N-2595

REV. B

OUT / 2002

CRITRIOS DE PROJETO E MANUTENO PARA SISTEMAS INSTRUMENTADOS DE SEGURANA EM UNIDADES INDUSTRIAIS

Procedimento
Esta Norma substitui e cancela a sua reviso anterior. Cabe CONTEC - Subcomisso Autora, a orientao quanto interpretao do texto desta Norma. O rgo da PETROBRAS usurio desta Norma o responsvel pela adoo e aplicao dos seus itens. Requisito Tcnico: Prescrio estabelecida como a mais adequada e que deve ser utilizada estritamente em conformidade com esta Norma. Uma eventual resoluo de no segui-la ("no-conformidade" com esta Norma) deve ter fundamentos tcnico-gerenciais e deve ser aprovada e registrada pelo rgo da PETROBRAS usurio desta Norma. caracterizada pelos verbos: dever, ser, exigir, determinar e outros verbos de carter impositivo. Prtica Recomendada: Prescrio que pode ser utilizada nas condies previstas por esta Norma, mas que admite (e adverte sobre) a possibilidade de alternativa (no escrita nesta Norma) mais adequada aplicao especfica. A alternativa adotada deve ser aprovada e registrada pelo rgo da PETROBRAS usurio desta Norma. caracterizada pelos verbos: recomendar, poder, sugerir e aconselhar (verbos de carter no-impositivo). indicada pela expresso: [Prtica Recomendada]. Cpias dos registros das no-conformidades com esta Norma, que possam contribuir para o seu aprimoramento, devem ser enviadas para a CONTEC - Subcomisso Autora. As propostas para reviso desta Norma devem ser enviadas CONTEC Subcomisso Autora, indicando a sua identificao alfanumrica e reviso, o item a ser revisado, a proposta de redao e a justificativa tcnico-econmica. As propostas so apreciadas durante os trabalhos para alterao desta Norma. A presente Norma titularidade exclusiva da PETRLEO BRASILEIRO S.A. PETROBRAS, de uso interno na Companhia, e qualquer reproduo para utilizao ou divulgao externa, sem a prvia e expressa autorizao da titular, importa em ato ilcito nos termos da legislao pertinente, atravs da qual sero imputadas as responsabilidades cabveis. A circulao externa ser regulada mediante clusula prpria de Sigilo e Confidencialidade, nos termos do direito intelectual e propriedade industrial.

CONTEC
Comisso de Normas Tcnicas

SC - 10
Instrumentao e Automao Industrial

Apresentao
As Normas Tcnicas PETROBRAS so elaboradas por Grupos de Trabalho - GTs (formados por especialistas da Companhia e das suas Subsidirias), so comentadas pelas Unidades da Companhia e das suas Subsidirias, so aprovadas pelas Subcomisses Autoras - SCs (formadas por tcnicos de uma mesma especialidade, representando as Unidades da Companhia e as suas Subsidirias) e homologadas pelo Plenrio da CONTEC (formado pelos representantes das Unidades da Companhia e das suas Subsidirias). Uma Norma Tcnica PETROBRAS est sujeita a reviso em qualquer tempo pela sua Subcomisso Autora e deve ser reanalisada a cada 5 anos para ser revalidada, revisada ou cancelada. As Normas Tcnicas PETROBRAS so elaboradas em conformidade com a norma PETROBRAS N - 1. Para informaes completas sobre as Normas Tcnicas PETROBRAS, ver Catlogo de Normas Tcnicas PETROBRAS.

PROPRIEDADE DA PETROBRAS

39 pginas, 1 formulrio e ndice de Reviso

N-2595

REV. B

OUT / 2002

SUMRIO
1 OBJETIVO........................................................................................................................................................... 5 2 DOCUMENTOS COMPLEMENTARES............................................................................................................... 5 3 SMBOLOS OU SIGLAS...................................................................................................................................... 6 4 DEFINIES....................................................................................................................................................... 6 4.1 ATUADOR............................................................................................................................................. 6 4.2 CAMADA DE PROTEO .................................................................................................................... 6 4.3 CLASSE DE UMA MALHA DE SEGURANA ...................................................................................... 6 4.4 DEMANDA ............................................................................................................................................ 6 4.5 ELEMENTO FINAL................................................................................................................................ 7 4.6 EXECUTOR DA LGICA ...................................................................................................................... 7 4.7 FAIL SAFE (FALHA SEGURA) ........................................................................................................... 7 4.8 FALHA................................................................................................................................................... 7 4.9 FALHA ESPRIA .................................................................................................................................. 7 4.10 FALHA NA DEMANDA ........................................................................................................................ 7 4.11 FALHA OCULTA ................................................................................................................................. 7 4.12 FATOR DE COBERTURA................................................................................................................... 7 4.13 INICIADOR.......................................................................................................................................... 7 4.14 MALHA DE SEGURANA .................................................................................................................. 8 4.15 NVEL DE INTEGRIDADE DE SEGURANA - SIL............................................................................. 8 4.16 PAINEL DE RELS ............................................................................................................................. 8 4.17 PERIGO .............................................................................................................................................. 8 4.18 PROBABILIDADE DE FALHA NA DEMANDA - PFD .......................................................................... 8 4.19 REDUNDNCIA .................................................................................................................................. 8 4.20 REDUNDNCIA DIVERSA ................................................................................................................. 8 4.21 RISCO ................................................................................................................................................. 8 4.22 SISTEMA ELETRNICO PROGRAMVEL - PES.............................................................................. 9 4.23 SISTEMA INSTRUMENTADO DE SEGURANA - SIS ...................................................................... 9 4.24 SISTEMA DE SUPERVISO E CONTROLE - SSC............................................................................ 9 4.25 TAXA DE PERIGO .............................................................................................................................. 9 4.26 TOLERNCIA A FALHA ESPRIA ..................................................................................................... 9 4.27 TOLERNCIA A FALHA NA DEMANDA............................................................................................. 9 4.28 TOLERNCIA A FALHA NA DEMANDA E ESPRIA......................................................................... 9 4.29 TRIP.................................................................................................................................................. 9 5 CLASSIFICAO DE MALHAS DE SEGURANA........................................................................................... 10 5.1. INTRODUO ................................................................................................................................... 10

N-2595

REV. B

OUT / 2002

5.2 CONSIDERAES INICIAIS .............................................................................................................. 11 5.3 PROCEDIMENTO PARA CLASSIFICAO DE MALHAS DE SEGURANA.................................... 12 5.4 CLASSIFICAO DE MALHAS DE SEGURANA DE ACORDO COM A POSSIBILIDADE DE OCORRNCIA DE FALHAS NA DEMANDA...................................................................................... 16 5.4.1 FREQNCIA DE DEMANDA.................................................................................................. 16 5.4.2 SEGURANA PESSOAL.......................................................................................................... 17 5.4.3 PERDA DE PRODUO E DANOS A EQUIPAMENTOS (VER FIGURA 6)............................ 18 5.4.4 MEIO AMBIENTE (VER FIGURA 7) ......................................................................................... 20 5.4.5 INTERPRETAO DOS RESULTADOS E REGRAS GERAIS................................................ 21 5.5 CLASSIFICAO DE MALHAS DE SEGURANA DE ACORDO COM A POSSIBILIDADE DE OCORRNCIA DE FALHAS ESPRIAS............................................................................................ 22 5.6 SNTESE DA CLASSIFICAO.......................................................................................................... 24 5.7 DOCUMENTAO.............................................................................................................................. 25 6 IMPLEMENTAO............................................................................................................................................ 25 6.1 CONSIDERAES INICIAIS .............................................................................................................. 25 6.2 CONSIDERAES GERAIS .............................................................................................................. 26 6.3 INICIADORES ..................................................................................................................................... 27 6.4 EXECUTOR DA LGICA DO SIS ....................................................................................................... 28 6.5 ATUADORES ...................................................................................................................................... 29 6.6 ALIMENTAO ELTRICA ................................................................................................................ 31 6.7 INTERFACE HOMEM-MQUINA........................................................................................................ 31 6.8 INTERFACE DE COMUNICAO COM SSC .................................................................................... 33 6.9 BY-PASS PARA MANUTENO........................................................................................................ 33 6.10 BY-PASS PARA INCIO DE OPERAO ......................................................................................... 33 6.11 RESUMO DA IMPLEMENTAO..................................................................................................... 34 7 TESTES............................................................................................................................................................. 34 7.1 CONSIDERAES GERAIS .............................................................................................................. 34 7.2 TESTE DE INICIADORES................................................................................................................... 35 7.3 TESTE DO EXECUTOR DA LGICA ................................................................................................. 36 7.4 TESTE DE ATUADORES.................................................................................................................... 36 8 MANUTENO ................................................................................................................................................. 37 8.1 OBJETIVO........................................................................................................................................... 37 8.2 RESPONSABILIDADE ........................................................................................................................ 37 8.3 TREINAMENTO .................................................................................................................................. 37 8.4 DOCUMENTAO.............................................................................................................................. 37 8.5 PROGRAMA DE MANUTENO ....................................................................................................... 37 8.6 MODIFICAES................................................................................................................................. 38

N-2595

REV. B

OUT / 2002

8.7 ACESSO ............................................................................................................................................. 38 8.8 AUDITORIA......................................................................................................................................... 38

_____________ /OBJETIVO

N-2595
1 OBJETIVO

REV. B

OUT / 2002

1.1 Esta Norma fixa as condies exigveis nos projetos terrestres e manuteno de Sistemas Instrumentados de Segurana, para uso nas instalaes terrestres da PETROBRAS. 1.2 Esta Norma fixa as condies exigveis para projetos iniciados a partir da data de sua edio. 1.3 Esta Norma contm Requisitos Tcnicos e Prticas Recomendadas.

