INSTITUTO SENAI DE EDUCAÇÃO SUPERIOR

KLEBERSON MEIRELES DE LIMA

DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS

Rio de Janeiro 2010

KLEBERSON MEIRELES DE LIMA

DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS

Monografia apresentada presencialmente, como requisito parcial para a conclusão do curso de Especialista em Automação Industrial para Sistemas de Produção, Refino e Transporte de Petróleo.

Orientador:

Oscar Felizzola Souza

Rio de Janeiro 2010

© 2010. Kleberson Meireles de Lima Qualquer parte dessa obra poderá ser reproduzida, desde que citada a fonte. Presidente da FIRJAN Eduardo Eugênio Gouvêa Vieira Superintendente – Diretor Regional SESI-SENAI Maria Lúcia Telles Diretora de Educação Andréa Marinho de Souza Franco Gerente de Educação Profissional Luis Roberto Arruda Gerente do Instituto SENAI de Educação Superior Carlos Bernardo Ribeiro Schlaepfer Coordenador de Pós-Graduação – Área de Petróleo Caetano Moraes Ficha Catalográfica elaborada sob orientação da Biblioteca do Instituto SENAI de Educação Superior.

LIMA, Kleberson Meireles de Determinação do SIL em malhas de segurança de uma turbina a gás. Rio de Janeiro: FIRJAN/SENAI-Instituto SENAI de Educação Superior, 2010. 85 p. Orientador: Oscar Felizzola Souza. Inclui Bibliografia TURBINAS A GÁS; AUTOMAÇÃO INDUSTRIAL; SEGURANÇA DE MÁQUINAS; SISTEMAS INSTRUMENTADOS DE SEGURANÇA; SIL ............................................................................................................

KLEBERSON MEIRELES DE LIMA

DETERMINAÇÃO DO SIL EM MALHAS DE SEGURANÇA DE UMA TURBINA A GÁS

Monografia apresentada presencialmente, e aprovada como requisito parcial para a conclusão do curso de Especialista em Automação Industrial de Sistemas de Produção, Refino e Transporte de Petróleo. Aprovada em: 10/02/2011.

BANCA EXAMINADORA

Prof. Oscar Felizzola Souza, M.Sc. Instituto SENAI de Educação Superior

Prof. Caetano Moraes, Ph.D. Instituto SENAI de Educação Superior

Prof. José Manuel Gonzalez Tubio Perez, M.Sc. Instituto SENAI de Educação Superior

IV

RESUMO As turbinas a gás são aplicadas em diversos setores da nossa indústria e meios de transporte. Mesmo sendo inicialmente desenvolvidas para a propulsão de aeronaves, tornaram-se bastante utilizadas em áreas como: propulsão naval, trens de ata velocidade, geração de energia etc. Principalmente, por possuírem uma boa relação entre peso e potência, bem como, uma elevada confiabilidade. Confiabilidade essa que é atingida através de modernos sistemas de controle automático e segurança em conjunto com as mais modernas técnicas de projeto mecânico e de materiais. Isso implica na necessidade da síntese de Sistemas Instrumentados de Segurança, sendo que para projetá-los é necessário determinar o nível de desempenho adequado, fator medido pelo Nível de Integridade de Segurança (SIL). Este trabalho tem como objetivo apresentar técnicas qualitativas e quantitativas para determinação do SIL e aplicá-las para o caso de uma turbina a gás utilizada em sistemas de propulsão de navios. Palavras-chave: Turbinas a Gás; Automação Industrial; Segurança de Máquinas; Sistemas Instrumentados de Segurança; SIL.

V

LISTA DE ILUSTRAÇÕES

Figura 1 – Turbina a gás simples (a) Ciclo aberto (b) Ciclo fechado........ 13

Figura 2 – Ciclo Brayton padrão a ar.................................................. 14

Figura 3 – Digramas do ciclo Brayton Ideal......................................... 14

Figura 4 – Turbina com compressor radial.......................................... 15

Figura 5 – Turbina com compressor axial............................................ 15

Figura 6 – Típica operação de um combustor....................................... 16

Figura 7 – Pás de uma turbina radial.................................................. 17

Figura 8 – Esquema de uma turbina axial........................................... 18

Figura 9 – Idealização da operação dos sistemas de proteção e de

controle.........................................................................................

23

Figura 10 – Modelo representando o comportamento das camadas de

proteção.........................................................................................

24

Figura 11 – Diagrama da cebola........................................................ 25

Figura 12 – Redução de risco com múltiplas camadas de proteção......... 27

Figura 13 – Resumo de documentação que pode ser incluído nas SRS.... 30

Figura 14 – Diagrama de causa e efeito.............................................. 31

Figura 15 – Determinação do risco existente....................................... 37

Figura 16 – Corte da turbina GE LM2500............................................. 43

Figura 17 – Exemplo de controlador da turbina a gás LM2500................ 44

Figura 18 – Esquema simplificado do sistema de combustível................ 46

Figura 19 – Limite de temperatura durante a partida............................ 47

Figura 20 – Curva utilizada na detecção de stall................................... 49

Figura 21 – Exemplo de um gráfico de risco........................................ 52

Figura 22 – Questionário para “segurança pessoal”.............................. 55

Figura 23 – Gráfico de Risco para “segurança pessoal”......................... 56

Figura 24 – Questionário de “Perda de Produção e Danos ao

Equipamento”.................................................................................

58

Figura 25 – Gráfico de risco para “Perda de Produção e Danos ao

VI

Equipamento”................................................................................. 59

Figura 26 – Questionário relacionado à segurança do meio ambiente...... 60

Figura 27 – Gráfico de risco para o meio-ambiente.............................. 60

VII

LISTA DE TABELAS

Tabela 1 – SIL e desempenho requerido para sistemas de modo de

demanda........................................................................................

38

Tabela 2 – SIL e taxas de falhas de sistemas de modo contínuo............. 38

Tabela 3 – Exemplo de riscos toleráveis praticados por empresas de

classe mundial................................................................................

39

Tabela 4 – Exemplo de frequência de eventos iniciadores...................... 40

Tabela 5 – Lógica de proteção do fornecimento de óleo lubrificante........ 45

Tabela 6 – Freqüência de Demanda................................................... 54

Tabela 7 – Equivalência entre classe e SIL.......................................... 61

Tabela 8 – Resultados obtidos para malhas de uma turbina a gás.......... 63

Tabela 9 – Resumo da análise para Sistema de Lubrificação.................. 65

Tabela 10 – Resumo da análise para Temperatura de entrada na TP....... 65

Tabela 11 – Resumo da análise para Rotação do Gerador de Gás........... 66

Tabela 12 – Resumo da análise para Rotação do Gerador de Gás........... 67

Tabela 13 – Resumo da análise para a Vibração da Turbina................... 68

Tabela 14 – Comparação dos resultados N-2595 x LOPA....................... 72

VIII

SUMÁRIO

1. Introdução.............................................................................. 10

1.1 Modelo de uma Planta de Geração de Potência........................... 12

1.2 Principais Equipamentos Utilizados nas Turbinas a Gás................ 15

1.3 Considerações Finais............................................................... 18

2. Sistemas Instrumentados de Segurança e Determinação do Nível de

Integridade de Segurança (SIL)..................................................... 19

2.1 O que são Sistemas Instrumentados de Segurança?.................... 19

2.2 Diferenças entre Controle de Processo e Controle de

Segurança.................................................................................. 21

2.3 As Camadas de Proteção......................................................... 23

2.4 Especificações de Segurança.................................................... 28

2.5 Nível de Integridade de Segurança........................................... 32

2.6 Conceitos Comuns na Análise de Riscos..................................... 34

2.7 Técnicas de Determinação do SIL............................................. 36

2.8 Considerações Finais............................................................... 41

3. Determinação do SIL para turbina GE LM2500............................. 42

3.1 Funções de Segurança e Proteção da Turbina GE LM2500............ 45

3.1.1 Pressão do Óleo Lubrificante................................................. 45

3.1.2 Temperatura do Gás de Entrada na Turbina de Potência............ 47

3.1.3 Velocidade do Gerador de Gás............................................... 48

3.1.4 Proteção Contra Stall do Gerador de Gás................................ 48

3.1.5 Controle de Vibração............................................................ 50

3.2 Determinação do SIL para as Funções de Segurança

Comentadas................................................................................ 51

3.2.1 Determinação pelo Método do Gráfico de Risco, segundo

N-2595.......................................................................................52

3.2.2 Determinação pelo método LOPA........................................... 63

4. Análise dos resultados e conclusões sobre a técnica qualitativa e

quantitativa................................................................................ 69

4.1 Análise Qualitativa.................................................................. 69

IX

4.2 Análise Qualitativa.................................................................. 70

4.3 Resultados Qualitativos x Quantitativos..................................... 71

4.4 Considerações Finais.............................................................. 72

Referências Bibliográficas............................................................. 74

Anexo........................................................................................76

10

1. Introdução

As turbinas a gás são turbomáquinas que pertencem ao grupo de

motores de combustão e cuja faixa de operação vai desde pequenas

potências na ordem de100 KW até 180 MW, chegando a 350 MW no caso

de nucleares, desta forma, elas concorrem tanto com os motores

alternativos de combustão interna (DIESEL e OTTO) como com as

instalações a vapor de pequena potência.

