Documente Academic
Documente Profesional
Documente Cultură
ndice
ndice
1
INTRODUCCIN
ALCANCE
13
NORMATIVA Y ESTNDARES
15
3.1
16
3.2
ANSI/ISA-S84.01-1996
20
ABREVIACIONES
23
CONCEPTOS Y DEFINICIONES
25
5.1
Qu es el Riesgo?
5.1.1
Riesgo Inherente
5.1.2
Riesgo Tolerable
5.1.3
Riesgo Individual. Principio ALARP
5.1.4
Riesgo geogrfico
5.1.5
Riesgo en la sociedad
5.1.6
Factor de Reduccin de Riesgo (RRF)
25
25
26
27
29
29
29
5.2
31
5.3
32
5.4
33
5.5
rbol de fallos.
34
5.6
Avera (Failure).
34
5.7
34
5.8
Capas de proteccin.
34
5.9
34
5.10
Comisionamiento
34
5.11
Comunicacin externa
35
5.12
Comunicacin interna
35
5.13
Confiabilidad (Reliability)
35
5.14
Dao
35
5.15
Peligro (Hazard)
35
5.16
Demanda
35
ndice
5.17
35
5.18
Desmantelamiento
35
5.19
36
5.20
Disparos en falso
36
5.21
Disponibilidad de seguridad
36
5.22
Dispositivos
36
5.23
Diversidad
36
5.24
36
5.25
Estado seguro
37
5.26
Error
37
5.27
Error humano
37
5.28
5.29
37
5.30
Fallo
37
5.31
Fallo activo
37
5.32
Fallo aleatorio
37
5.33
Fallo dependiente
37
5.34
Fallo pasivo
38
5.35
Fallo peligroso
38
5.36
Fallo sistemtico
38
5.37
Fallo seguro
38
5.38
38
5.39
39
5.40
39
5.41
39
5.42
39
5.43
39
5.44
Tipos de software
40
5.45
40
ndice
5.46
Mitigacin (Mitigation)
40
5.47
40
5.48
40
5.49
41
5.50
MTTF
42
5.51
MTTR
42
5.52
MTBF
42
5.53
42
5.54
43
5.55
Proven in use
43
5.56
43
5.57
Redundancia (Redundancy)
43
5.58
43
5.59
43
5.60
43
5.61
Sensor.
44
5.62
44
5.63
Tasa de demanda
44
5.64
Tasa de fallos ()
44
5.65
45
5.66
Tolerancia a fallos
45
5.67
45
5.68
Validacin.
45
5.69
Verificacin.
46
47
6.1
Requisitos generales
6.1.1
Recursos y Organizacin
6.1.2
Evaluacin y gestin del riesgo
6.1.3
Planificacin de seguridad y responsabilidades E&I durante el Ciclo de vida
6.1.4
Implementacin y seguimiento
47
47
48
49
51
6.2
Evaluacin, Auditorias y Revisiones
6.2.1
Evaluacin de la seguridad funcional
51
51
ndice
6.2.2
6.2.3
52
54
55
7.1
Ciclo de Vida de Seguridad
7.1.1
Fase Anlisis del Ciclo de Vida de Seguridad SIS
7.1.2
Diseo Conceptual del Proceso
7.1.3
Anlisis de Peligros y Riesgos del Proceso
7.1.4
Aplicacin de capas no-SIS
7.1.5
Criterios para determinar la necesidad de un SIS
7.1.6
Seleccin del SIL objetivo
7.1.7
Especificaciones de Requerimientos de Seguridad, SRS
7.1.8
Fase Implementacin del Ciclo de Vida de Seguridad SIS
7.1.9
Ingeniera y diseo del SIS
7.1.9.1 Diseo conceptual del SIS
7.1.9.2 Diseo de detalle del SIS
7.1.10
Verificacin del SIL
7.1.11
Pruebas de Aceptacin de Fbrica (FAT)
7.1.12
Instalacin y Comisionado
7.1.13
Fase Operacin del Ciclo de Vida de Seguridad SIS
7.1.14
Operacin y Mantenimiento
7.1.15
Modificaciones del SIS
7.1.16
Desmantelamiento del SIS
59
64
65
65
66
66
67
68
68
69
70
70
70
71
71
72
73
74
74
7.2
Mtodos de Identificacin y Anlisis de Riesgos de Procesos (PHAs)
7.2.1
Marco legislativo
7.2.2
Tcnicas de Identificacin de Riesgos y Anlisis de Peligros
7.2.3
Metodologa HAZOP
7.2.3.1 Procedimiento.
7.2.3.2 Puntos fuertes y dbiles de la metodologa HAZOP
7.2.3.3 Desarrollo del estudio HAZOP
7.2.4
Revisin de la seguridad
75
75
78
81
83
84
85
93
7.3
Asignacin del SIL objetivo
7.3.1
Mtodos cualitativos
7.3.2
Mtodos cuantitativos
7.3.3
Revisin de la seguridad
94
94
106
112
7.4
Especificaciones de los requerimientos de seguridad (SRS)
7.4.1
Especificaciones funcionales
7.4.2
Especificaciones de integridad
7.4.3
Especificaciones de sobrevivencia
7.4.4
Documentacin SRS
7.4.5
Ejemplo de Requerimientos bsicos de seguridad
113
115
116
118
118
120
7.5
Ingeniera y Diseo del SIS.
124
7.5.1
Independencia entre los componentes del SIS y del BPCS
125
7.5.2
Identificacin y etiquetado de las Funciones Instrumentadas de Seguridad y Sistemas
Instrumentados de Seguridad
126
7.5.3
Sensores de campo
127
7.5.3.1 Transmisores inteligentes
130
7.5.3.2 Diagnsticos de sensores
130
7.5.4
Elementos finales de control
131
7.5.4.1 Diagnsticos de vlvulas
133
7.5.4.2 Posicionadores inteligentes en vlvulas
133
7.5.4.3 Test de recorrido parcial (PST Partial Stroke Test)
134
7.5.5
Tecnologa de control. Seleccin
139
7.5.6
PLC de seguridad
143
ndice
144
145
146
147
149
161
167
168
168
169
169
170
170
172
172
173
176
177
177
178
179
182
183
7.6
Verificacin del SIL de una SIF.
7.6.1
Introduccin
7.6.2
Procedimiento
7.6.3
Clculo PFDavg y MTTFspurious. Modelo Ecuaciones Simplificadas.
7.6.3.1 Clculo PFDavg
7.6.3.2 Clculo MTTFspurious
7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas
7.6.3.4 Ejemplo de clculo utilizando el modelo de ecuaciones simplificadas
7.6.4
Observaciones. Uso de guas propias estandarizadas
7.6.4.1 Arquitecturas tpicas
7.6.4.2 Desviacin de las arquitecturas tpicas
7.6.4.3 Clculo PFDavg
184
184
186
188
188
195
200
201
207
211
212
215
7.7
218
7.8
Instalacin y Comisionado
7.8.1
PSAT (Pre-Start Acceptance Test)
219
222
7.9
Operacin y Mantenimiento
7.9.1
Procedimientos de operacin y mantenimiento
7.9.2
PSSR (Pre-Startup Safety Review)
7.9.3
Pruebas funcionales del SIS (Proof Testing)
7.9.3.1 Metodologa de test
7.9.3.2 Documentacin
225
225
228
229
230
231
231
232
233
234
235
ANEXOS
236
8.1
236
ndice
8.2
238
8.3
240
8.4
241
8.5
ANEXO E: P&ID
242
8.6
243
8.7
8.8
ANEXO H: Clculo SIL; Verificacin
8.8.1
SIF N 1:
8.8.2
SIF N 2:
245
245
248
8.9
252
8.10
253
8.11
254
8.12
255
8.13
256
8.14
257
8.15
258
Introduccin
Introduccin
Emergency ShutDown
Introduccin
Introduccin
http://en.wikipedia.org/wiki/Flixborough_disaster
10
Introduccin
1976- Seveso 1, Italia. Prdida a la atmsfera de una nube de TCP cloro y dioxina
como consecuencia de la fisura de un disco de rotura producido por una reaccin
exotrmica incontrolada de 2-4-5-triclorofenol (TCP). Quedaron inservibles ms de 4 km a
la redonda de tierras cultivables y el nmero de heridos y muertos por el escape no fue
informado, pero ms de 470 personas fueron atendidas por intoxicacin.
Estos dos accidentes dieron origen a una serie de normas y leyes en cuanto a la
seguridad de procesos, por parte de los entes reguladores europeos.
Una fecha clave para el inicio de la reglamentacin de los sistemas de seguridad en
Estados Unidos la encontramos en diciembre de 1984, con la explosin y fuga de 24
toneladas de metilisocianato, mientras se realizaban tareas de mantenimiento en una planta
qumica que Unin Carbide posea en Bhopal (India), donde oficialmente se habl de 2500
muertos, ms de 200000 personas con lesiones, un desastre ecolgico incalculable y una
herencia de problemas para las sucesivas generaciones. Desde esta fecha se empez a crear
normas reglamentarias.
As en Estados Unidos y Europa (Alemania principalmente) empezaron a nacer
diferentes organizaciones y normas que proporcionaban directrices para sus sistemas de
parada de emergencia.
OHSA 2 en Estados Unidos y paralelamente Seveso Directive 3 en Europa, fueron
las primeras normas de regulacin que aparecieron, siendo la Directiva Seveso, creada el
24 de junio de 1982, la primera norma de obligado cumplimiento para los pases miembros
de la CEE. El 9 de diciembre de 1996 fue sustituida por la Directiva Seveso II, siendo de
obligado cumplimiento a partir del 3 de febrero de 1999, finalmente en 2005 se propugn
el RD 119/2005 de 4 de febrero, conocido como SEVESO III. Segn Seveso III un
accidente grave es cualquier suceso, tal como emisin en forma de fuga o vertido, incendio
o explosin importantes que suponga una situacin de grave riesgo, inmediato o diferido,
para personas, bienes y medio ambiente, bien sea en el interior o exterior de la instalacin,
y que estn implicadas una o ms sustancias peligrosas. La directiva Seveso fue traspuesta
al ordenamiento jurdico espaol mediante el R.D. 1254/1999, por el que se aprueban las
medidas de control de los riesgos inherentes a los accidentes graves en los que intervengan
sustancias peligrosas, este a su vez es modificado por el R.D. 948/2005.
La directriz bsica para la elaboracin y homologacin de los planes especiales del
sector qumico est recogida en el R.D. 1196/2003, en ella se indica las bases y criterios
para la correcta organizacin de las emergencias derivadas de accidentes, estableciendo los
criterios mnimos de contenidos de los planes de emergencia interior (PEI) y exterior
(PEE).
Una norma de referencia en todo el mundo aunque no de obligado cumplimiento en
Espaa al no estar recogida en la legislacin espaola es la normativa de obligado
cumplimiento en Estados Unidos y perteneciente a OHSA, 29 CFR 1910.119 Process
safety management of highly hazardous chemicals.
http://es.wikipedia.org/wiki/Desastre_de_Seveso
Seveso Directive I and II se trata de una recopilacin de leyes editada por la Comisin Europea de
medio ambiente encaminadas a la prevencin y control de accidentes qumicos.
11
Introduccin
12
Alcance
Alcance
13
Alcance
14
Normativas y Estndares
Normativa y Estndares
El concepto ciclo de vida surge tras la publicacin en 1995 por parte del Ejecutivo Britnico de
Salud y Seguridad (Health and Safety Executive HSE) de un artculo titulado Fuera de control (Out of
control) donde se discute porqu fallan los sistema y cmo hay que prever los fallos. El artculo analiza las
causas de varios accidentes industriales que se originaron en fallos de sistemas de control. El resultado de
este estudio llev al desarrollo del concepto ciclo de vida de la seguridad funcional y que es definido en
diferentes estndares internacionales de seguridad como la ANSI/ISA S84.01, IEC 61508, IEC 61511.
15
Normativas y Estndares
Estas normas internacionales se estn utilizando como directrices para demostrar que
en el desarrollo de los sistemas instrumentados de seguridad se han aplicado las mejores
prcticas de ingeniera.
Si bien estas normas y directrices no tienen fuerza de ley en la mayora de los
pases 1, s que ha aumentado la dependencia de los sistemas SIS, obligando a realizar una
metodologa que asegure que se alcanza un nivel de riesgo tolerable objetivo, tanto en el
proceso de fabricacin de los sistemas y equipos participantes en sistemas instrumentados
de seguridad, como en el diseo y desarrollo, comisionado y puesta en marcha y
mantenimiento del propio sistema de seguridad. Para facilitar y garantizar que las
compaas proveedoras y las propietarias del sistema han cumplido y se han adherido a
estos estndares, existen organizaciones auditoras y certificadoras independientes, TV,
FM, Exida y otras, que actan como terceros y certifican que nuestro sistema cumple
estrictamente con la norma.
3.1
Las normativas y prcticas recomendadas pueden tener peso de ley pero slo cuando son
incorporadas por referencia en la ley correspondiente o listada por la Directiva Europea.
16
Normativas y Estndares
Este enfoque hizo que la IEC 61511, Functional Safety: Safety Instrumented Systems
for the Process Industry Sector (Seguridad funcional: Sistemas instrumentados de
seguridad para el sector de las industrias de procesos), sea la norma de seguridad que la
mayor parte de las industrias de procesos eligen como estndar para el desarrollo de sus
guas internas propias y documentos internos para la implementacin de sus Sistema
Instrumentados de Seguridad. La IEC 61511 es un estndar publicado por la IEC
International Electrotechnical Comisin donde se establece una base para el uso de
dispositivos elctricos y/o electrnicos programables en el diseo de Sistemas
Instrumentados de Seguridad en la industria de proceso. Establece cuales son los pasos en
el ciclo de vida de un SIS desde su concepcin hasta su desmantelamiento, y est dirigida
fundamentalmente al diseador, ejecutor y usuario final de los sistemas de seguridad.
Por tanto la IEC 61511 aplica a los usuarios finales en la industria de procesos.
Est basada en dos conceptos fundamentales: el ciclo de vida de seguridad del SIS y
el nivel integro de seguridad, SIL. Tiene 3 partes:
Parte 1: Requisitos
La IEC 61511 es una norma que incluye y se basa en el concepto ciclo de vida, esto
facilita el uso de otras normas o prcticas basadas en el ciclo de vida. Este modelo de ciclo
de vida de seguridad funcional es usado y recomendado por agencias reguladoras y otros
organismos como:
HSE Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades
relacionadas con la seguridad.
17
Normativas y Estndares
Etc.
IEC 61511 permite personalizar el modelo de ciclo de vida para ajustarse a sus
prcticas habituales, siempre y cuando se cumpla con los requisitos normativos.
El enfoque de la IEC 61511 usa 5 etapas principales de ciclo de vida para atender
estos requisitos, adems de un proceso de verificacin y documentacin a lo largo de todo
el ciclo de vida:
Etapa de ciclo de vida
5. Modificacin y actualizacin
- Verificacin y documentacin
18
Normativas y Estndares
Todas estas actividades permiten cumplir con el requisito central de la norma IEC
61511:
Gestin de seguridad funcional
Dependiendo de dnde est ubicado el SIS, es posible que la conformidad con IEC
61511 o con otras normas de seguridad sea un requisito legal. Incluso si no lo es, cumplir
la norma tiene sentido. El resultado de la IEC 61511 es un riguroso conjunto de prcticas
recomendadas para disear, implementar, verificar, operar y mantener sistemas
instrumentados de seguridad robustos y fiables. Es una buena muestra de ayudar a
garantizar la seguridad de la planta y por tanto del entorno social, a la vez que puede
minimizar costos de operacin.
El hecho de haber cumplido con la norma, incluso si no es de obligado
cumplimiento, puede ser til en caso de ocurrir algn incidente de seguridad. Las
investigaciones posteriores a un accidente o vertido de producto al medio ambiente
involucran a agencias gubernamentales que tienen autoridad para abrir una va de
investigacin e imponer sanciones si es preciso, incluso sanciones penales y clausura de
actividades. Entre las preguntas que pueden hacer estn:
Etc.
Normativas y Estndares
3.2
ANSI/ISA-S84.01-1996
IEC61508
20
Normativas y Estndares
ACLARACIN: Las normativas y prcticas recomendadas pueden tener peso de ley pero
slo cuando son incorporadas por referencia en la ley correspondiente o listada por una
Directiva Europea. As existe una jerarqua de las guas para la seguridad en procesos
industriales tal que:
Normativas y Estndares
[2]
[3]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 13, IEC (International Electrotechnical Comission). 2003
[4]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5]
22
Abreviaciones
Abreviaciones
ALARP
ANSI
BMS
BPCS
CEM
CCRC
CFSE
DC
Diagnostic Coverage
E/E/PES
EMC
Electromagnetic Compatibility
ESD
FAT
FM
Factory Mutual
FMEDA
FMS
FTA
F&GS
Fire&Gas System
HAZOP
HMI
IEC
ISA
LOPA
MooN
M out of N
MTBF
MTTF
PFD
PFDavg
PFS
PHA
P&ID
PSM
PST
RRF
Abreviaciones
SCL
SFF
SHE
SIF
SIL
SIS
SRS
STR
TI
Test Interval
TMR
TV
Technischerberwachungs-Verein
24
Conceptos y Definiciones
Conceptos y Definiciones
5.1
Qu es el Riesgo?
n muertes/ao
ao-1
n de muertes
perdidos/mes
mes-1
prdidas econmicas ()
kg fuga/hora
hora-1
kg sustancia fugada
etc.
Aunque en las normas de seguridad como la IEC 61511, el riesgo se centra en riesgo
personal y riesgo para el medio ambiente, la mayora de compaas extienden las
categoras y factores de riesgo e incluyen:
25
Conceptos y Definiciones
Por definicin el riesgo inherente es el riesgo que existe debido a la naturaleza del
proceso, incluyendo el equipo y sustancias presentes.
As la evaluacin del proceso ayudar a determinar la probabilidad de que ocurra un
evento de riesgo, y la evaluacin de las sustancias (tipo y cantidad) ayudar a determinar
las consecuencias del riesgo.
Por ejemplo en un tanque de amoniaco presurizado podemos ver diferentes riesgos
inherentes que pueden llevar a una fuga de amoniaco como la rotura del tanque por un
exceso de presin, fugas en uniones de tubera, fugas en las empaquetaduras de vlvulas,
fallos del sistema de control en mantener la presin del tanque. Cada uno de estos riesgos
tiene una probabilidad y las consecuencias dependen de los peligros de exposicin del
personal al amoniaco.
5.1.2 Riesgo Tolerable
Todos sabemos que hay un punto donde el riesgo se vuelve intolerablemente alto.
Asimismo hay un punto dnde el riesgo se vuelve bastante pequeo y pasa a ser aceptable,
el riesgo cero no existe. Entre estos dos puntos est el rea del riesgo tolerable.
En una planta de procesos existen mltiples y simultneos riesgos. El propsito de un
plan de seguridad, incluido el SIS, es garantizar que el riesgo en todo momento sea
tolerable. El riesgo tolerable lo marca el propietario/operador de la planta en cada
momento, es una decisin corporativa. Cada uno marca su riesgo tolerable en la vida por
ejemplo detenerse o avanzar por un semforo que se acaba de poner en amarillo-, por lo
que requiere tanto rigor como flexibilidad. Lo que para uno es un riesgo aceptable, para el
otro ya es inaceptable.
La norma IEC 61511 describe el riesgo tolerable como el riesgo que se acepta en un
determinado contexto de acuerdo con los valores actuales de la sociedad, como vemos es
una definicin muy abierta.
La mayora de las compaas incluyen las lesiones, las muertes y el dinero perdido
entre otros factores a considerar. Una buena prctica es comparar incidentes, accidentes e
investigaciones con plantas similares y riesgos similares para poder identificar y establecer
el lmite del riesgo tolerable. Tambin existen fuentes tales como la Administracin de
Seguridad y Salud Laboral (OSHA) de los Estados Unidos y otras agencias similares en
otros pases.
Es importante, para definir el riesgo tolerable, considerar todas las fuentes relevantes
de daos. Podemos encontrar mltiples referencias sobre puntos de riesgo tolerable. Por
ejemplo podemos mostrar una referencia del marco para la tolerancia de la HSE (Health
and Safety Executive de UK) donde clasifica el riesgo individual para fatalidades como:
1 fatalidad por 100000 aos ser considerado riesgo insignificante (lmite inferior
de riesgo tolerable).
Conceptos y Definiciones
O bien podemos encontrar formas matriciales con enunciados gua como: todos los
riesgos extremos deben ser reducidos y todos los moderados deben ser reducidos cuando
sea factible.
HSE, Oficina Ejecutiva de Salud y Seguridad del Reino Unido para actividades relacionadas con la
seguridad.
27
Conceptos y Definiciones
Riesgo Clase II: se sita en la regin ALARP. En esta zona los riesgos pasan a
ser tolerables solo si la reduccin de riesgo es impracticable o supone un esfuerzo
econmico desproporcionado para la reduccin de riesgo que se conseguir con
la mejora.
28
Conceptos y Definiciones
(1)
Conceptos y Definiciones
Moral: hacer la planta tan segura como sea posible sin importar los costos.
Legal: Cumplir con las regulaciones escritas, sin importar los costos y el nivel real de
riesgos.
Financiera: construir la planta ms econmica posible y mantener el presupuesto de
operacin lo ms pequeo posible.
Se ha de buscar el punto donde los tres apartados encajen, por lo que el riesgo al
igual que el beneficio debe ser medido para determinar de manera ms inteligente la mejor
opcin a seguir ante cualquier situacin.
Bibliografa y referencias
[1]
[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
[4]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[5]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[6]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
30
Conceptos y Definiciones
5.2
Para saber qu nivel de confianza debe presentar una funcin de seguridad cuando el
proceso demande su intervencin se determina a travs del ndice SIL.
Safety Integrity Level (SIL) es un nivel discreto, de 1 a 4, que nos indica que
reduccin de riesgo hemos de aplicar a la funcin de seguridad para alcanzar un riesgo
tolerable. El propsito de seleccionar un SIL objetivo es especificar la reduccin de riesgo
requerida, es decir, la diferencia entre los niveles de riesgo existente y el riesgo tolerable.
Cada nivel discreto se refiere a cierta probabilidad de que un sistema de seguridad
realice satisfactoriamente las funciones de seguridad requeridas bajo todas las condiciones
establecidas en un perodo de tiempo determinado.
Est basado en la probabilidad de fallo en demanda (PFD) para cada particular
funcin instrumentada de seguridad (SIF). La norma ANSI/ISA-SP84 define 3 niveles
discretos. La IEC 61508 y IEC 61511 define 4 niveles discretos. La siguiente tabla muestra
la relacin de los rangos de la PFD asociado a un factor de reduccin de riesgo (RRF) que
corresponden a cada nivel SIL.
Clasificacin de la reduccin de riesgo. ndice SIL
ndice SIL
PFDavg
RRF
10 -> 100
ISA
IEC
31
Conceptos y Definiciones
5.3
Funcin de
Seguridad
Condiciones de proceso
SIF n 1
Presin alta
Salida accionamiento 1
SIF n 2
Presin alta-alta
Salida accionamiento 1 + 2
SIL
Por tanto el PFD de todo el lazo estar formado por el PFD de todos sus
componentes de la SIF, as podremos determinar el SIL de cada funcin instrumentada de
seguridad, es decir la siguiente SIF n1 (figura 5.3.2):
PFDSIF 1 = PFDFV 101 + PFDPT 101 + PFDPLC _ SEGURIDAD + PFDOTROS _ ELEMENTOS _ LAZO
(2)
Conceptos y Definiciones
Figura 5.3.3 Aplicaciones de SIS por tipo de industria y por tipo de equipo.
Bibliografa y referencias
[1]
5.4
Conceptos y Definiciones
rbol de fallos.
Avera (Failure).
Capas de proteccin.
34
Conceptos y Definiciones
(2)
Conceptos y Definiciones
u = (1 DC)* t
(3)
(4)
Conceptos y Definiciones
(5)
5.30 Fallo
Condicin no normal que puede causar una reduccin o prdida de la capacidad de
una unidad funcional para realizar su funcin requerida.