2 DOCUMENTOS COMPLEMENTARES
Os documentos relacionados a seguir contm prescries vlidas para a presente Norma. PETROBRAS N-858 PETROBRAS N-1219 PETROBRAS N-1735 PETROBRAS N-1882 PETROBRAS N-1883 PETROBRAS N-2593 ABNT NBR 6146 ISA S84.01 ISA 91.00.01 AICHE API RP 554 DIN V 19250 DIN V VDE 0801 IEC 0801 IEC 61131 IEC 61508 NFPA 8502 - Construo, Montagem e Condicionamento de Instrumentao; - Cores; - Pintura de Mquinas Equipamentos Eltricos e Instrumentos; - Critrios para Elaborao de Projetos de Instrumentao; - Apresentao de Projeto de Instrumentao; - Critrios para Aplicao de Tcnicas de Avaliao de Riscos e Confiabilidade; - Invlucros de Equipamentos Eltricos - Proteo; - Application of Safety Instrumented Systems for the Process Industries; - Identification of Emergency Shutdown Systems and Controls That are Critical to Maintaining Safety in Process Industries; - Guidelines for Safe Automation of Chemical Process; - Process Instrumentation and Control; - Control Technology; Fundamental Safety Aspects to be Considered for Measurement and Control Equipment; - Principles of Computers in Safety Related Systems; - Eletromagnetic Compatibility for Industrial-Process Measurement and Control Equipment; - Programable Controllers, Part 3; - Function Safety of Electrical/ Electronic/Programmable Electronic Safety-Related Systems, Parts 1-7; - Furnace Explosions/Implosions in Multiple Burner Boiler.

N-2595
3 SMBOLOS OU SIGLAS
API DIN IEC IHM ISA NE ND PES PFD PFE SIS SIL SSC TV UPS MTBF

REV. B

OUT / 2002

- American Petroleum Institute; - Deutsches Institut fr Normung (rgo Normativo da Alemanha); - International Electrotechnical Commission; - Interface Homem-Mquina; - The Instrumentation, Systems, and Automation Society; - Normalmente Energizado; - Normalmente Desenergizado; - Programmable Electronic System (Sistema Eletrnico Programvel); - Probabilidade de Falha na Demanda; - Probabilidade de Falha Espria; - Sistema Instrumentado de Segurana; - Safety Integrity Level (Nvel de Integridade de Segurana); - Sistema de Superviso e Controle; - Technische berwachungs Verein (Organizaes de Inspeo Tcnica); - Uninterrupted Power Supply (Sistema Ininterrupto de Potncia); - Mean Time Between Failure (Tempo Mdio Entre Falhas).

4 DEFINIES
Para os propsitos desta Norma so adotadas as definies indicadas nos itens 4.1 a 4.29. 4.1 Atuador Dispositivo ou combinao de dispositivos incluindo elementos finais, que so acionados pelo executor da lgica para obter reduo de risco: a) fiao, vlvula solenide e vlvula shut-off; b) rel de interposio e circuito de comando de motor. 4.2 Camada de Proteo Sistema ou subsistema especificamente projetado para reduzir significativamente o risco, ou severidade, de um determinado evento perigoso (AICHE). 4.3 Classe de uma Malha de Segurana Escala de I a VI e X, a qual estabelece requisitos para as malhas de segurana. 4.4 Demanda Uma condio ou evento que requer a atuao de uma malha de segurana. 6

N-2595
4.5 Elemento Final

REV. B

OUT / 2002

ltimo elemento de uma malha de segurana que atua sobre o processo. 4.6 Executor da Lgica Componente que recebe os sinais dos iniciadores, processa funes preestabelecidas e comanda, em funo do resultado das funes preestabelecidas, a ao dos atuadores. 4.7 Fail Safe (Falha Segura) Resultado de uma falha em um componente ou sistema, cujo estado final deve ser mais seguro ou menos perigoso. 4.8 Falha No cumprimento do servio esperado de um dispositivo. 4.9 Falha Espria Falha cujo resultado implica na ao de pelo menos um atuador, sem que tenha ocorrido realmente um evento iniciador que o demandasse. 4.10 Falha na Demanda Falha que se caracteriza pela no ao ou ao incorreta de pelo menos um atuador, quando da ocorrncia de um evento iniciador que demande essa ao. 4.11 Falha Oculta Falha cuja ocorrncia s percebida quando a ao de uma malha de segurana solicitada, seja por demanda ou teste. 4.12 Fator de Cobertura Nmero que varia de 0 a 1 (100 %), o qual indica o percentual de falhas ocultas que so detectadas, quando um elemento do SIS submetido a determinado tipo de teste. 4.13 Iniciador Dispositivo ou combinao de dispositivos que do informaes ao executor da lgica, sobre o valor (ou estado) de variveis de processo ou de equipamentos monitorados: a) conexes ao processo, sensores, transmissores e fiao; b) chave manual de trip e fiao; c) chaves fim-de-curso e fiao.

N-2595
4.14 Malha de Segurana

REV. B

OUT / 2002

Conjunto de um ou mais iniciadores, executor da lgica, e um ou mais atuadores com a funo de prevenir determinado perigo. 4.15 Nvel de Integridade de Segurana - SIL Indicador de desempenho do SIS, medido atravs de sua PFD. 4.16 Painel de Rels Executor da lgica do SIS composto de rels eletromecnicos normalmente energizados. 4.17 Perigo Causa potencial de dano integridade fsica e sade, patrimnio, meio ambiente ou perda de produo. 4.18 Probabilidade de Falha na Demanda - PFD Probabilidade de uma malha de segurana falhar em resposta a uma demanda. 4.19 Redundncia Uso de 2 ou mais dispositivos distintos, cada qual realizando a mesma funo. 4.20 Redundncia Diversa Tcnica de utilizao de diferentes tecnologias, projetos, fabricao, software, firmware, etc. para se reduzir a influncia das falhas de causa comum. Exemplos de mtodos que podem ser utilizados para se obter a redundncia diversa: a) medio de diferentes variveis de processo, tais como presso e temperatura, nos casos onde o relacionamento entre as variveis bem determinado e conhecido; b) uso de diferentes tecnologias de medio sobre a mesma varivel de processo, tais como medio de vazo por vortex e coriolis; c) uso de diferentes tipos de PES em cada canal de uma arquitetura redundante; d) uso de diversidade geogrfica, isto , rotas alternativas para meios de comunicao redundantes. 4.21 Risco Combinao da taxa de perigo com as conseqncias do evento perigoso.

N-2595
4.22 Sistema Eletrnico Programvel - PES

REV. B

OUT / 2002

Executor da lgica desenvolvido e certificado para aplicaes em SIS. 4.23 Sistema Instrumentado de Segurana - SIS Camada de proteo instrumentada, composta de 1 ou mais malhas de segurana, cuja finalidade de colocar o processo em estado seguro, quando determinadas condies pr-estabelecidas so atingidas. 4.24 Sistema de Superviso e Controle - SSC Sistema que realiza a aquisio de dados, o controle e permite a monitorao e operao remota de plantas industriais, de produo ou de transferncia e distribuio. 4.25 Taxa de Perigo Freqncia de ocorrncia de perigo. Taxa de Perigo = Freqncia de Demanda x Probabilidade de Falha na Demanda 4.26 Tolerncia a Falha Espria Recurso agregado ao projeto de uma malha de segurana, com a finalidade de no ocasionar atuao indevida do SIS, quando da ocorrncia de falha espria, contribuindo para disponibilidade da planta. Exemplo: VOTAO 2 de 2 4.27 Tolerncia a Falha na Demanda Recurso agregado ao projeto de uma malha de segurana, com a finalidade de no comprometer a execuo de sua funo de segurana quando da ocorrncia de uma falha oculta. Exemplo: VOTAO 1 de 2 4.28 Tolerncia a Falha na Demanda e Espria Recurso agregado ao projeto de uma malha de segurana, com a finalidade de contribuir para a disponibilidade da planta e no comprometer a execuo de sua funo de segurana, quando da ocorrncia de uma falha na demanda ou espria. Exemplo: VOTAO 2 de 3 4.29 Trip Ao de uma malha de segurana sobre seu(s) atuador(es). 9

N-2595

REV. B

OUT / 2002

5 CLASSIFICAO DE MALHAS DE SEGURANA 5.1. Introduo 5.1.1 Esta Norma est baseada em uma abordagem qualitativa de engenharia de confiabilidade, para avaliao do nvel de criticidade de malhas de segurana. No se pretende excluir as etapas de anlise quantitativa de engenharia de confiabilidade, mas aproximaes foram adotadas para obtermos, de modo prtico, SIS adequados. 5.1.2 Os riscos associados operao de equipamentos e unidades de processo, so consideravelmente reduzidos por meio de diversas tcnicas, contempladas durante as fases de projeto. Por exemplo: riscos devidos sobrepresses so comumente reduzidos atravs de projetos adequados de espessura das tubulaes, torres e vasos. 5.1.3 Um sistema de proteo pode ser baseado em dispositivos mecnicos e/ou de instrumentao. Dispositivos mecnicos so vlvulas de segurana, discos de ruptura e vlvulas de reteno. Estes dispositivos so projetados de forma a garantir a proteo final da planta, aps todas as tentativas de se reduzir a tendncia de elevao do risco. Nesta Norma no so tratados tais dispositivos, pois no se enquadram no SIS, mas em camadas de proteo fsica do processo. 5.1.4 Se a reduo de risco obtida com uso de tais tcnicas de projeto for considerada suficiente, no se faz necessrio a aplicao de um SIS. Por outro lado, caso aps a aplicao dessas tcnicas, permanea o grau de risco maior que o aceitvel, faz-se necessria a implementao de um SIS, para reduzir este risco a um nvel adequado (ver FIGURA 1).

