12.- diseño del hardware
DESCRIPTION
Diseño de hardwareTRANSCRIPT
-
www.inegas.edu.bo
MAESTRIA OPERACIONES PETROLERAS. 1VERS. 6ED. & DIPLOMADO
INSTRUMENTACIN Y CONTROL EN PLANTAS DE PROCESOS. 2VERS. 1ED.
Docente: Ing. Nelson YaezCorreo: [email protected]
1
Sistemas Instrumentados de Seguridad
12. Diseo del Hardware
-
2
-
3
Conceptos Fundamentales del Hardware
El diseo de hardware a nivel de la funcin de seguridad:
Energizar versus des-energizar para disparar
Baja demanda, alta demanda, modo continuo - 61508
Modo demanda, modo continuo - 61511
Probabilidad de Falla en Demanda (PFD)
Una medida del Safety Integrity Level (SIL)
Probabilidad de Falla Segura (PFS)
Una medida del Spurious Trip Level (STL)
-
4
Des-energizar o Energizar para Disparar
Cul es la diferencia?
Un sub-sistema "des-energizar para disparar" no necesita energa para ejecutar su funcin de seguridad
Se basa en el as llamado "principio de diseo falla - segura"
Un sub-sistema "energizar para disparar" necesita energa para ejecutar su funcin de seguridad
ste no es un diseo falla - segura
-
5
Ejemplos: "Des-energizar para disparar"Logic solver "fail - safe"
El estado seguro es siempre el estado "O". o estado des-energizado
Slo con energa elctrica resultar el estado "1.
Actuador con retorno a resorte
Energizar el resorte para abrir la vlvula
Des-energizar el resorte para cerrar
Diseo fail - safe
-
6
Ejemplos: "Energizar para disparar"
Sistema de "sprinklers"BombasElectricidadAgua
Sistema Fire & gasDeteccin yGestin de alarmas
-
7
Baja Demanda, Alta Demanda, Continuo
lEC 61508 define tres modos de operacin para las funciones de seguridad
Modo de Baja DemandaModo de Alta demandaModo Continuo
-
8
Modo de Baja Demanda - lEC 61508Funcin de seguridad de baja demandaCuando la funcin se ejecuta ante una demanda, para llevar al equipo bajo control a un estado seguro y cuando la frecuencia de esta demanda no es mayor a una demanda por aoEjemplo tpicoFuncin de shutdowncon vlvula ESD
-
9
Modo de Alta Demanda - lEC 61508
Funcin de seguridad de alta demanda
Cuando la funcin se ejecuta ante una demanda, para llevar al equipo bajo control a un estado seguro y cuando la frecuencia de esta demanda es mayor a una demanda por ao
Ejemplo tpico
Funcin de shutdown con vlvula de drenaje en un reactor de procesos
-
10
Modo Continuo - lEC 61508Funcin de seguridad de modo continuo
Cuando la funcin retiene, al equipo bajo control en un estado seguro como parte de la operacin normal.
Ejemplo tpico
Funcin que regula un caudal de alimentacin de un producto a un reactor, cuya variacin puede ocasionar una reaccin fuera de control
Tambin se las conoce como funciones de Control Crtico
-
11
Modo Demanda VS. Continuo - lEC 61511lEC 61511 define los modos demanda y continuo
Modo demanda
La falla de la funcin de seguridad, por s misma, no tiene un efecto inmediato en el proceso
El proceso est en peligro si
La funcin de seguridad ha fallado Y
Ocurre una demanda
Modo continuo
Una falla de la funcin de seguridad, por s misma, tiene un efecto inmediato en el proceso
El proceso est en peligro por el slo hecho de que la funcin de seguridad ha fallado en forma peligrosa
-
12
Precaucin
La razones de cada demanda necesitan ser analizadas
Un mal control del proceso resulta a menudo en demasiadas demandas
Demandas frecuentes en un proceso de baja demanda no debieran resultar, necesariamente, en "lo que necesitamos es un sistema de alta demanda"
Podran resultar cambios en el diseo, o en la operacin del proceso, o cambios en los procedimientos, etc.