Suas principais vantagens são o pequeno peso e volume (espaço)

que ocupam. Sendo máquinas rotativas as turbinas a gás apresentam

uma vantagem bastante grande quando comparadas aos motores

alternativos uma vez que nelas há ausência de movimentos alternativos e

de atrito entre superfícies sólidas (pistão/camisa do cilindro). Isto significa

a quase inexistência de problemas de balanceamento e, ao mesmo tempo,

um baixo consumo de óleo lubrificante, uma vez que o mesmo não entra

em contato direto com partes quentes e nem com os produtos de

combustão. Disso decorre outra vantagem: a elevada confiabilidade que

apresentam. Além disso, quando comparadas às instalações a vapor, as

turbinas a gás praticamente não necessitam de fluido refrigerante o que

facilita muito sua instalação.

Outro aspecto bastante favorável das turbinas a gás é a baixa

inércia térmica que lhes permite atingir sua carga plena em um espaço de

tempo bastante reduzido. No caso de estar pré-aquecida, por exemplo, o

tempo entre carga nula e carga plena varia de 2 a 10 segundos. Este

11

aspecto faz com que as turbinas a gás sejam particularmente indicadas

para sistema de geração de energia elétrica de ponta, onde o processo de

partida e necessidade da plena carga no menor tempo possível é de suma

importância, bem como, em aplicações onde a confiabilidade elevada é

requerida, como por exemplo, as turbinas a gás tem dominado o mercado

de propulsão de navios de guerra (WOODYARD, 2009).

As turbinas a gás possuem campo de aplicação o mais variado

possível e o mais amplo dentre os diversos tipos de motores. Inicialmente

elas foram desenvolvidas objetivando fornecimento de trabalho mecânico.

Entretanto, o desenvolvimento efetivo só ocorreu em virtude de sua

aplicação na aeronáutica como elemento propulsor (reator). Enquanto

fornecedores de trabalho mecânico as turbinas a gás tem sido utilizadas,

de maneira geral, como elemento propulsor para navios; aviões (hélice);

no setor automotivo, ferroviário e, principalmente, como acionador de

estações “booster” de bombeamento (oleodutos e gasodutos) assim como

também na geração de eletricidade, principalmente, nas centrais de ponta

e sistemas “Stand-by” e em locais onde peso e volume são levados em

conta como o caso das Plataformas “Off-shore” de extração de petróleo.

Também são usadas em locais remotos e de difícil acesso e instalação,

pois a sua alta confiabilidade aliada à simplicidade de operação permitem

inclusive que elas sejam operadas à distância.

Como desvantagens das turbinas a gás têm-se o baixo rendimento e

a alta rotação, fatores bastante desfavoráveis no caso de aplicação

industrial (MARTINELLI, 2002).

12

1.1 Modelo de uma Planta de Geração de Potência

As plantas de geração de potência que utilizam turbina a gás podem

operar segundo um ciclo aberto ou fechado (SHAPIRO, 2006). O aberto,

exibido na figura 1a, é o mais comum. O ar é admitido e direcionado ao

compressor, onde terá sua pressão elevada. Após isso, entra na câmara

de combustão, onde é misturado com combustível e queimado, resultando

nos produtos ou gases da combustão que possuem elevada temperatura.

Na turbina, esses gases irão se expandir e logo, em seguida, serão

liberados para a atmosfera. Parte da potência gerada pela turbina é

utilizada para o acionamento do compressor e a potência restante é

disponibilizada para geração de eletricidade, para mover um veículo

(navio, helicóptero, avião etc) ou para outro propósito. No sistema da

figura 1b, o fluido de trabalho recebe energia de uma fonte externa, por

exemplo, um reator nuclear. O gás que sai da turbina passa por um

trocador de calor, onde é resfriado para que possa entrar novamente no

compressor.

13

Fig. 1 – Turbina a gás simples (a) Ciclo aberto (b) Ciclo fechado.

Com a análise padrão a ar, impede-se lidar com as complexidades

do processo de combustão e a mudança de composição durante a

combustão (SHAPIRO, 2006). O modelo do ciclo Brayton ideal padrão a ar

simplifica o estudo das plantas a turbinas a gás consideravelmente e para

uma primeira análise é útil para se avaliar o comportamento qualitativo de

um sistema real.

O ciclo Brayton ideal consiste de dois processos isobáricos e dois

processos isentrópicos (BOYCE, 2001). A figura 2 mostra o esquema do

ciclo de brayton padrão a ar idealizado, muito semelhante ao ciclo fechado

exibido anteriormente, sendo que o reservatório frio desta máquina

térmica, representado em linhas pontilhadas, é a própria atmosfera e o

fornecimento de energia é considerado externo, daí a simplificação do

processo de combustão.

14

Fig. 2 – Ciclo Brayton padrão a ar.

Ignorando as irreversibilidades internas (perda de carga, variação da

pressão do ar, produção de entropia do processo de expansão etc), este

ciclo pode ser representado pelos seguintes diagramas T-s e p-v,

representados na figura a seguir.

Fig. 3 – Digramas do ciclo Brayton Ideal.

Existem outras configurações de turbinas a gás que utilizam outros

equipamentos (regeneradores, resfriadores etc). Estas outras

configurações visam aumentar o rendimento do ciclo, tendendo a

aproximá-lo do rendimento do ciclo de Carnot (máximo rendimento

15

térmico), entretanto, estes outros arranjos fogem do escopo desta

monografia.

1.2 Principais Equipamentos Utilizados nas Turbinas a Gás

Os principais equipamentos constituintes das turbinas a gás são:

compressor, câmara de combustão e a turbina.

Os compressores utilizados em turbinas a gás são os denominados

turbocompressores e se apresentam em dois tipos: o radial ou centrífugo

(Fig. 4) e o axial (Fig. 5), classificação realizada conforme a direção de

saída do fluxo do fluido de trabalho.

Fig. 4 – Turbina com compressor radial.

Fig. 5 – Turbina com compressor axial.

16

Compressores radiais geralmente são usados para maiores taxas de

compressão e menores vazão, quando comparados às aplicações dos

compressores axiais (BOYCE, 2001). Segundo BOYCE (2001), há turbinas

que combinam o uso de compressores radiais em série com axiais, dessa

forma, combinando as características dos dois tipos de compressores.

O calor de entrada para uma turbina a gás, que opera segundo um

ciclo Brayton, é fornecido pelo combustor ou câmara de combustão

(BOYCE, 2001). Ele recebe ar do compressor e entrega gás com

temperatura elevada à turbina (idealmente sem perda de carga), ver

figura 6. Há vários tipos de combustores, independente do tipo de projeto,

todos eles possuem três características: zona de recirculação –

responsável por atomizar o combustível, zona de queima – finaliza o

processo de combustão e zona de diluição – responsável por misturar os

gases da combustão com o ar utilizado para refrigeração e entregar tal

mistura à turbina.

Fig. 6 – Típica operação de um combustor.

17

O equipamento que recebe os gases da combustão e realizada a

expansão deles, realizando trabalho, é denominado turbina, que pode ser

do tipo radial ou axial. A turbina de fluxo radial (figura 7) tem sido usada

por muitos anos, ela é oriunda das turbinas hidráulicas utilizadas para

geração de energia elétrica. Este tipo de turbina tem a grande vantagem

operacional de em um único estágio produzir o equivalente a dois ou três

estágios de uma axial (BOYCE, 2001). Por isso tem sido utilizada em

turbinas de pequeno porte, como em helicópteros e sistemas de stand-by.

Fig. 7 – Pás de uma turbina radial.

As turbinas de fluxo axial (figura 8) são as turbinas mais amplamente

empregadas com um fluido de trabalho compressível (BOYCE, 2001). Este

tipo de turbina consegue desenvolver maiores potências, exceto para

turbinas de pequeno porte, e também é mais eficiente na maioria das

faixas de operação.

18

Fig. 8 – Esquema de uma turbina axial.

1.3 Considerações Finais

A turbina a gás tornou-se um equipamento de suma importância

para diversas áreas como aeronáutica, naval, geração de energia,

refrigeração dentre diversas áreas, principalmente, por sua boa relação

volume/potência, mesmo possuindo menor rendimento térmico que outros

tipos de planta.

Devido a este destaque, a confiabilidade tornou-se um requisito

fundamental na operação destas máquinas. Manter uma operação segura

tanto para o equipamento, que é de altíssimo custo, quanto para pessoas

e meio-ambiente é mister. Para isso, surge a necessidade de

implementação de malhas de segurança, que irão constituir os Sistemas

Instrumentados de Segurança (SIS), assunto a ser abordado no próximo

capítulo.

19

2. Sistemas Instrumentados de Segurança e Determinação do

Nível de Integridade de Segurança (SIL)

2.1 O que são Sistemas Instrumentados de Segurança?

Sistemas de Intertravamento e Segurança, Sistemas de Parada de

Emergência, Sistemas Instrumentados de Segurança, Sistemas

Instrumentados de Proteção são algumas das denominações para

sistemas desenvolvidos para manter a integridade dos equipamentos, do

pessoal e do meio ambiente quando da ocorrência de uma falha na qual

haja perigo de acidentes para qualquer destas partes citadas.

Segundo a Norma ISA-91 (2001) – Identification of Emergency

Shutdown Systems and Controls That Are Critical to Maintaining Safety in

Process Industries – os Sistemas de Parada de Emergência possuem as

seguintes características:

• Instrumentação e controle, ou equipamento específico, voltados

para levar o processo a uma condição segura;

• Não inclui instrumentação e controle de propósito diferente do

definido;

• Incluem todos os sistemas elétricos, eletrônicos, pneumáticos,

hidráulicos, mecânicos etc. (inclusive os programáveis);

• Eles atuam no impedimento que um evento perigoso ocorra.

