Edição 176 - Controle & Instrumentação

Revista Controle & Instrumentação – Edição nº 177 – 2011

¤ Cover Page

Plano Diretor de Automação orienta ações na Braskem

A unidade industrial de insumos básicos da Braskem em Santo André, São Paulo, está ás voltas com a revisão do seu Plano Quinquenal de avaliação de riscos operacionais- que promete investimentos ao longo dos próximos anos. O estudo de Hazop vai analisar 680 fluxogramas, sendo necessárias 25.600 horas de todas as pessoas envolvidas! Tanto que Daniel Morales, responsável pela Automação Sudeste dentro da Diretoria de Empreendimentos da empresa, já apresentou ao mercado como a Braskem está como Grupo na gestão do ciclo de vida dos seus sistemas instrumentados de segurança. "O Plano Diretor de Automação é nosso principal direcionador e nele está o plano de investimentos e gestão do ciclo de vida dos sistemas instrumentados de segurança. Esse Plano foca a necessidade do negócio versus os gaps tecnológicos que a empresa tem e como fazer para reduzi-los e maximizar os resultados. É um Plano, vai gerar coordenadas, mas a verba dos orçamentos vêm efetivamente das plantas. A equipe de automação mostra para cada planta onde ela precisa investir, porquê, quanto custa e gera um cronograma de prioridade de investimentos. É o principal resultado do Plano Diretor de Automação", comenta Daniel.

As necessidades listadas têm sempre o viés de negócio, sempre para maximizar o resultado operacional, reduzir custos e/ou aumentar a segurança. Mas, a partir desse ano o Plano inclui também a gestão de obsolescências, já que a Braskem tem comprado muitas plantas e possui ativos de idades muito diferentes – o Sudeste tem as plantas mais antigas da empresa no país a exemplo das unidades industriais em Cubatão (ex Dow) e Santo André (ex-PQU). No site de Santo André, por exemplo, a área de aromáticos ainda possui uma parte que trabalha com instrumentação pneumática – o SDCD dessa unidade está sendo atualizado este ano mas, por enquanto, a instrumentação se mantém. Apesar de a unidade ainda trabalhar com instrumentos antigos, ela não é insegura, mas se comparado às mais novas, existem não conformidades. A Braskem não possui plantas críticas em segurança porque suas equipes mantêm os olhos nas normas – que não são ainda obrigatórias no Brasil, mas são fortemente aceitas e usadas. Daniel pontua que é uma questão de tempo para que normas como a ISA 84 se transformem numa NBR. "Estamos nos antecipando porque sabemos que existe um movimento de que isso vai acontecer. Como o Ministério do Trabalho vai atuar, se com o mesmo rigor da OSHA nos EUA – que não aceita qualquer não-conformidade com a gestão do ciclo de vida – não sabemos dizer. Mas estamos reforçando as posturas já voltadas para a segurança".

O descontinuamento é a última parte do ciclo de vida do produto e sua segurança e é algo que tem sido reforçado no Brasil – ainda que o Ministério do Trabalho exija NR-12, que prevê desmonte seguro, mas leiloa máquinas sem esse cuidado. Daniel ressalta que o fato de estar obsoleto não significa que não seja seguro porque as equipes cuidam de seus ativos, em qualquer empresa consciente, mas chega um ponto em que não tem jeito; ainda que bem cuidado, aquele ativo uma hora vai falhar e não haverá peça de reposição e aí fica difícil mantê-lo em operação. "Temos alguns ativos nesse limite e focamos na manutenção preventiva, em conseguir sobressalentes adequados, fazemos tudo para evitar qualquer problema". A norteadora da Braskem é a IEC 61511, que apresenta algumas diferenças em relação à ISA 84. Uma delas é a Grandfather´s Clause – cláusula que trata sobre a gestão dos sistemas instrumentados de segurança legados, descontinuados e obsoletos. Painéis de relé, por exemplo, como os que a Braskem possui em plantas da BA ainda fazendo intertravamento. E ainda existem em muitas empresas. Ambas as normas estão muito focadas nos PLCs, e instrumentos eletrônicos, mas e os sistemas que não se encaixam aí? E as fábricas que não tem dinheiro para trocar seus sistemas? Essa cláusula da ISA84 dá uma abertura para que esses sistemas sejam tolerados desde que sejam geridos dentro da norma. Na Braskem, 39% dos ativos de automação são relacionados a segurança de processo – as unidades localizadas na região Nordeste concentram a maior parte desses sistemas instrumentados de segurança e as plantas do exterior ainda não estão incluídas nos levantamentos.

