIs!

• Não se trata só de “SIL”

• Não está relacionada só a explosões!


Slide 5 Marcus Melo

+ = SegurançaFuncional?

06/13/2018INTERNAL



Slide 6 Marcus Melo

06/13/2018INTERNAL

Quando “acontece” a segurança funcional?

Um SIS é 100% seguro funcionalmente se

todas as falhas aleatórias, de causa

comum e sistemáticas não o leva a um

estado de mal funcionamento, resultando

em

• Lesões e/ou mortes de pessoas

• Transbordamentos e vazamentos sobre

o meio ambiente

• Perda de ativos e de produção

Segurança funcional com 0% de falhas

não existe, mas existe a redução de

riscos a níveis 1, 2, 3 e 4.


Slide 7 Marcus Melo

06/13/2018INTERNAL

Por que se precisa de segurança funcional?

Para prevenir falhas em um Sistema Instrumentado de Segurança (SIS) quando ele for demandado


Slide 8 Marcus Melo

06/13/2018INTERNAL

Por que se precisa de segurança funcional?

Explosão em uma refinaria da BP no Texas (23/Março/2005)

• Causas: falha de sensor, erros humanos, treinamento do operador

• Consequências: 15 fatalidades, 170 feridos


Slide 9 Marcus Melo

06/13/2018INTERNAL

Explosão de Refinaria da BP AMOCO no Texas em Março de 2005

Causas:

• Sistemas de segurança ignorados durante processos de

manutenção

• Design inapropriado dos sistemas de segurança

• Vazamento de combustível por Sistema de ventilação

• Comportamento inapropriado dos operadores tentando

remover uma caminhonete exposta aos vapores

• Sala de controle com muitos operários ao lado da coluna de

destilação

Safety culture!

Efeitos:

• 15 pessoas mortas, 170 feridos

• Custos estimados em US$ 1,000,000,000


Slide 10 Marcus Melo

06/13/2018INTERNAL

Pense a respeito…

90% de todos os acidentes em indústrias não advém de razões

técnicas


No technical cause

Technical cause

Qu

ell

e: A

cik

alin

, A.:

Ein

e M

eth

ode

zur

Ab

sch

ätzu

ng

des

Ris

ikos

verf

ahre

nst

ech

nis

cher

An

lage

n, C

IT 8

1 (

20

09

) Se

ite

13

7-1

44

* Sistema de Gestão* Organização das funçõese responsabilidades* Manutenção e Serviços* …


06/13/2018INTERNAL

Pense a respeito…

United Kingdom Health Safety and Environmental Committee.

Uma investigação mostrou que 44% de 34 incidentes tiveram sua origem em

especificações erradas. Os equipamentos desempenharam suas funções!


Qu

ell

e: „

Ou

t O

F C

ontr

ol“

–ei

ne

Zusa

mm

enst

ellu

ng

von

fes

tges

tell

ten

Ere

ign

isse

nan

Ste

uer

un

gssy

stem

envo

n U

K H

SE, S

epte

mb

er 2

00

4

44%

20%

15%

6%

15% Specification

Changes after commissioning

Operations an maintenance

Installation and commissioning

Design and implementation


06/13/2018INTERNAL

Definição: perigo

Essas duas são comparáveis

IEC 61508 – Hazard (perigo)

Uma fonte potencial de danos

IEC 61513 (plantas de energia nulear) – Hazard (perigo)

Evnto com potencial de causar danos a pessoas,

componentes, equipamentos e estruturas de uma planta

industrial.



06/13/2018INTERNAL

Um evento perigoso / potencialmente perigoso

Demand – a hazardous event, a potentially dangerous event

A norma IEC 61508-4, 3.1.4. define:

Evento Perigoso – evento que pode trazer danos

Nota: um evento poder resultar em danos dependerá de as

pessoas, a propriedade ou o ambiente estar(em) exposto(s)

às consequências do evento perigoso, e se as pessoas

expostas podem escapar das consequências desse evento

após ele ocorrer, levando em conta o tempo em que se fica

exposto a ele.