GRAU DE RISCO ESTABELECIDO APS ADOO DE UM SIS

GRAU TOLERVEL DE RISCO

GRAU DE RISCO COM A ADOO DE MEDIDAS DE SEGURANA SEM A PREVENO ATRAVS DE UM SIS

RISCO INICIAL SEM A ADOO DE MEDIDAS DE SEGURANA

NVEL DE REDUO DE RISCO IMPLEMENTADO POR OUTROS DISPOSITIVOS

RISCO

NVEL NECESSRIO DE REDUO DE RISCO

NVEL DE REDUO DE RISCO IMPLEMENTADO PELO SIS

NVEL TOTAL DE REDUO DE RISCO

FIGURA 1 - CONCEITOS GERAIS SOBRE REDUO DE RISCOS

10

N-2595

REV. B

OUT / 2002

5.1.5 A avaliao da necessidade de implementao de malhas de segurana parte integrante das prticas de projeto, devendo ser realizada durante o Projeto Bsico da planta, e sua necessidade confirmada atravs da aplicao de tcnicas de avaliao de riscos e confiabilidade (ver norma PETROBRAS N-2593). 5.1.6 O objetivo deste Captulo prover uma metodologia para a classificao das malhas de segurana de acordo com o seu grau de criticidade. Deve ficar claro que esta Norma no tem como objetivo substituir os estudos de anlise de risco, mas complementar sua execuo, auxiliando na especificao de um SIS adequado. 5.2 Consideraes Iniciais 5.2.1 A classificao das malhas de segurana, de acordo com o grau de criticidade, deve ser realizada quando da elaborao dos fluxogramas de engenharia. Este trabalho executado durante a fase de Projeto Bsico, com vistas a elaborao da especificao do SIS ou durante as revises que venham a ser realizadas no projeto do SIS de uma planta j em operao. 5.2.2 A equipe designada para classificar as malhas de segurana deve ser multifuncional, composta no mnimo por especialistas das seguintes reas: a) b) c) d) projeto de processo; operao do processo; instrumentao e controle; segurana industrial.

5.2.3 Especialistas em equipamentos dinmicos e trmicos devem ser consultados, quando necessrio, durante anlise das malhas de segurana relacionadas aos respectivos equipamentos: compressores, bombas de alta potncia, turbo expansores, fornos, caldeiras, e outros que possuam SIS prprio. 5.2.4 Os seguintes documentos devem estar disponveis de modo a viabilizar a classificao das malhas de segurana: a) b) c) d) fluxograma de engenharia; matrizes de causa e efeito; folha de dados do processo para instrumentao; informao sobre falhas, eventos perigosos e acidentes relacionados ao processo/equipamentos.

5.2.5 Deve ser institudo um coordenador de equipe para a conduo do trabalho de classificao e sntese das concluses. 5.2.6 A filosofia operacional e a localizao da planta devem ser consideradas na avaliao dos impactos decorrentes de um evento de risco. Exemplos tpicos so plantas operadas manualmente do campo ou remotamente, plantas isoladas ou localizadas prximo a regies habitadas. 11

N-2595

REV. B

OUT / 2002

5.3 Procedimento para Classificao de Malhas de Segurana 5.3.1 Considera-se como uma malha de segurana, cada conjunto de relacionamentos (X) na matriz de causa e efeito vinculados a uma mesma funo instrumentada de segurana. 5.3.1.1 Para fins de classificao, devem ser considerados to somente os relacionamentos (X) associados a funes de segurana e excludos causas e efeitos no relacionados a segurana como no caso de procedimentos operacionais. 5.3.1.2 recomendvel que o coordenador identifique as malhas de segurana antes do incio dos trabalhos da equipe de classificao. 5.3.2 A classificao deve ser realizada analisando-se cada malha de segurana individualmente. A identificao das malhas que possurem um nico iniciador e um nico atuador, imediata. 5.3.3 Nas arquiteturas onde existe um nico iniciador para mais de um atuador, classifica-se a malha de segurana levando-se em considerao a possibilidade de falha na demanda: a) de cada atuador, supondo todos os demais componentes da malha em condies normais de funcionamento; b) o iniciador (ver FIGURA 2). Nota: Considera-se como classificao final da malha de segurana a classificao mais rigorosa dentre as obtidas no item 5.3.3 alneas a) e b).

5.3.4 Nas arquiteturas com vrios iniciadores e um nico atuador, classifica-se a malha de segurana levando-se em considerao a possibilidade de falha na demanda: a) de cada iniciador, supondo todos os demais componentes da malha em condies normais de funcionamento; b) do atuador (ver FIGURA 3). Nota: Considera-se como classificao final da malha de segurana a classificao mais rigorosa dentre as obtidas no item 5.3.4 alneas a) e b).

12

N-2595

REV. B

OUT / 2002

5.3.5 Quando uma ou mais causas levarem a aes sobre um mesmo conjunto de atuadores, cada malha de segurana deve ser classificada de modo distinto. 5.3.6 Sempre considerar a malha de segurana sem qualquer tipo de redundncia, inclusive diversa, nos iniciadores e atuadores para efeitos de classificao, mesmo que esta redundncia esteja representada nos fluxogramas de engenharia e tabela de causa e efeito. 5.3.7 O processo completo de classificao e implementao das malhas de segurana indicado na FIGURA 4.

14

N-2595

REV. B

OUT / 2002

5.3.8 A metodologia de classificao dividida em 2 partes: a) classificao de malhas de segurana de acordo com a possibilidade de ocorrncia de falhas na demanda; b) classificao de malhas de segurana de acordo com a possibilidade de ocorrncia de falhas esprias. 5.3.9 As conseqncias das falhas na demanda e das falhas esprias nas malhas de segurana devem ser discriminadas em relatrio conforme item 5.7. 5.3.10 A classificao das malhas de segurana de acordo com a possibilidade de ocorrncia de falhas na demanda deve ser avaliada sobre 3 aspectos: a) conseqncias sobre a segurana pessoal; b) conseqncias sobre a produo e equipamentos; c) conseqncias sobre o meio ambiente. 5.4 Classificao de Malhas de Segurana de Acordo com a Possibilidade de Ocorrncia de Falhas na Demanda 5.4.1 Freqncia de Demanda 5.4.1.1 A origem da demanda, em uma malha de segurana, pode ser devido ao mal funcionamento de uma malha de controle, falha em equipamento ou erro de operao. 5.4.1.2 A primeira questo a ser colocada pela equipe de classificao Qual a freqncia possvel de atuao da malha de segurana?. Esta Norma classifica a freqncia de demanda em termos qualitativos, ou seja, muito baixa, baixa e alta.

TABELA 1 - FREQNCIA DE DEMANDA (W)

W1 W2 W3 Muito baixa Baixa Alta Acima de 10 anos Uma em cada 1~10 anos Mais de uma por ano

5.4.1.3 Os seguintes critrios devem ser considerados: a) selecionar W2 quando a dinmica do processo conhecida e os sistemas de controle esto em condio normal de funcionamento; b) selecionar W1 quando durante a vida til da planta for provvel o surgimento de somente uma demanda na malha de segurana; esta classificao requer justificativa; c) em sistemas de proteo contra fluxo reverso em fluidos limpos e no corrosivos, considerar que a utilizao de vlvula de reteno reduz a freqncia de demanda em um dgito; 16

N-2595

REV. B

OUT / 2002

d) se para cada 10 demandas existe somente 1 possibilidade de ocorrer a conseqncia dita potencial, a freqncia de demanda deve ser reduzida e um dgito, exemplo: - para cada 10 ocorrncias de queima subestequiomtrica existe a possibilidade de ocorrer apenas 1 exploso do forno; nesse caso se a freqncia de demanda considerada inicialmente for W2, deve ser revisada para W1. 5.4.2 Segurana Pessoal 5.4.2.1 Devem ser discutidas 3 questes para a classificao das malhas de segurana sobre o aspecto da segurana pessoal: a) qual o potencial de risco para o ser humano se a malha de segurana falhar na demanda? caso no haja risco algum (S0), nenhuma classificao relativa a segurana pessoal deve ser requerida, caso contrrio, deve se dar prosseguimento as avaliaes (ver FIGURA 5); b) qual o perodo de exposio humana na rea em que o evento de risco poderia ocorrer?; este questionamento deve ser feito somente para os casos enquadrados em nveis S2 e S3 (ver FIGURA 5); c) possvel que a(s) pessoa(s) presente(s) na rea evite(m) se expor ao evento de risco?; este questionamento deve ser feito somente para os casos enquadrados em nvel S2; o uso de equipamentos de proteo individual no so considerados como redutores do grau G2 para G1, mesmo sendo de conhecimento geral que tais equipamentos contribuem significativamente para segurana pessoal (ver FIGURA 5).

