Documente Academic
Documente Profesional
Documente Cultură
Mostrar el ciclo de vida de la Seguridad Funcional y las actividades necesarias para la
implementación de los Sistemas Instrumentados de Seguridad (SIS) según los estándares
IEC 61508 e IEC 61511
Conocer conceptos básicos para la Especificación, Diseño, Evaluación y aplicación de los
Sistemas Instrumentados de Seguridad (SIS)
Técnicas cualitativas y cuantitativas de análisis de riesgo.
Determinación del SIL
A quienes está dedicado:
Este curso está dirigido a profesionales de las industrias de procesos tales como Gas y
Petróleo, Química y Petroquímica, Generación, Empresas de Ingeniería, tales como:
Operación
Ingeniería
Mantenimiento
Seguridad y medio ambiente
Raúl Rigoberto Roque Yujra
• Licenciado en Ingeniería Electrónica Mención Control, Universidad Mayor de San Andres 2002
• Diplomado en Instrumentación de Planta de Gas INEGAS, 2012
• Maestría en Automatización, Universidad de Ávila (España) 2013
• Functional Safety Engineer , TUV SUD 2015
• Facilitador de Cursos de Rockwell Automation en Sistemas ControlLogix en Bolivia 2007‐2008
• Supervisor de Mantenimiento en Medición de Gas Natural YPFB Transporte S.A.
• Supervisor de Mantenimiento de Sistemas de control y Seguridad YPFB Transporte S.A.
• Docente invitado UPB DICAPI desde 2014
• Docente invitado en INEGAS desde 2014
Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
INTRODUCCION
Piper Alpha 6 de julio de 1988
PSV504
PSV505
P504
De las bombas booster
de condensado
P505
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
PSV505
P504
De las bombas booster
de condensado
P505
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
Piper Alpha – Escalada de eventos
No había paredes protectoras contra incendios
El sistema automático de inundación no se activó ya que había sido apagado
Las tuberías de gas recién se desconectaron una hora después de que habían
estallado, lo que contribuyó a empeorar el incendio.
Permiso de Trabajo
Permiso de trabajo mal controlado. Se perdieron los formularios en los cuales se
informaba al personal del turno noche el mantenimiento que se estaba realizando.
Falta de aplicación del sistema de permiso de trabajo por parte de la gerencia (Falla
organizativa)
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
Piper Alpha – Causas
Capacitación en Seguridad
Capacitación inadecuada de la tripulación sobre procedimientos de emergencia
Capacitación inadecuada de la gerencia sobre liderazgo en una situación de
emergencia
Entrenamiento en emergencia inadecuado
Capacitación inadecuada sobre comunicación entre plataformas
Fallas Organizativas
Occidental Petroleum sabía que existía un riesgo grave de que las tuberías de gas
estallaran en caso de incendio. Se había recomendado a la gerencia la aplicación de
medidas de control de los riesgos. Occidental no actuó en base a esta información
La gerencia no cumplió las directivas de capacitación
No se aplicó el sistema de permiso de trabajo. Si se hubiera aplicado el sistema en la
forma adecuada, la explosión inicial no se habría producido jamás.
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
BP Texas City 23 de marzo de 2005
Incendio y explosión en la Refinería de Texas City
La tercera refinería más grande de los EE.UU.
El peor accidente en los EE.UU. Ocurrido en más de una década
15 muertos
180 heridos
Daños en casas ubicadas a más de tres cuartos de una milla (aprox. 1,2km) de la
refinería
Costo: $1,5 billones
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
BP Texas City – Secuencia de eventos
Re‐arranque de la torre de separación de refinado en la unidad de isomerización
(ISOM) de la refinería después del mantenimiento
Los operarios no cumplieron con los procedimientos de arranque adecuados.
Bombearon a la torre hidrocarburos líquidos inflamables durante más de tres
horas sin retirar nada de líquido
Las alarmas críticas y los indicadores proporcionaron indicaciones falsas. Los
operarios no recibieron ninguna alerta sobre los niveles altos de líquido en la
torre
La torre se llenó demasiado y el líquido se desbordó a la tubería aérea
La presión en la tubería aumentó
Se abrió la válvula de alivio de presión y se descargó una gran cantidad de
líquido en el tambor de purga con una chimenea de ventilación abierta a la
atmósfera
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
BP Texas City – Causas
BP Texas City – Causas
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
BP Texas City – Causas
Comunicaciones
La información crítica relacionada con el arranque no se comunicó
en el traspaso del turno.
BP no contaba con una política sobre los requerimientos de
comunicación en el traspaso de turnos de personal (falla
organizativa)
Procedimientos
Los procedimientos que eran inadecuados y no estaban
actualizados no consideraban los problemas operativos recurrentes
durante el encendido
En base a esto, los operarios creían que podían modificar los
procedimientos o que no era necesario cumplirlos (falla
organizativa)
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
BP Texas City – Causas
Resumen
Manejo de alarmas (Texas City)
Interfaces (Texas City)
Comunicaciones de seguridad crítica (Piper Alpha, Texas City)
Supervisión (Texas City)
Seguridad relacionada con el comportamiento (Texas City)
Procedimientos (Texas City)
Capacitación y Competencia (Piper Alpha)
Cambio organizativo (Texas City)
Niveles de dotación de personal y carga de trabajo (Texas City)
Gestión de fallas humanas (Piper Alpha)
Fatiga por el turno de trabajo y horas extra (Texas City)
Cultura organizativa/ Cultura de seguridad (Piper Alpha, Texas City)
Integración del Factor Humano en la evaluación de riesgos e investigaciones (Texas
City)
Factor Humano en el diseño (Texas City)
1. INTRODUCCIÓN
ANÁLISIS DE ACCIDENTES QUE IMPACTARON EN LA INDUSTRIA
¿ La seguridad es costosa?
¿Por qué deberíamos invertir en seguridad ?
Una capa de protección es un salvaguarda y esta destinada a reducir el riesgo.
Una capa de protección debe ser independiente y especifica para un peligro.
Debe ser auditable
1. INTRODUCCIÓN
SISTEMAS INSTRUMENTADOS DE SEGURIDAD
Análisis de Accidentes
La mayoría de los incidentes podrían haberse prevenido si se hubiera utilizado
durante todo el tiempo de vida del sistema un enfoque sistemático basado en
riesgo.
Los principios de la seguridad son completamente independientes de la
tecnología.
Muchas situaciones o eventos peligrosos se desconocen por no utilizar un
enfoque sistemático.
1. INTRODUCCIÓN
GESTION DE LA SEGURIDAD FUNCIONAL
Parte 7: Revisión de Técnicas y medidas
Parte 3: Fase de Realización
Parte 5: Riesgos basados en SIL para el software
Especificación de los
Identificación de Diseño y construcción del Operación y
requerimientos de
peligros sistema de seguridad Mantenimiento
seguridad
Modificaciones
1. INTRODUCCIÓN
ESTANDARES
Estándar IEC‐61511
La IEC‐61511 es la implementación de la parte 1 de IEC‐61508 al sector de la industria
de procesos lanzada en 2003.
Comprende 3 partes y son las siguientes:
Parte 1: Estructura, definición, sistemas y requerimientos de hardware y software.
Parte 2: Lineamientos de la aplicación de la Parte 1
Parte 3: Lineamientos para la determinación del nivel de integridad de la
seguridad (SIL)
1. INTRODUCCIÓN
ESTANDARES
Estándar IEC‐61511
La IEC‐61511 esta direccionado para el usuario final quien tiene la tarea de diseñar
y operar un SIS en un planta con peligros inherentes.
Claro está que sigue los requerimientos de la IEC‐61508 pero esta modificada para
adaptarse a la situación practica en una planta de proceso.
Sin embargo no cubre el diseño y fabricación de productos o equipamiento para su
uso en seguridad ya que estos permanecen cubiertos por la IEC‐61508.
En 2004 la ISA S84.01 adopta la IEC para su uso en Estados Unidos bajo el nombre
ANSI/ISA S84.00.01 (IEC‐61511 Mod).
Áreas de Aplicación
La IEC‐61511 aplica a Sistemas instrumentados de seguridad
Instrumentos E/E/EP o no.
Resolvedores Lógicos o controladores E/E/EP o no.
Elementos finales de actuación o actuadores E/E/EP o no
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
Modelo del Ciclo de vida de Seguridad y sus fases
Los fundamentos de todas las directrices de los procedimientos en los
sistemas instrumentados de seguridad SIS, es el ciclo de vida de la seguridad.
Ahora el modelo del ciclo de vida de la seguridad es una herramienta muy
utilizada en el desarrollo de sistema de control relacionados a la seguridad.
Conceptualmente representa la interacción de etapas desde:
La concepción
La especificación
Fabricación.
Instalación, comisionado, operación, mantenimiento
Modificación y eventualmente de‐comisionado o
desmantelamiento de la planta.
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
Modelo del Ciclo de vida de Seguridad y sus fases
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
1 Concepto
2 Definiciones de Alcance General
3 Analisis de Peligros y Riesgos
Requerimientos Generales de
4 Seguridad
Asignacion de Requerimientos
5 de Seguridad
Especificaciones de Requerimientos
9 de Seguridad del E/E/EP
Planificacion Planificacion Planificacion Otras medidas
general de general general de de Reduccion de
6 Opereacion y
7 Validacion de
8 Instalacion y
11 Riesgos y
Mantenimiento la Seguridad Comisionado Ciclo de Vida de Sistemas especificaciones
10 Relacionados a la Seguridad E/E/EP
Instalacion y Comisionado
12 General
13 Validacion General de Seguridad
Operacion, Mantenimiento y
14 Reparacion General
15 Modificaciones Generales
16 Decomisionado o Disposición
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
Un ciclo de vida nos ayuda en forma sistemática a:
Identificar las actividades que es necesario realizar.
Identificar la pericia y competencias requeridas para ejecutar las actividades.
Identificar los requerimientos de documentación.
Identificar la responsabilidad de cada departamento para cada actividad.
Todo ciclo de vida debe tener un responsable para su gerenciamiento, de tal
manera de:
Tener suficiente autoridad a nivel gerencial.
Ser responsable de coordinar los requerimientos y actividades del ciclo de
vida.
Delegar ciertas responsabilidades sin perder la coordinación total y seguridad
funcional a nivel global.
1. INTRODUCCIÓN
CONCEPTO DE CICLO DE VIDA
El concepto fundamental es que la seguridad funcional comienza con una buena
gestión es decir:
Documentación (IEC 61511 19.1)
Verificación, validación, evaluación y auditoria
Modificación (IEC 61511 17.1)
Competencia (IEC 61511 5.2.2.2)
1. INTRODUCCIÓN
DOCUMENTACION (IEC 61511 19.1)
Por el solo hecho de trabajar en un ciclo de vida se necesita entregar información
a las diferentes disciplinas de ingeniería y cada una de las fases.
El propósito de la documentación es:
Llevar a cabo el trabajo
Verificar el trabajo
Evaluar el trabajo
Auditar el trabajo
La documentación debe ser técnicamente correcta, ser precisa, fácil de entender,
ajustarse al propósito con el cual se la genera y estar disponible y de fácil
mantenimiento.
La documentación debe ser formalmente correcta: poseer titulo, autor, fecha ,
índice de revisión, sujeta a revisiones y aprobaciones y sobre todo debe ser
trazable con respecto a los requerimientos.
1. INTRODUCCIÓN
DOCUMENTACION
1. INTRODUCCIÓN
COMPETENCIA (IEC 61511 5.2.2.2)
Las personas, departamentos u organismos implicados en actividades del ciclo de
vida de seguridad deben ser competentes para realizar las actividades de las que son
responsables.
Como mínimo, se deberían tratar los aspectos siguientes cuando se considere la
competencia de las personas, departamentos, organismos u otras unidades
implicados en las actividades del ciclo de vida de seguridad
a) conocimientos de ingeniería, formación y experiencia apropiados para la
aplicación de proceso.
b) conocimientos de ingeniería, formación y experiencia apropiados para la
tecnología de la aplicación usada (por ejemplo, elictrica, electrónica o electrónica
programable).
c) conocimientos de ingeniería, formación y experiencia apropiados para los
sensores y elementos finales.
d) conocimientos de ingeniería de seguridad (por ejemplo, análisis de seguridad de
procesos).
e) conocimientos de los requisitos de las reglamentaciones legales y de seguridad;
f) gestión adecuada y habilidades de liderazgo adecuadas para su papel en las
actividades del ciclo de vida de seguridad.
1. INTRODUCCIÓN
COMPETENCIA (IEC 61511 5.2.2.2)
La competencia se mide por medio de:
Entrenamiento formal
Conocimiento, demostración de que el entrenamiento formal fue efectivo
Experiencia practica, demostración de que el conocimiento fue aplicado.
La competencia debe ser considerada en la áreas de:
La aplicación, las herramientas y las técnicas con las que se trabaja
La tecnología con la que se trabaja
Las leyes, regulaciones o normas y procedimientos que aplican al trabajo de
cada uno
1. INTRODUCCIÓN
VERIFICACION , VALIDACION , EVALUACION Y AUDITORIA
Definamos de manera sencilla cada uno de estos términos
Verificación: Comprobar que las cosas se hicieron bien
Validación: Comprobar que se hicieron las cosas que se debieron hacer
Evaluación (Assessment): Realiza juzgamiento y toma de decisiones sobre el SIS
Auditoria: Son evaluaciones periodica.s.
1. INTRODUCCIÓN
VERIFICACION (IEC 61511 7.1)
Objetivo: demostrar mediante revisión, análisis y/o pruebas que las salidas
requeridas, identificadas en el plan de verificación, satisfacen los requerimientos
definidos para la fase apropiada del ciclo de vida de seguridad
Requerimientos: el plan de verificación define las actividades a llevar a cabo:
Procedimientos, medidas y técnicas
Cuando se llevan a cabo
Personas, departamentos u organizaciones responsables, incluyendo
nivel de independencia
Identificación de los puntos a verificar
Identificación de la información contra la que se lleva la verificación
Como manejar las no conformidades
Herramientas de análisis
Documentación a generar como resultado
1. INTRODUCCIÓN
VALIDACION
La validación se basa en las actividades de verificación agregando pruebas
completas del sistema instrumentado de seguridad instalado de manera de
comprobar que todo funcione como debe.