5.31 Fallo activo
Es aquel fallo revelado o detectado que permite al SIS tomar una accin. Tambin
contempla los falsos cortes.
5.32 Fallo aleatorio
Es un fallo que ocurre en un momento cualquiera como resultado de uno o ms
mecanismos de degradacin. Normalmente es un fallo permanente debido a la prdida de
funcionalidad del componente del sistema.
5.33 Fallo dependiente
Fallo cuya probabilidad no puede ser expresada como el simple producto de
probabilidades incondicionales de los evento individuales que lo causaron. Los fallos
dependientes estn incluidos en los de causa comn.
37
Conceptos y Definiciones
38
Conceptos y Definiciones
Fixed program language (FPL): Bajo este tipo de lenguaje, el usuario est
limitado al ajuste de unos pocos parmetros (p.ej. rango de transmisores, puntos
de alarma, direcciones de red), Ejemplos tpicos de dispositivos con lenguaje FPL
son: transmisores inteligentes (smart sensors), vlvulas inteligentes (smart
valves), Secuencia de eventos de un controlador (SOE de un controlador), etc.
Conceptos y Definiciones
Conceptos y Definiciones
SIF en modo demanda: Donde una accin (p.ej. cierre de una vlvula) es
tomada en respuesta a las condiciones de proceso o a otras demandas. La accin
est en espera y solo se ejecutar cuando sea solicitada por la funcin
instrumentada de seguridad. En caso de que suceda un fallo peligroso de una SIF
(la funcin de seguridad deja de ser operativa por cualquier fallo sin que esto sea
apreciado por el usuario), un peligro potencial solamente ocurrir en caso de un
fallo en el proceso o en el BPCS.
SIF en modo continuo: Donde en caso de un fallo peligroso de una SIF (la
funcin de seguridad deja de ser operativa por cualquier fallo sin que esto sea
apreciado por el usuario) un peligro potencial ocurrir sin fallos posteriores a
menos que la accin sea tomada para prevenirlo. La funcin de seguridad est
continuamente ejecutndose.
Tabla 5.50.1: IEC 61511. Nivel integro de seguridad (SIL) probabilidad de fallo en demanda
41
Conceptos y Definiciones
Tabla 5.50.2: IEC 61511. Nivel integro de seguridad (SIL) Frecuencia de fallos peligrosos del SIF
5.50 MTTF
Mean Time to Fail. Tiempo medio para fallos. Tambin podemos encontrarlos con
los aadidos peligroso MTTFD y falso MTTFspurious. Fallos peligrosos son tpicamente
los de tipo pasivo o no revelado, no detectados. En falso se refiere a aquellos que disparan
una activacin innecesaria del sistema y se asocian a un fallo activo, revelado o detectado
de un elemento del sistema. Un tiempo medio de disparo en falso es el tiempo medio para
que presente un fallo el SIS en un paro en falso del proceso o del equipo bajo control.
MTTF se usa para determinar la disponibilidad del sistema. es la tasa de fallos.
MTTF = 1 /
(6)
5.51 MTTR
Mean Time to Repair. Es el tiempo medio necesario para la reparacin de un mdulo
o elemento de un SIS. El tiempo medio es medido desde que ocurre el fallo hasta que la
reparacin es completa incluyendo la puesta en servicio del dispositivo.
5.52 MTBF
Mean Time between fail. Tiempo medio entre fallos teniendo en cuenta el tiempo
medio de un ciclo de fallo ms la reposicin del equipo. Aplica solo a sistemas que son
reparables.
MTBF = MTTF + MTTR
(7)
42
Conceptos y Definiciones
para
sistemas
electrnicos
Conceptos y Definiciones
(8)
Conceptos y Definiciones
nos dar la tasa de fallo promedio que es ms o menos la tasa constante durante la vida til
del equipo.
Conceptos y Definiciones
Revisiones de salida de cada fase del ciclo de vida para asegurar el cumplimiento
con los objetivos y requerimientos de la fase a teniendo en cuenta las entradas
especficas de cada fase.
Revisiones de diseo.
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2]
[3]
Sistemas Instrumentados de Seguridad. Evolucin, diseo y aplicacin. Ing. Roberto E. Varela. SRL,
setiembre 2003.
[4]
[5]
http://www.tuv.com/es/seguridad_funcional.html
[6]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[7]
46
Requisitos generales
47
48
Desarrollo del
diseo por el
ingeniero
responsable E&I.
(DE)
Confirmacin por
un segundo
ingeniero E&I.
(ME)
Documentos
suministrados y
A partir de las evaluaciones de seguridad y del firmados por el
diseo bsico y de detalle(ver apartados a y
Ingeniero E&I de
b), aprobacin por firmas (en cada hoja) de los diseo (DE). Un
siguientes documentos de ingeniera bsica y
segundo Ingeniero E&I
c) Revisin de conformidad
49
Contratista
externo
Ingeniero
lder del
proyecto
y
Ingeniero
E&I de la
compaa
(ME)
Diseo
realizado
por el
contratista y
aprobado
por el
ingeniero
E&I de la
compaa.
(DE) y
(ME)
Documentos
entregados
por el
contratista,
Aprobacin
por
de detalle:
Diagramas lgicos.
Hojas de test.
Diagramas de lazo.
Diagramas unificares.
Documentacin.
Ejecutado por un
supervisor/tcnico E&I.
Supervisado y firmado
por un ingeniero E&I
(ME).
ingenieros
E&I de la
compaa
(DE) y
(ME).
Ingeniero
E&I
(contratista)
e
Ingeniero
E&I propio
de la
compaa
(ME).
e) Mantenimiento
Test de pruebas peridicas, y supervisin de
los resultados.
Tabla 6.1.3.1: Responsabilidades para las actividades del ciclo de vida de seguridad
Durante cada fase del ciclo de vida de seguridad, siempre hay un ingeniero E&I
de la compaa responsable en cada una de las actividades de la fase del ciclo de
vida tratada.
50
Verificacin de actividades.
Validacin de actividades.
6.2
equipo este formado por expertos tanto tcnicos, como de aplicacin y operacin de cada
instalacin unitaria. La seleccin del personal que debe realizar la evaluacin debe ser la
adecuada para cada unidad de planta. El equipo de evaluacin debe incluir como mnimo
un ingeniero snior no involucrado con el equipo de diseo del proyecto.
Las etapas en el ciclo de vida de seguridad donde se realicen actividades de
valoracin y evaluacin de seguridad funcional sern identificadas durante la planificacin
de seguridad.
Es posible que sea necesario introducir actividades adicionales de evaluacin de
seguridad funcional como consecuencia de identificar nuevos peligros/riesgos, por ejemplo
despus de una modificacin.
6.2.2 Evaluacin y Revisin de las actividades durante el ciclo de vida
La siguiente tabla muestra las diferentes etapas de evaluacin de la seguridad
funcional de las diferentes actividades durante el ciclo de vida en un sistema instrumentado
de seguridad teniendo como referencia la norma IEC61511. Se realiza una comparacin
entre el ciclo de vida propuesto por la IEC 61511 y el ciclo de vida ejemplo. (Ver figura
7.1.1 Ciclo de vida de seguridad segn IEC 61511. Captulo 7.1 Ciclo de Vida de
Seguridad) (Ver figura 7.1.3 Ciclo de Vida de seguridad SIS ejemplo Captulo 7.1 Ciclo
de Vida de Seguridad).
IEC 61511 1
Ejemplo 2
Etapas de
revisin de
acuerdo con
IEC 61511.
Pasos de Evaluacin
del riesgo y peligro
de acuerdo con las
directivas y estndar
de la compaa.
Responsables para la
actividad (Nota: El
principio de los 4 ojos
debe asegurar en todos
los casos una revisin
independiente en cada
etapa).
Evaluacin del
peligro y riesgo.
Pasos 1,2.
Equipo de evaluacin de
riesgos y peligros.
Etapa 1
Despus de la realizacin de la
evaluacin de peligros y
riesgos, de identificar las capas
Diseo de detalle del
de proteccin requeridas y de
SIS.
haber desarrollado la
especificacin de los requisitos
de seguridad.
Etapa 2
Paso 3 (verificacin
SIL).
Equipo de revisin de
seguridad (Safety review
team).
Etapa 3
Despus de completar la
instalacin, precomisionado y
Equipo de revisin de
seguridad (Safety review
Figura 7.1.1 Ciclo de vida de seguridad segn IEC 61511. Captulo 7.1.
52
Etapa 4
Etapa 5
Despus de adquirir
experiencia en el
mantenimiento y operacin de
la planta.
Despus de modificaciones y
previo al decomisionado del
sistema instrumentado de
seguridad.
team).
Validacin/revalidaci
n del diseo.
Se requiere
evaluacin y
aprobacin previa
para implementar el
cambio.
Tabla 6.2.2.1: Implementacin de las actividades de valoracin y revisin durante el ciclo de vida
Grado de complejidad.
Los procedimientos de cambio del diseo del proyecto han sido implementados
apropiadamente y estn documentados.
Las herramientas tales como equipos de medida, equipos de test, equipos que se usan
durante las actividades de mantenimiento y que se usan por cualquier actividad del ciclo de
vida, estarn sujetas a una evaluacin de la seguridad funcional.
Los resultados de la evaluacin de la seguridad funcional sern documentados.
6.2.3 Auditorias y revisin
Regularmente se realizarn revisiones y auditorias del sistema instrumentado de
seguridad. Las auditorias se realizarn por personas, departamentos u organizaciones
independientes de las personas encargadas de las actividades del ciclo de vida del sistema
instrumentado de seguridad. Independientes en este contexto significa que un ingeniero de
otra planta o un miembro de un grupo de trabajo SIS regional o local puede realizar la
evaluacin/auditoria. La normativa IEC 61511 indica que debe haber un grado de
independencia pero no indica que tipo de grado.
Las auditorias se documentarn y darn fe de que los procedimientos redactados
durante el ciclo de vida de seguridad se siguen y se realizan. Sobre todo es importante
auditar los planes y procedimientos de prueba y mantenimiento del sistema de seguridad
una vez la planta est en funcionamiento para asegurar a las autoridades e inspecciones que
todo se realiza segn lo especificado. Recordemos que en la actualidad el lema de las
empresas es: La seguridad es lo primero.
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
[3]
http://www.tuv.com/es/seguridad_funcional.html
[4]
Curso: Experto en Seguridad Funcional, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E.
Moreno, CFSE.
[5]
Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
54
Aos 70:
Aos 80:
Referencia: Trenes in Process Safety, Ass Ghosh, ARC Advisory Group, July 2004
55
Aos 90:
Aos 2000:
de
Aplicacin de IEC 61511 y ANSI/ISA 84 (2004): Seguridad funcional Sistemas instrumentados de seguridad para la industria de procesos.
56
seguridad
(Vlvulas,
Desde el inicio del proyecto, se empieza a estudiar la seguridad del proceso. Los
ingenieros de diseo seleccionan los equipos y la tecnologa a utilizar en el proceso que
ofrezcan una operacin segura. Luego se selecciona el sistema bsico de control que
permita operar las variables de proceso dentro de los lmites establecidos. Un buen diseo
del sistema bsico de control permite una reduccin significativa de los riesgos asociados
al proceso. Esta parte tratara el diseo conceptual del proceso, donde se desarrolla la
ingeniera bsica y de detalle del proceso, diagramas de instrumentacin, P&IDs, sistema
de control, hojas tcnicas de los equipos, forma de operacin, etc. Dentro de las capas de
proteccin del proceso estaramos hablando de la primera capa de proteccin (figura 1.1
Capas de proteccin, captulo 1 Introduccin) (figura 7.3. Capa de proteccin Control del
proceso)
57
Algunas veces las variables salen fuera de control y el operador debe tomar la accin
para llevar el proceso a los valores predefinidos y pre-establecidos.
Es en este momento cuando se decide si se debe y es necesario implementar un
sistema integrado de seguridad, que pare el proceso cuando se violen unas condiciones que
hacen que el proceso se vuelva peligroso. Este sistema instrumentado de seguridad es un
sistema de paro y como todas las capas, contribuye a que el riesgo inherente del proceso se
reduzca a un riesgo tolerable. Se trata de la ltima capa de proteccin que encontramos en
seguridad funcional, estamos hablando de la capa de proteccin Sistema Instrumentado de
Seguridad (figura 7.5. Capa de proteccin Sistema Instrumentado de Seguridad). Si esta
capa de proteccin tambin falla o por cualquier razn no es capaz de llevar el proceso a
un estado seguro entran en accin las siguientes capas, que ahora pasan a denominarse de
mitigacin, (ver figura 1.1 Capas de proteccin, captulo 1 Introduccin). Las capas de
mitigacin intentan reducir el riesgo cuando el incidente ya se ha producido y son las que
se mencionan a continuacin en el orden que entran a actuar:
1 La metodologa HAZOP nos permite alarmar aquellas variables que se consideran necesarias. Para la
gestin de alarmas existe una gua: EEMUA publicacin 191 Alarm Systems - A Guide to Design,
Management and Procurement (1999) y la norma ANSI/ISA-18.2-2009 Management of Alarm Systems for
the Process Industries. Asimismo existen publicaciones como The Alarm Management Handbook 2nd
Edition. Hill Hollifield and Eddie Habibi, published by PAS, (2010).
58
Bibliografa y referencias:
[1]
[2]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
7.1
59
60
La figura 7.1.1 muestra el ciclo de vida de seguridad SIS segn la norma IEC 61511
y la figura 7.1.3 muestra un ciclo de vida de seguridad SIS ejemplo.
Donde las etapas 1 hasta 5 estn definidas en el captulo 6.2.2 y son etapas de
evaluacin de seguridad recomendadas. El contenido de las clusulas puede ser consultado
en la norma IEC 61511 Parte 1, de la misma forma que las 11 fases o actividades de que se
compone el ciclo de vida de seguridad segn IEC 61511. Cada fase del ciclo de vida la
norma IEC 61511 la define en trminos de entradas, salidas y actividades de verificacin.
(Ver ANEXO A: Vista general del ciclo de vida (IEC 61511)).
Como vemos el ciclo de vida lo podemos dividir en 3 partes importantes:
Anlisis
Implementacin
Operacin
61
Las tres fases del Ciclo de Vida de Seguridad Funcional estn dirigidas a resolver las
causas de los accidentes identificados en el artculo publicado por el Ejecutivo Britnico de
Salud y Seguridad (HSE) (figura 7.2 Causas ms comunes de accidentes debido a los SIS.
Captulo 7). La fase anlisis est enfocada a resolver y evitar el 44% de los fallos debido a
errores de especificacin, la fase implementacin o ejecucin est enfocada a resolver el
21% de los accidentes provocados por errores durante el diseo, la implementacin y la
puesta en servicio y la fase operacin intenta minimizar el 35% de los accidentes caudados
por incorrecta operacin o mal mantenimiento, adems de por cambios realizados despus
de la puesta en marcha del sistema.
El siguiente ciclo de vida de seguridad (Figura 7.1.3), se trata del ciclo de vida que
utiliza el ejemplo real de una organizacin y como se puede observar difiere bien poco del
ciclo de vida propuesto por la norma IEC 61511, est totalmente basado en esta norma y en
la norma ANSI/ISA S84.01 y las modificaciones ms sustanciales las encontramos en que
el ejemplo incluye pasos de revisin en el ciclo de vida de seguridad del proceso (safety
review). En este ciclo de vida propuesto es obligado que los objetivos de todos los pasos de
revisin de seguridad desde 1 a 4 se hayan realizado antes de poner en funcionamiento el
SIS.
Los proyectos deben incluir las actividades que revisan el concepto de seguridad en
el proceso y valora el riesgo asociado con cada peligro potencial. Para aquellos riesgos que
para ser mitigados requieran de un SIS, un valor meta de SIL (Nivel Integrado de
Seguridad o nivel de seguridad exigible a las diferentes funciones de seguridad) ha de ser
establecido para cada SIF (Funcin Instrumentada de Seguridad). El valor objetivo
propuesto de SIL se identificar durante las revisiones de seguridad y sern usados como
base para el diseo del SIS. Las especificaciones de los requerimientos de seguridad (SRS)
se elaboran combinando los valores deseados de SIL junto con otros requerimientos que
definirn completamente los requisitos de cada SIF. Durante el diseo del proceso, cada
SIF propuesta es evaluada para determinar su probabilidad de fallo en demanda media
(PFDavg). Este PFDavg ser recogido en un documento donde se certificar que cumple
con el SIL objetivo demandado. Las siguientes tareas del ciclo de vida van encaminadas
como gua para instalar, testear, operar y mantener el SIS seleccionado.
62
Todas las subactividades encaminadas a definir el valor objetivo del SIL estarn en
lnea con el sistema de ejecucin del proyecto existente. El equipo que revisa el proyecto 1
es el responsable de asegurar que todos los aspectos del Ciclo de Vida de Seguridad, antes
del Paso 2 de revisin, se han realizado incluido la determinacin del SIL objetivo. El
equipo de revisin de seguridad normalmente consulta o incluye personal especialista de
cada disciplina que considere oportuna como, ingenieros E&I y mecnicos e ingenieros de
sistemas de control para obtener una mejor visin del alcance del proyecto.
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
Team assessement. Ver captulo 6.2.2 Evaluacin y revisin de las actividades durante el ciclo de
vida.
63
[4]
Artculo: Herramientas para la gestin automatizada de un SIS en todo su ciclo, Autor: Luis Garca,
publicado en julio 2005 en la revista Automtica e Instrumentacin.
64
65
Consecuencias
Frecuencia
objetivo
tolerable por
ao
1.0 x 10-3
1.0 x 10-4
1.0 x 10-5
Nivel del
impacto del
evento
Menor
Severa
Catastrfico
(Extensiva)
Como podemos ver es un poco ambigua, y queda siempre bajo el criterio de los
responsables de planta el decidir qu tipo de riesgo consideran aceptable y por tanto no
precisa de un SIS. Pero resumiendo, podemos concluir que con la informacin de la
magnitud de la consecuencia, la probabilidad de que ocurra un evento peligroso y el nivel
de riesgo que puede tolerar la empresa, se determina el uso del SIS.
7.1.6 Seleccin del SIL objetivo
Asumiendo que es necesario aplicar un SIS, entonces debern establecerse los
requerimientos del mismo definiendo el Nivel de Integridad de Seguridad (SIL). El SIL
define el nivel de desempeo que se requiere para cumplir los objetivos de seguridad del
proceso establecidos por el usuario, es decir establece el nivel de seguridad que se exige a
las funciones de los sistemas instrumentados de seguridad. La norma IEC 61511 establece
4 niveles SIL, mientras que la ANSI/ISA S84.01 establece solo 3 (tabla 7.1.6.1). Cuanto
mayor es el ndice SIL mayor es el requerimiento de disponibilidad de la funcin de
seguridad del SIS.
La asignacin del nivel SIL a una funcin, es una decisin corporativa basada en una
filosofa de gestin de riesgos y de su tolerancia.
Existen varios mtodos para determinar el ndice SIL a aplicar a cada funcin de
seguridad. La aplicacin de cada una de las metodologas deben incluir personal
multidisciplinar apropiado, es decir representantes del sector operacin, mantenimiento,
ingeniera, seguridad y gerencia del riesgo, y cualquier persona que se crea oportuno. Los
mtodos usados para la seleccin del SIL consideran en general la consecuencia, la
probabilidad de la consecuencia, la capacidad de los niveles de proteccin para reducir o
disminuir la frecuencia de la consecuencia y la frecuencia aceptable de la consecuencia.
67
Como siempre es fundamental tener unos buenos procedimientos para diseo de control,
operacin y mantenimiento para realizar un mejor desempeo del sistema de seguridad. El
captulo 7.3 Asignacin del SIL objetivo se presenta de una manera ms explcita este
asunto.
ISA
84.01
Tabla 1
SIL
PFDavg
RRF
10 -> 100
68
detalle muchas veces no quedan bien definido donde est la frontera entre ambos las
compaas en sus estndares suelen referirse a ingeniera y diseo del SIS. De hecho es
como se refiere en la norma IEC61511 en el ciclo de vida (Clusulas 11 y 12) (figura 7.1.1
Ciclo de vida de Seguridad SIS segn IEC 61511. Captulo 7.1 Ciclo de Vida de
Seguridad).
7.1.9.1 Diseo conceptual del SIS
Una vez se tiene en mano las especificaciones de requerimientos de seguridad
obtenidas en la fase de Anlisis, la primera tarea que hemos de realizar es la seleccin de la
tecnologa a utilizar por el sistema instrumentado de seguridad y la arquitectura que
utilizaremos para lograr los requerimientos de seguridad y operacin del SIS. Esto incluye
el procesador lgico, con sus unidades de entrada y salida, sensores y elementos finales de
campo. La gerencia, deber dirigir el diseo conceptual al mismo tiempo que planifica
como puede ser probado y verificado el sistema para asegurar que logra las
especificaciones antes de poner el sistema en un uso activo. Un punto clave de esta tarea
esta en desarrollar un mantenimiento y planificacin de un intervalo de prueba de
funcionamiento (proof test) para asegurar que se puede encontrar y reparar cualquier fallo
potencial no detectado en el equipo de seguridad antes de que el sistema requiera su
actuacin. La forma de realizar la prueba funcional o test y la frecuencia debe ser
cuidadosamente estudiada ya que afecta al valor SIL del sistema (captulo 7.5.12
Mantenimiento y pruebas funcionales).
En todo momento hemos de obtener informacin de confiabilidad y seguridad
cuando seleccionamos tecnologa y arquitectura del sistema.
7.1.9.2 Diseo de detalle del SIS
El propsito de esta etapa es finalizar y documentar el diseo conceptual. Una vez
que se ha elegido el diseo, el sistema debe ser construido siguiendo procedimientos
estrictos y buenas prcticas de ingeniera, para evitar errores en el diseo e implantacin.
En esta etapa el diseo debe ser programado y probado (pruebas FAT 1) de acuerdo a la
lgica determinada, cualquier error cometido durante esta etapa influir en el resto del
diseo.
Una vez que se completa la ingeniera de detalle es aconsejable efectuar un estudio
FMEA (Anlisis de Causas y efectos de Fallos) para verificar que todas las causas posibles
de fallos han sido consideradas, adems hay que verificar que el diseo final es capaz de
realizar las tareas asignadas. El objetivo del FMEA es verificar el comportamiento e
integridad del SIS ante fallos causados por fallos encubiertos, como as tambin reconocer
la respuesta del SIS a fallos descubiertos.
7.1.10
FAT (Factory Acceptance Test). Pruebas funcionales de la programacin del SIS antes de su
instalacin.
70
esta forma nos aseguramos que el diseo conceptual cumplir con el SIL objetivo y por
tanto con la especificacin de requerimientos de seguridad.
El diseo conceptual del SIS y la verificacin del SIL objetivo establece los
parmetros para el diseo de detalle del sistema, es un punto clave en el cronograma de
obra del proyecto que requiere aprobacin y por tanto un paso o etapa de revisin 1 antes de
continuar con nuevas fases (ver Tabla 6.2.2.1: Implementacin de las actividades de
valoracin y revisin durante el ciclo de vida. Captulo 6.2,2).
Si la verificacin de la funcin instrumentada de seguridad muestra que el SIL
requerido no se ha logrado mediante el diseo propuesto, hay que redisear alguna o todas
las partes que componen el SIF. Existen varias opciones como:
La verificacin del SIL ser tratado de una manera ms explcita en el captulo 7.6
Verificacin del Nivel Integrado de Seguridad (SIL).
7.1.11
En esta etapa el sistema de control de seguridad y toda la lgica de control debe ser
completamente probado antes de ser enviado por el proveedor a la planta final. Todos los
individuos involucrados en la implementacin y verificacin del sistema bajo prueba deben
participar en la pruebas FAT. Estas pruebas son completadas en el lugar de fabricacin
previo al envo al usuario final.
Las pruebas FAT son tratadas de una manera ms explcita en el captulo 7.7
Pruebas de Aceptacin de Fbrica (FAT).
