Académique Documents
Professionnel Documents
Culture Documents
3
Fatores
Importantes
na
Avaliação
de
um
dispositivo
Certificado
SIL
(A B C
é
tão
importante
quanto
1 2 3
)
William A. Schwartz Monica L. Hochleitner, CFSE
Gerente de Marketing – Brasil Engenheira de Segurança
exida.com, LLC exida.com, LLC
Sellersville, PA, USA Rio de Janeiro, RJ, Brazil
Hoje
existe
uma
crescente
tendência
que
os
usuários
finais
optem
por
fabricantes
que
tenham
equipamentos
certificados
conforme
a
norma
IEC
61508
(SIL
–
Safety
Integrity
Level).
Esta
é
uma
excelente
tendência
por
diversos
motivos.
O
primeiro
é
porque
para
se
obter
a
certificação,
os
fabricantes
necessariamente
devem
fornecer
as
taxas
de
falha
e
modos
de
falha
do
produto.
Essas
informações
são
normalmente
obtidas
a
partir
de
um
relatório
conhecido
como
análise
dos
modos
de
falha,
efeitos
e
diagnósticos
(Failure
Modes
Effects
and
Diagnostic
Analysis
-‐
FMEDA).
Entre
outras
coisas,
o
relatório
FMEDA
detalha
as
restrições
de
arquitetura
(Architectural
Constraints)
e
o
λDU
(taxa
de
falha
perigosa
não
detectada).
A
partir
dos
parâmetros
de
manutenção,
tais
como
intervalos
de
testes,
cobertura
dos
testes
periódicos
e
tempo
de
reparo,
é
possível
determinar
a
probabilidade
média
de
falha
do
dispositivo
na
demanda
(PFDavg),
isto
é,
quando
a
situação
perigosa
está
presente
e
a
Função
de
Segurança
precisa
executar
sua
proteção.
Tanto
as
restrições
de
arquitetura
quanto
a
PFDavg
de
um
dispositivo,
junto
com
a
certificação
conforme
a
IEC
61508,
são
críticas
na
avaliação
se
um
dispositivo
é
adequado
para
uso
numa
Função
de
Segurança
dado
o
SIL
que
se
precisa
atingir.
E
ambas
características,
junto
com
a
certificação
conforme
a
IEC
61508,
devem
preocupar
os
engenheiros
envolvidos
nos
projetos
e
nas
avaliações
de
confiabilidade
e
segurança.
As
restrições
de
arquitetura
de
um
dispositivo
determinam
imediatamente
qual
nível
de
redundância
(HFT
–
Hardware
Fault
Tolerance)
deve
ser
usado
para
se
atingir
o
SIL
correspondente
à
redução
de
risco
necessária
de
uma
Função
de
Segurança.
A
interpretação
da
Probabilidade
de
Falha
de
um
dispositivo
é
mais
complexa.
Isso
porque
ela
não
determina
o
Nível
de
Integridade
de
Segurança
(SIL)
do
produto,
mas
sim
a
contribuição
do
dispositivo
na
PFDavg
da
Função
de
Segurança.
Por
isso,
a
PFDavg
de
um
dispositivo
deve
ser
considerada
junto
com
a
PFDavg
de
outros
dispositivos
que
serão
usados
para
se
determinar
o
SIL
da
Função
de
Segurança
(SIF).
Este
artigo
trata
dessas
duas
características
separadamente,
mas
antes
ele
define
um
conceito
mais
básico
quanto
ao
que
se
entende
por
SIL
3.
Tornou-‐se
comum
e
conveniente
o
uso
do
termo
instrumento
SIL
1,
instrumento
SIL
2
ou
instrumento
SIL
3.
Infelizmente
esta
simplificação
pode
ser
muito
perigosa
e
equivocada.
De
fato,
não
existe
tal
coisa
como
instrumento
SIL
1,
instrumento
SIL
2
ou
instrumento
SIL
3.
A
única
coisa
que
realmente
pode
ser
classificado
como
SIL
1
ou
SIL
2
ou
SIL
3
é
a
Função
de
Segurança.
É
por
isso
que
dispositivos
certificados
recebem
em
seus
certificados
o
crédito
de
“capaz
de
atingir
a
SIL
1”
ou
“capaz
de
atingir
SIL
2”
ou
“capaz
de
atingir
SIL
3”.
Essa
distinção
faz
toda
a
diferença
e
essa
diferença
fica
muito
clara
após
a
leitura
dos
próximos
parágrafos.
