3  Fatores  Importantes  na  Avaliação  de  um  dispositivo  Certificado  SIL  
(A B C      é  tão  importante  quanto  1 2 3  )  
William A. Schwartz Monica L. Hochleitner, CFSE
Gerente de Marketing – Brasil Engenheira de Segurança
exida.com, LLC exida.com, LLC
Sellersville, PA, USA Rio de Janeiro, RJ, Brazil
 
 
Hoje  existe  uma  crescente  tendência  que  os  usuários  finais  optem  por  fabricantes  que  tenham  
equipamentos   certificados   conforme   a   norma   IEC   61508   (SIL   –   Safety   Integrity   Level).   Esta   é   uma  
excelente   tendência   por   diversos   motivos.   O   primeiro   é   porque   para   se   obter   a   certificação,   os  
fabricantes   necessariamente   devem   fornecer   as   taxas   de   falha   e   modos   de   falha   do   produto.   Essas  
informações  são  normalmente  obtidas  a  partir  de  um  relatório  conhecido  como  análise  dos  modos  de  
falha,   efeitos   e   diagnósticos   (Failure   Modes   Effects   and   Diagnostic   Analysis   -­‐   FMEDA).   Entre   outras  
coisas,  o  relatório  FMEDA  detalha  as  restrições  de  arquitetura  (Architectural  Constraints)  e  o  λDU  (taxa  
de   falha   perigosa   não   detectada).   A   partir   dos   parâmetros   de   manutenção,   tais   como   intervalos   de  
testes,   cobertura   dos   testes   periódicos   e   tempo   de   reparo,   é   possível   determinar   a   probabilidade  
média   de   falha   do   dispositivo   na   demanda   (PFDavg),   isto   é,   quando   a   situação   perigosa   está   presente   e  
a   Função   de   Segurança   precisa   executar   sua   proteção.   Tanto   as   restrições   de   arquitetura   quanto   a  
PFDavg  de  um  dispositivo,  junto  com  a  certificação  conforme  a  IEC  61508,  são  críticas  na  avaliação  se  
um   dispositivo   é   adequado   para   uso   numa   Função   de   Segurança   dado   o   SIL   que   se   precisa   atingir.   E  
ambas   características,   junto   com   a   certificação   conforme   a   IEC   61508,   devem   preocupar   os  
engenheiros  envolvidos  nos  projetos  e  nas  avaliações  de  confiabilidade  e  segurança.    
 
As   restrições   de   arquitetura   de   um   dispositivo   determinam   imediatamente   qual   nível   de  
redundância  (HFT  –  Hardware  Fault  Tolerance)  deve  ser  usado  para  se  atingir  o  SIL  correspondente  à  
redução  de  risco  necessária  de  uma  Função  de  Segurança.  A  interpretação  da  Probabilidade  de  Falha  
de  um  dispositivo  é  mais  complexa.  Isso  porque  ela  não  determina  o  Nível  de  Integridade  de  Segurança  
(SIL)  do  produto,  mas  sim  a  contribuição  do  dispositivo  na  PFDavg  da  Função  de  Segurança.  Por  isso,  a  
PFDavg   de   um   dispositivo   deve   ser   considerada   junto   com   a   PFDavg   de   outros   dispositivos   que   serão  
usados   para   se   determinar   o   SIL   da   Função   de   Segurança   (SIF).   Este   artigo   trata   dessas   duas  
características   separadamente,   mas   antes   ele   define   um   conceito   mais   básico   quanto   ao   que   se  
entende  por  SIL  3.  Tornou-­‐se  comum  e  conveniente  o  uso  do  termo  instrumento  SIL  1,  instrumento  SIL  
2  ou  instrumento  SIL  3.  Infelizmente  esta  simplificação  pode  ser  muito  perigosa  e  equivocada.  De  fato,  
não   existe   tal   coisa   como   instrumento   SIL   1,   instrumento   SIL   2   ou   instrumento   SIL   3.   A   única   coisa   que  
realmente  pode  ser  classificado  como  SIL  1  ou  SIL  2  ou  SIL  3  é  a  Função  de  Segurança.  É  por  isso  que  
dispositivos  certificados  recebem  em  seus  certificados  o  crédito  de  “capaz  de  atingir  a  SIL  1”  ou  “capaz  
de  atingir  SIL   2”  ou  “capaz  de  atingir  SIL   3”.  Essa  distinção  faz  toda  a  diferença  e  essa  diferença  fica  
muito  clara  após  a  leitura  dos  próximos  parágrafos.    
Restrições  da  Arquitetura  (Architectural  Constraints).    
As  restrições  da  arquitetura  de  um  dispositivo  dependem  do  tipo  do  dispositivo  (Tipo  A  ou  Tipo  
B)  e  da  sua  Fração  de  Falha  Segura  (SFF  -­‐  Safe  Failure  Fraction).  Um  dispositivo  Tipo  A  é  um  subsistema  
“não  complexo”  que  utiliza  elementos  discretos.  Um  dispositivo  Tipo  B  é  um  subsistema  “complexo”  
que   usa   micro   processadores   ou   lógica   programável.   Para   maiores   detalhes,   veja   o   item   7.4.3.1.3   da  
norma  IEC  61508-­‐2.    
 
