Documente Academic
Documente Profesional
Documente Cultură
Fuente principal: Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
MGM - Pars y lvarez, Mayo de 2011
Contenido
Introduccin
Peligro y Riesgo Seguridad Funcional Normas Aplicables Funcin Instrumentada de Seguridad (SIF) Sistema de Seguridad Instrumentado (SIS) Capas de Proteccin Independientes (IPL) Probabilidad de Falla en Demanda (PFD) Nivel Integral de Seguridad (SIL) Especificacin d R E ifi i de Requerimientos d S i i t de Seguridad (SRS) id d Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas) Arquitecturas de SIS (MooN)
Conceptos Bsicos
02-07-2011
Introduccin
Los Sistemas de Seguridad nacen de la necesidad de tener procesos ms seguros, donde el riesgo alcance un nivel tolerable. Riesgo y Peligro:
Riesgo: Combinacin entre probabilidad de ocurrencia de un dao (frecuencia) y su severidad (consecuencia). Peligro: Fuente potencial de dao a las personas, ambiente, o propiedad. El riesgo cero no existe. Se puede disminuir minimizando la frecuencia existe. del evento que genera el dao, su severidad o ambas.
La Frecuencia: Prevencin, el evento no ha ocurrido. Ej.: Un control de nivel que Frecuencia: derrame. disminuye la probabilidad de derrame La Severidad: Mitigacin, el evento ya ocurri. Ej.: Un sistema de deteccin de Severidad: incendio. La fuga de gas o generacin de llama ya ocurri.
El Riesgo Tolerable se mide en trminos de fatalidades o eventos que pueden causar dao por ao. Es definido por cada empresa.
3
Introduccin
Seguridad Funcional: Parte de la seguridad que depende del funcionamiento correcto de equipos en respuesta a sus entradas. Se basa en funciones de seguridad. Funcin de seguridad: Cualquier funcin que permita reducir el riesgo asociado a una situacin peligrosa.
La definicin de lo que har proviene de un anlisis de peligros. Qu tan buena ser proviene de un anlisis y evaluacin del riesgo. Ej.: control orientado a prevenir el derrame de un estanque, uso de casco, carcasa de un motor. Cuando se utilizan instrumentos se habla de una Funcin Instrumentada de Seguridad (SIF). (SIF).
Si los instrumentos son de naturaleza elctrica, electrnica o electrnica programable (E/E/PE) quedan sujetos a lo especificado (E/E/PE) en las normas: IEC 61508 e IEC 61511.
02-07-2011
Introduccin
IEC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems Safety
Aplica a fabricantes y proveedores de dispositivos. E ifi tifi di i t l d t d t ll los Especifica cmo certificar en rendimiento los productos y detalla l requerimientos necesarios para alcanzar cada SIL.
IEC 61511: Safety Instrumented Systems for the Process Industry Sector
Aplica a diseadores, integradores y usuarios finales de SIS. Especifica cmo se aplican los conceptos de la IEC-61508 a la industria del IECproceso. proceso Define el Ciclo de Vida de Seguridad Funcional. Existe la ANSI/ISA 84.00.01 que es una copia de la IEC 61511.
Conceptos Bsicos
Sistema de Seguridad Instrumentado (SIS) Funcin Instrumentada de Seguridad (SIF) Capas de Proteccin Independientes (IPL) Probabilidad de Falla en Demanda (PFD) Nivel Integral de Seguridad (SIL) Especificacin de Requerimientos de Seguridad (SRS) Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)
02-07-2011
BPCS
Actuador
Actuador
Sensor
Sensor
02-07-2011
Experiencia previa en procesos similares y normativas de la empresa. Algunas SIF ya estn definidas en algunas normas. Anlisis de peligros:
Listas de verificacin (check list): aplicaciones simples (Ej.: bombas) Anlisis what if: qu pasa si (similar al anterior) Anlisis de peligros y operatividad (HAZOP): mtodo formal para nuevos procesos, orientado a la industria de procesos Anlisis de modos de fallas y efectos (FMEA): para procesos de ndole mecnica (Ej.: tornos, prensas, gras, etc.) rboles de falla (Fault Tree): mtodo deductivo que parte de un evento peligroso y se desarrolla h i abajo b d ll hacia b j buscando causas. P d Permite anlisis cualitativo y cuantitativo. it li i lit ti tit ti
Una SIF es una Capa de Proteccin. Para ser considerado IPL debe reducir el riesgo 10 veces como mnimo. reducir mnimo. Debe tener un grado de disponibilidad de al menos 90%. 90%. Debe prevenir o mitigar las consecuencias de un evento peligroso especfico (especificidad). Ej.: vlvula de alivio. alivio. Debe ser independiente de otras IPL e independientes del origen del problema, es decir, el efecto de un evento en una capa no impacta otras capas. Ej.: la falla de la vlvula de alivio no implica que fallar el switch de presin. presin. Debe ser diseada para manejar tanto fallas sistemticas como aleatorias. aleatorias. Debe facilitar una validacin regular de la funcin, es decir, permitir probar que la funcin es efectiva. Ej.: si la vlvula de alivio no puede probarse no puede considerarse capa de proteccin. proteccin.
