02-07-2011

Sistemas Instrumentados de Seguridad

Fuente principal: Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
MGM - Pars y lvarez, Mayo de 2011

Contenido
Introduccin

Peligro y Riesgo Seguridad Funcional Normas Aplicables Funcin Instrumentada de Seguridad (SIF) Sistema de Seguridad Instrumentado (SIS) Capas de Proteccin Independientes (IPL) Probabilidad de Falla en Demanda (PFD) Nivel Integral de Seguridad (SIL) Especificacin d R E ifi i de Requerimientos d S i i t de Seguridad (SRS) id d Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas) Arquitecturas de SIS (MooN)

Conceptos Bsicos

Ciclo de Vida de una SIF

Sistemas Instrumentados de Seguridad / Contenido 2

02-07-2011

Introduccin
Los Sistemas de Seguridad nacen de la necesidad de tener procesos ms seguros, donde el riesgo alcance un nivel tolerable. Riesgo y Peligro:

Riesgo: Combinacin entre probabilidad de ocurrencia de un dao (frecuencia) y su severidad (consecuencia). Peligro: Fuente potencial de dao a las personas, ambiente, o propiedad. El riesgo cero no existe. Se puede disminuir minimizando la frecuencia existe. del evento que genera el dao, su severidad o ambas.
La Frecuencia: Prevencin, el evento no ha ocurrido. Ej.: Un control de nivel que Frecuencia: derrame. disminuye la probabilidad de derrame La Severidad: Mitigacin, el evento ya ocurri. Ej.: Un sistema de deteccin de Severidad: incendio. La fuga de gas o generacin de llama ya ocurri.

El objetivo es alcanzar un riesgo tolerable, aceptable o meta.

El Riesgo Tolerable se mide en trminos de fatalidades o eventos que pueden causar dao por ao. Es definido por cada empresa.
3

Sistemas Instrumentados de Seguridad / Introduccin

Introduccin
Seguridad Funcional: Parte de la seguridad que depende del funcionamiento correcto de equipos en respuesta a sus entradas. Se basa en funciones de seguridad. Funcin de seguridad: Cualquier funcin que permita reducir el riesgo asociado a una situacin peligrosa.

La definicin de lo que har proviene de un anlisis de peligros. Qu tan buena ser proviene de un anlisis y evaluacin del riesgo. Ej.: control orientado a prevenir el derrame de un estanque, uso de casco, carcasa de un motor. Cuando se utilizan instrumentos se habla de una Funcin Instrumentada de Seguridad (SIF). (SIF).

Si los instrumentos son de naturaleza elctrica, electrnica o electrnica programable (E/E/PE) quedan sujetos a lo especificado (E/E/PE) en las normas: IEC 61508 e IEC 61511.

Sistemas Instrumentados de Seguridad / Introduccin

02-07-2011

Introduccin
IEC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems Safety

Aplica a fabricantes y proveedores de dispositivos. E ifi tifi di i t l d t d t ll los Especifica cmo certificar en rendimiento los productos y detalla l requerimientos necesarios para alcanzar cada SIL.

IEC 61511: Safety Instrumented Systems for the Process Industry Sector

Aplica a diseadores, integradores y usuarios finales de SIS. Especifica cmo se aplican los conceptos de la IEC-61508 a la industria del IECproceso. proceso Define el Ciclo de Vida de Seguridad Funcional. Existe la ANSI/ISA 84.00.01 que es una copia de la IEC 61511.

Sistemas Instrumentados de Seguridad / Introduccin

Conceptos Bsicos
Sistema de Seguridad Instrumentado (SIS) Funcin Instrumentada de Seguridad (SIF) Capas de Proteccin Independientes (IPL) Probabilidad de Falla en Demanda (PFD) Nivel Integral de Seguridad (SIL) Especificacin de Requerimientos de Seguridad (SRS) Tipos de Fallas (seguras, peligrosas, detectadas, no detectadas)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

02-07-2011

Sistema Instrumentado de Seguridad (SIS)