             Tabela  1  –  restrições  de  arquitetura  para  um                                                                      Tabela  2  –  restrições  de  arquitetura  para  um    
                                                       dispositivo  Tipo  A:                                                                                                                                                                  dispositivo  Tipo  B:    
 
 
 
 
 
 
 
 
 
 
 
 
 
(*)
   Tolerância  a  falha  igual  a  zero  significa  que  uma  simples  falha  perigosa  no  subsistema   pode  causar  a  falha  perigosa  no  sistema  inteiro.  
Tolerância  a  falha  igual  a  1  significa  que  o  subsistema  consegue  tolerar  uma  simples  falha  sem  falhar  perigosamente.  Este  tipo  de  situação  
é  normalmente  conseguida  utilizando-­‐se  uma  arquitetura  redundante  do  subsistema  como  na  votação  1oo2  (um  de  dois).  Por  ultimo,  a  
tolerância  a  falha  igual  a  2  significa  que  um  subsistema  pode  tolerar  duas  falhas  sem  falhar  perigosamente.  É  possível  conseguir  esse  tipo  
de  configuração  utilizando-­‐se  um  subsistema  triplo  redundante,  como  em  uma  arquitetura  1oo3  (um  de  três).  
 

Como  citado  acima,  a  restrição  de  arquitetura  de  um  dispositivo  está  associada  a  sua  Fração  de  
Falha  Segura  (SFF)  ,  que  por  sua  vez  é  calculada  a  partir  dos  dados  publicados  no  FMEDA.  É  também  
função  do  tipo  de  dispositivo:  Tipo  A  ou  Tipo  B.  Pela  Tabela  1  vemos  que  um  dispositivo  Tipo  A  com  SFF  
entre  60%  e  90%  pode  ser  usado  em  uma  Função  de  Segurança  SIL  2  sem  necessidade  de  redundância.  
Esse  mesmo  dispositivo  é  adequado  para  uso  em  uma  Função  de  Segurança  SIL  3  quando  usado  em  
arquitetura  redundante  do  tipo  1oo2.  Mas  referir-­‐se  a  este  dispositivo  que  tem  o  SFF  entre  60%  e  90%  
como  um  “dispositivo  SIL  3”  é  errôneo.  Se  este  dispositivo  tivesse  certificação  de  acordo  com  a  norma  
IEC  61508,  então  seu  certificado  deveria  trazer  a  seguinte  descrição:  “capaz  de  atingir  SIL  2  @  HFT=0”  e  
“capaz  de  atingir  SIL  3  @  HFT=1”.  Como  os  certificados  normalmente  são  emitidos  em  Inglês,  a  
indicação  no  corpo  do  certificado  deve  aparecer  assim:    “SIL  2  Capable  @  HFT  =  0.”and  “SIL  3  Capable  
@  HFT  =  1.”    

Beta  e  a  Probabilidade  de  Falha  na  Demanda.    

Primeiro  vale  repetir  que  a  única  coisa  que  realmente  pode  ser  classificada  como  SIL  1,  SIL  2  ou  SIL  
3  é  uma  Função  de  Segurança,  (SIF).  Em  modo  de  operação  de  baixa  demanda:    
 

• Para  uma  SIF  ser  classificada  como  SIL  1,  sua  PFDavg  deve  ser  entre  0,0100  e  0,1000.    
• Para  uma  SIF  ser  classificada  como  SIL  2,  sua  PFDavg  deve  ser  entre  0,0010  e  0,0100.    
• Para  uma  SIF  ser  classificada  como  SIL  3,  sua  PFDavg  deve  ser  entre  0,0001  e  0,0010.    
  