06/13/2018INTERNAL

Do risco à segurança

P = Probabilidade de ocorrer um evento perigoso

S = Extensão do dano causado pelo evento


Risco

Redução do Risco

Segurança


06/13/2018INTERNAL

Então “RISCO” é…

• Risco

Probabilidade (P) de o evento ocorrer x Dano (D)

• Risco Tolerável

Risco Máximo aceito de acordo com conceitos morais (VDE 2180)

• Redução do Risco

Redução do risco inicial para um patamar abaixo do risco tolerável, através de

medidas protetivas, construtivas e organizacionais.

• No conceito de Segurança Funcional:


Análise de Risco(Quantificação do Risco)

Quantificação do nível de segurança requeridoSafety Integrity Level (SIL)


06/13/2018INTERNAL


Marcus MeloSlide 17

Duas regulamentações, um objetivo

1. Norma genéricaVálida para todos ossetores relacionados

2. Norma de AplicaçãoImplementação para processos industriais

Fornecedores e fabricantes

Integrador de Sistemas/Operador/Usuário

IEC 61508IEC 61511ISA 84.01

Regulamentaçõessobre Segurança

Objetivo em comum: a segurança da planta!

http://thumbs.dreamstime.com/z/altes-buch-mit-unbelegter-abdeckung-7893905.jpg

http://www.agentur-vivace.de/wp-content/uploads/Buch.png

06/13/2018INTERNAL

IEC/EN 61508

Alvo: Segurança Funcional

O sitema vai desempenhar corretamente sua função

automática de segurança prevista, ou o sistema vai falhar de uma

forma predizível.

A IEC/EN 61508 pode ser aplicada em vários níveis:

• Componentes

Ex. microprocessadores, sistemas operacionais etc.

• Produtos

Ex. Transmissores de Temperatura, de pressão, PLCs

(programmable logic solvers), Detectores de gás, de chamas etc.

• Sistemas

Ex. Sistemas de controle de refino de óleo, entre outros.



06/13/2018INTERNAL

Requirements IEC EN 61508


IEC EN 61508 - requisitos

Técnicos GerencialSistema – eletrônicos• Funções de segurança – SIL, PFD• Modo de operação• Interfaces (incl. HMI) de comunicação

Componentes pré-existentes• Funções restritas e interfaces• Estatísticas associadas

Sistemas – partes mecânicas• Funções monitoradas do sitema FMEA• Taxas de falha

Integridade de segur. - hardware• HFT, SFF, taxas de falha, autotestes• Tempo de detecção, reação a falhas• CCF (common cause failure)

Software• Performance, estados• Interfaces (SIL / non SIL)• Técnicas de design• Automonitoramento, verific. de dados

Ciclo de vida de segurança• Planejamento V&V• Gerenciamento de configuração• Rastreio de requisitos• Modificações

Verificação• Análises estática, dinâmica e de falhas• (módulos, integrações) Testes

Validação & Avaliação

Documentação

Competências / treinamentos


06/13/2018INTERNAL

Níveis do escopo das normas

sistema subsistema elemento


Sensor Logic unit Actuator

Processconnection


Elemento – parte de um sub-sistemacontendo um componente simples ouqualquer grupo de components que desempenham uma ou mais funções de segurança. IEC 62061, definition 3.2.6, modified

06/13/2018INTERNAL

Ciclo de vida de Safety de acordo com a IEC 61511


Marcus MeloSlide 21

An

ális

ed

o R

isco

Ges

tão

da

Seg

ura

nça

Fu

nci

on

ale

An

ális

ed

a Se

gu

ran

çaF

un

cio

nal

/ A

vali

ação

e A

ud

ito

rias

Est

rutu

rae

Pla

nej

amen

tod

o C

iclo

de

Vid

a d

e Se

gura

nça

Análise de Perigos e Riscos

Ver

ific

ação

Alocação das Funções de Segurança para as Camadas de Proteção(Quantificação)

Especificações dos Requisitosde Segurança para os SIS

Red

uçã

od

o R

isco

Design e Engenhariados SIS

Design e Desenvolvimento de outros meios de redução de risco

Instalação, Comissionamento e Validação

Operação e Manutenção

Modificação

Descomissionamento

SIS

= S

afet

y In

stru

men

ted

Sys

tem

So

urc

e: D

IN E

N 6

15

11

-1 –

Pic

ture

8

06/13/2018INTERNAL

Construção de um SIS -até onde ele vai?