Já a segundo a Norma IEC-61508 (2003) – Functional safety of

electrical/ electronic/ programmable electronic safety-related systems – os

20

Sistemas de Instrumentados de Segurança (SIS) são caracterizados da

seguinte forma:

• SIS são sistemas relacionados à segurança, com foco nas

pessoas, realizados por equipamentos elétricos, eletrônicos e

eletrônicos programáveis;

• Ou seja, relês do estado sólido e sistemas baseados em software.

Apesar da ênfase da segurança a pessoas, há hoje uma tendência

com uma preocupação com o maquinário da companhia (a proteção do

ativo desta instituição) e também com o meio ambiente (responsabilidade

ambiental e social).

Portanto, este assunto, não é de interesse apenas dos engenheiros

de automação e controle, mas também de profissionais da área de

processo em indústrias de processamento, operadores de máquinas,

aviação civil e militar, meio naval e todas as áreas onde há vultosos

investimentos na aquisição de equipamentos, bem como, onde há grande

risco para pessoas e meio ambiente no caso de falhas e acidentes.

Para projeto e síntese de tais sistemas, as principais referências são

normas internacionais como, por exemplo, a IEC-61508 (já citada

anteriormente), a IEC-61511 – Functional Safety: Safety Instrumented

Systems for the Process Industry Sector, ISA-84 (IEC-61511 Modificada)

e US MIL 882D – Systems Safety Practice. Para a aplicação de todas elas

é preciso não somente entendê-las, mas também, conhecer aplicação,

visto que estas normas não são “receitas de bolo”, elas apenas

21

estabelecem requisitos a serem atingidos, mas não como chegar ao

objetivo.

2.2 Diferenças entre Controle de Processo e Controle de Segurança

Segundo a ISA-91 (2001), há uma distinção entre três tipos de

controle, sendo de maior interesse para o presente estudo, apenas os dois

primeiros:

• Controle de processo básico: equipamento instalado para

controle regulatório (95% do que existe instalado nas plantas

industriais);

• Sistemas de Parada de Emergência: com o propósito de levar a

planta a um estado seguro (ou na partida ou em regime de

operação);

• Controle Crítico de Segurança: para controlar falhas de operação

que possam levar a catástrofes.

Os sistemas de controle de processos são de natureza dinâmica,

possuem entradas e saídas analógicas, realizam cálculos matemáticos,

geralmente possuem realimentação e na ocorrência de falhas, estas logo

serão visíveis e haverá dúvidas quanto ao funcionamento correto, devem

ser flexíveis o bastante para permitir alterações, os parâmetros são dos

controladores podem ser modificados (ganhos do PID) e podem ser

desviados através dos modos manual e automático.

22

Já os sistemas utilizados para segurança devem possuir

características justamente contrárias às dos sistemas de controle de

processos. Eles são considerados passivos (ou estáticos), pois passam a

maior parte do tempo inoperantes (GRUHN & CHEDDIE, 2006).

Há uma grande controvérsia se o controle pode ficar junto do

intertravamento. Hoje os componentes de hardware são bastante

confiáveis e redundantes, como CLP’s (Controladores Lógicos

Controláveis) e SDCD’s (Sistemas Digitais de Controle Distribuído).

Contudo, todas as normas recomendam que o controle esteja separado do

intertravamento (GRUHN & CHEDDIE, 2006). Segundo a ANSI/ISA84

(2004), por exemplo: sensores dos SIS devem ser separados dos

sensores do controle básico de processo, apenas duas exceções são

permitidas ou se há redundância suficiente ou se a análise de risco

determinar que deva existir outra camada de proteção que forneça

proteção suficiente, a norma ainda afirma que toda a lógica do controle

deve estar separada da lógica do intertravamento.

O funcionamento do sistema de controle e do sistema de segurança

pode ser idealizado pela figura a seguir.

23

Fig. 9 – Idealização da operação dos sistemas de proteção e de controle.

Entretanto, a experiência mostra que nem sempre isso é possível,

seja por inviabilidade definida pela engenharia econômica ou por questões

técnicas da natureza do funcionamento do equipamento, nestes casos o

controle e a segurança estão interligados que não há como haver tal

separação. Segundo GRUHN & CHEDDIE (2006), caso não seja possível

essa separação, o sistema de controle deve ser projetado como um

sistema tolerante a falhas, um exemplo a ser citado é o controle de

turbinas a gás.

2.3 As Camadas de Proteção

Acidentes raramente acontecem devido a uma única falha.

Normalmente, os acidentes são uma combinação de eventos raros que as

pessoas inicialmente atribuíram independência entre eles, os quais não

poderiam acontecer ao mesmo tempo (GRUHN & CHEDDIE, 2006).

24

Acidentes acontecem quando múltiplas camadas falham. A figura a seguir

tenta mostrar a intenção de camadas múltiplas. Se todas elas são efetivas

e robustas a falha nunca irá se propagar, contudo, na realidade as

camadas não são placas sólidas, elas se parecem com um “queijo suíço”.

Os furos são causados por falhas no gerenciamento, manutenção,

operação etc. Esses furos estão se movendo, aparecendo e desaparecendo

o tempo todo. Quando um evento iniciador coincide com vários desses

furos, um evento perigoso acontece.

Fig. 10 – Modelo representando o comportamento das camadas de

proteção.

A próxima figura exibe o “Diagrama da Cebola”, ele mostra como

são e quais são as camadas existentes. A principal informação dado por

tal diagrama é que não se deve colocar toda a proteção em uma única

camada, pois caso ela falhe, todo o sistema irá falhar.

25

Fig. 11 – Diagrama da cebola.

As camadas de proteção são aquelas desenvolvidas para reduzir a

probabilidade de um evento perigoso ocorrer. São elas:

• Planta ou processo – o próprio projeto ou a natureza da planta ou

processo pode levar a uma menor probabilidade de ocorrência de

um evento perigoso, para isso, ainda no projeto básico deve ser

realizado um estudo chamado HAZOP (HAZard and OPerability

studies). Desenvolvimentos deste tipo, normalmente, possuem

custo inicial mais elevado, porém, as plantas tendem a ser mais

simples, o que implicará na redução de riscos;

• Controle – além de otimizar uso de combustíveis, qualidade do

produto etc., também mantêm valores de variáveis, como: pressão,

velocidade, temperatura etc., em níveis seguros. Entretanto, em um

evento perigoso o controle poderá falhar, pois nos sistemas reais

ocorre a saturação, ou seja, o atuador não consegue mais alterar o

26

valor da variável manipulada devido as suas próprias limitações de

operação. Logo, apesar da automação, a interferência humana ainda

é necessária;

• Sistemas de Alarme, Interferência do operador – os alarmes são

gerados quando o controle falha na manutenção dos valores das

variáveis dentro de uma faixa segura e são usados como base para

que o operador possa interferir no processo. Vale lembrar que nem

tudo pode ser automatizado, é praticamente impossível que os

projetistas consigam prever tudo, logo, o operador é importante

para a tomada decisão. Entretanto, a confiabilidade do operador é

questionável e ainda há a necessidade de outras camadas;

• Sistemas Instrumentados de Segurança – ocorrendo falha das

camadas anteriores, sistemas automáticos de parada de emergência

devem entrar em ação. São normalmente separados dos sistemas

das camadas anteriores e devem ser responsáveis por permitir ao

processo caminhar de maneira segura quando as condições

especificadas permitirem, levar o processo automaticamente a um

estado seguro no caso de violação das especificações e tomar

medidas para impedir as conseqüências de um perigo industrial;

• Proteção física – são equipamentos, em geral, de natureza

mecânica, utilizados para impedir vazamentos de materiais

perigosos, os principais exemplos são as válvulas de segurança e

discos de ruptura.

27

As chamadas camadas de mitigação são aquelas implementadas

para amenizar a severidade ou as conseqüências de um evento perigoso

que já ocorreu. Podem conter ou neutralizar ou até mesmo dispersar o

material liberado. São elas os sistemas de detenção (diques e tanques),

neutralizadores e flares, Sistemas de F&G (Fire and gas) de halon ou CO2

e também os planos de evacuação de áreas, tanto do pessoal da planta

quanto da população residente nas redondezas.

O benefício das múltiplas camadas pode ser visto na figura 11, ela é

bastante proveitosa para que se entenda o conceito de Análise de

Camadas de Proteção (LOPA – Layer of Protection Analysis), assunto que

será abordado mais adiante nesta monografia. Imagine a freqüência de

um evento perigoso que pode causar múltiplas fatalidades uma vez a cada

ano. Ninguém considera tolerável um risco de tal magnitude desejável,

tem-se um risco tolerável de 1/100.000 por ano. Com base nestas

informações (risco inerente ao processo e risco tolerável), iremos

identificar a redução de risco desejável e poderemos determinar as

camadas necessárias.

Fig. 12 – Redução de risco com múltiplas camadas de proteção.

28

2.4 Especificações de Segurança

Uma das necessidades para um Sistema Instrumentado de

Segurança é identificar o Nível de Integridade de Segurança (SIL, do

inglês Safety Integrity Level) estabelecido para cada Função

Instrumentada de Segurança, para isso é preciso estabelecer níveis de

segurança (SRS – Safety Requirement Specification). A SRS lista as

especificações para todas as funções realizadas pelo sistema e consiste de

duas partes principais: especificações funcionais e especificações de

integridade, o próprio SIL.

