Quando controladores lógicos programáveis – CLP substituíram os relés eletromecânicos e tornaram mais complexos os sistemas de segurança de uma
unidade industrial, foi necessário recorrer a uma ferramenta
que orientasse sua instalação e operação. Assim surgiu a
norma IEC 61508 - Segurança funcional de sistemas relativos à segurança elétrica, eletrônicos e eletrônicos programáveis. Ela e sua derivada IEC 61511 - Segurança funcional - Sistemas instrumentados de segurança para a indústria
de processos logo tornaram-se padrão preferido dos engenheiros.
Agora a International Electrotechnical Commission prepara a segunda edição da IEC 61511 – se tudo correr dentro
do previsto, a norma estará publicada no segundo semestre de 2016. Parte do texto foi reescrita, como acontece em
quase toda revisão de norma, para facilitar o entendimento.
Não há mudanças na estrutura da norma. As alterações mais
significativas estão nos anexos da parte 2, que traz instruções para utilização, e da parte 3, que apresenta as diretrizes
para determinação do nível de integridade de segurança. A
parte 2 ganhou dois novos anexos além dos cinco que já
existiam, e a parte 3 passará a ter 11 anexos, cinco a mais
que na primeira edição – esses anexos trazem novos exemplos e boas práticas para abordagem de vários pontos. “A
segunda edição deve fornecer uma melhor compreensão de
como aplicar IEC 61511 para aqueles que implementaram a
primeira edição”, diz Victor Maggioli, chairman do comitê
responsável pela revisão da norma.
Diferente das normas prescritivas, a IEC 61511 adota a
abordagem de segurança baseada em risco, especificando
níveis de desempenho requeridos para os sistemas instrumentados de segurança. Ela toma por princípio dois tipos
de requisitos – funcionais e de integridade – para prevenir
falhas aleatórias e sistemáticas. Um conceito fundamental é o nível de integridade de segurança, mais conhecido
pela sigla SIL – iniciais de Safety Integrity Level. Trata-se
da quantificação de redução de risco obtida pela aplicação
das funções instrumentadas que conduzem o processo ou os equipamentos a estados seguros. Os sensores, transmissores e atuadores que irão executar essa função devem ser
adequados ao nível SIL (1,2,3 ou 4) determinado no projeto. Outro conceito importante é o ciclo de vida do sistema
instrumentado de segurança, que contém as etapas necessárias para selecionar, atingir e manter o nível de segurança
funcional requerido, durante as fases de projeto, operação e
manutenção de um sistema instrumentado de segurança.
Por não se tratar de uma regulamentação legal, nenhuma
planta industrial estaria obrigada a adotar a IEC 61511 – por
força da lei, uma indústria instalada no Brasil precisa seguir
o que determinam as Normas Regulamentadoras – NRs do
Ministério do Trabalho e Emprego. Mas, por agrupar experiências internacionais, a IEC 61511 ganhou boa aceitação
dos usuários. Mesmo as empresas que têm procedimentos próprios – como é o caso de Petrobras – tomam a IEC
61511 como referência para projetar e operar os sistemas
instrumentados de segurança.
A Associação Brasileira de Normas Técnicas chegou a
trabalhar numa versão NBR dessa norma – o grupo de trabalho de sistemas instrumentados de segurança se dedicou a
tradução do texto, no entanto, suspendeu o trabalho à espera
da publicação da nova edição.
A primeira edição da IEC 61511 foi publicada em 2003.
A revisão, de acordo com o ciclo estabelecido pela IEC,
deveria ter sido iniciada cinco anos depois. O adiamento foi
proposital para acomodar a nova versão da IEC 61508 – que
ainda não estava concluída, mas que traria impactos sobre
alguns aspectos conceituais. Acontece que os comentários
e sugestões foram se acumulando. Apenas na primeira fase
da revisão, quando o Committee Draft – CD foi elaborado,
já haviam aproximadamente 1.600 sugestões encaminhadas
por diversos comitês de países membros. Outras cinco centenas de comentários foram enviados na fase de Committee
Draft for Vote – CDV.