Esto muestra que cada función de seguridad del sistema instrumentado de
seguridad, así como el sistema en sí cumplen con todos los requisitos
contenidos en la especificación de requisitos de seguridad SRS.
Mientras que la verificación se hace en todo el proyecto y se puede realizar
donde se esta haciendo el trabajo, la validación ocurre solo en sitio,
después de que se ha instalado y comisionado el sistema.
1. INTRODUCCIÓN
VALIDACION
Las pruebas de validación pueden incluir la confirmación de que:
El sistema funciona adecuadamente en todos los modos de operación
relevantes (puestas en marcha, parada, modo automático, modo semi
automático, etc.)
El SIS funciona satisfactoriamente bajo los modos de operación normal y
anormal como se definen en la especificación de requisitos de seguridad.
La interacción del sistema de control básico BPCS y otro sistemas conectados
no afecta o restringe la habilidad de respuesta del SIS.
Los sensores, resolvedores lógicos y elementos actuadores funcionan como
se requiere.
El SIS funciona adecuadamente con valores de proceso fuera de rango de
sensores por ejemplo.
El SIS funciona como está diseñado cuando ocurre perdida y restauración de
servicios tales como energía eléctrica, aire de instrumentos o sistemas
hidráulicos.
La validación requiere una planificación precisa para identificar y documentar
los procedimientos, medidas y pruebas que se usaran, así como el orden y
programa de las pruebas y las aptitudes requeridas del personal que las
realizará.
1. INTRODUCCIÓN
EVALUACION DE LA SEGURIDAD FUNCIONAL
Las etapas del ciclo de seguridad en las cuales se tienen que llevar a cabo las
actividades de evaluación de la seguridad funcional se deben identificar durante
la planificación de la seguridad.
Puede ser necesario introducir actividades adicionales de evaluación de la
seguridad conforme se identifican nuevos peligros, después de las
modificaciones y a intervalos periódicos durante el funcionamiento.
1. INTRODUCCIÓN
EVALUACION DE LA SEGURIDAD FUNCIONAL
Se debería dar consideración a la realización de actividades de evaluación de la
seguridad funcional en las etapas siguientes:
Etapa 1 ‐ Después de haber llevado a cabo la evaluación de peligros y riesgos,
de haber identificado las capas de protección requeridas y de haber realizado
la especificación de los requisitos de seguridad.
Etapa 2 ‐ Después de haber diseñado el sistema instrumentado de seguridad.
Etapa 3 ‐ Después de haber completado la instalación, recepción previa y
validación final del sistema instrumentado y de haber redactado los
procedimientos de operación y el mantenimiento.
Etapa 4 ‐ Después de adquirir experiencia en la operación y el mantenimiento
Etapa 5 ‐ Después de la modificación y antes de la retirada de servicio de un
sistema instrumentado de seguridad.
1. INTRODUCCIÓN
EVALUACION DE LA SEGURIDAD FUNCIONAL
1. INTRODUCCIÓN
EVALUACION DE LA SEGURIDAD FUNCIONAL
Es una investigación, basada en evidencia, para juzgar la seguridad funcional
alcanzada por uno, o más, sistemas E/E/PE relacionados con seguridad, otros
sistemas relacionados con seguridad que emplean otras tecnologías o facilidades
externas para la reducción del riesgo.
Esta es una actividad crítica que asegura que la seguridad funcional se ha
alcanzado satisfactoriamente.
Las personas que ejecutan la evaluación de la seguridad funcional deben ser
competentes, deben tener la adecuada independencia y deben considerar las
actividades que se llevan a cabo y los resultados obtenidos durante cada fase de
cada ciclo de vida y juzgan si se han cumplido los objetivos y requerimientos de
IEC 61508.
1. INTRODUCCIÓN
AUDITORIAS
Las auditorias son similares a las Evaluaciones
Se enfocan en la implementación general del SIS respecto del ciclo de vida,
que permite evaluar la efectividad de la implementación del SIS.
Es una evaluación realizada en forma periódica
Aplica a las fases del ciclo de vida más extensas, tal como operación,
mantenimiento y reparación
Los procedimientos de auditoria requieren:
Frecuencia de realización
Independencia entre las personas que desarrollan las tareas y las que hacen la
auditoria
Registro de resultados y seguimiento
Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
Riesgo y Análisis de Riesgo
Riesgo = 6 contusiones cada vez que se cambia de bateador
Que se puede hacer para reducir el riesgo?
En este caso particular podemos comunicar a Hugo que no se permite más de 2
lanzamientos por arriba del bate, caso contrario Hugo sería expulsado del juego
o no se le dejara jugar más.
Con esta medida hemos reducido el riesgo de que Ud. tenga contusiones a 2 por
cada vez que Hugo hace de lanzador.
Riesgo = 2 lanzamientos x Contusiones en el bateador
2. RIESGO Y ANALISIS DE RIESGO
INTRODUCCION A LOS RIESGOS Y PELIGROS
Identificando los Riegos
Un paso clave para mantener o mejorar la seguridad es identificar los riesgos
que la amenazan.
Tal como lo indica el diagrama, la identificación de los riesgos requiere que se
corresponda a ambas partes de la pregunta.
Cual es la probabilidad de que ocurra un evento severo y cuales son sus
consecuencias?
2. RIESGO Y ANALISIS DE RIESGO
RIESGO INHERENTE
Riesgo Inherente
La mayoría de las instalaciones de procesos tienen demasiados componentes de
equipo que cada uno contribuye a lo que se llama riesgo inherente, en otras
palabras, el riesgo que existe debido a la naturaleza del proceso incluyendo el
equipo y los materiales presentes.
Por ejemplo, los riesgos inherentes de viajas en un automóvil incluyen los
accidentes ocasionados por los errores del conductor, llantas pinchadas,
incendio del combustible, etc.
La evaluación de todo el proceso ayuda a determinar la probabilidad de que
ocurra un evento no deseado y la evaluación de los materiales como tipo y
cantidad ayuda a determinar las consecuencias del riesgo.
2. RIESGO Y ANALISIS DE RIESGO
RIESGO INHERENTE
Riesgo Inherente
Veamos el tanque presurizado que contiene
Al observar el proceso se hace evidente varios riesgos inherentes que podrían
conducir a una liberación de amoniaco:
Ruptura del tanque debido a un exceso de presión.
Fugas en las uniones de las tuberías, empaquetaduras de las válvulas.
Falla en los instrumentos de control de presión y válvulas de control.
2. RIESGO Y ANALISIS DE RIESGO
TIPOS DE RIESGOS
2. RIESGO Y ANALISIS DE RIESGO
EVALUACION DE RIESGOS
2. RIESGO Y ANALISIS DE RIESGO
RIESGOS DE ACCIDENTES INDUSTRIALES
Ahora, si esta industria química tiene una tasa de accidentes fatales FAR de 4, significa que
existe la posibilidad de tener 4 fatalidades por cada año de trabajo cumplido.
2. RIESGO Y ANALISIS DE RIESGO
REDUCCION DEL RIESGO I
En la tabla se muestra una escala de medida de la tasa de accidentes fatales FAR para algunas
actividades, esto permite hacer comparaciones entre las mismas. Por otro lado en otra columna se
dispone otra variable de medida que es la probabilidad de ocurrencia de un accidente fatal por
persona en un año para cada actividad [Ver A Healthier Mortality ISBN 0‐952 5072‐1‐8 y Realibilty
Maintainability and Risk, David Smith.].
Riesgo Individual de
Actividad FAR / 10e8 Muerte de persona
por año / 10e‐4
Viajes Aéreos 0 0,02
Viajes en tren 5 0,03
Viajes en Bus 4 2
Viajes en vehículo
particulares 60 2
Industria Química 4 0,5
Manufactura 8
Transporte 8 9
Agricultura 10 2
Agricultura 10
Boxeo 20000
Estadía en el hogar 4 1,4
Tiempo de vida 152 133
2. RIESGO Y ANALISIS DE RIESGO
REDUCCION DEL RIESGO I
Suponga una planta que tiene en promedio 5 personas en sitio todo el tiempo y que existe la
posibilidad de que 1 evento de explosión cause la muerte de 1 persona. Esta planta tiene una
FAR de 2. Con esta información vamos a calcular el periodo promedio mínimo entre explosiones
que puede ser considerado tolerable (nótese que se acepta en un concepto ALARP lo tolerable):
Entonces el periodo de cada explosión es la inversa de la tasa de la tasa de fatalidades por año:
Para resolver este problema debemos determinar la cantidad de horas al año que el personal
está expuesto, lo que significa:
Exposición por año = (3 operadores x 24 horas + 2 mantenedores x 8 horas) x 375 = 33000 h/año;
En esencia el concepto es de tener doble seguridad conocido en la lengua sajona como “belts
and braces” lo que involucra proporcionar protección frente a eventos peligrosos o en la
reducción de sus consecuencias.
Las capas de protección son definidas claramente en el Anexo C del estándar IEC‐61511‐
3Mod, la cual indica que consiste en una agrupación de equipos y controles administrativos
que funcionan en acuerdo con otras capas de protección para el control o mitigación del
riesgo en un proceso. Una capa de protección independiente IPL :
Las capas de protección pueden ser divididas en dos tipos principales: capas de prevención
y capas de mitigación.
2. RIESGO Y ANALISIS DE RIESGO
CAPAS DE PROTECCION
Capas de Prevención
Las capas de prevención tratan de detener la ocurrencia de un evento peligroso.
Algunas de estas capas de prevención son las siguientes:
Diseño de la Planta
En la medida de lo posible una planta debe ser diseñada inherentemente segura,
este es el primer paso para la seguridad, por otro lado puede utilizarse diseños con
sistema de baja presión, inventario reducido.
Sistema de control de proceso
El sistema de control juega un importante rol proporcionando una función de
seguridad que trata de mantener el proceso seguro dentro de ciertos límites, lo
anterior debe ser tomado con mucho cuidado pues como se mencionó
anteriormente el sistema de control es independiente del sistema de seguridad.
El hecho de aceptar de que el sistema de control proporcione seguridad deberá
evaluarse, considerando el riesgo del proceso operando de esa manera.
2. RIESGO Y ANALISIS DE RIESGO
CAPAS DE PROTECCION
Sistemas de Alarmas
Tienen una estrecha relación con los sistemas de parada segura, lo que no significa que tengan la misma
función como un sistema instrumentado de seguridad SIS.
En esencia las alarmas proporcionan visual y auditivamente las condiciones del proceso que están fuera de
rango considerando las condiciones operativas normales.
Tales condiciones requieren decisión o intervención por parte de operadores, lo que podría afectar la
seguridad tomando en cuenta las limitaciones del operador humano para actuar.
Alarmas de proceso: Se puede tratar de eficiencia del proceso o indicar los defectos en el equipo. Estas
alarmas son normalmente incorporadas dentro del sistema de control de proceso y comparten los
mismos sensores que el sistema de control.
Alarmas de equipos o maquinarias: Estas alarmas se utilizan para detectar mal funcionamiento de un
equipo o máquina, por lo general no afectan la operación del proceso.
Alarmas relacionadas a seguridad: Estas alarmas son utilizadas para alertar al operador de condiciones
potencialmente peligrosas. Tales alarmas deben tener normalmente alta prioridad y ellas involucran una
protección contra la mala operación del sistema de control de proceso el cual tiene dispositivos
independientes para su monitoreo.
2. RIESGO Y ANALISIS DE RIESGO
CAPAS DE PROTECCION
Capas de protección mecánicas o No SIS
Hay una cantidad grande de capas de protección para evitar un peligro que a menudo son
desempeñadas por dispositivos de seguridad mecánica tales como válvulas de alivio o
dispositivos de sobreflujo; estas son capas independientes de protección que juegas un rol
importante en muchos esquemas de protección.
Enclavamientos
Mecánica en Plantas
Efectos de liberación de presión: tanques fisurados, fugas de gas y líquidos,
tuberías cortadas, fuerzas internas, ondas de choque
Vibración
Maquinas rotativas, fuerzas excéntricas
Abrasión, corte y trituración
Falla en el control de maquinaria: cortadoras, prensas, bandas transportadoras,
moldeo por inyección, etc.
Soldadura por arco, gas y soplete.
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO
Materiales
Fogonazos y quemaduras
Electrocución durante mantenimiento de fuentes conmutadas
Fuego por
Explosión de cuadros eléctricos de control
Conexionado erróneo, mala conexión
Química y Petróleos
Explosión
Fuego
Liberaciones de materiales tóxicos
Fallas mecánicas
Química errónea, generación de sustancia erróneas por mal funcionamiento del proceso.
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO
Energía Nuclear
Contaminación radioactiva
Escape de materiales tóxicos
Pérdida de control
Energía en exceso, vapor , presión
Domestico
Calentadores de agua
Cocinas
Piscinas
Criminalidad
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO
Nuestro enfoque esta en los procesos de fabricación e industria de procesos, pero
el estudio de los peligros puede ser aplicado a un amplio rango de circunstancias.
Para nuestro tema de sistemas instrumentados de seguridad, necesitamos ver las
industrias donde los sistemas instrumentados de seguridad tienen base
establecida, ellas son las siguientes:
Fabricación química
Refinado de petróleo
Distribución de gas natural y estaciones de compresión
Generación de energía
Quemadores y hornos
Procesos de minería y metalúrgicos
Planta de fabricación y ensamblado, sistemas de protección de maquinaria
Control de trenes y sistemas de señalización
2. RIESGO Y ANALISIS DE RIESGO
TECNICAS DE IDENTIFICACION DEL PELIGRO
Existen muchas técnicas de identificación de peligros, algunos ejemplos e uso hoy
en día son los siguientes:
Check List o Lista de verificación
What if..