As especificações funcionais descrevem a lógica do sistema, ou seja,

o que cada sistema deve fazer, como, por exemplo: baixa pressão no vaso

A irá causar o fechamento da válvula B.

As especificações de integridade descrevem a performance do

sistema, como, por exemplo: a probabilidade que a válvula B irá fechar

quando ocorrer baixa pressão no vaso B deve ser maior que 99%.

Após projeto conceitual do sistema e da análise de riscos deve-se

gerar documentação das especificações de segurança do SIS, geralmente,

o pessoal da engenharia de automação ou instrumentação, sendo ela

simples o bastante para que qualquer um possa entender o que está

sendo realizado, um resumo de tal resumo pode ser exemplificado na

figura 13.

29

Um fator importante é que as especificações de segurança devem

afirmar o que dever ser realizado e não necessariamente como (GRUHN &

CHEDDIE, 2006). Isso permite maior liberdade ao projetista na escolha da

melhor forma de atingir os objetivos e também permite o uso de novas

técnicas e conhecimentos, um bom exemplo seria uma tabela de causa e

efeito, como pode ser observada na figura 14.

30

Fig. 13 – Resumo de documentação que pode ser incluído nas SRS.

31

Fig. 14 – Diagrama de causa e efeito.

Segundo a ANSI/ISA84 (2004), há vários itens que a documentação das

especificações de segurança deve atender, os quais podem ser observados

no item 12.2. Como exemplo, pode-se citar:

• Descrição de todas as SIF necessárias para atingir determinada

função de segurança;

• A definição do estado seguro para cada SIF;

• Tempos de teste para cada SIF;

• Tempos de resposta requeridos para cada SIF levar o processo a

um estado seguro;

• O SIL e o modo de operação (demanda/contínuo) de cada SIF;

• MTTR de cada SIF.

32

Segundo GRUHN & CHEDDIE (2006), todas as informações devem

estar num único pacote e os quatro itens a seguir descrevem o que a

documentação chave deve possuir:

• Descrição do processo – P&Is; descrição da operação do

processo; descrição do controle (filosofia, tipo, alarmes etc.);

normas reguladoras; confiabilidade, qualidade e dados ambientais;

publicações de manutenção e operação;

• Diagramas de causa e efeito;

• Diagramas lógicos – máquinas de estado, SFCs (IEC-61131) ou

diagramas segundo a ISA-5.2.1976;

• Datasheets do processo – dados de vazão, natureza do fluido,

pressão etc.

2.5 Nível de Integridade de Segurança

Os padrões (ou normas) atuais para sistemas de segurança são

baseados na performance não recomendam qual tecnologia, nível de

redundância, intervalo de teste ou lógica que deve ser utilizada.

Basicamente, eles afirmam que “quanto maior o risco, melhor deverá ser

o sistema para controlá-lo”. Segundo GRUHN & CHEDDIE (2006), há uma

enorme gama de técnicas para avaliação de risco e há também uma

grande quantidade de formas para equacionar o risco para o desempenho

requerido de um sistema de segurança, um dos termos usados para

33

descrever este desempenho é o Nível de Integridade de Segurança,

normalmente chamado SIL.

É importante entender o verdadeiro significado do SIL. O Nível de

Integridade de Segurança, como já dito anteriormente, é uma medida de

desempenho requerida pelo sistema de segurança. O sistema consiste de

um sensor, um executor da lógica (Controlador Lógico Programável, relês

eletromecânicos, relês do estado sólido etc.) e um ou mais elementos

finais (atuadores). Logo, não há sentido em falar que um determinado

dispositivo é de SIL3, por exemplo. O dispositivo pode ser adequado

(certificado) para uso em malhas de até SIL3, contudo, caso ele seja

usado em uma malha com apenas um dispositivo certificado para SIL1,

toda a malha será classificada como SIL1. Também é importante frisar

que o SIL não é uma medida do risco do processo ou planta, seria

incorreto dizer que há um processo SIL2.

Segundo GRUHN & CHEDDIE (2006), há várias técnicas para

determinação do SIL requerido por uma malha e não se pode afirmar que

uma é mais correta que a outra. Acontece que alguns métodos podem ser

mais ou menos conservadores. Pode-se dizer que há dois tipos de

técnicas: as qualitativas e as quantitativas. Infelizmente, o uso de

técnicas diferentes pode levar a resultados diferentes, apesar disso todos

os métodos são válidos e seus respectivos resultados, apesar de

diferentes, estão corretos.

As técnicas qualitativas, em geral, são de aplicação mais simples e

rápida, contudo, a experiência tem mostrado que elas levam a resultados

34

mais conservadores (GRUHN & CHEDDIE, 2006), pois levam a um SIL

mais alto e, conseqüente, a um projeto mais caro, já que diferença entre

os equipamentos certificados para níveis de segurança menores e maiores

é significativa.

Já as técnicas quantitativas requerem uma maior esforço para o

desenvolvimento e uso, entretanto, a experiência tem mostrado que

conduz a níveis de segurança mais baixos, portanto, pelos fatores já

citados anteriormente, estas dificuldades iniciais de aplicação dessas

técnicas pode ser vantajosa em relação ao custo do projeto.

Em geral, se o uso de uma técnica qualitativa indica um SIL

requerido que não seja maior que SIL1, pode-se continuar com esta

especificação. Entretanto, se são encontradas várias malhas com níveis de

segurança SIL2 ou SIL3, o uso de uma técnica quantitativa deve ser

considerado, como por exemplo: LOPA (Layer Of Protection Analysis). A

redução de custos obtida nestes casos irá justificar o uso de tal técnica, de

acordo com GRUHN & CHEDDIE (2006).

2.6 Conceitos Comuns na Análise de Riscos

Não importa qual a técnica é utilizada para análise de riscos, alguns

fatores serão comuns a para todas elas (GRUHN & CHEDDIE, 2006). Por

exemplo, todos os métodos envolvem a avaliação de dois componentes de

risco, probabilidade e severidade, usualmente categorizados em diferentes

níveis.

35

Há diferentes eventos perigosos associados a cada unidade da

planta ou processo e cada evento está associado a um risco. Peguemos

como exemplo um vaso de pressão no qual se mede pressão, temperatura

e vazão. A medição de pressão é provavelmente para detectar e prevenir

uma possível explosão, este evento teria seu correspondente nível de

risco (probabilidade e severidade). Uma vazão baixa resultaria na queima

de uma bomba, que teria uma severidade e probabilidade totalmente

diferente do evento citado anteriormente, logo, exigindo um SIL diferente.

Uma temperatura acima do normal poderia acarretar em um produto fora

de especificação, que poderia ter uma probabilidade e severidade

totalmente diferente, acarretando em outro SIL. Isso quer dizer que não

se pode determinar um SIL para todo um processo ou planta, deve-se

determinar o SIL requerido para cada função de segurança (SIF), ou seja,

para cada malha de segurança.

Os riscos estão presentes em todos os lugares, não importa se

estamos numa área fabril, em casa ou em um avião, sempre haverá

algum tipo de risco. Riscos são inerentes a qualquer atividade. O risco

zero é o objetivo de muitas organizações, entretanto, por ser inatingível,

deve-se estabelecer qual o risco aceitável ou tolerável para cada

atividade. Quanto menor o risco aceitável maior será o custo da planta

(GRUHN & CHEDDIE, 2006).

O AIChE (American Institute of Chemical Engineers) define perigo

como uma característica física ou química com o potencial de causar

danos a pessoas, ativos da companhia ou meio ambiente. A combinação

36

desses perigos com um evento não planejado pode ocasionar um

acidente. O objetivo é minimizar ou eliminar eventos perigosos ou

acidentes.

Risco é normalmente definido como a combinação da severidade

com a probabilidade de um evento perigoso. Em outras palavras, a

freqüência que ele ocorre e quão mal ele é quando ocorre, o que pode ser

observado na figura 15. O risco pode ser avaliado tanto qualitativamente

quanto quantitativamente. Alguns dos fatores de risco de que podem ser

considerados: pessoal, parada de produção ou indisponibilidade, o custo

do equipamento ou material, meio ambiente, a imagem da corporação e

perda de capital devido a ações judiciais.

A determinação do risco tolerável não é somente uma questão

técnica, pois envolve fatores filosóficos, morais e legais (GRUHN &

CHEDDIE, 2006). Logo, pode ser bastante complicado de se determiná-lo.

Normalmente não há uma base de dados para que se possa fazer uma

analise estatística do problema. Entretanto, não se pode construir dez

plantas químicas e verificar quando elas explodem, por exemplo. A técnica

mais usual para se determinar o risco tolerável é a da ALARP (“As Low As

Reasonably Practicable”) também há proveitosos guias como o publicado

por Edward Marzal, disponível em www.exatida.com.

37

Fig. 15 – Determinação do risco existente.

2.7 Técnicas de Determinação do SIL

O SIL, como já dito anteriormente, é a medida de desempenho do

sistema de segurança, não é uma medida direta do risco do processo.

Os padrões internacionais e guias tem utilizado quatro níveis de

segurança para classificar o desempenho requerido pelas malhas de

segurança. Entretanto, nos padrões americanos a classificação só vai até

o SIL3, segundo GRUHN & CHEDDIE (2006). Isso também está

relacionado com a dificuldade de se encontrar produtos que a atendam a

este grau de desempenho, o SIL até 2006 só possui dois fornecedores de

executor de lógica na Europa e só utilizado em aplicações aeroespaciais e

em alguns sistemas militares. A tabela 1 exibe os valores correspondentes

ao SIL de probabilidade de falha na demanda, redução de risco e

segurança disponível, para sistemas que trabalham em modo de

38

demanda. Já a tabela 2, exibe os valores de SIL com os respectivos

valores de taxas de falhas para sistemas que trabalham em modo

contínuo.

