INSTITUTO SENAI DE EDUCAÇÃO SUPERIOR
KLEBERSON MEIRELES DE LIMA
DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS
Rio de Janeiro 2010
KLEBERSON MEIRELES DE LIMA
DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS
Monografia apresentada presencialmente, como requisito parcial para a conclusão do curso de Especialista em Automação Industrial para Sistemas de Produção, Refino e Transporte de Petróleo.
Orientador:
Oscar Felizzola Souza
Rio de Janeiro 2010
© 2010. Kleberson Meireles de Lima Qualquer parte dessa obra poderá ser reproduzida, desde que citada a fonte. Presidente da FIRJAN Eduardo Eugênio Gouvêa Vieira Superintendente – Diretor Regional SESI-SENAI Maria Lúcia Telles Diretora de Educação Andréa Marinho de Souza Franco Gerente de Educação Profissional Luis Roberto Arruda Gerente do Instituto SENAI de Educação Superior Carlos Bernardo Ribeiro Schlaepfer Coordenador de Pós-Graduação – Área de Petróleo Caetano Moraes Ficha Catalográfica elaborada sob orientação da Biblioteca do Instituto SENAI de Educação Superior.
LIMA, Kleberson Meireles de Determinação do SIL em malhas de segurança de uma turbina a gás. Rio de Janeiro: FIRJAN/SENAI-Instituto SENAI de Educação Superior, 2010. 85 p. Orientador: Oscar Felizzola Souza. Inclui Bibliografia TURBINAS A GÁS; AUTOMAÇÃO INDUSTRIAL; SEGURANÇA DE MÁQUINAS; SISTEMAS INSTRUMENTADOS DE SEGURANÇA; SIL ............................................................................................................
KLEBERSON MEIRELES DE LIMA
DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS
Monografia apresentada presencialmente, e aprovada como requisito parcial para a conclusão do curso de Especialista em Automação Industrial de Sistemas de Produção, Refino e Transporte de Petróleo. Aprovada em: 10/02/2011.
BANCA EXAMINADORA
Prof. Oscar Felizzola Souza, M.Sc. Instituto SENAI de Educação Superior
Prof. Caetano Moraes, Ph.D. Instituto SENAI de Educação Superior
Prof. José Manuel Gonzalez Tubio Perez, M.Sc. Instituto SENAI de Educação Superior
IV
RESUMO As turbinas a gás são aplicadas em diversos setores da nossa indústria e meios de transporte. Mesmo sendo inicialmente desenvolvidas para a propulsão de aeronaves, tornaram-se bastante utilizadas em áreas como: propulsão naval, trens de ata velocidade, geração de energia etc. Principalmente, por possuírem uma boa relação entre peso e potência, bem como, uma elevada confiabilidade. Confiabilidade essa que é atingida através de modernos sistemas de controle automático e segurança em conjunto com as mais modernas técnicas de projeto mecânico e de materiais. Isso implica na necessidade da síntese de Sistemas Instrumentados de Segurança, sendo que para projetá-los é necessário determinar o nível de desempenho adequado, fator medido pelo Nível de Integridade de Segurança (SIL). Este trabalho tem como objetivo apresentar técnicas qualitativas e quantitativas para determinação do SIL e aplicá-las para o caso de uma turbina a gás utilizada em sistemas de propulsão de navios. Palavras-chave: Turbinas a Gás; Automação Industrial; Segurança de Máquinas; Sistemas Instrumentados de Segurança; SIL.
V
LISTA DE ILUSTRAÇÕES
Figura 1 – Turbina a gás simples (a) Ciclo aberto (b) Ciclo fechado........ 13
Figura 2 – Ciclo Brayton padrão a ar.................................................. 14
Figura 3 – Digramas do ciclo Brayton Ideal......................................... 14
Figura 4 – Turbina com compressor radial.......................................... 15
Figura 5 – Turbina com compressor axial............................................ 15
Figura 6 – Típica operação de um combustor....................................... 16
Figura 7 – Pás de uma turbina radial.................................................. 17
Figura 8 – Esquema de uma turbina axial........................................... 18
Figura 9 – Idealização da operação dos sistemas de proteção e de
controle.........................................................................................
23
Figura 10 – Modelo representando o comportamento das camadas de
proteção.........................................................................................
24
Figura 11 – Diagrama da cebola........................................................ 25
Figura 12 – Redução de risco com múltiplas camadas de proteção......... 27
Figura 13 – Resumo de documentação que pode ser incluído nas SRS.... 30
Figura 14 – Diagrama de causa e efeito.............................................. 31
Figura 15 – Determinação do risco existente....................................... 37
Figura 16 – Corte da turbina GE LM2500............................................. 43
Figura 17 – Exemplo de controlador da turbina a gás LM2500................ 44
Figura 18 – Esquema simplificado do sistema de combustível................ 46
Figura 19 – Limite de temperatura durante a partida............................ 47
Figura 20 – Curva utilizada na detecção de stall................................... 49
Figura 21 – Exemplo de um gráfico de risco........................................ 52
Figura 22 – Questionário para “segurança pessoal”.............................. 55
Figura 23 – Gráfico de Risco para “segurança pessoal”......................... 56
Figura 24 – Questionário de “Perda de Produção e Danos ao
Equipamento”.................................................................................
58
Figura 25 – Gráfico de risco para “Perda de Produção e Danos ao
VI
Equipamento”................................................................................. 59
Figura 26 – Questionário relacionado à segurança do meio ambiente...... 60
Figura 27 – Gráfico de risco para o meio-ambiente.............................. 60
VII
LISTA DE TABELAS
Tabela 1 – SIL e desempenho requerido para sistemas de modo de
demanda........................................................................................
38
Tabela 2 – SIL e taxas de falhas de sistemas de modo contínuo............. 38
Tabela 3 – Exemplo de riscos toleráveis praticados por empresas de
classe mundial................................................................................
39
Tabela 4 – Exemplo de frequência de eventos iniciadores...................... 40
Tabela 5 – Lógica de proteção do fornecimento de óleo lubrificante........ 45
Tabela 6 – Freqüência de Demanda................................................... 54
Tabela 7 – Equivalência entre classe e SIL.......................................... 61
Tabela 8 – Resultados obtidos para malhas de uma turbina a gás.......... 63
Tabela 9 – Resumo da análise para Sistema de Lubrificação.................. 65
Tabela 10 – Resumo da análise para Temperatura de entrada na TP....... 65
Tabela 11 – Resumo da análise para Rotação do Gerador de Gás........... 66
Tabela 12 – Resumo da análise para Rotação do Gerador de Gás........... 67
Tabela 13 – Resumo da análise para a Vibração da Turbina................... 68
Tabela 14 – Comparação dos resultados N-2595 x LOPA....................... 72
VIII
SUMÁRIO
1. Introdução.............................................................................. 10
1.1 Modelo de uma Planta de Geração de Potência........................... 12
1.2 Principais Equipamentos Utilizados nas Turbinas a Gás................ 15
1.3 Considerações Finais............................................................... 18
2. Sistemas Instrumentados de Segurança e Determinação do Nível de
Integridade de Segurança (SIL)..................................................... 19
2.1 O que são Sistemas Instrumentados de Segurança?.................... 19
2.2 Diferenças entre Controle de Processo e Controle de
Segurança.................................................................................. 21
2.3 As Camadas de Proteção......................................................... 23
2.4 Especificações de Segurança.................................................... 28
2.5 Nível de Integridade de Segurança........................................... 32
2.6 Conceitos Comuns na Análise de Riscos..................................... 34
2.7 Técnicas de Determinação do SIL............................................. 36
2.8 Considerações Finais............................................................... 41
3. Determinação do SIL para turbina GE LM2500............................. 42
3.1 Funções de Segurança e Proteção da Turbina GE LM2500............ 45
3.1.1 Pressão do Óleo Lubrificante................................................. 45
3.1.2 Temperatura do Gás de Entrada na Turbina de Potência............ 47
3.1.3 Velocidade do Gerador de Gás............................................... 48
3.1.4 Proteção Contra Stall do Gerador de Gás................................ 48
3.1.5 Controle de Vibração............................................................ 50
3.2 Determinação do SIL para as Funções de Segurança
Comentadas................................................................................ 51
3.2.1 Determinação pelo Método do Gráfico de Risco, segundo
N-2595.......................................................................................52
3.2.2 Determinação pelo método LOPA........................................... 63
4. Análise dos resultados e conclusões sobre a técnica qualitativa e
quantitativa................................................................................ 69
4.1 Análise Qualitativa.................................................................. 69
IX
4.2 Análise Qualitativa.................................................................. 70
4.3 Resultados Qualitativos x Quantitativos..................................... 71
4.4 Considerações Finais.............................................................. 72
Referências Bibliográficas............................................................. 74
Anexo........................................................................................76
10
1. Introdução
As turbinas a gás são turbomáquinas que pertencem ao grupo de
motores de combustão e cuja faixa de operação vai desde pequenas
potências na ordem de100 KW até 180 MW, chegando a 350 MW no caso
de nucleares, desta forma, elas concorrem tanto com os motores
alternativos de combustão interna (DIESEL e OTTO) como com as
instalações a vapor de pequena potência.