Es un conjunto de una o ms funciones instrumentadas de seguridad (SIF), cuyo objetivo es llevar el proceso a un estado seguro cuando se presentan ciertas condiciones de riesgo. Es un sistema independiente del sistema de control (BPCS) y por definicin es automtico.
Logic Solver

BPCS

Actuador

Actuador

Sensor

Sensor

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Funcin Instrumentada de Seguridad (SIF)

Funcin de seguridad con cierto SIL implantada en un SIS con el objeto de lograr un nivel de seguridad funcional requerido. Est compuesto p cualquier combinacin de sensores, Logic por p q , g Solver y elementos de accin final. Cualquiera de ellos que falle falla la SIF. Una SIF requiere un factor de reduccin de riesgo mnimo de 10 para considerarlo con categora SIL. En un SIS puede coexistir ms de una SIF con SIL diferentes.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

02-07-2011

Funcin Instrumentada de Seguridad (SIF)

Cmo identificar una SIF

Experiencia previa en procesos similares y normativas de la empresa. Algunas SIF ya estn definidas en algunas normas. Anlisis de peligros:

Listas de verificacin (check list): aplicaciones simples (Ej.: bombas) Anlisis what if: qu pasa si (similar al anterior) Anlisis de peligros y operatividad (HAZOP): mtodo formal para nuevos procesos, orientado a la industria de procesos Anlisis de modos de fallas y efectos (FMEA): para procesos de ndole mecnica (Ej.: tornos, prensas, gras, etc.) rboles de falla (Fault Tree): mtodo deductivo que parte de un evento peligroso y se desarrolla h i abajo b d ll hacia b j buscando causas. P d Permite anlisis cualitativo y cuantitativo. it li i lit ti tit ti

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Capas de Proteccin Independientes (IPL)

Grupo de equipos y/o controles administrativos que funcionan en concierto con otras capas de proteccin, para prevenir o mitigar un riesgo en el proceso.

Una SIF es una Capa de Proteccin. Para ser considerado IPL debe reducir el riesgo 10 veces como mnimo. reducir mnimo. Debe tener un grado de disponibilidad de al menos 90%. 90%. Debe prevenir o mitigar las consecuencias de un evento peligroso especfico (especificidad). Ej.: vlvula de alivio. alivio. Debe ser independiente de otras IPL e independientes del origen del problema, es decir, el efecto de un evento en una capa no impacta otras capas. Ej.: la falla de la vlvula de alivio no implica que fallar el switch de presin. presin. Debe ser diseada para manejar tanto fallas sistemticas como aleatorias. aleatorias. Debe facilitar una validacin regular de la funcin, es decir, permitir probar que la funcin es efectiva. Ej.: si la vlvula de alivio no puede probarse no puede considerarse capa de proteccin. proteccin.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

10

02-07-2011

Probabilidad de Falla en Demanda (PFD)

Probabilidad promedio que tiene una SIF para fallar ante una demanda de su funcionalidad (modo demanda). Determina el grado de integridad que debe tener cada SIF. Una SIF puede ser ejecutada en modo de baja o alta demanda (continuo). En el segundo caso la PFD es 4 rdenes de magnitud rdenes ms exigente.

Modo Baja Demanda: El peligro se manifestar (consecuencia) cuando se d el evento iniciador y falle la SIF. Se considera baja demanda cuando la SIF es demandada menos de 1 vez al ao. presente, Modo Alta Demanda: El peligro est permanentemente presente por lo tanto se manifestar (consecuencia) cuando falle la SIF. Se considera alta demanda cuando la SIF es demandada ms de 1 vez al ao. Se disea en funcin de la probabilidad de falla por hora.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

11

Nivel de Integridad de Seguridad (SIL)

Es un valor discreto que indica el factor de disminucin de riesgo (RRF) que es capaz de brindar la SIF dentro de un SIS. No es una propiedad del SIS, es una propiedad de la SIF. SIF.
SIL 4 3 2 1 PFD (baja demanda) 10-5 a <10-4 10-4 a <10-3 10-3 a <10-2 10-2 a <10-1 PFD (alta demanda) 10-9 a <10-8 10-8 a <10-7 10-7 a <10-6 10-6 a <10-5 RRF >10.000 a 100.000 >1.000 a 10.000 >100 a 1.000 >10 a 100 Disponibilidad >99,99% 99,90 a 99,99% 99,00 a 99,90% 99,00 a 99,00%