7.1.12
Instalacin y Comisionado
En esta etapa, se debe asegurar que el sistema sea instalado de acuerdo al diseo y se
opere de acuerdo a la especificacin de los requisitos de seguridad. Antes de que el sistema
sea llevado a su emplazamiento debe ser probado hasta su correcta operacin, una vez
emplazado se debe verificar que el sistema est de acuerdo al diseo detallado incluyendo
los dispositivos de campo. Esto es, entre otras, determinar que el equipamiento,
dispositivos y cableado estn correctamente instalados y en funcionamiento, que las
fuentes de energa redundantes son correctas y estn en funcionamiento, que todos los
instrumentos estn debidamente calibrados (los que lo requieran), y que todos los lazos
estn probados y son operativos.
Asimismo deben llevarse a cabo las pruebas de pre-arranque y aceptacin del sistema
(PSAT). Se debe elaborar un procedimiento que dicte los pasos a seguir para la instalacin
detallada de cada funcin. La norma IEC 61511 despus de la instalacin recomienda
1
71
72
7.1.14
Operacin y Mantenimiento
En cualquier momento del ciclo de vida, previo a la puesta en marcha del sistema, se
deben redactar y establecer los procedimientos de Operacin y Mantenimiento del SIS que
han de ser aprobados y operativos antes de la puesta en marcha.
La ingeniera de detalle del sistema debe incluir la planificacin de las tareas de
mantenimiento y test del sistema durante toda su vida til. Las pruebas de test son muy
importantes ya que su realizacin peridica permite detectar fallos latentes en el SIS. Es
importante realizar un buen estudio del mantenimiento a realizar ya que cualquier tarea de
mantenimiento que demande ser realizada con el sistema parado significa un costo
importante por prdida de produccin. Ninguna planta puede funcionar con su sistema de
seguridad fuera de lnea. Si el mantenimiento se hace en lnea debe planificarse
adecuadamente para evitar que durante ese tiempo la seguridad este limitada o disminuida.
Como podemos ver en el Ciclo de Vida basado en la norma IEC 61511 (figura 7.1.3.
Captulo 7.1) los procedimientos de operacin y mantenimiento del SIS deben estar listos
antes de la prueba preliminar y revisin final de seguridad y aceptacin del sistema en
planta (Paso 4. Pre Start Safety Review), etapa 3 (revisin de seguridad recomendada por
IEC 61511) (ver Tabla 6.2.2.1: Implementacin de las actividades de valoracin y revisin
durante el ciclo de vida. Captulo 6.2,2).
Estos procedimientos son importantes para mantener la integridad y seguridad del
SIS. Deben incluir detalles de cmo operar y mantener el SIS, procedimientos alternativos
de operacin del SIS en una condicin de disminucin de seguridad, procedimientos de
bypass y reset 1, procedimientos operativos en condiciones normales y de emergencia,
procedimientos de mantenimiento en condiciones normales incluyendo pruebas de test,
mantenimiento preventivo, repuestos y procedimientos para la administracin de cambios.
Todo personal de ingeniera, operacin y mantenimiento debe estar entrenado para utilizar
dichos procedimientos.
La revisin de seguridad previa a la puesta en servicio (Paso 4 del ciclo de vida
(PSSR-Pre Start Safety Review), tabla 6.2.2.1) incluye:
Esta revisin es un estudio funcional del SIS y una inspeccin completa del SIS con
el fin de demostrar que cumple con los requerimientos de la especificacin de diseo y
asegurar as su integridad y por tanto validar el sistema instrumentado de seguridad.
Toda esta tarea debe estar perfectamente documentada, aprobada, archivada y
perfectamente trazable para referencia futura.
Desviacin y reestablecimiento.
73
Una vez terminada la validacin del sistema puede ser puesto en operacin. Si el SIS
un da opera por una demanda verdadera o falsa, debe efectuarse un anlisis para
determinar la causa y si el SIS ha operado segn lo previsto.
El personal de operativa y mantenimiento de planta han de conocer y entender cmo
opera el SIS para evitar que se tomen acciones que puedan resultar comprometidas para el
proceso y para el SIS.
Operacin y mantenimiento son tratados de manera ms explcita en el captulo 7.9
Operacin y Mantenimiento.
7.1.15
Los cambios en las condiciones del proceso, ampliaciones de planta, etc. que van
surgiendo son susceptibles de introducir cambios en el sistema de seguridad. Todos los
cambios requieren un retorno a la fase del ciclo de vida de seguridad adecuada. Por lo tanto
requeriremos de una actualizacin del sistema de acuerdo a la necesidad.
Se debe determinar cules son los test que se llevaran a cabo para certificar que no se
ha comprometido la integridad del SIS. Ir dirigido por la gerencia del cambio, MOC
(Management Of Change).
En el apartado 7.10 Modificacin del SIS se ampliar la informacin.
7.1.16
El desmantelamiento del SIS, ya sea por cese de la produccin, cambios del proceso
o cambio del propio SIS debe seguir un proceso de revisin para garantizar que el
decomisionado del SIS no impacta al proceso o unidades circundantes y que existen los
medios necesarios para proteger al personal, equipos y medio ambiente durante el
desarrollo del desmantelamiento. Esto significar el desarrollo de un procedimiento y de la
obtencin de aprobaciones por escrito de las personas responsables.
Es muy importante poner nfasis en el seguimiento al pie de la letra del ciclo de vida
de seguridad y deben de respetarse los procedimientos para la gerencia del cambio para
asegurar la integridad de seguridad del SIS, ya que si bien se pone mucho nfasis en el
diseo del SIS hay que recordar que este puede estar en operacin un largo periodo de
tiempo, ms de 20 aos, y durante este periodo se realizan multitud de cambios.
Bibliografa y referencias:
[1]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published ISA, 2002.
[2]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[3]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[4]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
74
7.2
Demostrar que se han identificado los peligros de accidentes graves y que se han
tomado las medidas necesarias para su prevencin, y en caso de ocurrir, la
limitacin de sus consecuencias.
En caso de que la seguridad pueda ser afectada por el efecto domin, colaborar
para su gestin adecuada.
75
Para la elaboracin del Informe de Seguridad, el industrial deber tener en cuenta los
requisitos e informacin recogidos en la Directriz Bsica para la Elaboracin y
Homologacin de Planes de Especiales del Sector Qumico.
Por otra parte, la Direccin General XI de la Comisin Europea ha elaborado una
gua para la preparacin del Informe de Seguridad que cumpla con los requisitos de la
Directiva Seveso II.
Como aspectos novedosos que contempla esta gua y que no se encuentran en la
Directriz Bsica, se deben destacar los siguientes:
1. Informacin sobre el sistema de gestin y la organizacin, con vistas a la
prevencin de accidentes graves.
2. Entorno de la industria
3. Descripcin de la instalacin
Descripcin de las principales instalaciones, equipos y actividades relevantes desde
el punto de vista de la seguridad de las fuentes de riesgos de accidentes graves, las
condiciones en las que se pueden producir estos accidentes, as como las medidas
preventivas y mitigadoras previstas. Para lo que contar con el estudio de los siguientes
aspectos:
Plan de evacuacin.
77
[2]
REAL DECRETO 1254/1999, de 16 de julio, por el que se aprueban medidas de control de los riesgos
inherentes a los accidentes graves en los que intervengan sustancias peligrosas. B.O.E. nmero 172,
de 20 de junio de 1999.
78
El objetivo que se pretende alcanzar usando estos mtodos, est en reconocer las
situaciones peligrosas en actividades en las que se manejan materiales que implican riesgos
con el objetivo de revisar el diseo y establecer medidas correctoras o preventivas y por
otro lado identificar posibles escenarios de accidentes, con el fin de evaluarlos y
cuantificarlos. Un anlisis de riesgos, desde el punto de vista de un Sistema Instrumentado
de Seguridad, nos ha de facilitar el identificar las funciones instrumentadas de seguridad
(SIF) y el nivel de integridad de seguridad (SIL) que deben llevar asociado. Una Funcin
Instrumentada de Seguridad es la accin que un sistema instrumentado de seguridad toma
para llevar un proceso a un estado seguro cuando se enfrenta a un peligro potencial.
Del anlisis de riesgos hemos de obtener una descripcin de los peligros, de las
funciones de seguridad requeridas, y los riesgos asociados, incluyendo:
79
La nica norma que obliga a realizar estudios de anlisis de riesgos (CFR 1910.119
estadounidense) no indica, ni especifica que mtodo se ha de escoger y permite al
industrial seleccionar el mtodo que se adecue mejor a su planta o a los conocimientos del
personal de que dispone.
2. Mtodos cuantitativos: Tienen como objetivo recorrer el trayecto de la evolucin
probable del accidente desde el origen (fallos en equipos, mala operacin, etc.) hasta
establecer la variacin del riesgo con la distancia, as como la particularizacin de dicha
variacin estableciendo los valores concretos de riesgo para los sujetos pacientes
(habitantes, casas, otras instalaciones, etc.) situados a distancias concretas.
Son tcnicas de anlisis crticos que incluyen estructuras y clculos para establecer la
probabilidad de sucesos complejos (siniestros) a partir de valores individuales de la
probabilidad de fallo que corresponde a los elementos (equipos y humanos) implicados en
los procesos industriales. Tienen como herramientas fundamentales la lgica matemtica,
estadsticas de frecuencia de ocurrencia de fallos y fiabilidad de equipos, y clculos de
probabilidades.
Los mtodos de anlisis cuantitativos ms conocidos son:
Anlisis de Markov.
80
81
Finalmente para cada una de las causas se anotan las consecuencias a que daran lugar, las
salvaguardias propias del sistema y finalmente las recomendaciones o comentarios que
fuesen precisos.
A continuacin se indican los trminos ms usados en la realizacin del mtodo
HAZOP:
Nodo: Punto especfico del proceso (un equipo o una lnea) en el que se evalan
posibles desviaciones del proceso.
Intencin: Descripcin de cmo se espera que se comporte el proceso en un
determinado nodo.
Desviacin: Forma en que las condiciones de proceso se alejan de su
comportamiento esperado.
Parmetro: La variable relevante para la condicin del proceso: p.ej. presin,
temperatura, nivel, composicin, pH, etc.
Palabra gua: Palabra que representa la desviacin de la intencin. Las ms usuales
son: no, ms, menos, diferente de, parte de, inverso, y palabras clave como
demasiado pronto, demasiado tarde, en lugar de, etc.
Causa: La razn o razones por las que podra ocurrir una desviacin.
Consecuencias: Los resultados de la desviacin en caso de que ocurra.
Salvaguardia: Instrumentos o protecciones del sistema que pueden ayudar a reducir
la frecuencia de ocurrencia de la desviacin o a mitigar sus consecuencias. Existen 5
tipos:
1. Medios destinados a detectar la desviacin, p.ej. instrumentacin de alarmas y
deteccin o la supervisin por parte de los operadores.
2. Instalaciones que compensan la desviacin, p. ej. Sistemas automticos de
control. Normalmente son una parte integrada dentro del control del proceso.
3. Instalaciones que previenen que ocurra una desviacin, p. ej. inertizar un
almacenamiento de productos inflamables.
4. Instalaciones que previenen un agravamiento de la situacin como consecuencia
de la desviacin, p. ej. disparo de una actividad por medio de enclavamientos
(podemos encontrar los SIS).
5. Instalaciones que alivian al proceso de la desviacin peligrosa, p. ej. vlvulas de
seguridad (SVs) y sistemas de alivio.
Recomendacin: Actividades identificadas durante el anlisis HAZOP para su
seguimiento. Incluye propuestas de modificaciones, mejoras que afectan a sistemas
de control (de sealizacin o de emergencia), condiciones de diseo de lnea y/o
equipos, etc.
Comentarios: Cualquier aclaracin a hacer a las recomendaciones o a aspectos
surgidos durante las sesiones HAZOP.
82
7.2.3.1 Procedimiento.
El procedimiento consiste en el estudio sistemtico y estructurado de una instalacin
equipo por equipo y lnea por lnea, llevado a cabo por un equipo multidisciplinar
(ingeniera, operacin, mantenimiento, seguridad, inspeccin y otras disciplinas que sean
necesarias) y liderado por un coordinador.
Esto se lleva a cabo mediante la aplicacin de una serie de palabras gua (no, ms,
menos, parte de, inverso, de otra forma, ms de, as como) a un conjunto de parmetros de
proceso como pueden ser, caudal, temperatura, pH, nivel, concentracin, presin, etc.
De la combinacin de las palabras gua con cada uno de los parmetros se obtienen
las desviaciones frente al comportamiento normal del proceso.
Precisar que el estudio debe comprender todos los estados o modos de
funcionamiento de la Unidad, como operacin normal, arranque y parada, por lo que los
nodos deben elegirse de forma que con ellos queden englobados todos los modos de
operacin.
Establecidas las desviaciones, se investigan mediante un proceso inductivo las causas
que pueden provocar esa desviacin en el nodo en ese modo de operacin.
Para esa causa, se investigan deductivamente las consecuencias posibles de la
desviacin, as como las salvaguardas que el proceso dispone para evitar la causa o mitigar
las consecuencias, llegando a una de las siguientes posibilidades:
a) Las consecuencias no entraan riesgo: descartar la consideracin de esta
desviacin.
b) Las consecuencias entraan riesgos menores o medianos: consideracin de esta
desviacin en la etapa siguiente.
c) Las consecuencias entraan riesgos mayores: consideracin de esta desviacin en
la etapa siguiente.
Para aquellas consecuencias, que aun disponiendo de salvaguardias impliquen un
riesgo, ser necesario adoptar acciones correctoras o recomendaciones que de alguna forma
palien la consecuencia o la causa. Las recomendaciones deben ser consensuadas entre el
grupo de trabajo. El coordinador asignar el estudio de la recomendacin a un miembro del
equipo que ser el encargado de contestarla e implantarla.
Finalmente, desviaciones, causas, consecuencias, salvaguardias y recomendaciones
deben quedar por escrito en un formato tipo, como se indica en la siguiente figura 7.2.3.1.
Modelo tabla HAZOP.
Unidad:
Guideword:
Nodo:
no or not
more
P&ID:
less
as well as
Fecha:
part of
reverse
other than
Hypothetical
Deviation(s)
Cause(s)
Consequence(s)
Countermeasures
83
Open Points, By
whom, when due
Rev.
Esta secuencia operativa deber repetirse con todas las palabras gua, parmetros y
desviaciones para cada nodo, y finalmente para todos los nodos de la unidad a analizar.
Una secuencia lgica de trabajo o un procedimiento general de HAZOP puede verse
en la figura 7.2.3.2 HAZOP: Procedimiento general.
Se ha comentado que para llevar a cabo con xito un HAZOP se necesita conformar
un equipo de trabajo multidisciplinario con experiencia y dotes de planificacin y, muy
importante, que tengan un compromiso con la seguridad por parte de la gerencia de planta.
Aun as ninguna tcnica de anlisis de riesgos, incluyendo HAZOP, es perfecta. Por lo que
en cada mtodo existen puntos dbiles, en el estudio HAZOP son, entre otros:
La calidad y contenido del resultado del anlisis HAZOP depende mucho de los
conocimientos, experiencia y compenetracin del equipo de trabajo. Es necesario
que en el equipo de trabajo estn los mejores expertos disponibles en la empresa
de cada una de las disciplinas, pudiendo incluir contratacin de personal externo
para suplir una carencia de conocimiento.
Delimitar en todo momento y acordar con el jefe del proyecto el alcance del
estudio HAZOP, tanto en cuanto a lo que se refiere a equipos e instalaciones,
como a parmetros a incluir en el estudio.
Planificar los das en los que habr sesiones HAZOP y la duracin de las mismas,
informando al Jefe del Proyecto y a los miembros del equipo. As como el lugar
donde se realizarn las sesiones.
Solicitar al Jefe del Proyecto toda la informacin necesaria que tendr que estar
disponible por cada miembro del equipo con suficiente antelacin.
Secretario: persona con un perfil similar al del coordinador y que forma parte del
equipo del coordinador, su cometido es:
Es muy importante la independencia del coordinador del resto del equipo HAZOP
con objeto de garantizar que la tcnica es sistemtica y rigurosamente aplicada.
Documentacin necesaria para la realizacin del HAZOP:
Lista de vlvulas de seguridad, discos de ruptura y tapas de fuego junto con sus
especificaciones:
Presin de disparo.
Causa para la que ha sido diseada y causas para la que ha sido comprobada.
87
partir de aqu se aplicarn las palabras gua y los parmetros establecidos y acordados a
cada nodo, con el propsito de generar desviaciones del proceso sobre todas las variables
posibles.
As en la siguiente tabla se muestra un ejemplo de un listado de desviaciones que se
aplica comnmente a todos los HAZOPs.
PALABRA GUA
PARMETRO
DESV IACIN
No
Flujo
No Flujo
Inverso
Flujo
Flujo inverso
Ms
Flujo
Ms Flujo
Menos
Flujo
Menos Flujo
Diferente
Flujo
Flujo diferente
No
Nivel
No hay nivel
Ms
Nivel
Nivel ms alto
Menos
Nivel
Nivel ms bajo
Ms
Temperatura
Temperatura ms alta
Menos
Temperatura
Temperatura ms baja
Etc.
Anlisis de causas y consecuencias de las desviaciones
Esta es la etapa creativa del procedimiento. Se debe reconocer las posibles causas y
consecuencias de cada una de las desviaciones generadas por las palabras gua. Esta etapa
del procedimiento deber ser minuciosa y exhaustiva, all donde se haga una provisin que
anule alguna contingencia, se preguntar si la contingencia es adecuada: Es suficiente una
simple vlvula anti-retorno?, Ser necesaria una alarma de nivel alto adems de disparo?,
etc.
Es muy importante que los integrantes del equipo de trabajo y la capacidad de
direccin del lder ayuden a analizar las posibles causas que provocan una desviacin, pero
solo aquellas que se consideren crebles, adecuadas y factibles para evitar prdida de
energa y tiempo en discusiones que no llevarn a ninguna solucin practicable.
Es necesario e importante considerar las desviaciones que son producidas por las
siguientes causas:
Otras causas menos crebles y que no deben analizarse a no ser que las consecuencias
de las mismas sean catastrficas son:
89
Por otra parte y por lo que respecta a las consecuencias, es necesario indicar que
deben recogerse y analizarse tanto las que tienen asociado un componente de riesgo como
las que delatan un fallo o problema en la operabilidad de la instalacin. Por ltimo han de
tenerse en cuenta diversas instalaciones que normalmente no aparecen en lo P&IDs como
son los drenajes, las protecciones contra incendios, duchas lavaojos, cortinas de agua, etc.
Todo lo anterior queda representado en las tablas HAZOP (ver figura 7.2.3.1.
Modelo tabla HAZOP).
Como resumen diremos que en esta etapa se han de identificar las causas crebles
ms relevantes y hemos de reconocer las consecuencias para todas las causas.
Evaluacin de consecuencias y establecimiento de recomendaciones
Una vez establecidas las consecuencias e identificadas las salvaguardias existentes,
para mitigar el alcance de las consecuencias o evitar la propia causa, puede que sea
necesario realizar alguna recomendacin.
La implementacin de una recomendacin determinada debe estar basada en la
consecucin de un menor riesgo, disminuir la severidad de la consecuencia o bien
disminuir la probabilidad de ocurrencia.
Las recomendaciones, en algunos casos, estn perfectamente definidas y el mejor
resultado parece obvio, por lo que en estos casos se deben acordar y anotar rpidamente
antes de pasar al siguiente punto de estudio.
En otros casos la necesidad de recomendacin es clara pero la solucin no es
inmediata, por lo que se necesitar discutir la solucin fuera del foro HAZOP y no alargar
el estudio con discusiones que pueden no llegar a ningn lado.
Asimismo puede ocurrir que no se ponga de acuerdo el equipo en la necesidad o no
de la aplicacin de una recomendacin. En este caso se anotar el punto y se resolver
fuera del foro HAZOP.
Nivel de riesgo
Recomendacin
90
Si no hay acuerdo real de la recomendacin por parte del equipo la decisin final
deber ser externalizada, igualmente se anotar.
Se deben utilizar verbos como: verificar, analizar, instalar, modificar, eliminar, etc.,
al comienzo de cada recomendacin para dejar con ms claridad lo que se pretende con la
recomendacin.
Seguimiento de las recomendaciones
Una vez terminada la sesin, el coordinador del equipo HAZOP, imprimir y
distribuir las recomendaciones que cada miembro tenga asignadas, en tablas que podran
tener el formato de la figura 7.2.3.4. Formato de distribucin de recomendaciones. El
coordinador solicitar peridicamente la contestacin de la recomendacin. En aquellos
casos donde la contestacin sea negativa a implantar un acuerdo del equipo HAZOP, o
bien la contestacin de un equipo de trabajo no satisfaga los criterios de seguridad seguidos
por el equipo, el coordinador del equipo HAZOP decidir no dar el visto bueno a la
contestacin y volver a reunir al grupo para intentar consensuar una solucin.
Una vez acabado el estudio y contestadas adecuadamente todas las recomendaciones,
el coordinador proceder a la edicin del mismo y ser entregado al jefe del proyecto.
Nmero de Recomendacin
Responsable de la Resolucin
Recomendacin
Resolucin de la Recomendacin
Fecha de Emisin
Fecha Resolucin
Firma Responsable
VB Coordinador
92
De este estudio HAZOP se toman las recomendaciones que deben ser implementadas
en un futuro. Una vez implementadas en una posterior revisin del HAZOP se van
indicando aquellas que ya han sido realizadas aadiendo en las columnas del HAZOP la
columna Status y la columna Realizado (done).
Bibliografa y referencias:
[1]
[2]
[3]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf. published by ISA, 2002.
Figura 7.3.1.1 Grfico de Riesgo recogido en el estndar IEC 61508 y correspondencia SIL
94
El ndice SIL se determina con este grfico valorando cualitativamente los siguientes
cuatro parmetros:
Consecuencia (C): Nmero promedio de fatalidades que pudieron ocurrir como
resultado del peligro. Se determina calculando el nmero promedio de personas en el rea
de exposicin, cuando est ocupada, teniendo en cuenta su vulnerabilidad frente al evento
peligroso.
Probabilidad de ocurrencia del evento (W): Nmero de veces por ao que el evento
peligroso pudiera ocurrir, sin el SIS.
W2: Probable.
95
96
Matriz de riesgo 1
La matriz de riesgos es uno de los mtodos ms utilizados en la asignacin del SIL
en industrias de proceso qumicas y petroqumicas. La aplicacin de esta metodologa
consiste en la valoracin de la probabilidad de ocurrencia de un accidente y la severidad de
sus consecuencias. Esta metodologa est recogida en multitud de estndares,
recomendaciones prcticas y procedimientos internos de compaas. Tanto la normativa
ANSI/ISA S84 como la IEC 61511 parte 3 recogen esta metodologa y plantean matrices
de riesgo. La matriz de riesgo utilizada en procesos industriales a menudo incorpora un
tercer eje donde se tiene en cuenta la efectividad de los sistemas de proteccin (ANSI/ISA
S84) o el nmero de capas de proteccin incluyendo el SIS (IEC 61511).
La tabla 7.3.1.1 muestra tres categoras tpicas de valorar cualitativamente la
severidad del evento peligroso. Es comn encontrar matrices con ms de tres categoras.
Severidad
Impacto
Menor
Inicialmente limitado al rea local del evento, con potencial de una consecuencia
mayor si no se toman acciones correctivas. Daos menores en equipos, no paro del
proceso. Perjuicios a personas y medio ambiente temporales.
Seria
Daos a equipos. Paro corto del proceso. Perjuicios serios al personal y medio
ambiente. Puede causar heridas de consideracin o daos materiales
Extenso
Provoca una parada larga del proceso, grandes daos en equipos y consecuencias
catastrficas al medio ambiente y a las personas. Tiene una severidad 5 veces o ms
que la severidad seria
Clasificacin
f < 10-4
Baja
Moderada
f > 10-2
Alta
97
Los valores de las tablas 7.3.1.1 y 7.3.1.2 son proporcionados como gua y estn
basados en la informacin recogida en el libro Guidelines for Safe Automation of
Chemical Processes 1 y recogido en la norma IEC 61511 parte 3 anexo C.