Suas principais vantagens são o pequeno peso e volume (espaço)
que ocupam. Sendo máquinas rotativas as turbinas a gás apresentam
uma vantagem bastante grande quando comparadas aos motores
alternativos uma vez que nelas há ausência de movimentos alternativos e
de atrito entre superfícies sólidas (pistão/camisa do cilindro). Isto significa
a quase inexistência de problemas de balanceamento e, ao mesmo tempo,
um baixo consumo de óleo lubrificante, uma vez que o mesmo não entra
em contato direto com partes quentes e nem com os produtos de
combustão. Disso decorre outra vantagem: a elevada confiabilidade que
apresentam. Além disso, quando comparadas às instalações a vapor, as
turbinas a gás praticamente não necessitam de fluido refrigerante o que
facilita muito sua instalação.
Outro aspecto bastante favorável das turbinas a gás é a baixa
inércia térmica que lhes permite atingir sua carga plena em um espaço de
tempo bastante reduzido. No caso de estar pré-aquecida, por exemplo, o
tempo entre carga nula e carga plena varia de 2 a 10 segundos. Este
11
aspecto faz com que as turbinas a gás sejam particularmente indicadas
para sistema de geração de energia elétrica de ponta, onde o processo de
partida e necessidade da plena carga no menor tempo possível é de suma
importância, bem como, em aplicações onde a confiabilidade elevada é
requerida, como por exemplo, as turbinas a gás tem dominado o mercado
de propulsão de navios de guerra (WOODYARD, 2009).
As turbinas a gás possuem campo de aplicação o mais variado
possível e o mais amplo dentre os diversos tipos de motores. Inicialmente
elas foram desenvolvidas objetivando fornecimento de trabalho mecânico.
Entretanto, o desenvolvimento efetivo só ocorreu em virtude de sua
aplicação na aeronáutica como elemento propulsor (reator). Enquanto
fornecedores de trabalho mecânico as turbinas a gás tem sido utilizadas,
de maneira geral, como elemento propulsor para navios; aviões (hélice);
no setor automotivo, ferroviário e, principalmente, como acionador de
estações “booster” de bombeamento (oleodutos e gasodutos) assim como
também na geração de eletricidade, principalmente, nas centrais de ponta
e sistemas “Stand-by” e em locais onde peso e volume são levados em
conta como o caso das Plataformas “Off-shore” de extração de petróleo.
Também são usadas em locais remotos e de difícil acesso e instalação,
pois a sua alta confiabilidade aliada à simplicidade de operação permitem
inclusive que elas sejam operadas à distância.
Como desvantagens das turbinas a gás têm-se o baixo rendimento e
a alta rotação, fatores bastante desfavoráveis no caso de aplicação
industrial (MARTINELLI, 2002).
12
1.1 Modelo de uma Planta de Geração de Potência
As plantas de geração de potência que utilizam turbina a gás podem
operar segundo um ciclo aberto ou fechado (SHAPIRO, 2006). O aberto,
exibido na figura 1a, é o mais comum. O ar é admitido e direcionado ao
compressor, onde terá sua pressão elevada. Após isso, entra na câmara
de combustão, onde é misturado com combustível e queimado, resultando
nos produtos ou gases da combustão que possuem elevada temperatura.
Na turbina, esses gases irão se expandir e logo, em seguida, serão
liberados para a atmosfera. Parte da potência gerada pela turbina é
utilizada para o acionamento do compressor e a potência restante é
disponibilizada para geração de eletricidade, para mover um veículo
(navio, helicóptero, avião etc) ou para outro propósito. No sistema da
figura 1b, o fluido de trabalho recebe energia de uma fonte externa, por
exemplo, um reator nuclear. O gás que sai da turbina passa por um
trocador de calor, onde é resfriado para que possa entrar novamente no
compressor.
13
Fig. 1 – Turbina a gás simples (a) Ciclo aberto (b) Ciclo fechado.
Com a análise padrão a ar, impede-se lidar com as complexidades
do processo de combustão e a mudança de composição durante a
combustão (SHAPIRO, 2006). O modelo do ciclo Brayton ideal padrão a ar
simplifica o estudo das plantas a turbinas a gás consideravelmente e para
uma primeira análise é útil para se avaliar o comportamento qualitativo de
um sistema real.
O ciclo Brayton ideal consiste de dois processos isobáricos e dois
processos isentrópicos (BOYCE, 2001). A figura 2 mostra o esquema do
ciclo de brayton padrão a ar idealizado, muito semelhante ao ciclo fechado
exibido anteriormente, sendo que o reservatório frio desta máquina
térmica, representado em linhas pontilhadas, é a própria atmosfera e o
fornecimento de energia é considerado externo, daí a simplificação do
processo de combustão.
14
Fig. 2 – Ciclo Brayton padrão a ar.
Ignorando as irreversibilidades internas (perda de carga, variação da
pressão do ar, produção de entropia do processo de expansão etc), este
ciclo pode ser representado pelos seguintes diagramas T-s e p-v,
representados na figura a seguir.
Fig. 3 – Digramas do ciclo Brayton Ideal.
Existem outras configurações de turbinas a gás que utilizam outros
equipamentos (regeneradores, resfriadores etc). Estas outras
configurações visam aumentar o rendimento do ciclo, tendendo a
aproximá-lo do rendimento do ciclo de Carnot (máximo rendimento
15
térmico), entretanto, estes outros arranjos fogem do escopo desta
monografia.
1.2 Principais Equipamentos Utilizados nas Turbinas a Gás
Os principais equipamentos constituintes das turbinas a gás são:
compressor, câmara de combustão e a turbina.
Os compressores utilizados em turbinas a gás são os denominados
turbocompressores e se apresentam em dois tipos: o radial ou centrífugo
(Fig. 4) e o axial (Fig. 5), classificação realizada conforme a direção de
saída do fluxo do fluido de trabalho.
Fig. 4 – Turbina com compressor radial.
Fig. 5 – Turbina com compressor axial.
16
Compressores radiais geralmente são usados para maiores taxas de
compressão e menores vazão, quando comparados às aplicações dos
compressores axiais (BOYCE, 2001). Segundo BOYCE (2001), há turbinas
que combinam o uso de compressores radiais em série com axiais, dessa
forma, combinando as características dos dois tipos de compressores.
O calor de entrada para uma turbina a gás, que opera segundo um
ciclo Brayton, é fornecido pelo combustor ou câmara de combustão
(BOYCE, 2001). Ele recebe ar do compressor e entrega gás com
temperatura elevada à turbina (idealmente sem perda de carga), ver
figura 6. Há vários tipos de combustores, independente do tipo de projeto,
todos eles possuem três características: zona de recirculação –
responsável por atomizar o combustível, zona de queima – finaliza o
processo de combustão e zona de diluição – responsável por misturar os
gases da combustão com o ar utilizado para refrigeração e entregar tal
mistura à turbina.
Fig. 6 – Típica operação de um combustor.
17
O equipamento que recebe os gases da combustão e realizada a
expansão deles, realizando trabalho, é denominado turbina, que pode ser
do tipo radial ou axial. A turbina de fluxo radial (figura 7) tem sido usada
por muitos anos, ela é oriunda das turbinas hidráulicas utilizadas para
geração de energia elétrica. Este tipo de turbina tem a grande vantagem
operacional de em um único estágio produzir o equivalente a dois ou três
estágios de uma axial (BOYCE, 2001). Por isso tem sido utilizada em
turbinas de pequeno porte, como em helicópteros e sistemas de stand-by.
Fig. 7 – Pás de uma turbina radial.
As turbinas de fluxo axial (figura 8) são as turbinas mais amplamente
empregadas com um fluido de trabalho compressível (BOYCE, 2001). Este
tipo de turbina consegue desenvolver maiores potências, exceto para
turbinas de pequeno porte, e também é mais eficiente na maioria das
faixas de operação.
18
Fig. 8 – Esquema de uma turbina axial.
1.3 Considerações Finais
A turbina a gás tornou-se um equipamento de suma importância
para diversas áreas como aeronáutica, naval, geração de energia,
refrigeração dentre diversas áreas, principalmente, por sua boa relação
volume/potência, mesmo possuindo menor rendimento térmico que outros
tipos de planta.
Devido a este destaque, a confiabilidade tornou-se um requisito
fundamental na operação destas máquinas. Manter uma operação segura
tanto para o equipamento, que é de altíssimo custo, quanto para pessoas
e meio-ambiente é mister. Para isso, surge a necessidade de
implementação de malhas de segurança, que irão constituir os Sistemas
Instrumentados de Segurança (SIS), assunto a ser abordado no próximo
capítulo.
19
2. Sistemas Instrumentados de Segurança e Determinação do
Nível de Integridade de Segurança (SIL)
2.1 O que são Sistemas Instrumentados de Segurança?
Sistemas de Intertravamento e Segurança, Sistemas de Parada de
Emergência, Sistemas Instrumentados de Segurança, Sistemas
Instrumentados de Proteção são algumas das denominações para
sistemas desenvolvidos para manter a integridade dos equipamentos, do
pessoal e do meio ambiente quando da ocorrência de uma falha na qual
haja perigo de acidentes para qualquer destas partes citadas.
Segundo a Norma ISA-91 (2001) – Identification of Emergency
Shutdown Systems and Controls That Are Critical to Maintaining Safety in
Process Industries – os Sistemas de Parada de Emergência possuem as
seguintes características:
• Instrumentação e controle, ou equipamento específico, voltados
para levar o processo a uma condição segura;
• Não inclui instrumentação e controle de propósito diferente do
definido;
• Incluem todos os sistemas elétricos, eletrônicos, pneumáticos,
hidráulicos, mecânicos etc. (inclusive os programáveis);
• Eles atuam no impedimento que um evento perigoso ocorra.