Análisis de eventos y modos de falla FMEA
Análisis por árbol de fallas FTA
Análisis de peligros operabilidad HAZOP
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO POR CHEK LIST
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO WHAT IF …
Desarrollada como una alternativa simple al HAZOP.
Usa lista de preguntas guía para identificar desviaciones.
Para cada caso se identifican consecuencias, causas y controles existente y se
discute si se requieren adicionales.
Se puede usar una matriz de riesgos para establecer un orden en el nivel de
riesgo residual.
Ventajas:
Los riesgos mayores aparecen rápidamente.
Se orienta a identificar desviaciones de sistemas.
Limitaciones:
Requiere preparación y experiencia del facilitador.
No es un método de gran nivel de detalle.
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO POR FMEA
Análisis de los efectos de diferentes modos de falla en los componentes
de un sistema.
Se basa en el listado detallado de los componentes con un listado lo más
detallado disponible de las fallas que pueden tener dichos componentes.
Se debe tener conocimiento de las funciones de cada componente o
etapa del proceso bajo análisis, así como sus consecuencias.
Información histórica de las fallas y las tasas de fallas.
Ventajas:
Aplicable a sistemas, procesos y equipos desde etapas tempranas
del diseño.
Identifica requerimientos de redundancias por seguridad.
Permite desarrollar programar de vigilancia y mantenimiento basado
en la criticidad.
Desventajas:
Identifica fallas aisladas, no combinadas.
Se complica en proporción a la mayor complejidad del objeto de
análisis.
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO POR FMEA
2. RIESGO Y ANALISIS DE RIESGO
IDENTIFICACION DEL PELIGRO POR FTA
Técnica multidisciplinar limitando el número de asistentes
Análisis independiente de cualquier factor económico
2. RIESGO Y ANALISIS DE RIESGO
OBJETIVOS DEL ANALISIS HAZOP
• Hornos
• Calderas
• Líneas y equipos relacionados a los mayores inventarios de productos
peligrosos
• Equipos sujetos a presurización excesiva
• Reactores de proceso
2. RIESGO Y ANALISIS DE RIESGO
DEFINICION DE CONSECUENCIAS A SER CONSIDERADAS
Alarmas
Sistemas de Parada
Lazos de control e instrumentacion
Procedimientos operacionales (???)
Válvulas de alivio (PSVs)
Medios alternativos de producción
2. RIESGO Y ANALISIS DE RIESGO
DOCUMENTACION REQUERIDA
Mediante la matriz de interacción se han identificado lo siguiente:
1. La presencia de gas en la aspiración del aire del horno puede producir la formación
de una atmósfera explosiva.
2. La presencia de aire en el aceite térmico puede favorecer la inflamación de materia
combustible, especialmente si está recalentado.
3. La temperatura normal de calentamiento del aceite está por encima de su punto de
inflamación, y un exceso de temperatura provoca la descomposición del aceite.
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
El diagrama de flujo de la instalación presentado en la figura anterior, con la aplicación
de las recomendaciones de la tabla quedaría modificado de la manera siguiente .
Se añade un actuador para bajo caudal de aceite (FSL) bloquea la entrada de
combustible en el horno (F‐1) y protege los tubos interiores de aceite del posible
aumento de temperatura.
Al mismo tiempo por su posición ( ubicado en la impulsión de las bombas ) protege
a éstas de trabajar al vacío y las bloquea en caso de falta de aceite desde la
refinería o por taponamiento de las tuberías.
El actuador FSL no interfiere en la función del actuador (PSL‐1) que por baja
presión en la impulsión de las bombas activa la bomba de reserva.
Se separa totalmente el sistema de regulación del horno del sistema protector para que
éste pueda bloquear la instalación en caso de fallo del primero. Las modificaciones de
la instrumentación del horno son:
Se añade una válvula de corte en la línea de combustible independiente de la válvula
de control y se permite el bloqueo de los quemadores independientemente del
bucle de control que lo protege de cualquier fallo de éste último.
Se modifica la localización del dispositivo de corte por baja presión del fuel gas,
localizándolo aguas debajo de la válvula de control del fuel gas con lo que se permite
aumentar el numero de hipótesis de fallo que queda protegido con este medidor.
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
Se añade un actuador para alta temperatura (TSH) a la salida de producto
independiente del TC‐1 ya existente, que protege al horno de un exceso de
combustible y de una falta significativa de aceite, y que bloquea la llegada del
combustible a los quemadores.
Se instala un sistema de comprobación del caudal a la entrada y salida que nos
permite detectar roturas de tubos en el interior del horno.
Instalamos un sistema que nos permite activar el corte del fuel gas en situaciones
de corte de la alimentación del aceite al horno.
Y por ultimo se instala un sistema de alarma de alta temperatura a la salida del
horno para evitar que se produzca el deterioro del aceite por sobrecalentamiento.
Estas modificaciones introducidas en el sistema de control y protección de la
instalación mejoran su seguridad. La mejora se dan por:
‐ La redundancia de señales de bloqueo de los quemadores del horno.
‐ El resultado de la separación de los dos sistemas. Así pues, el sistema protector
puede proteger la instalación de cualquier fallo que se produzca en cualquiera de los
elementos que integran el bucle de control (falta de señalización en los indicadores,
falta de señal en los transmisores, fallo en la apertura de las válvulas, etc. )
2. RIESGO Y ANALISIS DE RIESGO
EJEMPLO DE HAZOP
2. RIESGO Y ANALISIS DE RIESGO
REDUCCION DEL RIESGO II
En este punto daremos un vistazo a los modelos y explicaciones dadas para la reducción de riesgo
que se establecen en el estándar IEC.61508‐5 “Annex1:Risk Reduction and Safety Integrity ”
El estándar IEC61508‐5 explica que las capas de protección son efectivamente funciones
separadas de reducción de riesgo.
•Riesgo del EUC: indica el riesgo existente a un evento peligroso incluyendo el sistema de control
y los factores humanos.
•Riesgo Tolerable: Basado en lo que se considera aceptable a la sociedad por ejemplo
•Riesgo Residual: Es el riesgo remanente resultado posterior a la reducción de riesgos, en este
caso un sistema instrumentado de seguridad SIS u otra tecnología relacionada a la seguridad
puede ser tomado en cuenta.
2. RIESGO Y ANALISIS DE RIESGO
REDUCCION DEL RIESGO II
2. RIESGO Y ANALISIS DE RIESGO
TECNICAS DE REDUCCION DEL RIESGO
A esta altura conocemos ya los peligros de nuestro proceso, las
consecuencias de los mismos y la probabilidad o frecuencia en la que podría
ocurrir.
Necesitamos ahora responder las preguntas
El riesgo es tolerable?
Si no lo es…
En que medida necesitamos reducirlo?
Y si es necesario utilizar un Sistema instrumentado de seguridad.
Las técnicas de reducción de riesgos mas utilizadas son:
Matriz de riesgo
Grafico de Riesgo
FTA
ETA
LOPA
2. RIESGO Y ANALISIS DE RIESGO
MATRIZ DE RIESGO
Consecuencia Criterio cualitativo
Personal: Multiples fatalidades y daños criticos
Publico: Potencial para Multiples fatalidades y daños criticos
4 Ambiente: Alivio no confinado con impacto ambiental grande
Propiedad: Perdida de planta y produccion que excede 100MUSD
Personal: Potecial para daños serios o una sola fatalidades
Pupico: Potencial para daños serios y una fatalidad
3 Ambiente: Alivio no confinado con impacto ambiental mediano
Propiedad: Perdida de planta y produccion que excede 10MUSD
Personal: Severos daños que requieren cuidados médicos de emergencia
Publico: Potencial para daños severos y cuidados medicos de emergencia
2 Ambiente: Alivio no confinado con impacto ambiental pequeños
Propiedad: Perdida de planta y produccion que no supera 10MUSD
Personal: Requiere asistencia primaria
Publico: No existe impactos directos
1 Ambiente: Alivio confinado con impacto ambiental localozado
Propiedad: Perdida de planta y produccion que excede 1MUSD
2. RIESGO Y ANALISIS DE RIESGO
ESCALA DE FRECUENCIAS
Frecuencia Criterio cuantitativo
4 Mas de una vez cada 100 años
3 Entre una vez cada 100 años y una vez cada 1000 años
2 Entre una vez cada 1000años y una vez cada 10000años
1 Menor a una vez cada 10000 alos
2. RIESGO Y ANALISIS DE RIESGO
USO DE MATRIZ DE RIESGO CON HAZOP
3 2 2
Chequear el tiempo de respuesta del sensor de
Incremento de los LEL
componentes
Sensor de LEL
organicos volatiles que causa
Proporcionar Finales de carrera sobre la valvula
VOC en la corriente liberacion de la
de gas corriente de gas Proporcionar Alarm de bajo flujo
Valvula FVC‐001 abriendo la
Bajo Flujo abierta valvula.
parcialmente
Verificar los procedimientos
Potencial explosion
y el VOC es mayor a
Paneles de
Verificar si la valvula de alivio es la adecuada
LEL y el gas alcance alivio de sobre
el incinerador presion
2. RIESGO Y ANALISIS DE RIESGO
GRAFICO DE RIESGO
El grafico de riesgo considera posibles consecuencias y su evolución en caso de
existir ciertas capas de protección para determinar el nivel de reducción de riesgos
que se requerirá en una SIF, de acurdo con la frecuencia con que el evento peligroso
hubiera podido presentarse ante la ausencia de esta.
2. RIESGO Y ANALISIS DE RIESGO
ANALISIS DE CAPAS DE PROTECCION LOPA
2.3e‐2
7e‐1 Temperatura muy alta, presión controlada
4.83e‐3
Impacto sobre el producto y el equipamiento
3e‐1
9.4e‐1 Temperatura muy alta, presión muy alta
1.95e‐3
Impacto sobre equipamiento y alivio
3e‐1
6e‐2 Temperatura muy alta, presión muy alta
1.24e‐4
Explosión, fatalidades, daño al equipamiento,
daño al medio ambiente
2. RIESGO Y ANALISIS DE RIESGO
LOPA Y ETA CON REDUCCION DE RIESGO
Impacto sobre la calidad del producto
1.61e‐2
2.3e‐2
7e‐1 Temperatura muy alta, presión controlada
4.83e‐3
Impacto sobre el producto y el equipamiento
3e‐1
9.96e‐1 Parada del proceso alivio del producto
2.06e‐3
Alivio de presión via activación de válvula FO
3e‐1
9.4e‐1 Temperatura muy alta, presión muy alta
7.83e‐6
4e‐3 Impacto sobre equipamiento y alivio
6e‐2 Temperatura muy alta, presión muy alta
Explosión, fatalidades, daño al equipamiento, 5e‐7
daño al medio ambiente
2. RIESGO Y ANALISIS DE RIESGO
LOPA Y ETA
Impacto sobre la calidad del producto
1.61e‐2
2.3e‐2
7e‐1 Temperatura muy alta, presión controlada
4.83e‐3
Impacto sobre el producto y el equipamiento
3e‐1
9.96e‐1 Parada del proceso alivio del producto
2.06e‐3
Alivio de presión via activación de válvula FO
3e‐1
9.4e‐1 Temperatura muy alta, presión muy alta
7.83e‐6
4e‐3 Impacto sobre equipamiento y alivio
6e‐2 Temperatura muy alta, presión muy alta
Explosión, fatalidades, daño al equipamiento, 5e‐7
daño al medio ambiente
2. RIESGO Y ANALISIS DE RIESGO
HAZOP Y LOPA
2. RIESGO Y ANALISIS DE RIESGO
RESULTADOS DEL ANALISIS DE CAPAS DE PROTECCION LOPA
Ventajas
Modelo mas preciso comparado con el Grafico de Riesgos o la matriz de riesgos
Puede considerar una cantidad ilimitada de capas de protección disponibles.
Desventajas
Se incrementa las horas de trabajo
Permite jugar con los números dando por ejemplo mas o menos crédito a las
capas de protección.
Se debe prestar mucha atención a cual es realmente una IPL y cual no lo es.
Se debe prestar atención a las fallas de causa comun entre capas de protección.
Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Evaluación de los requerimientos del SIS
El ingeniero de instrumentación debe colaborar y apoyar al equipo de estudio de
peligros en tres temas claves, que son los siguientes:
Conocer las cualidades del SIS
Conocer que información se requiere para evaluar la factibilidad y el costo de una
posible solución basada en SIS para resolver el problema del riesgo.
Proporcionar una guía para el diseño del probable SIS incluyendo sensores y
actuadores.
Generalmente las alarmas y enclavamientos pueden ser considerados como parte del
sistema básico de control
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Evaluación de los requerimientos del SIS
Para evaluar la factibilidad del SIS el ingeniero de instrumentación requiere
información esencial sobre el SIS y la tecnología disponible.
Se sugiere la lista de verificación siguiente para tal efecto
Tabla resumen de Peligros
Árbol de fallas o lógica de eventos que llevan a un peligro
Frecuencia de riesgo del sistema sin protección
Frecuencia de riesgo tolerable
Capas de protección
Estado seguro del proceso
Acciones requeridas para el SIS de manera de llevar el proceso a un estado seguro
Tiempo seguro de proceso
Frecuencia tolerable de paradas inesperadas (spurious trips)
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Desarrollando especificaciones de los requerimientos de seguridad
Esta tarea es sencilla dado que tanto la IEC como ISA tienen los mismos contenidos
sobre las SRS muy claramente.
Muchas compañías requieren desarrollar su propio formato estándar de
especificación para la especificación de los requerimientos de seguridad.
Veremos partes de los componentes de las SRS mediante un check list que puede
ser utilizado para proporcionar un documento de especificación tipo proforma.
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Componente de una SRS
Generalmente conviene estructurar la SRS en tres principales componentes como se
muestra seguidamente
Entrada de información y requerimientos generales
Requerimientos funcionales
Requerimientos de Integridad de la seguridad
Sección de entrada de información
Esta sección debe
Proporcionar información sobre el proceso y las condiciones de operación del
mismo
Definir cualquier requerimiento regulatorio del país, ciudad, etc.