-
13
Probabilidad de FallaPara cada funcin de seguridad se necesita saber cun a menudo sta falla
Probabilidad de Falla en Demanda - PFDLa probabilidad de que la funcin de seguridad no se ejecute al recibir una demanda del proceso
Requerimiento en lEC 615611
Probabilidad de Falla Segura - PFSLa probabilidad de que la funcin de seguridad se ejecute sin que haya una demanda desde el proceso
No es un requerimiento en lEC 61561 1
Sin embargo indica que quiz deba tenerse en cuenta
-
14
PFDavg versus PFH
La probabilidad de falla en demanda despus de un ao o despus de una hora
-
15
Spurious TriP Level - STL
La Probabilidad de Falla Segura - PFS
-
16
Cmo usar el Spurious Trip LevelPara cada funcin de seguridad, estime el costo de un disparo espurio
Cuanto mayor sea el costo ms alto deber ser el STL
Los niveles necesitan ser determinados para cada compaa en particular. Vea un ejemplo ms abajo.
-
17
Sub-sistemas
Una funcin de seguridad es parte de un sistema el cual puede tener varios subsistemas y elementos
Todos stos deben ser tems conforme a norma, es decir, que deben cumplir con todos los requerimientos de la norma.
-
18
Conceptos Fundamentales del Hardware
Diseo del Hardware a nivel de sub-sistemasRedundancia y diversidadVotacin y Tolerancia a Fallas del Hardware (HFT)Tipo A y Tipo BModos de fallaFallas detectadas y reveladasFraccin de Falla Segura (SFF)Restricciones de arquitectura
-
19
Redundancia
Definicin:
El uso de mltiples medios para conseguir la misma (o PARTE DE la misma) funcin de seguridad
La redundancia puede conseguirse
Por igual hardware y/o software o
Por diversidad de hardware y/o software
No ayuda necesariamente contra las fallas de causa comn y no ayuda contra las fallas sistemticas
-
20
Ejemplos de redundancia
Equipamiento redundante
Bus de comunicacin simple con mensajera triple redundante
-
21
Diversidad
Definicin:
El uso de diferentes medios para ejecutar la misma (o PARTE DE la misma) funcin de seguridad
Puede conseguirse por
Diferentes mtodos fsicos
Diferentes filosofas de diseo
Es una medida contra las fallas de causa comn y sistemticas, pero no necesariamente ayuda contra todas ellas
-
22
Ejemplos de diversidad
-
23
VotacinVotacin es
El nmero de caminos independientes (M) requeridos dentro del total de caminos eXistentes (N) para poder ejecutar la funcin de seguridad
La votacin se expresa normalmente como MooN
M expresa el nmero de votacin
N expresa el nmero de redundancia
Por ejemplo 1002, 2003, 2004, etc .
La votacin puede "destruir" la redundancia
Por ejemplo: 2002
-
24
Ejemplos - MooN
-
25
Tolerancia a Fallas del Hardware (HFT)
Una tolerancia a fallas de hardware 'N ' significa
Que N + 1 fallas pueden causar la prdida de la funcin de seguridad
La HFT es fcil de calcular
Para cualquier sistema MooN: HFT =N - M
Por ejemplo, la HFT de un sistema 2003 es: 3 - 2 = 1
-
26
Sub-sistemas Tipo AUn sub-sistema es Tipo A si:
Los modos de falla estn bien definidos Y
La conducta durante una falla puede ser determinada completamente Y
Se hallan disponibles suficientes datos de falla
-
27
Sub-sistemas Tipo B
Un sub-sistema es Tipo B Si:
Una o ms modos de falla no estn bien definidos, O
Si la conducta ante una falla no puede ser completamente definida, O
Si los datos de falla disponibles no son suficientes
Si tiene algn circuito integrado puede estar 99.9% seguro de que es Tipo B
-
28
Modos de Falla de los Sub-sistemasFalla Segura
El sub-sistema falla en forma segura, si ste ejecuta la funcin de seguridad sin que haya una demanda desde el proceso
Falla Peligrosa
El sub-sistema falla en forma peligrosa, si ste no puede ejecutar la funcin de seguridad ante una demanda
Falla de No Efecto
El elemento que falla es parte de la funcin de seguridad, pero la falla no afecta a esta funcin
Falla de No Es Parte
El elemento que falla no es parte de la funcin de seguridad
Falla Detectada
Una falla es "detectada" si los diagnsticos incorporados (built- in) la descubren
