Sunteți pe pagina 1din 249

CUPRINS

1. INTRODUCERE

1.1. Rolul Sistemelor Automate de Siguranţă şi


Protecţie
1.2. Exemple de Sisteme Automate de Siguranţă şi
Protecţie
1.3. Standardizarea Sistemelor Automate de
Siguranţă şi Protecţie
1.4. Delimitarea dintre Sistemele de Reglare și
Sistemele de Siguranță şi Protecţie
1.5. Niveluri de Siguranță și Protecţie Industrială
2. CICLUL DE VIAȚĂ AL SISTEMELOR
AUTOMATE DE SIGURANŢĂ ŞI PROTECŢIE

2.1. Analiza Hazardului şi a Riscului


2.2. Stabilirea Nivelurilor (SIL) și a Funcţiilor (SIF)
de Siguranţă şi Protecţie
2.3. Elaborarea Specificațiilor și Cerințelor
Sistemelor de Siguranță şi Protecţie (SRS)
2.4. Proiectarea Sistemelor de Siguranță și Protecție
2.5. Instalarea, Validarea (FAT, SAT) și Punerea în
Funcțiune a Sistemelor de Siguranță şi Protecţie
2.6. Operarea, Întreținerea (FPT), Modificarea și
Dezafectarea Sistemelor de Siguranță şi
Protecţie
3. DETERMINAREA NIVELULUI DE
INTEGRITATE A SIGURANŢEI (SIL)

3.1. Metoda Cantitativă


3.2. Analiza Nivelurilor de Protecție (LOPA)
3.3. Metode Calitative și Semicalitative
BIBLIOGRAFIE

• Bergstrom J., Safety Instrumented Systems (SIS) and Safety Life


Cycle, Process Engineering Associates, 2009.

• Dowell A., Layer of protection analysis for determining safety


integrity level, ISA Transactions, 37:155–165, 1998.

• Gruhn P., Cheddie H., Safety Instrumented Systems- Design,


Analysis and Justification, ISBN 1-55617-956-1, 2006.

• Macdonald D., Practical Industrial Safety - Risk Assesment and


Shutdown Systems, ISBN 0750658045, 2004.
•IEC 61508 - Functional safety of
electrical/electronic/programmable electronic safety-related
systems, International Electrotechnical Commission, 1998.

• IEC 61511 - Functional safety - Safety instrumented systems for


the process industry sector, International Electrotechnical
Commission, 2003.

• IEC 61882 - Hazard and operability studies (HAZOP studies) -


Application guide, 2003a.

• IEC 60812 - Analysis techniques for system reliability –


Procedure for failure mode and effects analysis (FMEA), first
edition 1985, second edition 2006-01, third edition 2008.
1. Introducere

• Operarea celor mai multe procese industriale, în special


a celor din industria de petrol și gaze, implica un risc
inerent din cauza substanțelor periculoase prezente.

• Se impune utilizarea Sistemelor de Siguranță și


Protecție (SSP) care sunt special proiectate pentru
protejarea personalului, echipamentelor, precum și a
mediului prin reducerea probabilității de apariție a unui
eveniment periculos neprevăzut sau prin diminuarea
gravității impactului acestuia.
1.1. Rolul Sistemelor Automate de Siguranţă şi
Protecţie

• Un SSP are ca scop aducerea procesului într-o stare


sigură atunci când condițiile de operare normală sunt
încălcate, din considerente de siguranță și protecție.

• Rolul unui SSP este de monitorizare a potențialelor


condiții periculoase și de diminuare a consecințelor în
cazul apariției unui eveniment periculos neprevăzut.
Exemple de SSP:

• sistemele de oprire în caz de urgență a instalațiilor


chimice cu grad ridicat de risc

• detectoarele de foc și gaz

• sistemele de protecție la suprapresiune

• sistemele de antiblocare a roților la frânare și de


airbag-uri din industria de automobile

• sistemul de oprire automată a trenurilor


Un Sistem de Siguranță și Protecție (SSP) este un
ansamblu de senzori/traductoare, elemente logice și
elemente de execuție.

Un SSP nu îmbunătățește producția sau eficiența, dar


contribuie la reducerea pierderilor economice prin
reducerea riscurilor.

Structura unui Sistem de Siguranță și Protecție (SSP)


industrial este reprezentată în figura 1.1.
PROCES INDUSTRIAL

SENZORI/ ELEMENTE DE
TRADUCTOARE EXECUŢIE

ELEMENTE LOGICE

SISTEM DE SIGURANŢĂ ŞI PROTECŢIE (SSP)

Fig.1.1. Structura unui SSP industrial.


• Senzorii sunt utilizați pentru măsurarea parametrilor
de proces (temperatură, presiune, debit etc) și
utilizarea măsurilor acestora pentru determinarea
situațiilor în care un echipament sau proces este
într-o zonă sigură sau nesigură de funcționare.

• Senzorii sunt dedicați SSP şi utilizează canale de


comunicaţie şi surse de alimentare diferite de cele
ale senzorilor din cadrul Sistemelor de Reglare
(SR).

• În condiţiile în care senzorul dispune şi de un


adaptor, atunci ansamblul dintre cele două elemente
este denumit traductor.
• Elementele logice au rolul de a determina ce decizie
trebuie luată pe baza informației primite de la
senzori/traductoare.

• Uzual, elementul logic este un PLC (Programmable


Logic Controller) care primește ca intrări semnale
senzorilor, execută un anumit program în funcție de
valorile acestora în scopul prevenirii posibilelor
situații periculoase și transmite comenzi către
elementele de execuție.
• Elementele de execuție duc la îndeplinire acțiunile
comandate de către elementele logice.

• Elementele de execuție sunt de obicei robinete cu


două stări închis/deschis (on/off), acționate
pneumatic.
• Toate cele trei elemente componente ale SSP trebuie
să fie proiectate astfel încât să poată izola în
siguranță procesul în cazul unei situații periculoase.

• Dacă funcția pentru care a fost proiectat SSP nu


poate fi îndeplinită în condițiile apariției unei
probleme, apare situația denumită eșec în
funcționare (fail to function).

• Pe de altă parte, un SSP trebuie să intre în acțiune


numai dacă a apărut o problemă. Cu toate acestea,
dacă SSP a fost activat în lipsa problemei, apare
situația denumită oprire/eroare falsă (spurious trip).
• Elementele logice ale SSP (figura 1.1) efectuează una
sau mai multe funcții logice pe baza valorii mărimilor
de intrare provenite de la senzori.

• De obicei, se preferă funcționarea folosind logica


votului m din n (moon), ceea ce înseamnă că m din cei n
senzori trebuie să detecteze o situație periculoasă înainte
ca SSP să fie activat.
• Logica votului folosită afectează fiabilitatea SSP.

• Un grad ridicat de redundanță reduce probabilitatea de


eșec la cerere, dar în același timp, rata erorilor false
poate crește.
1.2. Exemple de Sisteme Automate de Siguranță și
Protecție
I/P LC
1

Alimentare PSV Evacuare Vapori


RR1 forțată periculoși

LT H
1 LICHID
INFLAMABIL

Evacuare

Fig. 1.2. Sistem reglare automată a nivelului de lichid într-un vas:


LC1 – regulator de nivel, LT1 – traductor de nivel, I/P – convertor electro-pneumatic, RR1
– robinet de reglare, PSV – supapă de siguranță la suprapresiune (Pressure Safety Valve),
H – nivel de lichid în vas.
În fig. 1.2. este prezentat un vas în care este depozitat
un lichid inflamabil.

O buclă de reglare tipică trebuie să mențină nivelul în


vas (H) la 50%.

Un eveniment neplăcut poate apărea dacă bucla de


reglare eșuează dintr-un anumit motiv iar vasul devine
plin. Vasul are o supapă de siguranță la suprapresiune
(PSV) prin care dacă lichidul trebuie evacuat în exterior
va forma un nor de vapori periculos.
Cauzele ce pot duce la funcţionarea defectuoasă a
buclei de reglare sunt:

- robinetul de reglare (RR1) nu poate fi acționat;

- traductorul de nivel (LT1) este defect;

- regulatorul (LC1) este pe manual iar robinetul de


reglare (RR1) este deschis.
• Pentru a preveni eventualele daune, în cazul
funcționării defectuoase a SR automată a nivelului,
împreună cu acesta se poate utiliza un SSP, ca cel din
figura 1.3. Echipamentele din structura SR sunt notate
cu 1, iar cele din structura SSP, cu 2.

• Simbolurile utilizate pentru elementele din structura


SSP sunt cele stabilite prin standardul specific
ANSI/ISA 5.1 [ANSI/ISA, 2009].
HS
2

ELEMENT
LOGIC

AA

UZY2 LC
I/P
1

Alimentare Evacuare
PSV
UZV2 RR1 forțată

Fig. 1.3. Sistem reglare HH


LZT
automată și sistem de siguranță Hmax 2

și protecție a nivelului de lichid LICHID


într-un vas: INFLAMABIL
LZT2 – traductor de nivel maxim, UZV2 LT
– robinet de siguranță, UZY2 – robinet 1
electromagnetic, AA –alimentare aer, HS2
– reset manual (Human reSet), HH – Evacuare
alarmare nivel maxim (High High), Hmax
- nivel maxim.
Funcționarea SSP din figura 1.3: traductorul de nivel
LZT2 are rolul de a detecta atingerea nivelului maxim de
lichid în vas (Hmax) iar când acest lucru se întâmplă,
elementul logic, ce poate fi de exemplu un PLC,
determină închiderea alimentării vasului prin robinetul de
siguranță UZV2.
Practic, comanda de la elementul logic acționează asupra
robinetului electromagnetic UZY2 care opreşte
alimentarea cu aer a UZV2, aerul fiind ventilat către
exterior. Robinetul UZV2 va rămâne închis până când se
remediază toate defectele. Când nivelul de lichid atinge o
valoare normală, operatorul poate reseta starea UZV2
prin HS2 (Human reSet) iar operarea normală poate
continua.
START

NU
H_LZT2>Hmax

DA

ÎNCHIDE UZV2 LUARE LA ALARMARE


CUNOŞTINŢĂ ALARMARE
NIVEL
MARE
NU DA NU
HS2==RESET H_LZT2>Hmax NORMAL

DA
RESET

DESCHIDE UZV2

Fig. 1.4. Secvența logică de operare pentru SSP din figura 1.3.
UZV2 – robinet de siguranță aferent SSP, H_LZT2 – măsura nivelului de lichid furnizată de
traductorul de nivel maxim LZT2, Hmax – valoarea maximă admisibilă a nivelului de lichid
în vas, HS2 – reset manual (Human reSet).
CUPRINS

1. INTRODUCERE

1.1. Rolul Sistemelor Automate de Siguranţă şi


Protecţie
1.2. Exemple de Sisteme Automate de Siguranţă şi
Protecţie în Funcţionare a Sistemelor
Industriale
1.3. Standardizarea Sistemelor Automate de
Siguranţă şi Protecţie
1.4. Delimitarea dintre Sistemele de Reglare și
Sistemele de Siguranță şi Protecţie
1.5. Niveluri de Siguranță și Protecţie Industrială
TC
I/P
1

TT
Materie primă
1
(combustibil) la T

Abur
RR1
ÎNCĂLZITOR
Evacuare
apă

Materie primă
(combustibil) la T0

Fig. 1.5. Sistem reglare automată a temperaturii într-un încălzitor


(schimbător de căldură).
TC1 – regulator de temperatură, TT1 – traductor de temperatură, I/P – convertor
electro-pneumatic, RR1 – robinet de reglare, T0 – temperatura materiei prime la intrarea
în încălzitor, T – temperatura materiei prime la ieşirea din încălzitor, T>T0.
Un alt exemplu de sistem industrial ce poate impune utilizarea
SSP este cel din figura 1.5, ce reprezintă un încălzitor (schimbător
de căldură) cu abur echipat cu un sistem de reglare a temperaturii.

Rolul sistemului de reglare format din traductorul de temperatură


TT1, regulatorul TC1 și robinetul de reglare RR1 este de a
menține temperatura sub o anumită valoare maximă dincolo de
care materia primă ce este încălzită poate deveni periculoasă.

Regulatorul de temperatură este de obicei implementat în cadrul


sistemului distribuit de conducere DCS (Distributed Control
System).
Pentru protecția sistemului în cazul în care sistemul de reglare
eșuează, iar temperatura atinge sau chiar depășește valoarea
maximă admisibilă, se poate utiliza SSP din figura 1.6, ce
conține în structura sa două traductoare de temperatură (TZT2 și
TZT3), un element logic (de obicei un PLC) și robinetul
electromagnetic UYZ2, respectiv robinetul de siguranţă UZV2.