Para Daniel, tratar o SIS é uma questão de gestão, que começa com a especificação do sistema, o que ele tem que ter, toda a análise do processo, determinação dos riscos inerentes àquele processo. Definidos os riscos, aplicam-se as camadas de proteção para mitigá-los, através do LOPA, e dentro dessa análise pode aparecer a necessidade de um SIS – mas não necessariamente porque o SIS é apenas uma camada, existem outras contempladas na avaliação. O processo de determinação do nível de segurança inclui o Hazop, uma análise dos perigos e riscos, seguida de uma avaliação por camadas de proteção para reduzir a frequência ou severidade desses riscos. Se o sistema atinge o nível considerado tolerável sem uma função SIS, está perfeito. O SIS é a última camada a ser contemplada – o que está faltando de mitigação em termos de probabilidade para manter os riscos dentro das faixas de tolerância aceitáveis. O SIL requerido é uma faixa de probabilidades de falha sob demanda (PFD). Essa probabilidade é calculada a partir da severidade do risco e das probabilidades de falha das demais camadas contempladas no estudo de LOPA: quanto maior o risco menor a PFD exigida para a malha e maior o SIL. Só quando essas análises estão prontas é que se vai desenhar o SIS, definir a tecnologia, fazer o projeto conceitual, básico e detalhado, instalar, comissionar, testar e operar – entram aí as rotinas preventivas para garantir que o sistema continue operando como projetado. "A tecnologia que se vai usar entra quando se detalha o projeto, mas segurança é basicamente o ser humano: quem especifica, quem instala, quem opera, quem mantém, quem realiza mudanças nos sistemas... Tudo tem procedimento, até o descomissionamento".

Depois de definida uma função instrumentada de segurança, ao longo do tempo, essa função vai degradar naturalmente, porque os instrumentos envelhecem, as válvulas podem começar a emperrar, mas é preciso garantir a mesma probabilidade de falha. Caso contrário, o que era SIL 3 não representará mais aquela segurança. A manutenção é importante para garantir que o SIL que se projetou continua valendo. Então, de tempos em tempos, é necessário realizar testes em todos os intertravamentos de segurança, o que normalmente é um problema porque, como se testa uma planta rodando? Ou se pára a planta ou os testes têm que ser feitos de maneira parcial – os chamados partial strokes. Na maioria dos intertravamentos a parte final é uma válvula que não pode abrir ou fechar totalmente (full stroke) com a planta rodando então, tem-se que abrir um pouco e fechar um pouco, fazer o partial stroke. Em nome da segurança teremos a certeza de que a válvula está se movendo um pouco com um determinado fator de cobertura – mesmo que não se garanta 100%. Bypasses podem ser usados para teste em lugares que se sabe que não poderão ser testados on line. Isso tem seus prós e contras: esse bypass precisa ser bem gerenciado, pois é só para teste e, um teste de função instrumentada de segurança com a planta rodando, não é uma situação normal; numa situação normal o bypass não pode estar ativo. Na ocasião de teste procedimentos rígidos devem ser seguidos.