-
29
Descubriendo Fallas
Las fallas pueden ser descubiertas de tres formas:
Durante la operacin normal
Mediante pruebas manuales peridicas
Periodic Proof Tests
Por medio de diagnsticos incorporados (built-in)
Diagnostic Tests
-
30
Por medio de la Operacin Normal del proceso
Descubrirlas durante la operacin normal significa que la conducta propia del proceso, por s misma. revela la falla del sub-sistema, por ejemplo,
El proceso se detiene debido a una falla segura en un transmisor de presin, o
El tanque no se puede vaciar debido al peligroso bloqueo en cerrado de la vlvula de drenaje
Este forma de descubrir fallas no es til
Ni desde el punto de vista de la seguridad
Ni desde el punto de vista de la disponibilidad
-
31
Descubriendo Fallas por medio de Pruebas
En los sistemas de seguridad se llevan a cabo muchas pruebas (testing)
Pruebas manuales peridicas (Periodic Proof Tests)
Pruebas de diagnstico (built-in Diagnostic Tests)
Cualquiera de estas pruebas comprende
Frecuencia: Cun a menudo se la real iza
Cobertura: El porcentaje de fallas detectadas
Una prueba es til slo si se acta de acuerdo con sus resultados, por ejemplo:
Llevando inmediatamente el sistema a condicin segura
No permitiendo que el sistema vuelva a arrancar si la falla no fue reparada
-
32
Descubriendo Fallas por Diagnstico
Una prueba es de diagnstico (Diagnostic Test) si:
Se ejecuta en forma automtica Y
Se ejecuta frecuentemente Y
Se utiliza para descubrir fallas que puedan hacer peligrar la funcin de seguridad y
Resulta en una respuesta segura
Usualmente una prueba es de diagnstico y est incorporada ("built-in")
Por ejemplo un test de memoria, el "watchdog", etc.
-
33
Acerca de la Frecuencia de Diagnstico
Con qu frecuencia debera ejecutarse una prueba llamada "Diagnostic Test"?
Por lo menos un orden de magnitud mayor que la "tasa de demanda" esperada
Frecuencia de DT > 10* Frecuencia de Demanda Estimada
Por ejemplo
Si la demanda esperada es 1 vez por ao, y se realizan pruebas automticas de 'partial stroke ms de una vez por mes, entonces esas pruebas de "partialstroke' son consideradas como "Diagnostic Test"
Las mismas pruebas automticas de "partial stroke" realizadas cada 2 meses, deben ser consideradas como Periodic Proof Test
-
34
Descubriendo Fallas por Pruebas Peridicas
Todas las otras pruebas son llamadas Pruebas Peridicas (PPT = periodic proof test). stas son:
NO automticas O
De muy baja frecuencia
Una prueba peridica
Es iniciada por la accin humana
Usualmente no est incorporada ("built-in'') en el equipamiento. Se requiere equipamiento adicional para ejecutarla
Por ejemplo, un operador realiza la prueba de cierre parcial (partial stroke test) de una vlvula
-
35
Pruebas Peridicas (PPT)
Podemos ejecutar una Prueba Peridica
En un dispositivo individual
En una combinacin de dispositivos
En la funcin de seguridad completa
-
36
Diferencias entre DT y PPT
-
37
Distribucin de Fallas
-
38
Detectada o No Detectada
-
39
Fraccin de Falla Segura (SFF)
Qu es la SFF?
Una medida de la efectividad del diseo "failsafe y/o de los diagnsticos incorporados de un sub-sistema
Es un parmetro de diseo, no un parmetro operacional
Se calcula como:
-
40
Atencin No se puede utilizar una Prueba Peridica (PP1) para
calcular la SFF
Prueba Peridica (PPT) es un parmetro operacional
Por qu existe la SFF?
La PFD refleja cun a menudo un sub-sistema falla en forma peligrosa no detectada
Esto no es suficiente para expresar la seguridad
La SFF es la proporcin de fallas peligrosas no detectadas inherentes a un sub-sistema %DU=1-SFF
Fallas peligrosas no detectadas
SFF "qu porcentaje"
PFD "qu tan probables"
-
41
Restricciones de Arquitectura(lEC 61508 - Ruta 1H)
-
42
Restricciones de Arquitectura (lEC 61511)
Programmable electronic (PE) logic solvers
-
43
Restricciones de Arquitectura (lEC 61151-1)
Todo equipamiento excepto los PE logic solvers
-
44
Cundo reducir o incrementar la HFT?