Tabela 1: SIL e desempenho requerido para sistemas de modo de demanda.

Fonte: (GRUHN & CHEDDIE, 2006). Tabela 2: SIL e taxas de falhas de sistemas de modo contínuo.

Fonte: (GRUHN & CHEDDIE, 2006).

A técnica da matriz de riscos é encontrada em muitos padrões.

Muitas corporações possuem um método baseado nesta técnica para

determinação do SIL requerido, sendo grande parte deles similares ao

encontrado na norma militar americana MIL STD 882 (GRUHN & CHEDDIE,

2006).

Já a técnica LOPA (Layer of Protection Analysis) foi desenvolvida

para suprir a necessidade por métodos quantitativos ou tentar evitar

questionamentos da repetibilidade dos resultados de métodos qualitativos.

Por exemplo, para um mesmo problema, grupos de análise diferentes

39

poderiam levar a resultados diferentes, então, surge o questionamento

sobre qual dos resultados é o correto e também sobre a qualidade destes

resultados. O primeiro passo neste método é estabelecer o risco tolerável,

tarefa já comentada anteriormente. A tabela a seguir mostra alguns

valores para risco tolerável por ano que são utilizados por algumas

indústrias de classe mundial, os nomes, porém, foram trocados por nomes

fictícios.

Tabela 3 – Exemplo de riscos toleráveis praticados por empresas de classe mundial

Fonte: (GRUHN & CHEDDIE, 2006).

O passo seguinte envolve determinar a frequência ou probabilidade

do evento iniciador ocorrer, o qual pode ser um evento externo (por

exemplo, uma sobretemperatura) ou a falha de uma camada predecessora

(por exemplo, a falha do sistema de controle por saturação). É preciso

determinar cada valor para todos os eventos em análise. A tabela 4 exibe

valores como um exemplo.

40

Tabela 4 – Exemplo de frequência de eventos iniciadores.

Fonte: (GRUHN & CHEDDIE, 2006).

O passo seguinte, ainda da técnica LOPA, é determinar o nível de

performance de cada camada. Há algumas regras que podem ser

consideradas uma camda independente de proteção (IPL, do inglês

Independent Protection Layer), como por exemplo:

• Especificidade – uma IPL é projetada para impedir ou mitigar as

consequências de um único evento perigoso. Causas diveras podem

levar a um mesmo evento perigoso, portanto, cenários de múltiplos

eventos podem iniciar a ação de uma IPL;

• Independência – uma IPL é independente de uma outra camada

associada com o perigo identificado. A falha de uma não pode

impedir a outra de executar a função para a qual foi projetada;

• Dependabilidade – os modos de falha sistemáticos e aleatórios

devem ser levados em conta no desenvolvimento de uma IPL;

• Auditabilidade – é necessária para facilitar a comprovação da

eficácia e validação da permanente funcionabilidade da proteção.

Testes e manutenção devem ser obrigatórios, bem como, a

documentação destas atividades.

41

2.8 Considerações Finais

Neste capítulo alguns conceitos relacionados aos Sistemas

Instrumentados de Segurança foram apresentados e duas técnicas para

determinação do Nível de Integridade de Segurança foram discutidas,

sendo uma qualitativa e outra quantitativa. Esses conceitos mostram-se

importantes para aplicação de SIS a equipamentos de alto custo (como é

o caso de uma turbina a gás) e equipamentos que possuem certo risco às

pessoas ao redor como ao meio ambiente.

A turbina a gás LM2500 da General Electric é uma destas máquinas

citadas, equipamento responsável pela propulsão de navios,

principalmente, de embarcações de aplicação militar em regime de fuga.

Portanto, o projeto de sistemas que a protejam é de suma importância.

No capítulo a seguir conhecer-se-á um pouco mais sobre estas turbinas e

suas proteções.

42

3. Determinação do SIL para turbina GE LM2500

A General Electric (GE) produziu sua primeira turbina a gás

aeroderivada, a LM100, em 1959 e no mesmo ano a LM1500, derivadas

da bem sucedida turbina para aviação J79. As primeiras aplicações foram

principalmente em propulsão de embarcações, acionamento de bombas e

compressores em plantas off-shore e geração de energia. Com o sucesso

de tais aplicações, chega em 1969 ao mercado a primeira versão da

LM2500 que poderia gerar uma potência em torno de 15 MW. Segundo

WOODYARD (2009), a Valiosa experiência de turbinas a gás da série LM

em aplicações de propulsão naval variando de embarcações de patrulha a

porta-aviões foi aproveitado pela GE Marine, tornado-a uma das líderes de

mercado. Atualmente a turbina LM2500 possui potência instalada em

torno de 25MW e com rendimento térmico de 37,1%, de acordo com

WOODYARD (2009).

Derivada da turbina turbofan GE TF39 para propulsão de aviões

militares e comerciais, a LM2500 marine é uma turbina a gás que opera

segundo o ciclo convencional (Ciclo Brayton aberto), possui dois eixos,

sendo um para o conjunto gerador de gás e compressor e outro para a

turbina de potência livre e a respectiva carga. Possui também, anexada a

ela, o sistema de bombas de óleo lubrificante e combustível e um sistema

de controle e governador de velocidade. Os seus quatro principais

elementos pode ser visto na figura 16, sendo eles:

43

• Um compressor de 16 estágios, com uma relação de compressão

de 18:1;

• Câmara de combustão anular;

• Dois estágios na turbina de alta pressão, é o que aciona no

compressor;

• Seis estágios na turbina de baixa pressão, acoplados

aerodinamicamente ao gerador de gás.

Fig. 16 – Corte da turbina GE LM2500.

Como citado anteriormente, as turbinas a gás constituem uma das

poucas exceções, pois o controle não está implementado separadamente

do intertravamento de segurança do equipamento. No caso da turbina a

gás instalada na Corveta Barroso da Marinha do Brasil, o controlador, ver

figura 17, utilizado é o Woodward Atlas PC, que incorpora o poder da

tecnologia PC em um sistema de controle robusto e determinístico,

totalmente programável para as mais diversas aplicações de controle e

intertravamento da turbina. O sistema inclui um processador pentium e

uma estrutura de barramentos PC/104+, como base para os requisitos de

44

I/O. Além disso, pode-se fazer uso de I/O distribuídos que podem ser

integrados a partir de comunicação serial ou de uma rede Ethernet.

Fig. 17 – Exemplo de controlador da turbina a gás LM2500.

Como já se sabe, quando excedidos os limites de operação, o

controlador poderá comandar o desligamento da turbina e impedindo que

as válvulas de combustível sejam abertas até a parada total do gerador de

gás e posterior rearme do sistema. O controle também prevê alarmes

anteriores aos limites de operação para que a turbina seja desacelerada

automaticamente ou para que seja tomada uma ação pelo operador. No

tópico seguinte, serão descritos algumas das malhas de segurança da

turbina a gás GE LM2500, que serão alvo do presente estudo.

45

3.1 Funções de Segurança e Proteção da Turbina GE LM2500

3.1.1 Pressão do Óleo Lubrificante

A pressão do óleo lubrificante opera normalmente entre 25 e 60 psi

para velocidades do gerador de gás (NGG) maiores que 8000 rpm. Caso, a

esta velocidade, a pressão caia abaixo de 25 psi, um alarme é gerado, o

que requer a ação imediata do operador. Caso a pressão continue caindo

e atinja níveis menores que 15 psi, a máquina será desligada em

emergência (trip). Para velocidades entre, 4500 e 8000 rpm, pressões

abaixo de 8 psi resultarão em alarme e quedas abaixo de 6 psi

acarretarão em desligamento imediato do equipamento, ou seja,

fechamento das válvulas de combustível, sendo esta condição ignorada na

partida da turbina até que a rotação de 4500 rpm seja atingida, condição

suficiente para que a bomba desenvolva a pressão adequada ao

fornecimento de óleo lubrificante. Esta lógica pode ser resumida através

da tabela 5.

Tabela 5 – Lógica de proteção do fornecimento de óleo lubrificante.

Fonte: (GENERAL ELECTRIC, 2004).

46

A figura a seguir mostra um esquema simplificado do sistema de

combustível da turbina LM2500. Um transmissor de pressão antes da

válvula externa (que se encontra fora do invólucro da turbina) indica a

pressão de fornecimento de combustível, variável a qual é utilizada pela

lógica de intertravamento de partida, já as válvulas FSOV1 e FSOV2 são

utilizadas para corte de combustível no caso de algumas das condições

descritas quando ocorre um trip. Sendo este sistema responsável pelas

paradas de emergência desta máquina.

Fig. 18 – Esquema simplificado do sistema de combustível.

47

3.1.2 Temperatura do Gás de Entrada na Turbina de Potência

Temperaturas do gás de entrada na turbina de potência livre

maiores que 1643ºF (equivalente a 895ºC) acionam um alarme que

requer ação imediata do operador. Temperaturas maiores que 1668ºF

(equivalente a 909ºC) provocam o desligamento imediato do

equipamento.