A norma exige que cada intertravamento de segurança tenha seu procedimento de teste, e todos os intertravamentos têm que ser testados dentro de uma periodicidade que garanta o SIL requerido. Normalmente as plantas nascem com viés de segurança e o risco não depende do tamanho da planta. Nas petroquímicas, por exemplo, os grandes riscos estão nos grandes inventários de hidrocarbonetos – colunas, vasos e tanques de armazenamento. Mas algumas plantas químicas, menores, são potencialmente muito mais perigosas porque, por exemplo, trabalham com gases como fosgênio (um dos ingredientes do gás letal que vazou em Bophal) como matéria-prima. Em algumas plantas, todos os que entram precisam usar um crachá especifico que muda de cor de acordo com a concentração de determinados gases no ar. Na Braskem, o Hazop é usado para análise de risco é seguido pelo Lopa – o passo a passo de como proceder as análises está nos anexos. E, além do Lopa, utiliza a sua matriz de aceitabilidade de risco, um método aceitável pelas normas, que determina qualitativamente o SIL a partir da severidade e freqüência dos riscos.

O que a matriz de aceitabilidade faz é ajudar a determinar o SIL associado, demonstrados nos quadrantes de interseção entre severidade e frequência do risco. A DuPont usa uma matriz de aceitabilidade de risco para determinar o SIL, mas como esse método é qualitativo, acaba sendo muito conservador. Numa análise mais detalhada e quantitativa, pode-se chegar a conclusão que para um determinado risco baixo não seria preciso SIL e as outras camadas de proteção já seriam suficientes. O Lopa é mais assertivo, é um método semi-quantitativo que trabalha com probabilidades. Porque existe um risco determinado no Hazop de cada indústria, caracterizado por uma severidade e uma frequência – pode acontecer muito frequentemente com uma severidade pequena ou pode acontecer uma vez na vida, mas quando acontece é catastrófico.

O Lopa ajuda a definir o limite, qual a frequência de um risco é aceitável para a equipe, porque sobre a severidade não se tem controle, ela é inerente ao processo: uma vez que o acidente ocorra a severidade é decorrente das consequências que ele traz, não dá para mexer na severidade da explosão de um tanque mas pode-se estabelecer que isso é inaceitável, ou – já que a metodologia não aceita isso, pode-se aceitar que um tanque exploda a cada um milhão de anos, por exemplo, e esse pode ser o target de segurança da equipe. "O aceitável depende dos conceitos e conhecimento da equipe das plantas que, a partir daí, começa a trabalhar nas camadas de proteção adicionadas para aumentar a segurança de forma a atingir a frequência estabelecida. Na Braskem, as frequências são definidas pelas lideranças dos sites – quem entende e conhece os processos e a planta", explica Daniel. Não se pode dizer que uma caldeira nunca vai explodir. Em segurança se lida com probabilidades, por isso as camadas de proteção têm, cada uma, suas probabilidades de falhar e mitigar um evento. Cada camada contribui para reduzir a frequência do evento até que se chegue à frequência estabelecida como aceitável. Por exemplo, um reator, um vaso de pressão, cujo risco natural é explodir em consequência das reações internas que geram muita energia: pode-se aumentar a largura da parede do vaso – uma camada que nada tem a ver com intertravamento de segurança; pode-se melhorar o nível de instrumentação para monitorar melhor as vazões dos produtos envolvidos e então colocar algo que faça o alívio da pressão desses produtos quando ela começar a aumentar demais – uma válvula de alívio, por exemplo, que é outra camada de proteção e não tem nada a ver com intertravamento; colocar alarmes, estabelecer procedimentos operacionais, e assim por diante.