Já a segundo a Norma IEC-61508 (2003) – Functional safety of
electrical/ electronic/ programmable electronic safety-related systems – os
20
Sistemas de Instrumentados de Segurança (SIS) são caracterizados da
seguinte forma:
• SIS são sistemas relacionados à segurança, com foco nas
pessoas, realizados por equipamentos elétricos, eletrônicos e
eletrônicos programáveis;
• Ou seja, relês do estado sólido e sistemas baseados em software.
Apesar da ênfase da segurança a pessoas, há hoje uma tendência
com uma preocupação com o maquinário da companhia (a proteção do
ativo desta instituição) e também com o meio ambiente (responsabilidade
ambiental e social).
Portanto, este assunto, não é de interesse apenas dos engenheiros
de automação e controle, mas também de profissionais da área de
processo em indústrias de processamento, operadores de máquinas,
aviação civil e militar, meio naval e todas as áreas onde há vultosos
investimentos na aquisição de equipamentos, bem como, onde há grande
risco para pessoas e meio ambiente no caso de falhas e acidentes.
Para projeto e síntese de tais sistemas, as principais referências são
normas internacionais como, por exemplo, a IEC-61508 (já citada
anteriormente), a IEC-61511 – Functional Safety: Safety Instrumented
Systems for the Process Industry Sector, ISA-84 (IEC-61511 Modificada)
e US MIL 882D – Systems Safety Practice. Para a aplicação de todas elas
é preciso não somente entendê-las, mas também, conhecer aplicação,
visto que estas normas não são “receitas de bolo”, elas apenas
21
estabelecem requisitos a serem atingidos, mas não como chegar ao
objetivo.
2.2 Diferenças entre Controle de Processo e Controle de Segurança
Segundo a ISA-91 (2001), há uma distinção entre três tipos de
controle, sendo de maior interesse para o presente estudo, apenas os dois
primeiros:
• Controle de processo básico: equipamento instalado para
controle regulatório (95% do que existe instalado nas plantas
industriais);
• Sistemas de Parada de Emergência: com o propósito de levar a
planta a um estado seguro (ou na partida ou em regime de
operação);
• Controle Crítico de Segurança: para controlar falhas de operação
que possam levar a catástrofes.
Os sistemas de controle de processos são de natureza dinâmica,
possuem entradas e saídas analógicas, realizam cálculos matemáticos,
geralmente possuem realimentação e na ocorrência de falhas, estas logo
serão visíveis e haverá dúvidas quanto ao funcionamento correto, devem
ser flexíveis o bastante para permitir alterações, os parâmetros são dos
controladores podem ser modificados (ganhos do PID) e podem ser
desviados através dos modos manual e automático.
22
Já os sistemas utilizados para segurança devem possuir
características justamente contrárias às dos sistemas de controle de
processos. Eles são considerados passivos (ou estáticos), pois passam a
maior parte do tempo inoperantes (GRUHN & CHEDDIE, 2006).
Há uma grande controvérsia se o controle pode ficar junto do
intertravamento. Hoje os componentes de hardware são bastante
confiáveis e redundantes, como CLP’s (Controladores Lógicos
Controláveis) e SDCD’s (Sistemas Digitais de Controle Distribuído).
Contudo, todas as normas recomendam que o controle esteja separado do
intertravamento (GRUHN & CHEDDIE, 2006). Segundo a ANSI/ISA84
(2004), por exemplo: sensores dos SIS devem ser separados dos
sensores do controle básico de processo, apenas duas exceções são
permitidas ou se há redundância suficiente ou se a análise de risco
determinar que deva existir outra camada de proteção que forneça
proteção suficiente, a norma ainda afirma que toda a lógica do controle
deve estar separada da lógica do intertravamento.
O funcionamento do sistema de controle e do sistema de segurança
pode ser idealizado pela figura a seguir.
23
Fig. 9 – Idealização da operação dos sistemas de proteção e de controle.
Entretanto, a experiência mostra que nem sempre isso é possível,
seja por inviabilidade definida pela engenharia econômica ou por questões
técnicas da natureza do funcionamento do equipamento, nestes casos o
controle e a segurança estão interligados que não há como haver tal
separação. Segundo GRUHN & CHEDDIE (2006), caso não seja possível
essa separação, o sistema de controle deve ser projetado como um
sistema tolerante a falhas, um exemplo a ser citado é o controle de
turbinas a gás.
2.3 As Camadas de Proteção
Acidentes raramente acontecem devido a uma única falha.
Normalmente, os acidentes são uma combinação de eventos raros que as
pessoas inicialmente atribuíram independência entre eles, os quais não
poderiam acontecer ao mesmo tempo (GRUHN & CHEDDIE, 2006).
24
Acidentes acontecem quando múltiplas camadas falham. A figura a seguir
tenta mostrar a intenção de camadas múltiplas. Se todas elas são efetivas
e robustas a falha nunca irá se propagar, contudo, na realidade as
camadas não são placas sólidas, elas se parecem com um “queijo suíço”.
Os furos são causados por falhas no gerenciamento, manutenção,
operação etc. Esses furos estão se movendo, aparecendo e desaparecendo
o tempo todo. Quando um evento iniciador coincide com vários desses
furos, um evento perigoso acontece.
Fig. 10 – Modelo representando o comportamento das camadas de
proteção.
A próxima figura exibe o “Diagrama da Cebola”, ele mostra como
são e quais são as camadas existentes. A principal informação dado por
tal diagrama é que não se deve colocar toda a proteção em uma única
camada, pois caso ela falhe, todo o sistema irá falhar.
25
Fig. 11 – Diagrama da cebola.
As camadas de proteção são aquelas desenvolvidas para reduzir a
probabilidade de um evento perigoso ocorrer. São elas:
• Planta ou processo – o próprio projeto ou a natureza da planta ou
processo pode levar a uma menor probabilidade de ocorrência de
um evento perigoso, para isso, ainda no projeto básico deve ser
realizado um estudo chamado HAZOP (HAZard and OPerability
studies). Desenvolvimentos deste tipo, normalmente, possuem
custo inicial mais elevado, porém, as plantas tendem a ser mais
simples, o que implicará na redução de riscos;
• Controle – além de otimizar uso de combustíveis, qualidade do
produto etc., também mantêm valores de variáveis, como: pressão,
velocidade, temperatura etc., em níveis seguros. Entretanto, em um
evento perigoso o controle poderá falhar, pois nos sistemas reais
ocorre a saturação, ou seja, o atuador não consegue mais alterar o
26
valor da variável manipulada devido as suas próprias limitações de
operação. Logo, apesar da automação, a interferência humana ainda
é necessária;
• Sistemas de Alarme, Interferência do operador – os alarmes são
gerados quando o controle falha na manutenção dos valores das
variáveis dentro de uma faixa segura e são usados como base para
que o operador possa interferir no processo. Vale lembrar que nem
tudo pode ser automatizado, é praticamente impossível que os
projetistas consigam prever tudo, logo, o operador é importante
para a tomada decisão. Entretanto, a confiabilidade do operador é
questionável e ainda há a necessidade de outras camadas;
• Sistemas Instrumentados de Segurança – ocorrendo falha das
camadas anteriores, sistemas automáticos de parada de emergência
devem entrar em ação. São normalmente separados dos sistemas
das camadas anteriores e devem ser responsáveis por permitir ao
processo caminhar de maneira segura quando as condições
especificadas permitirem, levar o processo automaticamente a um
estado seguro no caso de violação das especificações e tomar
medidas para impedir as conseqüências de um perigo industrial;
• Proteção física – são equipamentos, em geral, de natureza
mecânica, utilizados para impedir vazamentos de materiais
perigosos, os principais exemplos são as válvulas de segurança e
discos de ruptura.
27
As chamadas camadas de mitigação são aquelas implementadas
para amenizar a severidade ou as conseqüências de um evento perigoso
que já ocorreu. Podem conter ou neutralizar ou até mesmo dispersar o
material liberado. São elas os sistemas de detenção (diques e tanques),
neutralizadores e flares, Sistemas de F&G (Fire and gas) de halon ou CO2
e também os planos de evacuação de áreas, tanto do pessoal da planta
quanto da população residente nas redondezas.
O benefício das múltiplas camadas pode ser visto na figura 11, ela é
bastante proveitosa para que se entenda o conceito de Análise de
Camadas de Proteção (LOPA – Layer of Protection Analysis), assunto que
será abordado mais adiante nesta monografia. Imagine a freqüência de
um evento perigoso que pode causar múltiplas fatalidades uma vez a cada
ano. Ninguém considera tolerável um risco de tal magnitude desejável,
tem-se um risco tolerável de 1/100.000 por ano. Com base nestas
informações (risco inerente ao processo e risco tolerável), iremos
identificar a redução de risco desejável e poderemos determinar as
camadas necessárias.
Fig. 12 – Redução de risco com múltiplas camadas de proteção.
28
2.4 Especificações de Segurança
Uma das necessidades para um Sistema Instrumentado de
Segurança é identificar o Nível de Integridade de Segurança (SIL, do
inglês Safety Integrity Level) estabelecido para cada Função
Instrumentada de Segurança, para isso é preciso estabelecer níveis de
segurança (SRS – Safety Requirement Specification). A SRS lista as
especificações para todas as funções realizadas pelo sistema e consiste de
duas partes principais: especificações funcionais e especificações de
integridade, o próprio SIL.