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

12

02-07-2011

Nivel de Integridad de Seguridad (SIL)

Concepto de SIL y Riesgo
Regin No Aceptable p

Rnp p Fnp
Riesgo Intermedio (sin SIS) Reduccin de C

SIL 1

SIL 2

SIL 3
Riesgo Final

Regin Aceptable Cnp

Regin Tolerable

Consecuencia (C) Sistemas Instrumentados de Seguridad / Conceptos Bsicos 13

Nivel de Integridad de Seguridad (SIL)

Concepto de SIL y Riesgo

Ejemplo: estanque con riesgo de derrame

Se tiene un Riesgo Inherente (Rnp), es decir, sin capas de proteccin. (Rnp) g p , p p Se puede disminuir la frecuencia (F) agregando una Capa de Proteccin. Ej.: una alarma y accin Proteccin. del operador. Pero la consecuencia no ha cambiado. Para disminuir la consecuencia (C) se puede instalar un pretil de contencin. Disminuye el riesgo a un valor de Riesgo Intermedio, pero an se est en la Regin No Aceptable Incorporar una Capa Intermedio, de Proteccin Instrumentada (SIS). (SIS). Una primera capa puede reducir el riesgo en una orden de magnitud (10 veces, es decir, SIL 1), con lo cual llegamos a la Regin Tolerable. Tolerable. Una segunda Capa de Proteccin puede reducir el riesgo en dos rdenes de magnitud (100 veces, es decir, d i SIL 2) con l cual se ll 2), lo l llega a l R i Aceptable. la Regin Aceptable. A t bl Si se desea puede reducirse an ms el riesgo agregando ms capas de proteccin, pudiendo llegar a SIL 3.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

14

02-07-2011

Nivel de Integridad de Seguridad (SIL)

Mtodos para determinar el SIL

Existen diversos mtodos. Depender de la complejidad del caso, experiencia en procesos similares y severidad de las consecuencias. Normalmente las empresas tienen definido el mtodo a utilizar. p Es recomendable hacer siempre una anlisis cualitativo, y para los que den SIL>1, utilizar un mtodo cuantitativo.
Anlisis cualitativo (100% casos) Matriz de capas de seguridad Bueno Pobre Semi-cuantitativo (10 a 20% casos) Grfico de riesgo Bueno Pobre LOPA Bueno Justo rbol de eventos Excesivo Justo Cuantitativo (10% casos) rbol de fallas, modelos de Markov Excesivo Bueno

Tcnica

Aplicacin p Simple Compleja

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

15

Nivel de Integridad de Seguridad (SIL)

Ejemplo clculo cuantitativo del SIL

Peligro (evento): explosin por prdida de llama en una caldera Frecuencia prdida de llama: 2/ao (determinado de un rbol de fallas) Probabilidad de explosin: 1/4 (dato histrico) Frecuencia de explosin sin capas de proteccin: Fnp = 2x1/4 = 0.5/ao Consecuencia: una fatalidad (consecuencia crtica) Frecuencia tolerable: Ft = 1/5000 ao = 2.0x10-4 (dato de matriz de riesgos definida por la empresa) Reduccin de riesgo requerida: RRF = Fnp/Ft = 0.5/2.0x10-4 = 2500 veces Fnp/Ft 0.5/2.0x10 Probabilidad de falla en demanda: PFDavg = 1/RRF = 4.0x10-4 (esta es la g 4.0x10 ( mxima probabilidad de falla que puede tener la SIF) SIL 3 (de tabla SIL) Cuntas y qu capas de proteccin pueden permitir alcanzar este SIL? Diseo

El diseo se inicia con la definicin de la SIF: ante prdida de llama cerrar vlvula de corte de gas piloto a quemador