Atunci când o temperatură ridicată este detectată de unul din cele


două (1oo2 - 1 Out Of 2) traductoare de temperatură (TZT2 sau
TZT3), SSP previne atingerea temperaturii ce determină
aprinderea materiei prime în încălzitor, prin oprirea alimentării
cu abur acționând asupra robinetului electromagnetic (UZY2)
care va închide alimentarea cu aer a robinetului de siguranță
UZV2, ce se va închide la rândul său, oprind astfel alimentarea
cu abur a schimbătorului.
HS
2

Element logic
TC
I/P
1

AA TT HH HH
TZT TZT
1 2 3

Materie primă
UZY2 (combustibil) la T

Abur
RR1 UZV2
ÎNCĂLZITOR
Evacuare
apă

Materie primă
(combustibil) la T0

Fig. 1.6. Sistem reglare automată și sistem de siguranță și protecție a


temperaturii într-un încălzitor (schimbător de căldură):
Atât robinetul electromagnetic UZY2 cât şi robinetul de
siguranță UZV2 sunt echipamente cu funcţionare sigură în caz
de defectare (fail safe) în sensul că în condiţiile în care nu
există semnal sau aer instrumental starea lor este închis, oprind
astfel alimentarea cu abur.

Cele două adaptoare din structura traductoarelor de temperatură


(TZT2 și TZT3) au funcționare inversă, în sensul că o valoare
mică a semnalului primit de la senzor sau lipsa acestuia inițiază
interblocarea. Şi acestea sunt elemente cu funcționare sigură în
caz de defectare (fail safe).

Elementul logic, de exemplu un PLC, este programat ca în


cazul în care se detectează o valoare mare a temperaturii sau
lipsa semnalului de la cele două traductoare să acționeze asupra
UZV2, închizându-l.
START

T_TZT2>Tmax
NU
sau
T_TZT3>Tmax

DA
LUARE LA ALARMARE
ÎNCHIDE UZV2 CUNOŞTINŢĂ ALARMARE
TEMPERATURĂ
MARE
NU DA T_TZT2>Tmax
HS2==RESET NU
sau NORMAL
T_TZT3>Tmax
DA
RESET

DESCHIDE UZV2
1.3. Standardizarea Sistemelor Automate de Siguranţă şi
Protecţie

SSP beneficiază de o atenție din ce în ce mai mare în sectorul


industrial datorită presiunii crescânde în ceea ce privește
respectarea mediului înconjurător prin reducerea emisiilor şi
obținerea unor produse cât mai ecologice, dar și din cauza
numeroaselor accidente care au avut loc în diferite instalații.

Până în anii ‘80 problema siguranţei proceselor industriale a fost


lăsată în seama diferitelor companii din domeniu, care au elaborat
pe baza experienţei proprii seturi de reguli privind proiectarea și
utilizarea SSP.

Ulterior, aceste seturi de reguli au fost integrate în cadrul unor


standarde internaţionale şi reglementări guvernamentale care
impun companiilor să respecte anumite proceduri.
1.3.1. Evoluţia Standardelor Asociate Sistemelor de Siguranţă şi
Protecţie
STANDARDE NAŢIONALE
ŞI PE DOMENII

Diverse standarde naţionale


• TUV, 1984 STANDARDE
(Germania) INTERNAŢIONALE
• HSE – PES, 1987
(Anglia) Pentru producătorii de
• DIN V 19250 / VDE V 0801, echipamente asociate
1989 SSP
(Germania) • IEC 61508, 1998-2000
- Clasificarea tipurilor de risc (Elveţia )
- Cerinţele SSP
• AIChE – CCPS, 1993 Pentru utilizatorii de SSP
• ANSI/ISA 84.01, 1996 • IEC 61511, 2003
(SUA) (Elveţia)
- Proceduri asociate SSP • ANSI/ISA 84.00.01,
- Ciclul de viaţă al unui SSP 2004
(SUA)
Standarde pe anumite domenii
• API RP 14C, 1978-2000
(SUA)
• NFPA 85, 2001-2007
(SUA)
In 1984, TUV (Technischer Überwachungs-Verein / Asociaţia
Inspecţiilor Tehnice) a publicat cartea ”Mikrocomputer in der
Sicherheitstechnik” (Microcomputere în Siguranța Tehnică), ca
urmare a utilizării microcomputerelor în aplicațiile de siguranţă.

TUV a introdus o clasificare a claselor de siguranţă (SK - Safety-


Klassen) pe o scară de la 1 la 9, pe baza cerinţelor de siguranţă
impuse. În momentul de față, clasificarea bazată pe documentaţia
publicată de TUV nu este relevantă şi nu a fost introdusă în nici un
standard nou.
Standardul HSE - PES apărut în Anglia, în 1987 cuprinde
indicaţii cu privire la configurarea, fiabilitatea și calitatea SSP.

Standardul AIChE – CCPS a fost elaborat de către Institutul


American al Inginerilor Chimişti care au format CCPS (Center for
Chemical Process Safety) după accidentul din Bhopal, India şi
cuprinde documente cu privire la câteva aplicaţii practice de
proiectare a sistemelor de siguranță.
Apariţia şi dezvoltarea tehnicilor de programare în domeniul
industrial şi a posibilităţii cuplării echipamentelor în reţea, au
condus la generarea unor noi tipuri de probleme asociate SSP.

Componentele software aduc noi posibilităţi de defectare din


cauza erorilor de programare şi a combinaţiilor de instrucţiuni
netestate. De aceea, o atenţie sporită în privinţa defectelor la nivel
de hardware nu mai este suficientă pentru asigurarea fiabilităţii
SSP.

Primele variante de standarde nu ofereau aceste facilităţi şi ca


atare, au devenit inutile.
Standardele mai noi, ca de exemplu, VDE 0801 şi DIN 19250,
DIN V 19250 au reuşit în anii ‘80 să încorporeze diferite niveluri
de asigurare a calității atât pentru software cât şi pentru hardware,
pe baza unei clase de riscuri.

În SUA, standardul ANSI/ISA 84.01 a fost publicat în 1996 pentru


a fi folosit în sistemele industriale, inclusiv cele care includ
structuri programabile şi a creat bazele apariţiei unui standard
internaţional pentru SSP.
În 2001 American Petroleum Institute a elaborat standardul API
RP 14C care acoperă etapele de proiectare, instalare, testare a SSP
de suprafaţă pentru platformele marine. Acest standard este
destinat atât inginerilor proiectanți cât şi operatorilor.

NFPA 85 este cel mai cunoscut standard pentru SSP asociate


proceselor de combustie.
Noile standarde, care s-au impus la nivel internaţional, şi anume
IEC 61508, ANSI/ISA 84.00.01, IEC 61511 aduc o nouă
abordare a proiectării SSP, în sensul că sunt trasate decât
direcţiile unei cât mai bune aplicări lăsând la latitudinea
proiectantului găsirea celei mai bune soluţii asociate fiecărui caz
particular. Practic, se stipulează ce trebuie făcut, dar nu şi cum.

Standardul ANSI/ISA 84.00.01 – 2004 a fost publicat în 2004 şi


este o variantă aproape identică cu standardul IEC 61511 fiind
destinat folosirii de către utilizatorul final şi nu de către
producătorul echipamentului din structura SSP.
1.3.2. Standardul IEC 61508

Standardul IEC 61508 a fost elaborat de către IEC (International


Electrotechnical Commission) şi acoperă o categorie larga de
domenii de activitate şi o multitudine de echipamente asociate
SSP.

Standardul se aplică pentru toate etapele prin care trece un SSP


de la specificaţii, proiectare, operare, utilizare, dezafectare şi se
referă la toate părţile constituente ale unui SSP: senzori,
elemente de logică şi elemente de execuţie.
Standardul IEC 61508 este structurat în 7 părți:

•Partea 1, (Dec,1998) prezintă câteva specificaţii generale;

•Partea 2, (Mai,2000) prezintă cerinţele pentru sistemele


electrice/ electronice/electronice programabile;

•Partea 3, (Dec,1998) prezintă cerințele pentru componentele


software;

•Partea 4, (Dec,1998) prezintă definiții, abrevieri și terminologie


pentru asigurarea unei anumite consistenţe;
•Partea 5, (Dec,1998) prezintă exemple de metode pentru
calculul nivelului de integritate a siguranței, întâlnit în literatura
de specialitate drept SIL (Safety Integrity Level);

•Partea 6, (Aprilie,2000) prezintă indicații privind aplicarea


părților 2 și 3;

•Partea 7, (Martie,2000) prezintă o scurtă prezentare a


tehnicilor şi a metodelor relevante pentru părțile 2 și 3.
Cea mai importantă componentă a standardului IEC 61508 este
modelul ciclului de viață al unui SSP.
1. Concept

2. Definirea scopului
global

3. Analiza riscului şi a
hazardului

4. Cerinţe de
siguranţă

5. Alocarea cerinţelor
de siguranţă

Planificare globală 9. Realizarea SSP


10. Realizarea SSP
6. Operare 8. Instalare folosind alte tehnologii
şi 7. Validare şi punere în decât relee, circuite
Hardware Software
întreţinere funcţiune integrate, PLC

11. Facilităţi externe


12. Instalare şi SSP pentru reducerea
punere în funcţiune riscului

13. Validare 15. Modificări

14. Operare,
Întoarcere la o fază
întreţinere şi
adecvată a ciclului de
reparaţie
viaţă SSP

16. Dezafectare
1.3.3. Standardul IEC 61511

Standardul IEC 61511 include indicaţii suplimentare privind


determinarea nivelului de integritate a siguranței SIL (Safety
Integrity Level) care trebuie impus de către echipa de proiectanţi,
la începutul fazei de proiectare a SSP şi este structurat în 3 părţi:

•Partea 1, prezintă definiţii, cerinţe hardware şi software;

•Partea 2, prezintă indicaţii pentru aplicarea Părţii 1;

•Partea 3, prezintă indicaţii pentru determinarea nivelului de


integritate a siguranţei SIL.
Standardul IEC 61511 este dedicat utilizatorului final a cărui
sarcină este proiectarea şi operarea SSP într-o instalaţie
industrială.

Cerinţele sunt cele impuse de standardul IEC 61508, dar


modificate astfel încât să se adapteze situaţiilor practice dintr-o
instalaţie.

Standardul 61511 nu acoperă partea de proiectare şi realizare a


echipamentelor folosite în aplicaţiile de siguranţă şi protecţie, ca
de exemplu PLC-urile, acestea rămânând standardizate de către
standardul IEC 61508.
CUPRINS

1. INTRODUCERE

1.1. Rolul Sistemelor Automate de Siguranţă şi


Protecţie
1.2. Exemple de Sisteme Automate de Siguranţă şi
Protecţie în Funcţionare a Sistemelor
Industriale
1.3. Standardizarea Sistemelor Automate de
Siguranţă şi Protecţie
1.4. Delimitarea dintre Sistemele de Reglare și
Sistemele de Siguranță şi Protecţie
1.5. Niveluri de Siguranță și Protecţie Industrială
1.4. Delimitarea dintre Sistemele de Reglare şi
Sistemele de Siguranţă şi Protecţie

Întrebarea fundamentală:

Sistemele de Reglare (SR) şi cele de Siguranţă şi


Protecţie (SSP) ar trebui combinate sau ar trebui stabilită
o delimitare clară între cele două?
• În trecut, sistemele de reglare erau implementate
folosind tehnică pneumatică, analogică, în bucle de
reglare simple.

• Funcţiile de siguranţă erau realizate cu echipamente


diferite, de obicei folosind relee.
• Apariţia PLC (Programmable Logic Controller)
pentru a înlocui releele în anii ’60 şi a DCS
(Distributed Control Systems) pentru a înlocui buclele
de reglare simple în anii ’70, a condus la ideea că din
moment ce ambele sunt programabile se pot
implementa atât funcţiile de reglare cât şi de cele de
siguranţă pe acelaşi echipament, de obicei în DCS,
din motive de reducere a costurilor.
• Reducerea costurilor ar proveni din folosirea unei
singure surse de alimentare, întreţinerea simplă şi
costuri reduse cu instruirea și mentenanța.

• Cu toate acestea, toate standardele internaţionale


recomandă separarea clară a celor două tipuri de
sisteme.
ANSI/ISA 84.01:

“Separarea dintre sistemele de reglare şi sistemele de


siguranţă şi protecţie reduce probabilitatea ca la un
anumit moment de timp ambele funcţii de reglare şi de
siguranţă să fie inactive, sau anumite modificări ale
sistemelor de reglare să conducă la modificarea
funcționalității sistemelor de siguranță şi protecție. De
aceea, este necesară, în general separarea sistemelor de
reglare de sistemele de siguranţă şi protecţie”.
Câteva diferențe de bază între cele două tipuri de
sisteme susţin ideea că reglarea şi siguranţă trebuie
separate.

• Operaţiile de reglare sunt active, dinamice şi


orientate către performanţă.