Embora   existam   exceções,   em   aplicações   da   indústria   de   processo   as   maiores   contribuições   na  
PFDavg  de  uma  Função  de  Segurança  tipicamente  são  atribuídas  ao  elemento  final,  a  válvula  operada  
remotamente.  Depois  disso,  as  maiores  contribuições  são  tipicamente  os  sensores  e/ou  as  unidades  de  
processamento   da   lógica.   Em   muito   menores   escalas   de   contribuição   aparecem   as   barreiras,  
condicionadores   de   sinal,   repetidores,   etc.   Por   exemplo,   se   a   PFDavg   de   uma   válvula   é   0,005,   ela   vai  
contribuir   com   quase   50%   da   faixa   ou   limite   superior   da   classificação   SIL   2   (0,005/0,010   =   50%).   No  
entanto,   como   é   esperada   que   a   contribuição   da   válvula   na   probabilidade   de   falha   perigosa   da   Função  
de  Segurança  seja  alta,  esta  válvula  pode  muito  bem  ser  uma  candidata  na  utilização  em  uma  Função  
de  Segurança  que  precisa  atingir  SIL  2.  Por  outro  lado,  se  um  condicionador  de  sinal  tivesse  a  mesma  
PFDavg,   seria   pouco   provável   (e   menos   ainda   adequado)   seu   uso   em   uma   Função   de   Segurança   que  
precisa  atingir  SIL  2.  Nesta  condição,  apesar  do  PFDavg  do  condicionador  de  sinal  estar  dentro  da  faixa  
da   classificação   SIL   2   (isto   é,   abaixo   do   limite   superior   da   faixa   SIL   2),   este   tipo   de   dispositivo   não   deve  
consumir   mais   do   que   10%   da   faixa   da   classificação   SIL   2   para   que   seu   uso   seja   adequado   em   uma  
Função  de  Segurança  que  precisa  atingir  SIL  2.  Em  outras  palavras,  sua  PFDavg  deve  ser  inferior  a  0,001,  
(10%  de  0,010).    
 
Eis  uma  outra  forma  de  se  interpretar  a  questão  (lembrando  que  aqui  são  considerados  valores  em  
ordem  de  magnitude):  considere  que  um  dispositivo  com  PFDavg  de  0,0005  (5,0E-­‐4)  usa  até    5%  da  faixa  
de   classificação   SIL   2   (5%   de   0,0100   =   0,0005).   É   tecnicamente   preciso   declarar   que   este   mesmo  
dispositivo  usa  até  50%  da  faixa  de  classificação  SIL  3  (50%  de  0,0010  =  0,0005).  Enquanto  a  segunda  
declaração   pode   ser   razoável   quando   nos   referimos   a   uma   válvula,   ela   pode   ser   completamente  
errônea  quando  nos  referimos  a  um  condicionador  de  sinal.  Isto  é,  considere  o  limite  de  PFDavg  de  0,01  
para  uma  SIF  SIL  2  como  você  considera  a  verba  de  R$30.000  para  a  mesma  SIF.  Para  a  válvula,  pode-­‐se  
muito   bem   gastar   R$15.000   (50%   da   verba)   e   0,005   PFDavg   (50%   do   limite   SIL   2).   Mas   para   um  
condicionador  de  sinal  ninguém  nunca  gastaria  50%  da  verba,  nem  tão  pouco  gastaria  50%  do  limite  do  
PFDavg   da   SIF   SIL   2.   Usando   este   dispositivo   numa   arquitetura   com   HFT=1,   como   na   votação   1oo2,   o  
dispositivo   pode   satisfazer   as   restrições   de   arquitetura   e   baixar   suficientemente   o   PFDavg,   dependendo  
da  fração  de  falha  atribuída  a  causa  comum  β  (Common  Cause  ).  
   
Certificação  Segundo  a  norma  IEC  61508    
É  claro  que  a  confiabilidade  de  um  dispositivo  fabricado  hoje  não  pode  garantir  a  confiabilidade  
desse  mesmo  dispositivo  no  futuro.  É  por  isso  que  a  consideração  final  do  engenheiro  de  Segurança  é  
se   o   dispositivo   seja   certificado   segundo   a   norma   IEC   61508.   Os   processos   de   projeto   e   manufatura   do  
fabricante   devem   atender   aos   requisitos   específicos   da   norma   IEC   61508,   baseados   no   nível   de   SIL  
atendido.        
 
Conclui-­‐se  então  que,  para  determinar  se  um  dispositivo  é  adequado  para  uso  em  uma  Função  de  
Segurança,  existem  3  aspectos  críticos  a  se  considerar:  
1. As  Restrições  de  Arquitetura  e    a  faixa  de  falhas  perigosas  não  detectadas  (λDU)  do  dispositivo.    
2. A  contribuição  real  e  esperada  do  dispositivo  ao  PFDavg  da  Função  de  Segurança.      
3. Os  processos  de  projeto  e  manufatura  do  fabricante  –    O  dispositivo  é  CERTIFICADO?  
 
 É  importante  saber  se  o  dispositivo  seja  capaz  de  atingir  SIL  1  ou  SIL  2 ou  SIL  3...  
Também  importa  entender  as  Restrições  da  Arquitetura,    a  Beta  e  a  PFDavg,  e  a  Certificação