A revisão está na etapa de consolidação dos votos do
Final Draft of International Standard - FDIS (que é colocado em votação final antes da publicação da norma). Esse
documento já antecipa as mudanças pretendidas. No texto,
as referências a softwares foram substituídas pela expressão
“programa aplicativo”. Tornar esse conceito mais claro era
uma das demandas do grupo responsável pela revisão da
norma. 12 integrantes do grupo se dedicaram a reescrever
tudo o que se referia a esse tema – e a nova versão traz boas
práticas e lições aprendidas de como elaborar, documentar,
e executar verificações em programas aplicativos. Foram
incluídas também orientações relacionadas a cibersegurança – esses foram os avanços tecnológicos mais expressivos
para uma norma ligada a análise de riscos, confiabilidade e
taxas de falhas.
Na nova edição, a expressão “produção de petróleo e
gás” foi alterada para “petróleo e gás”, para deixar claro que
as atividades a montante (por exemplo perfuração e exploração) estão incluídas dentro do âmbito. O conceito de manual de segurança ganhou consistência – com mais clareza
sobre conteúdos e responsabilidades. E foram ampliados
requisitos de gestão de mudança, de avaliação de riscos, e
avaliações periódicas durante a fase operacional.
Outros pontos bastante discutidos nas reuniões, e que
agora vêm melhor desenvolvidos, estão relacionados ao uso
do sistema básico de controle de processo regulatório como
camada de proteção e ao chamado prior use – como devem
ser tratados os dispositivos que não dispõem de um banco
de dados formal com suas taxas de falhas, mas que o usuário conhece o desempenho.
Algumas etapas continuam tendo requerimentos complexos – como a avaliação de segurança funcional e a validação. “Em alguns aspectos a norma melhorou sensivelmente, mas continua tendo alguns requerimentos pesados”,
avalia o consultor de sistemas instrumentados de segurança
da área de refino da Petrobras, Bruno Barsotti.
O resultado de todo esse trabalho fica visível no novo
texto, que teve acrescido pouco mais de 100 páginas – 6 na
parte 1, 50 na parte 2 e 40 na terceira parte. “A melhoria na
segurança da operação é geralmente alcançada pela decisão
do usuário, dedicação e organização em gerir e aplicar a
segurança funcional em seu site. A melhor compreensão da
norma tem o potencial de facilitar este processo”, ressalta
Maggioli.
O trabalho nos grupos da IEC
É pelo trabalho voluntário de engenheiros de todas as
partes do mundo que as normas da IEC evoluem. O grupo de manutenção, que responde pelo aperfeiçoamento e
elaboração de technical reports da IEC 61511, é um dos
maiores, com mais de 60 membros, de 20 países – entre
eles representantes da Total, Chevron, Statoil, Petrobras,
Rockwell, Yokogawa, Honeywell, Siemens, da agência
americana CSB, da britânica HSE e da alemã TÜV. “A preocupação das empresas que utilizam a IEC 61511 é também
trazer para nova edição experiência acumulada na utilização da norma. Elas investem muito em treinamento, documentação e procedimentos de trabalho, e querem evitar que
uma série de esforços sejam colocados em segundo plano”,
explica Barsotti, único brasileiro membro do grupo.
Nas reuniões do grupo responsável pelos trabalhos de
revisão, uma parte do tempo era sempre reservada ao chamado safety moment – um período para discussões sobre
segurança funcional em que alguns membros ou convidados apresentavam relatórios sobre acidentes. A maior parte
deles apontava negligência no cumprimento de requisitos e
práticas preconizados na IEC 61511.
Via de regra, uma norma IEC surge a partir da necessidade de orientar algum procedimento. Um bom exemplo é
a IEC 60079-39, publicada no ano passado na forma de uma
Technical Specification para apresentar o conceito de Power i – de sistemas intrinsecamente seguros com limitação
de duração de centelha eletronicamente controlada. Essa
tecnologia permite a utilização de potência ativa mais elevada, mantendo as características de proteção da segurança intrínseca sob condições normais de operação
do circuito – a base para esta nova abordagem
é uma reação dinâmica à alteração do valor da
corrente: o sistema Power-i detecta a ocorrência e desliga o circuito antes que a energia atinja um nível crítico.
“Essa nova tecnologia permite uma expansão no campo de aplicações industriais que
utilizem o tipo de proteção Ex i. No entanto,
requer a aplicação de novas e de mais elaboradas abordagens em relação ao tradicional tipo
de proteção Ex i, a qual encontra em contínuo desenvolvimento desde 1913, portanto há
mais de cem anos, em decorrência dos avanços
tecnológicos na área de eletrônica e circuitos
digitais”, lembra o coordenador do Subcomitê SC-31 do
Comitê Brasileiro de Eletricidade, Eletrônica, Iluminação e
Telecomunicações - Cobei, Roberval Bulgarelli.
