SIL, O QUE IMPACTA NESSE PARÂMETRO?
As pílulas PL05-5080-014 e PL05-5080-015 mostraram, de forma geral, conceitos importante sobre SIL e SIF. Com os conceitos consolidados, pode ficar a pergunta: “O que impacta o SIL?”.
O SIL de uma SIF deve ser calculado para verificar se o “requisito de segurança alcançado” por uma determinada SIF é compatível com o “requisito de segurança esperado e pré-definido” para essa SIF em questão. É importante, então, entender que deve-se determinar “um SIL” de referência para uma SIF, antes de se verificar, matematicamente, se esse foi alcançado. Em geral, o SIL é determinado em estudos de segurança, tais como HAZOP e LOPA.
Ao se verificar o SIL alcançado por uma SIF, vários parâmetros e conceitos são abordados; a seguir é apresentada uma lista com os principais fatores que impactam no “SIL final” de uma SIF:
– Componentes utilizados (a probabilidade de falha insegura01 / de cada um dos componentes é considerada);
– Arquitetura adotada para cada componente (ver “Pílula, da LTI” PL05-5080-006 e PL05-5080-007) impacta na determinação do equacionamento matemático a ser utilizado;
– Intervalo entre a realização de testes periódicos e estruturados da SIF;
– Tempo de missão considerado para cada componente da SIF (tempo máximo de utilização);
– Previsão de quantas vezes a SIF irá atuar por ano (sistemas de baixa demanda, tipicamente encontrados em indústrias de processo, atuam no máximo 01 vez por ano) – impacta na determinação do equacionamento matemático a ser utilizado.
Com base na lista apresentada acima, fica claro que o SIL é “muito mais do que um simples número”. O SIL alcançado por uma SIF é o resultado de abordagens conceituais e matemáticas, mais especificamente, probabilísticas.
Nota 01:
Falha insegura é quando há a ocorrência de uma falha que pode levar a SIF à perder sua função de segurança. Tome como exemplo, um transmissor de pressão que apresenta uma falha e deixa de medir corretamente a pressão no interior de um reator. Como o instrumento perdeu a função, a ação de segurança poderá ser prejudicada.
A ação poderá ser prejudicada, pois a falha insegura é dividida em duas frações, sendo: a) falha insegura detectável e b) falha insegura indetectável.
Suponha que o autodiagnóstico do transmissor de pressão detectou que sua função de medição foi perdida e esse foi colocado em uma condição de falha, tal qual fez com que o LS (Logic Solver) recebesse a informação (errada, mas segura) de que a pressão no interior do reator está muito alta, desencadeando, então, a ação de segurança que é prevista para essa situação; têm-se, então, uma falha insegura detectável.
Para o caso de a falha não ser detectada e, por exemplo, haver elevação da pressão no interior do reator sem que essa informação seja repassada ao LS, têm-se, então, uma falha insegura não detectável. Esse tipo de falha poderá colocar o sistema (equipamento / planta / etc.) em situação crítica.
Os parâmetros de falha insegura e não detectável são utilizados para os cálculos de verificação do SIL alcançado.
Elaborado por: Everton Salomé
Referência LTI: PL05-5080-016