• Operaţiile de siguranţă sunt pasive.


• Sistemele de Reglare (SR) acţionează activ
pentru menţinerea sau schimbarea condiţiilor din
proces, ajutând astfel la obţinerea unor cât mai
bune performanţe din partea procesului.

• Acestea sunt deseori folosite pentru forţarea


procesului la limită, în scopul obţinerii
performanţelor impuse.

• Nu au fost construite în scopul asigurării


siguranţei, şi ca atare nu o fac.
• Deoarece funcţionarea este continuă nu au
incorporate rutine de diagnosticare a erorilor.

• De obicei, o eroare a sistemului de reglare nu are


consecinţe catastrofale ci numai periculoase, şi ca
atare sistemul de reglare trebuie analizat din
punctul de vedere al riscului introdus.
• Sistemele de reglare fie funcţionează, fie nu.

• Nu există noţiunea de defect ascuns.

• În cazul acestor sisteme, erorile de funcţionare sunt


vizibile.

• Sistemele de reglare, de obicei, sunt flexibile şi


permit o uşoară operare în sensul că, de exemplu,
operatorii pot modifica anumiţi parametri sau pot
exclude anumite porţiuni din sistemul de reglare.

• Acest aspect este de evitat în cazul sistemelor de


siguranţă.
• Sistemele de Siguranţă şi Protecţie (SSP) sunt
exact opusul SR, funcţionează numai în anumite
momente, accesul asupra lor trebuie să fie
restricţionat, trebuie să fie fiabile şi să răspundă
instantaneu atunci când este cazul.

• Un exemplu este supapa de siguranță la


suprapresiune (PSV), din figurile 1.2 și 1.3, care
trebuie să stea închisă atâta timp cât presiunea este
sub o anumită valoare şi să se deschidă atunci când
presiunea atinge o anumită limită.
• Dacă presiunea nu atinge niciodată această limită,
supapa nu trebuie să se deschidă niciodată.

• De asemenea, se poate întâmpla ca această supapă


fiind închisă o perioadă mare de timp, în momentul
în care apare o problemă și trebuie să se deschidă, să
nu se poate deschide.

• Ca atare, aceste sisteme pot ascunde defecte care nu


se observă direct.
• Deoarece elementele componente ale SSP sunt mult
timp în starea de aşteptare, inactivă este posibil ca
atunci când o să fie necesară intrarea lor în funcţiune,
să nu meargă.

• Ca atare, aceste sisteme trebuie testate permanent sau


trebuie să încorporeze tehnici ce oferă posibilitatea
autotestării.
• Sistemele de siguranţă şi protecţie sunt proiectate
astfel încât să implice intervenţia umană cât mai
puţin.

• Operatorul interacţionează cu sistemul de reglare,


dacă acesta eşuează, pasul următor este trecerea
lui pe manual şi intervenţia directă a operatorului
asupra procesului.
• Dacă şi această intervenţie nu reuşeşte să facă
corecţiile necesare, ultima linie de apărare, și
anume SSP, ar trebui să funcționeze automat şi
independent.

• Singurele intervenții umane permise sunt cele de la


pornirea sau întreţinerea unor anumite părţi din
sistem.
Caracteristică SR SSP
Pasivă, simplă, acţiune
Tip de acţiune Activă, complexă, optimizare
directă
Activităţi Multiple Limitate
Automat, fără intervenţie
Tipuri de
Automat, manual, supervizare manuală, fără niveluri de
funcţionări
comandă superioare
Sisteme deschise Fieldbus,
Comunicaţie Limitată, specializată
Profibus etc
Uşor de făcut, protejate de Controlate strict, cu parolă,
Modificări
parolă configurabilă verificate şi documentate
Diagnoză Limitată Intensivă
Folosită pentru o mai bună Folosită pentru o mai bună
Redundanţă
disponibilitate fiabilitate
Documentaţie Uneori Esenţială
Testare în vederea detectării
Testare Testarea fiecărei bucle
erorilor în diferite etape
Aspectul legal Nu este stipulat Există standarde, audit şi
certificare
1.5. Niveluri de Siguranță și Protecţie Industrială

NIVELURI DE DIMINUARE a efectelor


RĂSPUNS ÎN CAZ DE URGENŢĂ
COMUNITATE

RĂSPUNS ÎN CAZ DE URGENŢĂ


INSTALAŢIE

PROTECŢIE FIZICĂ 2
NIVELURI DE PREVENIRE a cauzelor
PROTECŢIE FIZICĂ 1

SISTEM DE SIGURANŢĂ
ŞI PROTECŢIE
MONITORIZARE,
ALARMARE,
INTERVENŢIE OPERATOR

SISTEM DE REGLARE

PROCES
INDUSTRIAL
Niveluri de Prevenire
Nivelurile de prevenire a cauzelor sunt introduse
pentru a reduce probabilitatea apariţiei unor
evenimente neprevăzute.
Nivelul procesului industrial

•Procesul industrial trebuie să fie astfel proiectat


încât să asigure un anumit grad de siguranţă.

•Ideal ar fi să fie cât mai simplu pentru a reduce


riscurile.

•La proiectarea și realizarea procesului trebuie


folosite materiale sigure, presiuni mici, etc.
• De asemenea, în această etapă trebuie realizată o
analiză de hazard cu ajutorul metodelor PHA,
FMEA, HAZOP.

• Deşi o astfel de etapă implică costuri iniţiale mai


mari, este dovedit faptul că aceste costuri sunt mult
mai mari în cazul proceselor care nu respectă aceste
cerinţe şi sunt necesare sisteme de siguranţă
suplimentare foarte costisitoare.
Nivelul sistemului de reglare

•Nivelul sistemului de reglare este următorul nivel


pentru asigurarea siguranţei.

•Rolul lui este reglarea consumului de energie, calităţii


produselor etc. prin menţinerea variabilelor (presiune,
nivel, temperatură etc.) în anumite intervale de operare.
• Ca atare, se poate considera că sistemul de reglare
asigură un anumit nivel de siguranţă dar, în acelaşi
timp, un astfel de sistem poate determina apariţia
unui eveniment periculos.

• De obicei, la nivelul sistemelor de reglare,


problemele apar atunci când aceste sisteme nu sunt
bine proiectate sau când sunt trecute pe manual.

• De aceea se recomandă proiectarea acestora cât mai


simplu şi evitarea trecerii lor pe manual.
Nivelul sistemului de monitorizare, alarmare şi
intervenţie operatori

•În cazul în care sistemul de reglare eşuează, din cauza unei


erori interne a unei bucle de reglare sau a unei intervenţii
greşite a unui operator, se foloseşte un sistem de alarmare a
operatorilor cu privire la necesitatea unei intervenţii într-un
anumit sens.

•Acesta este nivelul la care operatorii devin factorii activi.


• Sistemul de alarmare trebuie să detecteze problemele
ce apar cât mai rapid astfel încât să se poată interveni
la timp şi preveni astfel un dezastru.

• De asemenea sistemele de monitorizare și alarmare


trebuie să fie independente de sistemele monitorizate,
astfel încât să nu se defecteze când sistemele
monitorizate se defectează.

• Sistemele de alarmare trebuie să fie cât mai simple


posibil, să fie uşor de întreţinut, verificat şi calibrat.
• La acest nivel de protecţie operatorul uman trebuie
să devină activ deoarece este imposibil pentru un
proiectant să prevadă toate combinaţiile posibile de
efecte nedorite care pot apărea şi ca atare, omul fiind
o structură flexibilă şi adaptabilă, trebuie luat în
considerare.
• Uneori deoarece aceste combinaţii nu au fost luate în
calcul de proiectant, nu sunt introduse în etapa de
instruire a operatorilor şi s-ar putea ca aceştia să nu
ştie cum să acţioneze.

• Echipamentele asociate sistemelor de alarmare


trebuie să fie verificate conform unor proceduri,
evitând astfel anumite defecţiuni ce pot conduce la
efecte nedorite.
Nivelul sistemului de siguranţă şi protecţie (SSP)

•În cazul în care sistemul de reglare şi operatorul eşuează,


intervine Sistemul automat de Siguranţă şi Protecţie
(SSP).

•Acest sistem este indicat să fie independent de celelalte,


având propriile dispozitive de măsură
(senzori/traductoare), echipamente logice de decizie şi
elemente de execuţie.
• Aceste sisteme sunt astfel proiectate încât să permită
funcţionarea normală a procesului în condiţiile în care
acestea nu trebuie să intervină sau să intervină automat
atunci când este cazul şi să acţioneze în sensul în care
au fost proiectate.

• Un SSP trebuie să îndeplinească trei funcţii:


permisiune, prevenire şi/sau diminuare.
• Un exemplu de funcţii ale unui SSP sunt: oprirea în
cazul presiunii mari, oprire în cazul unui nivel de
lichid mic, etc.

• Un SSP este un ansamblu de funcţii de siguranţă şi


protecţie (SIF – Safety Instrumented Function).

• Marea majoritate a funcţiilor de siguranţă şi protecţie


conţin unul sau mai mulţi senzori, un element logic şi
unul sau mai multe elemente de execuţie iar un SSP
poate conţine zeci chiar sute de astfel de elemente.
Nivelul protecţiei fizice 1

•este reprezentat de supapele de siguranţă ce oferă


protecţie împotriva suprapresiunii PSV (Pressure Safety
Valve).

•Supapele de siguranţă sunt setate să declanşeze (să se


deschidă) automat atunci când presiunea într-un vas
atinge valoarea maxim admisă.
Niveluri de Diminuare
Nivelurile de diminuare a efectelor au fost introduse
pentru reducerea severităţii sau consecinţelor unui
eveniment neprevăzut atunci când acesta a apărut (nu a
putut fi prevenit).

Nivelul protecţiei fizice 2 este reprezentat de diguri ce


oferă protecţie împotriva scurgerilor de lichide toxice,
astfel încât să se reducă efectul impactului asupra
mediului înconjurător.
Nivelul de răspuns în caz de urgenţă al instalaţiei
presupune intervenţia folosind soluţii pentru neutralizarea
substanţelor periculoase eliberate sau pentru arderea
excesului de material şi intervenţia sistemelor de alarmare
în caz de scurgeri de gaze sau în caz de foc.

Nivelul de răspuns în caz de urgenţă al comunităţii


presupune proceduri de evacuare a personalului instalaţiei
sau a populaţiei din jurul acesteia.
CUPRINS

2. CICLUL DE VIAȚĂ AL SISTEMELOR


AUTOMATE DE SIGURANŢĂ ŞI
PROTECŢIE
2.1. Analiza Hazardului şi a Riscului
2.1.1. Hazardul. Analiza PHA, FMEA, HAZOP
2.1.2. Riscul. Reducerea Riscului

2.2. Stabilirea Nivelurilor (SIL) și a Funcţiilor (SIF)


de Siguranţă şi Protecţie

2.3. Elaborarea Specificațiilor și Cerințelor Sistemelor


de Siguranță şi Protecţie (SRS)
2. CICLUL DE VIAȚĂ AL SISTEMELOR
AUTOMATE DE SIGURANŢĂ ŞI
PROTECŢIE

2.4. Proiectarea Sistemelor de Siguranță și Protecție

2.5. Instalarea, Validarea (FAT, SAT) și Punerea în


Funcțiune a Sistemelor de Siguranță şi Protecţie

2.6. Operarea, Întreținerea (FPT), Modificarea și


Dezafectarea Sistemelor de Siguranță şi Protecţie
Ciclul de viață al unui Sistem automat de Siguranță și
Protecție (SSP) este ansamblul etapelor ce trebuie parcurse
de către acesta de la evaluarea riscurilor, trecând prin
instalare, punere în funcțiune, exploatare, întreținere și
până la dezafectare.
IEC 61511, ciclul de viaţă al unui SSP constă din
Analiza hazardului şi riscului
(PHA, FMEA, HAZOP)

Niveluri şi funcţii de
siguranță și protecţie
(SIL, SIF)

Specificaţii de siguranţă
Alte aspecte ale (SRS)
reducerii riscului

Proiectare

Instalare, Validare, Punere în


funcţiune
(FAT, SAT)

Operare, Întreţinere
(FPT)

Modificări

Dezafectare
O variantă simplificată a ciclului de viață

ANALIZĂ REALIZARE OPERARE


1. Analiza riscului 4. Proiectare 7. Operare
2. Determinare SIL 5. Instalare 8. Întreținere
3. Identificare SIF 6. Punere în funcțiune 9. Modificări
Schema logică a ciclului de viață al unui SSP
START

Concepere

Analiza de hazard și risc

Utilizarea nivelurilor non-SSP de


prevenire și reducere a riscului

NU Este necesar
SSP?