O Lopa define claramente essas camadas e uma delas é o intertravamento de segurança – a função instrumentada de segurança –, normalmente a última. Mas nem todas as camadas relacionadas no Lopa são aplicáveis a todo processo, nem todas se pode utilizar, e isso também é um julgamento das lideranças, é preciso conhecer a planta. Alguns bancos de dados como o Offshore REliability DAta – Oreda ajudam no sentido de determinar a PFD das funções instrumentadas de segurança. Eles trazem valores de confiabilidade de elementos como válvulas e transmissores, que podem ser usados no cálculo da PFD de uma função instrumentada de segurança, no caso da planta não possuir histórico próprio sobre a confiabilidade dos seus instrumentos e válvulas. Esta função de segurança entra como o elemento que está faltando matematicamente para fechar essa conta de probabilidade de ocorrência do risco avaliado, cuja meta foi estabelecida pelas lideranças. Definido o SIL requerido da função instrumentada de segurança, se desenha a malha e com o desenho coloca- se o transmissor, a válvula e o PLC que vai tomar a decisão. Esse PLC de segurança roda todos os intertravamentos de segurança – é uma CPU, tem cartões de I/O, e faz a lógica da segurança. A norma prevê que exista nessa malha um "resolvedor lógico" que recebe a informação do campo e toma a decisão. Esse "resolvedor lógico" há algum tempo era um painel de relés. Resumindo, pela norma não pode faltar um elemento iniciador do intertravamento – um transmissor -, o resolvedor lógico e o elemento final, onde se atua, onde acontece a ação, uma válvula ou motor.

O intertravamento de segurança é a lógica. E o que se faz quando uma planta não tem isso tudo? Tem-se que fazer o Hazop ou atualizá-lo, que é o que está acontecendo na Braskem. "Estamos em época de revisão quinquenal dos planos de Hazop e isso vai levar mais de um ano. Estamos atualizando a percepção dos riscos da planta e a partir daí, fazendo os Lopas e usando a matriz de aceitabilidade de risco para determinar a natureza das ações mitigatórias", afirma Daniel. A Braskem define se os riscos são altos, médios ou baixos e então a equipe seleciona os riscos altos para fazer uma análise de Lopa. Segundo Daniel, pode ser que as lideranças também pincem um risco médio para o Lopa. A partir da metodologia do Lopa é que são inseridas as camadas de proteção e uma possível função instrumentada de segurança. Então, a própria metodologia não permite fazer uma planta totalmente à prova de eventos indesejáveis porque se está falando de probabilidade, ainda que muito baixa. É possível dizer que se fez todo o possível para que a planta não sofresse as conseqüências dos seus riscos identificados. Mas não se pode garantir 100%.

A norma permite que se use o ser humano como elemento iniciador de alguma ação ainda que a probabilidade de falha do ser humano seja alta; a norma permite desde que algumas regras sejam estabelecidas e cumpridas. Em 2008\2010 foram implantados os projetos de isolação de grandes inventários de hidrocarbonetos na Braskem da BA. Tanques, colunas, vasos, concentrações de hidrocarboneto devem ter uma válvula de bloqueio que, em um evento de incêndio, seja fechada evitando que aquele hidrocarboneto corra pelos dutos aumentando as consequências do incidente. Quem deve fechar uma válvula que bloqueia o inventário é um ser humano, atuando na botoeira. Apesar de demandado e permitido pela norma, qual é a real probabilidade de falha de um homem sob uma situação de stress? Daniel lembra que as tecnologias de gerenciamento de ativos ajudam, mas não são determinantes para que se faça uma boa gestão de segurança. O que se precisa saber e aplicar são as normas. E a gestão da norma depende toda do homem, de forma preventiva. Para ele, o benchmark em segurança deve ser encarado pela aderência à norma, não em relação a quem tem os instrumentos mais modernos – porque não adianta ter o SIS mais moderno se o projeto for sofrível, se não foram previstas todas as funções.

