Entendendo os níveis de integridade de segurança (SIL)

Como as estruturas de risco influenciam o projeto de segurança

Compreender a filosofia por trás da regulamentação de riscos é fundamental ao projetar sistemas instrumentados de segurança (SIS) para ambientes perigosos. Os Níveis de Integridade de Segurança (SIL), conforme definido na IEC 61508 e em normas específicas de aplicação, como a IEC 61511, que fornecem uma base para determinar o SIL apropriado, refletem o nível de risco considerado tolerável em uma determinada situação. Mas pode ser um desafio conectar esses conceitos abstratos à implementação prática do SIL.

Para engenheiros de segurança, integradores de sistemas, projetistas e equipes de projeto, compreender como os reguladores abordam a tolerabilidade ao risco pode ajudar a esclarecer por que certos requisitos SIL existem e como as autoridades regulatórias avaliam a adequação dos sistemas de segurança em diferentes jurisdições.

A estrutura de tolerabilidade do risco

Embora ALARP (As Low As Reasonably Practicable, ou tão baixo quanto razoavelmente praticável) seja um termo familiar, a estrutura de tolerabilidade mais ampla fornece a abordagem estruturada que determina quando seus cálculos de SIL se traduzem em conformidade regulatória. Essa estrutura, referenciada em toda a IEC 61508 Parte 1 e elaborada na IEC 61511, descreve como decidimos se um sistema de segurança é bom o suficiente ou se ainda precisa de melhorias, também conhecido como segurança funcional.

As três zonas de risco num contexto SIL

As normas internacionais de segurança utilizam um modelo de risco de três zonas para determinar quando é necessário o SIL:

Figura 1: Estrutura de HSE para a tolerabilidade do risco

Risco inaceitável: riscos que não podem ser justificados, independentemente dos benefícios.

Normalmente, isso é aplicado quando o risco de fatalidades individuais excede 1 em 1000 por ano, um valor muito alto para ser aceitável sob quaisquer condições. O risco inaceitável deve ser reduzido a níveis toleráveis antes que qualquer avaliação SIL se torne relevante. A implicação da engenharia é que seu caso de segurança deve demonstrar uma redução do risco abaixo desse limite antes do início da análise SIL. Isso geralmente requer um projeto inerentemente mais seguro ou proteção passiva.

Risco tolerável: O espaço operacional onde a maioria das implementações SIL existe.

Os riscos individuais variam geralmente entre 1 em 1000 e 1 em um milhão por ano (isso varia de acordo com a jurisdição e a aplicação). Risco tolerável significa que o risco ainda está presente, mas pode ser justificado. Isso requer a demonstração de que os riscos são ALARP ou So Far As Reasonably Practicable (SFARP). A implicação da engenharia aqui é onde seus cálculos de SIL são valiosos - em provar que a redução adicional do risco se torna grosseiramente desproporcional ao benefício obtido.

Risco amplamente aceitável: Geralmente não SIL

O risco nesta categoria é, na maioria dos casos, inferior a 1 em um milhão por ano para indivíduos. O risco aqui é tão baixo que poucas ou nenhuma medida de segurança adicional é necessária além das boas práticas de engenharia. Isso significa que o excesso de engenharia pode não ser econômico ou necessário do ponto de vista do risco.

Preenchendo a lacuna entre os padrões e a realidade

A norma IEC 61511 incentiva uma abordagem flexível e baseada no risco para a seleção do SIL e opera dentro dessa estrutura de tolerabilidade, embora a norma permita flexibilidade na forma como a seleção é implementada.

Integração da LOPA com tolerabilidade

A Análise de Camadas de Proteção (LOPA) divide um evento perigoso e incorpora princípios de tolerabilidade, reduzindo sistematicamente o risco. Ela adiciona camadas de proteção, como alarmes, sistemas de desligamento ou respostas do operador. Cada camada reduz o risco; o risco restante é comparado aos limites de tolerabilidade. Isso cria um caminho claro desde a identificação do perigo até a justificativa do SIL, de uma forma que os reguladores possam entender e validar facilmente.

Gráficos de risco: um método visual

Os gráficos de risco são uma maneira mais rápida e visual de estimar o SIL necessário. Eles fornecem uma conexão intuitiva entre os conceitos de tolerabilidade e a seleção do SIL, levando em consideração a gravidade de um resultado potencial, a frequência com que ele pode ocorrer e se as pessoas estão expostas ao perigo. Esses fatores são mapeados nos níveis de SIL sem a necessidade de cálculos matemáticos.

Figura 2: Matriz SIL de frequência e consequência de riscos

Diferenças internacionais na tolerância ao risco

Os países e os setores abordam o risco de maneiras diferentes. Isso cria desafios e oportunidades para projetos multinacionais, e as variações significam que as decisões de SIL devem considerar tanto cálculos técnicos quanto as expectativas dos reguladores locais.