10
02-07-2011
Modo Baja Demanda: El peligro se manifestar (consecuencia) cuando se d el evento iniciador y falle la SIF. Se considera baja demanda cuando la SIF es demandada menos de 1 vez al ao. presente, Modo Alta Demanda: El peligro est permanentemente presente por lo tanto se manifestar (consecuencia) cuando falle la SIF. Se considera alta demanda cuando la SIF es demandada ms de 1 vez al ao. Se disea en funcin de la probabilidad de falla por hora.
11
12
02-07-2011
Rnp p Fnp
Riesgo Intermedio (sin SIS) Reduccin de C
SIL 1
SIL 2
SIL 3
Riesgo Final
Regin Tolerable
14
02-07-2011
Existen diversos mtodos. Depender de la complejidad del caso, experiencia en procesos similares y severidad de las consecuencias. Normalmente las empresas tienen definido el mtodo a utilizar. p Es recomendable hacer siempre una anlisis cualitativo, y para los que den SIL>1, utilizar un mtodo cuantitativo.
Anlisis cualitativo (100% casos) Matriz de capas de seguridad Bueno Pobre Semi-cuantitativo (10 a 20% casos) Grfico de riesgo Bueno Pobre LOPA Bueno Justo rbol de eventos Excesivo Justo Cuantitativo (10% casos) rbol de fallas, modelos de Markov Excesivo Bueno
Tcnica
15
Peligro (evento): explosin por prdida de llama en una caldera Frecuencia prdida de llama: 2/ao (determinado de un rbol de fallas) Probabilidad de explosin: 1/4 (dato histrico) Frecuencia de explosin sin capas de proteccin: Fnp = 2x1/4 = 0.5/ao Consecuencia: una fatalidad (consecuencia crtica) Frecuencia tolerable: Ft = 1/5000 ao = 2.0x10-4 (dato de matriz de riesgos definida por la empresa) Reduccin de riesgo requerida: RRF = Fnp/Ft = 0.5/2.0x10-4 = 2500 veces Fnp/Ft 0.5/2.0x10 Probabilidad de falla en demanda: PFDavg = 1/RRF = 4.0x10-4 (esta es la g 4.0x10 ( mxima probabilidad de falla que puede tener la SIF) SIL 3 (de tabla SIL) Cuntas y qu capas de proteccin pueden permitir alcanzar este SIL? Diseo
El diseo se inicia con la definicin de la SIF: ante prdida de llama cerrar vlvula de corte de gas piloto a quemador
16
02-07-2011
Definicin del estado seguro, rango operacin normal de variables de proceso g g Salidas SIF y sus acciones, relacin entre entradas y salidas (causa/efecto) Seleccin de energizar o desenergizar para disparar Definir tiempo de respuesta de la SIF (tiempo entre que ocurre una demanda de disparo hasta que el evento peligroso se lleva a cabo) Definir si se necesita parada manual, acciones ante prdida de energa, respuestas ante fallas, etc.
Definicin del SIL requerido para cada SIF Requerimientos de diagnstico (detectar fallas con pruebas manuales) y de mantenimiento para lograr el SIL requerido Requerimientos de tasa de fallas seguras (evitar falsas paradas)
17
PFD, P&ID Balances de masa y calor Descripcin del proceso Reportes de anlisis de peligros Listado de SIF Reporte de seleccin de SIF
Requerimientos funcionales y de integridad g Descripcin de lgicas (narrativas, diagramas causa/efecto, diagramas de lgica binaria, etc.)
18
02-07-2011
Tipos de Fallas
Falla Segura (S) (
Falla que no pone en peligro el proceso que se est protegiendo, pero s lleva a prdidas de produccin. Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por una falla, producindose una parada falsa.
Falla que pone en peligro el proceso que se est protegiendo ante una demanda. Se presenta cuando existe el evento iniciador y no se ejecuta la SIF por una falla, producindose la consecuencia.