A tecnologia sozinha não garante nada. E manter uma equipe que entenda da tecnologia de segurança não é o maior problema; o maior gap é ter gente com conhecimento de como gerir o ciclo de vida desta tecnologia toda, seja o painel de relé ou o CLP mais moderno. Poucas pessoas conhecem as normas que são complexas e exigem um nível de gestão muito grande, uma boa organização. "É uma quebra de paradigma, um comprometimento de várias disciplinas juntas", comenta Daniel. Se houvesse um benchmarking para segurança, com certeza a Dow e a DuPont estariam entre os primeiros. Na DuPont, por exemplo, o desenho de funções instrumentadas de segurança só pode ser feito por gente com pelo menos 10 anos de experiência nesse assunto. Mas Dow, DuPont e Braskem têm em comum o fato de agregarem procedimentos internos rigorosos às normas. "Vamos atualizar algumas normas internas esse ano, como por exemplo, a de Requisitos Mínimos para apresentação de projetos de automação justamente para melhorar os documentos necessários de acordo com a IEC 61511 e a ISA 84". Daniel ressalta que gerenciamento de ativos e outras tecnologias são bem-vindas. "Quando a Gestão está implantada se pode usufruir das tecnologias que facilitam a vida e melhoram a visão do que está acontecendo no sistema. Mas fazer bons sistemas de segurança e gerenciá- los bem não sai barato. As tecnologias podem ajudar também a reduzir o custo da segurança. A tecnologia ajuda mas não exclui a necessidade da Gestão e de seguir o passo a passo das normas", finaliza.

SIS terá interface quando dispositivos forem instalados em áreas classificadas

Estellito Rangel, consultor técnico da Petrobras e coordenador geral do PCIC-BR, lembra que a determinação de áreas classificadas é baseada na possibilidade de formação de atmosferas explosivas; o SIL está relacionado à segurança e desempenho dos processos, que não necessariamente envolvem produtos inflamáveis. O SIS é projetado para evitar ou atenuar eventos perigosos, levando o processo a um estado seguro quando condições pré-determinadas forem violadas. Já a classificação de áreas busca fornecer subsídios para a especificação de equipamentos que possam operar com segurança se uma atmosfera com características de explosividade se formar. O uso de SIS terá uma interface quando seus dispositivos eletrônicos forem instalados em áreas classificadas. Neste caso eles terão que ser adequados a funcionar com segurança em ambientes com atmosferas explosivas, submetendo- se aos requisitos de certificação de conformidade para equipamentos Ex. Os sistemas Ex devem estar dentro de um plano de manutenção preventiva, uma vez que as influências do ambiente podem afetar seu desempenho e integridade ao longo do tempo. No momento, a maior novidade tecnológica que tem previsão de crescimento, é a entrada no mercado de diversos projetores LED de alta potência e certificados para uso em áreas classificadas. Estellito destaca alguns itens da NR- 12 que impactam no segmento Ex: 12.106.

Para fins de aplicação desta Norma, devem ser considerados os seguintes riscos adicionais: g) combustíveis, inflamáveis, explosivos e substâncias que reagem perigosamente; 12.125. As máquinas e equipamentos devem possuir manual de instruções fornecido pelo fabricante ou importador, com informações relativas à segurança em todas as fases de utilização. 12.127. Os manuais devem: a) ser escritos na língua portuguesa – Brasil, com caracteres de tipo e tamanho que possibilitem a melhor legibilidade possível, acompanhado das ilustrações explicativas; b) ser objetivos, claros, sem ambiguidades e em linguagem de fácil compreensão; c) ter sinais ou avisos referentes à segurança realçados; e d) permanecer disponíveis a todos os usuários nos locais de trabalho. "Esse pente 127 é muito importante, porque temos muitos usuários que possuem equipamentos Ex cuja documentação está em outro idioma que não o português. Isto passou a ser considerado pela NR-12 como um risco inaceitável", pontua Estellito; 12.136.

Os trabalhadores envolvidos na operação, manutenção, inspeção e demais intervenções em máquinas e equipamentos devem receber capacitação providenciada pelo empregador e compatível com suas funções, que aborde os riscos a que estão expostos e as medidas de proteção existentes e necessárias, nos termos desta Norma, para a prevenção de acidentes e doenças. "Ou seja, esse pente 136 reforça o 10.8.8.4 da NR-10, onde os eletricistas devem ter treinamento específico sobre os princípios dos equipamentos Ex e suas características especiais", ressalta Estellito; 12.142. A capacitação só terá validade para o empregador que a realizou e nas condições estabelecidas pelo profissional legalmente habilitado responsável pela supervisão da capacitação.