Restrições
da
Arquitetura
(Architectural
Constraints).
As
restrições
da
arquitetura
de
um
dispositivo
dependem
do
tipo
do
dispositivo
(Tipo
A
ou
Tipo
B)
e
da
sua
Fração
de
Falha
Segura
(SFF
-‐
Safe
Failure
Fraction).
Um
dispositivo
Tipo
A
é
um
subsistema
“não
complexo”
que
utiliza
elementos
discretos.
Um
dispositivo
Tipo
B
é
um
subsistema
“complexo”
que
usa
micro
processadores
ou
lógica
programável.
Para
maiores
detalhes,
veja
o
item
7.4.3.1.3
da
norma
IEC
61508-‐2.
Tabela
1
–
restrições
de
arquitetura
para
um
Tabela
2
–
restrições
de
arquitetura
para
um
dispositivo
Tipo
A:
dispositivo
Tipo
B:
(*)
Tolerância
a
falha
igual
a
zero
significa
que
uma
simples
falha
perigosa
no
subsistema
pode
causar
a
falha
perigosa
no
sistema
inteiro.
Tolerância
a
falha
igual
a
1
significa
que
o
subsistema
consegue
tolerar
uma
simples
falha
sem
falhar
perigosamente.
Este
tipo
de
situação
é
normalmente
conseguida
utilizando-‐se
uma
arquitetura
redundante
do
subsistema
como
na
votação
1oo2
(um
de
dois).
Por
ultimo,
a
tolerância
a
falha
igual
a
2
significa
que
um
subsistema
pode
tolerar
duas
falhas
sem
falhar
perigosamente.
É
possível
conseguir
esse
tipo
de
configuração
utilizando-‐se
um
subsistema
triplo
redundante,
como
em
uma
arquitetura
1oo3
(um
de
três).
Como
citado
acima,
a
restrição
de
arquitetura
de
um
dispositivo
está
associada
a
sua
Fração
de
Falha
Segura
(SFF)
,
que
por
sua
vez
é
calculada
a
partir
dos
dados
publicados
no
FMEDA.
É
também
função
do
tipo
de
dispositivo:
Tipo
A
ou
Tipo
B.
Pela
Tabela
1
vemos
que
um
dispositivo
Tipo
A
com
SFF
entre
60%
e
90%
pode
ser
usado
em
uma
Função
de
Segurança
SIL
2
sem
necessidade
de
redundância.
Esse
mesmo
dispositivo
é
adequado
para
uso
em
uma
Função
de
Segurança
SIL
3
quando
usado
em
arquitetura
redundante
do
tipo
1oo2.
Mas
referir-‐se
a
este
dispositivo
que
tem
o
SFF
entre
60%
e
90%
como
um
“dispositivo
SIL
3”
é
errôneo.
Se
este
dispositivo
tivesse
certificação
de
acordo
com
a
norma
IEC
61508,
então
seu
certificado
deveria
trazer
a
seguinte
descrição:
“capaz
de
atingir
SIL
2
@
HFT=0”
e
“capaz
de
atingir
SIL
3
@
HFT=1”.
Como
os
certificados
normalmente
são
emitidos
em
Inglês,
a
indicação
no
corpo
do
certificado
deve
aparecer
assim:
“SIL
2
Capable
@
HFT
=
0.”and
“SIL
3
Capable
@
HFT
=
1.”
• Para
uma
SIF
ser
classificada
como
SIL
1,
sua
PFDavg
deve
ser
entre
0,0100
e
0,1000.
• Para
uma
SIF
ser
classificada
como
SIL
2,
sua
PFDavg
deve
ser
entre
0,0010
e
0,0100.
• Para
uma
SIF
ser
classificada
como
SIL
3,
sua
PFDavg
deve
ser
entre
0,0001
e
0,0010.
Embora
existam
exceções,
em
aplicações
da
indústria
de
processo
as
maiores
contribuições
na
PFDavg
de
uma
Função
de
Segurança
tipicamente
são
atribuídas
ao
elemento
final,
a
válvula
operada
remotamente.
Depois
disso,
as
maiores
contribuições
são
tipicamente
os
sensores
e/ou
as
unidades
de
processamento
da
lógica.
Em
muito
menores
escalas
de
contribuição
aparecem
as
barreiras,
condicionadores
de
sinal,
repetidores,
etc.
Por
exemplo,
se
a
PFDavg
de
uma
válvula
é
0,005,
ela
vai
contribuir
com
quase
50%
da
faixa
ou
limite
superior
da
classificação
SIL
2
(0,005/0,010
=
50%).