Discussão sobresegurança

Avaliação do risco e

classificação(SIL)

Medidas de Redução de

Risco

Elementos do SIS

Causas de Falhados

Equipamentos e Diagnósticos

Modos e taxasde falha

Probabilidadede falhas

Intervalo de Proof tests

PFDavg= 1/2 DU TiFieldcheck TM

Heartbeat Technology TM


06/13/2018INTERNAL


A discussão sobre segurança

• Avaliação de cada ponto de medição da planta.

• Participantes: operação, gestores de segurança internos e externos (consultores,

TÜV etc).

• Avaliação do Risco

• Classificação

• Redução do Risco


06/13/2018INTERNAL


1. Avaliação do Risco pelos seguintes critérios:

• Extensão do dano

• Tempo de exposição

• O quanto se pode evitar o perigo

• Probabilidade de a situação perigosa ocorrer



06/13/2018INTERNAL

C2

F2P2 SIL2

F1P2 SIL1

W2


2. Classificação: avaliação de danos e riscos de um processo (IEC 61511; IEC 61508; SIL1 (baixo) até SIL4 (alto))


Extensão do DanoC1: Leve (e.g. 10.000,-€)

C2: Severo e irreversível a uma oumais pessoas, ou morte de umapessoa(e.g. 1.000.000,-€)

C3: Morte de várias pessoas (e.g. 10.000.000,-€)

C4: Consequências catastróficas, muitas mortes (e.g. 100.000.000,-€)

Tempo de Exposição


Tempo de ExposiçãoF1: Raro a relativamente frequente (8h de trabalho por dia 50min)F2: Frequente a contínuo

Possibilidade de Evitar o PerigoP1: Possível sob certas condições (ex. 0,9)P2: Dificilmente evitável

Probab. de AcontecerW1: Muito baixa (< 0,03/ano) W2: Baixa (< 0,3 /ano)W3: Relativamente alta(>0,3/ ano)

Extensão do Dano

Possib. de Evitar

Probabilidade de Ocorrer

06/13/2018INTERNAL

Safety instrumented function (Função Instrumentada de Segurança, SIF)

Função na qual se atinge um estado de segurança no processo, caso um evento

perigoso aconteça


Sensor(alimentação, barreira

Ex)Unidade Lógica

(e.g. PLC) Atuador(driver, barreira Ex)


06/13/2018INTERNAL

Comunicação

(e.g. 4...20mA)

Comunicação

(e.g. 4...20mA)

A discussão sobre segurança -3. Redução do Risco pelo SIS


Processo: Risco= P x D

P = Probabilidade de Acontecer ; D = Extensão do Dano;

Safety Instrumented System (SIS)SIL 1 … 3 (4)

Inte

rfac

e co

m o

Pro

cess

o

Inte

rfac

e co

m o

Pro

cess

o

Residual x PFD (PFH)

Sensor(armazena informações) Unidade Lógica

(avalia as informações) Atuador(executa uma função)

PFD (PFH) = Taxa de falha (probabilidade)<1


06/13/2018INTERNAL

Falhas aleatórias

Falhas que ocorrem em um momento aleatório,

resultando em degradação de um componente / sub-

sistema / sistema.

• Proteção de falhas aleatórias é fornecida pela atribuição

de uma probabilidade máxima de falha aleatória.

• Isso é feito pelo nível SIL

• Ou então por meio de duas escalas– modo de baixa e modo

de alta demanda

• A proteção contra essas falhas também é feita através

de redundâncias.

• Isso é feito pelo nível SIL e pelo tipo de equipamento.



06/13/2018INTERNAL

Confiabilidade dos SIS


Falhas Aleatórias(e.g. Hardware)

Análise de Falhas FMEDA(PFH/PFD, SFF, HFT…)

Controle de Falha(auto diagnóstico, diversidade/

redundância, proof-test)

Safety Integrity Level (SIL)

Falhas Sistemáticas(e.g. Software)

Prevenção de Erro(Ciclo de Vida de Safety)

Functional SafetyManagement

(durante o processo

de design)

Análise de Base Instalada

(proven in use)

(Serial product)(Novo desenvolvimento)


* Failure modes, effects, and diagnostic analysis (FMEDA)

06/13/2018INTERNAL

Falhas sistemáticas

Podem ser evitadas através de regras, métodos e guias para evitar erros de design.