S0 S1 G1 A1 G2 S2 G1 INCIO A2 G2

W3 II III III IV V VI X X

W2 I II III III IV V VI X

W1 I I II III III IV V VI

A1 S3 A2 S4

FIGURA 5 - DIAGRAMA DE RISCO PARA CLASSIFICAO DE MALHAS DE SEGURANA - SEGURANA PESSOAL

17

N-2595

REV. B

OUT / 2002

5.4.2.2 A classe final da malha de segurana deve ser obtida considerando a freqncia de demanda (W), conforme FIGURA 5, onde: (S) - Potencial de risco ao ser humano no caso de falha na demanda da malha de segurana: - S0 = nenhum; - S1 = leses com afastamento; - S2 = invalidez ou morte de uma pessoa; - S3 = invalidez ou morte de vrias pessoas; - S4 = catstrofe. (A) - Grau de presena humana na rea de risco: - A1 = raramente; - A2 = freqentemente. (G) - Possibilidade de evitar a exposio ao risco: - G1 = sob certas condies; - G2 = dificilmente possvel. 5.4.3 Perda de Produo e Danos a Equipamentos (Ver FIGURA 6)

L0 L1 L2 L3 L4

W3 I II III IV

W2 I II III III

W1 I I II III

INCIO

FIGURA 6 - DIAGRAMA DE RISCO PARA CLASSIFICAO DE MALHAS DE SEGURANA - PERDA DE PRODUO E DANOS A EQUIPAMENTOS
5.4.3.1 Seguir o diagrama de risco associado a perda de produo e danos a equipamentos ilustrado na FIGURA 6, onde: 5.4.3.2 (L) - Potencial de perda de produo e equipamento no caso de falha na demanda da malha de segurana: a) L0 - sem perturbaes operacionais ou danos a equipamentos; b) L1 - pequenas perturbaes operacionais ou danos reduzidos ao equipamento; c) L2 - moderadas perturbaes operacionais ou danos moderados ao equipamento; d) L3 - grande perturbao operacional ou dano grave ao equipamento; e) L4 - perda de produo associada a dano em equipamento essencial. 18

N-2595

REV. B

OUT / 2002

5.4.3.3 Exemplos do grau potencial de perda de produo e danos a equipamentos so indicados a seguir para efeito de melhor entendimento: L0: Sem perturbaes operacionais ou danos a equipamentos: - Perturbao ou dano insuficiente para justificar um procedimento de emergncia. Exemplos: falha em controlador resultando em alarme operacional. L1: Pequenas perturbaes operacionais ou danos reduzidos ao equipamento. Exemplos de Pequenas Perturbaes Operacionais: - produo fora de especificao; - pequenas quantidades de alvio de fluidos. Exemplos de danos reduzidos ao equipamento: - cavitao de bombas convencionais por baixa presso na suco; - possibilidade de danos moderados ou graves em equipamentos essenciais, ou no essenciais, que so causados por eventos de ao prolongada, mas que no requeiram rpida interveno do operador (mnimo de 1 dia). L2: Moderadas perturbaes operacionais ou danos moderados ao equipamento: Exemplos de moderadas perturbaes operacionais: - perturbao na rea de utilidades afetando outras reas, como a injeo de lquido em correntes de gs para o sistema de gs combustvel; - grandes quantidades de alvio de fluidos. Exemplos de danos moderados ao equipamento: - cavitao em bombas de alta rotao ou em bombas de mltiplos estgios que disponham de reserva. L3: Grande perturbao operacional ou dano grave ao equipamento: Exemplos de grande perturbao operacional: - alvio abrupto de grandes quantidades de massa causando violenta liberao de energia, como o caso de brusca despressurizao em sistemas de alta presso; - transbordamento de fluidos de processo; - solidificao de produtos em linhas no aquecidas, de grandes dimenses, requerendo custosas aes de correo; - necessidade de reparos de baixo custo em equipamentos essenciais que trabalhem sem reserva. Exemplos de dano grave ao equipamento: - necessidade de reparos custosos em equipamentos que disponham de reserva ou equipamentos no essenciais. L4: Perda de produo associada a dano em equipamento essencial. Exemplos de perda de produo: - sobre-temperatura em reaes exotrmicas fora de controle; - sobrepresso em sistemas onde a malha de segurana o dispositivo de proteo final, devido a impossibilidade de instalao de vlvulas de segurana.

19

N-2595

REV. B

OUT / 2002

Exemplos de dano em equipamento essencial: - exploso de fornos e caldeiras; - nvel alto em vaso de suco de compressor; - baixa presso na suco de bombas de mltiplos estgios. Nota: Danos em equipamentos essenciais podem ser considerados similares aos apontados em L2 e L3, com a particularidade de que, nesta caracterizao, trazerem maiores perdas econmicas (cifras de milhes de US$) por ocasio da indisponibilidade do equipamento essencial, que no disponha de reserva, devido a extenso do perodo de reparos ou de substituio.

5.4.3.4 Danos so exemplificados no sentido de caracterizar a necessidade de substituio de peas, dispositivos, custo de reparao e conseqente prejuzo em funo da indisponibilidade. 5.4.3.5 A classe final da malha de segurana deve ser obtida considerando a freqncia de demanda (W) determinada no item 5.4.1. 5.4.4 Meio Ambiente (Ver FIGURA 7)

E0 E1 INCIO E2 E3

W3 IV VI X

W2 III V X

W1 II IV VI

FIGURA 7 - DIAGRAMA DE RISCO PARA CLASSIFICAO DE MALHAS DE SEGURANA - MEIO AMBIENTE

5.4.4.1 Seguir o diagrama de risco associado s conseqncias ambientais ilustradas na FIGURA 7, onde: (E) Potencial de Danos ao Meio Ambiente em Caso de Falha na Demanda da Malha de Segurana: E0 = sem liberao ou liberao sem conseqncias ambientais; E1 = liberao para dentro dos limites geogrficos da companhia com conseqncias ambientais conhecidas; E2 = liberao para fora dos limites geogrficos da companhia com conseqncias ambientais conhecidas; E3 = liberao para fora dos limites geogrficos da companhia com conseqncias ambientais desconhecidas. 20

N-2595

REV. B

OUT / 2002

5.4.4.2 Descargas para tocha, alvios e rudos excessivos podem causar impactos negativos na imagem da companhia, e estes efeitos devem ser considerados na classificao. 5.4.4.3 Caso a descarga para tocha esteja dentro dos limites estabelecidos em projeto, nenhuma conseqncia ambiental deve ser considerada para fins de classificao. Caso contrrio, considerar que a produo tambm deve ser interrompida e esta perda deve ser considerada na classificao do item 5.4.3. 5.4.4.4 Caso uma certa conseqncia, apesar de devidamente classificada, traga uma imagem prejudicial para a companhia, deve ser adotado o nvel E imediatamente superior ao inicialmente estabelecido. 5.4.4.5 A classe final da malha de segurana deve ser obtida considerando a freqncia de demanda (W) determinada no item 5.4.1. 5.4.5 Interpretao dos Resultados e Regras Gerais 5.4.5.1 A maior classificao resultante dos 3 aspectos avaliados deve ser selecionada para a malha de segurana sob anlise. 5.4.5.2 Se o mtodo de classificao indicar uma malha cuja classificao seja classe X, esta classe deve ser reduzida atravs de reviso no projeto. Esta reviso deve ser tal que no se necessite de malha de segurana, ou caso ainda se faa necessria, venha a ter sua classificao abaixo do nvel X. 5.4.5.3 Para as classes de II a VI, um pr-alarme deve sempre ser implementado a menos que no seja factvel qualquer ao de correo por parte do operador. Lembrar que um pr-alarme pode ocorrer tambm nos casos em que o setpoint de um controlador forado para valores prximos do nvel de segurana. Neste caso, a prpria equipe de operao deve corrigir a ao sobre o setpoint do controlador. Os referidos pr-alarmes no requerem classificao. 5.4.5.4 No caso de instalao de chave de trip manual, a classificao da malha de segurana associada a essa chave deve ser de mesmo nvel que a maior classe presente no respectivo SIS considerado. 5.4.5.5 Em malhas de segurana que se combinem com sistemas de controle seqenciais tais como partida de fornos, a classificao da malha de segurana deve ser realizada para cada etapa do seqnciamento, pois a freqncia de demanda e as conseqncias podem ser diferentes.

21

N-2595

REV. B

OUT / 2002

5.5 Classificao de Malhas de Segurana de Acordo com a Possibilidade de Ocorrncia de Falhas Esprias 5.5.1 Os requisitos para se estabelecer a tolerncia das malhas de segurana a falhas esprias, devem ser baseados em um tempo de retorno de 1 ano para amortizao dos investimentos. Alm disso, o clculo do custo da falha espria deve levar em conta no s a perda de produo associada, mas tambm as possveis conseqncias relacionadas com o trip de equipamentos: quebra de refratrios, coqueamento de tubos, possveis danos ambientais, etc. A tolerncia a falhas esprias justificada ento por:

CFE > Onde:

CTFE TFE

CFE = Custo da Falha Espria; CTFE = Custo para Implementar Tolerncia a Falha Espria; TFE = Taxa de Falha Espria por Ano. Exemplo: Para um CTFE de US$ 100.000,00 combinado com uma taxa possvel de falha espria de uma vez a cada 9 anos, e considerando um CFE de US$ 800.000,00 teremos um tempo de retorno de 1,125 anos. Portanto, neste caso, no se justifica a adoo da dispositivos de tolerncia a falha espria. 5.5.2 Para simplificar a necessidade do clculo anterior para cada malha de segurana, 3 diagramas so sugeridos na FIGURA 8, para diferentes faixas de custos de implementao de tolerncia a falhas esprias.