Burner Management System

Fornos, queimadores e caldeiras são, normalmente, algumas das principais aplicações industriais que demandam a utilização de um SIS - Sistema Instrumentado de Segurança. Um SIS é composto de pelo menos três elementos, o sensor, o logic solver (executor da lógica de segurança) e o elemento final. O logic solver, ou sistema de segurança, é responsável pela aquisição das variáveis de processo, execução da lógica de segurança e atuação no elemento final, como uma válvula de controle. A ideia é que o SIS funcione em paralelo ao sistema de controle de processo (BPCS -Basic Process Control System) . O SIS funciona em um estado de stand by, monitorando todas as variáveis, processando toda as informações, mas não atuando no processo até ser demandado.

Considerando o exemplo típico de uma caldeira, caso essa saia do estado considerado ideal e seguro de operação, o próprio sistema de controle deve funcionar como uma primeira camada de proteção, seja através de uma lógica automática, como um controle PID ou pela ação do operador. Caso essa barreira de proteção ainda não seja suficiente para manter o controle do processo, o SIS é acionado para levar a caldeira a um estado seguro. O BMS - Burner Management System se caracteriza pela utilização especifica de um sistema de segurança aplicado a caldeiras, fornos e queimadores.

O BMS são conhecidos por uma grande variedade de nomes na indústria: Burner Safety Systems, Burner Control Systems, Combustion Safeguard ETC, Flame Safeguard Systems, Safety Shutdown Systems, Furnace Safeguard Systems, Boiler Safety Systems, e Emergency Shutdown Procedures. A definição tradicional de um BMS é um sistema para monitorar e controlar equipamentos de queima de combustível durante toda a partida, parada, operação e condições transitórias.

Os objetivos principais do BMS são:

• proteger contra partidas em condições inseguras;

• proteger contra condições inseguras de operação e admissão de quantidades inadequadas de combustível;

• fornecer informações para o operador;

• iniciar um procedimento de parada seguro, se exister uma condição insegura.

Uma série de padrões no passado e atualmente desempenham um papel significativo na determinação dos requisitos de segurança de um BMS, incluindo a NFPA 85, NFPA 86, NFPA 87, OSHA 29 CFR (1910,119), FM 7605, ISA S84.01, IEC61508 e IEC 61511. Como algumas das orientações mais utilizadas, destacam-se as americanas NFPA (National Fire Protection Agency) 85 e 86. "São normas consolidadas, boas práticas ou diretrizes de como se implantar sistemas de segurança em caldeiras e fornos. Não é lei utilizar essas normas, da mesma forma que ninguém é obrigado a usar sistemas instrumentados de segurança, entretanto cada vez mais as indústrias de processo enxergam essa necessidade", ressalta o engenheiro Marcos Lacroce, desenvolvedor de negócios para indústrias químicas da Siemens. Para Marcos, existem outras demandas que funcionam como atrativo para a implementação de um sistema de segurança que não seja exclusivamente uma Lei: preocupação com a integridade física dos funcionários, o meio ambiente, os ativos da planta e a própria imagem da empresa.

E, claro, a tendência é que as demandas fiquem cada vez mais severas – e isso começa com pequenas recomendações, tornam-se exigências setoriais e, possivelmente, leis no futuro. Um bom exemplo desta tendência entrará em vigor no início de 2013 para evitar vazamentos: o RTDT, um regulamento técnico de dutos de transportes editado pela ANP, introduziu a exigência do uso de sistemas de detecção de vazamento para operadores de transporte de petróleo, gás e derivados. Isso atinge basicamente o sistema Petrobras e as distribuidoras de gás, mas também dutos da Braskem e só não abrange a Vale porque o minério que ela transporta não está no escopo da ANP - ainda. "Um Sistema Instrumentado de Segurança é aberto e aplicável a qualquer processo. Tendo as devidas certificações e seguindo as normatizações, pode ser modelado e configurado de acordo com as demandas do processo em questão.