No momento de partida da máquina, também há um limitador PID,

durante os primeiros 80 s que seguem a ignição, caso a temperatura

exceda os limites descritos pela curva exibida, figura 19, a partida é

abortada.

Fig. 19 – Limite de temperatura durante a partida.

48

3.1.3 Velocidade do Gerador de Gás

Caso a velocidade do gerador de gás exceda 9850 rpm, é acionado

um para ação imediata do operador. Se a velocidade atingir a 9950 rpm, a

máquina é desligada imediatamente. Isto também ocorre caso ocorra a

perda do sinal do sensor de velocidade, deve-se lembrar que a turbina é

equipada com apenas um pick-up magnético no gerador de gás, a falha é

considerada caso haja alguma leitura fora da faixa de 250 a 12000 rpm,

sendo esta proteção ignorada na partida.

3.1.4 Proteção Contra Stall do Gerador de Gás

É considerada condição de stall da turbina quando são excedidas

simultaneamente a taxa de variação da pressão de descarga e a

quantidade dessa variação de acordo com a curva exibida na figura 20.

49

Fig. 20 – Curva utilizada na detecção de stall.

50

O stall é detectado quando a taxa de variação de pressão (dPS3/dt)

excede os limites definidos por “A” e a pressão instantânea PS3 excede os

limites definidos por “B”, tendo como base a pressão inicial PS3.

Caso a um stall seja detectado com velocidade menor que 7500

rpm, a turbina é desacelerada para ralanti (modo de operação com

velocidade mínima e sem carga) e é mantida esta velocidade até que o

operador o rearme e aumente a velocidade da turbina novamente. Caso

tal fenômeno ocorra a velocidade maiores que 7500 rpm, é comandada a

parada normal da turbina. Esta é a única parada da que não realiza o

corte repentino de combustível, ou seja, é a única parada automática que

realiza os passos de uma parada normal, como o resfriamento em ralanti.

Caso o stall ocorra quando a turbina estiver em ralanti, é provocada a

parada automática da turbina.

3.1.5 Controle de Vibração

O controle da vibração é de suma importância para manutenção da

integridade física da turbina a gás, não apenas para se evitar que suas

freqüências de ressonância sejam atingidas, mas também, para que sejam

detectadas anomalias em seus conjuntos mecânicos.

Na turbina LM2500 está instalado o sistema de monitoramento de

vibrações Bently 3500, ele é responsável pelo monitoramento nos eixos x

e y, pela vibração gerada pela turbina de potência no gerador de gás e

pela vibração gerada pelo gerador de gás gerado na turbina de potência.

51

Tal sistema recebe sinais de quatro transdutores de vibração e repassa ao

controlador as informações, podendo ser gerados alarmes ou o

desligamento da máquina.

Níveis de vibração da turbina de potência e do gerador de gás acima

de 7mil (sabe-se que 1mil equivale a 25,4 micrometros) são considerados

altos e acima de 10mil são considerados perigosos, filtrados na faixa de 3

a 5 Hz . Para os movimentos nas direções “x” e “y”, os valores

considerados são como limiar para alarme e trip são, respectivamente,

4mil e 7mil, filtrados na faixa de freqüência de 75 a 200 Hz. Estes valores

são enviados ao controlador da turbina que efetua a parada de

emergência.

3.2 Determinação do SIL para as Funções de Segurança

Comentadas

Uma vez que algumas malhas de segurança que normalmente são

utilizadas pelas turbinas a gás já são conhecidas, pode-se realizar a

especificação do Nível de Integridade de Segurança (SIL) para elas. O

objetivo é que o SIL seja determinar por uma técnica qualitativa, Gráfico

de Riscos, e uma quantitativa, LOPA.

52

3.2.1 Determinação pelo Método do Gráfico de Risco, segundo N-2595

O método do Gráfico de Risco foi desenvolvido por alemães e

suecos, de forma diferente, porém similarmente, para a determinação do

SIL. Segundo GRUHN & CHEDDIE (2006), é um método figurativo e

propositalmente vago e aberto a interpretações, devendo, portanto, ser

mais bem explicitado e adaptado por cada companhia a sua realidade.

Logo, os padrões apenas mostram a metodologia, porém, para que esta

técnica possa ser empregada a própria empresa deve desenvolver a sua

metodologia própria. A figura a seguir mostra um exemplo de gráfico de

riscos. Neste exemplo, para cada conseqüência de um evento perigoso e

com base na freqüência, possibilidade de impedimento e probabilidade de

ocorrência determina-se o SIL, seguindo-se a letra escolhida (a

classificação realizada) e as setas, aliando-se ao cruzamento com coluna

da freqüência de ocorrência.

Fig. 21 – Exemplo de um gráfico de risco.

53

A norma N-2595 (Petrobras), revisão B, de 2008, estabelece os

procedimentos para determinação do SIL requerido para cada malha de

segurança, utilizando a técnica do Gráfico de Risco. Para determinação do

SIL para a possibilidade de falha na demanda, Inicialmente, é estabelecida

a freqüência de ocorrência do evento perigoso, através da tabela a seguir

e com base nas seguintes recomendações:

• Selecionar W2 quando a dinâmica do processo é conhecida e os

sistemas de controle estão em condição normal de funcionamento;

• Selecionar W1 quando durante a vida útil da planta for provável o

surgimento de somente uma demanda na malha de segurança; esta

classificação requer justificativa;

• Em sistemas de proteção contra fluxo reverso em fluidos limpos e

não corrosivos, considerar que a utilização de válvula de retenção

reduz a freqüência de demanda em um dígito;

• Se para cada 10 demandas existe somente uma possibilidade de

ocorrer a conseqüência dita potencial, a freqüência de demanda

deve ser reduzida e um dígito, exemplo: para cada 10 ocorrências

de queima subestequiométrica existe a possibilidade de ocorrer

apenas 1 explosão do forno; nesse caso se a freqüência de demanda

considerada inicialmente for W2, deve ser revisada para W1.

54

Tabela 6 – Freqüência de Demanda.

Fonte: N-2595 (2008), PETROBRAS.

Segue-se para o questionário sobre a segurança pessoal, ver figura

22, sendo as escolhas baseadas no questionamento das três perguntas:

• “Qual é o potencial de risco para o ser humano se a malha de

segurança falhar na demanda?” caso não haja risco algum (S0),

nenhuma classificação relativa à segurança pessoal deve ser

requerida, caso contrário, deve se dar prosseguimento as avaliações

(ver figura 22);

• “Qual o período de exposição humana na área em que o evento

de risco poderia ocorrer”? Este questionamento deve ser feito

somente para os casos enquadrados em níveis S2 e S3 (ver figura

22);

• “É possível que a(s) pessoa(s) presente(s) na área evite(m) se

expor ao evento de risco”? Este questionamento deve ser feito

somente para os casos enquadrados em nível S2, o uso de

equipamentos de proteção individual não são considerados como

redutores do grau G2 para G1, mesmo sendo de conhecimento geral

que tais equipamentos contribuem significativamente para

segurança pessoal (ver figura 22).

55

Fig. 22 – Questionário para “segurança pessoal”.

Através do “caminho” realizado pelas respostas, ver figura 23, e com o

cruzamento da informação da freqüência a classe é determinada, o SIL só

terminado através de outra tabela, que será mostrada mais adiante, que

faz a correlação entre a classe o SIL especificado. O resultado obtido no

gráfico de risco é a “classe” da malha e é baseada na norma alemã que

estabelece os requisitos para SIS, DIN V19250.

56

Fig. 23 – Gráfico de Risco para “segurança pessoal”.

Para a classificação quanto a “Perda de Produção e Danos ao

Equipamento” é realizada através do questionário exibido na figura 24. A

norma ainda uma oferece uma elucidação através de exemplos para a

classificação em questão, transcritos a seguir:

• L0: Sem perturbações operacionais ou danos a equipamentos:

perturbação ou dano insuficiente para justificar um procedimento de

emergência. Exemplos: falha em controlador resultando em alarme

operacional.

• L1: Pequenas perturbações operacionais ou danos reduzidos ao

equipamento. Exemplos de Pequenas Perturbações Operacionais:

produção fora de especificação; pequenas quantidades de alívio de

57

fluidos. Exemplos de danos reduzidos ao equipamento: cavitação de

bombas convencionais por baixa pressão na sucção; possibilidade de

danos moderados ou graves em equipamentos essenciais, ou não

essenciais, que são causados por eventos de ação prolongada, mas

que não requeiram rápida intervenção do operador (mínimo de um

dia).

• L2: Moderadas perturbações operacionais ou danos moderados

ao equipamento. Exemplos de moderadas perturbações

operacionais: perturbação na área de utilidades afetando outras

áreas, como a injeção de líquido em correntes de gás para o sistema

de gás combustível; grandes quantidades de alívio de fluidos.

Exemplos de danos moderados ao equipamento: cavitação em

bombas de alta rotação ou em bombas de múltiplos estágios que

disponham de reserva.

• L3: Grande perturbação operacional ou dano grave ao

equipamento. Exemplos de grande perturbação operacional: alívio

abrupto de grandes quantidades de massa causando violenta

liberação de energia, como é o caso de brusca despressurização em

sistemas de alta pressão; transbordamento de fluidos de processo;

solidificação de produtos em linhas não aquecidas, de grandes

dimensões, requerendo custosas ações de correção; necessidade de

reparos de baixo custo em equipamentos essenciais que trabalhem

sem reserva. Exemplos de dano grave ao equipamento: necessidade

58

de reparos custosos em equipamentos que disponham de reserva ou

equipamentos não essenciais.