22

N-2595

REV. B

OUT / 2002

5.5.3 Iniciadores e atuadores devem ser classificados separadamente porque o custo para implementar a tolerncia a falhas esprias dos iniciadores baixo, quando comparado ao dos atuadores.
5.6 Sntese da Classificao

5.6.1 Quando a equipe de classificao concluir que determinada malha de segurana se encontra em nvel no classificada, a malha de segurana no deve ser removida sem que haja retorno desta informao aos projetistas originais. 5.6.2 Caso seja necessrio tolerncia a falha na demanda para determinado iniciador de uma malha de segurana, e esse mesmo iniciador seja tambm iniciador de uma segunda malha de segurana, na qual no se faa necessrio tolerncia a falha na demanda, deve-se utilizar apenas um dos iniciadores para essa segunda malha de segurana, de modo a no se aumentar a taxa de falha espria da malha de segurana. 5.6.3 Se uma malha classificada como classe I ou II enquanto outras, com o mesmo iniciador, so classificadas como classe III ou superior, as primeiras malhas podem ser implementadas no SSC. Implementaes desta forma requerem segregao dos instrumentos utilizados para indicao e controle, em relao aqueles instrumentos utilizados para aes de proteo, requerendo na prtica o uso de iniciadores distintos para malhas classes I ou II, daqueles empregados para implementar as malhas de classe III ou superiores. 5.6.4 Um controlador do SSC deve ser comutado para o modo manual e sua sada forada para a posio de segurana de forma automtica nas seguintes situaes: a) quando a vlvula de controle associada for atuada pelo sistema de segurana; b) quando a vlvula de controle associada estiver na mesma linha que a vlvula especfica do sistema de segurana. 5.6.5 No caso de um iniciador acionar vrios atuadores, e tambm no caso contrrio, onde vrios iniciadores acionarem um nico atuador, torna-se necessrio proceder uma soma das classificaes dos elementos comuns a vrias malhas de segurana, para se chegar a classificao final desses elementos. Isso se d segundo o seguinte critrio: a) somar o nmero de malhas da mesma classe; b) se o nmero total de uma mesma classe exceder a 10, cada grupamento de 10 malhas deve corresponder a uma malha de classe imediatamente superior; c) repetir o procedimento caso vierem a existir mais de 10 malhas de mesma classe; d) adotar o maior valor dentre as classes remanescentes para o elemento singular. Nota: Exemplo: assumir que existem 31 malhas acionando um mesmo atuador, 22 malhas classe III e 9 malhas classe IV, ento temos: total real: 22 x III + 9 x IV, que pode ser decomposto em: a) 22 x III equivalem a 2 x IV + 2 x III total equivalente: 11 x IV + 2 x III; b) 1 x IV equivalem a 1 x V + 1 x IV total equivalente: 1 x V + 1 x IV + 2 x III; c) classificao final do atuador: classe V. 24

N-2595

REV. B

OUT / 2002

5.6.6 Os critrios para classificao do executor da lgica do SIS esto presentes no item 6.4.
5.7 Documentao

5.7.1 O resultado da classificao deve ser devidamente documentado atravs de relatrio, conforme o ANEXO A. 5.7.2 O relatrio de classificao deve estar sempre atualizado em funo de qualquer reviso que venha a ocorrer na planta, de modo a ser rastrevel e auditvel. 5.7.3 Os relatrios de classificao de malhas de seguranas emitidos nos projeto bsico devem ser arquivados na planta.

6 IMPLEMENTAO
6.1 Consideraes Iniciais

6.1.1 Os referidos documentos devem estar disponveis para viabilizar a etapa de implementao: a) b) c) d) diagrama lgico; lista de setpoints de alarmes e trips; diagramas de malha; relatrio de classificao de malhas de segurana.

6.1.2 Considera-se que a planta onde deve ser instalado o SIS controlada por meio de um SSC. Se este no for o caso, deve ser realizado estudo especfico para definir a interface homem-mquina para o SIS. 6.1.3 De acordo com a norma IEC 61508 e a norma DIN V 19250, tem-se as relaes entre PFD, SIL e a escala AK. A TABELA 2 mostra como se d esse relacionamento, e tambm a correspondncia com os nveis de classificao adotados para as malhas de segurana nesta Norma.

TABELA 2 - PFD x SIL x AK

Classe de Malha de Segurana I II III IV V VI X PFD 10 10-1 10-2 - <10-1 10-3 - <10-2 10-4 - <10-3 10-4 - <10-3 10-5 - <10-4
-1

SIL

Classe AK

0 0 1 2 3 3 4

1 2-3 4 5 6 7-8

25

N-2595

REV. B

OUT / 2002

6.1.4 Aplicando a TABELA 2 obtemos a classificao AK necessria para o executor da lgica de cada malha de segurana do SIS. A malha de segurana de maior classe define a classificao do executor da lgica. 6.1.5 Aplicando a TABELA 2 obtemos a PFD requerida para cada malha. Pode-se obter esta PFD das seguintes maneiras: a) utilizando iniciadores e atuadores com baixa taxa de falha de demanda; b) aplicando tolerncia na falha da demanda, isto , redundncia 1 de 2 em iniciadores e atuadores; c) realizando testes peridicos com elevado fator de cobertura (ver Captulo 6). 6.1.6 Segundo os critrios desta Norma, para obteno de um SIS com PFD requerida, deve-se: a) classificar as malhas conforme o estabelecido no Captulo 5; b) implementar o SIS de acordo com as diretrizes do Captulo 6; c) garantir a PFD do SIS com a realizao de testes conforme o Captulo 7. 6.1.7 Os pr alarmes no necessitam de equipamentos especficos e devem, portanto, ser implementados no SSC. 6.1.8 As malhas de segurana classe I e classe II tambm no requerem equipamentos especficos, devendo portanto ser implementadas como funes automticas de liga ou desliga no SSC. 6.1.9 Quando se fizer necessria a tolerncia a falha espria, para determinada malha de segurana, a falha espria deve ser implementada com redundncia 2 de 2. Para o uso dessa arquitetura, deve-se levar em conta os equipamentos e testes envolvidos, de forma a se atingir, de fato, a PFD requerida pela classe da malha de segurana em questo. 6.1.10 Quando a classificao da malha de segurana indicar a necessidade na implantao de tolerncia a falha na demanda (votao 1 de 2) e tolerncia a falha espria (votao 2 de 2), deve ser implementado a votao 2 de 3. 6.1.11 Deve se utilizado o conceito de falha segura para os iniciadores e atuadores mantendo-os normalmente energizados. As aplicaes onde se fizerem necessrios atuadores normalmente desenergizados, devem ser limitadas s classes I, II e III.
6.2 Consideraes Gerais

6.2.1 Malhas de segurana classificadas como classe III ou superior devem ser implementadas de forma completamente independente do SSC. Para se obter essa separao os componentes do SIS devem ter suas respectivas tomadas de processo, linhas de impulso, sensores, fusveis, fiao, ramais de suprimento de ar etc., independentes. Para os elementos primrios de medio tipo placa de orifcio, venturi, bocal e rodas dentadas para medio de rotao, permite-se o uso comum com o SSC. 26

N-2595

REV. B

OUT / 2002

6.2.2 Nas situaes onde o sequenciamento e as funes de segurana so difceis de separar, o SIS deve realizar tambm o sequenciamento, como por exemplo o acendimento de fornos e caldeiras. 6.2.3 A programao da lgica do SIS/PES no deve ser feita atravs da linguagem do tipo texto estruturado ou diagrama Ladder. 6.2.4 No utilizar barreiras de segurana intrnseca na implementao das malhas de segurana. [Prtica Recomendada]
6.3 Iniciadores

6.3.1 Devem ser utilizados transmissores operando em 4 mA a 20 mA. Instrumentos discretos s podem ser utilizados quando transmissores no forem aplicveis. No permitida a utilizao de protocolos de comunicao digital para essa finalidade. 6.3.2 vetada a utilizao de quaisquer ferramentas de configurao especfica para os iniciadores (programadores manuais, programas rodando em microcomputadores) em malhas de segurana que estejam operando. 6.3.3 recomendvel que os iniciadores do SIS e os utilizados no SSC para medio das mesmas variveis, tenham o mesmo range e incertezas compatveis, para facilitar sua comparao (ver item 8.5.1). [Prtica Recomendada] 6.3.4 Os sinais devem ser conectados diretamente aos cartes de entrada do PES. Quando o PES no dispuser de cartes de entrada para algum tipo de varivel, esses sinais devem ser convertidos no campo. 6.3.5 Cada canal de entrada analgica do PES deve dispor de recursos para deteco de falha de sinal quando fora da faixa de trabalho de 4 mA a 20 mA. Tais falhas devem acionar um alarme geral no SSC. 6.3.6 Iniciadores com superviso de linha, devem sempre ter ao direta. Quando no houver superviso de linha, as malhas de segurana com set de trip alto devem ter iniciadores de ao reversa. 6.3.7 Ajustes de amortecimento e temporizao de sinais analgicos, quando necessrios, devem ser implementados no executor da lgica e documentados adequadamente. 6.3.8 recomendvel que a execuo de algoritmos, por exemplo extrao de raiz quadrada, seja realizada no executor da lgica e no nos iniciadores. [Prtica Recomendada]