La figura 7.3.1.2 Matriz de riesgo segn IEC 61511, muestra una matriz que evala
el riesgo mediante la combinacin de probabilidad de que suceda el evento peligroso y la
severidad de la consecuencia del evento junto con un tercer eje donde se tiene en cuenta la
efectividad de los sistemas de proteccin (capas de proteccin), incluido el SIS. En otras
palabras, la matriz se basa en los criterios de la experiencia operacional y el riesgo de la
compaa, la filosofa de diseo, operacin y proteccin de la compaa, y el nivel de
seguridad que la compaa ha establecido como su nivel objetivo de seguridad. Se ha de
tener en cuenta que el sistema bsico del control de proceso (BPCS), el sistema de alarmas
y los operadores de planta est incluido en la capa de proteccin y no deben tenerse en
cuenta para el tercer eje.
Guidelines for Safe Automation of Chemical Processes Guas para la Automatizacin Segura de los
Procesos Qumicos. New York: American Institute of Chemical Engineers (AlChE), 1993.
98
99
El paso siguiente al anlisis de riesgos es seleccionar un ndice SIL meta para cada
funcin instrumentada de seguridad (SIF). Por tanto es en esta fase donde el equipo de
diseo propondr un SIL para cada SIF identificada para ser implementada en el SIS.
Como herramienta para determinar la clase de riesgo y el ndice meta SIL en el sector
qumico se utiliza mayoritariamente la matriz de riesgo. Aunque menos utilizado, el
mtodo grfico de riesgos tambin suele utilizarse. Durante esta fase se finalizan los
P&IDs para representar las funciones del sistema bsico del control de proceso (BPCS) y
se introducen los cambios en los P&IDs por aplicacin del SIS.
El nivel SIL define el nivel de actuacin necesario para alcanzar el objetivo de
seguridad del proceso. El nivel SIL define un rango de probabilidad de fallo en demanda
medio (PFDavg) que la funcin instrumentada de seguridad debe alcanzar. Como mayor
sea el SIL, mayor ser la disponibilidad requerida a la funcin de seguridad SIF. La
siguiente tabla identifica los PFDavg de cada nivel SIL. El valor inverso del PFD es el
Factor de Reduccin de Riesgo (RRF).
Clasificacin de la reduccin de riesgo. ndice SIL
SIL
PFDavg
RRF
Disponibilidad
10 -> 100
Dnde:
RRF = 1 / PFDavg
(5)
(6)
Una vez realizado el HAZOP y analizadas las protecciones que un proceso de una
planta necesita, se ha de distinguir entre las que estn claramente relacionadas con las
tareas de seguridad y las que son requeridas por la propia operacin de la planta. Por lo
tanto, podemos clasificar las funciones de control de proceso en:
El objetivo de esta clasificacin es tener los requerimientos adecuados para cada tipo
de sistema con un coste econmico razonable. El coste econmico de un lazo de seguridad
es alto, comparado con un lazo bsico de control.
Las funciones del SIS tienen una baja tasa de demanda al contrario de las funciones
del BPCS, esto es debido a la baja probabilidad de que un evento peligroso ocurra.
101
R=PxS
(7)
Dnde:
Probabilidad
P0: Ocurre una vez por ao o ms. Ocurrido un par de veces.
P1: Ocurre una vez cada 10 aos. Ocurrido una vez.
P2: Ocurre una vez cada 100 aos. Casi ocurre, el accidente se evit por poco.
P3: Ocurre una vez cada 1000 aos. Nunca pasa pero es plausible.
P4: Ocurre menos de una vez cada 10000 aos. Razonablemente no es un escenario
creble.
Severidad
S1: En el lugar: potencial para una o ms vctimas.
S2: En el lugar: potencial para uno o ms daos o lesiones serias (irreversibles).
S3: En el lugar: potencial para uno o ms daos en prdida de tiempo.
S4: En el lugar: potencial de daos menores.
102
Clase de
riesgo
Nivel de Riesgo
Mecanismo de monitorizacin o
procedimiento administrativo
Ninguna
2.
3.
4.
5.
6.
7.
8.
104
de Revisin de Seguridad (Paso 2 Safety Review) segn el ciclo de vida de seguridad (ver
figura 7.1.3 Ciclo de Vida de Seguridad ejemplo y figura 7.3.1.3 Fase asignacin SIF).
7.3.2 Mtodos cuantitativos
Algunos ingenieros no se sienten cmodos con el uso de mtodos puramente
cualitativos, ya que consideran que son mtodos con baja repetibilidad. Pueden estar en lo
cierto siempre y cuando los grupos o equipos destinados a utilizar estos mtodos no tengan
el suficiente entrenamiento e inputs de casos similares.
El mtodo cuantitativo ms representativo es el mtodo LOPA (Anlisis de las Capas
de Proteccin Layer of Protection Analysis).
Mtodo LOPA
De entre todas las metodologas para calcular el ndice SIL reflejadas en los
estndares y normativas IEC 61511 y ANSI/ISA-84.00.01, el anlisis LOPA es la tcnica
ms exhaustiva por tener un carcter cuantitativo. El mtodo LOPA fue desarrollado por el
American Institute of Chemical Engineers (AIChemE 1993). Esta metodologa esta
recogida tanto por la normativa ANSI/ISA-S84 como por la IEC 61511 parte 3.
Como vimos en el primer captulo de este trabajo y reflejamos en la siguiente figura
7.3.2.1, las capas de proteccin en una instalacin de proceso se dividen en capas de
prevencin, destinadas a prevenir el accidente y capas de mitigacin, destinadas a reducir
las consecuencias del accidente.
Esta tcnica se basa en el anlisis objetivo de las distintas capas de proteccin de que
dispone un proceso, evaluando el riesgo del mismo y comparndolo con el criterio de
riesgo tolerable definido por la propiedad, para decidir si las capas de proteccin son
adecuadas o si es necesario mejorar las existentes o introducir capas adicionales.
106
El mtodo arranca con los datos obtenidos en al anlisis HAZOP (HAZard and
Operability analysis) y explica, para cada peligro identificado en la documentacin, la
causa inicial y las capas de proteccin que previenen y mitigan el peligro. Esto permite
calcular la cantidad de reduccin de riesgo obtenido y analizar la necesidad de reducir an
ms el riesgo. Si se requiere una mayor reduccin de riesgo y tiene que ser obtenida a
travs de una funcin instrumentada de seguridad (SIF), este mtodo nos permite
determinar el SIL apropiado de la SIF.
El primer paso requiere determinar un nivel de riesgo tolerable. Un escenario tpico
podra ser el que muestra la tabla 7.3.2.1 donde se expresa la probabilidad de que un
accidente provoque una vctima en un ao. Tablas similares pueden confeccionarse para
impacto medioambiental, prdida de produccin, daos a equipos, etc.
Mximo riesgo tolerable
para operarios
Riesgo residual
para operarios
Riesgo residual
para pblico
10-4
10-6
10-4
10-6
Consecuencias
Frecuencia
objetivo
tolerable
por ao
1.0 x 10-3
1.0 x 10-4
1.0 x 10-5
Nivel del
impacto del
evento
Menor
Severa
Tabla 7.3.2.2 Probabilidad de riesgo tolerable aceptada y basada en la IEC 61511 Parte 3 Anexo C
107
Un segundo paso implica determinar la probabilidad del evento inicial de los sucesos
no deseados. Pueden ser eventos externos (p. ej. impactos de rayos) o fallo de una de las
capas (p. ej. Fallo del sistema de control de una vlvula). Para valorar estas probabilidades
necesitamos valores numricos. Normalmente son valores basados en registros histricos o
datos de ndice de fallo recogidos en bases de datos y publicadas por organizaciones como
EXIDA 1, OREDA 2, etc. La siguiente tabla 7.3.2.3 muestra un ejemplo de probabilidad de
eventos iniciales.
Evento inicial
Impacto de un rayo
10-3
10-1
Fallo operacin
10-2
10-2
PFD
Dique
10-2
Cortafuegos
10-2
Muro de contencin
10-3
Detector de fuego
10-2
IPL Activa
Vlvula de alivio
10-2
Disco de ruptura
10-2
BPCS
10-1
Tabla 7.3.2.4 PFDs de diferentes IPLs
108
Especfica: Una IPL est diseada solo para prevenir o mitigar las consecuencias
de un evento potencialmente peligroso.
(1)
Ejemplo
Se trata de un ejemplo simple en el que el nivel de un tanque de almacenaje de
hexano, material combustible, es controlado por un control de nivel que acta sobre una
vlvula de entrada de producto. Si se sobrellena el tanque, el lquido de hexano ser
liberado por una vlvula de venteo y este ser contenido por un dique. El anlisis de riesgo
realizado mediante HAZOP nos indica que el control de nivel puede fallar, que el lquido
puede escaparse del dique, que una fuente de ignicin puede prender el hexano y por tanto
puede ocurrir un accidente con vctimas. Se pretende determinar si existe alguna
instalacin que permita reducir el riesgo al nivel deseado por la organizacin, o si algn
cambio de diseo es requerido.
109
La nica capa de seguridad existente es el dique, que tiene un PFD estimado de 0,01.
Las alarmas y por tanto la accin del operador no se estiman ya que la causa inicial es el
sistema de control, por tanto no puede generar alarmas.
La compaa toma un criterio conservativo e indica que si el producto sale fuera del
dique la probabilidad de ignicin es del 100%.
La probabilidad de que haya alguien en el rea afectada mientras ocurre el suceso se
estima en 50%. Y finalmente la probabilidad de que alguien en el rea muera debido al
accidente es del 50%.
La siguiente figura muestra la versin LOPA del rbol de eventos.
(2)
RRF = 1 / PFD
(3)
RRF = 10
RRF = 25
Por lo tanto, el diseo actual no cumple con el valor requerido de seguridad por la
compaa. Se requiere una SIF con un factor de reduccin de riesgo mayor de 25, por tanto
110
un PFD = 0,04. Esto significa un lazo de seguridad SIL 1 pero con un RRF por encima de
25 (Ver tabla 7.3.1.3 ndice SIL).
Clasificacin de la reduccin de riesgo. ndice SIL
SIL
PFDavg
RRF
Disponibilidad
10 -> 100
Equipo n:
Fecha:
Descripcin
Probabilidad
Consecuencia
Riesgo tolerable
< 1 x 10-4
< 1 x 10-5
Evento inicial
Frecuencia por ao
0,1
0,5
Probabilidad de fatalidad
0,5
Otras
N/A
2,5 x 10-2
Dique (existente)
Salvaguardas (no IPLs)
Intervencin del operador no es
independiente como capa ya que depende
de una alarma generada por el BPCS y el
fallo de este es causa inicial del evento.
1 x 10-2
2,5 x 10-4
Aadir una SIF con un RRF mnimo de 25 (PFD como mximo de 4 x 10-2)
Mantener el dique como una IPL.
Dpto. responsable del trabajo: Ingeniera de Control e Instrumentacin
Persona responsable: XXXXXX
111
Bibliografa y referencias:
[1]
[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
Safety Integrity Level Selection. Ed Marzal and Eric Scharpf, published by ISA, 2002.
[4]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[5]
Artculo: Techniques for Assigning A Target Safety Integrity Level, Angela E. Summers, Published in
ISA Transactions 37 (1998).
[6]
Artculo: Methods of determining Safety Integrity Level (SIL). Requeriments Pros and Cons, W G
Gulland, Published by Springer-Verlag London Ltd of the Safety-Critical Systems Symposium.
Febrero 2004.
[7]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[8]
Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
Una forma que se propone de documentacin es en forma de check list basada en los
tags de cada funcin.
Los responsables de redactar la documentacin, depende de cada compaa,
normalmente son el responsable del proyecto y el responsable de ingeniera. Esta
documentacin formar parte de los registros de esta segunda etapa revisin de seguridad y
pasarn a formar parte en la siguiente etapa del ciclo de vida de seguridad funcional:
Especificacin de los Requerimientos de Seguridad.
Es muy importante discutir el intervalo de prueba de funcionalidad con relacin a los
planes de operacin de la planta. El intervalo de test puede impactar significativamente en
el diseo final.
En el (ANEXO G: Especificaciones de los requisitos de Seguridad) se puede ver un
ejemplo de check list donde se recogen los resultados de la fase de asignacin del valor
SIL y se complementa con las especificaciones de los requisitos de seguridad para poder
pasar a la fase de ingeniera y diseo del SIS.
7.4
IEC 61511 define las SRS como las especificaciones que contienen todos los
requerimientos de las funciones instrumentadas de seguridad en un sistema instrumentado
de seguridad.
El objetivo de esta fase del ciclo de vida (SRS) consiste en especificar y documentar
todos los requerimientos para todas las funciones de seguridad que ha de realizar el SIS
para el desarrollo de su ingeniera de detalle y para la seguridad funcional del proceso.
113
Se trata de una etapa crtica, cualquier error, falta de datos u omisin en las
especificaciones resultar en una funcin de seguridad que no ser capaz de realizar su
cometido en la forma prevista, con lo que la seguridad se ver afectada. Por tanto, las SRS
deben ser desarrolladas y revisadas por un equipo con experiencia en proceso, equipos,
operacin y mantenimiento del proceso que se trata. La documentacin de las SRS ser
posteriormente utilizada para la verificacin y validacin del SIS.
Las SRS, como hemos indicado es un documento clave para la implementacin y
pruebas del proyecto, as como para la correcta operacin del sistema y su mantenimiento
(figura 7.4.2). Es el enlace entre todo el estudio terico/prctico de anlisis para poder
crear una base firme y estructurada para poder ejecutar el proyecto. Siempre son
elaboradas una vez seleccionado el SIL objetivo. Como hemos visto el 44% de los fallos
del sistema de seguridad instrumentado ante un incidente se debe a una mala
especificacin de los requerimientos de seguridad, que pueden ser debido a:
No realizacin correcta del Anlisis de Riesgos y Peligros del proceso, lo que
implica una base de entrada para las SRS incorrecta (mala identificacin de las
SIF, seleccin incorrecta del SIL).
No se identifican modos de fallo y requerimientos de proteccin (acciones de la
SIF no logra un estado seguro, lentitud en la identificacin y prevencin del
peligro).
No se definen todos los modos de operacin del proceso (arranque, paro, etc.).
No se identifican todas las condiciones ambientales y de proceso.
Control de las SRS inadecuado.
Requerimientos contradictorios o incompletos.
114
115
116
descarga
De acuerdo con la norma IEC 61511, el SIL requerido de cada funcin instrumentada
de seguridad en modo demanda ser especificado de acuerdo con la tabla 7.4.2. Las
funciones de seguridad en modo continuo de operacin raramente son usadas en procesos
industriales, aunque tambin la norma IEC 61511 especifica el SIL requerido (Ver captulo
5.50 Modo de operacin).
SIL
Clase de Riesgo 3
PFDavg
RRF
Disponibilidad
No usado. No se
puede mitigar slo
va SIS
10 -> 100
No precisa SIS
-1
10 -> 10
-2
La interferencia electromagntica se refiere al fenmeno electromagntico no deseado que afecta las seales
elctricas a una banda menor que la radiofrecuencia. Es una forma de ruido elctrico que surge generalmente
de motores, transformadores, conductores de energa y de prcticas de cableado inapropiadas.
2 La interferencia por radiofrecuencia surge de seales en falso en el rango de radiofrecuencia (generalmente
de 0.5 a 500 MHz), puede generarse de manera local por sistemas de ignicin, dispositivos de comunicacin
de dos vas, equipo de soldadura, dispositivos de control, computadoras, entre otros.
3
Clase de Riesgo determinado usando la matriz de riesgo ejemplo propia de la organizacin (figura
7.3.1.5).
117
Posibles fallos peligrosos por causas humanas (p. ej. la respuesta a alarmas
relativas a seguridad).
documentacin SRS parta el diseo del SIS debera incluir: (ANEXO G: Especificaciones
de los requisitos de Seguridad):
La descripcin del proceso que incluira:
Descripcin del control del proceso incluyendo la filosofa del diseo del
sistema de control, tipo de controles, la interface con el operador, gestin de
alarmas, y registros de histricos.
Requerimientos de normativas y leyes que afectan el diseo del SIS.
SIL
Rango
Instrumento
Valor
trip
Unidades
Descripcin
Cierra
XV10
LIAH10
Nivel tanque
Hexano
0-100
80
LIAHH10
Nivel tanque
Hexano
0-100
90
Abre
XV11
Notas
119
Slo puede ser usada una funcin de no-seguridad en el SIS o por el SIS si es
necesaria para asegurar un paro de planta ordenado o para realizar un arranque
ms rpido, aunque no es aconsejable.
La SIF debe ser diseada de tal forma que una vez el proceso ha sido puesto en
un estado seguro, la funcin seguir en este estado hasta que el operador no haga
un reset la funcin, incluso si la condicin de disparo desaparece.
El diseo del SIS tendr en cuenta las capacidades y limitaciones del factor
humano, y ser el adecuado para las funciones asignadas al operador y personal
de mantenimiento.
121
122
Funciones de monitorizacin:
Las funciones monitorizadas deben formar parte del DCS, no deben estar incluidas
en el SIS. Una funcin de monitorizacin nunca ser una funcin de seguridad. Las
principales razones para esta separacin son:
Como regla general, el DCS y el SIS estn separados para minimizar errores
potenciales en las funciones de seguridad del SIS debido a errores de operacin,
mantenimiento o diseo.
Las funciones de seguridad no deben arriesgar su funcin por otras. Por ejemplo
un cambio en una funcin de monitorizacin no debe producir un cambio en la
funcin de seguridad.
Bypasses:
Bypasear partes o componentes de una funcin instrumentada de seguridad puede
poner en riesgo la seguridad, por lo que la decisin de bypasear tiene que ser estudiada con
sumo cuidado durante la revisin de seguridad y puede que sea necesaria la aplicacin de
medidas adicionales.
No est permitido bypasear una funcin de seguridad en su totalidad.
Si es necesario realizar bypases para mantenimiento u operacin se debe considerar:
Bypasear una canal de una arquitectura 1ooN para mantenimiento puede ser
aceptable si la seguridad no se ve afectada de forma negativa (p. ej. reparacin de
algn elemento tan rpido como se pueda, y dentro de un tiempo especificado de
reparacin.
Si por motivos que salen de la operacin normal de la planta (p. ej. arranque) es
necesario bypasear momentneamente una funcin de seguridad. La seguridad
debe ser asegurada por otros medios.
Si los test de lazo y bypases estn incluidos en el diseo del SIS, y se notifica al
operador el requerimiento de bypass, este slo puede estar activo durante un corto
periodo de tiempo. Esta previsin ser documentada durante el proceso de
revisin de las especificaciones de requerimientos de seguridad
Los bypases que no estn descritos en el diseo del SIS, slo pueden ser
realizados si existe un procedimiento de mantenimiento o una orden de cambio
escrita por el MOC (Management Of Change).
123
Bibliografa y referencias:
[1]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[4]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[5]
Artculo: Implementing a suitable safety instrumented system, Autor: R. Modi, publicado en junio
2010 en la revista Hydrocarbon Processing.
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[6]
7.5
Arquitectura.
Elementos de campo.
Software:
Software aplicado.
diseo conceptual cumple con el SIL objetivo de las SRS. Se trata del tercer paso de
revisin de seguridad propuesta por el ciclo de vida de seguridad del SIS y previa a
desarrollar el diseo de detalle.
En el diseo y anlisis de un sistema de seguridad hay que tratar diferentes factores
como la tecnologa a seleccionar, arquitectura de la funcin de seguridad, modos y ratios
de fallo, diagnsticos, servicios de energa, interfaces, seguridad, intervalos de test, etc.
que harn cumplir con el SIL objetivo de las SRS.
Un sistema instrumentado de seguridad se compone principalmente de 3
subsistemas: sensores, elementos finales de control y procesador lgico aparte de sistemas
de soporte como aire de instrumentacin o electricidad. El balance final de los fallos entre
los principales subsistemas de un sistema de seguridad queda reflejado en la siguiente
figura (Fuente: Offshore Reliability Database (OREDA))
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[3]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
nuevo riesgo. Este nuevo riesgo depende del ratio de fallo del componente comn, ya que
si el componente comn falla a demanda, la funcin del SIS no ser capaz de responder a
la situacin peligrosa. Por esta razn es preciso un estudio que asegure que el ratio de fallo
peligroso del componente comn es suficientemente bajo.
Dentro de los componentes utilizados en un SIS podemos diferenciar dos tipos de
separacin para la redundancia. La separacin idntica, debe constar de dos o ms
componentes idnticos e independientes entre s. La separacin diversa debe constar de dos
o ms componentes diferentes (diferente tecnologa, configuracin, etc.) e independiente
entre s, este tipo de separacin reduce la probabilidad de fallos sistemticos y los fallos de
causa comn.
Podemos decir que existen 3 partes de un sistema donde es plausible la separacin
entre el BPCS y el SIS y que deben ser evaluadas para asegurar el cumplimiento con el SIL
meta de cada funcin de seguridad, estas son:
Revolvedor lgico
126
Otra forma de expresar el tag del lazo con la letra Z (FICZSHHA, lazo de
control de caudal con paro por enclavamiento por caudal alto alto y alarma).
Como podemos observar la forma de denominar a los elementos de seguridad de
un SIS depende de cada compaa y de la normativa en la que se apoyen (DIN,
ISA, etc.).
En general los sensores son usados para medir temperatura, presin, nivel, flujo,
concentracin, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set
point o analgicos, dan una salida variable en relacin a la variable de proceso.
En sistemas de seguridad existen dos categoras de fallo principales que afectan a un
sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevar a un paro no esperado
de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la
variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a
una demanda actual o cambio de la variable de proceso sin indicacin por parte del sensor.
Est claro que un sensor puede fallar por diferentes razones: corrosin en los contactos,
suciedad en el contacto, termopares quemados, salidas errticas, transmisores inteligentes
(smart transmitter) en modo salida forzada, bloqueo de las lneas de proceso del
transmisor, etc.
El modo normal y recomendado por la mayor parte de compaas es disear el
sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que
los fallos sean siempre seguros. Esto quiere decir que cualquier anomala en la funcin de
seguridad que no responda a una situacin peligrosa en el proceso provocar llevar el
propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocar
paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados
existen diferentes medidas a adoptar:
Las seales de los transmisores analgicos irn al punto de disparo bajo cualquier
fallo, a no ser que sea detectado por el sistema para que se tome una accin
correctiva.
Los contactos de salida del sistema lgico en operacin normal del proceso
estarn energizadas y cerrados.
Equipos uso probado (proven in use) son equipos aceptados por la IEC 61511 para el diseo de
sistemas de seguridad y basados en los aos de experiencia de las empresas en el uso de un equipo sin fallos
peligrosos y adecuadamente documentado, an cuando no cuente con certificacin de seguridad.
128
Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisin de
sus medidas depende del rango en que trabajen. As un sensor diseado para medir
presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.
Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos
sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo
en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de
seal debe ser instalado entre el BPCS y el SIS.
Siempre que sea posible se utilizarn sensores y transmisores 2 analgicos ya que
estos presentan las siguientes ventajas ante los sensores de contacto:
Tenemos indicacin de la variable de proceso, por lo que nos dar una idea de si
su funcionamiento es correcto. Con un switch se debe hacer un test para saber si
es correcto su posicin.
El transmisor lo podemos considerar como parte del sensor y es el que nos da la seal analgica en
relacin a la variable fsica que pretendemos medir.
129
Mayor precisin.
Excelente estabilidad.
(1)
du = d * (1 DCd)
(2)
d = dd + du
(3)
El ajuste de los parmetros de proceso ha de estar protegido y bajo control para evitar cambios no
autorizados.
130
SFF =
sd + su + dd
sd + su + dd + du
(4)
Bibliografa y referencias:
[1]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
[4]
actan durante largos periodos de tiempo. Un fallo tpico peligroso que pueden tener es el
atasco o bloqueo que en situacin de demanda har que la vlvula no acte. Un fallo tpico
seguro es la prdida o fallo de la bobina de la electrovlvula, cosa que al estar energizada
en condiciones normales de operacin nos llevara a un paro no deseado de la planta, pero
no a un estado peligroso (la vlvula se ir a su estado de seguridad prefijado).