Um Sistema que se usa desses métodos estará relativamente livre de falhas,

porque elas dependem muito de ações práticas e planejadas.

Falhas sitemáticas podem ocorrer graças a

• Corrosão

• Abrasão

• Sedimentação

• Deterioração

• Incrustação

• Permeação

• Fadiga de materiais etc.



06/13/2018INTERNAL



Marcus MeloSlide 31

An

ális

ed

o R

isco

Ges

tão

da

Seg

ura

nça

Fu

nci

on

ale

An

ális

ed

a Se

gu

ran

çaF

un

cio

nal

/ A

vali

ação

e A

ud

ito

rias

Est

rutu

rae

Pla

nej

amen

tod

o C

iclo

de

Vid

a d

e Se

gura

nça


Ver

ific

ação



Red

uçã

od

o R

isco





Modificação

Descomissionamento

SIS

= S

afet

y In

stru

men

ted

Sys

tem

So

urc

e: D

IN E

N 6

15

11

-1 –

Pic

ture

8

06/13/2018INTERNAL

Os riscos em processo industriais é relativamente alto



06/13/2018INTERNAL

Risk Reduction by a Safety System


Risco

Redução necessária do risco

Redução do Risco

Risco Residual RiscoTolerável

Ris

coIn

icia

l

RiscoSagurança

Risco Inaceitável


06/13/2018INTERNAL

Risk Reduction by a Safety System


Risco InicialRisco

ResidualRisco

Tolerável

Redução do risco SIL1

Redução do Risco SIL2

Redução do Risco SIL3

Risco


E risco ZERO? Existe?

06/13/2018INTERNAL

Nível SIL para equipamentos – Safety Function – IEC/EN 61508

Safety Instrumented Function (SIF)

A função de segurança de um sub-sistema é aquela que, composta

com o restante das funções de segurança da malha, vão levar esta

última a um estado seguro ou de falha conhecido.

A IEC61508 preconiza que o nível de integridade de segurança de

sub-sistemas relaciona-se a faixas de probabilidade de executarem

suas SIFs quando demandados.

• SIL 1 = 90% a 99%

• SIL 2 = 99% a 99.9%

• SIL 3 = 99.9% a 99.99%

• SIL 4 = 99.99% a 99.999% de probabilidade de executar

sua função de segurança quando demandado.



06/13/2018INTERNAL

“Quantificação” do risco e medidas de proteção


Risco Nível SILFrequência de falha aceita para uma

medida de proteção

Baixo SIL 1 < 1 falha perigosa em 10 anos

Médio SIL 2 < 1 falha perigosa em 100 anos

Alto SIL 3 < 1 falha perigosa em 1000 anos

Muito alto SIL 4 < 1 falha perigosa em 10.000 anos


Caso de cliente que nos procurou informando que nossa chave vibratória SIL2 apresentou falha perigosa. Apresentou, mesmo?

06/13/2018INTERNAL



Marcus MeloSlide 37

An

ális

ed

o R

isco

Ges

tão

da

Seg

ura

nça

Fu

nci

on

ale

An

ális

ed

a Se

gu

ran

çaF

un

cio

nal

/ A

vali

ação

e A

ud

ito

rias

Est

rutu

rae

Pla

nej

amen

tod

o C

iclo

de

Vid

a d

e Se

gura

nça


Ver

ific

ação



Red

uçã

od

o R

isco





Modificação

Descomissionamento

SIS

= S

afet

y In

stru

men

ted

Sys

tem

So

urc

e: D

IN E

N 6

15

11

-1 –

Pic

ture

8

06/13/2018INTERNAL

Princípio básico da avaliação da segurança funcional


Falhas aleatórias(e.g. curto-circuito de um resistor,

saída congelada sem razão aparente)

Falhas sistemáticas(e.g. erros de especificação,

programações incorretas etc.)