27

N-2595

REV. B

OUT / 2002

6.3.9 Nas malhas de segurana classe I e classe II, recomenda-se a pintura dos iniciadores na cor laranja segurana, conforme norma PETROBRAS N-1219. Para os indicadores de malhas, classe III ou superior, a pintura obrigatria. A pintura parcial do iniciador aceitvel, exemplo: pintura apenas das tampas de transmissores. 6.3.10 Quando se fizer necessria a implementao de iniciadores redundantes deve ser utilizado redundncia para as conexes ao processo. No caso de medio de temperatura aceita-se a utilizao de um nico poo para mais de um iniciador. 6.3.11 Os iniciadores de malhas de segurana classe V e VI devem ser implementados com tolerncia a falha na demanda. 6.3.12 Os iniciadores das malhas classe VI devem ter redundncia diversa e sempre que possvel com conexes ao processo de tipos diferentes: a) redundncia diversa: - medio de nvel por ultra-som e por presso diferencial; b) redundncia no-diversa: - medio de nvel por displacer e por presso diferencial, pois nesses medidores pode ocorrer a mesma obstruo das tomadas.
6.4 Executor da Lgica do SIS

6.4.1 O executor da lgica deve ser implementado utilizando-se um PES. 6.4.2 O executor da lgica deve atender todos os requisitos para a respectiva classe, determinada na etapa de classificao e possuir certificao segundo a norma IEC 61508, emitida pelo TV ou outro rgo credenciado. 6.4.3 Somente verses de software e hardware certificadas devem ser utilizadas. Novas verses, ou verses para correo de bugs, que estejam relacionadas diretamente com a segurana ou disponibilidade do sistema, devem ser implementadas somente aps certificao. 6.4.4 O executor da lgica deve possuir entradas, sadas, fontes de alimentao e processadores tolerantes a falha aparente. Cartes de sada atuando em alarmes ou indicaes no relacionadas a segurana podem ser do tipo simples (no redundantes). 6.4.5 Deve ser evitada a incluso de malhas I e II no PES. 6.4.6 Unidades de processo que operam e tm paradas programadas para manuteno independentes, devem possuir PES distintos. 6.4.7 No caso de haver interao entre PES distintos suas aes devem ser coordenadas de modo a garantir a conduo do processo como um todo a seu estado seguro (ver norma API RP 554). 28

N-2595

REV. B

OUT / 2002

6.4.8 Deve ser implantado no PES o registro do 1 evento de uma seqncia de trips, bem como o registro seqencial dos demais eventos. 6.4.9 recomendada a utilizao de canais em mdulos de entrada e sada distintos para interligao de iniciadores e/ou atuadores redundantes. [Prtica Recomendada] 6.4.10 No devem ser usados links de comunicao digital entre PES distintos para execuo de funes de segurana. 6.4.11 Sempre que possvel, os gabinetes do PES devem ser instalados o mais prximo possvel dos gabinetes do SSC. 6.4.12 Pelo menos um alarme geral de falha do PES deve ser anunciado no SSC, para que seja solicitada manuteno. Preferencialmente devem ser transmitidas todas as informaes de diagnstico para o SSC. Os alarmes podem ser individuais ou combinados, e mensagens e/ou telas auxiliares podem ser configuradas, dependendo da ao que deve ser tomada, pelo operador. 6.4.13 O acionamento dos atuadores deve ser feito diretamente pelo carto de sada do PES, no sendo permitido o uso de quaisquer dispositivos de interposio. No caso de acionamento e/ou parada de mquinas eltricas, considera-se o rel de interposio como parte integrante do atuador.
6.5 Atuadores

6.5.1 Em malhas de segurana classe III, ou superior, vetado o uso de uma vlvula nica comum ao SSC e ao SIS. 6.5.2 Em malhas de segurana classe IV, V e VI o atuador deve ser tolerante falha na demanda. 6.5.3 Nas malhas de segurana classe I e classe II, recomenda-se a pintura dos atuadores na cor laranja segurana conforme norma PETROBRAS N-1219. Para os atuadores de malha de segurana classe III ou superior a pintura obrigatria. A pintura parcial do atuador aceitvel, exemplo: pintura apenas das tampas de vlvulas solenides e cilindros pneumticos. 6.5.4 Os atuadores das malhas classe VI devem ter: a) redundncia diversa: - atuadores pneumticos com retorno por mola e atuadores eltricos; b) redundncia no-diversa: - 2 vlvulas com atuadores pneumticos.

29

N-2595

REV. B

OUT / 2002

6.5.5 No caso de se utilizar vlvulas solenides ND, devem ser tomados os seguintes cuidados: a) monitorar a presso de ar para a vlvula do SIS; b) utilizar recurso de superviso de linha; c) ver item 6.1.11. 6.5.6 Quando for necessria tolerncia falha na demanda em uma vlvula do SIS, segunda vlvula pode ser uma vlvula de controle. Nesse caso, deve ser garantido que atuao do SIS independente da atuao do SSC, utilizando vlvula solenide dedicada esse fim. Nesses casos a classe de vazamento da vlvula de controle deve ser igual classe de vazamento da vlvula do SIS. 6.5.7 Vlvulas solenides com rearme manual mecnico no devem ser utilizadas. 6.5.8 As vlvulas do SIS devem: a) b) c) d) Nota: ser acionadas por atuadores pneumticos com retorno por mola; ser comandadas por uma nica vlvula solenide; possuir chave fim de curso para monitorao da posio de segurana; no possuir volantes manuais. a a a a

Excees so permitidas quando o atuador pneumtico, com retorno por mola, for impraticvel ou desnecessrio.

6.5.9 Vlvulas do SIS que devem atuar simultaneamente de modo a no criar novas situaes de risco, podem compartilhar uma mesma vlvula solenide. Exemplo: sistemas de duplo bloqueio com vent intermedirio. [Prtica Recomendada] 6.5.10 Na especificao de vlvulas para o SIS devem ser observados: a) b) c) d) e) f) g) h) i) j) k) grau de estanqueidade; experincia de aplicao com a vlvula; modos de falha da vlvula; sentido normal do fluxo tendendo a fechar a vlvula; velocidade de abertura e fechamento; presso diferencial de vazamento em ambas as direes de fluxo; resistncia a fogo (corpo e atuador); desempenho aps longos perodos de tempo na mesma posio; adequao dos materiais com as condies de processo; treinamento para o pessoal de manuteno; definio da posio de falha.

6.5.11 Na especificao de vlvulas solenides para o SIS devem ser observados: a) b) c) d) temperatura, tenso, classificao de rea e potncia; efeitos da presso de ar mnima e mxima sobre a vlvula; capacidade de vazo adequada; a montagem da solenide entre o posicionador e o pisto ou diafragma do atuador; 30

N-2595

REV. B

OUT / 2002

e) posio de montagem; f) proteo dos escapes de ar contra entupimentos, sujeira, insetos e formao de gelo; g) tipo e origem da alimentao eltrica, exemplo: retificador, banco de baterias. 6.5.12 Para os motores atuados pelo SIS e inseridos em malhas de segurana classe I, classe II e classe III, devem ser enviados ao SIS os sinais de status atravs dos contatos provenientes dos circuitos de controle. Para motores inseridos em malhas de segurana classe IV at classe VI, monitorar atravs do SIS uma varivel associada que confirme o estado do motor, por exemplo: rotao.
6.6 Alimentao Eltrica

6.6.1 Para o circuito alimentador eltrico do SIS, recomenda-se o uso de um sistema de corrente contnua composto de carregador de baterias, exclusivo para o SIS, fornecendo 120 Vcc, com autonomia de 30 minutos. [Prtica Recomendada] 6.6.2 O circuito alimentador do SIS deve ser responsvel pelo suprimento de energia para: a) b) c) d) fontes do executor da lgica; fontes de 24 Vcc para os iniciadores analgicos; energizao dos atuadores, via mdulos de sada; energizao dos canais dos mdulos de entrada digital.

6.6.3 As fontes de alimentao do executor da lgica, e para os iniciadores analgicos, devem ser tolerantes a falha aparente, com alarmes indicativos de falta de energia e demais falhas internas, sinalizadas pelo PES. 6.6.4 As prticas de fiao devem obedecer as recomendaes do fabricante do executor da lgica do SIS, e normas aplicveis.
6.7 Interface Homem-Mquina

6.7.1 Todas as atuaes das malhas de segurana de classe IIl a VI devem ser alarmadas no SSC. 6.7.2 A interface do SIS com o operador deve ser implementada na console de operao do SSC, contemplando alarmes, registro do primeiro evento, indicaes e atuaes do operador. 6.7.3 Os alarmes e pr-alarmes associados as malhas de segurana do SIS devem possuir identificao visual ou sonora diferenciada dos demais alarmes do SSC. 6.7.4 Deve-se configurar telas no SSC com as respectivas matrizes de causa e efeito animadas e textos de auxlio.