DA

Definirea SIL și SIF necesare

Elaborarea SRS
Proiectarea conceptuală a SSP și
verificare a SRS

Proiectarea detaliată a SSP

Instalare și testare

Stabilirea procedurilor de
operare și întreținere

Prepornire și Revizuire

Pornire, Operare, Întreținere, Modificare/ MODIFICARE


Testare periodică Dezafectare

DEZAFECTARE

DEZAFECTARE
Unitatea Executivă de Sănătate și Siguranță – HSE (Health
and Safety Executive) a publicat o statistică a principalelor
cauze de producere a accidentelor, dintr-o multitudine de
domenii industriale prin analiza unui număr de 34 de
accidente
O concluzie a studiului HSE reprezentat în figura 2.4 este
că trebuie acordată o importanță deosebită tuturor etapelor
din ciclul de viață al unui SSP (figura 2.1).

În cele ce urmează sunt prezentate câteva accidente din


domeniul industriei petrochimice, investigate de către
HSE. Rezultatele acestor investigaţii au avut un impact
considerabil asupra evoluţiei Sistemelor industriale de
Siguranţă şi Protecţie (SSP).
În anul 1974 la Flixborough (Marea Britanie) o instalație
chimică a fost distrusă în totalitate de o puternică explozie,
din cauza fisurării unei conducte utilizate temporar prin
care s-a scurs o cantitate mare de ciclohexan, ce a format
cu aerul un amestec exploziv.

Accidentul s-a soldat cu 28 de morți şi 36 de răniţi şi a avut


consecinţe majore asupra zonelor învecinate, provocând
pagube pe o arie întinsă.
Practic, înainte de explozie a fost descoperită o crăpătură
verticală, prin care se scurgea ciclohexan, în reactorul 5
al instalaţiei.

Instalaţia a fost oprită pentru investigații.

Decizia luată a fost de îndepărtare a reactorului și de


instalare a unui bypass pentru a conecta reactoarele 4 și
6, astfel încât să se continue producția.
Conducta de bypass s-a fisurat, ducând la eliberarea unei
mari cantități de ciclohexan, provocând o explozie
masivă.

Din cele 28 de decese înregistrate, 18 au avut loc în


camera de comandă. Incendiile provocate au ars timp de
câteva zile.
În anul 1976 o explozie în cadrul unei instalaţii din Seveso
(Italia) a dus la eliberarea unei cantități considerabile de
dioxină, o substanță chimică extrem de periculoasă.

Ca urmare a exploziei, un nor alb dens a plutit la o


altitudine considerabilă în afara amplasamentului.
Scurgerea a durat cam douăzeci de minute.
Orașul din apropiere, situat la 15 kilometri de Milano,
avea aproximativ 17.000 de locuitori.

Nu s-au înregistrat decese umane dar multe persoane s-


au îmbolnăvit din cauza dioxinei.

Ca o consecinţă a acestui accident, Comunitatea


Europeană a introdus şi definit conceptul de
accident/risc major în cadrul directivei Seveso II.
Unul dintre cele mai grave accidente din instalaţiile
tehnologice s-a produs la 3 decembrie 1984 în Bhopal
(India) la o fabrică de pesticide aparținând concernului
internațional Union Carbide.

Cauza a fost scăparea accidentală a unui gaz toxic numit


izocianat de metil.

Accidentul s-a soldat cu 6500 de victime şi cu


îmbolnăvirea a peste 100.000 persoane.
În anul 1986, un puternic incendiu la o fabrică de produse
agrochimice de lângă Basel (Elveția), aparținând
concernului Sandoz, a dus la poluarea fluviului Rin ca
urmare a scurgerii a 30 t de produse chimice (cerneluri şi
vopsele fluorescente, pesticide organofosforice, fungicide
pe bază de mercur etc.).

Orașul Basel a fost afectat de un nor de mercaptani.


Consecinţele acestui accident s-au resimțit pe termen
lung.
Ca o consecință a acestui accident, Sandoz şi-a extins
activitățile sale de sănătate, siguranță și mediu și a
introdus proceduri noi de risc și gestionare a situațiilor de
urgență, inclusiv audit.

În cele din urmă Sandoz a creat un sistem de


management al performanței de sustenabilitate, cunoscut
sub numele de doCOUNT 2.0.
Rezultat al acţiunii HSE este apariția în anul 2004 a
cărţii Investigating accidents and incidents: A
workbook for employers, unions, safety representatives
and safety professionals care reprezintă un ghid pas cu
pas ce poate ajuta orice organizație, în special
întreprinderile mici, să efectueze propriile investigații
în ceea ce priveşte anumite accidente care au avut loc în
scopul înţelegerii cauzelor și luării măsurilor ce pot
reduce sau chiar preveni accidentele în viitor.
2.1 Analiza Hazardului şi a Riscului

Analiza accidentelor investigate de către HSE (Health and


Safety Executive) a evidenţiat următoarele caracteristici:

-majoritatea accidentelor tehnologice grave se produc în


cadrul rafinăriilor petroliere sau în industria petrochimică
și afectează fie aşezările şi populaţia din vecinătatea
amplasamentelor prin emisiile accidentale de substanţe
toxice, fie solul, apa şi aerul prin cantităţile mari de
deşeuri.
- cel mai adesea implicate în accidente sunt gazele
inflamabile şi alte gaze periculoase pentru organismul
uman;

- majoritatea accidentelor grave se produc în timpul


desfăşurării operaţiilor tehnologice normale, însă la fel
de grave sunt şi accidentele care apar în timpul
activităţilor de întreţinere, reparaţii, pornire-oprire.
Nu numai accidentele grave afectează mediul înconjurător
şi sănătatea oamenilor ci şi accidentele mai puţin grave
dar care se produc cu o frecvenţă mare sau care au ca
rezultat acumularea în apă şi sol a unor substanţe toxice.

Accidentele grave sunt deosebit de importante din punctul


de vedere al impactului asupra sănătăţii populaţiei şi a
mediului înconjurător.
2.1.1. Hazardul. Analiza PHA, FMEA, HAZOP

Cuvântul hazard provine din cuvântul arab az-zahr ce


înseamnă joc de zaruri.

Termenul este definit în Dicţionarul Explicativ al Limbii


Române ca "împrejurare sau concurs de împrejurări
(favorabile sau nefavorabile) a căror cauză rămâne în
general necunoscută„.

Ca atare, hazardul are caracter aleator şi imprevizibil.


Cea mai importantă clasificare este cea după origine,
care împarte hazardurile în două mari categorii:
hazarduri naturale şi hazarduri antropice (apărute din
cauza intervenției omului).

Conform [IDC, 2012], hazardul este o caracteristică


inerentă a unui sistem/proces care are potențialul de a
cauza daune persoanelor, procesului sau mediului.
În cazul proceselor chimice, hazardul este combinația
dintre un material periculos, un mediu de operare cu
probleme şi câteva evenimente neplanificate care pot
cauza accidente.
Analiza de hazard reprezintă un set de evaluări
sistematice ale posibilelor pericole asociate unui
proces industrial în scopul sprijinirii persoanelor
autorizate în luarea celor mai bune decizii în scopul
îmbunătățirii siguranței în funcționare a procesului
industrial sau în scopul reducerii consecințelor în
cazul unor emisii accidentale sau neprevăzute de
substanțe chimice periculoase.
Exista mai multe metodologii care pot fi utilizate
pentru a efectua analiza de hazard:

-Analiza preliminară de hazard PHA (Preliminary


Hazard Analysis);

-Listele de verificare; - Ierarhizarea; - Metoda DAR


DACĂ?;

-Analiza modurilor de defectare şi a efectelor FMEA


(Failure Mode and Effects Analysis);

-Analiza de hazard și operabilitate HAZOP (HAZard


and Operability).
Analiza preliminară de hazard PHA (Preliminary
Hazard Analysis) presupune studierea cu precădere a
zonelor ce conţin materiale periculoase şi
echipamentele principale, urmărind locurile unde ar
putea să apară scăpări de substanţe periculoase sau
degajări necontrolate de energie.
Analiza preliminară de hazard constă în:

-identificarea tuturor pericolelor potențiale și a


evenimentelor accidentale care pot produce un
accident;

-clasificarea pericolelor identificate în funcție de


severitate;

-identificarea metodelor de prevenire.


În cadrul analizei PHA trebuie avute în vedere:

-componentele potențial periculoase;

-interfețele de legătură între diferitele elemente ale


sistemului, inclusiv cu software-ul;

-restricțiile mediului de operare;

-tehnicile de operare, testare, întreținere, diagnosticare;

-procedurile de urgență;

-defecțiunile sistemului, subsistemelor sau ale software-


ului.
Etapele analizei PHA sunt:

1. Pregătirea, ce constă în:

-stabilirea echipei ce va realiza analiza;

-definirea sistemului (limitele sistemului, ce părți ar


trebui să fie incluse și ce nu);

-descrierea sistemului de analizat, inclusiv diagramele


de flux tehnologic din proces, diagramele bloc etc.;

-identificarea zonelor de stocare a energiei și a


materialelor periculoase din sistem;
-stabilirea condițiilor operaționale și de mediu care
urmează a fi luate în considerare;

- identificarea sistemelor de detectare și control al


hazardurilor, a sistemelor de urgență și a acțiunilor de
diminuare a riscurilor;

-colectarea informațiilor legate de riscuri de la


sistemele anterioare și similare, cum ar fi bazele de
date ale accidentelor.
2. Identificarea hazardurilor

În această etapă trebuie identificate toate pericolele și


posibilele evenimente accidentale. Este important să
se ia în considerare toate părțile sistemului, precum și
toate modurile de operare și de întreținere, toate
sistemele de siguranță etc.. Constatările trebuie să fie
înregistrate. Nu există riscuri nesemnificative care să
nu fie luate în calcul.
3. Estimarea consecințelor și a frecvenței riscurilor

Riscul legat de un eveniment accidental este o funcție


de frecvența evenimentului și gravitatea consecințelor
potențiale. Pentru a determina riscul, trebuie estimată
frecvența și severitatea fiecărui eveniment accidental.

4. Clasificarea riscurilor și stabilirea acțiunilor ce


trebuie întreprinse, ca în tabelul 2.1.
Tabelul 2.1. Clasificarea riscurilor pentru analiza PHA
Nivel Nume Descriere
Risc ridicat, nu este acceptabil.
O analiză ulterioară trebuie efectuată
pentru a oferi o mai bună estimare a
riscului.
H Ridicat
Dacă această analiză conduce din nou la un
risc ridicat, trebuie luată ca opțiune
reproiectarea sau ar trebui introduse unele
modificări pentru a reduce riscul critic.
Riscul poate fi acceptabil, dar reproiectarea
sau alte modificări ar trebui să fie luate în
M Mediu considerare, în măsura posibilităților. O
analiză ulterioară trebuie efectuată pentru a
oferi o mai bună estimare a riscului.
Riscul este mic. Măsurile de reducere a
L Scăzut
riscurilor nu sunt necesare.
Exemplu de raport al analizei PHA
Componentă Incident Scenariu Risc Măsuri propuse
Planuri de urgență
management/răspuns

Accident în Planul de management al


trafic drumurilor publice (agenții de
sau intervenții interne și externe)
Eroare
Transport în
operator Indicarea materialelor
site de
periculoase transportate la bord
explozibili,
ce generează
combustibili și Scăpări/
scăpări/ L Fișă tehnică de securitate
hidrocarburi Scurgeri
scurgeri de
produse
combustibili, Instruire operatori
chimice
hidrocarburi,
periculoase etc.
produse Comunicații (telefonie mobilă și
chimice radio)
periculoase
Echipamente de răspuns în caz de
scăpări/scurgeri

Etc.
Exemplu de raport al analizei PHA
Componentă Incident Scenariu Risc Măsuri propuse
Planuri de urgență
management/răspuns

Stocare în site Planul de management pentru foc


combustibili, Incidente în și explozie
hidrocarburilub zonele de
rifianți, gaze depozitare Accesul limitat în site
comprimate, combustibili/pr
Foc L
substanțe oduse chimice Existența echipamentelor de
chimice, având ca stingere a incendiilor și de răspuns
explozivi și apă rezultat foc în caz de urgență
etc.
Echipamentul de urgență în caz de
foc inspectat lunar

Etc.
Listele de verificare identifică probleme din categoria
celor cunoscute, previzibile şi fac trimiteri la standarde
pe baza unor liste predefinite. Există mai multe
variante de liste, şi anume:

-DSF (Diagnosis Safety Form) - utilizează un


chestionar cu 50 de întrebări referitoare la probleme de
echipament tehnic, mediu înconjurător, organizarea
producţiei etc.;
- DCT (Diagnostique et Conditions du Travail) -
utilizează un chestionar asemănător cu DSF,
aprecierea făcându-se folosind atributele: bun, mediu
şi slab;
- SDQ (Safety Diagnosis Questionnary) - are ca scop
punerea în evidenţă a situaţiilor critice de
incompatibilitate între condiţiile tehnice şi
organizatorice, pe de o parte şi cerinţele de
securitate, pe de altă parte;

- MORT (Management Oversight and Risk Three) -


are la bază un chestionar cu aproximativ 300 de
întrebări, ce oferă răspunsuri la alegere.
Ierarhizarea presupune cuantificarea potenţialelor
surse de probleme prin atribuirea unor niveluri
corespunzătoare de importanţă, stabilindu-se măsuri
specifice de prevenire.