As especificações funcionais descrevem a lógica do sistema, ou seja,
o que cada sistema deve fazer, como, por exemplo: baixa pressão no vaso
A irá causar o fechamento da válvula B.
As especificações de integridade descrevem a performance do
sistema, como, por exemplo: a probabilidade que a válvula B irá fechar
quando ocorrer baixa pressão no vaso B deve ser maior que 99%.
Após projeto conceitual do sistema e da análise de riscos deve-se
gerar documentação das especificações de segurança do SIS, geralmente,
o pessoal da engenharia de automação ou instrumentação, sendo ela
simples o bastante para que qualquer um possa entender o que está
sendo realizado, um resumo de tal resumo pode ser exemplificado na
figura 13.
29
Um fator importante é que as especificações de segurança devem
afirmar o que dever ser realizado e não necessariamente como (GRUHN &
CHEDDIE, 2006). Isso permite maior liberdade ao projetista na escolha da
melhor forma de atingir os objetivos e também permite o uso de novas
técnicas e conhecimentos, um bom exemplo seria uma tabela de causa e
efeito, como pode ser observada na figura 14.
30
Fig. 13 – Resumo de documentação que pode ser incluído nas SRS.
31
Fig. 14 – Diagrama de causa e efeito.
Segundo a ANSI/ISA84 (2004), há vários itens que a documentação das
especificações de segurança deve atender, os quais podem ser observados
no item 12.2. Como exemplo, pode-se citar:
• Descrição de todas as SIF necessárias para atingir determinada
função de segurança;
• A definição do estado seguro para cada SIF;
• Tempos de teste para cada SIF;
• Tempos de resposta requeridos para cada SIF levar o processo a
um estado seguro;
• O SIL e o modo de operação (demanda/contínuo) de cada SIF;
• MTTR de cada SIF.
32
Segundo GRUHN & CHEDDIE (2006), todas as informações devem
estar num único pacote e os quatro itens a seguir descrevem o que a
documentação chave deve possuir:
• Descrição do processo – P&Is; descrição da operação do
processo; descrição do controle (filosofia, tipo, alarmes etc.);
normas reguladoras; confiabilidade, qualidade e dados ambientais;
publicações de manutenção e operação;
• Diagramas de causa e efeito;
• Diagramas lógicos – máquinas de estado, SFCs (IEC-61131) ou
diagramas segundo a ISA-5.2.1976;
• Datasheets do processo – dados de vazão, natureza do fluido,
pressão etc.
2.5 Nível de Integridade de Segurança
Os padrões (ou normas) atuais para sistemas de segurança são
baseados na performance não recomendam qual tecnologia, nível de
redundância, intervalo de teste ou lógica que deve ser utilizada.
Basicamente, eles afirmam que “quanto maior o risco, melhor deverá ser
o sistema para controlá-lo”. Segundo GRUHN & CHEDDIE (2006), há uma
enorme gama de técnicas para avaliação de risco e há também uma
grande quantidade de formas para equacionar o risco para o desempenho
requerido de um sistema de segurança, um dos termos usados para
33
descrever este desempenho é o Nível de Integridade de Segurança,
normalmente chamado SIL.
É importante entender o verdadeiro significado do SIL. O Nível de
Integridade de Segurança, como já dito anteriormente, é uma medida de
desempenho requerida pelo sistema de segurança. O sistema consiste de
um sensor, um executor da lógica (Controlador Lógico Programável, relês
eletromecânicos, relês do estado sólido etc.) e um ou mais elementos
finais (atuadores). Logo, não há sentido em falar que um determinado
dispositivo é de SIL3, por exemplo. O dispositivo pode ser adequado
(certificado) para uso em malhas de até SIL3, contudo, caso ele seja
usado em uma malha com apenas um dispositivo certificado para SIL1,
toda a malha será classificada como SIL1. Também é importante frisar
que o SIL não é uma medida do risco do processo ou planta, seria
incorreto dizer que há um processo SIL2.
Segundo GRUHN & CHEDDIE (2006), há várias técnicas para
determinação do SIL requerido por uma malha e não se pode afirmar que
uma é mais correta que a outra. Acontece que alguns métodos podem ser
mais ou menos conservadores. Pode-se dizer que há dois tipos de
técnicas: as qualitativas e as quantitativas. Infelizmente, o uso de
técnicas diferentes pode levar a resultados diferentes, apesar disso todos
os métodos são válidos e seus respectivos resultados, apesar de
diferentes, estão corretos.
As técnicas qualitativas, em geral, são de aplicação mais simples e
rápida, contudo, a experiência tem mostrado que elas levam a resultados
34
mais conservadores (GRUHN & CHEDDIE, 2006), pois levam a um SIL
mais alto e, conseqüente, a um projeto mais caro, já que diferença entre
os equipamentos certificados para níveis de segurança menores e maiores
é significativa.
Já as técnicas quantitativas requerem uma maior esforço para o
desenvolvimento e uso, entretanto, a experiência tem mostrado que
conduz a níveis de segurança mais baixos, portanto, pelos fatores já
citados anteriormente, estas dificuldades iniciais de aplicação dessas
técnicas pode ser vantajosa em relação ao custo do projeto.
Em geral, se o uso de uma técnica qualitativa indica um SIL
requerido que não seja maior que SIL1, pode-se continuar com esta
especificação. Entretanto, se são encontradas várias malhas com níveis de
segurança SIL2 ou SIL3, o uso de uma técnica quantitativa deve ser
considerado, como por exemplo: LOPA (Layer Of Protection Analysis). A
redução de custos obtida nestes casos irá justificar o uso de tal técnica, de
acordo com GRUHN & CHEDDIE (2006).
2.6 Conceitos Comuns na Análise de Riscos
Não importa qual a técnica é utilizada para análise de riscos, alguns
fatores serão comuns a para todas elas (GRUHN & CHEDDIE, 2006). Por
exemplo, todos os métodos envolvem a avaliação de dois componentes de
risco, probabilidade e severidade, usualmente categorizados em diferentes
níveis.
35
Há diferentes eventos perigosos associados a cada unidade da
planta ou processo e cada evento está associado a um risco. Peguemos
como exemplo um vaso de pressão no qual se mede pressão, temperatura
e vazão. A medição de pressão é provavelmente para detectar e prevenir
uma possível explosão, este evento teria seu correspondente nível de
risco (probabilidade e severidade). Uma vazão baixa resultaria na queima
de uma bomba, que teria uma severidade e probabilidade totalmente
diferente do evento citado anteriormente, logo, exigindo um SIL diferente.
Uma temperatura acima do normal poderia acarretar em um produto fora
de especificação, que poderia ter uma probabilidade e severidade
totalmente diferente, acarretando em outro SIL. Isso quer dizer que não
se pode determinar um SIL para todo um processo ou planta, deve-se
determinar o SIL requerido para cada função de segurança (SIF), ou seja,
para cada malha de segurança.
Os riscos estão presentes em todos os lugares, não importa se
estamos numa área fabril, em casa ou em um avião, sempre haverá
algum tipo de risco. Riscos são inerentes a qualquer atividade. O risco
zero é o objetivo de muitas organizações, entretanto, por ser inatingível,
deve-se estabelecer qual o risco aceitável ou tolerável para cada
atividade. Quanto menor o risco aceitável maior será o custo da planta
(GRUHN & CHEDDIE, 2006).
O AIChE (American Institute of Chemical Engineers) define perigo
como uma característica física ou química com o potencial de causar
danos a pessoas, ativos da companhia ou meio ambiente. A combinação
36
desses perigos com um evento não planejado pode ocasionar um
acidente. O objetivo é minimizar ou eliminar eventos perigosos ou
acidentes.
Risco é normalmente definido como a combinação da severidade
com a probabilidade de um evento perigoso. Em outras palavras, a
freqüência que ele ocorre e quão mal ele é quando ocorre, o que pode ser
observado na figura 15. O risco pode ser avaliado tanto qualitativamente
quanto quantitativamente. Alguns dos fatores de risco de que podem ser
considerados: pessoal, parada de produção ou indisponibilidade, o custo
do equipamento ou material, meio ambiente, a imagem da corporação e
perda de capital devido a ações judiciais.
A determinação do risco tolerável não é somente uma questão
técnica, pois envolve fatores filosóficos, morais e legais (GRUHN &
CHEDDIE, 2006). Logo, pode ser bastante complicado de se determiná-lo.
Normalmente não há uma base de dados para que se possa fazer uma
analise estatística do problema. Entretanto, não se pode construir dez
plantas químicas e verificar quando elas explodem, por exemplo. A técnica
mais usual para se determinar o risco tolerável é a da ALARP (“As Low As
Reasonably Practicable”) também há proveitosos guias como o publicado
por Edward Marzal, disponível em www.exatida.com.
37
Fig. 15 – Determinação do risco existente.
2.7 Técnicas de Determinação do SIL
O SIL, como já dito anteriormente, é a medida de desempenho do
sistema de segurança, não é uma medida direta do risco do processo.
Os padrões internacionais e guias tem utilizado quatro níveis de
segurança para classificar o desempenho requerido pelas malhas de
segurança. Entretanto, nos padrões americanos a classificação só vai até
o SIL3, segundo GRUHN & CHEDDIE (2006). Isso também está
relacionado com a dificuldade de se encontrar produtos que a atendam a
este grau de desempenho, o SIL até 2006 só possui dois fornecedores de
executor de lógica na Europa e só utilizado em aplicações aeroespaciais e
em alguns sistemas militares. A tabela 1 exibe os valores correspondentes
ao SIL de probabilidade de falha na demanda, redução de risco e
segurança disponível, para sistemas que trabalham em modo de
38
demanda. Já a tabela 2, exibe os valores de SIL com os respectivos
valores de taxas de falhas para sistemas que trabalham em modo
contínuo.