Basicamente inevitáveisObjetivo: Detecção e controle de

falhas durante a operação (“Infant Mortality” na bathtube)

Basicamente evitáveisObjetivo: evitar falhas durante o desenvolvimento dos sistemas

Medidas puramentetécnicas

(Análises, diagnósticos, monitoração)

Medidas organizacionais

Dados confiáveis(λ ‘s, PFDavg, PFH, SFF)

Gestão da SegurançaFuncional (FSM)


06/13/2018INTERNAL

Processos − Gestão da Segurança Funcional Certificada



06/13/2018INTERNAL



Marcus MeloSlide 40

An

ális

ed

o R

isco

Ges

tão

da

Seg

ura

nça

Fu

nci

on

ale

An

ális

ed

a Se

gu

ran

çaF

un

cio

nal

/ A

vali

ação

e A

ud

ito

rias

Est

rutu

rae

Pla

nej

amen

tod

o C

iclo

de

Vid

a d

e Se

gura

nça


Ver

ific

ação



Red

uçã

od

o R

isco





Modificação

Descomissionamento

SIS

= S

afet

y In

stru

men

ted

Sys

tem

So

urc

e: D

IN E

N 6

15

11

-1 –

Pic

ture

8

06/13/2018INTERNAL

Estruturação e planejamento do ciclo de vida de segurança

Para todas as fases do ciclo de vida dos SIS, um

planejamento deve definri atividades, critérios,

técnicas, medidas, procedimentos e

responsabilidades de pessoas e organizações para:

• Garantir instalações e comissionamentos

apropriados aos SIS;

• Garantir a integridade das SIFs após a

instalação/comissionamento;

• Manter a integridade da segurança durante a

operação (e.g., proof tests, análises de falha etc.);

• Gerenciar os perigos que os processo spodem

trazer durante a vida útil dos SIS.



06/13/2018INTERNAL

O que é relevante para a SIF de um transmissor?


p

Safety-related

Not safety-related

4-20mA

Safety-relatedoutput signal

Safety-relatedsignal path

Diagnostics andmonitoring


06/13/2018INTERNAL

Quais falhas do equipamento devem ser consideradas?

“A análise […] deve incluir todos os components, incluindo os elétricos,

electrônicos, electromecânicos, mecânicos etc., necessários para

permitir que o elemento execute sua(s) função(ões) de segurança […]”Source: IEC 61508-2:2010, Annex C.1 (normative)


TerminalElétrico

EletrônicaprincipalElétrico,

eletrônico

Sensor eletrônicoElétrico,

eletrônico

ElementoSensor

Eletromecânico, mecânico


06/13/2018INTERNAL



Marcus MeloSlide 44

An

ális

ed

o R

isco

Ges

tão

da

Seg

ura

nça

Fu

nci

on

ale

An

ális

ed

a Se

gu

ran

çaF

un

cio

nal

/ A

vali

ação

e A

ud

ito

rias

Est

rutu

rae

Pla

nej

amen

tod

o C

iclo

de

Vid

a d

e Se

gura

nça


Ver

ific

ação



Red

uçã

od

o R

isco





Modificação

Descomissionamento

SIS

= S

afet

y In

stru

men

ted

Sys

tem

So

urc

e: D

IN E

N 6

15

11

-1 –

Pic

ture

8

06/13/2018INTERNAL

Métodos típicos para análise de riscos e perigos

• HAZOP

HAZard and OPerability study

• FME(C)A

Failure Mode and Effect (and Criticality) Analysis)

• ETA

Event Tree Analysis

• FTA

Fault Tree Analysis

• …



06/13/2018

Products Solutions Services

INTERNAL

O que veremos: LOPA, FMEDA, FMEA (λ’s), votação, tipos de redundância, proof tests, PTC, PFD, o MTBF e a SFF na revisão de 2016 da IEC 61511, a curva da banheira (bathtube).

Não perca a próxima aula!


Documents

Teoria da Segurança Funcional - static.eventials.com · • Vazamento de combustível por Sistema de ventilação • Comportamento inapropriado dos operadores tentando ... Tempo