Metoda DAR DACĂ? constă în utilizarea unor serii


de întrebări ce se repetă, scopul fiind de identificare a
evenimentelor neaşteptate ce pot avea consecinţe
nefavorabile. Se aplică pe domenii specifice de
activitate.
Analiza modurilor de defectare şi a efectelor
FMEA (Failure Mode and Effects Analysis) este
prezentată în cadrul standardului IEC 60812.

FMEA se poate efectua atât la nivel calitativ, cât şi la


nivel cantitativ şi constă în elaborarea unui tabel ce
conţine:
- poziţia, denumirea și descrierea echipamentului;

- modul de defectare;

- consecinţele defectării;

- atribuirea coeficienţilor critici.


FMEA presupune parcurgerea următoarelor etape:

1. Definirea sistemului

Această etapă constă în descompunerea ierarhică a


sistemului analizat în sisteme, subsisteme,
echipamente, subansambluri și piese. Sunt create
descrieri funcționale ce acoperă toate modurile de
funcţionare ale sistemelor, ce ulterior sunt alocate
subsistemelor.
2. Stabilirea unor reguli de bază

În această etapă se stabilește modul în care se face


analiza: la nivel funcţional sau la nivel de detaliu și de
asemenea se stabilesc criteriile ce se iau în
considerare: de siguranță, de întreţinere etc.
3. Crearea diagramelor bloc

Sistemele şi subsistemele sunt descrise prin diagrame


bloc funcţionale ce sunt folosite pentru a identifica
căile critice şi efectele la nivelurile superioare ale
ierarhiei, plecând de la defectările de la nivelurile
inferioare.
4. Identificarea modului de defectare

Această etapă constă în dezvoltarea unei liste


complete de moduri de defectare pentru fiecare
element component al sistemului. Defecțiunile tipice
includ: operație înainte de vreme, imposibilitatea de a
funcționa atunci când este necesar, pierderea mărimii
de ieșire, mărime de ieșire intermitentă, valoare a
mărimii de ieșire greșită, mărime de ieșire invalidă
etc.
5. Analiza cauzelor de defectare

Se identifică și se analizează cauzele care au condus la


apariţia defectării.

6. Determinarea efectelor defecţiunilor

Determinarea se face având în vedere criteriile stabilite


în regulile de bază. Efectele sunt descrise separat
pentru fiecare nivel al ierarhiei. Efecte pot fi de genul:
defectare a întregului sistem, stare de avarie, nici un
efect imediat etc.
7. Analiza posibilităţii de detectare a defectărilor

Analiza se realizează pentru fiecare componentă şi tip


de defectare.

8.Evaluarea riscului asociat fiecărui mod de


defectare

Evaluarea se poate face atât cantitativ, cât şi calitativ.


De exemplu în cazul considerării a 5 niveluri de risc,
posibilitățile sunt: frecvent, probabil, ocazional, rar și
improbabil.
9. Propunerea remedierilor şi a măsurilor de
prevenire

Măsurile de prevenire sunt necesare în scopul reducerii


consecințelor defectăroilor critice și presupun alegerea
componentelor cu grad ridicat de siguranţă, reducerea
nivelului de uzură, creşterea redundanţei, monitorizarea
sistemului etc.
CUPRINS

2. CICLUL DE VIAȚĂ AL SISTEMELOR


AUTOMATE DE SIGURANŢĂ ŞI
PROTECŢIE
2.1. Analiza Hazardului şi a Riscului
2.1.1. Hazardul. Analiza PHA, FMEA, HAZOP
2.1.2. Riscul. Reducerea Riscului

2.2. Stabilirea Nivelurilor (SIL) și a Funcţiilor (SIF)


de Siguranţă şi Protecţie

2.3. Elaborarea Specificațiilor și Cerințelor Sistemelor


de Siguranță şi Protecţie (SRS)
Analiza de hazard și operabilitate HAZOP
(HAZard and OPerability)

Analiza de hazard și operabilitate HAZOP poate fi


folosită oricând pe durata ciclului de viață al unui
sistem, de la concepere, proiectare până la
dezafectarea acestuia, inclusiv în momentul
introducerii unor modificări apărute în timpul
funcţionării normale.
Metoda HAZOP a fost dezvoltată inițial de către
compania britanică ICI (Imperial Chemical
Industries) în anii ’60 pentru analiza proceselor
chimice, dar a fost extinsă ulterior şi la alte tipuri de
procese.

HAZOP reprezintă o metoda sistematică de analiză a


abaterilor parametrilor de operare utilizând un
vocabular specific.
Metoda HAZOP necesită scheme P&ID (Piping and
Instrumentation Diagram), diagrame de flux de
operare, descrierea proceselor, ghiduri de operare, etc.

Standardul IEC 61882 oferă detalii suplimentare


privind metodologia HAZOP .
Studiul se efectuează de către o echipă multi-disciplinară
cu o experiență adecvată.

Analiza HAZOP este de natură calitativă.

HAZOP constă în identificarea hazardurilor şi a


problemelor de operabilitate ce pot apărea, în măsura în
care acestea pot conduce la apariţia pericolelor.
Obiectivele HAZOP sunt:

-identificarea locurilor în care pot exista hazarduri;

-determinarea probabilităţilor de apariţie a unor


evenimente nedorite;

-stabilirea informaţiei necesare în proiectare, în scopul


asigurării fiabilităţii procesului;

-iniţierea şi dezvoltarea studiilor cantitative de hazard şi


risc.
Metoda HAZOP se bazează pe o teorie care presupune
că evenimentele de risc sunt cauzate de abateri de la
specificațiile de proiectare sau de operare.

Identificarea unor astfel de abateri este facilitată de


utilizarea unui vocabular specific ce reprezintă o listă
sistematică de abateri posibile.
Analiza HAZOP presupune parcurgerea a patru etape:

1.Definire

În această etapă se realizează definirea domeniului de


aplicare, a obiectivelor și responsabilităților. Tot în
această etapă se realizează și selecția echipei.

2.Pregătire

În această etapă se planifică analiza, se colectează datele,


se stabilește modul de înregistrare, programul de lucru și
intervalul de timp necesar.
3.Examinare

În această etapă se realizează descompunerea sistemului


în subsisteme, respectiv părți componente. Pentru fiecare
subsistem se identifică abaterile pentru fiecare element
cu ajutorul vocabularului specific, se identifică cauzele și
consecințele precum și posibilele măsuri de remediere.

4.Documentare

În această ultimă etapă a HAZOP se realizează


documentația finală (raportul) aferentă studiului.
Exemplu de cuvinte din vocabularul specific HAZOP.
Cuvânt
Semnificaţie Cuvânt cheie Semnificaţie
cheie
Negarea completă a
Nu specificaţiei de Parte a Modificare calitativă/descreştere
proiectare
Altul
Substituţie completă Precum şi Modificare calitativă/creştere
decât
Mai mult Creşterea cantitativă Înainte de
Descreştere Relativ la ordine sau secvenţă
Mai puţin În urmă de
cantitativă
Mai Logică opusă specificaţiei de
Invers
devreme proiectare
Relativ la un moment
Alte cuvinte
Mai de timp
dacă este
târziu
nevoie
În vocabularul specific se pot adăuga cuvinte
suplimentare ce pot fi utilizate cu condiţia ca acestea să fi
fost declarate înainte de începerea analizei.

În tabelul următor sunt prezentate exemple de abateri -


cuvinte cheie asociate, preluate din vocabularul specific
prezentat în tabelul anterior.
Exemplu de abateri-cuvinte cheie HAZOP .

Exemplu de interpretare pentru Exemplu de interpretare pentru


Tip abatere Cuvânt cheie
procesele industriale sistemele de reglare
Nu este identificată nici o specificație Nu există semnal măsurat
Negativ Nu de proiectare (nu există debit prin
conductă) Nu există semnal de comandă
Creştere cantitativă a unui parametru Semnal cu valoare peste limită
Mai mult (temperatura este peste limita Transmisie a datelor cu viteză prea
Modificare maximă) mare
cantitativă Descreştere cantitativă a unui Semnal cu valoare sub limită
Mai puţin parametru (temperatura este sub Transmisie a datelor cu viteză prea
limita minimă) mică
Prezenţa impurităţilor
Prezenţă semnal parazit
Precum şi Execuţia simultană a unei alte
Prezenţă semnal fals
Modificare operaţii
cantitativă Este identificată numai o parte a
specificaţiilor de proiectare (debit Date incomplete
Parte a
incomplet al unui fluid faţă de debitul Semnal incomplet
prevăzut)
Invers Flux invers al unui fluid Semnal cu polaritate inversă
Substituţie Se identifică un alt rezultat decât cel Semnale de măsură incorecte
Altul decât
specificat la proiectare Semnale de comandă incorecte
O operaţie (răcire, ventilaţie) are loc Un semnal de comandă este transmis
Mai devreme mai devreme decât momentul mai devreme decât momentul
Timp prevăzut prevăzut
O operaţie (răcire, ventilaţie) are loc Un semnal de comandă este transmis
Mai târziu
mai târziu decât momentul prevăzut mai târziu decât momentul prevăzut
O operaţie are loc înaintea altei
Un contactor închide sau deschide
Înainte operaţii decât trebuie (încălzire
Ordine sau înaintea altui contactor
înaintea amestecului)
secvenţă
O operaţie are loc după altă operaţie Un contactor închide sau deschide
După
decât trebuie după alt contactor
Exemplu de cauze posibile ce pot fi identificare în analiza HAZOP.

Deviere clasică Cauze posibile

Debit zero Defectare a buclei de reglare, blocaj, supapă cu sens unic montată
incorect, defectare a unui echipament gen supapă de izolare, pompă
etc., eroare în izolare etc.
Debit invers Supapă cu sens unic defectă, operare incorectă etc.

Debit crescut Capacitate crescută de pompare, presiune crescută de absorbţie,


defectare a buclei de reglare a debitului etc.
Debit scăzut Restricţii de linie, blocaj al filtrului, colmatare, depuneri de
substanţe la nivelul vaselor, supapelor, capacelor, orificiilor,
schimbări ale densităţii sau vâscozităţii etc.
Debit incorect Traseu eronat, supapă de evacuare în atmosferă deschisă sau care
prezintă scurgeri, conexiune de legătură flexibilă incorectă etc.

Nivel crescut Debitul de intrare este mai mare decât debitul de ieşire, defectare a
buclei de reglare a nivelului, măsurarea defectuoasă a nivelului etc.

Nivel scăzut Opriri ale alimentării, debitul de ieşire este mai mare decât debitul
intrare, defectare a buclei de reglare a nivelului, măsurarea
defectuoasă a nivelului, drenarea unui vas etc.
Exemplu de raport final HAZOP.
Amplasament Instalaţie
Nod Mod de operare

Măsură / Tip
Deviere Cauză Consecinţă Acţiune Referinţă
Protecţie protecție
Debit zero …


Debit scăzut ...
...
...
Debit invers
Debit incorect
Debit crescut
Presiune crescută
Presiune scăzută
Nivel crescut
Nivel scăzut
Temperatură
înaltă
Temperatură scăzută
Calitate incorectă
Utilităţi lipsă Pană de curent
Pană de aer
instrumental
Pierderea apei de
răcire
Etc. .................
Ca rezultat al studiului, se pot face recomandări pentru
modificări în proiect sau în procedura de operare, în
scopul depăşirii problemelor care au fost identificate.

De asemenea obţine îmbunătăţiri ale procedurilor de


întreţinere şi exploatare prin modificări cu costuri
reduse.
De asemenea, procedura HAZOP oferă o înțelegere
mai bună a procesului şi a hazardurilor, respectiv
riscurilor potențiale, decât dacă studiul nu ar fi fost
realizat.
Metodele de analiză a hazardurilor sunt de natură
calitativă, selectarea unei metode depinzând de
complexitatea procesului, durata de timp în care procesul
a fost în funcțiune, dacă s-a mai făcut sau nu o analiză de
hazard înainte, dacă procesul este unul aparte sau unul
destul de frecvent întâlnit.
Alte metode, cum ar fi analiza nivelurilor de protecție
LOPA (Layer Of Protection Analysis) sau analiza
arborelui defectelor FTA (Fault Tree Analysis) pot fi
utilizate după o analiză de hazard, dacă rezultatele nu sunt
concludente.
2.1.2. Riscul. Reducerea Riscului
Deşi datele statistice privind accidentele produse până
acum (figura 2.4) oferă o imagine asupra a ceea ce s-ar
putea produce în viitor, nu este totuşi posibil să se prezică
cu certitudine suficient de mare dacă, când va avea loc un
accident şi ce consecințe va avea.
Accidentele combinate cu incertitudinile ce însoţesc
natura şi mărimea impactelor ce vor rezulta reprezintă o
sursă de risc.