Todas las vlvulas a prdida de alimentacin de aire deben ir a su posicin de
seguridad (fail safe), el actuador de estas vlvulas ser de simple efecto con retorno por
muelle. Vlvulas de doble efecto (aire para abrir y aire para cerrar) solo se utilizaran
cuando, por seguridad, se requiera mantener la ltima posicin en caso de fallo de aire.
Modos tpicos de fallo en las vlvulas son:
Vlvulas solenoides (electrovlvulas):
Ambiente hostil y/o calidad baja del aire de instrumentacin que provoca un
agarrotamiento de la vlvula solenoide.
Vlvulas de corte:
Fuga en la vlvula.
Incorrecta seleccin del tamao del actuador que resulta incapaz de mover la
vlvula a su posicin segura a falta de aire.
Atasco de la vlvula.
Las vlvulas de control del BPCS dan la sensacin de que continuamente se estn
probando en el proceso normal de operacin al estar en continuo movimiento y por tantopor qu no utilizarlas como vlvulas de corte? No es una prctica recomendable. Como
vimos en el captulo 7.5.1 se recomienda independizar los equipos del sistema de
seguridad y del sistema de control. Adems sabemos que los elementos finales de un lazo
de seguridad son los equipos que proporcionan ms fallos en un sistema y las vlvulas de
control no suelen estar diseadas para la seguridad (no contemplan parmetros como
rapidez de respuesta, resistencia al fuego, clase de fugas cero, etc.).
A pesar de todo pueden ser utilizadas en seguridad en casos en que no sea prctico
instalar una vlvula adicional de corte, o el coste de su instalacin no compensa la
seguridad que se pueda alcanzar. Para estos casos se estudiar la conveniencia o no de la
instalacin y se incluirn recomendaciones como instalacin directa de la vlvula
solenoide al actuador bypaseando el posicionador, uso de redundancia para las vlvulas
solenoides. Las vlvulas solenoides han de garantizar una respuesta rpida del actuador.
En todo caso el uso de una vlvula compartida por ambos sistema debe asegurar que
los riesgos asociados son aceptables y debe estar debidamente documentado.
El siguiente apartado se describe una serie de acciones que ayudan a detectar fallos
en vlvulas.
132
Alarmas de cambio de estado de la vlvula sin que exista seal del sistema lgico
(p. ej. con finales de carrera).
Utilizacin de finales de carrera en vlvulas que nos dan un feedback para saber
si la vlvula ha operado correctamente o no. Es el mtodo ms utilizado aunque
no siempre sea efectivo si la vlvula no ha realizado ningn movimiento en un
largo periodo de tiempo.
Feedback de la posicin
Etc.
La mayor parte de estos posicionadores pueden realizar la funcin del PST (partial
Stroke Test) sobre las vlvulas de corte, tanto localmente como remotamente.
Como punto en contra es el alto precio de estos posicionadores que hace que no sean
atractivos econmicamente.
Para un Sistema de Seguridad la operacin normal del proceso corresponde a un estado estacionario
133
(1)
PFDavg = du (TI / 2)
(2)
PFDavg = DC d TI 1
)+ ((1 DC ) d TI 2 2 )
(3)
R(t ) = e t
(4)
(5)
x2 x3 x4
+
+
+ ... e x 1 + x ;
2! 3! 4!
e t 1 t ;
Existen numerosas bases de datos (p. ej EXIDA) as como software especializado en clculo de PFD,
factores SIL, etc. (p. ej. EXSILENTIA de EXIDA) que tienen tabulados los valores de DC dependiendo de
los intervalos de test que se practiquen.
135
F (t ) = 1 e t F (t ) t
(6)
PFavg =
1
* PF(t ) * dt ;
T 0
PF (t ) * t
(7)
PFavg * TI / 2
(8)
Por tanto con aproximaciones, cada vez que hacemos un test total de la vlvula esta
vuelve a su valor inicial de probabilidad de fallo, con lo que la probabilidad de fallo media
se mantiene en un valor que depende del intervalo de tiempo entre pruebas.
Con el PST la probabilidad de fallo de la vlvula no vuelve al punto original (0) sino
que queda un residuo de probabilidad de fallo, ya que no es posible diagnosticar todos los
fallos posibles. El punto inicial de probabilidad de fallo se desplaza segn el factor de
cobertura de diagnstico (DC) que obtengamos fruto del periodo de test y de las
condiciones de la vlvula (son datos que obtenemos de bases de datos como EXIDA y
algn fabricante). La siguiente grfica sintetiza la ecuacin (3) de este apartado.
136
137
Indicar que todos estos clculos de verificacin para ver si una funcin
instrumentada de seguridad alcanza el SIL objetivo especificado se realizan mediante
software especializados en tema de seguridad funcional y que contienen bases de datos de
diferentes organizaciones, fabricantes y normas donde se incluyen todos los datos
referentes a confiabilidad y operabilidad de todos los componentes susceptibles de ser
utilizados por un Sistema Instrumentado de Seguridad y que automticamente generan
todos los documentos que requiere la norma. Un buen ejemplo de este software y
probablemente el ms utilizado sea EXSILENTIA 1 SILect + SRS + SILver, perteneciente
a EXIDA.
La siguiente tabla muestra los modos tpicos de fallo de los elementos finales y la
deteccin del fallo con diferentes estrategias de pruebas.
Modo de Fallo
Efecto
PST
FST
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Lnea de aire al
actuador bloqueada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Empaquetaduras
muy apretadas
Movimiento lento
de la vlvula para
abrir o cerrar
Detectable. Se
reporta como un
evento.
Detectable.
Vstago atascado
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
138
Actuador/vlvula
atascada
Vlvula falla a
cerrar (o abrir)
Detectable.
Movimiento
limitado
Detectable.
Asiento vlvula
daado
Vlvula presenta
fugas
No detectable.
Asiento vlvula
sucio o endurecido
Vlvula presenta
fugas
No detectable.
Tamao actuador
inapropiado para
operar en
condiciones de
emergencia
Vlvula no cierra (o
abre)
No detectable
Detectable
Bibliografa y referencias:
[1]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
[4]
[5]
Seminario: PAS Process Safety Seminar. Luis Garca (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[6]
paro seguro de la planta. Precisa de gas seco y limpio. Un mal secado o filtrado del gas
puede ocasionar fallos en el sistema peligrosos como bloqueos de vlvulas, obstrucciones
de lnea, corrosin, etc. que hacen que el sistema no pueda funcionar cuando sea requerido.
Para evitar estos problemas se requieren frecuentes pruebas de funcionamiento (de forma
estndar mensualmente).
Los sistema con rels (aparecen en los aos 60) se basan en lgica cableada cuyos
principales elementos son rels. Se utilizan en sistema muy pequeos (menos de 15 I/O).
Son seguros y pueden alcanzar requerimientos SIL 3 si se realiza un diseo correcto.
Tienen un coste bajo, son inmunes a la mayora de la interferencias EMI/RFI, pueden
trabajar a diferentes rangos de tensin y poseen un tiempo de respuesta rpido (ms rpido
que un PLC). Se trata de un sistema fail-safe, esto significa que el modo de fallo es
conocido y predecible si trabajamos con rels de seguridad.
Como principales inconvenientes encontramos:
Paros molestos (spourious trips). Los sistemas con rels no suelen ser
redundantes, por lo que un fallo en un rel puede resultar un paro del proceso.
Complejo para sistemas grandes. Como mayor sea el sistema menos manejable
ser, la lgica rel se complica hasta el punto de llegar a perder la trazabilidad en un
seguimiento del circuito. Un sistema de 15 I/O es trazable. Un sistema de 500 I/O es
prcticamente imposible de seguir.
Sistemas de estado slido (surgen en los aos 70). Son lgicas cableadas sin software
y estn basadas en rels de estado slido. Los sistemas de estado slido (tecnologa
CMOS) fueron diseados para sustituir a los rels. Aunque an hoy en da son utilizados
para pequeas aplicaciones empiezan a estar en desuso. El principal defecto de los sistemas
de estado slido es que la probabilidad de modo de fallo es de 50/50 (50% fail safe y 50%
fallo peligroso).
Principales ventajas:
Capacidad de test y bypass. Los sistemas de estado slido dedicados a seguridad
incluyen estndar de test y posibilidad de bypasear (con llaves).
Lgica binaria. Son sistemas que se basan en la lgica ON/OFF como los rels.
No son capaces de realizar control analgico ni PID, aunque son capaces de adaptar
seales analgicas de entrada sin que puedan ser utilizadas en aplicaciones con
funciones matemticas.
Alto coste. Son sistemas muy caros, en muchos casos ms caros que un PLC con
redundancia triple.
Los primeros usos de los sistemas de estado slido fueron en aplicaciones pequeas
que requeran un alto nivel de seguridad, incluso SIL 4.
Como hemos comentado la utilizacin de estos sistemas estn en desuso. Slo para
muy pequeas instalaciones y para quienes no quieran depender de un software se utilizan
los sistemas con rels o los sistemas estado slido, y entre ambos para aquellos que quieran
ms funcionalidad se utilizarn los sistemas estado slido.
Sistemas basados en PLCs. Tecnologa que aparece en los aos 80. Desde su
aparicin han sido ampliamente utilizados en aplicaciones de proteccin y seguridad. Son
sistemas basados en software que requieren programacin ofreciendo un gran nmero de
ventajas como:
Coste razonable.
Fcil documentacin.
Sin embargo el diseo inicial del PLC no estaba concebido para aplicaciones de
seguridad y eran utilizados en tareas para las que no haban sido concebidos. Muchos
PLCs no tenan la capacidad de realizar diagnsticos, no eran fail-safe, es decir, no
garantizaban el conmutar a una posicin segura en caso de fallo, ni podan ofrecer un nivel
de redundancia para ser usados por encima de SIL 1.
Los principales modos de fallo detectados en los PLCs y que por tanto no
aconsejaban su uso para seguridad fueron los siguientes:
Las entradas/salidas dejan de verificar los valores de proceso actuales, por lo que
las decisiones son tomadas en base a unos datos no reales.
141
La ejecucin del programa se puede detener por fallo del temporizador guardin.
142
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[2]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
Tiempo de respuesta.
143
Modularidad y funcionalidad.
144
Hardware:
Programa de aplicacin:
Lgica programada.
Pruebas:
Fecha de la prueba.
Realizacin de Back ups despus de cada modificacin del software del SPLC y
como mximo anualmente a fin de tener siempre la ltima versin del programa instalado,
que nos asegure una rpida configuracin del sistema. (Ejemplo ANEXO Q: Proteccin de
la informacin).
Etc.
Las tarjetas I/O y controladores (CPUs) que estn en fallo o contengan algn
elemento en fallo debern ser cambiados inmediatamente. Si se trata de elementos
redundantes se podr hacer en lnea, teniendo en cuenta el tiempo lmite programado que
puede un sistema estar en un escenario de fallo antes de llevar el sistema a paro.
Se han de realizar test de funcionalidad del SPLC y de las funciones de seguridad
(ver captulo 7.9.2 Pruebas funcionales e inspeccin (Proof Testing)) y se han de leer
regularmente la lista de errores y eventos que recopila el SPLC, en una herramienta que se
llama SOE (secuencia de eventos).
El software de aplicacin debe estar protegido mediante passwords para evitar
cambios por personal no autorizado. El operador de planta no debe tener acceso al sistema
de seguridad ni posibilidad de cambio en el programa de aplicacin. (Ejemplo ANEXO Q:
Proteccin de la informacin).
Todos los cambios realizados deben estar documentados y aprobados.
En sistemas de seguridad, realizar una modificacin del programa, manipular una
tarjeta del sistema, realizar un cambio de cualquier tipo implica una situacin peligrosa,
por lo que slo personal autorizado podr acceder a la aplicacin software, a los
parmetros del sistema y al sistema hardware.
146
Cuando se deba hacer una actualizacin del firmware para actualizar versiones del
sistema, esta se har con la planta parada y por personal especialista en el sistema, a ser
posible personal de mantenimiento e ingeniera del fabricante.
Es una buena prctica el realizar un contrato de mantenimiento con el fabricante del
equipo de tal forma que el cliente, en este caso la empresa propietaria del SPLC se asegure
principalmente:
De que cualquier intervencin es su equipo de seguridad lo har personal
cualificado y certificado.
Bibliografa y referencias:
[1]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[3]
Lmites ambientales.
Para poder obtener la certificacin hace falta que un tercero independiente realice
una evaluacin de seguridad para certificar que el equipo cumple con todos los
requerimientos de la normativa IEC 61508 (ejemplo TV, FM y EXIDA).
Para equipos basados en el criterio de uso previo la normativa IEC 61511 no da
detalles especficos acerca de lo que realmente significa. Sin embargo todo el mundo
acepta que si una empresa tiene muchos aos de experiencia con xito sobre un equipo (sin
fallos peligrosos), y adecuadamente documentado se puede justificar el uso del
instrumento, aun cuando no cuente con certificacin de seguridad.
Para ayudar a los usuarios finales, muchos fabricantes anexan evaluaciones
realizados por terceros que incluyen:
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2]
[3]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[4]
http://www.exida.com
148
La seal de los sensores y equipos hasta el SIS vaya por diferentes caminos.
Uso de diferentes tecnologas para una misma medida (p.ej. flujo por placa de
orificio y por medidor de turbina).
Como hemos dicho HFT indica la capacidad que tiene un componente o subsistema a
realizar su funcin de seguridad incluso bajo alguna condicin de fallo. Un nivel 1 de HFT
significa que hay 2 equipos con una arquitectura tal que un fallo peligroso en uno de ellos
no impide la accin de la funcin de seguridad.
En este contexto HFT N significa que N + 1 fallos hardware puede ocasionar la
prdida de la funcin de seguridad.
Redundancia es un trmino que se utiliza en automatizacin para conseguir,
esencialmente, disponibilidad.
Repasemos el concepto de probabilidad de fallo en demanda. En sistemas sin
diagnstico el comportamiento de un sistema de seguridad se basa en la siguiente figura
7.5.8.1:
149
PFD: Probabilidad de que el sistema falle en forma peligrosa. Ante una demanda del
sistema este no actuara. Provoca una situacin peligrosa.
PFS: Probabilidad de que el sistema falle de forma segura. Provoca paros molestos.
Disponibilidad: Probabilidad de que el sistema realice con xito la funcin para la
que fue diseado en el instante de tiempo requerido
Ligado a la evolucin de los sistemas de seguridad, en un principio lo que se
pretenda lograr era disminuir las probabilidades de fallo en demanda (PFD) 1, mantener el
sistema seguro y alcanzar el SIL meta especificado para cada funcin de seguridad. Con
este fin se empez a aplicar el concepto de redundancia.
Por otro lado tambin era necesario evitar los paros innecesarios (paros molestos o
spourious trips) no producidos por una desviacin real del proceso sino por algn fallo en
modo seguro de algn componente y que llevan al paro de la planta con todos los
inconvenientes que se pueden derivar, prdidas econmicas, condiciones de paro
inestables, etc. En este caso tambin se recurre a la redundancia para aumentar
disponibilidad. Un caso tpico es utilizar fuentes redundantes de alimentacin para
aumentar disponibilidad. Son redundancias que estn a la espera.
En el siguiente anlisis utilizaremos siempre las ecuaciones simplificadas, sin tener
en cuenta los efectos de los fallos de causa comn, fallos sistemticos y en sistemas con
diagnsticos o sistemas con HFT > 1 la parte que debe ser aadida al PFD debida al tiempo
de reparacin del elemento en fallo (MTTR). Asimismo consideraremos sistemas fail safe
que en seguridad considera desenergizar para situacin segura.
PFD (Probabilidad de fallo en demanda): El sistema no acta cuando se produce una demanda, existe
una situacin peligrosa en el proceso. PFS (Probabilidad de fallo seguro): El sistema de seguridad acta sin
razn alguna.
150
PFD = D * Ti (1)
PFS = S * Ti (2)
NOTA: Ver el captulo 7.5.4.3 para ver cmo se llega a la ecuacin simplificada de
Probabilidad de Fallo:
PF (t ) * t
Utiliza un sistema de canal simple. Un fallo se traduce en la prdida de la funcin de
seguridad y en la parada del proceso. HFT = 0.
Fallo seguro: El contacto rel abre e interrumpe el suministro de energa a la
electrovlvula.
Fallo peligroso: Contacto rel soldado, imposible interrumpir el suministro de
energa a la electrovlvula.
Arquitectura 1002
Segn IEC 61511 por subsistema se entiende cualquier elemento del sistema que puede ser otro
sistema, bien de control o controlado, y puede incluir hardware, software e interaccin humana. Un sistema
incluye los sensores, los SPLCs, los elementos finales, las comunicaciones y equipos auxiliares
pertenecientes al SIS (cables, tubing, fuentes de alimentacin, etc.)
151
demanda de forma peligrosa es necesario que fallen los dos canales. El sistema slo
necesita un canal para realizar la funcin de seguridad.
Si un canal falla el sistema se degrada a un sistema 1oo1, por lo tanto tiene un
HFT=1.
De la aplicacin de rbol de fallos llegamos a las siguientes ecuaciones:
PFS = 2 * (s * Ti ) (4)
Como D y S son < 0, vemos que este sistema es mucho ms seguro que un 1oo1,
llegando a valores de SIL 3, pero duplica la probabilidad de fallo seguro, disponibilidad
operacional baja, sistema molesto.
Arquitectura 2oo2
Este sistema no es muy utilizado debido a que es un sistema poco seguro, aunque sea
un sistema altamente disponible.
PFD = 2 * ( D * Ti ) (5)
152
Como vemos no es un sistema seguro, ambos canales han de activarse para realizar
la funcin de seguridad. Si un canal falla no se producir la funcin de seguridad, se trata
de una arquitectura con SIL 0. La disponibilidad operacional del sistema es alta.
De la misma manera que un sistema 1oo1 el fallo de uno de los canales implica la
perdida de la funcin de seguridad, por tanto HFT=0.
Arquitectura 2oo3
Con este sistema se requieren que al menos dos elementos coincidan para realizar la
funcin de seguridad. Incrementa la disponibilidad operacional de la planta.
La funcin de seguridad de la planta sigue realizndose aun cuando si uno de los
canales falla. Incrementa la disponibilidad de seguridad.
Anlisis del rbol de fallos del sistema:
PFD = 3 * ( D * Ti ) (7)
2
153
PFS = 3 * ( S * Ti ) (8)
2
La gran ventaja de este sistema es que tiene una tasa de fallo seguro (disparos en
falso) mucho menor que un 1oo2, por lo que incrementa la disponibilidad de operacin,
aunque la probabilidad de fallo en demanda sea 3 veces mayor que un 1oo2, pero llega a
obtener valores SIL 3.
Asimismo puede tolerar el fallo de uno de sus canales (HFT=1), degradndose en un
sistema 2oo2 (SIL 0), que como hemos visto es el sistema ms peligroso y por tanto un
2oo3 degradado debe repararse rpidamente.
Este sistema fue el ms utilizado a finales de la dcada de los 70 y principios de los
80, hasta la aparicin de los sistemas con diagnsticos en la dcada de los 90.
Lo que realmente se busca es un sistema con mejor disponibilidad que un 2oo3, y un
mejor nivel de seguridad que un 1oo2 y con la capacidad de tolerar fallos sin comprometer
la seguridad. Con la capacidad de diagnstico lo que conseguimos es detectar fallos
peligrosos que pasan a convertirse en fallos seguros, por lo que solo deberemos
preocuparnos por los fallos peligrosos que el diagnstico no puede detectar y que sern la
base para calcular la seguridad del sistema.
Como se puede apreciar en las funciones instrumentadas de seguridad, los sensores,
los resolvedores lgicos (PLCs de seguridad en general) y los elementos finales debern
tener una tolerancia a fallo mnima para cumplir con los requisitos de seguridad. Asimismo
hemos visto que la tolerancia a fallos representa un mnimo de redundancia requerida para
satisfacer el nivel SIL meta de una funcin instrumentada de seguridad.
Con la aparicin de los diagnsticos surge una nueva variable que nos indicar la
efectividad del diagnstico segn la norma IEC 61511 parte 1. Se trata de la Fraccin de
Fallos Seguros (SFF) y se define como la razn entre la tasa promedio de fallos seguros
ms la tasa de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del
sistema.
154
Dnde:
SFF =
SD + SU + DD
SD + SU + DD + DU
(9)
D = TOTAL (1 % SAFE )
(10)
S = TOTAL % SAFE
(11)
SD = S C S
(12)
SU = S (1 C S )
(13)
DD = D C D
(14)
DU = D (1 C D )
(15)
Ejemplo. Si tenemos un transmisor con una tasa de fallo de 500E-9 fallos por hora,
con un 62 % de fallos fail-safe, con factor de cobertura para fallos seguros del 74% y para
fallos peligrosos del 96%. Qu tasa de fallos tendr el transmisor? SFF del transmisor?
Qu SIL puede lograr dependiendo de la tolerancia a fallo hardware dispuesto?
TOTAL = 500 E 9
%SAFE = 0.62 (62%)
CS= 74%
CD= 96%
FIT: unidad fallos en tiempo. Indica el mximo de fallos en componentes por cada 109 horas de
funcionamiento.
1
155
SD + SU + DD
229.4 + 80.6 + 182.4
=
= 0.9848 98%
SD + SU + DD + DU
500
(Ver apartado 7.5.8.1 HFT segn norma IEC 61511 y IEC 61508 de este captulo)
Indicar que todos los datos de tasas de fallos, ratios de cobertura de diagnsticos,
SFF, etc. son datos bsicos que han de proveer los fabricantes bien por Anlisis de Modos
de Fallos, Efectos y Diagnsticos (FMEDA) o por equipos de uso previo, para poder ser
utilizados en seguridad y son parmetros requeridos para la verificacin SIL. Se
recomienda utilizar equipos certificados por un organismo independiente (TUV, FM) que
justifique que cumple los criterios de la norma IEC 61508.
Arquitectura 1oo1D
Analizando el sistema:
= DD + DU + SD + SU (16)
Los fallos seguros no afectan a la seguridad de la planta aunque sean molestos e
impliquen un paro de proceso y con los diagnsticos somos capaces de detectar los fallos
156
= DU
Como los fallos que pueden ser detectados dependen del factor de cobertura y es un
dato dado por el fabricante se deduce que:
DU = D * (1 C D )
(17)
SU = S * (1 C S )
(18)
(19)
PFS = SU * Ti
(20)
Arquitectura 1oo2D
Para que se produzca una fallo peligroso los dos canales deben fallar en forma
peligrosa, es decir los diagnsticos de ambos no deben haber detectado fallos peligrosas,
por tanto son fallos no detectados (DU) peligrosos. Notar que siempre hay un canal
157
calculando y otro verificando, por lo que cualquier variacin entre ambos canales ser
detectada por los diagnsticos que abrirn el circuito y avisarn del evento. Es decir el
valor de PFD 1oo2D es el producto del elemento que calcula y el que verifica.
PFD = (DU * Ti )
PFD = ( D * (1 C D ) * Ti )
(21)
2
(22)
De forma similar:
PFS = 2 * ( SU * Ti )
(23)
PFS = 2 * S * (1 C S ) * Ti
(24)
(25)
A medida que los diagnsticos son mayores el factor de cobertura se acerca al 100%,
C D tiende a 1, con lo que la PFD para fallos no detectados se acercar a 0 y los fallos
158
peligrosos detectados se convierten en fallos seguros por lo que el nivel de seguridad SIL
de una funcin depender de la tasa de fallos no detectados ( DU ). Si este valor es pequeo
podemos llegar a nivel SIL 3, y si es tan pequeo que duplicndolo sigue estando en los
valores de SIL 3 podemos decir que cualquier arquitectura que se disee con este elemento
Hardware se mantendr dentro del SIL 3. Es decir que podemos tener elementos
redundantes en cualquier sistema sin afectar la seguridad y aumentando la disponibilidad
(ver arquitectura 2oo2). Las arquitecturas FMR permiten mltiples fallas y poder trabajar
en modo degradado sin afectar el nivel de integridad de seguridad funcional original, aun
siendo este SIL 3. Ejemplos de esta arquitectura:
Se trata de un sistema modular a todos los niveles. Los mdulos estn separados
fsicamente del controlador y conectados por un bus de comunicaciones estndar
certificado por TV para usos en seguridad funcional (Profisafe DP). Este bus permite la
comunicacin de cada componente con todos los dems.