Projeto prático de SIL para a vida real

A estrutura de tolerabilidade muda fundamentalmente a forma como definimos o escopo de um projeto e a profundidade com que os riscos são avaliados.

Sistemas de alto risco (por exemplo, SIL3) Você precisará ir além dos riscos imediatos do processo para considerar fatores organizacionais sistêmicos, como integração com outros sistemas, interação do operador e riscos potenciais de inicialização e desligamento.

Risco externo comum Incêndios, inundações, falhas de energia ou mesmo ataques cibernéticos devem ser avaliados independentemente da sua probabilidade. O foco deve estar na gravidade das consequências, bem como na sua probabilidade.

Mais do que números Os sistemas SIL devem atender às práticas básicas de engenharia (GEP) independentemente do resultado do cálculo de risco. O cumprimento das normas básicas de segurança e das justificativas baseadas no risco cria um equilíbrio entre proteção e praticidade.

Responsabilidades ao longo da cadeia de valor

Cada parte interessada na cadeia de suprimentos tem responsabilidades distintas quando se trata de avaliar riscos. Por exemplo, fornecedores de máquinas ou OEMs normalmente seguem a norma EN 62061, com foco nos riscos diretamente relacionados à própria máquina, especialmente aqueles que podem afetar os operadores ou o pessoal de manutenção que trabalha nas proximidades.

O quadro se torna mais complexo para os usuários finais, como os operadores de plantas de processo. Eles precisam considerar os riscos imediatos no nível da máquina e as consequências mais amplas que podem surgir de um mau funcionamento e tornar a máquina a causa de um incêndio ou explosão. O risco se estende além do equipamento, incluindo a segurança de toda a fábrica e até mesmo a exposição do público. É improvável que esses riscos sejam considerados pelo fornecedor da máquina, pois ele não tem conhecimento de como ou onde a máquina será utilizada.

Basicamente, não existe uma solução única para todos quando se trata de SIL. Entender quem é responsável por cada risco ajuda a garantir que a segurança seja abordada de forma holística, e não apenas localmente:

Gerenciando a incerteza nas avaliações de tolerabilidade

Nenhuma avaliação de segurança é perfeita, e as normas partem do princípio de que nem sempre se dispõe de todos os dados necessários para fazer previsões perfeitas. É por isso que estabelecem diretrizes para gerir a incerteza:

Limitações dos dados

Principais conclusões

• 1. As estruturas de tolerância ao risco dão estrutura às decisões SIL para garantir que os sistemas de segurança sejam tecnicamente compatíveis e realmente eficazes.
• 2. Compreender a filosofia por trás dessas normas ajuda os profissionais de segurança a atender às expectativas da engenharia e da sociedade.
• 3. Usar estruturas de tolerabilidade como base para decisões SIL nos permite construir sistemas que se adaptam às tecnologias em evolução, às mudanças regulatórias e, em última análise, mantêm os usuários mais seguros nos ambientes reais em que operam.

Por David Beirne

Diretor Executivo, Ntron Gas Measurement

Para saber mais sobre SIL e como você pode implementar um processo compatível com SIL, entre em contato com nossos especialistas.

Próximo nesta série: “Como implementar um analisador compatível com SIL em um Sistema Instrumentado de Segurança (SIS)”.

Normas e diretrizes relacionadas:

IEC 61508: Segurança funcional de sistemas relacionados à segurança E/E/PE

IEC 61511: Sistemas instrumentados de segurança para o setor da indústria de processos

ISO 12100: Segurança de máquinas - Princípios gerais para o projeto

ANSI/ISA-84.00.01: Aplicação de sistemas instrumentados de segurança para indústrias de processo

Sobre o autor

David Beirne é o diretor administrativo da Ntron Gas Measurement. Ele tem mais de 30 anos de experiência em sistemas de medição e segurança de oxigênio e liderou o desenvolvimento de tecnologias avançadas de medição e controle de oxigênio em aplicações farmacêuticas, químicas e de segurança industrial. Seu foco é fornecer sistemas de medição precisos e confiáveis que suportem a integridade do processo, a conformidade e a excelência operacional.

Sobre a Ntron

Ntron Gas Measurement, parte do grupo DwyerOmega, desenvolve analisadores de oxigênio avançados e sistemas de medição de gases para ambientes industriais e de processo exigentes.

Com experiência em aplicações que vão desde o processamento químico até a inertização e monitoramento de caixas de luvas, a Ntron oferece soluções projetadas para precisão, confiabilidade e segurança. As principais inovações incluem: SILO2, um analisador de oxigênio compatível com SIL 2 com um >sensor remoto arquitetura, projetada para atender aos requisitos de segurança funcional para áreas perigosas.

Os sistemas da Ntron são reconhecidos mundialmente por apoiar a integridade dos processos, reduzir riscos e garantir a conformidade com as normas internacionais de segurança e desempenho.