Riscul, în acest sens, poate fi caracterizat prin natura şi


magnitudinea unui efect nedorit în relaţie cu
probabilitatea de a se produce.
Riscul este o funcție de frecvenţa unui eveniment şi de
severitatea consecințelor acelui eveniment/hazard.

Riscul poate influenţa personalul, producţia, mediul etc.

RISC=FRECVENŢA x CONSECINŢA HAZARDULUI

Riscul poate fi evaluat atât cantitativ cât şi calitativ.


Abordarea calitativă face apel la utilizarea unor termeni
descriptivi de tipul ridicat, scăzut sau moderat.

Abordarea cantitativă este mult mai ușor de definit în


termeni de frecvență și gravitate a consecințelor, în
condițiile în care există studii și date statistice.
Estimarea riscului este necesară atunci când:

-există un proces/instalaţie/echipament considerat


critic/periculos din punctul de vedere al siguranţei;

-se introduce un echipament nou sau o instalaţie nouă;

-se foloseşte o metodă nouă de lucru;

-există instalaţii sau echipamente care au fost modificate


substanţial;
-au avut loc schimbări la locul de muncă care sunt de
natură să afecteze siguranţa angajaţilor;

-se identifică pericole pentru om şi mediu, provocate de


fenomene naturale;

-există pericolul scăpării unor agenţi toxici (substanţe


chimice periculoase);

-există pericol de accidente nucleare.


Dacă hazardul nu poate fi eliminat, trebuie redus riscul
prin reducerea frecvenţei şi/sau a consecinţelor.

Reducerea riscului este scopul Sistemelor de Siguranță și


Protecție (SSP).
Atunci când se proiectează un astfel de sistem trebuie
ştiut care este gradul de risc ce trebuie redus.

Scopul este reducerea acestuia de la o valoare


inacceptabilă până la o valoare cât mai tolerabilă.

Acest principiu are un impact fundamental în modul în


care trebuie proiectat un SSP.
În figura 2.5 se prezintă principiile de proiectare aferente
reducerii riscului.

Identificarea hazardului

Stabilirea riscului
Calculul/estimarea riscului
tolerabil

Cerinţe privind reducerea


riscului

Definirea nivelurilor de
siguranţă (SIL) și a funcţiilor de
siguranţă (SIF)

Fig.2.5. Reducerea riscului. Principii de proiectare.


Conceptul de risc tolerabil cunoscut și sub denumirea de
ALARP (As Low As Reasonably Practicable) este
ilustrat în figura de mai jos.
Magnitudinea
Riscului

Regiune Riscul este mai


intolerabilă mare decât 10-4

Regiune
ALARP
tolerabilă

Regiune Riscul este mai


neglijabilă mic decât 10-6
Conceptul ALARP (As Low As Reasonably Practicable)
indică trei categorii de risc existente:

-risc neglijabil – risc acceptat de marea majoritate a


persoanelor.

-risc tolerabil – riscul este acceptabil din punctul de


vedere al avantajelor obţinute prin acceptarea lui.

-risc intolerabil – nivelul de risc este prea mare pentru a fi


acceptat.
Clasificarea riscului accidentelor.

Frecvenţa Consecinţele riscului


riscului Catastrofale Critice La limită Neglijabile

Frecvente I I I II

Probabile I I II III

Ocazionale I II III III

Rezervată-
indepărtată II III III IV
(remote)

Improbabil III III IV IV

Incredibil IV IV IV IV
Dacă nivelul de risc este I, atunci trebuie impuse metode
de reducere a acestuia.

Nivelurile de risc III şi IV sunt riscuri tolerabile.

Nivelul II necesită investigații suplimentare.


Tabelul 2.8. Exemplu numeric de clasificare a riscului
accidentelor .
Consecinţele riscului
Frecvenţa Catastrofale Critice La limită Neglijabile
riscului 1 deces sau accidentări pierderi
> 1 deces
accidentări minore materiale
de la
I I I II
1 la 1 an
de la
I I II III
1 la 5 ani
de la
I II III III
1 la 50 ani
de la
II III III IV
1 la 500 ani

de la
III III IV IV
1 la 5000 ani

de la
IV IV IV IV
1 la 50000 ani
Utilizând datele din tabelul 2.8, presupunând că avem
măsura riscului nivelul I, consecinţă critică, acesta poate
fi redus la nivelul 3 prin reducerea frecvenţei de la cel
puțin 1 la un an, la cel puţin 1 la 500 ani.
Factorul de reducere a riscului RRF (Risk Reduction
Factor) în frecvenţă este dat de relația:
Fnp
RRF = ,
Ft
Fnp este frecvenţa riscului fără protecţie,
Ft este frecvenţa riscului tolerabil.

Cuantificarea reducerii riscului este exprimată prin


nivelul de integritate a siguranței SIL (Safety Integrity
Level).
În cazul exemplului presupus acest factor de reducere are
valoarea 500, adică

1/1
RRF = .
1 / 500
Reducerea riscului se aplică fiecărui nivel de protecţie
(figura 1.15).

RRF1 RRF2 RRF3


Risc fără Nivelul 1 Nivelul 2 Nivelul 3
protecţie de de de
reducere reducere a reducere
a riscului riscului a riscului

Niveluri de protecţie

Fig. 2.7. Niveluri de protecţie – niveluri de reducere a riscului.


RRF1, RRF2, RRF3 – factori de reducere a riscului pentru
nivelurile 1, 2 şi 3.
Orice Sistem de Siguranță și Protecție (SSP) este
caracterizat prin:

- factorul de disponibilitate
RRF − 1
D= ⋅ 100 [%],
RRF

în care RRF este factorul de reducere a riscului;


-probabilitatea de defectare la cerere PFD (Probability
of Failure on Demand),
1 Ft
PFD = = ,
RRF Fnp

Ft este frecvenţa riscului tolerabil,

Fnp este frecvenţa riscului fără protecţie;


- media probabilităţii de defectare la cerere PFDm
(Probability of Failure on Demand)

Fp
PFD m = ,
Fnp

Fnp este frecvenţa riscului fără protecţie.


Fp este frecvenţa riscului cu protecție,
Metode de reducere a riscului:

-modificarea anumitor detalii cu privire la proiectarea


procesului;

-îmbunătățirea calității și performanțelor sistemului de


reglare;

-dezvoltarea unor proceduri complexe de instruire și


operare;

-creșterea frecvenței de verificare a componentelor


critice;

-utilizarea Sistemelor de Siguranță și Protecție (SSP);


CUPRINS

2. CICLUL DE VIAȚĂ AL SISTEMELOR


AUTOMATE DE SIGURANŢĂ ŞI
PROTECŢIE
2.1. Analiza Hazardului şi a Riscului
2.1.1. Hazardul. Analiza PHA, FMEA, HAZOP
2.1.2. Riscul. Reducerea Riscului

2.2. Stabilirea Nivelurilor (SIL) și a Funcţiilor (SIF)


de Siguranţă şi Protecţie

2.3. Elaborarea Specificațiilor și Cerințelor Sistemelor


de Siguranță şi Protecţie (SRS)
2.2. Stabilirea Nivelurilor (SIL) şi a Funcţiilor (SIF)
de Siguranţă şi Protecţie

Stabilirea nivelurilor SIL (Safety Integrity Level) se


face pentru fiecare nivel de protecţie industrială (vezi
figura 1.15) în scopul reducerii probabilităţii de
producere a unui eveniment nedorit (nivelurile de
prevenire) sau în sensul diminuării efectelor în cazul în
care acesta s-a produs (nivelurile de diminuare).
Sistemul de Siguranţă şi Protecţie (SSP) este utilizat ca
un strat de protecție între hazardul procesului și factorul
uman. Cu cât hazardul potenţial este mai mare, cu atât
vor fi necesare mai multe niveluri de prevenire, respectiv
protecție.

Funcţiile de siguranţă şi protecţie SIF (Safety


Instrumented Function) sunt asociate SSP.
Fiecare funcţie de siguranță SIF este concepută pentru a
minimiza riscurile asociate unui proces până la nivelul
tolerabil ALARP (vezi figura 2.6).

O funcţie SIF este compusă din ansamblul senzor,


element logic şi element de execuţie. Un SSP conţine una
sau mai multe funcţii SIF.
Fiecărei funcţii SIF i se atribuie un nivel de integritate a
siguranței SIL, conform analizei SIL aferentă evaluării
riscurilor.

Fiecare componentă (senzor, element logic şi element de


execuţie) a unui SSP implicată în funcția de siguranță are
un nivel SIL asociat.
În cazul unui sistem cu rată de cerere/solicitare redusă,
nivelul SIL general al unei funcții SIF se determină prin
calcul pe baza probabilității de defectare la cerere PFD a
fiecărei componente.

Cea mai slabă componentă va reflecta nivelul maxim


SIL realizabil.
Ca atare, nu se recomandă de exemplu utilizarea unui
echipament PLC cotat SIL3 dacă senzorul este doar SIL1
iar elementul de execuție nu are nici o capacitate SIL.

Dintre elementele componente ale unei SIF, elementul de


execuţie/acţionare este cel mai slab, are cel mai mare
PFD.
Pentru o funcție SIF probabilitatea PFD se obține prin
suma probabilităților PFD pentru elementele componente
(senzor, element de execuție și element logic).

Fiecărui nivel SIL i se atribuie o cifră între 1 şi 4. SIL 1


înseamnă cel mai puţin restrictiv nivel de integritate a
siguranței şi se utilizează atunci când riscul este mic iar
SIL 4 înseamnă cel mai restrictiv nivel de integritate a
siguranței şi se utilizează atunci când riscul este mare.
Nivelul SIL reprezintă probabilitatea unui sistem să execute
funcţia SIF necesară în toate condiţiile specificate ale
mărimii de intrare, pe un anumit interval de timp specificat.

În cazul sistemelor cu o rată de cerere/solicitare redusă,


nivelul SIL poate fi exprimat fie ca un factor de reducere a
riscului RRF (Risk Reduction Factor) sau ca o medie a
probabilității de eșec la cerere (PFDm).
Nivelul SIL poate avea 4 valori. SIL-1 reprezintă cel mai
scăzut nivel de reducere a riscurilor de performanță; SIL-
4 reprezintă cel mai mare nivel de reducere a riscului.

Nivel SIL RRF PFDm

SIL 1 > 10 la ≤ 100 < 10-1 la ≥ 10-2


SIL 2 > 100 la ≤ 1000 < 10-2 la ≥ 10-3
SIL 3 > 1000 la ≤ 10000 < 10-3 la ≥ 10-4
SIL 4 > 10000 la ≤ 100000 < 10-4 la ≥ 10-5
Pe măsură ce nivelul SIL crește ca număr, sistemele
trebuie să fie mai fiabile și disponibile la orice moment
de timp.
SIL1 se realizează, de obicei cu un detector de gaz.

SIL2 se obţine prin facilităţile echipamentelor de


autotestare și prin reducerea intervalului de mentenanţă.

Atât SIL 2 cât şi SIL 3 se obţine prin redundanţă.

SIL 4 de obicei impune redundanţă triplă.


Fiabilitatea și disponibilitatea se pot obţine prin:

-proiectare - folosind componente corespunzătoare;

-instalare - cu respectarea instrucţiunilor proiectantului;

-testare - atât la pornirea inițială, precum și la anumite


intervalele specificate sau după orice modificare.
2.3. Elaborarea Specificaţiilor şi Cerinţelor
Sistemelor de Siguranţă şi Protecţie (SRS)

Există cazuri în care apariţia hazardului poate fi


prevenită numai prin echipamente de siguranţă şi
protecţie care vor monitoriza condiţiile din proces şi
anumite echipamente.
Alegerea parametrilor din proces ce trebuie
monitorizaţi, ce acţiuni trebuie întreprinse de către
Sistemul de Siguranță și Protecție (SSP), cât de bine
trebuie să funcţioneze sistemul, toate sunt reflectate în
specificaţiile de siguranţă funcţionale şi de integritate
SRS (Safety Requirements Specification).
Această etapă este una extrem de importantă în ciclul de
viață al unui SSP, conform rezultatelor prezentate în
figura 2.4, 44% din accidente având drept cauză
specificațiile incorecte sau incomplete.
Odată cu identificarea necesităţii de folosire a SSP şi a
stabilirii valorii SIL (Safety Integrity Level) pentru
fiecare funcţie SIF (Safety Instrumented Function) a SSP,
trebuie dezvoltate şi specificaţiile de siguranţă SRS
(Safety Requirements Specification) ale acestuia.
Aceste specificaţii pot fi o serie de documente sau un
singur document. SRS conţine cerinţele fiecărei funcţii
SIF ce trebuie îndeplinită de sistem.
Riscul acceptabil se realizează prin alocarea
cerințelor/specificaţiilor de siguranță (SRS) diverselor
funcții de siguranță.