Tasa de fallas de un sistema por unidad de tiempo: = S + D Una Falla Segura o Peligrosa puede ser Detectada o No Detectada
S = SD + SU D = DD + DU
19
Tipos de Fallas
Falla Detectada
Al ocurrir revelan su presencia o pueden ser detectadas mediante diagnstico. Cuando se detecta, el proceso se lleva a una condicin segura, de modo que la falla no genere una situacin de peligro peligro.
Falla No Detectada
No revelan su presencia o permanecen en estado latente. Las Fallas Peligrosas No Detectadas (DU) son las que comprometen la ( seguridad del proceso, pues se manifiestan slo ante una demanda de la SIF. Se busca disminuirlas aumentando la capacidad de diagnstico, el cual puede ser automtico o manual. Al detectar una falla en un elemento despus de repararlo la probabilidad de elemento, falla se reinicia, siempre que no haya pasado su vida til.
10
02-07-2011
Tipos de Fallas
Falla en Modo Comn
Evento que ocasiona una falla simultnea en dos o ms elementos de un sistema. Es aplicable slo a sistemas redundantes lo que implica que la redundancia no redundantes, necesariamente mejorar el desempeo. Puede ser atribuible al componente mismo o a las condiciones de operacin. Se reduce usando separacin fsica, diversidad de tecnologas, etc. Ej.: sensores mal calibrados, obstruccin en toma de proceso cuando dos instrumentos usan la misma toma, error en los materiales, errores de software en CPUs, etc.
Se define la fraccin de la Tasa de Fallas () a la cual dos ( componentes fallan por la misma causa:
N = (1 ) C =
N: tasa fallas normal de cada componente individual C: tasa fallas comn sobre dos componentes al mismo tiempo
M: indica cuntos componentes operan adecuadamente N: indica con qu frecuencia se desarrolla la SIF (redundancia) Simbologa MooN 1oo1 1oo2 Caractersticas
Seguro: cuando se abre se ejecuta la SIF. No tolerante: a fallas seguras ni peligrosas. Seguro: cuando se abre cualquiera de ellos se ejecuta la SIF, an si uno se queda pegado (tolera una falla peligrosa). Queda 1oo1. No tolerante a fallas seguras: si uno se abre por error se produce una parada falsa de la planta. No seguro: si uno se queda pegado la SIF no se ejecutar (no peligrosas). tolera fallas peligrosas) Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutar, pues deben abrirse ambos.
2oo2
2oo3
Seguro: cuando se abre un par (uno de cada rama) se ejecuta la SIF. Tolerante a una falla peligrosa: si uno falla an puede ejecutarse la SIF (pues se necesitan 2). Queda 2oo2. Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutar, pues deben abrirse dos.
22
11
02-07-2011
Detectar fallas que puedan afectar a la funcin antes que sta sea demandada por un evento iniciador. Slo reduce la tasa de fallas peligrosas no detectadas. Simbologa D MooN 1oo1D Caractersticas
Seguro: se detecta si queda pegado. Si se queda pegado y el diagnstico no lo detecta se producir una falla peligrosa. No tolerante a fallas seguras. Seguro: igual que 1oo2, pero adems se detecta si queda pegado. Tolerante a una falla segura: si uno se abre por error se detecta y se inhibe (queda 1oo1D). No se produce la falsa parada. Tolerante a una falla peligrosa: puede ejecutarse la SIF (pues se necesita 1).
1oo2D
23
24
12
02-07-2011
Diseo e ingeniera de los SIS - Especificacin equipos, instrumentos, cantidad, tecnologa, arquitectura - Deben cumplir las SRS y SIL definidos - Especialistas: Control
Validacin - Antes de la partida - Revisin de cumplimiento de las SRS - FAT, SAT - Especialistas: Control
Proc. Operacin/Mantenimiento - Procedimientos operativos deben documentar respuestas a desviaciones del proceso, alarmas y paradas, con sus riesgos y consecuencias - Procedimientos de mantenimiento detallados para retornar a servicio - Especialistas: Mantenimiento
Modificaciones - Cambios a SIS deben hacerse bajo los mismos pasos que la implementacin - Toda modificacin debe documentarse - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones
Desmantelamiento - El desmantelamiento de un SIS no debe tener impacto en el proceso - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones
Verificacin - Los pasos se cumplen en forma adecuada y se generan los documentos de entrada y salida requeridos
25
Muchas Gracias
Consultas, comentarios
Fuente principal: Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
Pars y lvarez, Mayo de 2011
13