Níveis de Integridade de Segurança (SIL)
Tecnologia Safety
Nos mais variados setores industriais do Brasil e do mundo, novas tecnologias estão sendo aplicadas em busca de melhoria dos processos produtivos. Porém, o avanço da produtividade pode resultar no aumento do risco de operação do processo industrial. Grandes instituições internacionais associadas a indústria, tais como ISA (International Society of Automation) , ISO (International Organization for Standarnization) e IEC (International Electrotechnical Commission) têm trabalhado em iniciativas para redução de riscos. Além de proteção de operadores expostos ao risco, estas iniciativas visam proteger os ativos do empreendimento.
Dessa forma, a solução para o controle de riscos de máquinas e equipamentos perigosos é desenvolver um trabalho conjunto com setores de engenharia de segurança do trabalho, manutenção e operação, com a finalidade de se levantar os riscos e condições inseguras de instalações antes, durante e após a fase de operação de tais máquinas e equipamentos.
A tecnologia Safety implementa a proteção de máquinas e equipamentos baseada no conceito de falha segura. De acordo com este conceito, quando houver qualquer falha no sistema de máquina, os dispositivos de segurança devem atuar de modo que o sistema entre numa situação segura, impedindo ou prevenindo acidentes.
Muitos técnicos e engenheiros não confiam totalmente e têm dúvidas sobre a integridade do sistema de segurança com uso de CLPs. Embora o CLP de segurança ainda seja um conceito relativamente novo, ele já foi usado em aplicações de segurança em indústrias em todo o mundo e submetido a rigorosos processos de certificação para garantir confiabilidade e minimizar riscos.
Anteriormente, soluções de segurança envolvendo CLPs empregavam duas plataformas de controle distintas: um CLP para o processamento das funções standar e outro para o processamento das funções de segurança e, caso fosse necessária a utilização de I/O distribuído (Input/Output ou Entradas/Saídas), uma rede de comunicação de segurança adicional também era necessária. Atualmente é possível utilizar apenas uma plataforma de controle, um único CLP com engenharia uniforme e comunicação para a automação standar e de segurança através de uma rede com perfil seguro.
CLP de Segurança
A National Electrical Manufactures Association (NEMA) define Controlador Lógico Programável como: Um aparelho eletrônico digital que dispõe de uma memória programável para armazenar internamente instruções e para implementar funções específicas, tais como lógica sequencial, aritmética, contagem e temporização. Por meio de módulos de entradas e saídas, o CLP controla diversos tipos de máquinas ou processos.
Um controlador lógico programável de segurança é como um CLP padrão. Pode ser usado para controlar e automatizar peças de equipamentos industriais. Um CLP de segurança suporta todas as aplicações que um CLP padrão faz; no entanto, um CLP de segurança contém funções de segurança integradas que permitem controlar também os sistemas de segurança.
Um CLP de segurança é projetado para atingir dois objetivos importantes: não falhar e, se inevitável, falhar apenas de uma maneira segura e previsível. Um CLP de segurança alcança esses objetivos por meio de seus microprocessadores redundantes, eliminando a necessidade de relés de segurança para criar redundância. Um CLP de segurança também possui diagnósticos integrados que permitem monitorar continuamente suas entradas e suas saídas, que estão interconectadas a dispositivos de segurança. Se uma falha for detectada pelo sistema, ocorrerá um desligamento seguro do CLP.
Esta integração em uma única plataforma permite a troca de dados de maneira transparente entre o nível de segurança e os componentes standar, sem nenhuma interface adicional e utilizando a mesma estrutura de rede de campo. A coexistência da comunicação de segurança com a comunicação standar, no mesmo barramento de dados, atende às normas de organismos internacionais.
Um CLP de segurança permite controle de segurança e controle standar, enquanto um CLP standar permite apenas o último. Ao usar um CLP de segurança para controlar um sistema de segurança, o tempo e o dinheiro são economizados na fiação de campo, já que não há necessidade de relés de segurança. Como resultado, um sistema de segurança projetado em torno de um CLP de segurança é extremamente flexível. Desta maneira, fica fácil de alterá-lo devido as mudanças de programação e não requer nenhuma mudança de fiação ou relés adicionais. Uma vez que o sistema de segurança tenha sido testado e validado, o programa de segurança no CLP pode ser bloqueado e protegido por senha para evitar variações não autorizadas.
