2. Implementando a Redução de Risco

O risco iminente normalmente é reduzido com a instalação de outros circuitos PLT que servem como uma função de segurança juntamente com os equipamentos PLT necessários por motivos operacionais, ou seja, os circuitos entrarão em ação no caso de um mau funcionamento no equipamento operacional. O tipo de equipamento usado exclusivamente para a redução de riscos é conhecido como equipamento de proteção ou funções Z.

O grau de redução de risco obtido através do uso do equipamento de proteção depende do funcionamento correto do equipamento. Se uma falha fosse impossível, poderia obter-se a eliminação completa do risco relevante. O risco residual deve ser zero. Como isso não é realista na prática, um grau de redução de risco limitado pode ser conseguido apenas com equipamentos de proteção de fato. Embora um risco residual sempre permaneça, ele será tão pequeno que poderá ser tolerado. O objetivo do processo de design é implementar o equipamento de proteção para que o grau de redução de risco obtido corresponda o mais próximo possível do SIL necessário.

Uma redução de risco insuficiente (o equipamento de proteção SIL é menor do que o SIL necessário) resultaria em um risco residual intolerável. Enquanto uma redução de risco excessivo (o SIL do equipamento de proteção é maior do que o SIL necessário) resultaria em uma carga de trabalho desnecessária que não seria justificável.

Informações sobre como o equipamento de proteção deve ser projetado para obter um determinado grau de redução de risco (por exemplo, um SIL específico) podem ser encontradas na EN 61511 e na VDI/VDE 2180. É de vital importância perguntar por que o equipamento de proteção falha devido a requisitos de design para os equipamentos de proteção, a resposta pode ser derivada de respostas relevantes. Uma investigação mais profunda revela que, em princípio, há dois diferentes tipos de falha que podem causar a falha do equipamento de proteção:

• Falha sistemática
• Falha aleatória

Embora um grau específico de probabilidade possa ser esperado para a ocorrência de uma falha aleatória, isso não se aplica a uma falha sistemática.

Porém, em princípio, diferentemente das falhas aleatórias, as falhas sistemáticas podem ser evitadas. Entretanto, a experiência mostra que isso é apenas parcialmente verdade (em especial quando se trata do software). Esse conhecimento leva aos seguintes requisitos em relação ao design do equipamento de proteção:

• Prevenir falhas com a introdução de um sistema de gerenciamento de qualidade especial (palavras-chave: "sistema de gerenciamento de segurança funcional" ou, resumidamente, "sistema FSM")
• Evitar falhas por meio da redundância e/ou comportamento à prova de falhas e detecção de falhas (palavras-chave: tolerância a falhas de hardware, soma de falhas de segurança, cobertura de diagnóstico)
• Fazer cálculos para quantificar a probabilidade de falha com base em falhas aleatórias (palavras-chave: cálculo de PFD/PFH)

A implementação prática dos três pontos mencionados acima, determina a extensão da redução de risco do equipamento de proteção. De modo geral, a carga de trabalho envolvida no planejamento, implementação e operação do equipamento de proteção, depende de qual SIL o equipamento deve alcançar. As normas EN 61508, EN 61511 e VDI/VDE 2180, descrevem exatamente a correlação entre o projeto e o equipamento de proteção SIL que pode ser alcançada.

Quando o equipamento de proteção é projetado, a prevenção de falhas, o controle de falha e a probabilidade de falha devem ser considerados apropriadamente para atingir um determinado grau de redução de risco. Levando em conta que a probabilidade de falha em si não é suficiente para atender a um requisito SIL. Na realidade, o equipamento de proteção só pode atingir um SIL específico quando a estrutura (redundância, diagnóstico, design à prova de falhas) e a probabilidade de falha (PFD/PFH) atenderem aos requisitos estipulados no padrão para o SIL relevante. Além disso, um sistema FSM deve ser usado para a implementação. Somente então pode-se considerar que as falhas sistemáticas serão impedidas conforme necessário.