Notificar consideraciones sobre fallas de causa común
Listar todas las funciones de seguridad que se cubrirán en las SRS
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Requerimientos funcionales de la SRS
Esta sección debe definir para cada función
Los estados seguros del proceso
Las principales condiciones de entradas
La lógica
Las acciones de salida para llevar el proceso a un estado seguro
El tiempo de seguridad del proceso o velocidad de respuesta
Requerimientos de Integridad de la SRS
Esta sección debe definir los requerimientos de integridad para cada función
LA reducción de riesgo requerido y el SIL
La tasa de demanda esperada y el tipo de demanda (alta o baja demanda)
Disparo a Energizar o des‐energizar
Restricciones de disparo espurio
Estrategia de prueba de calidad
Condiciones ambientales
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Desarrollo de la SRS
El objetivo de las especificaciones de los requerimientos de seguridad es capturar
toda la información necesaria para el diseño futuro y continuo soporte de la función
de seguridad. Existen dos versiones de SRS que pueden ser creadas durante la etapa
de desarrollo, estas son
Requerimientos generales de seguridad
Requerimientos de seguridad del SIS
En el estándar IEC61508 define las especificaciones de requerimientos generales de
seguridad, este describe los requerimientos de reducción de riesgos generales de
seguridad incluyendo no‐SIS y funciones de protección externa. La fase de asignación
de seguridad asigna el trabajo de la reducción de riesgos a ambas capas de
protección tipo SIS y NO‐SIS para cada función de seguridad.
Los requerimientos de seguridad del SIS son definidos en la fase 9 sobre la base del
conocimiento de los requerimientos de todos los contribuyentes de reducción de
riesgo
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Fase de realización de los requerimientos funcionales
Para completar detalladamente la especificación de los requerimientos de seguridad se requiere
desarrollar información a ingeniería para satisfacer los requerimientos solicitados en el estándar.
A continuación se indica la lista de requerimientos para las ESR del SIS que son tomados del
estándar ISA S84.01 clausula 5.3 (Normativa anterior a la 2010)
Definir el estado seguro del proceso para cada evento
Entradas de proceso y puntos de disparo
Rango de operación normal
Salidas de proceso y acciones
Relaciones y funciones del resolvedor lógico
Disparo a des‐energizar o a energizar
Consideraciones de parada manual
Acciones en caso de pérdida de alimentación de energía al SIS
Tiempo de respuesta para cada falla
Interface HMI
Funciones de restablecimiento
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Lista de verificación para un ESR
Es posible finalmente establecer una lista de verificación o un formato para el documento de la
ERS, normalmente las compañías de ingeniería desarrollan modelos de ERS para utilizarlos en sus
proyectos.
Estos modelos llevaran secciones cabecera definiendo exactamente números y descripciones para
una función de seguridad en particular; entonces para cada una de ellas existirá un documento
completo. Luego en la sección general se listará cada función de seguridad cubierta por el
documento.
En la IEC 61508 parte 2, se encuentra una detallada descripción de los puntos dados en la lista de
verificación (checklist) para la especificación del SIS. Las mismas son utilizadas en la primera parte
de la fase 9 del ciclo de vida de la seguridad y se fundamentan en el párrafo 7.2.3 del mismo
estándar Secciones Generales
Título y tema de la ERS
Especificación de Nro / Fecha / Nro de Revision / Autor
P&Ids
Lista de las funciones de seguridad requeridas
Matriz causa y efecto
Diagramas logicos
Hojas de datos del proceso
Referencias del reporte de estudio de peligros
Información del proceso
Consideraciones de causas de falla común en el proceso
Requerimientos regulatorios internacionales, nacionales y locales que impacten al SIS
Especificaciones derivadas de la asignación de requerimientos de seguridad y de la
planificación de la seguridad
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Función Instrumentada de seguridad
Una función instrumentada de seguridad inicialmente debe disponer de un nivel
de integridad SIL especifico, el cual es necesario para mantener la seguridad
funcional y la cual puede ser una función de un sistema de protección
instrumentado de seguridad o una función en un sistema de control
instrumentado de seguridad.
Una Función instrumentada tiene cinco propiedades básica
Detección
Lógica
Actuación
Tiempo de ejecución
Nivel de integridad de la seguridad SIL
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Tipos de Función Instrumentada de seguridad
La norma IEC‐61511 establece la ruta para la selección de las funciones instrumentadas
de seguridad y las mismas.
Las funciones instrumentadas de seguridad son clasificadas en dos categorías de modo
continuo y las que operan bajo demanda
Modo Continuo
Cuando en el evento de una falla peligrosa en la función instrumentada de seguridad
exista precisamente en ese momento o posterior un evento peligroso y este puede
ocurrir sin necesidad que se presente un fallo a menos que se tomen medidas para
prevenirlo.
Modo de Demanda
Accion especifica la cual se toma en respuesta a las condiciones de proceso o de otras
demandas. En el caso de una falla peligrosa de la función instrumentada de seguridad
o de BPCS dado un peligro potencial del proceso.
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Los Sistemas instrumentados que opera en forma continua son evaluados
calculando la frecuencia con la que son utilizados y los sistemas que operan bajo
demanda son evaluados calculando la probabilidad de falla sobre demanda
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
Sub‐función 1: Perdida de fluido refrigerante
El proceso que alimenta al reactor debe detenerse automáticamente si se detecta perdida de
flujo de líquido refrigerante, esto se debe realizar por un resolvedor lógico que debe leer la señal
de flujo FT‐02, entonces mediante comparación verifica si es menor a un valor especificado
denominado FSL‐02. LA alimentación al proceso se cierra por medio de la válvula FV‐01, la misma
que es accionada liberando el aire de alimentación (o también aire de instrumentación).
Paralelamente se activan dos temporizadores T1 y T2. El tiempo de referencia para T1 es de 30
[seg] y activa paro a la bomba P1. Por otro lado el tiempo de referencia para T2 es de 2[min] y
una vez cumplido este tiempo se deberá abrir la válvula de venteo PV‐02 del reactor.
Sub‐función 2: Evento de alta presión
Si el interruptor de presión PSH‐02 detecta alta presión en el reactor, entonces la válvula de
venteo PV‐02 debe abrirse inmediatamente y la alimentación al proceso debe detenerse como la
sub‐función 2.
Sub‐función 3: Parada manual de emergencia o perdida de servicios
Las sub‐funciones 1 y 2 también pueden ser iniciadas de forma manual a solicitud del operador
por medio de la llave de parada de emergencia HS‐01. En el evento de perdida de aire de
instrumentación o perdida alimentación de aire deben dispararse las válvulas FV‐01 y PV‐02 y
deberán aliviar inmediatamente, además la bomba P1 también debe detenerse.
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
3. CONSIDERACIONES GENERALES PARA EL DISEÑO DE UN SIS
ESPECIFICACIONES DE LOS REQUERIMIENTOS DE LA SEGURIDAD
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Este tipo de tabla se conoce como matriz de riesgo y muchas compañías tienen
generada su propia versión para direccionar su gerenciamiento de riesgos con su
organización. Para escribir una escala numérica en la frecuencia y la consecuencia
cada peligro puede ser evaluado y ubicado dentro de la matriz con un valor de riesgo.
Consecuencia
Frecuencia Menor: 1 Significante: 3 Mayor: 6 Catastrofico: 10
Frecuente: 10 6 10 60 100
Probable: 8 8 24 48 80
Posible: 4 4 12 24 40
Improbable:2 2 9 12 20
Remoto: 1 1 3 6 10
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Ft 0.02
R 0.02
Fnp 1
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Modelo Básico de Reducción de Riesgo
Este tipo de diagrama es llamado modelo de reducción de riesgo y es un método
poderoso para mostrar en detalle la reducción de riesgo para cualquier aplicación.
Riesgo Sin proteccion Riesgo Residual
Reduccion de Reduccion de Reduccion de
Riesgo de la Riesgo de la Riesgo de la
Capa 1 Capa 2 Capa 3
Capas de proteccion
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
1 Ft 0.02
FRR R 0.02
R Fnp 1
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Ahora tenemos que revisar el caso de baja demanda versus alta demanda del SIS;
cuando el sistema es de baja demanda como una vez por año, la PFDavg sirve como
medida de reducción de riesgo que se puede esperar del sistema de seguridad.
En el caso de que la demanda sea alta es decir más de una vez por año o tipo
continuo , el estándar IEC recomienda utilizar el término de probabilidad de falla
peligrosa por hora conocido como tasa de falla peligrosa por hora.
Esta medida es aproximadamente lo mismo que la PFDavg cuando se toma como
periodo un año, pero es aplicado cuando hay un chance mínimo de hallar un falla
después de la siguiente demanda.
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Concepto de Nivel de integridad de Seguridad (SIL = Safety Integrity Level )
La respuesta:
TABLA SIL
DISEÑO DEL SISTEMA INSTRUMENTADO DE SEGURIDAD
Esencialmente la tabla SIL proporciona una clase de integridad de seguridad para satisfacer un
rango de valores de la probabilidad de falla en demanda promedio PFDavg. Por lo tanto el nivel
de desempeño del sistema instrumentado necesario para satisfacer el SIL es divido entre un
número muy pequeño de las categorías o niveles. El estándar IEC‐61508‐1 (pag 33) proporciona
la tabla en cuestión.
El presente ejemplo supone que la planta de proceso tiene un calentador piro tubular a gas de
un gran tamaño. Un estudio de peligros ha identificado que la cámara de combustión podría
explotar si existe acumulación de gas no quemado y aire posterior a la perdida de llama en el
mismo. Este evento podría ocurrir cuando no se corta el gas combustible una vez detectado la
perdida de llama.
La perdida de llama tiene como probabilidad que ocurra 2 veces al año y la probabilidad que
exista una explosión es 0,25 al año.
Por otro lado se desea que el riesgo se reduzca de tal modo que el evento no deseado sea
tolerable como 1 vez cada 5000 años.
Diseño de funciones instrumentadas de seguridad (SIF)
La especificacion de requisitos de seguridad forma la base de diseno de las funciones
instrumentadas de seguridad y permite al equipo de diseno traducir la funcionalidad
en documentos de diseno como, por ejemplo, una especificacion de diseno funcional.
Asi, la especificacion de diseno funcional debe contener todos los requisitos
funcionales y de integridad necesarios para el diseno del sistema instrumentado de
seguridad.
Es importante que la documentacion del diseno incluya lo siguiente:
• Requisitos de comportamiento del sistema al detectar un fallo [13.2];
• Tolerancia a fallos de hardware [13.3];
• Seleccion de componentes y de subsistemas [13.4];
• Dispositivos de campo [13.5];
• Interfaces del operario, de mantenimiento y de comunicacion con el sistema
instrumentado de seguridad (SIS) [13.6];
• Requisitos de diseno relativos al mantenimiento o a las pruebas [13.7];
• Probabilidad de fallo de las funciones instrumentadas de seguridad (SIF) [13.8];
• Software de aplicacion [13.9].
Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
4. Diseño de Hardware:
• Tipos de Falla segura y peligrosa
• Diseño seguro falla a des‐energiza y falla a Energizar
• Modo baja de manda y modo Alta demanda
• Fracion de falla segura (Safe Failure Fraction)
• Diagnósticos
• Proof Test
• FMEA
• Modelo de Markov
4. DISEÑO DE HARDWARE
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Tipos de fallas un sistema de seguridad
Existen tres categorías de fallas:
Falla aleatoria de hardware
Fallas de causa común de hardware
Fallas sistemáticas
Como ejemplo de una falla aleatoria de hardware podemos tomar el caso de una
válvula la cual ha estado operando por diez años y de repente falla y se queda
abierta, esta falla puede ocurrir en cualquier momento.
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Falla aleatoria de hardware
Como ejemplo de una falla aleatoria de hardware podemos tomar el caso de una
válvula la cual ha estado operando por diez años y de repente falla y se queda
abierta, esta falla puede ocurrir en cualquier momento.
Fallas de causa común de hardware
Una falla de causa común solo puede ocurrir cuando tenemos redundancia, en otras
palabras por ejemplo: dos válvulas conectadas en serie pero hay una falla que hace
que ambas válvula fallen al mismo tiempo. Sin embargo hay que tomar especial
atención cuando se habla de fallas de causa común siempre nos referimos al entorno,
de esta forma que la causa común pueda ser algo como una inundación, descarga
atmosférica, terremotos o humedad y son factores que hacen que todo el
equipamiento falle exactamente al mismo tiempo
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Fallas sistematicas
En cuestiones de seguridad la categoría mas importante es la de fallas sistemáticas, ya
que pueden aparecer en cualquier momento y en cualquier parte del ciclo de vida de
la seguridad y puede estar relacionada con el hardware o puede estar relacionada al
software, puede ser parte de la documentación, puede ser parte de un
procedimiento y finalmente es lo que la hace tan difícil de manejar, ya que con el fin
de poder evitar las fallas sistemáticas necesitamos tomar medidas para realmente no
cometer errores.
En otras palabras a fin de poder conseguir un sistema que sea 100% seguro
funcionalmente necesitamos estar seguros de que cuando diseñamos el sistema de
seguridad:
Tenemos el 100% de las fallas aleatorias, de las fallas de causa común y de
las fallas sistemáticas bajo de control
En realidad el tener un sistema que se 100% seguro funcionalmente hablando será el
esfuerzo que debemos hacer para que esas fallas estén bajo control.
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Modos de Falla de un sistema de seguridad
Ahora sabemos que los sistemas de seguridad pueden fallar, pero hay dos modos
de falla que son de particular importancia, entonces cuando un sistema de
seguridad falle sea por falla aleatoria de hardware o por falla de causa común o
por una falla sistemática esto pondrá al sistema de seguridad en uno de estos
modos de falla:
Falla segura
Falla peligrosa
El modo de falla peligroso es el más importante desde el punto de vista de las
normas, ya que si un sistema de seguridad no puede ejecutar la función de
seguridad ante una demanda, entonces significa que tiene una falla peligrosa. En
nuestra industria esto se expresa como el nivel de integridad de la seguridad
(Safety integrity level) o también nivel SIL.