No entanto, existem algumas desvantagens em usar um CLP de segurança, como o custo inicial maior. Este tipo de CLP não seria ideal para aplicações menores e mais simples, como em um sistema que requer apenas um botão de parada de emergência e uma cortina de luz. Seria mais adequado usar um relé de segurança e uma fiação rígida para o sistema de segurança ao invés de um CLP de segurança. Outra coisa importante a ser notada é que os CLPs de segurança ainda são um produto relativamente novo com novas tecnologias. Engenheiros e técnicos de manutenção não estão familiarizados com esta tecnologia recente. Portanto, pode ser necessário treinamento adicional para que os CLPs de segurança sejam usados corretamente.
O conceito original de utilização de CLPs de segurança exigia que CLPs standar não se misturassem com CLPs de segurança e dispositivos de segurança em uma mesma rede. Essa abordagem resultou na duplicação da fiação para funções de segurança e não relacionadas à segurança e na dor de cabeça adicional da coordenação entre os dois sistemas separados. Essa abordagem é às vezes chamada de “segurança convencional”.
A manutenção de cabeamento de barramento separado para o CLP padrão e I/O e o CLP de segurança e I/O mostrou-se cara. Usar somente o CLP de segurança e a I/O de segurança para lidar com I/O padrão e de segurança também era caro (a I/O de segurança é um pouco mais cara que I/O padrão, se a segurança não for necessária, por que pagar por ela?). A melhor economia de custos veio com a ideia de compartilhar o CLP de segurança e o barramento de I/O para as funções de segurança e padrão.
Níveis de Integridade de Segurança (SIL)
A análise de perigos e de riscos podem ser realizadas qualitativamente, quantitativamente ou semi-quantitativamente. Os resultados finais das análises de perigos e de riscos podem ser um conjunto de problemas com elevado risco potencial que tem que ser reduzido. Pode-se escolher qualquer abordagem sobre a forma de se reduzir os riscos, desde que estes fiquem reduzidos a um nível aceitável.
A norma internacional IEC 61508 define quatro Safety Integrity Levels (Níveis de Integridade de Segurança) independentes (SIL 1 a SIL 4). Cada nível corresponde a um intervalo de probabilidade para a falha de uma função de segurança. Quanto mais elevado o Nível de Integridade de Segurança dos sistemas de segurança, mais reduzida a probabilidade de não executar as funções de segurança exigidas.
O número SIL significa a ordem de grandeza (a potência de dez) para a redução do risco de que a função de segurança necessita para alcançar a confiança desejada. SIL 1 é uma redução de dez vezes ou mais; SIL 2 é uma redução do risco de cem vezes ou mais; SIL 3 é de mil vezes ou mais e SIL 4 é um fator de redução de risco de dez mil vezes ou mais. Quando se percebe o significado dos números SIL, percebe-se, também, porque todos os atores de um sistema, incluindo os órgãos regulamentadores de segurança, possuem muito interesse nos níveis de segurança das funções.
A tabela a seguir ilustra os significados dos Níveis de Integridade de Segurança SIL e seus respectivos fatores de redução de risco (RRF Risk reduction factor):
O mau funcionamento de uma função de segurança pode resultar de erros sistemáticos ou erros aleatórios. Faixa de medição não adequada para a aplicação, projeto de desligamento de emergência incorreto e temperatura de operação do sensor em não conformidade com o manual de segurança, revestimento do sensor não adequado para o fluido do processo são exemplos de erros sistemáticos. Falha de hardware na eletrônica e erro no sensor são exemplos de erros aleatórios.
Cada componente em um sistema de segurança recebe um rótulo chamado princípio de votação, segundo sua arquitetura. Os três princípios de votação mais comuns são: Simplex ou votação 1oo1, Duplex ou votação 1oo2 ou 2oo2 e Triplex ou votação 2oo3.
O princípio de votação 1oo1 envolve um sistema de canal único, e é normalmente concebido para aplicações de segurança de baixo nível. Um problema no canal resulta na perda da função de segurança ou encerramento do processo (shutdown).
O princípio de votação 1oo2 foi desenvolvido para melhorar o desempenho de integridade de segurança de sistemas de segurança baseados em 1oo1. Se ocorre uma falha em um canal, o outro ainda é capaz de desempenhar a função de segurança. A principal desvantagem de um sistema de segurança único (ou seja, não-redundante) é que uma única falha leva imediatamente a um trip.