Aceste funcții de siguranță sunt apoi alocate diferitelor


sisteme.

Când o funcție de siguranță este alocată unui SSP funcția


de siguranță devine SIF (Safety Instrumented Function).
Procesul de alocare include și atribuirea nivelului de
integritate a siguranței (SIL) fiecărei SIF, nivel ce
corespunde cerințelor de reducere a riscului determinate
din analiza de hazard și din analiza de risc.
Specificațiile de siguranţă SRS conţin două părţi :
-specificaţii funcţionale – ce stabilesc ce ar trebui să facă
funcțiile SIF;

- specificaţii de integritate – ce stabilesc cât de bine ar


trebui îndeplinită fiecare funcție SIF.
Pentru sistemul prezentat în figura 1.3, în condițiile în
care traductorul de nivel (LZT2) sesizează depășirea
valorii maxime a nivelului în vas, elementul logic trebuie
să comande închiderea elementului de execuție UZV2 în
3 secunde și trebuie să respecte îndeplinirea SIL impus.
Specificaţiile funcţionale descriu logica sistemului, adică
ceea ce ar trebui să facă fiecare funcţie de siguranţă
(SIF). De exemplu, creșterea nivelului în vas peste o
anumită valoare trebuie să determine închiderea
robinetului de siguranță UZV2.
Specificaţiile de integritate descriu performanţele
impuse fiecărei funcţii (SIF), adică cât de bine trebuie să
funcţioneze.

De exemplu probabilitatea ca robinetul să se închidă


când nivelul crește peste o valoare impusă trebuie să fie
mai mare de 99%.
Datele de intrare ale SRS sunt rezultatele fazelor
anterioare, respectiv ale analizei de hazard și risc și de
stabilire a nivelurilor SIL și a funcțiilor SIF.
Standardul IEC 61511 prezintă specificaţiile unui
SRS. În continuare sunt prezentate câteva specificaţii
mai importante ale SRS ce se regăsesc în acest
standard.

-descrierea tuturor funcţiilor de siguranţă (SIF)


necesare pentru îndeplinirea specificaţiilor
funcţionale;

-scopul fiecărei SIF (riscul ce trebuie diminuat);

- elementele componente ale fiecărei SIF (senzor,


element logic, element de execuție/acţionare,);
-cerinţe pentru identificarea şi considerarea celor mai
întâlnite defecțiuni;

-definirea stării sigure a procesului pentru fiecare


SIF;

-specificaţii pentru intervalele de testare;

-specificaţii privind timpul de răspuns pentru fiecare


SIF de aducere a procesului într-o stare sigură;

- stabilirea valorii SIL şi a modului de operare


(continuu sau la cerere) pentru fiecare SIF;
-o descriere a măsurătorilor din proces şi a valorilor
de oprire/trip;

-descrierea acţiunii ieşirilor din proces şi a criteriilor


pentru o funcţionare bună;

-relaţia funcţională dintre intrările şi ieşirile


procesului, incluzând funcţiile logice şi matematice;

-specificaţii pentru oprirea pe manual;

-specificaţii privind modalitatea de activ, în 0 sau în


1, în caz de defectare;
-specificaţii privind resetarea SIF după oprire;

-tipuri de erori şi modalităţi de răspuns ale SIF;

- proceduri de pornire şi resetare SIF;

-specificaţiile aplicaţiei software care trebuie să fie


suficient de detaliate pentru a permite o proiectare şi
implementare care să îndeplinească cerinţele de siguranţă
impuse;

-trebuie să nu fie ambigue, inconsistente şi de neînţeles;

- trebuie să fie clare, verificabile, modificabile,


urmăribile;
- trebuie să furnizeze informaţie care să permită
alegerea echipamentelor adecvate.

- timpul mediu de reparare MTTR (Mean Time To


Repair) pentru fiecare SIF;

- identificarea combinaţiilor periculoase ale ieşirilor


sistemului ce trebuie evitate;

- calcule pentru a verifica dacă nivelul SIL impus


poate fi realizat.
Există mai multe metode calitative și cantitative pentru
determinarea SIL.

Metodele calitative se folosesc atunci când riscul,


punerea în aplicare a detaliilor de proiectare sau
hardware-ul nu sunt bine înțelese.
Metodele cantitative, cum ar analiza arborelui erorilor
FTA (Fault Tree Analysis) sau analiza arborelui
evenimentelor ETA (Event Tree Analysis), ar trebui să fie
utilizate atunci când proiectarea și hardware-ul sunt bine
înțelese și când sunt disponibile date justificative.
Metodele cantitative sunt necesare pentru a verifica
dacă proiectul final îndeplinește SIL impus.

Dacă nivelul SIL impus nu poate fi realizat prin


proiectul inițial, se pot considera următoarele
alternative [Bergstrom, 2009]:

-mărirea frecvenţei testelor echipamentelor


componente;

-creşterea redundanţei senzorilor, elementelor logice


sau a elementelor de acționare;
- utilizarea dispozitivelor inteligente (de exemplu
traductoare inteligente HART, robinete de reglare
inteligente cu diagnosticare, cu poziţioner şi afişare a
cursei);

- adăugarea unor noi niveluri de protecţie independente.


CUPRINS

3. DETERMINAREA NIVELULUI DE
INTEGRITATE A SIGURANŢEI (SIL)

3.1. Metoda Cantitativă


3.2. Analiza Nivelurilor de Protecție (LOPA)
3.3. Metode Calitative și Semicalitative
Integritatea siguranței este un concept important referitor la
Sistemele de Siguranță și Protecție (SSP) prezentat în
cadrul standardului IEC 61508.

Aceasta poate fi definită ca "probabilitatea unui sistem de


siguranță de a îndeplini satisfăcător funcțiile de siguranță
cerute în toate condițiile într-o anumită perioadă de timp
definită" .

Standardul definește patru niveluri de integritate a


siguranței, notate cu SIL1, SIL 2, SIL3 și SIL 4.
Nivelul SIL 4 este corespunzător celui mai înalt nivel de
integritate a siguranței iar SIL 1, celui mai mic.

Nivelurile de integritate a siguranței sunt exprimate în


termeni de probabilitate de defectare la cerere (PFD –
Probability of Failure on Demand), pentru
sistemele/funcțiile de siguranță care funcționează cu rată
de cerere/solicitare redusă
sau în termeni de probabilitate de defectare periculoasă pe
oră (PFH – Probability of a dangerous Failure per Hour),
pentru sistemele/funcțiile de siguranță ce funcționează cu o
rată a cererii/solicitării ridicată sau ce funcționează în mod
continuu.
Practic, nivelul de integritate a siguranței este o reprezentare
statistică a integrității unei funcții de siguranță atunci când
are loc un proces de cerere/solicitare.

Noțiunea de nivel SIL poate fi aplicată numai întregului


sistem automat de siguranță care îndeplinește una sau mai
multe funcții de siguranță, nu fiecărui element individual
din structura acestuia, ca de exemplu senzorul .
Există mai multe metode și instrumente de determinare a
nivelului de integritate a siguranței SIL (Safety Integrity
Level) dezvoltate de diferite companii și organizații în
scopul oferirii sprijinului pentru estimarea riscului
procesului și transformarea acestuia în ceva palpabil care să
aibă o anumită semnificaţie, respectiv într-un nivel SIL
necesar.
Acestea se pot grupa în patru mari categorii, și anume
metode cantitative și semicantitative (analiza nivelurilor
de protecție - LOPA), metode calitative (matricea de
risc, matricea de risc a nivelurilor de protecție, graful de
risc) și semicalitative (graful de risc calibrat).
Metodele cantitative utilizează o serie de formule pentru
calculul anumitor caracteristici ale sistemului iar prin
încadrarea acestora în anumite domenii se determină
nivelul SIL necesar.

Metodele semicantitative utilizează formule de calcul dar


valorile numerice folosite sunt aproximate cu ajutorul
ordinelor de mărime pentru fiecare tip de parametru.

În cazul metodelor calitative parametrii utilizați ca bază


decizională sunt subiectivi și estimați de către unul sau
mai mulţi experţi.
Printre criteriile de alegere a unui anumit tip de
metodă se pot lua în calcul modul de exprimare a
factorului de reducere a riscului, numeric sau calitativ,
domeniul de aplicare și scopul analizei etc.

Chiar dacă metoda utilizată este una calitativă, nivelul de


integritate a siguranţei SIL determinat este întotdeauna
cuantificat printr-o cifră
Nivelul de integritate a siguranţei SIL este o măsură a
performanţei sistemului de siguranţă şi nu o măsură
directă a riscului procesului.

Cu cât gradul de risc al unui proces este mai mare, cu


atât sistemul de siguranţă trebuie să fie mai
performant, cifra care însoțește SIL crește ca și
valoare.
De obicei, metodele calitative sunt utilizate în etapa de
proiectare a Sistemului de Siguranţă şi Protecţie (SSP),
etapa 2 a ciclului de viaţă al unui SSP, prezentat în
figura 2.1.

Metodele cantitative, bazate pe calcule, se utilizează


mai mult în etapa de verificare şi validare a SSP, etapa
5 din ciclul de viaţă al unui SSP, prezentat în figura
2.1.
Metodele semicantitative sunt mai puțin precise decât
cele cantitative, dar sunt mai ușor de determinat valorile
numerice simplificate.

Metodele semicalitative sunt mai riguroase decât cele


calitative, dar sunt necesare estimări numerice ale
parametrilor considerați în determinare.
3.1. Metoda Cantitativă
În cazul metodei cantitative, primul pas îl reprezintă
stabilirea nivelului de risc tolerabil, care trebuie să fie în
conformitate cu criteriile de acceptare ale riscului
companiei. Acesta reprezintă numărul acceptabil de ori pe
an în care o funcție de siguranţă SIF (Safety Instrumented
Function) este permis să nu funcționeze, adică cu alte
cuvinte, de câte ori pe an o consecință nedorită poate să
apară.
În cazul sistemelor cu o rată de cerere/solicitare redusă,
după determinarea nivelului de risc, următorul pas este
calculul reducerii de risc necesară pentru îndeplinirea
nivelului de risc tolerabil, cu ajutorul formulei 2.1. Aceasta
se obține prin împărțirea numărului de câte ori pe an o
funcție SIF cedează la numărul de cereri pe an.
Fnp este frecvenţa riscului fără protecţie,
Fnp
RRF = ,
Ft
Ft este frecvenţa riscului tolerabil.

Rezultatul este numărul acceptabil de ori în care SIF poate


să nu funcționeze la o cerere pe an, adică probabilitatea de
defectare la cerere, care este exprimată prin indicatorul
PFD (Probability of Failure on Demand)
Mai departe, nivelul de integritate SIL este
determinat cu ajutorul tabelului

Nivel de
Factorul de
integritate Probabilitatea de
Disponibilitatea, reducere a
a defectare la
1-PFD riscului,
siguranţei, cerere, PFD
RRF=1/PFD
SIL

4 10-4-10-5 99.99-99.999% 104-105


3 10-3-10-4 99.9-99.99% 103-104
2 10-2-10-3 99-99.9% 102-103
1 10-1-10-2 90-99% 101-102
Probabilitatea de defectare la cerere, PFD pentru un Sistem
de Siguranță și Protecție (SSP) se obține prin însumarea
PFD pentru traductoare (ZT), elemente logice (PLC) și
elemente de execuție (UZ)

PFD SSP = PFD ZT + PFD PLC + PFD UZ .

La rândul lor, PFD aferent traductoarelor (ZT) se obține


prin însumarea PFD aferent senzorilor și adaptoarelor:

PFD ZT = PFD adaptor + PFD senzor ,


iar PFD aferent elementelor de execuție (UZ) se obține prin
însumarea PFD aferent robinetelor electromagnetice (UZY)
și robinetelor de siguranță (UZV):

PFD UZ = PFD UZY + PFD UZV .