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Modos de Falla peligroso
El modo de falla peligroso es el más importante desde el punto de vista de las
normas, ya que si un sistema de seguridad no puede ejecutar la función de
seguridad ante una demanda, entonces significa que tiene una falla peligrosa. En
nuestra industria esto se expresa como el nivel de integridad de la seguridad
(Safety integrity level) o también nivel SIL.
Modo de falla segura
Un sistema de seguridad falla en forma segura cuando ejecuta la función de
seguridad sin que haya una demanda real desde el proceso, es decir que el
proceso estaba produciendo sin problemas pero una falla interna del sistema de
seguridad provocó el disparo de la función de seguridad y detuvo el proceso. Claro
está que el usuario no desea tal situación, ya que cuando ocurra se pierde
producción. Un a falla segura se expresa como el nivel de disparo espurio STL
(Spurius Trip Level), que es un concepto introducido por Risknowlogy.
4. DISEÑO DE HARDWARE
TIPOS DE FALLA SEGURA Y PELIGROSA
Modos de Falla peligroso
El modo de falla peligroso es el más importante desde el punto de vista de las
normas, ya que si un sistema de seguridad no puede ejecutar la función de
seguridad ante una demanda, entonces significa que tiene una falla peligrosa. En
nuestra industria esto se expresa como el nivel de integridad de la seguridad
(Safety integrity level) o también nivel SIL.
Modo de falla segura
Un sistema de seguridad falla en forma segura cuando ejecuta la función de
seguridad sin que haya una demanda real desde el proceso, es decir que el
proceso estaba produciendo sin problemas pero una falla interna del sistema de
seguridad provocó el disparo de la función de seguridad y detuvo el proceso. Claro
está que el usuario no desea tal situación, ya que cuando ocurra se pierde
producción. Un a falla segura se expresa como el nivel de disparo espurio STL
(Spurius Trip Level), que es un concepto introducido por Risknowlogy.
4. DISEÑO DE HARDWARE
DISEÑO SEGURO DE FALLA A DESENERGIZAR Y FALLA A ENERGIZAR
Des‐energizar para disparar
Un sistema de seguridad tipo des‐energizar para disparar no necesita de energía para
ejecutar la función de seguridad y generalmente llamamos a este un diseño “falla
seguro”, es decir quitamos energía, cortamos la corriente eléctrica y la función de
seguridad se ejecuta inmediatamente.
PLC’s de seguridad
un actuador con retorno a resorte
relay de seguridad
Energizar para disparar
En cambio “energizar” para disparar es exactamente lo contrario en este caso
necesitamos energía para ejecutar la función de seguridad, por supuesto no es un
diseño “falla seguro” ya que es mucho más difícil garantizar la energía que removerla.
sistema de extinción (sprinkler)
sistema de fuego y gas,
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Funciones de seguridad de “baja demanda” o “alta demanda”
Es un concepto que existe en la norma IEC‐61508, una función de seguridad es de baja
demanda si esta ocurre menos de una vez por año y ocurre menos de dos veces en el
intervalo de pruebas periódicas.
Por otro lado una función es de ata demanda se esta demanda ocurre más de una vez
por año u ocurre más de dos veces en el intervalo entre las pruebas periódicas.
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Funciones de Modo continuo y modo demanda
El mismo concepto existe en la norma IEC‐61511 pero en esta se le llama de forma
diferente “modo demanda” y “modo continuo” que es de similar concepto pero en
esta última está mejor explicado.
En la IEC‐61511 se llama función de “modo demanda” a una función que cuando ella
misma falla no tiene un efecto inmediato en el proceso, lo que significa que el
proceso en si estará en peligro si la función de seguridad a fallado y aparece una
demanda, esto es muy importante de entender, es decir en tanto no ocurra una
demanda el proceso en si no está en peligro.
Por otro lado la función de “modo continuo” se comporta de manera muy diferente,
una falla del sistema de seguridad por si misma tiene un efecto inmediato en el
proceso, en otras palabras, el proceso está en peligro por la función de seguridad en
si ha fallado en forma peligrosa.
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Tomemos dos ejemplo:
Vamos a suponer que se dispone de una válvula de parada de emergencia de cierre
ESDV, la cual en condiciones normales de proceso, esta válvula esta abierta.
Si esta válvula falla quedándose abierta el proceso no estará en peligro porque esta
opera abierta, ahora el proceso estará en peligro cuando se quiera cerrar esta válvula
al existir una demanda o solicitud de parada de emergencia. Así que primero
necesitamos tener una demanda y recién entonces estaremos en peligro.
Con la función en “modo continuo” sucede todo lo contrario, suponga que se tiene
una válvula de control que necesitamos que este abierta en el arranque de la
secuencia exactamente en un 40%, ahora bien después de muchos arranques
seguramente esta válvula fallará quedando totalmente abierta esto afectará
inmediatamente al proceso por lo cual llamamos a esta función una función de “modo
continuo”
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Tiene que prestar atención a lo siguiente:
Se ha encontrado usuarios en la industria de procesos que solicitaban la compra
de un sistema de seguridad de alta demanda porque ello tenían demasiadas
demandas en el proceso, sin embargo esa no es la forma en que esto trabaja,
usted deberá analizar casa una de las demandas para conocer el motivo de cada
una de estas y verá que a menudo es un mal sistema de control es que causa esta
alta tasa de demandas.
Entonces no existe razón para la comprar de un sistema de alta demanda, lo que
debería hacer es analizar verificando sus procedimientos, manuales de operación y
tratar de resolver el problema. En la industria de procesos la mayor parde del
tiempo usted tendrá funciones de baja demanda.
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Probabilidad de Falla
Ahora bien, para cada función de seguridad necesitamos entender cuán a menudo
esta función falla, las normas IEC‐61508 y IEC‐61511 están particularmente
interesadas en la probabilidad de falla en demanda.
Probabilidad de falla en demanda PFD avg
La probabilidad de falla en demanda PFD es una medida de cúan a menudo la
función de seguridad no trabaja cuando tenemos una demanda desde el proceso y
este es un requerimiento de las normas.
Ahora los usuarios también están interesados en entender cuán a menudo la
función de seguridad se ejecuta sin que haya una demanda desde el proceso
porque esto dispara la función de seguridad y detiene la producción y esto se
expresa como la probabilidad de falla segura.
Este concepto no está en la norma, pero es un parámetro muy importante que
usted como diseñador deberá entender cuando construya sistemas de seguridad
para estos usuarios.
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Probabilidad de falla en demanda PFD avg
4. DISEÑO DE HARDWARE
MODO BAJA DEMANDA Y MODO ALTA DEMANDA
Probabilidad de falla en demanda PFD avg
Si nuestra función es de “modo demanda” o en términos de la IEC‐61508 un
sistema de “baja demanda”, entonces se calcula la probabilidad de falla en
demanda, cuanto mas bajo sea el nivel SIL mayor será la frecuencia con el
sistema de seguridad o la función de seguridad podrá fallar, de forma practica
entonces es mas difícil de control un sistema de SIL 4 que uno de SIL 1.
Por otro lado hablamos de operación en “modo continuo” o de “alta demanda”
según la IEC‐61508 y para este caso no se calcula la probabilidad de falla en
demanda por el contrario se calcula la probabilidad de falla por hora PFH y en la
tabla se puede ver la diferencia entre PFD y PFH donde verá un factor de relación
de 10000 entre cada uno de estos valores, esto se debe a que un año tiene 8760
horas.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Conceptos fundamentales de hardware
Vamos a considerar los siguientes conceptos de diseño:
Redundancia y diversidad
Votación y tolerancia a falla de hardware
Subsistemas tipo A y tipo B
Modos de falla
Falla detectadas o fallas reveladas
Fracción de falla segura
Restricciones de Arquitectura
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Redundancia y diversidad
Redundancia es el uso de medios idénticos para conseguir la misma (o parte de la
misma) función de seguridad.
Por ejemplo, usted puede tener una sección de detección redundante mientras que el
resto de la función puede ser simple.
La redundancia puede conseguirse de diferentes formas, usted puede hacer el
hardware redundante o puede hacer el software redundante, inclusive puede
proporcionar una solución diversa que sea redundante.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Redundancia y diversidad
Sin embargo hay que tomar especial atención a esto, ya que, sólo porque haya
implementado redundancia esto no significa que esto le ayude contra las fallas de
cauda común del hardware y con toda seguridad no le ayuda contra las fallas
sistemáticas.
Veamos algunos ejemplos:
Aquí ve usted dos sensores, dos válvulas , en ambos casos cada elemento cumple una
función que el otro dispositivo también lo hace, este es un ejemplo típico de
redundancia que ve en la industria.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Redundancia y diversidad
Junto con la redundancia siempre se aborda el concepto de diversidad, la cual se
define como el uso de diferentes medios para desempeñar la misma (o parte de la
misma) función de seguridad.
Podemos conseguir diversidad de diferentes formas, podemos hacerlo por diferentes
métodos físicos o por diferentes filosofías de diseño, pero nuevamente preste
atención en lo siguiente, por solo el hecho de haber implementado diversidad no
significa que hayamos resuelto todos los problemas. La diversidad es una medida
contra las fallas de causa común y una medida contra las fallas sistemáticas, pero no
le ayuda necesariamente control todas las fallas de causa común y sistemáticas
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Redundancia y diversidad
Ejemplo: Si diseña un sistema que necesita ser a prueba de agua y adquiere dos sensores de
diferentes fabricantes estos gozan de la capacidad de diversidad, sin embargo si estos no son a
prueba de agua entonces no resolvió el problema de fallas de causa común.
Vemos entonces dos sensores que son de diferente modelo desarrolladores por diferentes
fabricantes, también tenemos dos válvulas diferentes.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Redundancia y diversidad
Ahora veamos una solución de diseño con diversidad, se desea detectar el nivel de un
tanque de almacenamiento de hidrocarburos, ahora por un lado lo hacemos con un
medidor de nivel LIT‐1300 analógico tipo radar y por otro lado lo hacemos con un
switch de nivel LSHH‐3101, entonces tenemos soluciones distintas y se resuelve el
problema de falla de causa común y se dispone de la diversidad. Sin embargo si el
transmisor de nivel fue instalado y no dispone de aislamiento dieléctrico puede fallar,
el solo hecho de haber omitido el aislamiento dieléctrico sugerido por el fabricante
ocasiona una falla sistemática
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Votación
LA votación se define como el número de vías independientes “M” que se requieren
dentro del total de vías existentes “N” a fin de poder ejecutar la función de seguridad.
Se la expresa a menudo como votación MooN (M out of N) donde la “M” expresa la
votación y “N” la redundancia que tenemos para la función de seguridad. Por
ejemplo tenemos los siguientes casos:
1oo2
2oo2
2oo3
2oo4
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Votación
La votación en un concepto muy simple pero a veces se necesita poner atención a
cómo trabaja realmente, para ello veamos un ejemplo.
Se dispone de un sistema que cuenta en un tramo de tubería de dos válvulas en serie
y son falla cierre (FC) o normalmente abiertas tal como lo muestra en la figura.
Este arreglo muestra una configuración 1oo2, lo que significa que si cualquiera que
falle interrumpe el flujo y no está disponible el proceso. Debe tomar en cuenta que
en este caso se utiliza un diseño de falla seguro entonces la función de seguridad es
“ante una demanda cerrar el tramo y evitar el flujo de líquido”. El solenoide de cada
válvula debe estar energizado de esta manera si alguno falla entonces la válvula se
cierra y el proceso va a su modo seguro cerrando el tramo
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Votación
Ahora el mismo sistema pero con válvulas falla abre o normalmente cerradas, y
tienen una configuración 2oo2 lo que significa que tienen que falla 2 de las 2 para no
tener disponible el proceso. Este sistema es contrariamente al primero, ya que la
función de seguridad indica que cuando exista una demanda abrir el flujo. Si solo una
válvula se quedara cerrada la función de seguridad habrá fallado, en otras palabras
necesitamos las dos válvulas para abrir el flujo ante una demanda y ejecutar la
función de seguridad.
4. DISEÑO DE HARDWARE
Votación
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Tolerancia a Fallas de hardware HFT
Un sistema tiene una tolerancia a falla de hardware de valor “H” cuando “H+1” fallas
pueden causar la pérdida de la función de seguridad de ese sistema.
Esta HFT es fácil de calcula si usted saque la arquitectura de votación de su
subsistema. Entonces la HFT se define tomando en cuenta una votación MooN, como
la diferencia entre el número total de vías o caminos “N” menos la cantidad de vías o
caminos disponibles (M) para ejecutar la función de seguridad, matemáticamente
hablando se expresa como :
H = N – M;
Entonces la HFT de un subsistema con votación 2oo3 es:
H = 3 – 2 = 1 ;
Esto significa que desde el punto de vista de las fallas peligrosas, un sistema con
votación 2oo3 puede manejar hasta una falla peligrosa y cuando este tenga dos fallas
peligrosas el sistema de seguridad o el subsistema habrá fallado y no podrá ejecutar
su función de seguridad.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Tolerancia a Fallas de hardware HFT
Ejemplo Práctico:
Calcular la HFT para las siguientes arquitecturas de votación
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Subsistemas tipo A y tipo B
El concepto de sistemas tipo Ay B sólo existe en la norma IEC‐61508 en la misma se
hace una diferencia entre cada uno.
Los sistemas “Tipo A” son los que llamamos sistemas simples, ahora un sistema
simple se clasifica como “tipo A” si todos sus modos de falla están bien definidas.
Pero esto no es suficiente a demás necesitamos entender tres conceptos, el primero
sobre el comportamiento en falla para cada uno de estos modos de falla, es decir que
necesitamos entender como el sistema puede fallar , el segundo cuando éste falla
que sucede a continuación y finalmente que datos suficientes del sistema. Los
sistemas “tipo A” son todos aquellos componentes como válvulas, solenoides, relays
y actuadores.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Subsistemas tipo A y tipo B
Ahora vamos con las tres condiciones para definir sistemas “tipo B” .