A duplicação dos canais em aplicação 2oo2, reduz significativamente a probabilidade de falso trip, uma vez que ambos os canais devem falhar para que o sistema seja colocado em shutdown. Por outro lado, o sistema tem a desvantagem de que a probabilidade de falha na demanda é duas vezes maior do que a de um único canal.
Uma falha segura é aquela que leva o sistema a parar o processo em uma situação onde não existe perigo. A falha segura é normalmente chamada de falso trip ou espúrio.
Na votação 2oo3, há três canais, dois dos quais precisam estar sem falha para operar e cumprir as funções de segurança.
O parâmetro HFT (Hardware Fault Tolerance) ou Tolerância a Falha de Hardware para classificação SIL de um componente indica a qualidade da função de segurança. HFT igual a 0 indica uso de canal único. Uma única falha pode causar uma perda de segurança. HFT igual a 1 indica versão redundante. Pelo menos duas falhas de hardware devem ocorrer ao mesmo tempo para causar uma perda de segurança.
A imagem abaixo apresenta exemplos de HFT com princípios de votação 1oo1, 1oo2, 2oo2 e 2oo3:
No exemplo de votação 1001 com HFT = 0, a reação é desencadeada e o sensor detecta um estado perigoso. Neste caso ocorre alta probabilidade de uma falha perigosa.
No exemplo de votação 1002 com HFT = 1, a reação é desencadeada quando um dos dois sensores detecta um estado perigoso. Neste caso ocorre redução significativa da probabilidade de um defeito perigoso.
No exemplo de votação 2002 com HFT = 0, a reação ocorre quando os dois sensores detectam uma condição perigosa. Neste caso há menor probabilidade de erro aleatório, o que significa que temos uma maior disponibilidade da planta e há maior probabilidade de uma falha perigosa.
No exemplo de votação 2003 com HFT = 1, a reação ocorre quando dois dos três sensores detectam uma condição perigosa. Neste caso ocorre redução muito alta da probabilidade de uma falha perigosa.
A imagem abaixo apresenta um exemplo de sistema de classificação SIL 1. O CLP (PLC) não é um CLP de segurança. O Switch (chave) ou Transmissor é convencional, ou seja, não é desenvolvido especificamente para atender exigências de segurança.
Uma válvula de desligamento de emergência (ESD Valve) faz parte de um Sistema Instrumentado de Segurança (SIS) e normalmente se refere a todos os tipos de válvulas de sistema de segurança. A válvula é dotada de atuador pneumático em que a pressão do ar sobre um diafragma mantém comprimida uma mola que atua sobre a haste de fechamento, mantendo a válvula fechada. Na ausência de pressão de ar, a válvula abre. A admissão e a liberação do ar comprimido são feitas através de uma válvula SOV (solenoid valve) de três vias, de acionamento elétrico (solenoide), situada na linha de ar (AS) de instrumentos da instalação de produção. O sinal de comando elétrico S da válvula de três vias (para o acionamento da válvula SDV é proveniente do sistema de intertravamento e parada de emergência, neste caso o CLP ou PLC. Uma válvula solenóide (SOV) é uma válvula operada eletromecanicamente.
A imagem abaixo apresenta um exemplo de sistema de classificação SIL 2. O CLP (PLC) é um CLP de segurança. O transmissor é específico para segurança e tem princípio de votação 1oo1.
Uma Válvula de Desligamento SDV (Shutdown Valve) é uma válvula acionada projetada para interromper o fluxo de um fluido perigoso após a detecção de um evento perigoso.
O Controlador Digital de Válvulas DVC (Digital Valve Controller) é inteligente e está conectado ao atuador da válvula, que controla e monitora a operação da válvula. O microprocessador do DVC permite o diagnóstico e a comunicação bidirecional para simplificar a configuração e a solução de problemas.
A imagem abaixo apresenta um exemplo de sistema de classificação SIL 3. O CLP (PLC) é um CLP de segurança. Dois transmissores para segurança formam um princípio de votação 1oo2. As válvulas são redundantes.
Com CLPs de segurança da Siemens, como o CLP modelo S7-1500 CPU 1516F-3 PN/DP, é possível atingir até o nível SIL3.