Tabela 1: SIL e desempenho requerido para sistemas de modo de demanda.
Fonte: (GRUHN & CHEDDIE, 2006). Tabela 2: SIL e taxas de falhas de sistemas de modo contínuo.
Fonte: (GRUHN & CHEDDIE, 2006).
A técnica da matriz de riscos é encontrada em muitos padrões.
Muitas corporações possuem um método baseado nesta técnica para
determinação do SIL requerido, sendo grande parte deles similares ao
encontrado na norma militar americana MIL STD 882 (GRUHN & CHEDDIE,
2006).
Já a técnica LOPA (Layer of Protection Analysis) foi desenvolvida
para suprir a necessidade por métodos quantitativos ou tentar evitar
questionamentos da repetibilidade dos resultados de métodos qualitativos.
Por exemplo, para um mesmo problema, grupos de análise diferentes
39
poderiam levar a resultados diferentes, então, surge o questionamento
sobre qual dos resultados é o correto e também sobre a qualidade destes
resultados. O primeiro passo neste método é estabelecer o risco tolerável,
tarefa já comentada anteriormente. A tabela a seguir mostra alguns
valores para risco tolerável por ano que são utilizados por algumas
indústrias de classe mundial, os nomes, porém, foram trocados por nomes
fictícios.
Tabela 3 – Exemplo de riscos toleráveis praticados por empresas de classe mundial
Fonte: (GRUHN & CHEDDIE, 2006).
O passo seguinte envolve determinar a frequência ou probabilidade
do evento iniciador ocorrer, o qual pode ser um evento externo (por
exemplo, uma sobretemperatura) ou a falha de uma camada predecessora
(por exemplo, a falha do sistema de controle por saturação). É preciso
determinar cada valor para todos os eventos em análise. A tabela 4 exibe
valores como um exemplo.
40
Tabela 4 – Exemplo de frequência de eventos iniciadores.
Fonte: (GRUHN & CHEDDIE, 2006).
O passo seguinte, ainda da técnica LOPA, é determinar o nível de
performance de cada camada. Há algumas regras que podem ser
consideradas uma camda independente de proteção (IPL, do inglês
Independent Protection Layer), como por exemplo:
• Especificidade – uma IPL é projetada para impedir ou mitigar as
consequências de um único evento perigoso. Causas diveras podem
levar a um mesmo evento perigoso, portanto, cenários de múltiplos
eventos podem iniciar a ação de uma IPL;
• Independência – uma IPL é independente de uma outra camada
associada com o perigo identificado. A falha de uma não pode
impedir a outra de executar a função para a qual foi projetada;
• Dependabilidade – os modos de falha sistemáticos e aleatórios
devem ser levados em conta no desenvolvimento de uma IPL;
• Auditabilidade – é necessária para facilitar a comprovação da
eficácia e validação da permanente funcionabilidade da proteção.
Testes e manutenção devem ser obrigatórios, bem como, a
documentação destas atividades.
41
2.8 Considerações Finais
Neste capítulo alguns conceitos relacionados aos Sistemas
Instrumentados de Segurança foram apresentados e duas técnicas para
determinação do Nível de Integridade de Segurança foram discutidas,
sendo uma qualitativa e outra quantitativa. Esses conceitos mostram-se
importantes para aplicação de SIS a equipamentos de alto custo (como é
o caso de uma turbina a gás) e equipamentos que possuem certo risco às
pessoas ao redor como ao meio ambiente.
A turbina a gás LM2500 da General Electric é uma destas máquinas
citadas, equipamento responsável pela propulsão de navios,
principalmente, de embarcações de aplicação militar em regime de fuga.
Portanto, o projeto de sistemas que a protejam é de suma importância.
No capítulo a seguir conhecer-se-á um pouco mais sobre estas turbinas e
suas proteções.
42
3. Determinação do SIL para turbina GE LM2500
A General Electric (GE) produziu sua primeira turbina a gás
aeroderivada, a LM100, em 1959 e no mesmo ano a LM1500, derivadas
da bem sucedida turbina para aviação J79. As primeiras aplicações foram
principalmente em propulsão de embarcações, acionamento de bombas e
compressores em plantas off-shore e geração de energia. Com o sucesso
de tais aplicações, chega em 1969 ao mercado a primeira versão da
LM2500 que poderia gerar uma potência em torno de 15 MW. Segundo
WOODYARD (2009), a Valiosa experiência de turbinas a gás da série LM
em aplicações de propulsão naval variando de embarcações de patrulha a
porta-aviões foi aproveitado pela GE Marine, tornado-a uma das líderes de
mercado. Atualmente a turbina LM2500 possui potência instalada em
torno de 25MW e com rendimento térmico de 37,1%, de acordo com
WOODYARD (2009).
Derivada da turbina turbofan GE TF39 para propulsão de aviões
militares e comerciais, a LM2500 marine é uma turbina a gás que opera
segundo o ciclo convencional (Ciclo Brayton aberto), possui dois eixos,
sendo um para o conjunto gerador de gás e compressor e outro para a
turbina de potência livre e a respectiva carga. Possui também, anexada a
ela, o sistema de bombas de óleo lubrificante e combustível e um sistema
de controle e governador de velocidade. Os seus quatro principais
elementos pode ser visto na figura 16, sendo eles:
43
• Um compressor de 16 estágios, com uma relação de compressão
de 18:1;
• Câmara de combustão anular;
• Dois estágios na turbina de alta pressão, é o que aciona no
compressor;
• Seis estágios na turbina de baixa pressão, acoplados
aerodinamicamente ao gerador de gás.
Fig. 16 – Corte da turbina GE LM2500.
Como citado anteriormente, as turbinas a gás constituem uma das
poucas exceções, pois o controle não está implementado separadamente
do intertravamento de segurança do equipamento. No caso da turbina a
gás instalada na Corveta Barroso da Marinha do Brasil, o controlador, ver
figura 17, utilizado é o Woodward Atlas PC, que incorpora o poder da
tecnologia PC em um sistema de controle robusto e determinístico,
totalmente programável para as mais diversas aplicações de controle e
intertravamento da turbina. O sistema inclui um processador pentium e
uma estrutura de barramentos PC/104+, como base para os requisitos de
44
I/O. Além disso, pode-se fazer uso de I/O distribuídos que podem ser
integrados a partir de comunicação serial ou de uma rede Ethernet.
Fig. 17 – Exemplo de controlador da turbina a gás LM2500.
Como já se sabe, quando excedidos os limites de operação, o
controlador poderá comandar o desligamento da turbina e impedindo que
as válvulas de combustível sejam abertas até a parada total do gerador de
gás e posterior rearme do sistema. O controle também prevê alarmes
anteriores aos limites de operação para que a turbina seja desacelerada
automaticamente ou para que seja tomada uma ação pelo operador. No
tópico seguinte, serão descritos algumas das malhas de segurança da
turbina a gás GE LM2500, que serão alvo do presente estudo.
45
3.1 Funções de Segurança e Proteção da Turbina GE LM2500
3.1.1 Pressão do Óleo Lubrificante
A pressão do óleo lubrificante opera normalmente entre 25 e 60 psi
para velocidades do gerador de gás (NGG) maiores que 8000 rpm. Caso, a
esta velocidade, a pressão caia abaixo de 25 psi, um alarme é gerado, o
que requer a ação imediata do operador. Caso a pressão continue caindo
e atinja níveis menores que 15 psi, a máquina será desligada em
emergência (trip). Para velocidades entre, 4500 e 8000 rpm, pressões
abaixo de 8 psi resultarão em alarme e quedas abaixo de 6 psi
acarretarão em desligamento imediato do equipamento, ou seja,
fechamento das válvulas de combustível, sendo esta condição ignorada na
partida da turbina até que a rotação de 4500 rpm seja atingida, condição
suficiente para que a bomba desenvolva a pressão adequada ao
fornecimento de óleo lubrificante. Esta lógica pode ser resumida através
da tabela 5.
Tabela 5 – Lógica de proteção do fornecimento de óleo lubrificante.
Fonte: (GENERAL ELECTRIC, 2004).
46
A figura a seguir mostra um esquema simplificado do sistema de
combustível da turbina LM2500. Um transmissor de pressão antes da
válvula externa (que se encontra fora do invólucro da turbina) indica a
pressão de fornecimento de combustível, variável a qual é utilizada pela
lógica de intertravamento de partida, já as válvulas FSOV1 e FSOV2 são
utilizadas para corte de combustível no caso de algumas das condições
descritas quando ocorre um trip. Sendo este sistema responsável pelas
paradas de emergência desta máquina.
Fig. 18 – Esquema simplificado do sistema de combustível.
47
3.1.2 Temperatura do Gás de Entrada na Turbina de Potência
Temperaturas do gás de entrada na turbina de potência livre
maiores que 1643ºF (equivalente a 895ºC) acionam um alarme que
requer ação imediata do operador. Temperaturas maiores que 1668ºF
(equivalente a 909ºC) provocam o desligamento imediato do
equipamento.
No momento de partida da máquina, também há um limitador PID,
durante os primeiros 80 s que seguem a ignição, caso a temperatura
exceda os limites descritos pela curva exibida, figura 19, a partida é
abortada.