Primeramente sabemos que los “tipo A” tienen un modo de fallas y es conocido, en
caso de que exista mas modos de fallas y sean desconocidos entonces le llamamos
sistemas “tipo B”.
Por otro lado la segunda condición es que si conocemos el modo de falla del sistema
pero no sabemos cómo este modo de falla se manifiesta dentro del sistema entonces
necesitamos considerarlo como sistema “tipo B”.
Tercera condición en que si no tenemos suficientes datos de tasas de fallas, también
necesitamos considerarlo como un sistema tipo “B”.
En la practica significa que si un sistema tiene internamente un circuito integrado o
software puede estar 99.99% seguro que se un sistema “tipo B”. Así que algo que tiene
dentro software en un circuito integrado es un sistema “tipo B” según la norma IEC‐
61508
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Modos de falla de un subsistema
Ahora bien, así como una función de seguridad puede fallar de dos formas segura y
peligrosa, que un subsistema falle en forma segura significa que el subsistema ejecuta
una función de seguridad sin que haya una demanda desde el proceso y en
consecuencia la función de seguridad produce el disparo de la misma llevando al
proceso a su modo seguro.
Por otro lado si un sistema puede fallas en forma segura también puede fallar en
forma peligrosa. El subsistema falla en forma peligrosa cuando no puede ejecutar la
función de seguridad ante una demanda.
La norma IEC‐61508 fue especialmente diseñada porque hoy en día tenemos
electrónica y electrónica programable por lo que para subsistemas tenemos además
de los modos de falla que analizar si una falla es detectable o no.
Se hace las preguntas siguientes ¿Podemos o no detectar esta falla del subsistemas?
¿Cuándo estamos en condiciones de hablar de detección?
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Falla detectadas o fallas reveladas
Una falla se dice que es detectable si el diagnostico interno logra descubrirla, en
otras palabras podemos decir que tenemos una falla detectada si ésta puede ser
descubierta por el diagnostico interno. Pero en la realizad o en la práctica podemos
descubrir fallas de diferentes maneras y a continuación se lista las tres formas
obvias en la industria de procesos
Por medio de la operación normal del proceso
Por medio de pruebas periódicas
• Por medio de pruebas de diagnostico
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Falla detectadas o fallas reveladas
Una falla se dice que es detectable si el diagnostico interno logra descubrirla, en
otras palabras podemos decir que tenemos una falla detectada si ésta puede ser
descubierta por el diagnostico interno. Pero en la realizad o en la práctica podemos
descubrir fallas de diferentes maneras y a continuación se lista las tres formas
obvias en la industria de procesos
Por medio de la operación normal del proceso
Por medio de pruebas periódicas
• Por medio de pruebas de diagnostico
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Detección de fallas por medio de operación normal del proceso
Esto significa que el comportamiento del proceso (en otras palabras la forma en
que la planta se comporta en si misma) nos revela de alguna forma que la falla ha
aparecido.
Por ejemplo el proceso se detiene debido a una falla segura por un transmisor de
presión, el cual mide la presión de un tanque, entonces este estaba midiendo bien
hasta que por si mismo dio una señal de muy alta presión e hizo detener el
proceso, claro está que es una falla segura revelada por medio del
comportamiento del proceso.
Otro ejemplo es que el tanque no se puede vaciar debido a una válvula de drenaje
que queda trabada en posición cerrada o es proceso batch o por lotes y cada
semana se debe vaciar el tanque, entonces el tanque no se puede evacuar porque
la válvula de drenaje quedo cerrada.
Sin embargo esta forma de descubrir fallas no es muy útil porque generalmente es
demasiado tarde ya que se desea saber acerca de este tipo de fallas antes de que
el proceso se detenga.
De esta manera descubrir fallas por medio del comportamiento del proceso es
posible pero no es la forma deseada en la industria
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Pruebas Periódicas
Una prueba es periódica cuando ésta no es automática o cuando su frecuencia es
muy baja.
Las pruebas periódicas son iniciadas en la mayoría de los casos por personal de
operación o de mantenimiento, generalmente no están incorporadas en el sistema de
seguridad, al no ser parte del sistema de seguridad para una prueba periódica se
requiere equipamiento adicional para ejecutar una prueba periódica.
Un aprueba periódica puede ser por ejemplo: el operador inicia una prueba de cierre
parcial (partial stroke) en una válvula.
Nota.‐ Para el ejemplo, por solo el hecho de que la prueba fue iniciada por el
operador esta prueba es periódica.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Pruebas de diagnostico
Una prueba de diagnóstico se define como una prueba que se ejecuta
automáticamente y debe ser ejecutada con mayor frecuencia y los resultados de esta
prueba deben ser utilizados para descubrir fallas que pudieran no permitir que se
ejecute la función de seguridad.
Por ejemplo, tenemos:
Prueba de memoria
Prueba de CPU
Prueba temporizador Watchdog
estas se ejecutan automáticamente con una frecuencia determinada para descubrir
fallas que pudieran no permitir la ejecución de una función de seguridad, es decir sus
resultados producen una acción automática.
Generalmente una prueba de diagnóstico suele estar incorporada o embebida en el
equipamiento
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
La frecuencia juega un rol muy importante en la definición de cuándo una prueba es
periódica o de diagnóstico.
Según la IEC‐61508, para que una prueba sea considerada “prueba de diagnóstico” la
frecuencia debe ser al menos un orden de magnitud (10 veces) menor que la
frecuencia esperada para la demanda.
Por ejemplo si la frecuencia esperada para la demanda es una vez por año y nosotros
actuamos automáticamente para probar una válvula una vez por mes esta prueba en
particular puede ser clasificada como una prueba de diagnostico
Al ser la demanda menor que una vez por año, entonces un orden de magnitud (en
este caso dividimos el año entre 10 que aproximadamente da como 1 mes) y porque
es automática esta es una prueba de diagnóstico.
Sin embargo la misma prueba automatizada ejecutada cada dos meses sería una
prueba periódica porque la frecuencia en muy baja.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Cualquier dispositivo que encontraremos en la industria tiene una cierta tasa de fallos
expresada muchas veces como “Tiempo medio para falla” MTTF, también expresado
a veces en unidades de falla en el tiempo FIT, por lo tanto se puede afirmar que cada
dispositivo tiene una tasa global de fallas como se muestra en la figura:
Tasa global de
fallas del Seguras Peligrosas
comonente o
dispositivo
Sin embargo, a nosotros no nos interesa solo en la tasa global de fallas, ya que
quisiéramos saber cuantas de estas fallas con seguras y cuantas son peligrosa
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Ahora bien, la norma IEC‐61508 se refiere a las fallas peligrosas no detectadas, como
a las que se tiene que poner todo el esfuerzo para reducirlas, es decir que las fallas
peligrosas no detectadas existan en menor cantidad posible.
Fallas
Fallas Seguras No
Prueba Periodica Falla segura no detectada SU Peligrosas No Detectadas
Detectadas
Seguro
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Fracción de falla segura
Se preguntaran por qué se hace este análisis acerca las fallas que sean detectables y
no detectables, pues bien la razón es que la norma hace referencia a un término muy
importante a nivel de hardware el cual se denomina Fracción de falla segura o SFF.
Este término es una medida de la efectividad del diseño falla seguro y/o del
autodiagnóstico.
Así que cada dispositivo tiene una fracción de falla segura SFF y esta nos dice algo
acerca de su diseño:
Diseño para Falla a modo seguro
Falla a modo seguro
Tiene un diseño con bastante diagnostico
y son características muy requeridas en los dispositivos relacionados con la seguridad
funcional.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Fracción de falla segura
Se debe hacer notar que La fracción de falla segura es un parámetro de diseño y no
un parámetro operativo, lo que significa que este parámetro debe ser utilizado en la
etapa de diseño de la función de seguridad aplicado al dispositivo. Una vez que la
función de seguridad ha sido implementada este parámetro no juega ningún rol.
La expresión matemática de definición de la fracción de falla segura es:
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Cuando se trata del usuario final, el mismo que tiene definido una determinada
función de seguridad y que esta debe alcanzar un nivel de integridad SIL‐3, entonces
es claro que la función debe ser al menos SIL‐3. Es necesario para este caso elegir
dispositivos que realmente alcanzar este nivel de integridad. Veamos la tabla muy
utilizada que hace referencia a la tolerancia a fallas de hardware HFT (hardware fail
tolerance) la cual relaciona la redundancia con la fracción de falla segura SFF de tal
manera de llegar a obtener un nivel de integridad de la seguridad SIL deseado.
TIPO A TIPO B
SFF HFT HFT
0 1 2 0 1 2
SFF<60 SIL 1 SIL 2 SIL 3 NA SIL 1 SIL 2
60≤ SFF<90 SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90≤ SFF<99 SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
99< SFF SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Si usted es un diseñador de productos y desea posicionar sus dispositivos en el
mercado, entonces necesita informarle qué valor tiene la fracción de falla segura SFF
de su dispositivo.
Suponiendo que desarrolla un relay de seguridad, este dispositivo por sus
características es un componente tipo A, si desea que este relay de seguridad pueda
alcanzar operar en un nivel SIL‐3, entonces necesita construir dicho equipamiento
siguiendo la tabla anterior con una 90%˃SFF˃99%.
Sin embargo un relay no tiene autodiagnóstico interno por lo que no dispone de valor
SFF, lo que quiere decir que la SFF<60% y para llegar a SIL‐3 con un relay, utilizando
nuevamente la tabla para un dispositvo tipo A cuyo SFF<60% requiere ser construido
bajo HFT=2; finalmente este relay debe ser construido de tal manera que
internamente disponga de una arquitectura de redundancia y votación de 1oo3 por
ejemplo. ΔΔ
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Desde el punto de vista del hardware, la tabla de restricciones de arquitectura, le
permite combinar dispositivos para obtener un mayor nivel SIL, cuando integra dos
dispositivos tipo B aptos para SIL‐2 con una SFF˃90%, ¿cuál sería el nivel SIL de este
nuevo subsistema? , ¿ es SIL‐3?
Resp. La tabla solo refleja las fallas aleatorias del hardware, tal como vimos
anteriormente una función de seguridad puede fallar también por fallas sistemáticas,
entonces al disponer de componentes tipo B, existe software embebido en su interior
y el software solo presenta fallas sistemáticas, lo que quiere decir es que so deseamos
desarrollar un subsistema mediante un arreglo que alcance el nivel SIL‐3 necesitamos
estar seguros de que el software y el hardware sean aptos para el nivel SIL‐3, dicho de
forma general, combinar dos dispositivos para obtener un nivel SIL más alto, solo sería
posible si el software fue también desarrollado con el nivel SIL mas alto; para nuestro
caso la respuesta es que no será posible bajo las condiciones indicadas el desarrollo de
un subsistema que alcance el nivel SIL‐3.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Así como sucede con la IEC‐61508, la norma IEC‐61511 Parte I clausula 11.4 también
tiene tablas 5 y 6 de restricciones de arquitectura, pero en la IEC‐61511 no se hace
diferencia entre componentes tipo A y tipo B, esta tiene dos tablas: para dispositivos
o subsistemas resolvedores lógicos basados en controladores electrónicos
programables y para otros subsistemas.
RESOLVEDORES LOGICOS EP OTROS SUBSISTEMAS
HFT MINIMA
SIL SIL HFT MINIMA
SFF<60 60≤ SFF<90 90≤ SFF
1 1 0 0 1 0
2 2 1 0 2 1
3 3 2 1 3 2
4 VER REQ. IEC 61508 4 VER REQ. IEC 61508
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Entonces, para poder alcanzar a un nivel SIL‐3 para el subsistema resolvedor lógico se
requiere mínimamente una arquitectura con HFT 1, la cual podría ser 1oo2 por
ejemplo, sin embargo la SFF del mismo debe ser mayor app 90%.
En la práctica este tipo arquitectura para resolvedores lógicos tipo PLC de seguridad
es alcanzable pues con los últimos avances de la electrónica y el software embebido
los fabricantes superan el valor de SFF mayor a 90%.
Para el caso de subsistemas diferentes a los resolvedores lógicos, tales como de
sensado utilizan la segunda tabla la misma que es mucho más sencilla de utilizar. Por
ejemplo si se requiere un subsistema de sensado SIL 3, entonces este debe tener una
HFT=2, lo cual puede ser cubierto con una arquitectura 1oo3 o 2oo4 por ejemplo.
4. DISEÑO DE HARDWARE
CONCEPTOS FUNDAMENTALES DE HARDWARE PARA SISTEMAS
INSTRUMENTADOS DE SEGURIDAD
Restricciones de Arquitectura
Como se puede ver el tema de restricciones de hardware mediante la IEC‐61511
implica mucha redundancia, sin embargo existen reglas para reducir la exigencia de la
HFT de manera de disponer subsistemas más reducidos tal como lo indica en la
cláusula 11.5.3 denominado Requerimientos para la selección de componentes y
subsistemas probados en uso. Es posible reducir la HFT en 1 nivel, si aplican al caso
las siguientes condiciones:
Que el mismo dispositivo sea seleccionado sobre la base del concepto “probado
en uso”
Cuando por medio de este dispositivo solo pueda ajustarse parámetros del
proceso.
Cuando este ajuste de parámetros de proceso esté protegido de alguna forma.
Cuando la función de seguridad a implementar requiera un nivel menor a SIL‐4.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Definiciones
Para facilitar la comprensión a continuación figura una lista abreviada de términos clave junto
con sus definiciones correspondientes. En muchos textos normales sobre el tema se pueden
encontrar definiciones de los términos y nomenclatura más completa.
Confiabilidad – Medida del grado hasta el cual un elemento se encuentra en estado
operativo y capaz de llevar a cabo la función para la que se ha diseñado en cualquier
momento (aleatorio) durante un perfil de misión especifico, dada la disponibilidad al
inicio de la misma.
Disponibilidad – Medida del grado hasta el cual un elemento se encuentra en estado
operativo y ofrece garantías al inicio de la misión, cuando se requiere dicha misión en
un estado desconocido.