31

N-2595

REV. B

OUT / 2002

6.7.5 As botoeiras de parada de emergncia devem ser montadas junto da console de operao do SSC. Tais botoeiras devem ter reteno e lmpada indicadora, acionada pelo SIS, de forma a se confirmar o recebimento do comando. 6.7.6 aceitvel um atraso de at 3 segundos entre uma ao de trip iniciada pelo SIS e seu anncio na console do SSC. 6.7.7 As seguintes informaes devem ser transmitidas do SIS para o SSC: a) b) c) d) e) f) g) medio dos sensores analgicos; status de entradas e sadas digitais; valores e alarmes de trip; status de diagnstico de entradas e sadas; indicao de primeiro evento em uma srie; status de foramento (by-pass) de entradas; alarmes de sistema, alimentao eltrica e temperatura do PES.

6.7.8 O alarme do primeiro evento que gera uma ao de trip deve ser mostrado de maneira destacada. 6.7.9 Os seguintes comandos devem ser enviados do SSC para o SIS: a) trips parciais e total da unidade; b) reconhecimento de primeira ocorrncia; c) by-pass de incio de operao e manuteno. 6.7.10 As aes de trip, iniciadas pela lgica do SIS ou por comando do operador, devem tambm iniciar aes no SSC, de forma a ambos os sistemas atuarem simultaneamente no sentido da segurana (ver item 5.6.4). 6.7.11 A interface para manuteno e engenharia deve ser realizada em microcomputador tipo PC, devendo ter as seguintes funes: a) armazenar todo o histrico de aes/intervenes no SIS, com TAG, data, hora e identificao pessoal, de forma a se poder analisar posteriormente as ocorrncias; b) diagnstico: indicar todos os detalhes de falhas aparentes detectadas pelo executor da lgica; c) configurar o PES, armazenar sua configurao, e possibilitar mudanas com a unidade em operao. 6.7.12 Para os diversos PES de uma planta deve-se ter um mnimo de estaes de engenharia/manuteno. Portanto recomenda-se: a) interligar os PES em rede com a estao de engenharia/manuteno; b) dispor de uma porta de comunicao direta em cada PES para o caso de indisponibilidade da rede. [Prtica Recomendada]

32

N-2595
6.8 Interface de Comunicao com SSC

REV. B

OUT / 2002

6.8.1 A Interface de comunicao do SIS com o SSC deve ser: a) individual para cada PES; b) digital, serial e tolerante a falha aparente. 6.8.2 Em caso de falha a interface de comunicao deve: a) no comprometer a funo de segurana da aplicao; b) no causar trip; c) anunciar falha na console do SSC.
6.9 By-Pass para Manuteno

6.9.1 O by-pass para manuteno tem a funo de gerar sinais que prevalecem sobre os iniciadores de modo a permitir interveno para manuteno e testes. Tal recurso s deve ser utilizado quando: a) se dispuser de um outro meio para supervisionar a varivel em questo; b) a dinmica do processo permita ao operador acompanhar e comandar em tempo hbil o trip manual. 6.9.2 O by-pass para manuteno deve ser executado para 1 nico iniciador de cada vez, por subsistemas (ver norma API RP 554), e sua durao deve ser a menor possvel. Exemplos de subsistemas: Fornos, conversor de FCC e caldeira. 6.9.3 Para iniciadores em configurao 2 de 2, o by-pass deve atuar de forma a degradar o sistema para a configurao 1 de 1. Para os iniciadores em configurao 2 de 3, o by-pass deve degradar a configurao para 1 de 2. 6.9.4 No deve haver by-pass das sadas do executor da lgica. 6.9.5 No deve haver inibio das funes de alarme, nem das chaves de trip manuais.
6.10 By-Pass para Incio de Operao

6.10.1 Somente deve ter by-pass ativado para incio de operao, as malhas que impedem a partida da unidade. 6.10.2 A funo de by-pass de partida no deve estar operante durante a operao normal da unidade. 33

N-2595

REV. B

OUT / 2002

6.10.3 desejvel que os reset dos by-pass do SIS sejam implementados atravs de funes automticas temporizadas, ajustadas para um perodo de tempo 10 % maior que o necessrio para execuo normal do procedimento de partida. Deve evitar-se o uso de reset manual para a ativao do SIS. 6.11 Resumo da Implementao A TABELA 3 apresenta como devem ser implementadas as malhas de segurana de acordo com a classificao obtida.

TABELA 3 - RESUMO DA IMPLEMENTAO

Classe de Malha de Segurana I II Iniciador O mesmo que o utilizado pelo SSC. O mesmo que o utilizado pelo SSC. Executor da Lgica SSC SSC Atuador Vlvula A mesma utilizada pelo SSC. A mesma utilizada pelo SSC. Distinta da utilizada pelo SSC Distinta da utilizada pelo SSC com tolerncia a falha na demanda. Distinta da utilizada pelo SSC com tolerncia a falha na demanda. Distinta da utilizada pelo SSC com tolerncia a falha na demanda e redundncia diversa Atuador Equipamento Eltrico Rel de interposio Rel de interposio Rel de interposio Observao Apenas alarmes no SSC se for garantida a atuao do operador. Funes automticas de liga ou desliga no SSC. Se no for necessrio estanqueidade a vlvula pode ser a mesma utilizada pelo SSC, atuada por solenide. A segunda vlvula pode ser uma vlvula de controle atuada por solenide.

III

Distinto do PES utilizado pelo certificado SSC para SIL 1

IV

Distinto do PES utilizado pelo certificado SSC para SIL 2 Distinto do utilizado pelo PES SSC com certificado tolerncia a para SIL 3 falha na demanda. Distinto do utilizado pelo PES SSC com certificado tolerncia a para SIL 3 falha na demanda.

Rel de interposio

Rel de A segunda vlvula pode interposio com ser uma vlvula de tolerncia a falha controle atuada por na demanda. solenide.

VI

Rel de A segunda vlvula pode interposio com ser uma vlvula de tolerncia a falha controle atuada por na demanda. solenide.

7 TESTES
7.1 Consideraes Gerais 7.1.1 Cada malha do SIS deve ser periodicamente submetida a teste para detectar e corrigir as falhas ocultas de forma a se manter o SIL requerido (ver normas ISA 91.00.01 e API RP 554). 34

N-2595
Nota:

REV. B

OUT / 2002

A PFD de uma malha igual a zero logo aps a realizao de um teste completo (fator de cobertura = 1) bem sucedido. Entretanto, como a PFD cresce com o tempo um novo teste deve ser realizado antes que a PFD ultrapasse o limite do SIL requerido pela malha.

7.1.2 Os testes das malhas do SIS devem ser realizados: a) durante o comissionamento; b) periodicamente, conforme TABELA 4; c) durante as paradas programadas para manuteno da planta.

TABELA 4 - PERODO ENTRE TESTES RECOMENDADO POR MALHA [Prtica Recomendada]

SIL da Malha 1 2 3 Perodo Mximo 24 meses 12 meses 6 meses

7.1.3 Os testes parciais dos componentes do SIS devem ser realizados aps a execuo de alteraes, tais como: a) ajustes de ranges; b) ajustes de setpoint de trips; c) modificaes de software / hardware. 7.1.4 Todos os testes devem estar baseados em procedimentos documentados. 7.1.5 A documentao de registro dos testes do SIS deve conter, no mnimo, as seguintes informaes: a) data do teste; b) nome do executante; c) nmero de srie ou outro identificador nico do equipamento (no utilizar apenas TAG); d) resultados dos testes e comparao com critrio de aceitao definido pelo usurio; e) descrio do teste executado (pode associar ao nmero do procedimento previamente elaborado).
7.2 Teste de Iniciadores

7.2.1 Os iniciadores devem ser testados simulando-se, o mais prximo possvel, as condies de operao. As linhas de impulso devem estar includas no teste, para aumentar o fator de cobertura.

35

N-2595

REV. B

OUT / 2002

7.2.2 Para os iniciadores analgicos, os testes peridicos podem ser implementados atravs da comparao entre os valores dos iniciadores do SIS e os respectivos sensores analgicos do sistema de controle, os quais correspondem s mesmas variveis de processo. Sempre que for constatada diferena relativa maior que 5 % entre os 2 valores correspondentes, deve ser anunciado um alarme no console de operao do SSC. 7.2.3 Para os iniciadores discretos, os testes peridicos devem ser realizados mediante o acionamento do by-pass para manuteno e atravs da simulao das condies de trip. Exemplo: bloqueio e drenagem de chave de nvel. 7.2.4 Durante as paradas programadas de manuteno todos os iniciadores, independente da classificao e da existncia de monitorao, devem ser testados em oficina, e as respectivas linhas de impulso devem ser limpas, obtendo-se assim o fator de cobertura o mais prximo possvel de 1 (ver norma API RP 554).
7.3 Teste do Executor da Lgica

7.3.1 Os sistemas instrumentados de segurana existentes, baseados em rels eletromecnicos devem ser plenamente testados a cada parada programada de manuteno, de modo a obter-se o fator de cobertura igual a 1. 7.3.2 Os PES somente devem ser testados para se verificar a existncia de falhas ocultas introduzidas por modificaes de software ou hardware.
7.4 Teste de Atuadores