No
entanto,
como
é
esperada
que
a
contribuição
da
válvula
na
probabilidade
de
falha
perigosa
da
Função
de
Segurança
seja
alta,
esta
válvula
pode
muito
bem
ser
uma
candidata
na
utilização
em
uma
Função
de
Segurança
que
precisa
atingir
SIL
2.
Por
outro
lado,
se
um
condicionador
de
sinal
tivesse
a
mesma
PFDavg,
seria
pouco
provável
(e
menos
ainda
adequado)
seu
uso
em
uma
Função
de
Segurança
que
precisa
atingir
SIL
2.
Nesta
condição,
apesar
do
PFDavg
do
condicionador
de
sinal
estar
dentro
da
faixa
da
classificação
SIL
2
(isto
é,
abaixo
do
limite
superior
da
faixa
SIL
2),
este
tipo
de
dispositivo
não
deve
consumir
mais
do
que
10%
da
faixa
da
classificação
SIL
2
para
que
seu
uso
seja
adequado
em
uma
Função
de
Segurança
que
precisa
atingir
SIL
2.
Em
outras
palavras,
sua
PFDavg
deve
ser
inferior
a
0,001,
(10%
de
0,010).
Eis
uma
outra
forma
de
se
interpretar
a
questão
(lembrando
que
aqui
são
considerados
valores
em
ordem
de
magnitude):
considere
que
um
dispositivo
com
PFDavg
de
0,0005
(5,0E-‐4)
usa
até
5%
da
faixa
de
classificação
SIL
2
(5%
de
0,0100
=
0,0005).
É
tecnicamente
preciso
declarar
que
este
mesmo
dispositivo
usa
até
50%
da
faixa
de
classificação
SIL
3
(50%
de
0,0010
=
0,0005).
Enquanto
a
segunda
declaração
pode
ser
razoável
quando
nos
referimos
a
uma
válvula,
ela
pode
ser
completamente
errônea
quando
nos
referimos
a
um
condicionador
de
sinal.
Isto
é,
considere
o
limite
de
PFDavg
de
0,01
para
uma
SIF
SIL
2
como
você
considera
a
verba
de
R$30.000
para
a
mesma
SIF.
Para
a
válvula,
pode-‐se
muito
bem
gastar
R$15.000
(50%
da
verba)
e
0,005
PFDavg
(50%
do
limite
SIL
2).
Mas
para
um
condicionador
de
sinal
ninguém
nunca
gastaria
50%
da
verba,
nem
tão
pouco
gastaria
50%
do
limite
do
PFDavg
da
SIF
SIL
2.
Usando
este
dispositivo
numa
arquitetura
com
HFT=1,
como
na
votação
1oo2,
o
dispositivo
pode
satisfazer
as
restrições
de
arquitetura
e
baixar
suficientemente
o
PFDavg,
dependendo
da
fração
de
falha
atribuída
a
causa
comum
β
(Common
Cause
).
Certificação
Segundo
a
norma
IEC
61508
É
claro
que
a
confiabilidade
de
um
dispositivo
fabricado
hoje
não
pode
garantir
a
confiabilidade
desse
mesmo
dispositivo
no
futuro.
É
por
isso
que
a
consideração
final
do
engenheiro
de
Segurança
é
se
o
dispositivo
seja
certificado
segundo
a
norma
IEC
61508.
Os
processos
de
projeto
e
manufatura
do
fabricante
devem
atender
aos
requisitos
específicos
da
norma
IEC
61508,
baseados
no
nível
de
SIL
atendido.
Conclui-‐se
então
que,
para
determinar
se
um
dispositivo
é
adequado
para
uso
em
uma
Função
de
Segurança,
existem
3
aspectos
críticos
a
se
considerar:
1. As
Restrições
de
Arquitetura
e
a
faixa
de
falhas
perigosas
não
detectadas
(λDU)
do
dispositivo.
2. A
contribuição
real
e
esperada
do
dispositivo
ao
PFDavg
da
Função
de
Segurança.
3. Os
processos
de
projeto
e
manufatura
do
fabricante
–
O
dispositivo
é
CERTIFICADO?
É
importante
saber
se
o
dispositivo
seja
capaz
de
atingir
SIL
1
ou
SIL
2 ou
SIL
3...
Também
importa
entender
as
Restrições
da
Arquitetura,
a
Beta
e
a
PFDavg,
e
a
Certificação