Fallo – Evento, o estado inoperativo, en el que un elemento o parte del mismo no
funciona o no funcionaria tal y como se ha especificado anteriormente.
Fallo, aleatorio – Fallo cuya suceso es predecible únicamente en sentido probabilístico o
estadístico. Este principio se aplica a todas las distribuciones.
Fiabilidad – (1) Duración o probabilidad de rendimiento sin fallos bajo condiciones
determinadas. (2) Probabilidad de que un elemento pueda llevar a cabo la funcion para la que ha
sido diseñado durante un intervalo especifico y bajo condiciones determinadas.
En el caso de elementos no redundantes, seria el equivalente a la definicion (1). En el caso de
elementos redundantes, seria la definicion de Confiabilidad de la mision.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Mantenibilidad – Medida de la capacidad de un elemento de mantenerse o volver a la
condición especificada cuando el mantenimiento lo lleva a cabo personal con un nivel
de conocimientos especifico, mediante los procedimientos y los recursos prescritos y a
cada nivel de mantenimiento y reparación prescritos.
Mantenimiento, correctivo – Todas las acciones que se llevan a cabo como resultado
de un fallo, para que un elemento recupere la condición especificada. El
mantenimiento correctivo puede incluir todos o alguno de los pasos siguientes:
localización, aislamiento, desmontaje, intercambio, nuevo montaje, alineamiento y
verificación.
Mantenimiento, preventivo – Todas las acciones llevadas a cabo en un intento por
mantener un elemento en una condición especifica llevando a cabo procesos de
inspección sistemática, detección y prevención de fallos incipientes.
Mecanismo de fallo – Proceso físico, químico, eléctrico térmico o de otro tipo que
produce el fallo.
Modo de fallo – Consecuencia del mecanismo por medio del cual se produce el fallo;
es decir: cortocircuito, apertura, fractura, desgaste excesivo.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Tasa de fallo – Numero total de fallos en una población de elementos, dividido entre
el numero total de unidades de vida útil empleadas por dicha población durante un
intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio entre fallos (MTBF) – Medición básica de Confiabilidad en el caso de
elementos reparables: numero medio de unidades de vida útil durante las que todos
los componentes del elemento funcionan dentro de sus limites específicos, durante un
intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio hasta el fallo (MTTF) – Medida básica de Confiabilidad en el caso de
elementos no reparables: numero medio de unidades de vida útil durante las que
todos los componentes del elemento funcionan dentro de sus limites específicos,
durante un intervalo de medición en particular y bajo condiciones determinadas.
Tiempo medio hasta la reparación (MTTR) – Medida básica de mantenibilidad: suma
de los tiempos de mantenimiento correctivo a cualquier nivel de reparación especifico,
dividida entre el numero total de fallos de un elemento reparar
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Tasa de fallo
El objetivo de las mediciones cuantitativas de la Confiabilidad es definir la tasa de fallo
en relación al tiempo y modelar dicha tasa según una distribución matemática para
comprender los aspectos cuantitativos del fallo.
El bloque modular más básico es la tasa de fallo, que se calcula utilizando la siguiente
ecuación:
λ = F/T
Donde: λ = Tasa de fallo (a menudo se denomina tasa de peligro);
T = Número total de horas del dispositivo (tiempo de funcionamiento/ciclos/km/etc.)
durante un periodo de investigación, tanto para elementos que han fallado como para
los que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
Por ejemplo, si cinco motores eléctricos funcionan durante un tiempo colectivo total
de 50 años y se producen 5 fallos funcionales durante dicho periodo, la tasa de fallo es
de 0.1 al año.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Tiempo medio entre fallos MTBF y hasta el fallo MTTF.
La única diferencia entre el MTBF y el MTTF es que utilizamos el MTBF al referirnos a
elementos que se reparan cuando fallan.
En el caso de los elementos que simplemente se han desechado y sustituido,
utilizamos el MTTF y los cálculos son los mismos.
El cálculo básico para calcular el tiempo medio entre fallos (MTBF) y el tiempo medio
hasta el fallo (MTTF) es el valor reciproco de la función de la tasa de fallo. Se calcula
por medio de la siguiente ecuación.
θ = T/F
Donde: θ = Tiempo medio entre fallos/hasta el fallo;
T = Tiempo de funcionamiento total/ciclos/km/etc. durante un periodo de
investigación, tanto para elementos que han fallado como que no han fallado;
F = número total de fallos que ocurren durante el periodo de análisis.
El tiempo medio entre fallos (MTBF) en el ejemplo de un motor eléctrico industrial es
de10 años, lo que representa el valor reciproco de la tasa de fallo de los motores.
Casualmente, calcularíamos el tiempo medio entre fallos (MTBF) en el caso de
motores eléctricos que se hayan reconstruido después de un fallo.
En el caso de motores con dimensiones mas reducidas considerados desechables,
señalaríamos el tiempo medio hasta el fallo (MTTF).
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Curva de la bañera
La curva de la bañera pone de manifiesto conceptualmente las tres características
básicas de la tasa de fallo de una maquina: en disminución, constante, en aumento.
En la práctica, la mayoría de las maquinas permanecen en la fase inicial de la vida útil
o en las regiones de la curva de la bañera en las que la tasa de fallo es constante.
Raramente se ven mecanismos de fallo dependientes del tiempo, puesto que las
maquinas industriales típicas tienden a sustituirse (por completo o alguno de sus
componentes) antes de que se desgasten.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Curva de la bañera
No obstante, a pesar de las limitaciones en cuanto al modelado, la curva de la bañera
es una herramienta útil para explicar los conceptos básicos de Confiabilidad aplicada a
la ingeniería.
El cuerpo humano constituye un excelente ejemplo de un sistema que sigue la curva
de la bañera.
Las personas y las maquinas tienden a sufrir una tasa de fallo elevada (mortalidad)
durante sus primeros años de vida, pero dicha tasa disminuye a medida que aumenta
la e dad del niño (producto). Suponiendo que una persona sobreviva sus años de
adolescencia, la tasa de mortalidad se vuelve bastante constante y permanece así
hasta que las enfermedades dependientes de la edad (tiempo) empiezan a aumentar
la tasa de mortalidad (desgaste).
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
Los sistemas de control e instrumentación no solo han de cumplir con las
condiciones de operación, ellos también requieren cumplir con criterios de
confiabilidad tal como lo indica la ISO/TR 12489, lo cual no se logra por
casualidad (es decir suerte) más por el contrario requiere un diseño cuidadoso.
Es necesario tratar de algunos aspectos para el modelado de tal manera que sea
aplicable para el diseño de partes, equipamiento (compuesto de partes) y
sistemas (compuesto de equipamientos).
Se explica también algunos modelos adecuados para la predicción de la
probabilidad de falla PDF y la indisponibilidad.
Como estas cantidades describen el comportamiento futuro del componente,
entonces se expresan como probabilidades; y se debe abordar de forma corta
los aspectos de distribución probabilística y otras referidas a la confiabilidad de
piezas, unidades y sistemas.
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
4. DISEÑO DE HARDWARE
INTRODUCCION A LA CONFIABILIDAD
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Normal
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Normal
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Exponencial
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Exponencial
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Exponencial
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución Exponencial
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución de Weibull
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución de Weibull
4. DISEÑO DE HARDWARE
TEORIA DE LAS DISTRIBUCIONES
Distribución de Weibull
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Cálculo de la Confiabilidad del sistema
Una vez se ha establecido la Confiabilidad de los componentes o de las maquinas en
relación al contexto de funcionamiento y al tiempo necesario para la misión, los
ingenieros de la planta deben evaluar la Confiabilidad de un sistema o proceso. De
nuevo, con propósitos de brevedad y simplicidad, abordaremos los cálculos de
Confiabilidad en los sistemas en serie, en paralelo y redundantes de carga compartida
(M de N) (sistemas MooN).
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Sistemas En Serie
Antes de tratar el caso de los sistemas seriales, debemos abordar los diagramas de
bloques de fiabilidad (RBD). Un diagrama de bloques de fiabilidad sirve sencillamente
para esquematizar un proceso desde el principio hasta el final.
En el caso de un sistema serial, al subsistema 1 le sigue el subsistema 2, y así
sucesivamente. En el sistema serial, la capacidad para utilizar el subsistema 2 depende
del estado de funcionamiento del subsistema 1. Si el subsistema 1 no está en
funcionamiento, el sistema está inactivo, independientemente de la condición del
subsistema 2
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Sistemas En Serie
Para calcular la confiabilidad del sistema en el caso de un proceso serial, solo se debe
multiplicar la fiabilidad aproximada del subsistema 1 en un tiempo (t) por la fiabilidad
aproximada del subsistema 2 en un tiempo (t). La ecuación básica para calcular la
fiabilidad del sistema en el caso de un sistema serial sencillo es:
Rs(t) = R1(t) . R2(t) . R3(t)
Donde:
Rs(t) – confiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – confiabilidad del subsistema o de la subfunción durante un tiempo
determinado (t)
Asi, en el caso de un sistema sencillo con tres subsistemas o subfunciones, cada una de
ellas con una fiabilidad aproximada de 0.90 (90%) en un tiempo (t), la fiabilidad del
sistema se calcula del siguiente modo: 0.90 X 0.90 X 0.90 = 0.729, o alrededor del 73%.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Sistemas en paralelo
A menudo, los ingenieros encargados del diseño incorporan la redundancia en
maquinas fundamentales.
Los ingenieros encargados de la fiabilidad los denominan sistemas en paralelo.
Estos sistemas pueden diseñarse como sistemas en paralelo activos o como
sistemas en paralelo en espera.
En la Figura se muestra el diagrama de bloques de un sistema en paralelo sencillo de
dos componentes.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Sistemas en paralelo
Para calcular la fiabilidad de un sistema en paralelo activo, en el que ambas maquinas
están en funcionamiento, utilice la siguiente y sencilla ecuación:
Rs(t) = 1 – [ {1‐R1(t)} . {1‐R2(t)} ]
Donde:
Rs(t) – confiabilidad del sistema durante un tiempo determinado (t);
Rn(t) – confiabilidad del subsistema o de la subfuncion durante un tiempo
determinado (t).
El sistema en paralelo simple del ejemplo, con dos componentes en paralelo (cada uno
de ellos con una fiabilidad de 0.90) presenta una fiabilidad total del sistema de:
1 – (0.1 X 0.1) = 0.99.
De este modo, la fiabilidad del sistema ha aumentado en gran medida
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Periodo de prueba de calidad (Tp) y tiempo improductivo medio (MDT)
Si se produce un fallo, se presupone que en promedio ocurre en el punto intermedio
del intervalo de prueba.
En otras palabras, el fallo sigue sin detectarse durante el 50% delperiodo de prueba.
Tanto en el caso de fallos detectados como de no detectados, el tiempo improductivo
medio (MDT) depende del intervalo de prueba y del tiempo medio hasta la
reparación (MTTR).
El tiempo improductivo medio (MDT) se calcula, por lo tanto, a partir de:
MDT = intervalo de prueba/2 + MTTR
En el caso de fallos detectados, el tiempo improductivo medio se aproxima, por lo
tanto, al tiempo medio hasta la reparación, ya que el intervalo de prueba
(autoprueba) es por lo general corto en comparación con el tiempo medio hasta la
reparación (MTTR).
En el caso de fallos no detectados, el tiempo de reparación es corto en comparación
al intervalo de prueba, el periodo de prueba de calidad (Tp) y, por lo tanto, el tiempo
improductivo medio (MDT) de este tipo de fallos se aproxima a Tp/2.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Modelado de la tasa de fallo del sistema (λsys)
La tasa de fallo de un sistema redundante λsys, puede calcularse teniendo en cuenta
las diferentes formas en que puede producirse el fallo del sistema.
En un sistema 3oo4, se requiere el funcionamiento de 3 de los 4 canales para que el
sistema funcione; por lo tanto, cada dos fallos se produce un fallo del sistema.
CALCULO DE LA CONFIABILIDAD
Por tanto:
λ2 = λ.( λ.MDT)
No obstante, existen 12 permutaciones (el orden es importante) de dos fallos en un
sistema 3oo4: A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B y deben tenerse en
cuenta todas ellas. La tasa de fallo del sistema se convierte, por lo tanto, en
aproximadamente:
λSYS = 12.λ2.MDT
Para ser exactos, debemos incluir todas las permutaciones de 3 y 4 fallos
concurrentes, asi como fallos debidos a causas comunes, puesto que estos tambien
dan como resultado un fallo del sistema; no obstante, como aproximacion de primer
orden, pueden obviarse estos terminos de orden superior.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
CALCULO DE LA CONFIABILIDAD
CALCULO DE LA CONFIABILIDAD
CALCULO DE LA CONFIABILIDAD
Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda (PFD)
En la Tabla se presentan las formulas simplificadas de la probabilidad de fallo
peligroso/hora (PFH) y de la probabilidad de fallo a demanda (PFD) de configuraciones
comunes en el caso de fallos detectados, y en la Tabla 14 en el caso de fallos no
detectados.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Probabilidad de fallo peligroso/hora (PFH) y probabilidad de fallo a demanda (PFD)
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Consideración de fallos por causas comunes (CCF)
Los fallos por causas comunes son fallos que pueden producirse por una unica
causa, pero que afectan de forma simultanea a mas de un canal.
Pueden ser el resultado de un fallo sistemático, por ejemplo, un error de
especificación de diseño o una influencia externa como temperatura excesiva que
pudiera dar lugar a un fallo de componentes en los dos canales redundantes.
Es responsabilidad del diseñador del sistema adoptar las medidas necesarias para
minimizar la posibilidad de que se produzcan fallos por causas comunes empleando
las practicas de diseño adecuadas.