Fig. 19 – Limite de temperatura durante a partida.
48
3.1.3 Velocidade do Gerador de Gás
Caso a velocidade do gerador de gás exceda 9850 rpm, é acionado
um para ação imediata do operador. Se a velocidade atingir a 9950 rpm, a
máquina é desligada imediatamente. Isto também ocorre caso ocorra a
perda do sinal do sensor de velocidade, deve-se lembrar que a turbina é
equipada com apenas um pick-up magnético no gerador de gás, a falha é
considerada caso haja alguma leitura fora da faixa de 250 a 12000 rpm,
sendo esta proteção ignorada na partida.
3.1.4 Proteção Contra Stall do Gerador de Gás
É considerada condição de stall da turbina quando são excedidas
simultaneamente a taxa de variação da pressão de descarga e a
quantidade dessa variação de acordo com a curva exibida na figura 20.
49
Fig. 20 – Curva utilizada na detecção de stall.
50
O stall é detectado quando a taxa de variação de pressão (dPS3/dt)
excede os limites definidos por “A” e a pressão instantânea PS3 excede os
limites definidos por “B”, tendo como base a pressão inicial PS3.
Caso a um stall seja detectado com velocidade menor que 7500
rpm, a turbina é desacelerada para ralanti (modo de operação com
velocidade mínima e sem carga) e é mantida esta velocidade até que o
operador o rearme e aumente a velocidade da turbina novamente. Caso
tal fenômeno ocorra a velocidade maiores que 7500 rpm, é comandada a
parada normal da turbina. Esta é a única parada da que não realiza o
corte repentino de combustível, ou seja, é a única parada automática que
realiza os passos de uma parada normal, como o resfriamento em ralanti.
Caso o stall ocorra quando a turbina estiver em ralanti, é provocada a
parada automática da turbina.
3.1.5 Controle de Vibração
O controle da vibração é de suma importância para manutenção da
integridade física da turbina a gás, não apenas para se evitar que suas
freqüências de ressonância sejam atingidas, mas também, para que sejam
detectadas anomalias em seus conjuntos mecânicos.
Na turbina LM2500 está instalado o sistema de monitoramento de
vibrações Bently 3500, ele é responsável pelo monitoramento nos eixos x
e y, pela vibração gerada pela turbina de potência no gerador de gás e
pela vibração gerada pelo gerador de gás gerado na turbina de potência.
51
Tal sistema recebe sinais de quatro transdutores de vibração e repassa ao
controlador as informações, podendo ser gerados alarmes ou o
desligamento da máquina.
Níveis de vibração da turbina de potência e do gerador de gás acima
de 7mil (sabe-se que 1mil equivale a 25,4 micrometros) são considerados
altos e acima de 10mil são considerados perigosos, filtrados na faixa de 3
a 5 Hz . Para os movimentos nas direções “x” e “y”, os valores
considerados são como limiar para alarme e trip são, respectivamente,
4mil e 7mil, filtrados na faixa de freqüência de 75 a 200 Hz. Estes valores
são enviados ao controlador da turbina que efetua a parada de
emergência.
3.2 Determinação do SIL para as Funções de Segurança
Comentadas
Uma vez que algumas malhas de segurança que normalmente são
utilizadas pelas turbinas a gás já são conhecidas, pode-se realizar a
especificação do Nível de Integridade de Segurança (SIL) para elas. O
objetivo é que o SIL seja determinar por uma técnica qualitativa, Gráfico
de Riscos, e uma quantitativa, LOPA.
52
3.2.1 Determinação pelo Método do Gráfico de Risco, segundo N-2595
O método do Gráfico de Risco foi desenvolvido por alemães e
suecos, de forma diferente, porém similarmente, para a determinação do
SIL. Segundo GRUHN & CHEDDIE (2006), é um método figurativo e
propositalmente vago e aberto a interpretações, devendo, portanto, ser
mais bem explicitado e adaptado por cada companhia a sua realidade.
Logo, os padrões apenas mostram a metodologia, porém, para que esta
técnica possa ser empregada a própria empresa deve desenvolver a sua
metodologia própria. A figura a seguir mostra um exemplo de gráfico de
riscos. Neste exemplo, para cada conseqüência de um evento perigoso e
com base na freqüência, possibilidade de impedimento e probabilidade de
ocorrência determina-se o SIL, seguindo-se a letra escolhida (a
classificação realizada) e as setas, aliando-se ao cruzamento com coluna
da freqüência de ocorrência.
Fig. 21 – Exemplo de um gráfico de risco.
53
A norma N-2595 (Petrobras), revisão B, de 2008, estabelece os
procedimentos para determinação do SIL requerido para cada malha de
segurança, utilizando a técnica do Gráfico de Risco. Para determinação do
SIL para a possibilidade de falha na demanda, Inicialmente, é estabelecida
a freqüência de ocorrência do evento perigoso, através da tabela a seguir
e com base nas seguintes recomendações:
• Selecionar W2 quando a dinâmica do processo é conhecida e os
sistemas de controle estão em condição normal de funcionamento;
• Selecionar W1 quando durante a vida útil da planta for provável o
surgimento de somente uma demanda na malha de segurança; esta
classificação requer justificativa;
• Em sistemas de proteção contra fluxo reverso em fluidos limpos e
não corrosivos, considerar que a utilização de válvula de retenção
reduz a freqüência de demanda em um dígito;
• Se para cada 10 demandas existe somente uma possibilidade de
ocorrer a conseqüência dita potencial, a freqüência de demanda
deve ser reduzida e um dígito, exemplo: para cada 10 ocorrências
de queima subestequiométrica existe a possibilidade de ocorrer
apenas 1 explosão do forno; nesse caso se a freqüência de demanda
considerada inicialmente for W2, deve ser revisada para W1.
54
Tabela 6 – Freqüência de Demanda.
Fonte: N-2595 (2008), PETROBRAS.
Segue-se para o questionário sobre a segurança pessoal, ver figura
22, sendo as escolhas baseadas no questionamento das três perguntas:
• “Qual é o potencial de risco para o ser humano se a malha de
segurança falhar na demanda?” caso não haja risco algum (S0),
nenhuma classificação relativa à segurança pessoal deve ser
requerida, caso contrário, deve se dar prosseguimento as avaliações
(ver figura 22);
• “Qual o período de exposição humana na área em que o evento
de risco poderia ocorrer”? Este questionamento deve ser feito
somente para os casos enquadrados em níveis S2 e S3 (ver figura
22);
• “É possível que a(s) pessoa(s) presente(s) na área evite(m) se
expor ao evento de risco”? Este questionamento deve ser feito
somente para os casos enquadrados em nível S2, o uso de
equipamentos de proteção individual não são considerados como
redutores do grau G2 para G1, mesmo sendo de conhecimento geral
que tais equipamentos contribuem significativamente para
segurança pessoal (ver figura 22).
55
Fig. 22 – Questionário para “segurança pessoal”.
Através do “caminho” realizado pelas respostas, ver figura 23, e com o
cruzamento da informação da freqüência a classe é determinada, o SIL só
terminado através de outra tabela, que será mostrada mais adiante, que
faz a correlação entre a classe o SIL especificado. O resultado obtido no
gráfico de risco é a “classe” da malha e é baseada na norma alemã que
estabelece os requisitos para SIS, DIN V19250.
56
Fig. 23 – Gráfico de Risco para “segurança pessoal”.
Para a classificação quanto a “Perda de Produção e Danos ao
Equipamento” é realizada através do questionário exibido na figura 24. A
norma ainda uma oferece uma elucidação através de exemplos para a
classificação em questão, transcritos a seguir:
• L0: Sem perturbações operacionais ou danos a equipamentos:
perturbação ou dano insuficiente para justificar um procedimento de
emergência. Exemplos: falha em controlador resultando em alarme
operacional.
• L1: Pequenas perturbações operacionais ou danos reduzidos ao
equipamento. Exemplos de Pequenas Perturbações Operacionais:
produção fora de especificação; pequenas quantidades de alívio de
57
fluidos. Exemplos de danos reduzidos ao equipamento: cavitação de
bombas convencionais por baixa pressão na sucção; possibilidade de
danos moderados ou graves em equipamentos essenciais, ou não
essenciais, que são causados por eventos de ação prolongada, mas
que não requeiram rápida intervenção do operador (mínimo de um
dia).
• L2: Moderadas perturbações operacionais ou danos moderados
ao equipamento. Exemplos de moderadas perturbações
operacionais: perturbação na área de utilidades afetando outras
áreas, como a injeção de líquido em correntes de gás para o sistema
de gás combustível; grandes quantidades de alívio de fluidos.
Exemplos de danos moderados ao equipamento: cavitação em
bombas de alta rotação ou em bombas de múltiplos estágios que
disponham de reserva.
• L3: Grande perturbação operacional ou dano grave ao
equipamento. Exemplos de grande perturbação operacional: alívio
abrupto de grandes quantidades de massa causando violenta
liberação de energia, como é o caso de brusca despressurização em
sistemas de alta pressão; transbordamento de fluidos de processo;
solidificação de produtos em linhas não aquecidas, de grandes
dimensões, requerendo custosas ações de correção; necessidade de
reparos de baixo custo em equipamentos essenciais que trabalhem
sem reserva. Exemplos de dano grave ao equipamento: necessidade
58
de reparos custosos em equipamentos que disponham de reserva ou
equipamentos não essenciais.