Esse conceito foi desenvolvido há alguns anos pela
Pepperl+Fuchs – que patenteou a tecnologia como Dart (de
Dynamic Arc Recognition and Termination). Poucas empresas, no entanto, já utilizam a tecnologia – no
Brasil ainda não há nenhuma. A normalização
tem esse poder de sustentar a difusão de novas
tecnologias, como aconteceu com o conceito
de fieldbus intrinsicamente seguro - Fisco, que
permitiu o uso de protocolos de comunicação
digital em áreas classificadas – a Petrobras já
utiliza sistemas deste tipo há pelo menos oito
anos.
Uma interseção especial existe entre instalações elétricas em atmosferas explosivas e SIL
quando parâmetros de segurança do equipamento elétrico para instalação em áreas classificadas são assegurados através de dispositivos
de segurança adicional – um caso típico é a supervisão da
temperatura de motores com tipo de proteção com segurança aumentada (Ex e) por relés eletrônicos de imagem
térmica ou até através de inversores. Os grupos de trabalho
do Comitê 31 (que edita as normas da série IEC 60079, de
atmosferas explosivas) já discutem a adoção de requisitos
SIL para estes dispositivos.
No ano passado a International Electrotechnical Commission - IEC publicou doze novas
edições e duas normas inéditas destinadas a instalações elétricas em atmosferas explosivas. Há
pelo menos outras quatro em elaboração – sobre
equipamentos não elétricos e poeiras combustíveis – previstas para serem publicadas em 2016.
Equipamentos certificados para atmosferas explosivas custam mais caro. O desafio recai no desenvolvimento de equipamentos seguros e mais baratos. “O governo e o Inmetro revisaram a portaria nº 179, de equipamentos elétricos para atmosferas
explosivas, incluindo a partir de 2010 nova redação contemplando além de condições de gases e
vapores explosivos também as condições de poeiras combustíveis. Esta regulamentação tem exigido
da indústria uma maior utilização de equipamentos
adequados e certificados, bem como o investimento
dos fabricantes de equipamentos elétricos no desenvolvimento de equipamentos certificados para
atender as normas específicas, evoluindo assim toda
a cadeia no quesito segurança em áreas classificadas”, destaca o diretor de Vendas da Weg Motores,
Fernando Cardoso Garcia.
Para áreas classificadas, a Petrobras tem optado por proteções menos suscetíveis a falhas
humanas – como segurança aumentada, segurança intrínseca, proteção ótica, imersão em resina
e invólucros pressurizados. Nas plataformas P-75, P-77 e
no FPSO Pioneiro de Libra, por exemplo, os painéis elétricos de controle e automação e motores elétricos estão
sendo instalados com unidades de pressurização. “Esses
sistemas de purga e pressurização são usados para que gases perigosos sejam expelidos dos invólucros dos motores e
painéis elétricos antes da partida dos motores ou
da abertura dos painéis em áreas classificadas de
zonas 1 ou 2”, conta o diretor da FT Automação,
Peter Strimber.
Esses equipamentos se enquadram na categoria de invólucros pressurizados (Ex p), que
teve a norma IEC atualizada em 2014. Agora
o Cobei está trabalhando para atualizar a NBR
correspondente, o que, na avaliação de Peter
Strimber, irá facilitar os ensaios de certificação
dos painéis.
Se a evolução tecnológica traz avanços importantes para a segurança funcional, ela desperta outra preocupação: a capacitação dos profissionais que irão projetar, operar, inspecionar e trabalhar na
manutenção dos sistemas. É como ter leis de trânsito mais
rigorosas e automóveis mais seguros sendo guiados por motoristas imprudentes ou com manutenção feita por mecânicos sem capacitação.
“Nas inspeções feitas nas instalações de instrumentação
e de automação Ex podem ser verificadas diversas não conformidades relacionadas com a fabricação ou a tecnologia do equipamento, mas
com a falta de competência e de certificação
do peopleware envolvido com as atividades de
projeto, montagem, inspeção, manutenção e reparos. Por este motivo a certificação destas pessoas, de acordo com os requisitos das normas da
série NBR IEC 60079 e dos documentos operacionais do IECEx pode ser considerada um requisito fundamental para a elevação dos níveis
de segurança das instalações Ex, em um nível
mais significativo do que as novas tecnologias”,
ressalta Bulgarelli. |