În cazul sistemelor cu o rată a cererii/solicitării ridicată
sau cu funcționare continuă, nivelul de integritate a
siguranței se determină pe baza probabilității de defectare
periculoasă pe oră (PFH – Probability of a dangerous
Failure per Hour) sau indicatorului timpului mediu de
defectare MTTF (Mean Time To Failure), conform
tabelului

Nivel de Timpul mediu de


integritate Probabilitatea de defectare,
a defectare/oră, MTTF
siguranţei, PFH
SIL
4 10-9-10-8 104-105
3 10-8-10-7 103-104
2 10-7-10-6 102-103
1 10-6-10-5 101-102
Cele două măsuri (PFD și PFH) ale performanței SSP sunt
conexe, dependența între ele exprimându-se prin relația

T T
PFD = ⋅ PFH = ,
2 2 ⋅ MTTF

în care PFD este probabilitatea de defectare la cerere


(Probability of Failure on Demand), T reprezintă intervalul
de test sau de înlocuire, PFH probabilitatea de defectare
periculoasă pe oră (Probability of a dangerous Failure per
Hour) iar MTTF este timpul mediu de defectare (Mean
Time To Failure).
3.2. Analiza Nivelurilor de Protecţie (LOPA)

Analiza nivelurilor de protecție LOPA (Layers of


Protection Analysis) este o metodologie semicantitativă
simplificată de analiză a riscurilor, respectiv de
determinare a nivelului de integritate al siguranței SIL.
Metoda LOPA constă în determinarea semicantitativă a
probabilităţii unui eveniment nedorit și calitativă a
nivelului de severitate a respectivului eveniment şi
calcularea probabilităţii modificate a evenimentului
periculos redusă cu probabilitatea de defectare a
nivelurilor independente de protecție existente.

Probabilitatea evenimentului rezultat este apoi comparată


cu criteriile de risc corporative pentru a determina
reducerea riscului necesară, care va fi impusă SIF
Exemplu de raport ce trebuie completat în cadrul
analizei LOPA
1 2 3 4 5 6 7 8 9 10 11
Niveluri de protecţie

riscului
Probabilitate (frecvenţa/an)

Probabilitatea modificată a
(probabilitatea de defectare)

evenimentului nedorit
sistemului de reglare

Alte dispozitive de

Alte dispozitive de

Reducerea riscului
Alarme/Acţiuni

Probabilitatea
Eveniment

Defectarea

diminuare
Severitate

protecţie
operator

tolerabil
Cauza

Presiune pe C Defectarea 0.1 0.1 0.1 0.1 0.1 10-5 10-7


separator mai sistemului de
mare decât cea reglare a
proiectată. presiunii ce
conduce la
Fisurare blocarea
și posibil evacuării din
pericol de separator
aprindere
conducând la C Defectarea 0.01 0.1 0.1 0.1 0.1 10-6 10-7
un nr de supapei de
decese între 1 siguranţă
şi 10
Total 1.1·10-5 10-7 110

Nivel de integritate a siguranței SIL 2


Evenimentul nedorit şi nivelul de severitate aferent,
coloanele 1 şi 2, provin dintr-un studiu anterior de
identificare a hazardurilor/pericolelor, cum ar fi
HAZOP, FMEA etc.

Coloanele 3 şi 4 conţin descrierea cauzei şi a


probabilității de apariţie a acesteia.

Coloanele de la 5 la 8 se referă la probabilitatea de


defectare a nivelurilor de protecţie (de prevenire a unui
accident şi de diminuare a efectelor în cazul producerii
accidentului considerat).
Probabilitatea riscului tolerabil, din coloana 10 este
probabilitatea corespunzătoare gravităţii unui eveniment
specific, în conformitate cu criteriile de risc ale
companiei.

Factorul de reducere a riscului din coloana 11 este


indicele RRF care va trebui impus SSP.
Practic, analiza LOPA începe cu descrierea evenimentului
de risc, severitatea și probabilitatea de apariţie a acestuia
(coloane 1-4).

Apoi se calculează probabilitatea modificată a acestui


eveniment prin înmulțirea probabilităţii de defectare a
nivelurilor de protecţie disponibile (coloanele 5-8) cu
probabilitatea normală de apariție.
Ulterior se compară probabilitatea de risc rezultată
(coloana 9) cu de nivelul de risc tolerabil (coloana
10), pentru a determina dacă sunt necesare măsuri
suplimentare de reducere a riscurilor.

Dacă este așa, se evaluează nivelul cerut de reducere


a riscului, RRF (coloana 11).
LOPA se bazează pe valori numerice simplificate ale
fiecăreia dintre componentele scenariului, acestea
fiind aproximate cu ajutorul ordinelor de categorii de
mărime pentru fiecare dintre factorii luați în
considerare.
Există câteva criterii care stabilesc dacă un nivel de
protecţie este performant sau nu, şi anume:

Specificitatea - un nivel este proiectat pentru a preveni


sau a diminua consecinţele unui eveniment nedorit.
Cauze multiple pot genera acelaşi eveniment, de aceea
scenarii multiple pot impune acţiunea unui singur nivel
de protecţie.
Independenţa - un nivel de protecţie este independent
faţă de celelalte dacă defectarea acestuia nu împiedică
buna funcţionare a celuilalt.

Încredere - fiecare nivel trebuie să facă ceea ce a fost


proiectat să facă.

Validitate - Nivelul trebuie astfel proiectat încât să ofere


posibilitatea de validare şi mentenanţă.
3.3. Metode Calitative şi Semicalitative

3.3.1. Matricea de Risc

Matricea de risc este una dintre cele mai populare


metode calitative de determinare a nivelului de
integritate a siguranţei SIL, datorită simplității.

Matricea de risc ține cont de frecvența și


consecința/severitatea unui eveniment nedorit, pe baza
unei clasificări a parametrilor de risc.
Frecvenţa ca un eveniment să se producă poate fi
cuantificată în termeni precum mică (m), Medie (M),
Ridicată (R) sau orice alţi termeni sugestivi.

Nivelurile se pot cuantifica calitativ sau cantitativ,


pentru o singură componentă sau mai multe, pentru un
proces sau întreaga instalaţie.
Exemplu de valori ale frecvenţei riscului

Nivel Frecvență Interpretare calitativă


Un eveniment nedorit poate apărea mai
Ridicată
3 mult decât o dată în durata de viaţă
(R)
prezisă a instalaţiei
Medie Un eveniment nedorit poate apărea o dată
2
(M) în durata de viaţă prezisă a instalaţiei
Un eveniment nedorit poate apărea cu o
1 Mică (m) probabilitate mică pe durata de viaţă
prezisă a instalaţiei
Consecinţele, respectiv severitatea acestora pot fi
cuantificate pe baza diferiţilor factori de risc cum ar
fi personal, mediu, producţie, echipamente, capital
etc.

În continuare se prezintă un exemplu de valori


orientative ale severităţii riscului asociat
personalului, mediului şi producţiei.
Conform tabelului de mai sus, consecințele pot fi
MINore (MIN), Serioase (S) sau Catastrofale (C), în
conformitate cu nivelul de severitate.

Categoriile pot fi selectate fie calitativ, fie cantitativ,


prin atașarea unor cifre economice, număr de decese
etc.
Exemplu de valori ale severităţii/consecințele riscului
Interpretare calitativă severitate/consecinţe
Severitate/Con
Nivel Producţie/
secințe Personal Mediu
Echipamente
Scăpări de substanţe
Pierderi mai
periculoase în afara
III Catastrofică(C) Mai multe decese mari de
perimetrului
1.500.000 $
instalaţiei

Scăpări de substanţe
nepericuloase în
Un singur deces sau
afara perimetrului Pierderi între
accidentaţi care
II Serioasă (S) instalaţiei sau scăpări 100.000 $ şi
necesită timp de
de substanţe 1.500.000 $
recuperare
periculoase în
perimetrul instalaţiei
Scăpări de
substanţe
Accidentaţi ce
periculoase într-o
necesită tratament Pierderi până la
I MINoră (MIN) zonă restrânsă din
medical sau prim 100.000 $
perimetrul
ajutor
instalaţiei sau fără
scăpări
Prin unirea valorilor celor două proprietăţi, frecvenţa
şi severitatea riscului se obține matricea de risc:
Dacă riscul identificat este ridicat, atunci se
recomandă introducerea unor modificări.

Dacă riscul identificat este mediu, este necesară


adăugarea unor niveluri de siguranţă suplimentare.

Dacă riscul identificat este mic, nu se impun


modificări nici adăugiri de niveluri de protecție.
În condiţiile în care fiecare celulă a matricei de risc are un
nivel SIL asociat, atunci procesul de determinare a
nivelului SIL este simplu.

Figura de mai jos prezintă o diagramă tipică de matrice de


risc modificată pentru determinarea nivelului SIL.
3.3.2. Graful de Risc

Metoda grafului de risc este o metodă calitativă ce ia


în considerare consecința și frecvența evenimentului
periculos, dar şi probabilitatea ca personalul să evite
pericolul.
În tabelul urmator este prezentată clasificarea
parametrilor de risc sugerată în cadrul standardului
IEC 61511.
Parametru de risc Notaţie Clasificare
C1 Răniri minore
Răniri grave a unuia sau
C2 mai multor
Consecinţă
persoane
(C)
C3 Decesul unei persoane
Efect catastrofal. Multe
C4
decese
Frecvenţa de ocupare F1 Rar la frecvent (<0.1)
a zonei afectate
F2 Frecvent la continuu (>0.1)
(F)
Probabilitatea de Posibil în anumite condiţii
P1
evitare a (>90%)
consecinţelor
P2 Aproape imposibil (<10%)
(P)
Foarte puțin probabil să
A1
apară (F<0.01/an)
Probabilitatea Puţin probabil ca un
apariţiei consecinţei A2 eveniment nedorit să
nedorite apară (F>0.01/an)
(A) Probabilitate relativ mare
A3 ca evenimentele nedorite
să apară (F>0.1/an)
Pentru parametrul Consecință (C), în raport cu riscul
personalului, sunt sugerate patru categorii de consecinţe,
variind de la un prejudiciu minor la mai multe decese. C1
este cea mai puţin severă categorie.

În general, consecinţele se măsoară prin gradul de rănire


a persoanelor dar și prin măsuri de mediu sau financiare
[IEC, 2003].
Frecvenţa de ocupare (F) indică fracțiunea de timp în
care zona periculoasă este ocupată de personal. F2
indică un risc mai mare decât F1, deoarece zona este
ocupată mai frecvent.

De obicei, conform IEC 61511, F1 poate fi selectat în


cazul în care zona periculoasă este ocupată mai puțin
de aproximativ 10% din timp.
Posibilitatea ca personalul să evite pericolul este
încorporată în parametrul P.

Acest parametru reflectă ce metode trebuie identificate


de către personal pentru a scăpa de pericol.

În plus, rata de dezvoltare a evenimentului periculos


este luată în considerare.
Sunt sugerate două categorii, P1 și P2, P2 indicând cel
mai mare risc.

În scopul selectării P1, o listă de afirmaţii trebuie să fie


validată.

Astfel de liste de afirmații sunt sugerate în standardul


IEC 61511.
Parametrul final este probabilitatea apariţiei (A) care
este frecvența pe an a apariției unei consecințe
nedorite, fără SIF (Safety Instrumented Function).

Figura de mai jos reprezintă o diagramă tipică de graf


pentru riscul personalului.

Grafuri asemănătoare pot fi obţinute pentru riscurile


asociate echipamentelor, pierderilor de producţie sau
impactului asupra mediului.
Calea de la stânga la dreapta este decisă de valorile
parametrilor de risc selectaţi.
Consecința selectată, frecvența de ocupare și
probabilitatea de evitare duce la un anumit rând de ieșire,
O.
Fiecare rând de ieșire corespunde celor trei valori ale
parametrului A.
Alegerea parametrului A este ultimul pas în determinarea
nivelului SIL.
Alegerea unui parametru A superior duce la un nivel SIL
mai mare.
În cazul în care consecința probabilă este evaluată a fi
rănire gravă a uneia sau mai multor persoane, C2 este
selectat.

Dacă zona ar putea fi expusă la personal rar la mai


frecvent, F1 este ales.

Este posibil ca în anumite condiții, să poată fi evitate


consecințele, ceea ce indică faptul că parametrul P1 ar
trebui ales.
Combinația acestor parametri de risc duce rândul de
ieșire O2.

Considerând o probabilitate destul de mare ca un


eveniment nedorit să aibă loc, este stabilită valoarea
probabilităţii de apariţie la A3.

Conform figurii de mai jos, rezultă o cerință SIL 1.


C – Consecinţe (C1 – răni minore, C2 – răniri grave, C3 – un deces, C4 – mai multe decese);
F – Frecvenţa (F1 – rar la frecvent, F2 – frecvent la continuu);
P – Probabilitatea evitării (P1 – posibil uneori, P2 – aproape imposibil);
A – probabilitatea Apariţiei (A1 – foarte mică, A2 – mică, A3 – relativ mare)
X – SSP nu este necesar, 1, 2 ,3, 4 – niveluri de integritate a siguranţei, SIL, 4’ – nu este suficient un singur
SSP.

S-ar putea să vă placă și