7.4.1 Para obter-se fator de cobertura maior possvel, todos os atuadores (inclusive os normalmente energizados) devem ser testados forando-se a atuao das respectivas sadas do SIS. 7.4.2 Durante as paradas programadas de manuteno, todos os atuadores devem ser testados e inspecionados em oficina e aps montagem no campo, de modo a se obter o fator de cobertura igual a 1. Ateno especial deve ser dada aos atuadores dos quais requerido vedao total (ver norma API RP 554). 7.4.3 Testes parciais de abertura e fechamento de vlvulas no devem ser implementados, a no ser que se utilizem dispositivos especialmente projetados e certificados para essa finalidade. 7.4.4 Testes de fechamento e abertura plenos em vlvulas, podem ser realizados desde que as condies operacionais permitam a ao dos atuadores em curtos intervalos de tempo, ou a instalao seja dotada de recursos que permitam o by-pass e/ou bloqueio dos atuadores. Nota: Deve ser considerada a possibilidade do elemento final falhar na posio de segurana, durante a realizao desse procedimento. 36

N-2595
8 MANUTENO
8.1 Objetivo

REV. B

OUT / 2002

O objetivo deste Captulo garantir que o SIS seja tratado dentro de padres mnimos de manuteno, permitindo uma operao confivel durante todo seu ciclo de vida.
8.2 Responsabilidade

A responsabilidade de manuteno de cada SIS deve ser designada e identificada nominalmente. Uma mesma pessoa pode ser responsvel pela manuteno de mais de um SIS.
8.3 Treinamento

O pessoal envolvido nas atividades de manuteno do SIS deve ser adequadamente treinado para essas tarefas. O treinamento deve ser registrado de forma apropriada a garantir sua rastreabilidade.
8.4 Documentao

O pessoal responsvel pelas atividades de manuteno do SIS deve possuir documentao adequada para esse fim (ver itens 6.1.1 e 7.1.4). Tal documentao deve estar includa em rotina especfica que garanta a sua atualizao e distribuio de forma que o usurio esteja sempre de posse de sua ltima reviso.
8.5 Programa de Manuteno

8.5.1 O responsvel pela manuteno do SIS deve estabelecer um programa apropriado de manuteno para garantir a integridade e confiabilidade do sistema durante todo o seu ciclo de vida. Esse programa deve incluir, no mnimo, procedimentos para manuteno, testes e reparos do SIS. 8.5.2 O programa de manuteno deve incluir, pelo menos, as seguintes tarefas: a) plano regular de testes funcionais do SIS; b) plano regular de manuteno preventiva (por exemplo, substituio de ventiladores, baterias, back-ups de programas, calibraes); c) reparos das falhas do sistema seguidos de testes apropriados de confirmao da no mais existncia das falhas. 8.5.3 O usurio deve possuir sistemtica que permita a rastreabilidade do programa de manuteno (registros de manuteno) que garanta a recuperao, no mnimo, das seguintes informaes: a) descrio e data de realizao da tarefa; b) responsvel(eis) pela execuo e tempos empregados;

37

N-2595

REV. B

OUT / 2002

c) descrio e ao corretiva no caso de reparos; d) registro de atuaes do SIS, identificando se a causa foi por demanda real, falha de instrumentao, falha do sistema, erro humano ou desconhecida. 8.5.4 Esto includas nessa sistemtica as tarefas relativas a testes peridicos citados no Captulo 7. 8.5.5 recomendvel que o usurio adote uma sistemtica de codificao das tarefas, falhas, aes corretivas e atuaes de modo a permitir a realizao de anlises estatsticas de ocorrncias do SIS. [Prtica Recomendada] 8.5.6 As informaes devem ser mantidas durante todo o ciclo de vida ltil do SIS.
8.6 Modificaes

8.6.1 Modificaes na lgica implementada no SIS, com o sistema em operao, devem ser evitadas. 8.6.2 O usurio deve ter procedimentos especficos para realizao de modificaes da lgica implementada no SIS contemplando, no mnimo, os seguintes aspectos: a) aplicao dos procedimentos de classificao e implementao adotados nesta Norma; b) aprovao dos responsveis pelo projeto do SIS e reviso da documentao existente antes da implementao e carregamento no sistema; c) a modificao deve ser exaustivamente submetida a testes e verificaes antes de sua implementao; d) o carregamento, no sistema, das modificaes deve ser acompanhado pelos responsveis pela operao e manuteno da planta. 8.6.3 Modificaes de verso de software e firmware devem ser evitadas, quando no implicarem em correo de problemas j detectados ou potenciais. Nos casos onde forem aplicveis, devem seguir estritamente as recomendaes e procedimentos do fabricante do equipamento e devem ser registradas (ver item 7.3).
8.7 Acesso

O acesso ao executor da lgica do SIS deve ser restrito ao pessoal autorizado pelo responsvel pela manuteno. A quantidade de pessoas com autorizao de acesso deve ser a menor possvel.
8.8 Auditoria

Devem ser previstas auditorias peridicas para a confirmao do cumprimento dos seguintes itens:

38

N-2595
a) b) c) d) e)

REV. B

OUT / 2002

procedimento adotado para implementaes de modificaes; procedimento adotado de testes e verificao de sua periodicidade; sistemtica de registros e anlises de manuteno; treinamento de pessoal de manuteno; integridade e atualizao da documentao.

_____________ /ANEXO A

39

TTULO:

RELATRIO DE CLASSIFICAO DE MALHA DE SEGURANA

NDICE DE REVISES REV. DESCRIO E/OU FOLHAS ATINGIDAS

REV. 0 DATA PROJETO EXECUO VERIFICAO APROVAO

REV. A

REV. B

REV. C

REV. D

REV. E

REV. F

REV. G

REV. H

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE NORMA PETROBRAS N-2595 REV. B ANEXO A - FOLHA 01/02.

TITULO:

RELATRIO DE CLASSIFICAO DE MALHA DE SEGURANA

SERVIO: FLUXOGRAMA(S) DE ENGENHARIA: IDENTIFICAO DO(S) INICIADOR(ES): IDENTIFICAO DO(S) ATUADOR(ES) DA MALHA DE SEGURANA: CONSEQNCIA DE FALHA NA DEMANDA:

DEMANDA W: SEGURANA PESSOAL PERDA DE PROD/EQUIP. MEIO AMBIENTE S: L: E: A: G: CLASSE ASSOCIADA: CLASSE ASSOCIADA: CLASSE ASSOCIADA:

CLASSE FINAL PARA FALHA NA DEMANDA DA MALHA DE SEGURANA: CONSEQNCIA DE FALHA ESPRIA DA MALHA DE SEGURANA:

FREQNCIA DE FALHA ESPRIA T: PERDA FINANCEIRA ASSOCIADA A OCORRNCIA DE FALHA ESPRIA C: IMPLEMENTAR TOLERNCIA A FALHA ESPRIA? (S/N) ESQUEMA DE VOTAO SELECIONADO PARA O(S) INICIADOR(ES): ( ) 1 DE 1 ESQUEMA DE VOTAO SELECIONADO PARA O(S) ATUADOR(ES): ( ) 1 DE 1 COMENTRIOS: ( ) 1 DE 2 ( ) 1 DE 2 ( ) 2 DE 2 ( ) 2 DE 2 ( ) 2 DE 3 ( ) 2 DE 3

AS INFORMAES DESTE DOCUMENTO SO PROPRIEDADE DA PETROBRAS, SENDO PROIBIDA A UTILIZAO FORA DA SUA FINALIDADE. FORMULRIO PERTENCENTE NORMA PETROBRAS N-2595 REV. B ANEXO A - FOLHA 02/02.

N-2595

REV. B

OUT / 2002

NDICE DE REVISES

REV. A
Partes Atingidas 1 2 3 4 ao 4.2.9 4.30 5 ao 5.1 5.1.1 5.1.2 ao 5.7.3 6 ao 6.1.6 6.1.7 ao 6.1.11 6.2 ao 6.24 6.2.5 ao 6.2.6 6.3 ao 6.30.10 6.3.11 e 6.3.12 6.4 ao 6.4.8 6.4.8.1 ao 6.4.8.5 6.4.9 ao 6.4.11 6.4.12 e 6.4.13 6.5 ao 6.5.12 6.6 ao 6.11 7 ao 7.1.5 7.1.6 7.2 ao 7.2.4 7.2.5 ao 7.2.14 7.3 ao 7.3.2 7.3.3 ao 7.3.15 7.4 ao 7.4.4 7.4.5 ao 7.9.2 Descrio da Alterao Revisados e renumerados Revisado Revisado Revisados e renumerados Excludo Revisados e renumerados Revisado e renumerado Includos Revisados e renumerados Includos Revisados e renumerados Excludos Revisados e renumerados Includos Revisados e renumerados Excludos Revisados e renumerados Includos Revisados e renumerados Includos Revisados e renumerados Excludo Revisados e renumerados Excludos Revisados e renumerados Excludos Revisados e renumerados Excludos IR 2/2

N-2595
REV. A
Partes Atingidas 8 e 8.1 8.1.1 ao 8.1.4 8.2 8.2.1 ao 8.2.3 8.3 8.3.1 e 8.3.2 8.4 8.4.1 e 8.4.2 8.5 ao 8.5.2 8.5.2.1 ao 8.5.2.3 8.5.4 ao 8.8 9 ao 9.7 Anexo A

REV. B

OUT / 2002

Descrio da Alterao Revisados e renumerados Excludos Revisado e renumerado Excludos Revisado e renumerado Excludos Revisado e renumerado Excludos Revisados e renumerados Excludos Includos Excludos Revisado

REV. B
Partes Atingidas 5.3 5.4.5.4 5.5.1 5.6.6 6.5.4 6.5.5 6.5.9 7.4.3 Anexo A Revisado Revisado Revisado Revisado Revisado Revisado Revisado Revisado Revisado Descrio da Alterao

_____________
IR 2/2