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

16

02-07-2011

Especificacin de Requerimientos de Seguridad (SRS)

Especifica los requerimientos de seguridad del SIS. Requerimientos Funcionales (especialistas de procesos y control)

Definicin del estado seguro, rango operacin normal de variables de proceso g g Salidas SIF y sus acciones, relacin entre entradas y salidas (causa/efecto) Seleccin de energizar o desenergizar para disparar Definir tiempo de respuesta de la SIF (tiempo entre que ocurre una demanda de disparo hasta que el evento peligroso se lleva a cabo) Definir si se necesita parada manual, acciones ante prdida de energa, respuestas ante fallas, etc.

Requerimientos de Integridad (especialista de control)

Definicin del SIL requerido para cada SIF Requerimientos de diagnstico (detectar fallas con pruebas manuales) y de mantenimiento para lograr el SIL requerido Requerimientos de tasa de fallas seguras (evitar falsas paradas)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

17

Especificacin de Requerimientos de Seguridad (SRS)

Documentos de entrada a SRS

PFD, P&ID Balances de masa y calor Descripcin del proceso Reportes de anlisis de peligros Listado de SIF Reporte de seleccin de SIF

Documentos de salida de SRS

Requerimientos funcionales y de integridad g Descripcin de lgicas (narrativas, diagramas causa/efecto, diagramas de lgica binaria, etc.)

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

18

02-07-2011

Tipos de Fallas
Falla Segura (S) (

Falla que no pone en peligro el proceso que se est protegiendo, pero s lleva a prdidas de produccin. Se presenta cuando no existe el evento iniciador y se ejecuta la SIF por una falla, producindose una parada falsa.

Falla Insegura o Peligrosa (D) (

Falla que pone en peligro el proceso que se est protegiendo ante una demanda. Se presenta cuando existe el evento iniciador y no se ejecuta la SIF por una falla, producindose la consecuencia.

Tasa de fallas de un sistema por unidad de tiempo: = S + D Una Falla Segura o Peligrosa puede ser Detectada o No Detectada

S = SD + SU D = DD + DU
19

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Tipos de Fallas
Falla Detectada

Al ocurrir revelan su presencia o pueden ser detectadas mediante diagnstico. Cuando se detecta, el proceso se lleva a una condicin segura, de modo que la falla no genere una situacin de peligro peligro.

Falla No Detectada

No revelan su presencia o permanecen en estado latente. Las Fallas Peligrosas No Detectadas (DU) son las que comprometen la ( seguridad del proceso, pues se manifiestan slo ante una demanda de la SIF. Se busca disminuirlas aumentando la capacidad de diagnstico, el cual puede ser automtico o manual. Al detectar una falla en un elemento despus de repararlo la probabilidad de elemento, falla se reinicia, siempre que no haya pasado su vida til.

Se define la Cobertura del Diagnstico (C)

Porcentaje de fallas que el sistema de diagnstico es capaz de detectar. DD = D C DU = D (1 C)

20

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

10

02-07-2011

Tipos de Fallas
Falla en Modo Comn

Evento que ocasiona una falla simultnea en dos o ms elementos de un sistema. Es aplicable slo a sistemas redundantes lo que implica que la redundancia no redundantes, necesariamente mejorar el desempeo. Puede ser atribuible al componente mismo o a las condiciones de operacin. Se reduce usando separacin fsica, diversidad de tecnologas, etc. Ej.: sensores mal calibrados, obstruccin en toma de proceso cuando dos instrumentos usan la misma toma, error en los materiales, errores de software en CPUs, etc.

Se define la fraccin de la Tasa de Fallas () a la cual dos ( componentes fallan por la misma causa:

N = (1 ) C =

N: tasa fallas normal de cada componente individual C: tasa fallas comn sobre dos componentes al mismo tiempo

normalmente est entre 2 y 10%.