• L4: Perda de produção associada a dano em equipamento
essencial. Exemplos de perda de produção: sobretemperatura em
reações exotérmicas fora de controle; sobrepressão em sistemas
onde a malha de segurança é o dispositivo de proteção final, devido
à impossibilidade de instalação de válvulas de segurança. Exemplos
de dano em equipamento essencial: explosão de fornos e caldeiras;
nível alto em vaso de sucção de compressor; baixa pressão na
sucção de bombas de múltiplos estágios.
• Nota: danos em equipamentos essenciais podem ser
considerados similares aos apontados em L2 e L3, com a
particularidade de que, nesta caracterização, trazerem maiores
perdas econômicas (cifras de milhões de US$) por ocasião da
indisponibilidade do equipamento essencial, que não disponha de
reserva, devido à extensão do período de reparos ou de
substituição.
Fig. 24 – Questionário de “Perda de Produção e Danos ao Equipamento”.
59
Mais uma vez, primeiramente se determina a classe com o gráfico de
risco, conforme figura 25, para em seguida se estabelecer o SIL.
Fig. 25 – Gráfico de risco para “Perda de Produção e Danos ao
Equipamento”.
A norma N-2565 também estabelece para a determinação do SIL
um requisito de segurança relacionado ao meio ambiente. Este item da
norma, inclusive, supera a preocupação de normas internacionais como a
IEC-61511, que visam somente à segurança em relação aos equipamentos
e pessoas. Isto é conseqüência da preocupação da companhia em relação
das multas que pode ser impostas pelas autoridades ambientais, bem
como, da preocupação com a própria imagem da companhia que um de
seus importas ativos. Para tanto, faz-se do questionário exibido na figura
26 associado a recomendações da que retratam a grande preocupação
com a imagem, tanto que nível “E” pode até ser elevado em um nível se a
imagem da companhia estiver em jogo.
60
Fig. 26 – Questionário relacionado à segurança do meio ambiente.
A informação da classificação “E” é cruzada com a freqüência de demanda
para se obter a classe da malha, conforme a figura 27.
Fig. 27 – Gráfico de risco para o meio-ambiente.
Uma vez obtidos os resultados para os três gráficos de risco, deve-
se cruzar as classes obtidas com a tabela a seguir, dessa forma, obtendo-
se o SIL requerido pela malha avaliada.
61
Tabela 7 – Equivalência entre classe e SIL.
Fonte: N-2595 (2008), PETROBRAS.
Com posse destes resultados, deve-se definir como o SIL definitivo da
malha o maior valor encontrado entre os três avaliados.
A norma faz uma ressalva quando o SIL encontrado for o SIL4,
deve-se refazer o projeto conceitual ou se utilizar outras camadas para a
redução do risco. Isto está coerente com o afirmado pela literatura do
tema, pois segundo GRUHN & CHEDDIE (2006), o SIL4 é praticamente
restrito a aplicações aeroespaciais e nucleares.
Os resultados obtidos após a aplicação da técnica do gráfico de
risco, segundo a N-2595, para as malhas de segurança de uma turbina a
gás podem ser resumidos na tabela 8.
Para a definição das demandas de ocorrência dos eventos perigosos
relacionados a cada respectiva SIF, foi utilizada a figura 28, que segundo
(BOYCE, 2001) mostra o percentual das principais causas de falhas em
turbinas a gás utilizadas para geração de energia, associada à informação
de taxa de falhas. De acordo com US ARMY, CORPS OF ENGINEERS
(2006), a taxa de falhas para turbinas a gás utilizadas em unidades de
geração de energia é de 0,43410 falhas/ano. Também foi considerada
62
para o sistema de lubrificação a ocorrência de um evento perigoso mais
de uma vez por ano. Além disso, para as respostas para dos questionários
da norma, levou-se em consideração as informações contidas na Tabela 5
de HSE (2006), em anexo, a qual exibe os modos de falha e perigos
correlatos aos principais componentes das turbinas a gás.
Fig. 28 – Contribuição nas falhas dos principais componentes de uma
turbina gás.
63
Tabela 8 – Resultados obtidos para malhas de uma turbina a gás. Malhas de Segurança
1 2 3 4 5
Demanda = W3 W2 W2 W3 W2 Segurança Pessoal
S = S3 S1 S0 S1 S1
A = A1 X X X X
G = X X X X X
SIL = 3 0 X 0 0 Perda de Produção e Danos ao Equipamento
L = L4 L4 L3 L3 L4
SIL = 2 1 1 1 1
Meio Ambiente
E = E0 E0 E0 E0 E0
SIL = 0 0 0 0 0
Resultado Final
SIL = 3 1 1 1 1
Legenda: 1. Pressão do Óleo Lubrificante
2. Temperatura do Gás de Entrada na Turbina de Potência
3. Velocidade do Gerador de Gás
4. Proteção Contra Stall do Gerador de Gás
5. Controle de Vibração
3.2.2 Determinação pelo método LOPA
As freqüências dos eventos perigosos relacionados a cada SIF
específica foi estimada com base nos dados fornecidos por US ARMY,
CORPS OF ENGINEERS (2006). Para a estimativa de eventos relacionados
ao sistema de lubrificação, foi considerado o percentual de falhas
ocorridas proporcionalmente às falhas em rolamentos, de acordo com a
figura 28, ou seja, 27% do total de falhas por ano. De maneira similar foi
64
realizada a estimativa de freqüência de eventos perigosos para as demais
zonas de avaliação, sendo a temperatura de entrada da turbina de
potência, a rotação do gerador de gás, stall do gerador de gás e vibração
na turbina relacionada, respectivamente, às falhas na turbina de potência,
gerador de gás e a combinação de rolamentos, selos e acoplamentos,
tanto para o stall quanto para a vibração. Essa abordagem mostra-se
bastante conservadora, pois a uma superposição da freqüência de eventos
perigosos que são contabilizados para mais de uma vez, superestimando a
ocorrência das situações de perigo, como exemplifica o uso do mesmo
índice para duas SIFs diferentes.
As PFDs de cada IPL foram determinadas de acordo com
VASCONCELOS (2008) e OLF (2004). As tabelas a seguir resumem a
análise quantitativa e especificam o SIL para cada SIF, se aplicável. Como
o risco tolerável, adotou-se o a valor de 10-4, uma escolha dentro da faixa
mais utilizada, de acordo com MARZAL (2001).
O cenário resumido na Tabela 9 aborda o nível de integridade de
segurança para uma malha responsável pela segurança do sistema de
lubrificação da turbina. Falhas detectadas por este sistema podem evitar
desde problemas mecânicos no equipamento a indicar o tempo certo de
uma troca de filtro ou limpeza, podendo-se utilizar esta monitoração para
fins de manutenção preditiva. E ainda, segundo HSE (2006), falhas neste
sistema podem acarretar não somente danos moderados ao equipamento
e risco ao pessoal quanto risco de incêndio ou explosão na instalação.
65
Tabela 9 – Resumo da análise para Sistema de Lubrificação. Zona de avaliação: Sistema de lubrificação
Freqüência IPLs PFD 3,04E-02
Transmissor de pressão 1,30E-03 Operador 1,00E-01
Risco 3,95E-06 Sim Não
Aceitou a condição de risco?
X
Redução de Risco Necessária
X
SIL Requerido 0
A Tabela 10 resume o cenário para a temperatura de entrada na
turbina de potência, problemas não impedidos por esta malha podem
danificar severamente o material empregado na construção das paredes,
pás e demais partes de uma turbina, segundo HSE (2006), ocorre a
degradação térmica do material, comprometendo a vida útil do
equipamento o mesmo inutilizando-o.
Tabela 10 – Resumo da análise para Temperatura de entrada na TP.
Zona de avaliação: Temperatura do gás na entrada da turbina de potência
Freqüência IPLs PFD 8,68E-03
Controle Automático (BPCS)
1,00E-01
Operador 1,00E-01 Risco 8,68E-05
Sim Não Aceitou a condição de
risco? X
Redução de Risco Necessária
X
SIL Requerido 0
66
O cenário resumido na Tabela 11 aborda a segurança para
sobrevelocidade do gerador de gás. Falhas neste contexto podem levar ao
comprometimento mecânico do equipamento, além de instabilidade no
sistema acionado pela turbina, seja ele um gerador elétrico ou um sistema
de propulsão de uma embarcação.
Tabela 11 – Resumo da análise para Rotação do Gerador de Gás. Zona de avaliação: Rotação Gerador de Gás
Freqüência IPLs PFD 7,38E-02
Controle Automático (BPCS)
1,00E-01
Operador 1,00E-01 Risco 7,38E-04
Sim Não Aceitou a condição de
risco? X
Redução de Risco Necessária
X
SIL Requerido 1
O cenário descrito pela tabela 12 aborda o impedimento do
problema que ocorre em turbomáquinas, chamado stall, que poderá levar
ao surto (do termo em inglês surge) do compressor do gerador de gás.
Falhas devidas a este problema levar a turbina a operar numa faixa de
instabilidade, que acarretará em alta vibração e parada da turbina (algo
inaceitável em turbinas utilizadas para propulsão de aeronaves),
comprometendo severamente partes mecânicas como rolamentos e
acoplamentos.