El sistema puede tolerar mltiples fallas en diferentes componentes sin comprometer
la seguridad y sin parar la planta.
Una arquitectura que puede optar este sistema puede ser:
159
Por tanto con esta configuracin se trata de un sistema que tolera 4 fallos hardware
HFT=4.
Para ms informacin consultar la pgina web http://www.automation.siemens.com.
160
Tabla 7.5.8.2. Nivel SIL para los revolvedores lgicos programables PE, relacin arquitectura/seguridad.
Como el SFF es un dato que nos debe dar el fabricante y que precisa de complicados
anlisis FMDEA o bien datos de la experiencia en campo proven in use se recomienda
utilizar sistemas certificados cuyos SFFs han sido determinados en el alcance de la
certificacin.
Para todos los dispositivos de campo como sensores, elementos finales y
revolvedores lgicos no programables la mnima tolerancia al fallo hardware segn IEC
61511 ser el que se muestra en la siguiente tabla:
Tabla 7.5.8.3. Nivel SIL para sensores, elementos finales y revolvedores lgicos no programables, relacin
arquitectura/seguridad
SPLC
SIL 2
Actuador
163
Tabla 7.5.8.4. Nivel SIL del subsistema, relacin arquitectura/seguridad. Subsistemas tipo A y B
SFF =
+ +
+ + +
SD
SD
SU
SU
DD
DU
DD
El problema est en obtener todas las tasas de fallo de los componentes de una
manera fiable y como tratar los componentes con criterio uso previo IEC 61511. Los
componentes certificados por TV ya nos indican directamente el valor de SFF.
Variante 2: Conocidos los valores de SFF y de qu tipo de elementos se trata (A o
B), por la tabla 7.5.8.4 obtener el SIL mximo del subsistema:
Sensor
SFF = 65 %, tipo A
SIL 2
Convertidor
SFF = 98 %, tipo B
SIL 2
Separador
SFF = 89 %, tipo B
SIL 1
Entrada
SPLC SIL 3
SIL 3
Convertidor
SFF = 98 %, tipo B
SIL 2
Separador
SFF = 89 %, tipo B
SIL 1
Entrada
SPLC SIL 3
SIL 3
165
2.
3.
4.
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[2]
[3]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[4]
[5]
Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
167
7.5.10
Fuentes de energa
Adicionalmente las unidades de energa deben contar con indicadores del estado en
que se encuentran las bateras o el estado de operacin del sistema UPS, as como de un
sistema de alarmas y diagnsticos que nos indiquen entre otras cosas el estado de
operacin del sistema redundante y que evite poner en funcionamiento el sistema SIS sin
todas las fuentes de energa disponibles.
Los PLCs incluyen fuentes de alimentacin que reducen y estabilizan el voltaje del
suministro elctrico, en estos casos ha de considerarse la redundancia en el suministro de
energa para cumplir con los requerimientos de fiabilidad de la aplicacin SIS. Los
sistemas electrnicos son sensibles al ruido elctrico por lo que un buen blindaje, unas
buenas prcticas en el cableado y una conexin apropiada a tierra, garantizar el buen
funcionamiento.
Las entradas y salidas del PLC deben tener distribucin separadas de energa para
minimizar el fallo de causa comn en caso de fallo en el cableado.
Los puntos a considerar en el suministro de corriente alterna son:
Armnicos.
Cargas no lineales.
168
Tiempo de transferencia.
Proteccin catdica.
Presin de trabajo.
7.5.11
Interfaces
Interfaces de operador.
Interfaces de mantenimiento/ingeniera.
1 Como mensaje entendemos, alarmas, eventos, alertas, situaciones, informacin que se quiere dar al
operador del estado del Sistema Instrumentado de Seguridad.
2
EEMUA (The Engineering and Equipment Materials Users Association Asociacin de Usuarios
de Materiales y Equipos de Ingeniera) emiti la publicacin 191 sobre la gestin de sistemas de alarmas.
La OSHA (Occupational Safety and Health Administration La Administracin de Seguridad y Salud
Ocupacional de los Estados Unidos) ha emitido ciertos requerimientos para los sistemas de alarmas en el
estndar CFR 29 regulacin 1910.119, Gestin de Seguridad de Procesos con Materiales Qumicos
Altamente Peligrosos.
ANSI/ISA-18.2-2009 Management of Alarm Systems for the Process Industries.
170
La interfaz con el operador es importante, pero no debe ser crtica para el correcto
funcionamiento del sistema. Desde la interfaz del operador no debe ser posible modificar el
sistema de seguridad. Si por diseo se requiere el uso de acciones del operador, el diseo
incluir sistemas de seguridad de proteccin contra errores del operador.
Cualquier accin tomada por el operador deber ser confirmada.
Acciones tpicas que el operador puede hacer son los bypass de seales para realizar
mantenimiento. Estas acciones estarn protegidas con contraseas para evitar ser realizadas
por personal no autorizado. Normalmente este tipo de acciones son realizadas por el
personal de mantenimiento de instrumentacin que es quien suele realizar las pruebas de
seguridad de los lazos de seguridad en el periodo marcado en las especificaciones de los
requerimientos de seguridad.
La informacin que debera ser monitoreada y a la que debe tener acceso el operador
es la que permite saber el estado en que se encuentra el sistema instrumentado de seguridad
y que es crtica para que se mantenga el SIL requerido. Esta informacin debe incluir:
Fallos de equipos que son necesarios para el correcto funcionamiento del SIS.
Monitores de visualizacin.
Impresoras.
por su sonido y su color normalmente y sern visibles en modo intermitente hasta que se
reconozcan y una vez reconocidos y hasta que se solucione el problema en modo continuo
(recomendacin EEMUA publicacin 191 Alarm Management).
7.5.11.2 Interfaces de ingeniera y mantenimiento
La interfaz de ingeniera y mantenimiento permite realizar el mantenimiento
adecuado del SIS y modificaciones de ingeniera que se soliciten y aprueben, de una
manera clara y sencilla.
El interfaz de ingeniera y mantenimiento se disear de forma que asegure que
cualquier fallo de esta interfaz no afecte negativamente la capacidad de accin del sistema
de seguridad. Estas interfaces son los medios para programar, probar y mantener el SIS. Se
tratan de dispositivos que se usan para las funciones siguientes:
Solo personal autorizado ser quien haga uso de las interfaces de ingeniera y
mantenimiento y nunca ser utilizado como una interfaz de operacin.
7.5.11.3 Interfaz de comunicacin
El interfaz de comunicacin es un conjunto de lneas hardware que permiten la
transferencia de datos entre diferentes componentes de un sistema o entre sistemas. El
protocolo de comunicacin estndar ms utilizado para este tipo de aplicaciones es el
protocolo de comunicacin MODBUS.
El diseo interfaz de comunicacin con el SIS debe asegurar que ante cualquier fallo
en la comunicacin no afectar a la disponibilidad del SIS.
El SIS debe ser capaz de comunicar con el BPCS y otros sistemas (control de
compresores (CCC control), sistemas de monitoreo y proteccin de mquinas rotativas (p.
ej. Bently Nevada System), etc.) sin que afecten al funcionamiento correcto del SIS.
La interfaz de comunicacin debe ser suficientemente robusta contra las
interferencias electromagnticas, incluyendo las sobrecargas de tensin sin causar un fallo
peligroso de la SIF, asimismo debe ser adecuado para la comunicacin de dispositivos con
diferentes referencias de tensiones de tierra.
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
172
[3]
[4]
The Alarm Management Handbook 2nd Edition. Hill Hollifield and Eddie Habibi, published by PAS,
(2010).
7.5.12
Las pruebas funcionales han de realizarse con el fin de verificar la correcta operacin
del sistema instrumentado de seguridad y asegurar que el SIL meta objetivo se sigue
cumpliendo. Las pruebas funcionales del lazo de seguridad deben ser vistas como una
actividad de mantenimiento preventivo con el fin de detectar posibles fallos en el correcto
funcionamiento del sistema de seguridad y que no se han detectado por diagnsticos en
operacin normal.
Segn la norma ANSI/ISA-84.00.01-2004 y la norma IEC 61511 parte 1, el diseo
del sistema de seguridad debe permitir la realizacin de pruebas de los lazos de seguridad y
componentes del SIS ya sea en lazo completo, desde la conexin del sensor al proceso
hasta la conexin del actuador final (sensores, SPLCs, elementos finales y alarmas
asociadas) o bien por partes o segmentos diferenciados. Cuando el intervalo de tiempo
entre inactividad del proceso programado, es decir el tiempo entre paradas programadas,
sea mayor que el intervalo de tiempo entre pruebas especificado para alcanzar el SIL
requerido, se requerir incluir en el diseo procedimientos y utilidades de pruebas y tests
en lnea, con la planta en funcionamiento.
El diseo e ingeniera del SIS debe realizarse de acuerdo a los requisitos de
mantenimiento y pruebas definidos en las especificaciones de los requisitos de seguridad.
Recordemos que el intervalo de prueba de las funciones de seguridad es un punto
importante a la hora de alcanzar un SIL meta propuesto.
Preguntas importantes que se suelen realizar son:
1. Cmo se realizar el test del sistema?
2. Qu partes de la funcin de seguridad se bypasear y si se realizar la prueba
manualmente?
3. Existe algn mtodo de prueba automtica que pueda implementarse en el
sistema?
Una buena prctica en el diseo de SIS es tomar como referencia un intervalo de test
anual (el periodo mximo de test no debe exceder los cinco aos), este es el periodo
comnmente ms utilizado, y es el intervalo que se marca como estndar a la hora de
escoger una arquitectura que cumpla con el SIL meta especificado.
Debe existir cierta racionalidad entre los requerimientos que se piden y cmo ser la
instalacin final. Puede darse el caso que la instalacin final tenga dispositivos de difcil
acceso, o bien que el diseador especifique poner un dispositivo en vlvulas que realicen la
pruebe de recorrido parcial (PST). En el primer caso, el personal de mantenimiento no
puede realizar adecuadamente las pruebas y en el segundo, el personal de operacin puede
estar preocupado de posibles paros molestos que pueda ocasionar la carrera parcial. Por lo
que es recomendable incluir tcnicos de mantenimiento y operacin durante la revisin del
diseo del sistema que puedan aportar soluciones a problemas potenciales de diseo.
Es muy importante involucrar y concienciar al personal de mantenimiento y
operacin de la importancia de estas pruebas peridicas, ya que en muchas ocasiones no es
173
extrao encontrar sistemas de seguridad que nunca han sido chequeados y cuando estos
son probados se encuentran fallos peligrosos que conducen a la inactividad de la funcin
de seguridad para la que fue diseada, sobre todo en elementos de campo.
(1)
Donde:
) (
PFDavg = DC d TI1 + (1 DC ) d TI 2
2
2
(2)
Donde:
DC = Factor de cobertura de diagnstico (0 100%) (Eficacia del test).
TI1 = Intervalo del test.
TI2 = Intervalo cuando el sistema realiza el test completo del sistema, o es
remplazado, o puede ser el tiempo de vida de la planta si el sistema no se prueba
completamente o se cambia.
As, s la vlvula ON/OFF tiene un d de 0.025 fallos por ao (MTTF = 40 aos), un
test peridico anual garantiza una efectividad del 95% (detecta el 95% de fallos) y la
vlvula cada 10 aos es cambiada. Qu PFDavg tendr la vlvula durante los 10 aos de
operacin si:
1) La vlvula se prueba cada ao y se cambia cada 10 aos.
2) La vlvula no se testea pero se cambia cada 10 aos.
Caso 1)
De la eq. (2)
Caso 2)
De la eq. (2)
Se trata de una ecuacin aproximada y tiene poco error siempre que el tiempo medio
de fallo sea significativamente mayor que el intervalo de test (MTTF >> TI1).
Como vemos es necesario que en el diseo se establezcan las frecuencias y los
procedimientos necesarios para realizar las pruebas de los lazos de seguridad. Cada lazo de
seguridad (SIF) deber tener su propio procedimiento de manera que podamos descubrir
los fallos peligrosos no detectados por diagnsticos. En cada procedimiento se describirn
los pasos a seguir para realizar el test de seguridad de forma segura y que evite paros en
falso de la planta, asimismo la hoja de prueba de lazo ha de incluir (IEC 61511 parte1):
Td Ti
(3)
1oo2;
2 * Td * d * (((Ti 2) + MTTR ) / Ti )
(4)
2oo2;
2 * (Td Ti )
(5)
2oo3;
6 * Td * d * (((Ti 2 ) + MTTR ) / Ti )
(6)
Donde:
Td = duracin de test
Ti = intervalo de test
PDFavg =
1
PFD(t )dt
T
176
7.5.12.2 Documentacin
Todas las operaciones, pruebas, y procedimientos de mantenimiento deben estar
completamente documentados y puestos a disposicin del personal. Como se ha comentado
anteriormente es una buena prctica que todas las partes, ingeniera, produccin y
mantenimiento estn involucrados en el desarrollo de los procedimientos de las pruebas de
seguridad con el fin de que todas las partes conozcan y entiendan los procedimientos.
Todos los tests realizados se deben guardar en formato de papel. El usuario debe
mantener registros que verifican que los tests y las inspecciones han sido realizadas como
se requiere en el procedimiento. Esta documentacin puede ser requerida y auditada por
una persona, grupo u organismo independiente con posterioridad. Normalmente todas las
empresas estn sometidas a auditoras internas propias y a auditorias de seguridad externas
realizadas por organismos independientes. El no cumplir con los procedimientos
requeridos se considera una falta grave que ha de ser resuelta en la mayor brevedad
posible.
Los registros de las pruebas de seguridad como mnimo han de incluir:
1) Sistema probado (tag, nmero de equipo, nmero de lazo, )
2) Intervalo de test.
3) Descripcin de los test e inspecciones realizadas.
4) Fecha de la realizacin de la prueba e inspeccin.
5) Nombre de la persona que realiza la prueba.
6) Resultados de la prueba e inspeccin.
El comit ISA SP84 ha editado anexo tcnico sobre test de sistemas de seguridad.
ISA-TR84.00.03-2002 se trata de una gua para pruebas de funciones instrumentadas de
seguridad implementadas en SIS.
(ANEXO N: Pruebas de Lazos de Seguridad)
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
[3]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
7.5.13
Problemas de tierra.
En general los cables por bandeja debern llevar cubiertas metlicas o ser cables
armados para protegerse mecnicamente. Estas bandejas o cables armados deben
estar conectados a tierra al inicio y final y dependiendo de la distancia en puntos
intermedios con el fin de proteger las cables de interferencias electromagnticas y
proteccin contra rayos.
Aislar la tierra de los sistemas entre ellos y separar galvnicamente los elementos
comunes.
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003.
[2]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
The Instrumentation, Systems, and Automation Society, 2004.
7.5.14
Consideraciones ambientales
2)
Fallos fsicos.
a.
Fallos independientes.
b.
Un fallo se clasifica como fsico cuando algn estrs fsico excede la capacidad de
los elementos instalados. Un fallo sistemtico ocurre cuando el sistema, aunque est
funcionando, no es capaz de realizar la funcin especificada debido a errores de diseo o
instalacin.
Fallo de causa comn puede ser debido a diferentes situaciones. Puede producirse
por un estrs (figura 7.5.15.2) que produce un fallo en varios elementos o en una parte del
sistema y hace que sistemas redundantes fallen. Como fuentes de estrs tenemos
temperatura, humedad, corrosin, vibracin, interferencias electromagnticas, entre otras.
Asimismo un fallo en un elemento no redundante puede causar un fallo de causa comn,
por ejemplo podemos encontrar un controlador triplicado alimentado por una nica fuente
de alimentacin, el fallo de esta fuente hace que caigan los tres controladores. Un fallo de
causa comn puede resultar de un fallo sistemtico (p. ej. de diseo) que afecte a
elementos redundantes (figura 7.5.15.1).
Figura 7.5.15.1 Relacin de fallos de causa comn y los fallos sistemticos de canales individuales.
179
El efecto del estrs hace que la tasa esperada de fallos () del sistema aumente y en
muchos clculos que no se ha considerado el efecto de los fallos de causa comn la
confiabilidad del sistema no alcance los valores estimados.
= independiente + cc
(1)
Una forma de indicar el factor de influencia del estrs en los componentes idnticos
es el factor beta ( ). El factor beta representa la fraccin de la tasa de fallo en donde 2
ms fallos ocurrirn debido a un mismo estrs comn.
cc
(2)
cc =
(3)
Indicar que el modelo del factor es un modelo emprico, no es un modelo real sino
que se trata de una estimacin de la realidad.
La norma IEC 61508 parte 6 1 indica valores estimados de factor para diferentes
equipos de lo que podemos extraer:
de
Referencia a la normativa IEC 61508 parte 6 para obtener ms informacin sobre diferentes valores
180
D = 0.02 fallos / ao ;
Ti = 1 ao;
= 0.05
En un sistema 1oo2:
Si PFD para cada componente: PFD1oo1 = D * Ti
(4)
En un sistema 1oo2:
PFD1oo 2 = D *Ti 2
Por tanto 1:
PFDavg1oo 2 = D TI 2 / 3
(5)
(6)
PFDavg1oo 2 = 0.000133
En un sistema 1oo2 con causa comn:
El PFDavg del sistema:
(7)
PFDavg cc = (cc TI ) / 2
(8)
PFDavg1oo 2 ( cc ) =
Por tanto:
D 2 Ti 2
3
PFDavg1oo 2 ( cc ) = 0.000633
PDFavg =
1
PFD(t )dt
T
181
cc Ti
2
(9)
Bibliografa y referencias:
[1]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[2]
[3]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
7.5.16
Fallos sistemticos
Los fallos sistemticos son fallos que ocurren cuando los elementos fsicos de una
funcin instrumentada de seguridad, aunque estn en operacin no son capaces de realizar
su funcin de seguridad especificada debido a errores de diseo o comisin.
Los fallos de causa comn pueden ser resultado de un fallo sistemtico, normalmente
fallos debido a errores en el diseo o errores en procedimientos de operacin y/o
mantenimiento.
Los fallos sistemticos principalmente se deben a errores de diseo e implementacin
o comisionado y entre las posibles causas encontramos:
1) Errores de diseo de la SIF.
Errores en la especificacin de la lgica de la funcin de seguridad, seleccin
incorrecta de los componentes y errores en el diseo de la interfaz entre el elemento de
control (E/E/PES) y los sensores y actuadores. La redundancia no resuelve este tipo de
fallos.
2) Errores en la implementacin de componentes (hardware).
Son errores en la instalacin, configuracin (calibracin, puntos de disparo, etc.) y
puesta en marcha del SIS que no son detectados durante las pruebas funcionales del SIS.
Ejemplos de este tipo de errores:
a. Errores de cableado y alimentacin de aire.
b. Fuente de alimentacin elctrica/neumtica inadecuada.
c. Bloqueo de las conexiones al proceso o mala conexin al proceso.
d. Instalacin de sensores o elementos finales de control errneos.
3) Errores de programacin.
Errores en el programa de aplicacin, diagnsticos, rutinas de interfaz de usuario
(sistemas de visualizacin, etc.).
4) Errores de interaccin humana.
Son errores producidos en la operacin de la interfaz hombre-mquina de la SIF,
errores producidos en las pruebas funcionales de la SIF y durante la reparacin de
componentes de la SIF.
5) Errores de diseo de componentes hardware.
Errores en el diseo del fabricante o en la construccin de los componentes
seleccionados de la SIF que impiden una adecuada funcionalidad. Ejemplos de este tipo de
errores:
182
7.5.17
Existe un aislamiento entre las reas relacionadas con la seguridad y las relativas
a no seguridad.
Recordar que la norma IEC 61511 define qu debemos hacer y por qu, pero no
cmo hacerlo. Se nos da libertad para organizar los procesos de revisin y verificacin que
183
7.6.1 Introduccin
En la especificacin de requisitos de seguridad (SRS) se define el diseo de los
elementos que intervienen en la funcin de seguridad, tecnologa de los sensores,
procesador lgico y elementos finales, que arquitectura (redundancia) necesito para
cumplir con el SIL objetivo establecido en el anlisis de riesgos del proceso, software a
utilizar y se ha decidido que filosofa de pruebas queremos realizar para poder encontrar y
reparar cualquier fallo potencial no detectado en el equipo de seguridad, es decir, se ha
establecido un poltica de inspeccin y mantenimiento. Todas estas decisiones afectan al
clculo de PFD de cada funcin de seguridad.
Comprobar que el lazo de seguridad instalado cumple con el SIL objetivo requiere
de un trabajo analtico adicional complejo en el que hemos de considerar parmetros como
el fallo de causa comn en equipos redundantes, intervalos de pruebas de equipos, tiempos
de reparacin fuera de lnea, tipo de redundancia, nmeros de elementos de una funcin de
seguridad y muchos otros detalles. Todos estos detalles hacen que la verificacin del SIL,
el desarrollo y mantenimiento de los procedimientos y las herramientas adecuadas capaces
de un anlisis riguroso puede que sean muy exigentes y costosas. Este alto nivel de los
costes adicionales normalmente es difcil de justificar, salvo tal vez por las grandes
empresas de la industria de procesos.
Los mtodos de verificacin deben ser coherentes, lgicos y verificables. La mejor
manera es realizar la verificacin a travs de un procedimiento claro, documentado y
probado. Como ya se coment, en el mundo de la industria de proceso qumico y
petroqumico el mtodo ms utilizado para la seleccin del SIL objetivo es el mtodo
HAZOP en combinacin con las matrices de riesgos. Un procedimiento claro que verifique
y asegure el SIL objetivo resulta difcil de desarrollar y mantener, ya que implica la
demanda de un programa de seguridad con la implicacin de importantes recursos
econmicos y personales que no repercuten directamente en la produccin y que por tanto
en pequeas empresas es difcil de justificar. En el actual entorno industrial solo puede ser
soportado por grandes multinacionales.
Otro problema aadido al procedimiento de verificacin es encontrar datos precisos
para la realizacin de los clculos. Informacin sobre las tasas de fallo y su clasificacin en
sensores, sistema de control de seguridad, actuadores y elementos finales de control, etc.
depende de un exhaustivo y detallado anlisis modal de fallos, efectos y diagnsticos
(FMEDA). Cuando no es prctico realizar este tipo de anlisis se pueden realizar ciertos
supuestos, simplificaciones que es importante que sean conservativas. Si los modos de
fallo no se conocen, hemos de asumir que todos los fallos son peligrosos. Si la cobertura de
diagnstico no es conocida, todos los fallos son no detectables. Si el factor de causa comn
() no es conocido, un valor del 10 % ser conservativo.
Una solucin es utilizar equipos uso previo, son equipos ya instalados y la
experiencia nos da una fiabilidad contrastada, no es un sistema viable para pequeas
184
Ecuaciones simplificadas 4.
Modelo de Markov 6.
Por tanto, vemos que la industria de procesos necesita cada vez ms de un anlisis
riguroso y documentado de seguridad basado en tcnicas de clculo y datos slidos. En el
entorno que nos movemos es complejo disponer de un grupo de especialistas que puedan
abordar y dedicarse nicamente a estos temas en las empresas. Como resultado nacen
organizaciones, empresas especialistas en seguridad funcional que prestan estos servicios.
Un ejemplo es EXIDA, fundada en 1999 y que proporciona la capacitacin, las
herramientas, software especializado y personal experto en seguridad funcional y fiabilidad
para el desarrollo de sistemas de automatizacin.