Em uma implementação de um projeto de um sistema de falha segurança, deve feita a análise de risco (HAZOP), identificando os riscos inerentes ao processo, e, após isso, a mensuração da quantidade de risco e definição do SIL necessário para cada malha desse processo, em um documento chamado especificação de requisitos de segurança (SRS). O processo segue igual para as caldeiras e fornos; entretanto são agregadas boas práticas e recomendações para a especificação da lógica de segurança, sensores e válvulas, principalmente para o sistema de combustão", conta Lacroce. Assim como qualquer SIS, o BMS deve prever os testes periódicos, chamado de proof tests, para garantir que o nível SIL das malhas de segurança não degrade. Hoje existem testes que podem ser executados sem exigir a parar da planta, aumentando o prazo entre os testes que demandam paradas completas. Válvulas em geral podem apresentar problemas durante o ciclo de vida, fazendo-se necessário uma manutenção periódica, muitas vezes exigindo uma parada do processo. Pensando nessa demanda, hoje temos disponível o recurso do Partial Stroke Test – que está se tornando muito comum e muito utilizado.

É uma funcionalidade que permite obter diagnósticos da válvula através do posicionador de segurança. É enviado um comando para a válvula – nada mais do que um pequeno degrau de abertura ou fechamento, para coletar informações de funcionamento da mesma. A partir desse pequeno degrau o posicionador, associado a um software de gerenciamento de ativos, tem capacidade de levantar a curva de operação atual da válvula e compará-la com a curva de operação ideal, permitindo a identificação de possíveis problemas com a válvula, como um agarramento ou obstrução. Lacroce afirma que o principal é conhecer bem os processos, as normas e as tecnologias disponíveis, e lembrar que as consequências de um sistema de segurança mal desenhado, aplicado ou gerenciado podem gerar prejuízos e danos graves a empresa. Numa caldeira em geral os sistemas são redundantes, para garantir a segurança e disponibilidade do processo. A caldeira deve ser levada a um estado seguro por uma demanda do processo e não pela falha de um instrumento e/ou equipamento que faz parte do SIS.

Sobre a diferença de preços de implementação de um SIS, Lacroce lembra que discrepâncias significativas podem existir, e que é preciso fazer uma análise detalhada para não demandar um SIL desnecessário para a aplicação, o que muitas vezes acaba acontecendo, gerando um gasto desnecessário. "Dependendo do nível de SIL especificado, é necessário o uso de equipamentos redundantes, como no caso da utilização de mais de um transmissor ou válvula na mesma malha de segurança, para atingir o nível SIL3. Com relação ao controlador de segurança, alguns fabricantes precisam usar controladores redundantes para atender níveis SIL 2 ou SIL 3. Para os controladores de segurança da Siemens, a redundância aumenta exclusivamente a disponibilidade do sistema e não a segurança, já que mesmo os controladores simples possuem certificação TUV para aplicações até nível SIL3." Outro fator que pode reduzir consideravelmente o tempo de implementação de um SIS é a possibilidade de utilizar ferramentas de engenharia que otimizam e simplificam a configuração da lógica de segurança, como é o caso da ferramenta de configuração da Siemens chamada Safety Matrix.

Lacroce ressalta que durante a concepção do projeto de segurança, após a realização da análise de risco e identificação do nível SIL de cada malha de segurança, todas as ações de segurança devem ser determinadas e documentadas. Tipicamente essas ações são documentadas em forma de matriz de causa e efeito. Através da ferramenta Safety Matrix, o usuário irá configurar o sistema de segurança também como uma matriz de causa e efeito, simplesmente transcrevendo o que foi documentado, minimizando erros de configuração e reduzindo drasticamente o tempo de engenharia.