21

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

Arquitecturas de SIS (MooN) (MooN)

Lgica de votacin MooN (M out of N)

M: indica cuntos componentes operan adecuadamente N: indica con qu frecuencia se desarrolla la SIF (redundancia) Simbologa MooN 1oo1 1oo2 Caractersticas
Seguro: cuando se abre se ejecuta la SIF. No tolerante: a fallas seguras ni peligrosas. Seguro: cuando se abre cualquiera de ellos se ejecuta la SIF, an si uno se queda pegado (tolera una falla peligrosa). Queda 1oo1. No tolerante a fallas seguras: si uno se abre por error se produce una parada falsa de la planta. No seguro: si uno se queda pegado la SIF no se ejecutar (no peligrosas). tolera fallas peligrosas) Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutar, pues deben abrirse ambos.

2oo2

2oo3

Seguro: cuando se abre un par (uno de cada rama) se ejecuta la SIF. Tolerante a una falla peligrosa: si uno falla an puede ejecutarse la SIF (pues se necesitan 2). Queda 2oo2. Tolerante a fallas seguras: si uno se abre por error la SIF no se ejecutar, pues deben abrirse dos.

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

22

11

02-07-2011

Arquitecturas de SIS (MooN) (MooN)

Diagnstico (D)

Detectar fallas que puedan afectar a la funcin antes que sta sea demandada por un evento iniciador. Slo reduce la tasa de fallas peligrosas no detectadas. Simbologa D MooN 1oo1D Caractersticas
Seguro: se detecta si queda pegado. Si se queda pegado y el diagnstico no lo detecta se producir una falla peligrosa. No tolerante a fallas seguras. Seguro: igual que 1oo2, pero adems se detecta si queda pegado. Tolerante a una falla segura: si uno se abre por error se detecta y se inhibe (queda 1oo1D). No se produce la falsa parada. Tolerante a una falla peligrosa: puede ejecutarse la SIF (pues se necesita 1).

1oo2D

Sistemas Instrumentados de Seguridad / Conceptos Bsicos

23

Ciclo de Vida de Seguridad

Permite desarrollar un marco conceptual para cada etapa del SIS, desde la concepcin hasta su desmantelamiento. desmantelamiento. Dependiendo de la etapa pueden participar especialistas de distintas disciplinas. Integra y aplica todos los conceptos descritos.

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad

24

12

02-07-2011

Ciclo de Vida de Seguridad

Diseo conceptual del proceso - Con la seguridad en mente. - Especialistas: Procesos Anlisis de riesgos y diseo ISL - Identificacin del peligro (HAZOP) - Estimacin del riesgo - Establecimiento de Riesgo Tolerable - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones Asignacin de SIF para ISL - Cunto se va a reducir el riesgo - Responsabilidades a las ISL - Determinacin de SIL para cada SIF - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones

Definicin de SRS - Requisitos funcionales e integridad - Especialistas: Procesos, Control

Diseo e ingeniera de los SIS - Especificacin equipos, instrumentos, cantidad, tecnologa, arquitectura - Deben cumplir las SRS y SIL definidos - Especialistas: Control

Validacin - Antes de la partida - Revisin de cumplimiento de las SRS - FAT, SAT - Especialistas: Control

Proc. Operacin/Mantenimiento - Procedimientos operativos deben documentar respuestas a desviaciones del proceso, alarmas y paradas, con sus riesgos y consecuencias - Procedimientos de mantenimiento detallados para retornar a servicio - Especialistas: Mantenimiento

Modificaciones - Cambios a SIS deben hacerse bajo los mismos pasos que la implementacin - Toda modificacin debe documentarse - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones

Desmantelamiento - El desmantelamiento de un SIS no debe tener impacto en el proceso - Especialistas: Procesos, Instrumentacin, Electricidad, Seguridad, Operaciones

Verificacin - Los pasos se cumplen en forma adecuada y se generan los documentos de entrada y salida requeridos

Sistemas Instrumentados de Seguridad / Ciclo de Vida de Seguridad

25

Sistemas Instrumentados de Seguridad

Muchas Gracias
Consultas, comentarios

Fuente principal: Curso Seguridad Funcional, Anlisis de Riesgos y SIS, Juan Caldern (CFSE)
Pars y lvarez, Mayo de 2011

13