Debido a la dificultad de encontrar datos fiables de todos los componentes utilizados,
a la gran variedad de mtodos de clculo a utilizar y a la variedad de mtodos de anlisis
de riesgos propuestos, muchas organizaciones y empresas estandarizan sus sistemas de
seguridad y crean su propia base de datos de componentes con el fin de facilitar su uso por
parte de sus ingenieros y utilizar sistemas, componentes y mtodos comunes basados en las
normas IEC 61511, IEC 61508 y ANSI/ISA S84.01 y en estndares regionales. As crean
un grupo de expertos en seguridad que se ocupan de actualizar la base de datos y
procedimientos. (Ver captulo 7.6.4 Observaciones. Uso de guas propias)
OREDA, Offshore REliability DAta, proyecto establecido en 1981 por cooperacin de empreas
petroloiferas con elobjetivo de recoleccin de datos de confiabilidad para equipos de seguridad.
www.oreda.com
3
http://en.wikipedia.org/wiki/FM_Global o www.fmglobal.com
185
7.6.2 Procedimiento
La integridad de seguridad se define como la probabilidad de que una funcin
instrumentada de seguridad realice satisfactoriamente la funcin de seguridad requerida
bajo todas las condiciones establecidas y en un tiempo establecido.
La integridad de la seguridad se compone de 2 elementos:
1. La integridad de seguridad hardware.
2. La integridad de seguridad sistemtica.
La integridad de seguridad hardware se puede calcular con un nivel aceptable de
precisin y est basada en los fallos aleatorios del hardware del sistema. La norma
ANSI/ISA-84 y la IEC 61508 y 61511 se refiere a la integridad de seguridad hardware con
la especificacin de una medida objetivo de fallos para cada SIL. En una funcin
instrumentada de seguridad operando en modo demanda la medida objetivo de fallos es
dada por el valor PFDavg (probabilidad de fallo promedio para realizar la funcin de
seguridad en demanda) es la tasa de fallos peligrosos media. La integridad sistemtica de
la seguridad es difcil de cuantificar y las normas indican tcnicas, procedimientos y
medidas a seguir para reducir los fallos sistemticos introducidos en un sistema.
Normalmente son fallos producidos en las fases de especificacin, diseo, implementacin,
operacin y modificacin y afectan tanto al hardware como al software. Es en la
especificacin de los requisitos de seguridad donde se decide o se concluye el diseo de los
elementos (hardware, software, redundancia, etc.) y la forma de operar (poltica de
mantenimiento e inspeccin, frecuencia de las pruebas de lazos y equipos, etc.) y que
afectan a la PFD final de la funcin de seguridad.
Normalmente en la evaluacin de una SIF (funcin instrumentada de seguridad)
tambin se especifica una tasa de fallos seguros que sea aceptable. Estos fallos nos
conducen a disparos en falso o paros molestos. Aunque estos fallos producidos en el
sistema de seguridad no son fallos que nos llevan a una situacin de riesgo en demanda
como pasa con los fallos peligrosos, s que es cierto que nos conduce al paro y arranque del
proceso, que adems de consecuencias econmicas asociadas a la prdida de produccin, el
paro y arranque de una planta es un periodo crtico donde la probabilidad de que ocurra
algn riesgo es mayor, sobre todo en equipos como compresores y motores, o estrs en
tuberas y depsitos debido a cambio de temperatura o presin que puede ocasionar fugas
en bridas, tensiones en tuberas, etc. Por tanto el reducir los paros en falso aumentar la
seguridad del proceso. La tasa de fallos seguros es expresada como el tiempo medio para
fallos en falso MTTFspurious (mean time to fail - spurious).
A continuacin se puede ver un esquema lgico del proceso simplificado a seguir en
la selecccin y verificacin del SIL.
186
2.
Enumerar los componentes que tienen un impacto en cada una de las SIF.
Normalmente sern los sensores y los elementos finales de control identificados
en el anlisis de riesgos de procesos (PHA). Es el equipo encargado de hacer el
PHA quien asocia un SIL a una SIF.
3.
Definir todos los posibles tipos de fallos de elementos del SIS. Como el objetivo
de evaluar la integridad de seguridad es calcular la PFDavg y el MTTFspurious,
todos los fallos de los elementos del SIS se clasifican en fallos peligrosos y
seguros. Asimismo se definen los fallos detectados y no detectados mientras el
SIS est en lnea u operacin. Esta clasificacin de tasas de fallo se definen en
base al anlisis modal de fallo, efecto y diagnstico (FMEDA). Si no conocemos
los modos de fallo se considerar que todos son peligrosos. Si no se conoce la
cobertura de diagnstico se considerar que todos los fallos son no detectados y
si no se conoce el factor beta de causa comn se estimar un valor del 10%.
4.
Para poder determinar PFDavg y el MTTFspurious de una SIF se debe contar con
datos de tasa de fallos () de los componentes de la SIF. Pueden ser obtenidos de
bases de datos, de los propios fabricantes, de la experiencia en uso previo, de la
utilizacin de elementos certificados, etc.
5.
6.
7.
8.
9.
188
Tabla 1
SIL
ISA
84.01
PFDavg
RRF
-4
-5
-3
-4
10 -> 10
10 -> 10
10 -> 100
Tabla 7.6.3.1 ndice SIL segn IEC 61511, IEC 61508 e ISA-TR84.01-1996
Para cumplir con un determinado nivel SIL requerido para una funcin
instrumentada de seguridad, el PFDavg debe ser menor que el lmite superior del SIL
dispuesto por la norma en cada nivel.
En general se puede afirmar que:
PFD = f (tasa de fallo (), tasa de reparacin (), intervalo de test (TI), causa comn
(), etc.)
Asimismo la funcin especfica f depender y ser un atributo de la arquitectura del
sistema seleccionada para el SIS.
La probabilidad de fallo en demanda se determina por la suma de las probabilidades
de fallo en demanda de todos los componentes implicados en cada funcin instrumentada
que asegura una proteccin contra eventos peligrosos de un proceso. Si la funcin de
proteccin incluye varias variables de proceso, necesitamos sumar sus probabilidades de
fallo, ya que slo que una de estas variables se encuentre en fallo el sistema instrumentado
de seguridad no funcionar correctamente.
(1)
Dnde:
- PFDSIS es el PFDavg para la funcin de seguridad especfica SIF en el SIS.
- PFDS es el PFDavg del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFDPS es el PFDavg de la fuente de alimentacin en el SIS.
- PFDLS es el PFDavg del procesador lgico (PLC de seguridad) del SIS.
189
DU =
1
MTTF DU
(2)
cc = DU
(3)
Configuracin 1oo1
TI
TI
PFDavg = DU + DF
2
2
(4)
Configuracin 1oo2
PFDavg = (1 ) DU
) TI3
2
(5)
2
TI D TI
DU
DD
DU
+ (1 ) MTTR TI + + F
2
2
PFDavg
= DU
( )
TI 2
TI D TI
DU
DD
DU
+ MTTR TI + + F (6)
3
2
2
DU
2 es la probabilidad de fallo debido a fallos de causa
El trmino
comn.
TI
Configuracin 1oo3
PFDavg = DU
( ) TI4
3
[(
[(
DU
+
)
2
DD
TI
TI
MTTR TI 2 + DU + DF (7)
2
2
TI
DU
2 es la probabilidad de fallo debido a fallos de causa
El trmino
comn.
TI
Configuracin 2oo2
] [
TI
PFDavg = DU TI + DU TI + DF (8)
2
Configuracin 2oo3
[(
PFDavg = DU
) TI
2
]+ [3
DU
TI
TI
DD MTTR TI + DU + DF (9)
2
2
191
DU
2 es la probabilidad de fallo debido a fallos de causa
El trmino
comn.
TI
Configuracin 2oo4
[(
PFDavg = DU
) TI
3
[(
]+ [4(
)
DU 2
TI
TI
DD MTTR TI 2 + DU + DF (10)
2
2
TI
DU
2 es la probabilidad de fallo debido a fallos de causa
comn.
TI
Consideraciones:
1. Para todos los clculos se ha considerado que todos los componentes redundantes
tienen una misma tasa de fallo. Hemos de tener en cuenta que existe la
posibilidad de utilizar componentes redundantes con diferentes tasas de fallo,
diversidad de componentes.
2. Los trminos referidos a fallas sistemticas, fallos debidos errores en el diseo, en
la programacin, en la calibracin de los instrumentos, son excepcionalmente
introducidos en los clculos de verificacin del SIF debido a la dificultad de
evaluar los modos y efectos de fallos y la falta de datos de tasas de fallos
sistemticos. Sin embargo son muy importantes y pueden tener una repercusin
grave en el funcionamiento de nuestro sistema instrumentado de seguridad, por
ejemplo una vlvula de corte de gas cuyo actuador no es capaz de mover la
vlvula, si ocurre un evento peligroso la vlvula no actuar. Por esta razn las
normas IEC 61511, IEC 61508 y la ANSI/ISA-84.01 incorporan en el ciclo de
vida conceptos de diseo e instalacin, criterios de validacin y test, y un criterio
gestin de cambio si este es necesario. Por lo que la verificacin del SIL se basa
fundamentalmente en evaluar el rendimiento del SIS relacionados con los fallos
aleatorios y no los sistemticos, de diseo. Si de todas formas se quiere
incorporar un valor de probabilidad de fallo sistemtico al sistema, se puede
utilizar un nico valor de probabilidad de fallo sistemtico para toda la funcin,
ecuacin 11. Este valor lo podemos obtener de la experiencia de lazos similares
que podamos obtener de bases de datos o bien de nuestra propia experiencia.
192
TI
(11)
PFDavg = DU
2
(4a)
Configuracin 1oo2
TI 2
TI
DU
DU
PFDavg = 1DU 2DU
+ 1 2
3
2
(6a)
Configuracin 2oo3
TI 2
TI
DU
DU
DU
3
PFDavg = 1DU 2DU + 1DU 3DU + 2DU 3DU
+ 1 2 3 (9a)
3
2
Dnde:
193
- Un transmisor de medida que por fallo electrnico enva una seal fija. Segn la
capacidad de diagnsticos del sistema este tipo de fallo podr ser o no ser
detectado. Si se puede detectar pasar a ser un fallo peligroso detectado iDD .
(12)
Dnde:
- STRSIS es el STR para la funcin de seguridad especfica SIF en el SIS.
- STRS es el STR del sensor para la funcin de seguridad especfica SIF en el SIS.
- STRFE es el STR del elemento final para la funcin de seguridad especfica SIF en
el SIS.
195
S =
1
MTTF seguros
(13)
(14)
[ (
)] [ (
)]
STR = 2 S + DD + S + DD + SF
(15)
[ (
El trmino S + DD
causa comn.
[ (
)] [ (
)]
STR = 3 S + DD + S + DD + SF
[ (
El trmino S + DD
causa comn.
(16)
Configuracin 2oo2
] [ (
)]
STR = 2 S S + DD MTTR + S + DD + SF
196
(17)
Donde
[ (
El trmino S + DD
causa comn.
] [ (
)]
STR = 6 S S + DD MTTR + S + DD + SF
Donde
(18)
[ (
El trmino S + DD
causa comn.
[ (
)]
[ (
El trmino S + DD
causa comn.
(20)
(14a)
Configuracin 1oo2
STR = 2 S (15a)
Configuracin 2oo2
( ) MTTR
(17a)
( ) MTTR
(18a)
STR = 2 S
Configuracin 2oo3
STR = 6 S
1
STRsis
(21)
4. Calcular el STR para cada configuracin de sensores usando las ecuaciones antes
descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de sensores para obtener el STRS de la
funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR de los sensores.
1. Identificar cada elemento final que es controlado por el SIS.
2. Obtener los valores del MTTF spurious de cada elemento final.
3. Obtener los valores del MTTR de cada elemento final.
4. Calcular el STR para cada configuracin de elementos finales usando las
ecuaciones antes descritas considerando la redundancia adoptada.
5. Sumar los valores de STR de cada grupo de elementos finales para obtener el
STRFE de la funcin de seguridad evaluada.
Procedimiento bsico para el clculo del STR del revolvedor lgico (PLC de seguridad).
1. Identificar el tipo de revolvedor lgico usado.
2. Obtener el valor de MTTF spurious del revolvedor lgico. Normalmente es un valor
dado por el fabricante.
3. El STRLS es un valor que viene dado por el fabricante. Hoy en da en sistemas de
seguridad slo se utilizan PLCs de seguridad aprobados por organismos
independientes tipo TV que garantizan un SIL determinado. El MTTF spurious
para un revolvedor lgico es una funcin no-lineal por lo que el usuario suele
pedir el MTTF spurious como una funcin de MTTR , por lo que el usuario solo
especifica el rango del MTTR aceptable.
Procedimiento bsico para el clculo del STR de la fuente de alimentacin.
1. En este apartado se refiere todas las fuentes de alimentacin externas al SIS,
como UPS (sistema de alimentacin ininterrumpida), generadores diesel, etc. Las
tasas de fallo seguro de las fuentes de alimentacin internas del revolvedor lgico
deben estar incluidas en las tasas de fallo del revolvedor lgico. Si no fuese as se
deberan tener en cuenta.
2. Obtener el MTTF spurious de cada fuente de alimentacin del SIS.
3. Obtener los valores del MTTF spurious de cada fuente de alimentacin.
4. Obtener los valores del MTTR de cada fuente de alimentacin.
5. Calcular el STRPS usando las ecuaciones antes descritas segn redundancia.
Como podemos reducir la tasa de paros espurios (STR).
1. Utilizando redundancia adicional de componentes para asegurar la disponibilidad
de proceso.
2. Utilizando componentes ms seguros, con valores de tasa de fallos espurios
menores.
3. Cualquier cambio que realicemos para aumentar la fiabilidad del sistema,
disminuir la tasa de fallo espurios requiere realizar de nuevo la evaluacin del
199
PFDavg del sistema para confirmar que se cumple con el SIL objetivo requerido
en las especificaciones de seguridad.
7.6.3.3 Supuestos realizados en el modelo de ecuaciones simplificadas
Un modelo es una aproximacin de la realidad. Es imposible modelar cada aspecto
de la realidad, por tanto se han de suponer una serie de supuestos, hiptesis que ayuden a
simplificar el esfuerzo para realizar el modelo. Cada modelo creado tendr asociado una
incertidumbre. Las tasas de fallos, tiempos medios de reparacin, etc. utilizados en
modelos de fiabilidad son inciertos, por muchas razones, las bases de datos pueden no ser
claras, puede que no dispongamos de datos precisos por no disponer de una buena base de
datos, o porque el equipo sea nuevo y no exista un histrico. Por ello, lo bien o mal que se
interprete el modelo y la disponibilidad o no de datos vlidos afectar a la eficacia y xito
de los valores obtenidos de los clculos de PFDavg y STR.
Supuestos realizados para los clculos por ecuaciones simplificadas:
1. La funcin instrumentada de seguridad ser diseada, instalada y mantenida de
acuerdo a la norma ANSI/ISA-84.01, IEC61511 y IEC61508.
2. Las tasas de fallo () y de reparacin () se asumen constantes durante todo el
ciclo de vida de la SIF. Esto determina la necesidad de realizar un mantenimiento
preventivo adecuado para evitar que el dispositivo pierda disponibilidad.
Dispositivos con una vida til ms corta debern ser remplazados a su debido
momento.
3. Una vez que un componente ha fallado en uno de los posibles modos de fallo, no
puede fallar otra vez en uno de los restantes modos de fallo. Slo podr fallar otra
vez si ha sido reparado. Es decir, el modelo no contempla la posibilidad de ms
de un modo de fallo del dispositivo.
4. Las ecuaciones suponen similares tasas de fallo para componentes redundantes.
5. La tasa de fallo del sensor incluye desde el sensor hasta el mdulo de entrada del
revolvedor lgico. Sensor, transductor, barrera separadora.
6. La tasa de fallo del elemento final incluye desde el mdulo de salida del
revolvedor lgico hasta el elemento final. Barrera separadora, solenoide, control
(control de vlvula), elemento final (vlvula).
7. La tasa de fallo del revolvedor lgico incluye los mdulos de entrada, el
procesador lgico, los mdulos de salida y las fuentes de alimentacin.
8. El intervalo de test entre pruebas de funcionalidad (TI) se asume mucho ms
corto que el tiempo medio entre fallos (MTTF).
9. Se supone que tras el test de funcionalidad o la reparacin de un componente del
sistema, este queda perfecto.
10. Todos los componentes de la SIF han sido debidamente especificados segn la
aplicacin del proceso. As, una vlvula fallar en la direccin segura segn la
aplicacin.
11. Todos los fallos de las fuentes de alimentacin se suponen para el estado
desenergizado.
12. No supone el PFD humano a la hora de responder ante un evento peligroso.
200
13. El valor objetivo target del PFDavg y MTTFspurious se define para cada SIF
implementada en el sistema.
14. Las ecuaciones asumen un camino de degradacin, es decir un sistema 2oo3
degrada como 3-2-0. Esto quiere decir que un fallo degrada a un sistema 1oo2 y
un segundo fallo degrada a parada.
15. Por ltimo se asume que el usuario ha de estar familiarizado con las tcnicas de
verificacin SIF y tiene un conocimiento general de la utilizacin de las bases de
datos de tasas de fallos, anlisis de modos de fallo y de efectos, y evaluacin de la
causa comn y la cobertura de diagnstico.
Bibliografa y referencias:
[1]
[2]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[3]
[4]
Seminario: Functional Safety for the Process Industry. TV SD, Electronics Safety. Automation and
Drives, SIEMENS. Barcelona 2006.
[5]
[6]
Simplified Methods and Fault Tree Analysis of Safety Instrumented Systems. Staff from Premier
Consulting Services. INVENSYS performance solutions.
Del anlisis HAZOP realizado para el ejemplo, de todos los fallos con consecuencias
importantes que se sugieren se analiza el caso de prdida o exceso de flujo en la lnea de
gas natural a los pilotos (color rojo). El diagrama P&I mostrado en la figura 7.6.3.3 nos
muestra el resultado final tras realizar el HAZOP, despus de realizar la verificacin del
SIL objetivo para la funcin por clculo de PFDavg con el mtodo de ecuaciones
simplificadas. Los lazos en verde representan variaciones del proceso que han de ser
analizadas en el HAZOP, como parte de otras funciones de seguridad y que pueden tener
consecuencias importantes de seguridad 2.
A continuacin se muestra el resultado del estudio HAZOP (el estudio del HAZOP
para esta funcin de seguridad es un caso real).
1
HAZOP aproximado para la realizacin del ejemplo. Se analizar slo una SIF.
202
La obtencin del valor objetivo SIL se realizar por medio de la matriz de riesgos
(ver captulo 7.3 Definir SIL objetivo).
203
Otras consideraciones:
Cumplimiento reglamentario: Las vlvulas de aislamiento en las lneas de fuel gas y
gas natural a quemadores y pilotos se han de instalar con doble vlvula de corte y venteo
intermedio a travs de un borboteo conectado a colector de antorcha aguas arriba del
colector de presin con el fin de aislar las lneas de gas a pilotos y quemadores. Asimismo
estas vlvulas han de tener un reset local cercano a las vlvulas (HS 03). Las vlvulas
tendrn indicacin de posicin a travs de finales de carrera. A fallo de energa cierran
(posicin de seguridad cerrada). Segn norma NFPA 85.
Del Anlisis HAZOP obtenemos las funciones de seguridad a implementar en el
Sistema Instrumentado de Seguridad. En el caso de la llama piloto, una variacin del flujo
de gas natural a las llamas piloto puede provocar que estas se apaguen. La seguridad del
sistema vendr dado por la lectura de presin de la lnea, una fluctuacin en la presin de
la lnea implica una variacin del flujo de gas natural. La variacin de presin puede
provocar que los pilotos se extingan con el potencial de crear una atmsfera explosiva en el
hogar del horno.
Anlisis SIL: Baja presin de gas natural a pilotos.
Evaluacin de seguridad:
Matriz de riesgos:
204
Segn la norma IEC 61511 y la ANSI/ISA 84.01, un sistema de vlvulas block and
bleed (bloque y purga) es considerado un sistema 1oo2.
Se han realizado las siguientes suposiciones:
1. La SIF ha sido diseada como desenergizar para paro.
2. Todos los componentes redundantes tienen la misma tasa de fallos.
3. Hay redundancia externa de fuentes AC de alimentacin.
4. El PFDavg y el MTTFspurious para el PLC de seguridad redundante es dado por el
fabricante y se asume un valor de 0.00005 y 100 aos respectivamente.
5. Intervalo de test funcional de 12 meses (TI).
6. MTTR de 8 horas, se supone una reparacin perfecta.
7. Errores sistemticos y de causa comn se estiman negligibles.
Clculo del PFD:
PFD de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTFDU = 100 aos;
DU =
1
= 0.01
MTTF DU
TI 2
DU
PFDavg = 1DU 2DU + 1DU 3DU + 2DU 3DU
=
3
( )
TI 2 = 1 4
DU =
1
= 0.02
MTTF DU
TI 2
DU
PFDavg = 1DU 2DU
=
3
( ) TI3
2
= 1.33 4
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el PFDFE ser:
205
El valor mximo permitido para SIL 3 es 0.001 por tanto el diseo cumple con las
especificaciones de seguridad. El diseo alcanza el SIL 3 especificado.
Clculo del MTTFspurious:
MTTFspurious de los sensores:
Datos:
Transmisor de presin PI 03, 04, 05
MTTFspurious = 50 aos;
S =
1
= 0.02
MTTF spurious
( ) MTTR = 6.57 6
STRS = 6 S
S =
1
= 0.04
MTTF spurious
STRFE = 2 S = 0.08
Como la funcin de seguridad tiene dos bloques de elementos finales con la misma
configuracin 1oo2, el STRFE ser:
STR PS = 0.05
MTTFspurious del sistema:
1
STRSIS
Eq. (21);
spurious
MTTFSIS
=
Eq. (20);
1
= 4.54 aos
STRSIS
Esto significa que cada 4 aos y medio aproximadamente puede haber un paro no
esperado (espurio) de la planta. Si este valor no fuese aceptable, hay que considerar
cambios en el lazo con el fin de aumentar el tiempo medio entre fallos. Se puede aumentar
la redundancia, o coger componentes con un mayor MTTF. Cualquier cambio que se
realice supone volver a verificar que el PFD del sistema cumple con los requerimientos
especificados.
Bibliografa y referencias:
[1]
Seminario: PAS Process Safety Seminar. Luis Garcia (CFSE). Automation and Drives, SIEMENS.
Tarragona, abril 2008.
[2]
NFPA 85: Boiler and Combustion Systems Hazards Code. Edicin 2001 desarrollada y publicada por
National Fire Protection Association (NFPA), 1 Batterymarch Park, Quincy, USA.
207
1. General
1.1
2. Personal
2.1
2.2
Todos los resultados de las actividades de las diferentes etapas definidas en el ciclo
de vida han de ser verificadas por una segunda persona que no haya estado
directamente involucrada en la actividad (principio de los 4 ojos). Estas etapas se
definen en detalle en la IEC 61511.
3.2
Se usar la matriz de riesgos para asignar un valor objetivo SIL (nivel integro de
seguridad) a cada caso.
3.3
Slo funciones con SIL 2 o SIL 3 sern implementadas como funciones de seguridad
de un sistema instrumentado. Las funciones con un SIL < 2 se considerarn como
funciones de monitorizacin y alarma y se implementarn en el sistema bsico de
control de proceso (BPCS, normalmente un DCS). Funciones con un SIL > 3
requerir una modificacin del diseo del proceso o bien el uso de otros sistemas de
proteccin adems del sistema instrumentado de seguridad.
3.4
El diseo deber ser fijado y verificado en el paso 3 (Safety Review Process) para
cumplir con el SIL objetivo especificado (ver Figura 7.1.3. Ciclo de Vida de
Seguridad SIS ejemplo). Finalmente antes del start-up el diseo final instalado debe
ser verificado y validado en el paso 4 (PSSR). La disponibilidad y fiabilidad de una
funcin de seguridad depender de los equipos y arquitectura seleccionada, del
intervalo y mtodo de test definido, del tiempo medio de reparacin de componentes
(MTTR) y de la cobertura de diagnstico y fallos de causa comn.