Podemos reducir en "1" la HFT
Si el dispositivo est seleccionado como "prior use" Y
Slo pueden ajustarse parmetros relacionados con el proceso Y
Este ajuste de parmetros est protegido Y
El SIL es menor que 4
Debemos aumentar la HFT en "1"
SI la falla dominante no lleva al sub-sistema a un estado seguro Y
No pueden detectarse las fallas peligrosas
-
45
Cundo lEC 61508 Y cundo lEC 61511?
-
46
Integridad de la seguridad del hardware: restricciones de la arquitectura en el tipo A y B en subsistemas relacionados con la seguridad
-
47
Restricciones de Arquitectura Insatisfechas?
Detngase!
No hay necesidad de continuar
No hay necesidad de hacer clculo de probabilidades
Lo que usted necesita hacer es
Redisear la arquitectura O
Cambiar la configuracin de la arquitectura
Seleccionar dispositivos ms apropiados
Seleccionar dispositivos con una SFF mayor
-
48
Sistema de Seguridad 1001
-
49
Sistema de Seguridad 1001 versin II
-
50
Sistema de Seguridad 1002
-
51
Sistema de Seguridad 1002 versin II
-
52
Sistema de Seguridad 11002 versin IV
-
53
Sistema de Seguridad 2002
Mal diseo de sistema de seguridad
Ninguna Seguridad -> Disponibilidad de Proceso
-
54
Anlisis de Confiabilidad
Por qu un Anlisis de Confiabilidad? De acuerdo con la Normas, necesitamos
Documentar el comportamiento de la fal la de la funcin de seguridad
Determinar la SFF para cada sub-sistema
Determinar la "PFD Objetivo" (PFDavg, PFH) para cada funcin de seguridad
Otra razn para realizar un estudio de confiabilidad
Los Usuarios tambin quieren saber las tasas de falla espurias de la funcin de seguridad
-
55
Pasos del Anlisis de Confiabilidad
-
56
Diagrama de Bloques Funcionales
Cree el diagrama de bloques funcionales
Desde el punto de vista del funcionamiento (sin fallas)
Tome en cuenta relaciones funcionales
Descienda hasta el componente reparable ms pequeo (mdulo)
Tome en cuenta la redundancia y la votacin
-
57
Diagrama de Bloques Funcionales
-
58
Ejemplos de Ecuaciones lEC 61508-6
1001
1002
La lEC 61508 tiene frmulas para bloques de confiabilidad con votaciones 1001, 1002,
1002D, 2002, y 2003
Estas frmulas no son normativas
Las ecuaciones simplificadas se pueden derivar de modelos de Markov
-
59
Modelos de Confiabilidad
-
60
Confiabilidad vs. Disponibilidad
Disponibilidad (Availability) La probabilidad de xito en un momento en el tiempo
A = f( , ) (Tasa de falla y tasa de reparacin)
Confiabilidad (Reliability) La probabilidad de xito durante un intervalo de tiempo
R = f( , TI = t ) Tasa de falla, intervalos de tiempo
La confiabilidad y la disponibilidad son frecuentemente intercambiados. Ellas son medidas similares de una operacin exitosa. La disponibilidad es por su lado un valor promedio que es una funcin de las tasas de falla y de las tasas de reparacin. La confiabilidad es una funcin de las tasas de falla y de los intervalos de tiempo de operacin.
-
61
Ejemplo - Disponibilidad
Tasa de Falla Falla por unidad de tiempo por dispositivo
Mean Time to Failure (MTTF) Tiempo promedio a la falla El intervalo tiempo promedio de operacin exitosa de un sistema (puede ser extendido a sub sistemas o dispositivos)
Mean Time to Repair (MTTR) Tiempo promedio de reparacin El intervalo de tiempo de reparacin promedio de un sistema. Aplica solo a sistemas reparables!
Debe tenerse cuidado con el trmino MTTR que no es universalmente definido a travs de varias normas internacionales y los libros de texto de ingeniera de confiabilidad.
En la IEC 61508 por ejemplo, es el acrnimo de Mean Time to Restore.
-
www.inegas.edu.bo62