• L4: Perda de produção associada a dano em equipamento

essencial. Exemplos de perda de produção: sobretemperatura em

reações exotérmicas fora de controle; sobrepressão em sistemas

onde a malha de segurança é o dispositivo de proteção final, devido

à impossibilidade de instalação de válvulas de segurança. Exemplos

de dano em equipamento essencial: explosão de fornos e caldeiras;

nível alto em vaso de sucção de compressor; baixa pressão na

sucção de bombas de múltiplos estágios.

• Nota: danos em equipamentos essenciais podem ser

considerados similares aos apontados em L2 e L3, com a

particularidade de que, nesta caracterização, trazerem maiores

perdas econômicas (cifras de milhões de US$) por ocasião da

indisponibilidade do equipamento essencial, que não disponha de

reserva, devido à extensão do período de reparos ou de

substituição.

Fig. 24 – Questionário de “Perda de Produção e Danos ao Equipamento”.

59

Mais uma vez, primeiramente se determina a classe com o gráfico de

risco, conforme figura 25, para em seguida se estabelecer o SIL.

Fig. 25 – Gráfico de risco para “Perda de Produção e Danos ao

Equipamento”.

A norma N-2565 também estabelece para a determinação do SIL

um requisito de segurança relacionado ao meio ambiente. Este item da

norma, inclusive, supera a preocupação de normas internacionais como a

IEC-61511, que visam somente à segurança em relação aos equipamentos

e pessoas. Isto é conseqüência da preocupação da companhia em relação

das multas que pode ser impostas pelas autoridades ambientais, bem

como, da preocupação com a própria imagem da companhia que um de

seus importas ativos. Para tanto, faz-se do questionário exibido na figura

26 associado a recomendações da que retratam a grande preocupação

com a imagem, tanto que nível “E” pode até ser elevado em um nível se a

imagem da companhia estiver em jogo.

60

Fig. 26 – Questionário relacionado à segurança do meio ambiente.

A informação da classificação “E” é cruzada com a freqüência de demanda

para se obter a classe da malha, conforme a figura 27.

Fig. 27 – Gráfico de risco para o meio-ambiente.

Uma vez obtidos os resultados para os três gráficos de risco, deve-

se cruzar as classes obtidas com a tabela a seguir, dessa forma, obtendo-

se o SIL requerido pela malha avaliada.

61

Tabela 7 – Equivalência entre classe e SIL.

Fonte: N-2595 (2008), PETROBRAS.

Com posse destes resultados, deve-se definir como o SIL definitivo da

malha o maior valor encontrado entre os três avaliados.

A norma faz uma ressalva quando o SIL encontrado for o SIL4,

deve-se refazer o projeto conceitual ou se utilizar outras camadas para a

redução do risco. Isto está coerente com o afirmado pela literatura do

tema, pois segundo GRUHN & CHEDDIE (2006), o SIL4 é praticamente

restrito a aplicações aeroespaciais e nucleares.

Os resultados obtidos após a aplicação da técnica do gráfico de

risco, segundo a N-2595, para as malhas de segurança de uma turbina a

gás podem ser resumidos na tabela 8.

Para a definição das demandas de ocorrência dos eventos perigosos

relacionados a cada respectiva SIF, foi utilizada a figura 28, que segundo

(BOYCE, 2001) mostra o percentual das principais causas de falhas em

turbinas a gás utilizadas para geração de energia, associada à informação

de taxa de falhas. De acordo com US ARMY, CORPS OF ENGINEERS

(2006), a taxa de falhas para turbinas a gás utilizadas em unidades de

geração de energia é de 0,43410 falhas/ano. Também foi considerada

62

para o sistema de lubrificação a ocorrência de um evento perigoso mais

de uma vez por ano. Além disso, para as respostas para dos questionários

da norma, levou-se em consideração as informações contidas na Tabela 5

de HSE (2006), em anexo, a qual exibe os modos de falha e perigos

correlatos aos principais componentes das turbinas a gás.

Fig. 28 – Contribuição nas falhas dos principais componentes de uma

turbina gás.

63

Tabela 8 – Resultados obtidos para malhas de uma turbina a gás. Malhas de Segurança

1 2 3 4 5

Demanda = W3 W2 W2 W3 W2 Segurança Pessoal

S = S3 S1 S0 S1 S1

A = A1 X X X X

G = X X X X X

SIL = 3 0 X 0 0 Perda de Produção e Danos ao Equipamento

L = L4 L4 L3 L3 L4

SIL = 2 1 1 1 1

Meio Ambiente

E = E0 E0 E0 E0 E0

SIL = 0 0 0 0 0

Resultado Final

SIL = 3 1 1 1 1

Legenda: 1. Pressão do Óleo Lubrificante

2. Temperatura do Gás de Entrada na Turbina de Potência

3. Velocidade do Gerador de Gás

4. Proteção Contra Stall do Gerador de Gás

5. Controle de Vibração

3.2.2 Determinação pelo método LOPA

As freqüências dos eventos perigosos relacionados a cada SIF

específica foi estimada com base nos dados fornecidos por US ARMY,

CORPS OF ENGINEERS (2006). Para a estimativa de eventos relacionados

ao sistema de lubrificação, foi considerado o percentual de falhas

ocorridas proporcionalmente às falhas em rolamentos, de acordo com a

figura 28, ou seja, 27% do total de falhas por ano. De maneira similar foi

64

realizada a estimativa de freqüência de eventos perigosos para as demais

zonas de avaliação, sendo a temperatura de entrada da turbina de

potência, a rotação do gerador de gás, stall do gerador de gás e vibração

na turbina relacionada, respectivamente, às falhas na turbina de potência,

gerador de gás e a combinação de rolamentos, selos e acoplamentos,

tanto para o stall quanto para a vibração. Essa abordagem mostra-se

bastante conservadora, pois a uma superposição da freqüência de eventos

perigosos que são contabilizados para mais de uma vez, superestimando a

ocorrência das situações de perigo, como exemplifica o uso do mesmo

índice para duas SIFs diferentes.

As PFDs de cada IPL foram determinadas de acordo com

VASCONCELOS (2008) e OLF (2004). As tabelas a seguir resumem a

análise quantitativa e especificam o SIL para cada SIF, se aplicável. Como

o risco tolerável, adotou-se o a valor de 10-4, uma escolha dentro da faixa

mais utilizada, de acordo com MARZAL (2001).

O cenário resumido na Tabela 9 aborda o nível de integridade de

segurança para uma malha responsável pela segurança do sistema de

lubrificação da turbina. Falhas detectadas por este sistema podem evitar

desde problemas mecânicos no equipamento a indicar o tempo certo de

uma troca de filtro ou limpeza, podendo-se utilizar esta monitoração para

fins de manutenção preditiva. E ainda, segundo HSE (2006), falhas neste

sistema podem acarretar não somente danos moderados ao equipamento

e risco ao pessoal quanto risco de incêndio ou explosão na instalação.

65

Tabela 9 – Resumo da análise para Sistema de Lubrificação. Zona de avaliação: Sistema de lubrificação

Freqüência IPLs PFD 3,04E-02

Transmissor de pressão 1,30E-03 Operador 1,00E-01

Risco 3,95E-06 Sim Não

Aceitou a condição de risco?

X

Redução de Risco Necessária

X

SIL Requerido 0

A Tabela 10 resume o cenário para a temperatura de entrada na

turbina de potência, problemas não impedidos por esta malha podem

danificar severamente o material empregado na construção das paredes,

pás e demais partes de uma turbina, segundo HSE (2006), ocorre a

degradação térmica do material, comprometendo a vida útil do

equipamento o mesmo inutilizando-o.

Tabela 10 – Resumo da análise para Temperatura de entrada na TP.

Zona de avaliação: Temperatura do gás na entrada da turbina de potência

Freqüência IPLs PFD 8,68E-03

Controle Automático (BPCS)

1,00E-01

Operador 1,00E-01 Risco 8,68E-05

Sim Não Aceitou a condição de

risco? X

Redução de Risco Necessária

X

SIL Requerido 0

66

O cenário resumido na Tabela 11 aborda a segurança para

sobrevelocidade do gerador de gás. Falhas neste contexto podem levar ao

comprometimento mecânico do equipamento, além de instabilidade no

sistema acionado pela turbina, seja ele um gerador elétrico ou um sistema

de propulsão de uma embarcação.

Tabela 11 – Resumo da análise para Rotação do Gerador de Gás. Zona de avaliação: Rotação Gerador de Gás

Freqüência IPLs PFD 7,38E-02

Controle Automático (BPCS)

1,00E-01

Operador 1,00E-01 Risco 7,38E-04

Sim Não Aceitou a condição de

risco? X

Redução de Risco Necessária

X

SIL Requerido 1

O cenário descrito pela tabela 12 aborda o impedimento do

problema que ocorre em turbomáquinas, chamado stall, que poderá levar

ao surto (do termo em inglês surge) do compressor do gerador de gás.

Falhas devidas a este problema levar a turbina a operar numa faixa de

instabilidade, que acarretará em alta vibração e parada da turbina (algo

inaceitável em turbinas utilizadas para propulsão de aeronaves),

comprometendo severamente partes mecânicas como rolamentos e

acoplamentos.