3.5
Todos los resultados obtenidos en los pasos de revisin de seguridad de cada etapa
(safety review) han de estar documentados.
Slo deben utilizarse instrumentos y equipos de campo que estn aprobados por la
compaa y por tanto que formen parte de la lista estndar de equipos. Los equipos
que no formen parte de la lista estndar aprobada por la compaa solo podrn
utilizarse si:
-
4.2
4.3
Todos los componentes de las SIF y componentes que son parte del SIS deben estar
claramente marcados. En la documentacin se diferencian como elementos Clase A,
y en campo utilizando distintivos fsicos.
209
4.4
4.5
4.6
4.7
Slo se utilizarn PLCs de seguridad (PES) que estn certificados por un organismo
independiente (TV por ejemplo), que logren el SIL adecuado y estn aceptados en
la lista estndar de equipos de la compaa.
4.8
El DCS no soportar funciones de seguridad. Si existe alguna seal que tenga que ser
compartida con el DCS, un fallo en el DCS no debe afectar al sistema de seguridad.
4.9
4.10 Una funcin que provoca un disparo del sistema de seguridad no se resetear
automticamente cuando recupere su valor normal, tendr que ser peseteada por
operacin una vez la situacin se d por controlada.
4.11 Se utilizarn valores analgicos en vez de digitales siempre que sea posible.
4.12 Siempre que sea posible se implantarn medidas de diagnstico online a fin de
aumentar la cobertura diagnstico. (por ejemplo comparacin de canales).
5. Validacin
5.1
5.2
Los resultados de las pruebas de aceptacin en fbrica (FAT) de la lgica del PLC de
seguridad no son necesarios revalidarlos en planta si no ha habido modificaciones en
el programa despus de las pruebas FAT.
6. Mantenimiento
6.1
6.2
6.3
210
211
Realizar una estimacin cuantitativa del valor PDF, y ver que cumple el SIL
objetivo de la funcin de seguridad.
Realizar una inspeccin visual anual que nos pueda indicar defectos visibles
externamente como suciedad, corrosin, etiquetado, solenoides con la ventilacin
limpia, etc.
Utilizar estructuras multicanal para los sensores permite realizar pruebas en cada
uno de ellos independientemente bajo el control de un procedimiento de test
apropiado.
Es positivo realizar una prueba del dispositivo por una unidad especializada antes
de su utilizacin.
Realizar un examen detallado del dispositivo en el taller cuando sea posible, por
ejemplo en la prxima parada.
214
PFDavg = DU
2
(4a)
Configuracin 1oo2
TI 2
TI
DU
DU
PFDavg = 1DU 2DU
+ 1 2
3
2
(6a)
Configuracin 2oo3
PFDavg
DU
TI 2
TI
DU
DU
DU
DU
DU
DU
DU
DU
3
= 1 2 + 1 3 + 2 3
+ 1 2 3 (9a)
3
2
iDU = (1 DC )
Donde
(1)
Dnde:
- PFDSIS es el PFDavg para la funcin de seguridad especfica SIF en el SIS.
- PFDS es el PFDavg del sensor para la funcin de seguridad especfica SIF en el SIS.
- PFDFE es el PFDavg del elemento final para la funcin de seguridad especfica SIF
en el SIS.
- PFDLS es el PFDavg del resolvedor lgico (PLC de seguridad) del SIS. Como regla
general si el PLC utilizado es un SPLC (PLC fail safe) su contribucin es despreciable, ya
que cualquier fallo nos llevar a una posicin de seguridad.
- i representa cada grupo de componentes que es parte de la especfica SIF.
Por lo que las nicas variables que necesito para el clculo del PFDavg son:
: tasa de fallos del dispositivo.
: factor de causa comn.
DC: Cobertura de diagnstico. Fraccin de fallos que son detectados por
diagnsticos no realizados por el elemento de campo, por ejemplo en el SPLC.
215
Datos del fabricante en los que si se tiene en cuenta el producto del proceso a que
se dirige. Con ello se intenta evaluar la influencia del producto sobre la medida
de la tasa de fallo. En este caso la cifra ideal se ve empeorada. El resultado de
obtenido es dispar dependiendo del producto utilizado para el anlisis.
216
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
[3]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
217
7.7
Crear diferentes escenarios de fallos para ver la respuesta de los backup del
sistema (redundancia de buses de comunicacin, tarjetas entrada/salida,
controladores redundantes, etc.).
218
Las pruebas FAT suponen un entrenamiento para el personal usuario del sistema
que est involucrado en las pruebas (normalmente responsables de
mantenimiento y de operacin).
Se adquiere conocimiento del sistema por parte del personal usuario del sistema,
pudiendo clarificar malentendidos.
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
7.8
Instalacin y Comisionado
En esta fase del proyecto es cuando llega la hora de instalar y comisionar el sistema
instrumentado de seguridad que se ha diseado cuidadosamente. En muchos proyectos se
puede decir que marca un hito, un punto de entrega, donde el personal de ingeniera pasa el
diseo del sistema al contratista para su instalacin.
219
Cualquier cambio o modificacin que se realice en algn equipo especfico del SIS
durante la instalacin, comisionado o PSAT requiere volver a realizar el estudio de
seguridad correspondiente y debe estar debidamente documentado y consensuado.
La instalacin del sistema incluye todos los elementos hardware relacionados con el
SIS como sensores, elementos finales de control, cableado de campo, cajas de conexiones,
armarios de instrumentacin, PLC de seguridad, interfaces con el operador, sistemas de
alarmas, etc.
Para garantizar una correcta instalacin y comisionado del sistema el contratista debe
proporcionar y establecer unas pautas y puntos de trabajo como:
Todos los dispositivos y equipos deben ser instalados segn las recomendaciones
de los fabricantes y de manera que permitan un fcil acceso para mantenimiento y
pruebas.
221
SIT 1 (Pruebas de integracin en el sitio): Una vez completadas las pruebas SAT del
SIS, se integran las comunicaciones entre BPCS y el SIS, as como cualquier otro tipo de
comunicacin. El sistema integrado es probado como uno solo para garantizar que trabaja
adecuadamente. Las seales del SIS, diagnsticos, alarmas desplegadas en las pantallas de
control del BPCS (HMI) deben ser probadas.
A continuacin se muestra un esquema a modo de informacin de las diferentes
etapas para la correcta integracin del sistema BPCS y SIS.
Validacin de todos los modos de operacin del proceso y sus equipos asociados
incluyendo:
Referencia e informacin de los puntos sobre los que se realizarn pruebas para
validar el sistema.
222
Procedimientos de calibracin.
Etc.
Los sensores activan los puntos de disparo (trip points) definidos en las
especificaciones de los requerimientos de seguridad.
Todos los equipos usados para la calibracin y pruebas deben presentar certificados
de calibracin por parte del contratista encargado de realizar las PSAT o bien por parte de
la propiedad si fuese el caso.
La documentacin requerida una vez realizado el comisionado y las pruebas PSAT
dependen de la complejidad del sistema de seguridad y de los documentos elaborados por
el equipo del diseo, pero como mnimo la documentacin debe incluir de forma general:
Aceptacin por parte de la propiedad. Firma autorizada que confirma que las
PSAT han sido realizadas y completadas satisfactoriamente.
Procedimientos de validacin.
ndice de instrumentos.
Diagramas de lazo.
Esquemas elctricos.
Si durante las pruebas PSAT existiese alguna discrepancia y no se cumpliese con los
requisitos establecidos durante el diseo se deben estudiar las implicaciones sobre la
integridad del sistema que conlleva y evaluar si es necesario regresar a alguna etapa
anterior del ciclo de vida de seguridad. Si el fallo es debido a algn problema con los
equipos, se debe documentar el fallo y corregirse.
224
En esta etapa del ciclo de vida de seguridad ya hemos comprobado que el sistema
instrumentado de seguridad trabaja correctamente segn las especificaciones requeridas.
Aqu finalizara la fase Realizacin o Implementacin, con el SIS instalado y listo para
ser puesto en servicio. Solo nos quedara comprobar que el plan de mantenimiento este
realizado y sea acorde con los periodos establecidos en las SRS y realizar una ltima
revisin de seguridad llamada PSSR (Pre-Start Safety Review) para poder poner en
servicio el SIS (Captulo 7.9 Operacin y Mantenimiento).
Bibliografa y referencias:
[1]
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[3]
Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor:
Oswaldo E. Moreno, CFSE.
[4]
7.9
Operacin y Mantenimiento
Se trata de la fase ms larga del ciclo de vida del SIS, es el periodo durante el cual la
planta es operativa. Es importante realizar una poltica de mantenimiento y operacin
adecuada que garantice que el SIL de cada SIF no se degrada y se mantiene dentro de los
lmites especificados y que la seguridad funcional del sistema instrumentado de seguridad
se mantiene dentro de las especificaciones de integridad de seguridad requerida. Por lo que
se considera que el mantenimiento del SIS es una de las partes ms importantes a realizar
durante la operacin de la planta con el fin de garantizar que el SIS no se ha deteriorado o
degradado, manteniendo el nivel de integridad especificado.
7.9.1 Procedimientos de operacin y mantenimiento
Antes de poner en marcha el sistema instrumentado de seguridad (start up) y en
paralelo con el desarrollo de la ingeniera y diseo del sistema, se han de haber
desarrollado y aprobado los procedimientos de operacin y mantenimiento (ver ciclo de
vida de seguridad, captulo 7.1), as como haber establecido unas pautas de entrenamiento
del personal de operacin y mantenimiento. Estos procedimientos y entrenamiento del
personal son requisitos bsicos para la validacin del SIS y posterior puesta en marcha.
La norma IEC 61511 clusula 16 requiere que haya una planificacin de operacin y
mantenimiento para el sistema instrumentado de seguridad, que incluya los procedimientos
para trabajar con el plan de mantenimiento y operacin establecido.
El plan de mantenimiento detallar de manera escrita los procedimientos para
realizar mantenimiento, pruebas y reparacin del SIS a fin de mantener el nivel de
integridad de seguridad requerido y definido a lo largo de su vida til. El plan de
mantenimiento ha de disearse de tal forma que permita revelar problemas que el SIS no
detecta automticamente. Entre los procedimientos que debe incluir un programa de
mantenimiento del sistema instrumentado de seguridad destacamos:
225
226
Incluso la mejor planificacin no puede prever todos los eventos, por lo que los
procedimientos podrn requerir revisin eventualmente. Esta revisin generalmente
seguir a pruebas y auditorias de seguridad funcional del sistema de seguridad, y se
realizar con los datos recopilados por el departamento de mantenimiento.
Requerimientos de formacin. El personal de operacin y mantenimiento debe
estar completamente formado, entrenado y evaluado en todos los aspectos de los planes y
procedimientos y su competencia debe estar documentada y se debe mantener actualizada.
Generalmente el personal de mantenimiento, operacin e instrumentacin realizar cursos
de operacin y mantenimiento del Sistema Instrumentado de Seguridad. Estos cursos
deben considerar la filosofa de operacin, del mantenimiento preventivo, predictivo y de
las pruebas de diagnosis del SIS, interpretacin de fallos y diagnsticos, operacin del
software de control, supervisin y alarmas, arranque y puesta en servicio del sistema, etc.
Por tanto los operadores estarn capacitados en funcin y operacin del SIS, y su
formacin asegurar el conocimiento de:
Como se realizan las funciones del SIS (puntos de disparo y acciones resultantes
que toma el SIS).
El operador debe comprender los requisitos de prueba del SIS y que ocurre si se
retrasan las pruebas.
227
A lo largo del desarrollo del SIS se dan diferentes oportunidades y medios que
pueden aprovecharse para realizar una formacin bastante efectiva, estas son:
Simulacin de la lgica.
Aula de formacin.
Manuales.
Etc.
Todos los resultados de las actividades han de ser documentados y firmados por el
director de la planta y por el ingeniero E&I. Una vez realizada la prueba de validacin el
SIS es entregado por parte del ingeniero de diseo y mantenimiento a operacin y en
concreto al plant manager (director de planta) para comenzar con la etapa de arranque,
operacin, mantenimiento, segn los procedimientos realizados, y pruebas funcionales
peridicas. (ANEXO O: PSSR)
7.9.3 Pruebas funcionales del SIS (Proof Testing) 1
El requerimiento bsico para realizar las pruebas funcionales del sistema est en
asegurar que las funciones de seguridad SIF y por tanto el SIS sigue cumpliendo con la
reduccin de riesgo para el que fue diseado, es decir, sigue cumpliendo el SIL objetivo
deseado.
Ya en la fase de diseo se tienen en cuenta unos requerimientos especficos de test y
mantenimiento como el intervalo de test (captulo 7.5.12 Mantenimiento y pruebas
funcionales) y es en esta fase donde se han de desarrollar los procedimientos de pruebas de
funcionamiento para cada funcin instrumentada de seguridad con el fin de revelar fallos
no detectados por diagnsticos (covert faults) que hacen que la funcin de seguridad no
opere de acuerdo con las especificaciones de los requisitos de seguridad establecidos.
Los procedimientos de cada prueba funcional describir todos los pasos a realizar
para cada funcin instrumentada de seguridad e incluir pruebas de:
En el captulo 7.5.12 Mantenimiento y pruebas funcionales se di una visin general del porque de
estas pruebas, como inciden en el clculo del nivel de integridad de seguridad objetivo deseado y como
establecer un periodo de pruebas que se ajuste a las necesidades del sistema y de la planta.
229
230
7.9.3.2 Documentacin
El ingeniero E&I archivar todos los informes, se recomienda en formato electrnico
y en papel, que certifican que las pruebas funcionales de seguridad e inspecciones han sido
realizadas como es requerido. Los informes, como mnimo, deben contener la siguiente
informacin:
Nmero Tag.
Intervalo de test.
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
[4]
[5]
231
reactores, se opt por bypasear el reactor con una tubera temporal con el fin de mantener
la produccin y sacar de lnea el reactor para ser reparado.
No se consult a ningn ingeniero especializado en seguridad ni en proceso. El nico
diseo que se realiz sobre el cambio fue un plano dibujado con una tiza en el suelo del
taller. Una vez modificado el proceso se realiz un test de presin neumtico a 127 psig en
lugar de un test hidrulico y a una presin de 156 psig, como marcaba el lmite de la
vlvula de seguridad del proceso, por lo que se violaban los estndares y guas britnicas
del momento. La tubera funcion durante aproximadamente 2 meses hasta que hubo un
ligero incremento de presin (por debajo del punto de disparo de la vlvula de seguridad)
que caus flexin en la tubera de tal forma que fue suficiente para expulsar la tubera y
dejar las dos bridas de 28 pulgadas abiertas, produciendo una nube de gas que explosiono
con el resultado de 28 muertes y 36 heridos de gravedad, destruccin de la planta,
destruccin de edificios en un rea de 600 metros, rotura de cristales en un rea de 12
kilmetros y fuego en la planta durante 10 das que obstaculiz las labores de rescate.
Como principal leccin que podemos tomar es que todas las modificaciones deben
ser diseadas y revisadas por personal cualificado y que hay que seguir procedimientos
estrictos de gestin de cambios 1 para analizar el impacto de los cambios.
OSHA 29 CFR 1910.119 Process Safety Management of Highly Hazardous
Chemicals requiere establecer e implementar procedimientos escritos para gestionar los
cambios en procesos qumicos, en la tecnologa, equipos y procedimientos, y cambios en
las instalaciones que afecten al proceso.
ANSI/ISA 84.00.01 establece que los procedimientos de la gestin de
modificaciones deben estar realizados para poder iniciar, documentar, revisar, implementar
y aprobar los cambios en el sistema instrumentado de seguridad antes de realizar el
cambio.
IEC 61511 Parte 1 Clasula 17 establece los requerimientos para las modificaciones
del sistema instrumentado de seguridad.
En ambas normas y estndares no aplica a los cambios en especie replacement in
kind, es decir, por ejemplo, un instrumento por otro igual (misma tasa y modo de fallos) y
realizando la misma funcin.
7.10.1
El proceso.
El sistema de seguridad.
232
por un
7.10.2
233
A continuacin es importante realizar una evaluacin del cambio para asegurar que
el requisito de integridad de la seguridad ha sido evaluado y se mantiene y que personal de
las disciplinas afectadas ha sido incluido en el proceso de evaluacin.
Todo el personal afectado por el cambio ha de ser informado y formado antes de
implementar el cambio y ponerlo en lnea.
7.10.3
Documentacin
Motivo de la modificacin.
Todas las aprobaciones que se han reunido hasta la implementacin del cambio.
Aplicacin lgica.
IEC 61511 Functional Safety: Safety Instrumented Systems for the process industry sector, Parts 1-3,
IEC (International Electrotechnical Comission). 2003
[2]
ANSI/ISA S84.00.01-2004, Application of Safety Instrumented Systems for the Process Industries,
ISA-The Instrumentation, Systems, and Automation Society, 2004.
[3]
Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie.
2nd Edition. ISA 2006.
234
7.10.4
Decomisionado
235
Anexos
ANEXOS
8.1
Vista general del ciclo de vida de seguridad segn norma IEC 61511.
Fase o actividad del Ciclo de
Vida de Seguridad
Objetivos
Caja
nmero
1
Ttulo
Anlisis y
evaluacin de
riesgos.
Asignacin de
funciones de
seguridad a las
capas de
proteccin.
Asignacin de las
funciones de seguridad
para las capas de
proteccin y para cada
SIF, con el SIL
asociado.
Especificacin de
los requisitos de
seguridad del SIS.
Especificar los
requisitos para cada
SIS, en trminos de las
SIF requeridas y su
integridad de seguridad
asociada, a fin de lograr
la seguridad funcional
requerida.
Diseo e ingeniera
del SIS.
Instalacin,
comisionado y
validacin del SIS.
Operacin y
mantenimiento del
SIS.
Garantizar que la
seguridad funcional del
SIS se mantiene durante
la operacin y
mantenimiento.
Modificacin del
SIS
Hacer correcciones,
mejoras o adaptaciones
al SIS, asegurando que
el SIL objetivo se
alcanza y mantiene.
Requisitos
Clusula de
la norma
IEC 61511
8
del presente
trabajo 7.2
9
del presente
trabajo 7.3
10
del presente
trabajo 7.4
11 y 12.4
del presente
trabajo 7.5
12.3, 14 y
15
del presente
trabajo 7.8
16
del presente
trabajo 7.9
17
del presente
trabajo 7.10
236
Entradas
Salidas
Diseo de proceso,
planos de
distribucin,
objetivos de
seguridad.
Una descripcin de
las FIS (SIF)
requeridas y los
requisitos de
integridad de
seguridad asociados.
Descripcin de la asignacin
de los requisitos de seguridad
(ver clusula 9 de norma IEC
61511).
Descripcin de la
asignacin de los
requisitos de
seguridad (ver
clusula 9 de norma
IEC 61511).
requisitos de seguridad de
los SIS;
Requisitos de seguridad del
software.
Requisitos de
seguridad del SIS.
Requisitos de
seguridad de los
programas.
Funcionamiento completo
del SIS de acuerdo con los
resultados del diseo de SIS
resultado de las pruebas de
integracin del SIS.
Resultados de las actividades
de instalacin, comisionado
y validacin.
Requisitos de
seguridad del SIS
revisados.
Resultados de la modificacin
del SIS.
Anexos
10
Desmantelamiento
Garantizar la correcta
revisin, organizacin
del sector a desmantelar
y garantizar que las SIF
que permanecen son
apropiadas.
Verificacin del
SIS
Evaluacin de la
Seguridad
funcional del SIS.
18
del presente
trabajo
7.10.4
7 y 12.7
del presente
trabajo 6.2
5
del presente
trabajo 6.1
Requisitos de
seguridad e
informacin del
proceso de como
qued (as built).
Plan para la
verificacin del SIS
para cada fase.
Resultados de la verificacin
del SIS para cada fase.
Planificacin para la
evaluacin de la
seguridad funcional
del SIS.
Resultados de la evaluacin de
la seguridad funcional del SIS.
Requisitos de
seguridad del SIS.
237
Anexos
8.2
Descripcin:
El sistema de antorcha cumple las siguientes funciones:
Eliminacin segura de gases y lquidos procedentes del sistema de descarga,
descarga manual o descarga por presin excesiva en diferentes sistemas (columna
depropanizadora, columna deetanizadora, PP-Splitter, activacin EBDD 1, etc.).
Despresurizacin y vaciado de las instalaciones de proceso en caso de incidentes o
para fines de mantenimiento.
EBDD: sitema de Emergencia, Bloqueo, Drenaje y Despresurizacin que se activa de forma manual
para reducir riesgos en diferentes unidades de fraccionamiento de la planta.
238
Anexos
8.3
240
Anexos
8.4
241
Anexos
8.5
Anexo E: P&ID
ANEXO E: P&ID
242
Anexos
8.6
243
Anexos
8.7
244
Anexos
8.8
8.8.1 SIF N 1:
2oo3
HFT:
MTTR
8 horas
Intervalo de test
12 meses
Cobertura de test
100%
245
Anexos
[(
PFDavg = DU
) TI
2
]+ [3
DU
TI
TI
DD MTTR TI + DU + DF
2
2
] [ (
)]
STR = 6 S S + DD MTTR + S + DD + SF
PFDavg,s = 2.918E-06
SIL 3
HFT= 1
MTTFS,S = 34274 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,LS = 1E-05
SIL 3
HFT = 1
MTTFS,LS = 600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo:
NN
MTTR:
8 horas
Intervalo de test:
12 meses
.
La vlvula por su condicin fail safe retorna a su posicin de seguridad a falta de
energa por lo que el anlisis se centrar en la disponibilidad y fiabilidad de la electrovlvula.
La electrovlvula ASCO tipo 551 est certificada por EXIDA para aplicaciones hasta
SIL 3.
Del manual de seguridad funcional del equipo (I&M V9629 ASCO solenoid valves
used in safety instrumented systems) y del certificado emitido por EXIDA obtenemos los
siguientes resultados:
Clasificacin del equipo solenoide: TIPO A (Ver IEC61508 parte 2 seccin 7.4.3).
Basndonos en el anlisis (SFF entre 60 y 90%) el elemento alcanza SIL 3 con HFT=1
y SIL 2 con HFT=0.
246
Anexos
1oo1
HFT:
MTTR
8 horas
Intervalo de test
6 meses
Cobertura de test
100%
PFDavg = DU + DF
2
2
PFDavg,FE = 7,55E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,FE = 90 aos
247
Anexos
8.8.2 SIF N 2:
FIT is the abbreviation for Failure In Time. One FIT is 1E-09 failure per hour
1oo1
HFT:
MTTR
8 horas
Intervalo de test
12 meses
Cobertura de test
100%
248
Anexos
PFDavg = DU + DF
2
2
PFDavg,s = 5.52E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,S = 313 aos
Parte PLC de seguridad
El comportamiento de la seguridad funcional y los disparos en falso del PLC de
seguridad se puede cuantificar de la forma siguiente:
PFDavg,LS = 1E-05
SIL 3
HFT = 1
MTTFS,LS = 600 aos
El PLC de seguridad est certificado por TV para aplicaciones hasta SIL 3.
Equipo:
NN
MTTR:
8 horas
Intervalo de test:
Parte Elemento final
12 meses
PV64012
249
Anexos
1oo1
HFT:
MTTR
8 horas
Intervalo de test
6 meses
Cobertura de test
100%
PFDavg = DU + DF
2
2
PFDavg,FE = 7.6E-04
STR = S + DD + SF
SIL 3
HFT= 0
MTTFS,FE = 90 aos
Resultado para la funcin de seguridad SIF N2 con arquitectura 1oo1 en parte sensor y
1oo1 en parte elemento final:
1
STRSIF
PFDavg = 1.32E-03
RRF = 756
SIL 2
SIL
(PFDavg)
SIL
(Restricciones HFT
IEC61508)
RRF
1.32E-03
756
SIL 2
250
SIL 2
Anexos
251
Anexos
8.9
252
Anexos
253
Anexos
254
Anexos
255
Anexos
256
Anexos
257
Anexos
Responsabilidades.
258
Anexos
259