67
Tabela 12 – Resumo da análise para Rotação do Gerador de Gás. Zona de avaliação: Stall do Gerador de Gás
Freqüência IPLs PFD 5,64E-02
Transmissor de pressão 1,30E-03 Operador 1,00E-01
Risco 7,34E-06 Sim Não
Aceitou a condição de risco? X
Redução de Risco Necessária
X
SIL Requerido 0
O cenário em resumido na Tabela 13 é relativo à vibração na
turbinas. Vibração excessiva em equipamentos mecânicos pode levar a
danos severos a qualquer máquina, principalmente, se a operação for
próxima de alguma velocidade crítica do equipamento e com um baixo
amortecimento, caracterizando o fenômeno da ressonância. Segundo HSE
(2206), vibração excessiva pode acarretar em baixa performance da
turbina, bem como, em danos graves a dispositivos como selos, que,
inclusive, podem levar a incêndios ou risco de explosão.
68
Tabela 13 – Resumo da análise para a Vibração da Turbina. Zona de avaliação: Vibração da Turbina
Freqüência
IPLs PFD 5,64E-02
Sistema de Monitoramento de
Vibração 1,00E-01
Operador 1,00E-01 Risco 5,64E-04
Sim Não Aceitou a condição de
risco? X
Redução de Risco Necessária
X
SIL Requerido 1
69
4. Análise dos resultados e conclusões sobre a técnica qualitativa
e quantitativa.
Resultados foram obtidos pelas duas tanto para a qualitativa quanto
para a quantitativa. Após isso é preciso interpretá-los e, posteriormente,
tirar conclusões sobre eles.
4.1 Análise Qualitativa
Pode-se perceber que a técnica para determinação do SIL requerido
pelas malhas de segurança é de certa forma rápida e de fácil
compreensão a todos os profissionais envolvidos da especificação de
requerimentos de segurança para equipamentos e/ou processos, sendo
eles das áreas de operação, manutenção, segurança do trabalho e
instrumentação e automação e controle, técnicos ou engenheiros.
Entretanto, requer certa expertise para estes profissionais envolvidos.
Portanto, é necessário que haja na equipe pessoas com vasta experiência
de campo e no ramo da aplicação da máquina ou processo, algo que nem
sempre é possível ou tão barato.
A norma N-2595 da Petrobras mostrou de fácil aplicabilidade e
apesar de ser uma norma de uma companhia, devido ao seu pioneirismo
no país, pode ser utilizada por outras instituições brasileiras, em particular
as do ramo offshore, e servir como base para uma futura norma nacional
elaborada pela Associação Brasileira de Normas Técnicas.
70
4.2 Análise Quantitativa
A técnica LOPA mostrou-se, apesar de simples, onerosa para a
equipe responsável pelas especificações de segurança. O principal
obstáculo é encontrar uma base dados confiável, com dados de taxas de
falhas para as partes do equipamento e não somente para o total de
falhas dele. A base de dados utilizada para a estimativa de freqüência de
ocorrência dos eventos perigosos foi elaborada por uma iniciativa do
Corpo de Engenheiros do Exército Americano, que atenta para
equipamentos utilizados em unidades de geração de energia.
Há outras iniciativas como o OREDA (Offshore REliability Data),
elaborado há algumas décadas pelo órgão norueguês DNV (Norwegian
Petroleum Directore, em inglês). O OREDA tem se mostrado a principal
ferramenta para atribuição de risco atualmente e até mesmo extrapolando
o setor do petróleo, principalmente, por apresentar dados detalhados
como: população avaliada, taxas de falhas críticas e espúrias, taxas de
falhas por subcomponente ou subsistemas etc. Contudo, para a
elaboração deste trabalho, tal publicação se mostrou inviável, devido ao
alto custo de aquisição e dificuldade para encontrá-la em bibliotecas
nacionais. Entretanto, a não utilização desta fonte de informação, não
invalida o trabalho, pois, com pequenas alterações, pode-se efetuar uma
nova análise para esta base de dados. Vale salientar que a fonte de dados
utilizada, apesar de não difundida, é similarmente confiável.
71
Para a determinação da probabilidade de falha na demanda, foram
utilizados os dados já calculados previamente, baseado nas normas IEC
61508 e 61511, o que não constituiu tanta dificuldade, visto que já
haviam sido utilizados por trabalhos acadêmicos anteriores.
Apesar da dificuldade já comentada para obtenção de uma base de
dados do equipamento, a aplicação da técnica LOPA mostrou-se rápida e
fácil. Com auxílio de um programa elaborado em qualquer linguagem ou
até mesmo com o uso de uma planilha eletrônica, podem-se efetuar
rapidamente os cálculos necessários. E com base no risco tolerável por
cada companhia, pode-se determinar a necessidade ou não de um
Sistema Instrumentado de Segurança.
4.3 Resultados Qualitativos x Quantitativos
De acordo com GRUHN & CHEDDIE (2006), é esperado que técnicas
quantitativas levem a resultados com menor desempenho requerido pelas
malhas de segurança. Algo que se refletiu no presente trabalho.
Mostrando a não necessidade de utilização de instrumentos e atuadores
certificados, portanto, menos onerosos, acarretando em um projeto mais
enxuto do ponto de vista da engenharia econômica. Este a fato mostra o
perfil mais conservador das técnicas qualitativas e reafirma, ainda mais, a
necessidade de utilização de uma técnica quantitativa quanto maior for o
projeto, máquina ou processo. A Tabela 14 exibe uma comparação entre o
SIL especificado por cada técnica.
72
Tabela 14 – Comparação dos resultados N-2595 x LOPA. Malha: 1 2 3 4 5 N-2595 3 1 1 1 1 LOPA 0 0 1 0 1
Legenda: 1. Pressão do Óleo Lubrificante
2. Temperatura do Gás de Entrada na Turbina de Potência
3. Velocidade do Gerador de Gás 4. Proteção Contra Stall do Gerador de Gás
5. Controle de Vibração
Como se pode observar, na maioria das malhas o SIL especificado
pela técnica LOPA foi inferior ao determinado pela N-2595, inclusive não
determinando a necessidade de um Sistema Instrumentado de Segurança.
Nas demais malhas, o SIL especificado pelas duas técnicas foi equivalente.
Contudo, não houve um SIL especificado pela LOPA que fosse maior que o
determinado pela técnica qualitativa.
4.4 Considerações Finais
Apesar de os resultados encontrados serem diferentes, que está de
acordo com GRUHN & CHEDDIE (2006), não se pode concluir que um
deles está errado e o outro correto. Esta diferença entre técnicas apenas
reflete a diferença entre grau de conservadorismo alcançado por cada
uma delas.
As duas técnicas, como já dito anteriormente, se mostraram práticas
e simples. Algo importante, pois técnicas muito complexas inviabilizam
73
sua aplicabilidade na indústria em geral, a pressão por resultados rápidos
e eficazes inibe a maior dedicação à pesquisa detalhado de certos
assuntos na grande maioria das corporações, até mesmo nas de classe
mundial. Essa simplicidade as valoriza e as torna uma boa ferramenta
para o mundo real.
Para trabalhos futuros fica a proposta da utilização de outras bases
de dados para confronto entre técnicas qualitativas e quantitativas.
74
Referências Bibliográficas ANSI/ISA-84.00.01. Functional Safety: Safety Instrumented Systems for the Process Industry Sector. 2004. ANSI/ISA-91.00.01. Identification of Emergency Shutdown Systems and Controls That Are Critical to Maintaining Safety in Process Industries. 2001. BOYCE, M.P. Gas Turbine Engineering Handbook. Oxford, 2001. Gulf Professional Publishing. 817p. GRUHN, Paul.; CHEDDIE, Harry. Safety Instrumented Systems: Design, Analyses, and Justification. 2. Ed. New York, 2006. ISA. 314p. HSE – Health and Safety Executive. Offshore gas turbines (and major driven equipment) integrity and inspection guidance notes. Oxfordshire, 2006. IEC-61508. Functional Safety of lectrical/Electronic/Programmable Electronic Safety-Related Systems. 2003. MARTINELLI, L.C. Máquinas Térmicas II. Disponível em < http://www.scribd.com/doc/7326125/Maquinas-Termicas-II >. Acesso em Maio de 2010. MARZAL, Edward M. Tolerable risk guidelines. Disponível em < http://findarticles.com/p/articles/mi_qa3739/is_200101/ai_n8933952/>. Acesso em Julho de 2010. OLF. Application of IEC 61508 and 61511 in the Norewegian Petroleum Industry. 2004. 214p. PETROBRAS. N-2595: Critérios De Projeto E Manutenção Para Sistemas Instrumentados De Segurança Em Unidades Industriais. Rev. B, 2008. 46p. SHAPIRO, H. N.; MORAN, M.J. Fundamentals of Thermodynamics. 5. Ed. London, 2006. Wiley. Cap. 9. US ARMY. TM 5-698-5: Survey Of Reliability And Availability Information For Power Distribution, Power Generation, And Heating, Ventilating & Air Conditioning (HVAC) Components For Commercial, Industrial, And Utility Installations. Washington D.C., 2006. 35p.
75
VASCONCELOS, Flávia Moço. Uma aplicação da técnica de análise de camadas de proteção (LOPA) na avaliação do risco do sistema de hidrogênio de refrigeração do gerador elétrico principal de uma usina nuclear. Dissertação de mestrado. Rio de janeiro, março de 2008. UFRJ/COPPE. p.53. WOODYARD, Doug. Pounder’s Marine Diesel Engines. 9. Ed. Oxford, UK, 2009. Elsevier. 905p.
76
ANEXO – Tabela 5 de HSE (2006)
77
78
79
80
81
82
83
84
85