67

Tabela 12 – Resumo da análise para Rotação do Gerador de Gás. Zona de avaliação: Stall do Gerador de Gás

Freqüência IPLs PFD 5,64E-02

Transmissor de pressão 1,30E-03 Operador 1,00E-01

Risco 7,34E-06 Sim Não

Aceitou a condição de risco? X

Redução de Risco Necessária

X

SIL Requerido 0

O cenário em resumido na Tabela 13 é relativo à vibração na

turbinas. Vibração excessiva em equipamentos mecânicos pode levar a

danos severos a qualquer máquina, principalmente, se a operação for

próxima de alguma velocidade crítica do equipamento e com um baixo

amortecimento, caracterizando o fenômeno da ressonância. Segundo HSE

(2206), vibração excessiva pode acarretar em baixa performance da

turbina, bem como, em danos graves a dispositivos como selos, que,

inclusive, podem levar a incêndios ou risco de explosão.

68

Tabela 13 – Resumo da análise para a Vibração da Turbina. Zona de avaliação: Vibração da Turbina

Freqüência

IPLs PFD 5,64E-02

Sistema de Monitoramento de

Vibração 1,00E-01

Operador 1,00E-01 Risco 5,64E-04

Sim Não Aceitou a condição de

risco? X

Redução de Risco Necessária

X

SIL Requerido 1

69

4. Análise dos resultados e conclusões sobre a técnica qualitativa

e quantitativa.

Resultados foram obtidos pelas duas tanto para a qualitativa quanto

para a quantitativa. Após isso é preciso interpretá-los e, posteriormente,

tirar conclusões sobre eles.

4.1 Análise Qualitativa

Pode-se perceber que a técnica para determinação do SIL requerido

pelas malhas de segurança é de certa forma rápida e de fácil

compreensão a todos os profissionais envolvidos da especificação de

requerimentos de segurança para equipamentos e/ou processos, sendo

eles das áreas de operação, manutenção, segurança do trabalho e

instrumentação e automação e controle, técnicos ou engenheiros.

Entretanto, requer certa expertise para estes profissionais envolvidos.

Portanto, é necessário que haja na equipe pessoas com vasta experiência

de campo e no ramo da aplicação da máquina ou processo, algo que nem

sempre é possível ou tão barato.

A norma N-2595 da Petrobras mostrou de fácil aplicabilidade e

apesar de ser uma norma de uma companhia, devido ao seu pioneirismo

no país, pode ser utilizada por outras instituições brasileiras, em particular

as do ramo offshore, e servir como base para uma futura norma nacional

elaborada pela Associação Brasileira de Normas Técnicas.

70

4.2 Análise Quantitativa

A técnica LOPA mostrou-se, apesar de simples, onerosa para a

equipe responsável pelas especificações de segurança. O principal

obstáculo é encontrar uma base dados confiável, com dados de taxas de

falhas para as partes do equipamento e não somente para o total de

falhas dele. A base de dados utilizada para a estimativa de freqüência de

ocorrência dos eventos perigosos foi elaborada por uma iniciativa do

Corpo de Engenheiros do Exército Americano, que atenta para

equipamentos utilizados em unidades de geração de energia.

Há outras iniciativas como o OREDA (Offshore REliability Data),

elaborado há algumas décadas pelo órgão norueguês DNV (Norwegian

Petroleum Directore, em inglês). O OREDA tem se mostrado a principal

ferramenta para atribuição de risco atualmente e até mesmo extrapolando

o setor do petróleo, principalmente, por apresentar dados detalhados

como: população avaliada, taxas de falhas críticas e espúrias, taxas de

falhas por subcomponente ou subsistemas etc. Contudo, para a

elaboração deste trabalho, tal publicação se mostrou inviável, devido ao

alto custo de aquisição e dificuldade para encontrá-la em bibliotecas

nacionais. Entretanto, a não utilização desta fonte de informação, não

invalida o trabalho, pois, com pequenas alterações, pode-se efetuar uma

nova análise para esta base de dados. Vale salientar que a fonte de dados

utilizada, apesar de não difundida, é similarmente confiável.

71

Para a determinação da probabilidade de falha na demanda, foram

utilizados os dados já calculados previamente, baseado nas normas IEC

61508 e 61511, o que não constituiu tanta dificuldade, visto que já

haviam sido utilizados por trabalhos acadêmicos anteriores.

Apesar da dificuldade já comentada para obtenção de uma base de

dados do equipamento, a aplicação da técnica LOPA mostrou-se rápida e

fácil. Com auxílio de um programa elaborado em qualquer linguagem ou

até mesmo com o uso de uma planilha eletrônica, podem-se efetuar

rapidamente os cálculos necessários. E com base no risco tolerável por

cada companhia, pode-se determinar a necessidade ou não de um

Sistema Instrumentado de Segurança.

4.3 Resultados Qualitativos x Quantitativos

De acordo com GRUHN & CHEDDIE (2006), é esperado que técnicas

quantitativas levem a resultados com menor desempenho requerido pelas

malhas de segurança. Algo que se refletiu no presente trabalho.

Mostrando a não necessidade de utilização de instrumentos e atuadores

certificados, portanto, menos onerosos, acarretando em um projeto mais

enxuto do ponto de vista da engenharia econômica. Este a fato mostra o

perfil mais conservador das técnicas qualitativas e reafirma, ainda mais, a

necessidade de utilização de uma técnica quantitativa quanto maior for o

projeto, máquina ou processo. A Tabela 14 exibe uma comparação entre o

SIL especificado por cada técnica.

72

Tabela 14 – Comparação dos resultados N-2595 x LOPA. Malha: 1 2 3 4 5 N-2595 3 1 1 1 1 LOPA 0 0 1 0 1

Legenda: 1. Pressão do Óleo Lubrificante

2. Temperatura do Gás de Entrada na Turbina de Potência

3. Velocidade do Gerador de Gás 4. Proteção Contra Stall do Gerador de Gás

5. Controle de Vibração

Como se pode observar, na maioria das malhas o SIL especificado

pela técnica LOPA foi inferior ao determinado pela N-2595, inclusive não

determinando a necessidade de um Sistema Instrumentado de Segurança.

Nas demais malhas, o SIL especificado pelas duas técnicas foi equivalente.

Contudo, não houve um SIL especificado pela LOPA que fosse maior que o

determinado pela técnica qualitativa.

4.4 Considerações Finais

Apesar de os resultados encontrados serem diferentes, que está de

acordo com GRUHN & CHEDDIE (2006), não se pode concluir que um

deles está errado e o outro correto. Esta diferença entre técnicas apenas

reflete a diferença entre grau de conservadorismo alcançado por cada

uma delas.

As duas técnicas, como já dito anteriormente, se mostraram práticas

e simples. Algo importante, pois técnicas muito complexas inviabilizam

73

sua aplicabilidade na indústria em geral, a pressão por resultados rápidos

e eficazes inibe a maior dedicação à pesquisa detalhado de certos

assuntos na grande maioria das corporações, até mesmo nas de classe

mundial. Essa simplicidade as valoriza e as torna uma boa ferramenta

para o mundo real.

Para trabalhos futuros fica a proposta da utilização de outras bases

de dados para confronto entre técnicas qualitativas e quantitativas.

74

Referências Bibliográficas ANSI/ISA-84.00.01. Functional Safety: Safety Instrumented Systems for the Process Industry Sector. 2004. ANSI/ISA-91.00.01. Identification of Emergency Shutdown Systems and Controls That Are Critical to Maintaining Safety in Process Industries. 2001. BOYCE, M.P. Gas Turbine Engineering Handbook. Oxford, 2001. Gulf Professional Publishing. 817p. GRUHN, Paul.; CHEDDIE, Harry. Safety Instrumented Systems: Design, Analyses, and Justification. 2. Ed. New York, 2006. ISA. 314p. HSE – Health and Safety Executive. Offshore gas turbines (and major driven equipment) integrity and inspection guidance notes. Oxfordshire, 2006. IEC-61508. Functional Safety of lectrical/Electronic/Programmable Electronic Safety-Related Systems. 2003. MARTINELLI, L.C. Máquinas Térmicas II. Disponível em < http://www.scribd.com/doc/7326125/Maquinas-Termicas-II >. Acesso em Maio de 2010. MARZAL, Edward M. Tolerable risk guidelines. Disponível em < http://findarticles.com/p/articles/mi_qa3739/is_200101/ai_n8933952/>. Acesso em Julho de 2010. OLF. Application of IEC 61508 and 61511 in the Norewegian Petroleum Industry. 2004. 214p. PETROBRAS. N-2595: Critérios De Projeto E Manutenção Para Sistemas Instrumentados De Segurança Em Unidades Industriais. Rev. B, 2008. 46p. SHAPIRO, H. N.; MORAN, M.J. Fundamentals of Thermodynamics. 5. Ed. London, 2006. Wiley. Cap. 9. US ARMY. TM 5-698-5: Survey Of Reliability And Availability Information For Power Distribution, Power Generation, And Heating, Ventilating & Air Conditioning (HVAC) Components For Commercial, Industrial, And Utility Installations. Washington D.C., 2006. 35p.

75

VASCONCELOS, Flávia Moço. Uma aplicação da técnica de análise de camadas de proteção (LOPA) na avaliação do risco do sistema de hidrogênio de refrigeração do gerador elétrico principal de uma usina nuclear. Dissertação de mestrado. Rio de janeiro, março de 2008. UFRJ/COPPE. p.53. WOODYARD, Doug. Pounder’s Marine Diesel Engines. 9. Ed. Oxford, UK, 2009. Elsevier. 905p.

76

ANEXO – Tabela 5 de HSE (2006)

77

78

79

80

81

82

83

84

85