La contribución de fallos por causas comunes en rutas redundantes en paralelo se
contabiliza mediante la inclusión de un factor β. La tasa de fallos por causas
comunes que se incluye en el calculo es igual a β x la tasa de fallo total de una de
las rutas redundantes.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Consideración de fallos por causas comunes (CCF)
Las siguientes representan restricciones típicas que deben tenerse en cuenta para
calcular la contribución de los fallos por causas comunes (CCF):
Los canales redundantes están separados físicamente;
Tecnologías diversas; por ejemplo, un canal electrónico y un canal basado en
rele;
El sistema por escrito de trabajo en las instalaciones debe garantizar que los
fallos se investiguen;
Los procedimientos de mantenimiento por escrito deben evitar modificar el
tendido de tramos de cable;
El acceso del personal es limitado;
El entorno de funcionamiento esta controlado y el equipo ha sido clasificado
respecto al rango medioambiental completo.
4. DISEÑO DE HARDWARE
CALCULO DE LA CONFIABILIDAD
Fundamentos de Sistemas Instrumentados
de Seguridad y Seguridad Funcional
Fases del ciclo de vida
La Figura muestra la fase del ciclo de vida aplicable.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación de Fabrica FAT
En esta etapa el sistema instrumentado de seguridad y toda la lógica de control
debe ser completamente probado antes de ser enviado por el proveedor a la
planta final.
Todos los responsables involucrado en la implementación y verificación del
sistema bajo prueba deben participar en las pruebas FAT.
Estas pruebas son completadas en el lugar de fabricación previo al envio al
usuario final.
En el apartado 13.1.1 de la IEC‐61511 define los objetivos de la realización de las
pruebas FAT com el test o verificación del sistema lógico junto con el software
asociado de manera de asegurar que satisface los requerimientos definidos en la
ESR, antes de ser instalado en la planta, de tal forma que posibles errores puedan
ser encontrado y corregidos.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Participante en las Pruebas de aceptación de Fabrica FAT
El numero de participantes depende de la complejidad y tamaño del sistema, sin
embargo en general participará todo el personal involucrado en la construcción y
verificación del sistema a probar, debiéndose definir las responsabilidades de
cada participante en las pruebas. Como mínimo es recomendable
Un representante de la compañía integradora del SIS, responsable del diseño y
programación del sistema lógico tanto en hardware como en software
incluyendo las interfaces con otros sistemas.
Un representante de la compañía constructora del proyecto que normalmente
es el ingeniero en instrumentación y control encargado del diseño del SIS. Este
será quien aprobará junto con el ingeniero de proceso los procedimientos de las
pruebas FAT redactados por las empresas suministradoras del sistema.
El usuario final como personal de operación y mantenimiento.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación de Fabrica FAT
Se debe realizar pruebas de
Todo el hardware del sistema lógico, módulos de entradas y salidas, terminales,
cableado interno, procesadores lógicos, módulos de comunicaciones,
redundancia del sistemas, interfaz con el operador.
Auto switchover, bypass y redundancia
Software y programa lógico
Las pruebas deben estar basados en procedimientos documentados aprobados por
el suministrados del equipo o sistemas por el usuario final.
Inspección visual del sistema
Inyección de señales digitales, 4‐20mA, pulsos, termopares y RTD y observar la
respuesta del sistema.
Forzar valores de salidas analógicos o digitales
Crear diferentes escenarios de fallos para ver la respuesta de los backups del
sistema como redundancia de buses de comunicación, tarjetas de
entradas/salidas, controladores redundantes , etc.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación de Fabrica FAT
La Figura muestra la fase del ciclo de vida aplicable.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Instalación de funciones instrumentadas de seguridad (SIF)
Los requisitos de instalación deben definirse en el plan de instalación y puesta en
servicio o integrarse en el plan general del proyecto.
Los procedimientos de instalación deben definir las actividades que deben llevarse
a cabo, las técnicas y las medidas que se vayan a utilizar, las personas,
departamentos u organizaciones responsables y la temporización de las actividades
de instalación.
Puesta en servicio de funciones instrumentadas de seguridad (SIF)
El sistema instrumentado de seguridad debe ponerse en servicio de conformidad
con la planificación y con los procedimientos.
Deben facilitarse registros con los resultados de las pruebas e indicando si se han
cumplido los criterios de aceptación definidos durante la fase de diseño.
Los fallos deben ser objeto de investigación y registro.
En caso de que se establezca que la instalación actual no cumple con la información
de diseño, debe investigarse la divergencia y determinarse el impacto sobre la
seguridad.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Validación de funciones instrumentadas de seguridad (SIF)
Los procedimientos de validación deben incluir todos los modos de operación del
proceso y del equipo asociado y deben incluir:
• puesta en marcha, funcionamiento normal, cierre;
• funcionamiento manual o automático;
• modos de mantenimiento, omisión de bypass;
• temporización;
• roles y responsabilidades;
• procedimientos de calibración.
Además, la validación del software de aplicación debe incluir:
• identificación del software de cada modo de operacion;
• procedimiento de validación que se vaya a usar;
• herramientas y equipo que se vayan a usar;
• criterios de aceptación.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación en Sitio SAT
Una ve el SIS esté instalado se debe realizar una validación del sistema denominada
SAT.
Cualquier cambio o modificación que se realice en algún equipo especifico del SIS
durante la instalación, comisionado o SAT requiere volver a realizar el estudio de
seguridad correspondiente y debe esta debidamente documentado y consensuado.
La instalación del sistema incluye todos los elementos hadware relacionado con el SIS
como sensores, elementos finales de control, cableado, cajas de conexiones, tableros
de instrumentación, PLC de seguridad, interfaces con el operador, sistemas de alarma,
etc.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación en Sitio SAT
El chequeo de la instalación se puede separar en dos diferentes fases
Comprobación del dispositivo y cableado de campo.
Comprobación funcional de los equipos y dispositivos.
Con el propósito final de confirmar que:
Las fuentes de energía están operativas
Los equipos y cableado han sido adecuadamente instalados
Los instrumentos han sido adecuadamente calibrados
Los dispositivos de campo están operativos
El PLC de seguridad y los módulos están operativos.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de aceptación en Sitio SAT
Normalmente cuando un sistema completo se esta probando, es necesario realizar y
seguir procedimientos detallados de pruebas por lo que habitualmente precisaremos
de la siguiente documentación como apoyo a la validación del SIS
Procedimiento de validación
Copia de las ESR
Listado de la programación del PLC de seguridad
Diagrama de bloques del sistema
Lista completa de entradas/salidas
Diagramas P&Ids
Hojas tecnicas de los equipos
Diagrama de lazo
Configuracion del BPCS
Diagramas de conexión en casa y tableros así como de terminales de todo el
cableado
Diagrama del sistema neumático
Manuales de operación y mantenimiento de los instrumentos
Manuales de seguridad de los subsistemas relacionados a la seguridad.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Validación de funciones instrumentadas de seguridad (SIF)
La validación debe garantizar que el sistema instrumentado de seguridad funcione
en todos los modos de servicio y que no se vea afectado por la interacción del
sistema básico de control de proceso (BPCS) y otros sistemas conectados.
La validación de rendimiento debe garantizar que todos los canales redundantes
funcionen, así como las funciones de omisión, las anulaciones de puesta en marcha
y los sistemas de cierre manual.
Debe llegarse al estado definido, o seguro, en caso de perdida de energía, p. ej.,
energía eléctrica o hidráulica o aire de instrumentación.
Las funciones de alarma de diagnostico definidas en la especificación de requisitos
de seguridad deben funcionar y ofrecer un rendimiento tal y como se especifica en
variables de proceso no validas, p. ej., entradas fuera de rango.
Después de la validación deben facilitarse registros apropiados y se deben
identificar el elemento de prueba, el equipo de prueba, los documentos de prueba
y los resultados de prueba además de cualquier discrepancia y análisis o
solicitudes de cambio que surjan al respecto.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Operación y mantenimiento
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Operación y mantenimiento
Los objetivos de esta fase tal y como se define en IEC 61511‐1, 16.1 son:
• Garantizar que el nivel de integridad de seguridad requerido de cada función
instrumentada de seguridad se mantenga durante el funcionamiento y el
mantenimiento [16.2];
• Utilizar y efectuar el mantenimiento del sistema instrumentado de seguridad,
de tal manera que se mantenga la seguridad funcional diseñada [16.3].
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Operacion y mantenimiento de funciones instrumentadas de seguridad (SIF)
Los requisitos para el O&M deben definirse en el plan de O&M o integrarse en el
plan general del proyecto.
Los procedimientos de O&M deben definir las operaciones rutinarias que han de
llevarse a cabo para mantener la seguridad funcional del sistema instrumentado de
seguridad.
Estas operaciones deben incluir requisitos para:
pruebas de calidad;
Omitir(bypass) una función instrumentada de seguridad para prueba o reparación;
recogida rutinaria de datos: p. ej., resultados de auditorias y pruebas del sistema
instrumentado de seguridad, registros de demandas de funciones instrumentadas
de seguridad, tiempos improductivos por fallos, reparaciones y pruebas de
calidad.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Operación y mantenimiento de funciones instrumentadas de seguridad (SIF)
Deben desarrollarse procedimientos de pruebas de calidad, de tal manera que cada
función instrumentada de seguridad se ponga a prueba a fin de sacar a la luz fallos
peligrosos que no sean detectados mediante diagnósticos.
Se requieren procedimientos de mantenimiento para el diagnostico y la reparación
de fallos, y la revalidación del sistema tras una reparación, acciones que deben
tomarse tras discrepancias entre el comportamiento esperado y el comportamiento
real, la calibración y el mantenimiento del equipo de prueba y la generación de
informes de mantenimiento.
Se requieren procedimientos de generación de informes para informar sobre fallos,
analizar fallos sistemáticos y por causas comunes, y para dar seguimiento al
rendimiento del mantenimiento.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Formación para O&M
La formación del personal de F y M se debe planificar y realizar oportunamente, de
manera que se pueda llevar a cabo el funcionamiento y el mantenimiento del sistema
instrumentado de seguridad de acuerdo con la especificación de requisitos de
seguridad (SRS).
La formación debe incluir:
peligros
puntos de disparo
acciones ejecutivas
funcionamiento de todos los bypasses y cualquier restricción sobre su uso;
operaciones manuales, p. ej., puesta en marcha, cierre y cualquier restricción
relativa a su uso;
funcionamiento de alarmas y diagnósticos disponibles.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Pruebas de calidad
Los procedimientos de pruebas de calidad deben poner a prueba las funciones
instrumentadas de seguridad (SIF) completas, desde el elemento de deteccion hasta el
dispositivo final accionado.
El intervalo de prueba de calidad debe ser el mismo que se utilice en la
cuantificación de la probabilidad de fallo a demanda (PFD).
Se acepta probar distintos elementos de las funciones instrumentadas de seguridad
(SIF) a intervalos diferentes siempre y cuando:
La probabilidad de fallo a demanda (PFD) calculada siga siendo aceptable;
Haya cierta superposición en la prueba para que ninguna parte de las funciones
instrumentadas de seguridad se quede sin ser sometida a prueba.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Modificación y desmantelamiento
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Modificación y desmantelamiento
Los objetivos de esta fase tal y como se define en IEC 61511‐1 son garantizar que:
Toda modificación relativa a cualquier función instrumentada de seguridad (SIF) se
planifique, revise y apruebe convenientemente antes de implementar el cambio.
La integridad de seguridad requerida se mantenga después de cualquier cambio que
se haya llevado a cabo.
Antes de proceder al desmantelamiento, se efectué una revisión apropiada y se
consiga autorización para asegurarse de que la integridad de seguridad quede
garantizada durante el desmantelamiento.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Modificación de funciones instrumentadas de seguridad (SIF)
Antes de proceder a cualquier modificación, deben existir procedimientos para la
autorización y el control de los cambios.
Esto se gestiona generalmente con una nota de solicitud de cambio (CRN), que
normalmente forma parte de un sistema de gestión de calidad (QMS).
Cualquier solicitud de cambio debe describir el cambio requerido y las razones para
la solicitud.
Esto lo puede proponer el personal de O& como resultado de incidentes durante el
funcionamiento o el mantenimiento.
El proceso de aprobación habitual de solicitudes de cambio debe englobar a
distintos departamentos dentro de una organización para determinar el impacto del
cambio relativo al diseño, la base instalada y la implementación requerida.
Una vez que una organización esta involucrada en la seguridad funcional, cualquier
solicitud de cambio debe además ser revisada por una persona competente, p. ej. La
autoridad de seguridad (HSA), para determinar si el cambio puede afectar la
seguridad y, en tal caso, se requiere un análisis de impacto adecuado.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Análisis de impacto
Los resultados del análisis pueden requerir una nueva inspección de las primeras
partes del ciclo de vida y, por ejemplo, puede ser necesario revisar los peligros
identificados y las evaluaciones de riesgos.
Las actividades de modificación no pueden empezar sino hasta que este proceso
haya sido completado y la autoridad de seguridad haya autorizado el cambio.
El impacto de los cambios relativos a las funciones instrumentadas de seguridad
puede afectar consecuentemente al personal de O&M, y podría ser necesaria
formación adicional.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Desmantelamiento de funciones instrumentadas de seguridad (SIF)
El desmantelamiento debe ser una actividad planificada como parte de la fase 11 del
ciclo de vida, y debe tratarse como una modificación al final de la vida del proyecto.
El comienzo de la fase de desmantelamiento se debe iniciar un análisis de impacto
para determinar el efecto del desmantelamiento en la seguridad funcional.
El análisis debe incluir la revisión de la identificación de peligros y la evaluación de
riesgos, con consideración particular de los peligros que pueden ocurrir como
resultado de la actividad de desmantelamiento.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
Los requisitos para la gestión de la seguridad funcional figuran resumidos en la Tabla, la
mayor parte de los requisitos pueden ya estar cubiertos en un sistema de gestión de
calidad (QMS) de la organización.
Las siguientes secciones resaltan ciertas áreas que generalmente deben ser abordadas.
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de la Gestión de seguridad funcional
5. INSTALACION VALIDACION OPERACIÓN DE UN SIS
INSTALACIÓN, PUESTA EN SERVICIO Y VALIDACIÓN IEC 61511
Requisitos de Gestión de seguridad funcional